Nový zákon o ochraně osobních údajů 
Ochrání nás nový zákon? (1)
Od 1. června 2000 začíná platit nový Zákon o ochraně osobních údajů a o změně některých zákonů č. 101/2000 Sb., který nahrazuje dosavadní zákon č. 256/1992 Sb. Tento zákon se nedávno stal předmětem rozporů mezi Senátem a Poslaneckou sněmovnou, přičemž – bohužel – nebyly schváleny pozměňovací návrhy Senátu, které odstraňovaly nedostatky a chyby tohoto zákona. Zákon nicméně tak, jak je, vstupuje v platnost, a je proto třeba se na něj připravit.

Řekněme rovnou, že jde o zákon moderní, protože reaguje na poslední platnou Směrnici EU 96/45 Evropského parlamentu a Rady Evropy z roku 1995 o ochraně  jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále také jen "Směrnice") a na Úmluvu č. 108 Rady Evropy o ochraně osob ve vztahu k automatizovanému zpracování dat (která je z roku 1981, ale k níž jsme rovněž přistoupili nedávno).

Nové definice pojmů
Podívejme se v připojené tabulce nejprve na základní pojmy podle tohoto nového zákona a srovnejme je se zákonem předcházejícím.
Při formulování základních pojmů bylo přihlédnuto k požadavkům vzneseným experty Rady Evropy, kteří kritizovali jejich nepřesné vymezení ve stávající úpravě, stejně jako již dříve jiní odborníci; ostatně psali jsme o tom už dávno i v Chipu (1/97). Návrh již nepoužívá pojem "informace", nýbrž osobní údaj, jímž rozumí každý údaj, který se týká určeného nebo určitelného subjektu údajů – to nastane, lze-li na základě jednoho či více osobních údajů o subjektu zjistit jeho identitu, a to i nepřímo (např. spojením fotografie, jména a příjmení nebo rodného čísla se jménem a příjmením). 
Podle názoru většiny expertů konkrétní osobu jednoznačně identifikuje především trojice údajů: jméno – příjmení – datum narození nebo rodné číslo. Setkal jsem se s námitkou, že se jedná o kruhovou definici, ale není tomu tak: podstata je právě v oné určitelnosti. (Proto také například e-mailovou adresu zatím nepovažujeme za osobní údaj, pokud se vyskytuje sama o sobě. Ale zdůrazňuji slůvko zatím.) 
Nový zákon neobsahuje definici informačního systému, a to proto, aby nedocházelo k diskusím, zda se při zpracování jedná, či nejedná o informační systém. Zákon je již koncipován tak, že zahrnuje jak automatizované zpracování (aniž záleží na tom, zda výsledkem je soubor dat), tak neautomatizované (tj. manuální) soubory dat.

Koho se zákon týká
Ochrana podle tohoto zákona se týká výlučně fyzických osob, a nikoli také osob právnických, jak bylo v průběhu příprav návrhu prosazováno. Tato konstrukce byla zvolena vzhledem k tomu, že pouze u fyzických osob lze hovořit o osobních údajích a že ochrana právnických osob je zakotvena v jiných právních normách – od obecných, jako jsou ObčZ a ObchZ, po speciální právní úpravy. (Neznamená to ovšem, že v údajích o právnické osobě – např. o jejích statutárních představitelích – se neocitnou osobní data fyzických osob chráněná podle tohoto zákona.)
Naopak z hlediska působnosti se zákon vztahuje na veškeré subjekty – fyzické i právnické osoby – ať vykonávají veřejnou moc, nebo se jedná o subjekty soukromoprávní – viz ustanovení § 3.
Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.
Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně, nebo jinými prostředky.
Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.
Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.
Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony.
Bohužel – a to musím konstatovat bez okolků – zákon obsahuje v navazujícím odst. 6 téhož ustanovení výjimky, na základě kterých se pravděpodobně nejdůležitější okruhy osobních údajů vedených státem o jeho občanech vymykají reálné kontrole. To byl také důvod největšího odporu v řadách senátorů – jejich nejpodstatnější pozměňovací návrhy chtěly proto odstranit nevyváženost zákona, spočívající v tom, že velmi přísně chrání občana před zneužitím údajů, které shromažďují soukromé a komerční subjekty, přitom ale dostatečně nechrání před neoprávněným nakládáním s daty ze strany státu (zejména jeho represivního a bezpečnostního aparátu). 
Zákon totiž poskytuje celou řadu výjimek z registrační, ohlašovací a dozorové pravomoci úřadu, což je podle senátorů oprávněné maximálně u zpravodajských služeb, ne však u Policie ČR či Národního bezpečnostního úřadu či Ministerstva financí ČR v rámci finančně analytické činnosti. Přitom v zemích EU je snaha, aby provozování evidencí policií a obdobnými státními orgány podléhalo rovněž kontrole.
Zde se poslanci stali obětí velmi masivně fungující lobby úředníků z některých státních orgánů, a to především z tzv. silových a vlivných resortů – Ministerstva vnitra ČR, Ministerstva financí ČR a zpravodajských služeb, které účelově zkreslovaly důsledky zákona, pokud by dozoru podléhaly i evidence těchto institucí. Jestliže odst. 7 § 3 říká, že "ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů" výše uvedenými institucemi, znamená to, že: 
* nejsou stanoveny povinnosti správců těchto evidencí (§ 5);
* nevztahují se na ně velmi důležitá ustanovení o zpracování citlivých údajů (§ 9);
* správce není povinen subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny (§ 11) – toto ustanovení bylo oporou pro zmíněné tlaky, přitom s vaničkou bylo vylito i dítě, protože pokud by byly současně novelizovány speciální zákony o policii nebo o praní špinavých peněz, nic by nebránilo v jednotlivých případech tuto povinnost vypustit;
* nevztahuje se na ně ani oznamovací povinnost o zpracování dat vůči Úřadu pro ochranu osobních údajů (§ 16);
* nepodléhají ani právní úpravě o předávání osobních údajů do jiných států (§ 27).
Účelové námitky se opíraly především o argument, že by např. Policie ČR musela sdělovat stěžovatelům, jaké o nich sbírá údaje, a že by dozorový úřad mohl do dat a příslušných činností Policie ČR zasahovat. Není to pravda, protože dozorový úřad nezjišťuje, jaké údaje vede např. daný resort o konkrétní osobě, ale jeho úkolem je dohlížet na to, jaké informační systémy tento resort provozuje, jaké typy údajů jsou zpracovávány, jak zabezpečené informační systémy daný resort provozuje, tj. jak je naplněna dikce platných odpovídajících předpisů při návrhu, řešení a provozování informačních systémů ve vztahu k ochraně zpracovávaných osobních údajů.
Osobně považuji tyto výjimky za skandální – stejně jako skutečnost, že stanovisko Senátu, který zvláštním usnesením vládě sdělil, že "Senát žádá vládu ČR, aby zabezpečila urychlené vypracování návrhů zákona stanovícího zvláštní pravidla, podle kterých by Policie ČR uskutečňovala zpracování osobních údajů při odhalování trestných činů, tzv. kriminalistické evidence, a tím odstranila velmi nežádoucí absenci právní regulace, která má být umožněna problematickým vynětím předmětného druhu zpracování z působnosti klíčových ustanovení zákona o ochraně osobních údajů. Upozorňuje, že obdobná legislativní opatření je ze stejného důvodu potřebné učinit rovněž ve vztahu ke zpracování osobních údajů, uskutečňovanému některými dalšími složkami bezpečnostního charakteru, a že uvedený nedostatek přiměřené právní regulace zpracování osobních údajů v oblasti policejního a obdobného sledování osob by znamenal, že právní úprava ochrany osobních údajů není v ČR dokončena.", bohužel zůstalo zcela oslyšeno.

Citlivé údaje
Zákon uvádí rovněž podmínky pro zpracovávání tzv. citlivých údajů. Citlivým údajem je podle platného znění zákona osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. 
Oproti původnímu návrhu zákona vypadly údaje o majetku osob, což by zdánlivě mělo opodstatnění, neboť "majetek" není ve Směrnici 95/46/EC zařazen. Naše zákonná úprava ale může být – a podle mého názoru by být měla – přísnější; zařazení "majetku" mezi chráněné údaje (alespoň po přechodnou dobu, např. do doby vstupu do EU) vzhledem ke specifikám českého prostředí a vysoké možnosti zneužitelnosti je jistě hodno doporučení. 
Mezi citlivé osobní údaje není nakonec zařazeno ani uvažované "genetické vybavení", natož navrhované širší doplnění textem "Citlivým údajem je dále biometrický a genetický údaj umožňující jednoznačnou identifikaci osoby a údaj pro vytvoření elektronického podpisu podle zvláštního předpisu." (Ani navržený výraz "genetické vybavení" se mi moc nelíbil, protože zatímco vybavením bych nazval např. velikost dámského poprsí, genetickými údaji je zřejmě vzorec DNA.) Je to ale škoda, zejména vzhledem k existenci daktyloskopického informačního systému AFIS obsahujícího otisky prstů cca 330 tisíc osob, vzhledem k připravovanému záměru vybudovat "Národní databázi DNA" a k očekávanému přijetí zákona o elektronickém podpisu. 
Podmínkou ke zpracování těchto údajů je buď souhlas subjektu údajů, nebo zájem na ochraně jeho života, zdraví či jiných důležitých hodnot, a konečně pokud tak stanoví zákon (např. pro účely sociálního zabezpečení). Opět platí, že souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. 
Správce je povinen předem subjekt údajů o jeho právech poučit. Souhlas subjektu musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán. Pokud jde o zpracování citlivých údajů v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku a souhlas není možné získat (např. od osoby v bezvědomí po úrazu), správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas. 
A samozřejmě: souhlas subjektu může být nahrazen zvláštním zákonem. Tedy opět stručně: u citlivých údajů lze osobní data zpracovávat jen se souhlasem subjektu nebo na základě zákona, bez souhlasu pouze dočasně pro ochranu dotčené osoby.
Kromě toho platí obecné ustanovení (které má návaznost na ústavu a Listinu základních práv a svobod), že při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. To se vztahuje na všechny správce – ale řekněme si objektivně: kde není žalobce, není ani soudce. Pokud totiž v případech podléhajících výjimkám dozorový úřad nebude o evidenci vůbec vědět (§ 16) a nic nebude tušit ani dotčená osoba (§ 11), pak jde o ustanovení značně proklamativní (a nesankcionovatelné).
(Pokračování příště)
Vladimír Smejkal
 6/00: 614-PARAGRAF (Au.Smejkal - 6.59 n.str., 2639.11 Kč) Strana: 3

3