Kontrola společnosti ZnanyLekarz
15. července 2013
Předmětem kontroly bylo dodržování povinností správce osobních údajů stanovených zákonem č. 101/2000 Sb., se zaměřením na zpracování osobních údajů subjektů údajů, zveřejňovaných na webových stránkách www.znamylekar.cz, provozovaných společností ZnanyLekarz Sp.z.o.o. (dále jen „Společnost“), se sídlem v Polské republice.
Společnost tím, že zpřístupňuje na i území České republiky osobní údaje, které se týkají konkrétních osob, které vykonávají svoji činnost na území České republiky, zpracovává osobní údaje na území České republiky. Úřad pro ochranu osobních údajů České republiky je věcně a místně příslušný k výkonu dozoru nad zpracováním osobních údajů, ke kterému dochází na území České republiky.
Na Úřad se začali obracet čeští lékaři a další zdravotničtí pracovníci (dále jen „zdravotničtí pracovníci“) s tím, že Společnost zveřejňuje na webových stránkách www.znamylekar.cz jejich osobní údaje jak v „Základním profilu“ zdravotnického pracovníka, tak zejména v části „Názory a informace“ (diskusní fórum), a to bez jejich souhlasu. Dále uváděli, že Společnost na jejich výzvy k odstranění jejich osobních údajů nereaguje. Úřad na základě těchto stížností zahájil kontrolu Společnosti.
V průběhu kontroly bylo zjištěno, že provozovatelem webových stránek a tedy správcem osobních údajů, zveřejňovaných na uvedených stránkách, je výše uvedená polská společnost a servery na nichž jsou data uložena, jsou umístěny ve Francii. Osobní údaje zdravotnických pracovníků může na webové stránky vložit jakýkoliv Uživatel, který se u Společnosti zaregistruje, stejně tak může vkládat příspěvky a hodnocení k práci konkrétního pracovníka v části „Názory a informace“ (diskusní fórum). Zaregistrovat se může u Společnosti i zdravotnický pracovník a tak vytvořit svůj ověřený profil. Bez provedení registrace je mu však znemožněno jakýmkoliv způsobem reagovat na příspěvky, které k jeho profilu vkládají ostatní Uživatelé, ač to provozovatel stránek ve svých podmínkách garantuje.
Inspektorka Úřadu provedla právní posouzení zpracování osobních údajů zdravotnických pracovníků na webových stránkách www.znamylekar.cz, přičemž vycházela z dokumentů, které Společnost sama zveřejňuje na svých webových stránkách, v nichž stanovuje pravidla pro zpracování osobních údajů.
Společnost zpracováním (zveřejněním) osobních údajů zdravotnických pracovníků v části „Základní profil“ na www.znamylekar.cz, neporušuje zákon č. 101/2000 Sb., neboť jejich osobní údaje mohou být zpracovávány (zveřejněny) bez jejich souhlasu na základě výjimky v ustanovení § 5 odst. 2 písm. d) zákona č. 101/20000 Sb., jelikož jejich osobní údaje získává Společnost z veřejných zdrojů, tedy např. z databáze lékařů zveřejněné na webových stránkách Ústavu zdravotnických informací a statistiky.
Osobní údaje zdravotnických pracovníků, které jsou zveřejňovány v části „Názory a informace“ (diskusní fórum) u nichž Společnost nedisponuje platnou registrací, jsou Společností zveřejňovány bez jejich souhlasu, tedy v rozporu s ustanovením § 5 odst. 2 zákona č. 101/2000 Sb.
Dle zjištění kontrolující inspektorky ve čtyřech konkrétních případech zdravotničtí pracovníci provedli registraci u Společnosti a na www.znamylekar.cz jsou zveřejňovány jejich osobní údaje v rámci tzv. „Ověřeného profilu“. Tito zdravotničtí pracovníci tedy svou registrací poskytli Společnosti souhlas se zpracováním svých osobních údajů na www.znamylekar.cz, resp. souhlasili s podmínkami uvedenými v dokumentech Společnosti. Následně však všichni čtyři souhlas se zpracováním svých osobních údajů písemně odvolali a toto své rozhodnutí předali písemně Společnosti a dle podmínek Společnosti žádali o odstranění záznamů z databáze. Deklarování nesouhlasu se zveřejněním svých osobních údajů, včetně žádosti o odstranění záznamů z databáze je považován za odvolání souhlasu se zpracováním jejich osobních údajů a Společnost ZnanyLekarz Sp.z.o.o. je povinna jejich osobní údaje odstranit., nejen podle zákona, ale i podle vlastních podmínek Společnosti, které deklaruje.
Kontrolující inspektorka navíc konstatovala, že pokud se Společnost, jako poskytovatel elektronických služeb dozví o zřejmě protiprávní povaze některé z uložených informací, je povinna tuto situaci řešit a to, jak vyplývá z § 5 odst. 1 písm. b) zákona č. 480/2004 Sb., o některých službách informační společnosti, v platném znění, neprodleně. Konkrétně musí učinit veškeré kroky, které lze po ní požadovat, k odstranění nebo znepřístupnění takovýchto informací. V každém případě, kdy je poskytovatel věrohodně na možný protiprávní charakter uložených informací upozorněn, je povinen tyto alespoň znepřístupnit, tedy blokovat přístup k nim pro všechny uživatele, a přezkoumat jejich obsah a námitky proti jejich zveřejnění. Jestliže námitky posoudí jako důvodné či prokazatelné, je povinen dané informace zlikvidovat. Jedinou výjimkou, kdy je provozovatel oprávněn předmětné informace uchovat, nicméně vždy tak, aby nebyly veřejně dosažitelné, je situace, kdy bude provozovatel chtít využít tyto informace pro ochranu svých práv a právem chráněných zájmů v navazujícím řízení. Může se jednat například o uchování údajů pro potřeby orgánů činných v trestním řízení v případě podezření ze spáchání trestného činu, o soudní spor v případě řízení o náhradě škody atd.
Pokud má zdravotnický pracovník zájem řešit věc soudní cestou i po odstranění údajů, a tak mít možnost prokázat, že zveřejněné údaje, které vložil k jeho profilu jiný Uživatel, byly nezákonné povahy a že jejich zveřejněním došlo k porušení osobnostních práv, je Společnost povinna zajistit vedení přesných údajů registrovaných osob (Uživatelů), tak, aby takové údaje pro uplatnění občansko-právní žaloby zdravotnickému pracovníkovi na jeho žádost předala.
Kontrolující inspektorka zároveň stanovila Společnosti opatření k nápravě, a to nezpracovávat na webových stránkách www.znamylekar.cz osobní údaje zdravotnických pracovníků bez jejich souhlasu a zlikvidovat osobní údaje zdravotnických pracovníků zveřejněné na www.znamylekar.cz (tj. osobní údaje zdravotnických pracovníků, kteří podali k Úřadu v uvedené věci stížnost a jejichž údaje jsou uvedeny v kontrolním protokolu), s termínem ihned.
Problematika uplatnění práva na ochranu soukromého a rodinného života, v případě, že se provozovatel webového portálu odvolává na právo na svobodu slova a právo na zveřejňování názoru třetích osob a přitom se jak provozovatel, tak autor příspěvku schovává za anonymitu internetu, je sice komplikovaná, ale její řešení není nemožné.
Doplňující zpráva k závěrům kontroly společnosti ZnanyLekarz Sp.z.o.o, provozující webové stránky www.znamylekar.cz
10. září 2013
Úřad pro ochranu osobních údajů (dále jen „Úřad“) v rámci kontroly ve společnosti ZnanyLekarz Sp.z.o.o., se sídlem v Polské republice provedl v kontrolním protokolu jak právní hodnocení týkající se provozu webových stránek www.znamylekar.cz, současně však, i přes omezená oprávnění Úřadu, uložil této společnosti příslušná opatření k nápravě nelegálního stavu.
Společnost ZnanyLekarz Sp.z.o.o. se ve svém písemném vyjádření, které Úřad obdržel, odvolává na jurisdikci polského úřadu pro ochranu osobních údajů (GIODO) s tím, že tento shledal, že databáze, které společnost spravuje, jsou hlášeny úřadu GIODO a kontrola, kterou GIODO provedl, prokázala, že údaje, jež společnost spravuje, jsou zpracovávány náležitě a v souladu s právem. Dle sdělení společnosti byly osobní údaje získány z internetu, kde jsou všeobecně dostupné. Dle názoru společnosti nelze sdělovací prostředek, jako internet, teritoriálně omezovat.
S ohledem na skutečnost, že Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném zákonem o ochraně osobních údajů v České republice, Úřad nemá možnost uplatnit svoji pravomoc u subjektu, který spadá pod jurisdikci Polské republiky. Z tohoto důvodu rozhodl předseda Úřadu RNDr. Igor Němec o tom, že osloví předsedu GIODO, aby jej seznámil s právním hodnocením Úřadu v uvedené věci, a požádal jej o spolupráci při zajištění vymahatelnosti práva na území Polské republiky. Obdobným způsobem bude osloven francouzský úřad, neboť servery, na kterých dochází ke zpracování osobních údajů českých lékařů, jsou umístěny ve Francii. Úřad bude taktéž prezentovat výsledky své kontroly a problematiku vymáhání plnění nápravných opatření prostřednictvím předsedy RNDr. Igora Němce a dalších pracovníků Úřadu v příslušných orgánech Evropské unie. Následně bude uvedená problematika prezentována také na pravidelné světové konferenci ochránců dat.
Dosavadní i další postup Úřadu, včetně zahájení kontroly společnosti, která má sídlo v zahraničí, ale jako správce osobních údajů provádí zpracování na území České republiky, je bezprecedentní. Právě z toho důvodu je cílem Úřadu takovou problematiku prezentovat a pokud možno, docílit ochrany osobních údajů subjektů údajů, v tomto případě českých lékařů, jejichž osobní údaje jsou v části „Názory a informace“ (diskusní fórum) na stránkách www.znamylekar.cz zpracovávány bez jejich souhlasu, a to prostřednictvím společné diskuze evropských ochránců dat.
Výše uvedený postup Úřadu však ani v tuto chvíli nevylučuje, aby se čeští lékaři, jejichž údaje jsou na www.znamylekar.cz zpracovávány bez jejich souhlasu, obrátili na soud v České republice s občansko-právní žalobou na ochranu osobnosti a požadovali po společnosti ZnanyLekarz Sp.z.o.o. nejen odstranění jejich osobních údajů z webových stránek. Úřad nemůže předjímat rozhodnutí nezávislého soudu, otázkou je navíc opět vymahatelnost případného rozhodnutí soudu o odstranění osobních údajů včetně případného rozhodnutí o nemajetkové náhradě škody.
Úřad stále zastává názor uvedený v původní zprávě z kontroly ze dne 15. července 2013, že problematika uplatnění práva na ochranu soukromého a rodinného života, v případě, že se provozovatel webového portálu odvolává na právo na svobodu slova a právo na zveřejňování názoru třetích osob a přitom se jak provozovatel, tak autor příspěvku schovává za anonymitu internetu, je sice komplikovaná, ale její řešení není nemožné.
PaedDr. Jana Rybínová
inspektorka Úřadu pro ochranu osobních údajů