Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Citlivé údaje v nekomerčním sektoru

Církevní právnická osoba O. se začala v souvislosti s jinými vnitřními problémy podrobněji zabývat povinnostmi a právy vyplývajícími jí a jejím členům ze zákona o ochraně osobních údajů. Někteří její členové medializovali problém zpřístupnění údajů o více než tisíci členech dvěma dalším příjemcům, jiní se v téže věci obrátili s podnětem na Úřad. Na Úřad se dále obrátili jiní členové s obavami, že jednotliví členové O. zneužili členskou databázi a že členská evidence je vedena v rozporu se zákonem.

  • Souběžně s kontrolou podle zákona o ochraně osobních údajů prováděnou Úřadem se toutéž věcí zabývaly také orgány činné v trestním řízení. Kontrolou provedenou v I. pololetí roku 2005 bylo zjištěno, že O. osobní údaje svých členů zjišťuje, shromažďuje, zaznamenává na nosiče informací, uchovává a dále používá pro organizování vlastní činnosti a poskytování individuálních služeb členům. Při poskytování služeb členům a nebo v přímé souvislosti s nimi O. zjišťuje nebo vytváří o dotčených členech další osobní údaje. O. zpracovává osobní údaje členů v listinné podobě - shromažďuje, zpracovává a archivuje žádosti o přijetí za člena O. Žádosti obsahují osobní údaje žadatelů a jejich příbuzných a přílohy je dokumentující. Osobní údaje jsou zapisovány do paměťových médií automatizovaného informačního systému. Počínaje prvotním shromážděním údajů uchazeče o členství jsou zpracovávány údaje citlivé.
  • Žadatelé jsou informování, jaké osobní údaje mají poskytnout. Členové O. jsou informováni o osobních údajích potřebných pro poskytnutí některých služeb, např. sociálních. Členové nejsou informováni o dalším nakládání s osobními údaji. Osobní údaje členů byly v době kontroly veřejně dostupné na webových stránkách O. Tyto údaje bylo dále možné veřejně získat v článcích měsíčníku R. Ten v listinné podobě uvádí také jména a příjmení členů O., kteří se dožívají životního jubilea. Měsíčník je distribuován třetí osobou k volnému prodeji do několika knihkupectví v P. a předplatitelům; dostupný je rovněž na webových stránkách O.
  • Zpracování osobních údajů a případně jiné nakládání s nimi je vnitřními předpisy O. upraveno jen zčásti; jiné dokumenty způsobilé plnit stejnou funkci mají fragmentární povahu a určení. Přijatým Opatřením předsedy k ochraně osobních údajů se O. nikdy důsledně neřídila. Za hlavní věcný důvod tohoto stavu je třeba považovat, že vnitřní předpis neodpovídá potřebám a organizaci činnosti O.
  • O. nemá povinnost prokázat výslovný souhlas podle ustanovení § 9 písm. a) zákona o ochraně osobních údajů; postup při zpracování se řídí primárně ustanovením § 9 písm. e). Ustanovení pod písm. e) se použije proto, že na O. se pohlíží jako na subjekt splňující podmínky tohoto ustanovení. O. porušila povinnost vyplývající jí z tohoto ustanovení tím, že osobní údaje byly nejméně ve dvou případech v roce 2004 zpřístupněny jinému příjemci bez souhlasu subjektu údajů. Skutečnost, že O. zpracovává údaje některých členů také podle dalších ustanovení § 9 zákona o ochraně osobních údajů, např. podle písm. c), nemá vliv na porušení povinnosti podle písm. e); ve zpracování prováděném podle těchto (jiných ustanovení) nebyly zjištěny známky porušení povinnosti. Právní úprava povinnosti platná ke dni zahájení kontroly se použila proto, že je to pro O. příznivější a s přihlédnutím ke skutečnosti, že podle úpravy účinné do 25. července 20041 měla O. navíc povinnost podle § 9 písm. a), kterou neplnila.Povinnosti podle ustanovení § 9 písm. e) zákona o ochraně osobních údajů v platném znění O. dále opakovaně porušila tím, že vybrané osobní údaje členů zveřejňovala a neprokázala souhlas dotčených členů O. se zveřejněním nebo zveřejňováním.
  • O. předala v létě roku 2004 osobní údaje všech členů společnosti D.; smluvní dokumenty v této věci jsou psány natolik obecně, že operace prováděné s osobními údaji nepojmenovávají a nevymezují. Rozsah, v němž s osobními údaji D. nakládala, se kontrolou nepodařilo zjistit, neboť pro to celým průběhem smluvní spolupráce nebyly vytvořeny podmínky. Nebylo zjištěno, že by subjekty údajů, s výjimkou předsedy a zaměstnanců O., podílejících se na zajištění smluvní spolupráce, s předáním souhlasily, nebo byly o něm informovány. V rámci forenzního auditu, prováděného pro O. byl společnosti E. poskytnut otisk serveru a počítače ekonoma O. Součástí otisku byla i databáze členské evidence O. Smlouva a přílohy k ní operace prováděné s osobními údaji členů O. nepojmenovávají a nevymezují, a to ani na úrovni operace nadřízené, tj. pořízení otisku paměťového média. Rovněž u E. nebylo zjištěno, že by subjekty údajů s předáním souhlasily, nebo byly o něm informovány. O předání osobních údajů, k němuž neobdržel pokyn nebo přivolení orgánů O. nebo dotčených subjektů údajů, rozhodl předseda O. Na realizaci rozhodnutí se podílely další osoby.
  • To, že nebyl zjištěn dokument, jímž by členové O., jejichž osobní údaje byly předány D. a E., byli o tomto předání předem informováni, je porušením povinnosti O. podle ustanovení § 11 odst. 1 informovat při shromažďování osobních údajů subjekt údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny. Tyto informace nejsou prokazatelně subjektu předem, tj. již známy. O. dále porušila povinnost podle § 11 odst. 1 tím, že uchazeče o členství a členy neinformovala o právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21. Zde posuzované povinnosti podle § 11 O. porušila podle právní úpravy platné ke dni předání osobních údajů jiným příjemcům, tj. podle zákona o ochraně osobních údajů, ve znění zákona č. 177/2001 Sb.; povinnosti byly upraveny ustanoveními odst. 1 až 3 a odst. 5 se stejným dosahem jako znění povinnosti podle úpravy platné ke dni zahájení kontroly.Povinnosti podle ustanovení § 11 odst. 1 a 2 zákona o ochraně osobních údajů v platném znění O. nadále porušovala po celou dobu trvání kontroly: poněvadž O. zpracovává osobní údaje získané od subjektu údajů, musí své členy (uchazeče o členství) poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Členům O. nebyly poskytnuty informace a poučení vyžadované zákonem. Nebylo doloženo ani poskytování požadovaných informací a poučení uchazečům o členství, resp. nově přijímaným členům, přičemž za plnění by byly považovány i dokumenty těmto subjektům údajů určené. Užívané formuláře obsahují pouze informace o tom, kdo bude osobní údaje zpracovávat.Povinnosti podle ustanovení § 11 odst. 1 a 2 zákona o ochraně osobních údajů v platném znění O. neporušila tím, že vybrané osobní údaje členů zveřejňovala výše popsanými způsoby a formami.
  • Tím, že osobní údaje členů opakovaně poskytla z vlastního rozhodnutí jiným příjemcům, porušila O. povinnost dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů podle § 10 zákona o ochraně osobních údajů. Zasahováním do soukromého a osobního života členů O., jejichž osobní údaje byly předány třetí osobě bez vědomí a souhlasu subjektu údajů, je samotné zpracování spočívající v souboru operací provedených k přípravě a zahrnující i vlastní předání za účelem úpravy a použití souboru osobních údajů, sloužících k zasílání poštovních zásilek na soukromé doručovací adresy jednotlivých členů. Toto zasahování je neoprávněné, neboť nebyly předem splněny podmínky stanovené zákonem o ochraně osobních údajů v ustanoveních § 9 písm. e) a § 11 odst. 1 věty prvé.
  • V případě příjemce D. byly osobní údaje členů předány subjektu, jehož přinejmenším část dotčených subjektů údajů vnímala jako riziko s ohledem na skutečnost, že jednatel společnosti pan M. D. je evidován jako spolupracovník Státní bezpečnosti Ministerstvem vnitra. Tato skutečnost je pro posouzení povinnosti O. doplňková a bylo k ní přihlédnuto jako k významné okolnosti. Rozhodné je, že neoprávněným zasahováním do soukromého a osobního života subjektu je samotné zpracování osobních údajů.
  • Bylo třeba zabývat se rovněž tím, zda předání osobních údajů není porušením povinnosti O. podle ustanovení § 5 odst. 1 písm. f) zákona o ochraně osobních údajů. Osobní údaje byly příjemci E. předány jako součást řízení O. jako ekonomického subjektu; to není samo o sobě účelem zpracování osobních údajů. Účinek, jehož mělo být předáním osobních údajů dosaženo, bylo dokumentování okamžitého stavu elektronických dokumentů uložených na kopírovaném paměťovém médiu a zahrnutí databáze členů bylo mimoděčným účinkem (důsledkem). Příjemci D. byly osobní údaje předány za účelem získání odborné služby usnadňující fungování O. směrem k vlastním členům v tom, že součástí každé poštovní zásilky bude adresné oslovení jejího příjemce. To je soubor operací provedený s osobními údaji členů k témuž účelu, k němuž byly osobní údaje od subjektů údajů shromážděny. Tento soubor operací byl proveden, aniž byly splněny všechny podmínky, které pro ně zákon o ochraně osobních údajů stanoví. Předání osobních údajů proto není ani v jednom případě zpracováním těchto údajů k jinému účelu.
  • O. nemá povinnost podle § 16 odst. 1 zákona o ochraně osobních údajů, vztahuje se na ni výjimka podle § 18 odst. 1 písm. c) tohoto zákona. Porušení povinnosti zpřístupňovat osobní údaje se souhlasem subjektu údajů nezakládá povinnost oznámit zpracování Úřadu; O. nemůže osobní údaje členů dále zpřístupňovat, aniž k tomu získala předem souhlas dotčených členů.
  • Tím, že rozhodl o předání osobních údajů jiným příjemcům, aniž k tomu obdržel pokyn nebo přivolení orgánů O. nebo dotčených subjektů údajů, neporušil Ing. T. J. svoji povinnost podle ustanovení § 14 zákona o ochraně osobních údajů. Rozhodování o těchto úkonech s osobními údaji členů si nevyhradil žádný kolektivní orgán O.; Ing. T. J. jako předseda nepřekročil své pravomoci. Rovněž postup dalších osob není porušením jejich povinnosti podle § 14; jako zaměstnanci O. postupovali podle pokynů předsedy.
  • Ing. T. J. přicházel v rámci plnění zákonem stanovených oprávnění a povinností u O. do styku s osobními údaji členů. Rozhodnout o předání souboru osobních údajů jinému příjemci a vydat pokyny k zajištění výkonu takového rozhodnutí je zpřístupněním osobních údajů. Rozhodnutí předat osobní údaje členů O. jiným příjemcům následované pokyny k provedení potřebných úkonů a operací s osobními údaji zaměstnancům O. je proto porušením individuální povinnosti mlčenlivosti předsedy O. o osobních údajích a o bezpečnostních opatřeních podle ustanovení § 15 odst. 1 zákona o ochraně osobních údajů. K posouzení bylo podpůrně použito ustanovení § 178 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, v tom, že porušením povinnosti je úkon zpřístupnění. Zákonem, který předsedovi O. stanoví oprávnění a povinnosti, je zákon č. 3/2002 Sb., o svobodě náboženského vyznání a postavení církví a náboženských společností a o změně některých zákonů (zákon o církvích a náboženských společnostech), ve znění zákona č. 4/2003 Sb. a zákona č. 562/2004 Sb. Postup dalších osob není porušením povinnosti mlčenlivosti podle § 15 odst. 1 zákona o ochraně osobních údajů, neboť postupovaly podle pokynů nadřízeného, o nichž jim mělo být známo, že jsou v jeho pravomoci.
  • Zjištěné porušení zákona o ochraně osobních údajů je spojeno se zásahem do práv, které tento zákon přiznává subjektu údajů. Počínáním O. bylo dotčeno právo subjektu údajů, aby O. prováděla určité zpracování osobních údajů pouze s jeho souhlasem. V zákoně o ochraně osobních údajů tomuto právu odpovídá stanovení povinnosti subjektu odpovědného za zpracování. Totéž platí pro právo člena O. být jako subjekt údajů informován o zamýšleném zpracování podle ustanovení § 11 odst. 1 zákona o ochraně osobních údajů. Povinnosti O. s těmito právy spojené byly porušeny. O. o kontrolních zjištěních své členy informovala a opatření k odstranění nedostatků začala přijímat ještě v průběhu kontroly.

    1 § 9 zákona o ochraně osobních údajů, ve znění zákona č. 177/2001 Sb.