Nová česká legislativa na poli ochrany osobních údajů představena
Ministerstvo vnitra ČR v září publikovalo návrh zákona, který nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Zákon je zajímavý především proto, že je „českou reakcí“ na GDPR tam, kde nařízení umožňuje národní odchylky či specifikace.
Návrh zákona však není pouze reakcí na GDPR. Jeho rozsahem větší část naopak implementuje směrnici EU upravující zpracování osobních údajů v souvislosti s vyšetřováním trestných činů a jejich předcházením. Samostatná část zákona se pak věnuje zpracování osobních údajů při zajišťování obrany a bezpečnosti státu.
Toto je výčet ustanovení reagujících na GDPR a jím danou možnost národní odchylky v příslušné legislativě:
- stanoví maximální pokuty pro orgány veřejné moci a veřejné subjekty na 10 miliónů korun
- obsahuje definice „veřejného subjektu“, který (vedle orgánu veřejné moci) musí jmenovat pověřence (DPO)
- věková hranice, kdy je potřeba souhlas zákonného zástupce dítěte při použití online služeb, snížena na 13 let (v GDPR 16 let)
- stanoví výjimky pro zpracování údajů k tzv. kompatibilním účelům a možnosti omezit práva subjektu údajů ve věcech veřejného zájmu
- poskytuje možnost informovat subjekty údajů zveřejněním informací na internetu, pokud je zpracování prováděno na základě zákona nebo ve veřejném zájmu
- poskytuje právo dané správcům oznamovat za určitých okolností opravy, omezení a likvidace osobních údajů příjemcům aktualizací výchozí evidence
- stanoví podmínky mlčenlivosti DPO o osobních údajích a bezpečnostních opatřeních
Návrh zákona nyní bude putovat do mezirezortního připomínkového řízení. Současně předložený text tak ještě může doznat řadu změn.
Monitorování komunikace zaměstnanců
Nedávné rozhodnutí Evropského soudu pro lidská práva (ESLP) přináší novinku do oblasti monitoringu aktivit zaměstnanců. ESLP ve svém nedávném rozhodnutí dovodil, že byla porušena práva zaměstnance v Rumunsku. Toho zaměstnavatel propustil, protože tento zaměstnance používal pracovní e-mail k soukromým účelům. Dle rozhodnutí soudu musejí zaměstnavatelé své zaměstnance vždy předem výslovně upozornit, že jejich elektronická korespondence (a jiná komunikace) bude hlídána. To se zřejmě v daném případě nestalo.
Rumunský inženýre Bogdan Mihai Barbulescu prostřednictvím chatovací služby Yahoo Messenger, do níž se přihlásil na přání a dle pokynů zaměstnavatele, vyřizoval dotazy zákazníků, ale psal si i se svou přítelkyní a bratrem o svém zdraví a sexuálním životě. Zaměstnavatel si zaměstnancovu korespondenci ukládal a shromáždil jí téměř na 50 stran. Interní pravidla zaměstnavatele přitom stanovila jasně, že je přísně zakázáno používat služební počítač k soukromým účelům. Následně zaměstnavatel se zaměstnancem ukončil pracovní poměr.
Zaměstnance si stěžoval na špehování ze strany zaměstnavatele a označil se za oběť porušení práva na soukromý život a korespondenci. Tato práva jsou zakotvena v Evropské úmluvě o lidských právech, přičemž právě ESLP bdí nad jejím dodržováním. Rumunský zaměstnanec žaloval nejprve bývalého zaměstnavatele u rumunských soudů. Tam ale nebyl úspěšný. Neúspěch se dostavil i zpočátku i u ESLP. Nicméně velký senát ESLP nedávno zrušil verdikt štrasburského soudu z loňského roku. Podle prvního rozhodnutí ESLP sice zaměstnavatel sledováním elektronické korespondence zasáhl do soukromí daného zaměstnance, ale šlo o přiměřený zásah za účelem přiměřené kontroly plnění pracovních povinností zaměstnance během pracovní doby. Soudci Velkého senátu ESLP však následně rozhodli, že rumunské soudy nedostatečně zvážily ochranu Barbulescuova práva na soukromí a nezajistily spravedlivou rovnováhu mezi oprávněnými zájmy zaměstnavatele na kontrolu zaměstnanců a na druhé straně zaměstnance na soukromý život. Sedmnáctičlenný senát ESLP, který v závažných kauzách vynáší konečné verdikty, k tomuto závěru dospěl poměrně přesvědčivě v poměru jedenáct ku šesti hlasů. ESLP tak judikoval, že pokud chce zaměstnavatel hlídat komunikaci svých zaměstnanců, musí o takovém monitorování a také o jeho rozsahu zaměstnance PŘEDEM informovat. Kromě toho k tomu dle ESLP musí mít vždy legitimní důvod. Z případného porušení potom musí zaměstnavatel vyvodit přiměřené důsledky, kterými je zdaleka ne vždy výpověď.
Rozsudek ESLP je sice adresován Rumunsku, ale přímý dopad má i na ostatních 46 členských zemí Rady Evropy (včetně České republiky). V obdobných případech bude totiž nutno mít toto rozhodnutí na zřeteli a zaměstnavatelé by si jej měli být vědomi při plánování svých monitorovacích aktivit.
Úřad na ochranu osobních údajů se „kaje“
22.10.2017
Nezařazené
No Comments
Jaroslav Tajbr
Vše začalo 21. listopadu 2011, kdy bylo v provozovně společnosti ekolo.cz s.r.o v Praze ukradeno elektrokolo. Při krádeži byl zachycen pachatel kamerovým systémem. Okradený poté sám zveřejnil snímek z kamerového záznamu na sociální síti Facebook s žádostí o jeho sdílení za účelem dopadení pachatele. A to skutečně pomohlo policii rychle nalézt ukradené zboží a zadržet pachatele. Kauza tím však neskončila. Z hlediska ochrany osobních údajů teprve v tomto momentu začala.
Na konci roku 2011 bylo (na podnět pachatele) zahájeno řízení u Úřadu na ochranu osobních údajů vůči společnosti ekolo právě kvůli zveřejnění snímku z kamer bez jeho předchozího souhlasu. Dalším skutkem, pro které´vedl úřad šetření bylo, že ekolo neoznámilo Úřadu svůj záměr zpracovávat osobní údaje pomocí CCTV (notifikační povinnost). A poté přišlo poměrně zajímavé rozhodnutí. Úřad uložil ekolu pokutu 5.000,- Kč a nahradit náklady řízení. Důvodem bylo právě to, že ekolo zveřejněním obrázků porušilo své povinnosti dané mu regulací ochrany dat.
Ekolo se s rozhodnutím nesmířilo a podalo proti němu tzv. rozklad, který předseda Úřadu dne 19.4.2012 zamítl.
Na podnět ekola následovalo řízení u Městského soudu v Praze, který přezkoumával rozhodnutí předsedy Úřadu. Ve svém rozsudku z 19.5.2015 soud rozhodnutí předsedy zrušil, protože zastával názor, že v rozhodnutích úřadu a jeho předsedy chybí řádné odůvodnění toho, proč zveřejnění představuje porušení povinnosti. Soud stanovil, že informace zachycené kamerovým systémem ekola jsou skutečně osobními údaji a že tyto údaje jsou společností ekolo zpracovávány. Zpracovávány jsou v nezbytném rozsahu za účelem ochrany majetku, což je za určitých podmínek legitimní účel pro zpracovávání údajů bez souhlasu subjektu údajů (zde pachatele krádeže). V tomto ohledu je nutné provést tzv. test proporcionality, který má zjistit, zda je narušení ochrany soukromí (pachatele) zveřejněním jeho obrázků v nepoměru k chráněnému zájmu správce (ekola). Soud tento test, který měl samozřejmě řádně provést již v první instanci úřad, provedl, a došel k závěru, že ochrana majetku má být v tomto případě postavena nad ochranu soukromí pachatele trestného činu. Úřadu se ale rozhodnutí nelíbilo, a rozsudek soudu napadl kasační stížností, ve které argumentoval, že pořízení fotek bez souhlasu pachatele je v pořádku, ale problém nastal v okamžiku zveřejnění fotografie na facebooku. Ke zveřejění dle názoru úřadu byla oprávněna jen policie.
Nejvyšší správní soud dal za pravdu městskému soudu v tom, že se jedná o zpracovávání osobních údajů. Jinak se ale trochu překvapivě ztotožnil s názorem úřadu a prohlásil, že účelem provozování kamerových systémů při ochraně majetku není pořizování záznamů pro jejich budoucí zveřejnění, ale pouze pro jejich eventuální předání vyšetřovacím orgánům. Ekolo tedy potřebovalo předchozí souhlas pachatele, pokud chtělo samo zveřejnit jeho osobní údaje. Tento závěr je z formálně-právního hlediska obhajitelný, z hlediska prosté logiky však diskutovatelný. Je jasné, že souhlas by v tomto případě správce získával jen velice obtížně a prakticky by to tedy znamenalo, že zveřejnit snímky nikdy nemůže.
Nejvyšší správní soud tímto rozhodnutí nevybočil z ustálené rozhodovací praxe. Ta vyplývala i z předchozích rozhodnutí Evropského soudu pro lidská práva a Ústavního soudu ČR Ekolo se však nehodlalo vzdát, protože tuto praxi považovalo za absurdní a podalo ústavní stížnost. Tu však Ústavní soud 5.9.2017 odmítl jako zjevně neopodstatněnou, neboť dle jeho názoru nebylo zasaženo do ústavně zaručených práv ekola. Soud opakoval svůj názor, že v podobných případech není nutné provádět test proporcionality. Není splněna podmínka nezbytnosti u užití prostředků k naplnění ochrany zájmů zpracovatele osobních údajů. Ústavní soud se totiž domníval, že cíle mohlo být stejně tak dobře dosaženo předáním snímku policii. O tomto závěru lze však vzhledem ke statistikám policejního vyšetřování podobných drobných krádeží dlouze diskutovat. Objevují se i „kacířské“ názory, že policie by nejspíš nevyšetřila nic. Tím se ovšem zdál být případ uzavřen. Právní veřejnost občas poukazovala na to, že v tomto případě stará latinská zásada Ex iniuria ius non oritur (tedy že z bezpráví právo vzniknout nemůže) dostala opět na frak.
V říjnu tohoto roku však přišlo překvapení. Nová předsedkyně úřadu na ochranu osobních údajů, která nastoupila do své funkce až po podání kasační stížnosti, apeluje na nutnost interpretace zákona v kontextu vnímání spravedlnosti ve společnosti. Úřad ujišťuje ve veřejném komuniké společnost, že se jeho rozhodovací praxi postupně vyvíjí a že by za současného vedení k uložení pokuty ekolu nedošlo. V tomto vyjádření úřad také proklamuje, že k pořizování, resp. zveřejnění záznamu není nutný souhlas osoby podezřelé z krádeže. To zní rozumně. Bohužel z výše uvedených rozhodnutí soudů všech stupňů vyplývá něco jiného. Lze tedy očekávat další případy podobné ekolu. Nezbývá než držet palce zdravému rozumu.