Zpracování osobních údajů při vstupu do objektu
Přestože zákon o ochraně osobních údajů je účinný od 1. 6. 2000 a v roce 2004 vydal Úřad stanovisko č. 1/2004 k evidenci při vstupech do budov, nadále dochází v mnoha případech k porušení uvedeného zákona.
Na základě stížnosti byla v roce 2005 provedena kontrola společnosti, která při vstupu do objektu vedla evidenci návštěvníků u hostů v objektu společnosti. Z podnětu zaslaného Úřadu bylo indikováno podezření na neoprávněné shromažďování a zpracování osobních údajů návštěvníků ubytovaných hostů při vstupu do hotelu.
Předmět kontroly byl zaměřen na dodržování povinností stanovených zákonem o ochraně osobních údajů při zpracování osobních údajů návštěvníků hotelu.
Činnost kontrolované společnosti jako správce osobních údajů poskytující ubytovací služby ve smyslu § 4 písm. j) zákona o ochraně osobních údajů v souvislosti s návštěvami ubytovaných hostů a pořizování záznamů o návštěvnících nejsou upraveny žádným zvláštním předpisem, a proto je v daném případě nutno aplikovat příslušná ustanovení zákona o ochraně osobních údajů.
Zaměstnanci společnosti při výkonu zaměstnání recepčního hotelu pořizovali kopie osobních dokladů (občanských průkazů, případně cestovních pasů) návštěvníků ubytovaných hostů na recepci hotelu bez jejich souhlasu.
Pořízením kopie občanského průkazu nebo cestovního pasu se společnost dopustila porušení několika právních předpisů (zákona o občanských průkazech, zákona o evidenci obyvatel a o rodném čísle a zákona o ochraně osobních údajů).
Nabytím účinnosti novelizovaných ustanovení zákona o občanských průkazech a zákona o cestovních dokladech platí obecně zásada, že pořizování kopie občanského průkazu nebo cestovního dokladu je zakázáno. Z této zásady platí dvě výjimky, a to v případě souhlasu občana s pořízením kopie občanského průkazu nebo stanoví-li tak zvláštní právní předpis nebo mezinárodní smlouva, kterou je Česká republika vázána.
V případě, že občan-držitel osobního dokladu vyjádří souhlas s pořízením kopie osobního dokladu, je nezbytné, aby subjekt, který hodlá kopírovat předložený osobní doklad dodržel povinnosti správce při zpracování osobních údajů z tohoto dokladu. Ustanovení § 4 písm. n) zákona o ochraně osobních údajů obsahuje definici pojmu souhlas subjektu údajů, podle kterého se má jednat o „svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů“. Z § 5 odst. 4 zákona dále vyplývá, které podmínky musí být při udělení souhlasu splněny: „Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období“. Souhlas subjektu údajů se zpracováním osobních údajů musí správce prokázat po celou dobu zpracování.
Společnost pořizovala fotokopie průkazů totožnosti návštěvníků hostů bez jejich souhlasu a neprokázala poskytnutí souhlasu dotčených osob dostupnými prostředky po dobu zpracování osobních údajů. Jako na správce osobních údajů se na společnost vztahují veškeré povinnosti stanovené zákonem o ochraně osobních údajů, tedy i povinnost vyjádřená v § 5 odst. 2 zákona, zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu lze osobní údaje zpracovávat jen v případech vymezených v § 5 odst. 2 písm. a) až g) uvedeného zákona, z nichž žádný se na kontrolovanou společnost při zpracování osobních údajů prováděné nevztahuje. Ustanovení § 5 odst. 2 písm. e) zákona o ochraně osobních údajů připouští zpracování osobních údajů správcem bez souhlasu subjektu údajů, pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce osobních údajů, avšak v uvedeném případě je třeba zpracovávat nezbytný rozsah osobních údajů, jako např. jméno, příjmení a číslo dokladu. Zpracování osobních údajů nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.
Společnost jako správce je podle § 5 odst. 1 písm. d) citovaného zákona povinna shromažďovat osobní údaje pouze v rozsahu nezbytném pro naplnění jím stanoveného účelu, tj. ochrany hostů, jejich majetku a návštěv, a proto by zcela postačilo při uvedené činnosti zpracování osobních údajů v rozsahu jméno, příjmení a číslo osobního dokladu. Tím, že společnost od roku 2000 do roku 2004 shromažďovala fotokopie osobních dokladů, s uvedením příjmení navštěvovaného hosta, resp. čísla jeho pokoje, zpracovávala nadbytečné osobní údaje, neboť pořízením kopie celého osobního dokladu dochází i ke zpracování dalších osobních údajů, které jsou zachyceny v osobním dokladu a současně nejsou z hlediska účelu zpracování údaji nezbytnými.
Součástí obsahu průkazu totožnosti je i rodné číslo. To přináší při využívání v soukromoprávní oblasti tentýž rozsah informací jako datum narození ve spojení se jménem a příjmením dané osoby, přičemž se však jedná o identifikátor, který je primárně určen pro využívání v rámci veřejné správy, kde umožňuje získat z úředních evidencí o jeho nositeli značný rozsah informací, často i citlivého charakteru. Využití rodného čísla pro běžnou identifikaci osob tak výrazně zvyšuje riziko zásahu do soukromí osob v případě zneužití zpracovávaných osobních údajů. Rodné číslo současně požívá zvláštní právní ochrany podle zákona o evidenci obyvatel. Ustanovení § 13c odst. 1 písm. a) a b) tohoto zákona taxativně vymezuje podmínky, za nichž je možno využívat rodné číslo. V ostatních případech musí být aplikován § 13c odst. 1 písm. c) zákona o evidenci obyvatel, tj. je třeba souhlas nositele rodného čísla, případně jeho zákonného zástupce. Úřad s ohledem na výše uvedené považoval zpracování rodného čísla za překročení nezbytně nutného rozsahu zpracování osobních údajů, které neodpovídá stanovenému rozsahu a účelu zpracování.
Další povinností kontrolované společnosti v souvislosti se zpracováním osobních údajů návštěvníků ubytovaných hostů k předmětnému účelu byla i povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná pro naplnění účelu jejich zpracování, jak stanoví § 5 odst. 1 písm. e) zákona o ochraně osobních údajů. Vzhledem k tomu, že správce neprováděl likvidaci shromážděných osobních údajů obsažených ve fotokopiích osobních dokladů, uchovával všechny osobní údaje získané za celou dobu této protiprávní činnosti. Uchování osobních údajů na pořízených fotokopiích po takovou dobu, tedy od roku 2000 do roku 2004, bylo nutno hodnotit jako zpracování osobních údajů po dobu delší než nezbytnou pro naplnění daného, tj. samotným správcem stanoveného účelu zpracování.
V důsledku výše uvedených porušení zákona o ochraně osobních údajů bylo nezbytné přijmout opatření i s uložením likvidace neoprávněně shromážděných a zpracovávaných osobních údajů návštěvníků a kontrolované společnosti byla uložena sankce. Kontrolou nebylo zjištěno zneužití zpracovávaných osobních údajů.