Poskytnutá informace dne 11. prosince 2008
Úřad pro ochranu osobních údajů (dále jen „Úřad“) obdržel dne 11. prosince 2008 žádost o informace dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím od pana J.S. Úřad žádosti vyhověl a tázané informace poskytl.
V souladu s ustanovením § 5 odst. 3 citovaného zákona Úřad nyní zveřejňuje obsah poskytnuté informace:
Žadatel požádal o bližší informace o řízení, které Úřad vedl se společností Genomac International, s.r.o., IČ: 26475821, případně o zaslání anonymizovaného rozhodnutí, jímž Úřad této společnosti udělil sankci.
Úřad se společností Genomac International, s.r.o., IČ: 26475821 (dále jen „účastník řízení) zahájil správní řízení na základě předchozí kontroly. Správní řízení, ve kterém bylo konstatováno porušení zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, ze strany účastníka řízení, již bylo pravomocně ukončeno.
Řízením bylo prokázáno, že účastník řízení ke dni 9. října 2007 zpracovával citlivé údaje (profil DNA) řady osob bez jejich výslovného souhlasu, neinformoval je o účelu zpracování osobních údajů, zpracovával je nepřiměřeně dlouhou dobu, o tom, kdo a jakým způsobem bude jejich osobní údaje zpracovávat a komu mohou být dále zpřístupněny, dále o jejich právech dle § 21 zákona o ochraně osobních údajů, ani o tom, zda je poskytnutí údajů povinné či dobrovolné.
Tím účastník řízení porušil povinnost stanovenou v § 9 zákona o ochraně osobních údajů, tedy povinnost zpracovávat citlivé údaje pouze s výslovným souhlasem subjektu údajů, nebo v případě naplnění některé z výjimek uvedených v písm. b) až i) tohoto ustanovení, dále porušil povinnost stanovenou v § 5 odst. 1 písm. e) zákona o ochraně osobních údajů, tedy povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování, dále porušil povinnost stanovenou v § 11 odst. 1 a 2 zákona o ochraně osobních údajů, tedy povinnost správce při shromažďování osobních údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, o právu subjektu údajů přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 zákona o ochraně osobních údajů, a o tom, zda je poskytnutí osobních údajů povinné či dobrovolné.
Výše uvedeným jednáním účastník řízení spáchal správní delikt podle § 45 odst. 1 písm. e) zákona o ochraně osobních údajů, neboť zpracovával osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, správní delikt podle § 45 odst. 1 písm. d) zákona o ochraně osobních údajů, neboť uchovával osobní údaje po dobu delší než nezbytnou k účelu zpracování, a správní delikt podle § 45 odst. 1 písm. f) zákona o ochraně osobních údajů, neboť neposkytl subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem. Za toto porušení mu byla v souladu s § 45 odst. 3 zákona o ochraně osobních údajů udělena sankce ve výši devadesáti tisíc korun.
Žadateli bylo dále zasláno následující anonymizované znění odůvodnění rozhodnutí.
Podkladem pro vydání příkazu je kontrolní protokol zn. INSP1-4063/07-7 ze dne 3. ledna 2008 pořízený podle zákona č. 101/2000 Sb. a zákona č. 552/1991 Sb., o státní kontrole, inspektorkou Úřadu pro ochranu osobních údajů Mgr. Bc. Boženou Čajkovou, v rámci kontroly provedené ve dnech 27. června až 21. prosince 2007, a rozhodnutí předsedy Úřadu pro ochranu osobních údajů o námitkách proti kontrolnímu protokolu zn. INSP1-4063/07-12 ze dne 27. června 2008 a zn. INSP1-4063/07-13 ze dne 27. června 2008, neboť na jejich základě lze, v souladu s § 150 odst. 1 správního řádu, skutková zjištění považovat za dostatečná.
Ze spisového materiálu vyplývá, že účastník řízení shromažďoval osobní údaje svých klientů prostřednictvím dvou druhů průvodek ke vzorkům. Průvodka používaná před 1. srpnem 2007 (dále jen „stará průvodka“) neobsahuje v případě všech tří nabízených testů (test otcovství, preventivní genetický test a GenoGraf test) informaci o tom, pro jaký účel a k jakým osobním údajům je dáván souhlas, jakému správci a na jaké období. Dále neobsahují informace, resp. poučení správce o jeho právech dle § 12 a 21 zákona o ochraně osobních údajů. Stará průvodka dále neobsahuje informace o tom, v jakém rozsahu a jakým způsobem budou osobní údaje zpracovávány, komu mohou být zpřístupněny, a dále poučení, zda je poskytnutí osobního údaje povinné či dobrovolné. Ze spisového materiálu vyplývá, že prostřednictvím staré průvodky shromáždil účastník řízení citlivé údaje R. Š. a jeho syna, D. S., její dcery a jejího domnělého otce, M. Č., jeho syna a jeho matky, T. P., jeho syna a jeho matky, J. L., H. Š., J. J., L. M., J. H., V. M., M. Ch., J. K., Z. P. a Š. S.
Průvodka používaná účastníkem řízení po 1. srpnu 2007 (dále jen „nová průvodka“) obsahuje informaci o správci osobních údajů (účastníkovi řízení); dále je zde uvedeno, že v souladu se zákona o ochraně osobních údajů uděluje subjekt (osoba poskytující své osobní údaje) správci oprávnění shromažďovat, zpracovávat, uchovávat a užívat jeho osobní údaje (včetně citlivých údajů). Dále je zde uvedeno, že zpracovávané citlivé osobní údaje zahrnují zejména genetickou informaci získanou ze vzorku deoxyribonukleové kyseliny poskytnutého subjektem, zpracovávané osobní údaje jsou kontaktní údaje pro komunikaci a zasílání výsledků, je zde uveden účel zpracování podle konkrétního druhu testu (určení otcovství, preventivní genetický test, zjištění genetického původu), informace o tom, že poskytnuté údaje mohou být zpřístupněny pouze subjektům oprávněným dle příslušných právních předpisů (např. orgánům činným v trestním řízení) a dále subjektům, které pro účastníka řízení provádějí zpracování dle smlouvy o zpracování osobních údajů dle § 6 zákona o ochraně osobních údajů. Nová průvodka dále obsahuje informaci o právech subjektu údajů dle § 12 zákona o ochraně osobních údajů a poučení o tom, že poskytnutí osobních údajů je dobrovolné a subjekt údajů je oprávněn je kdykoliv odvolat. Ze spisového materiálu vyplývá, že prostřednictvím nové průvodky shromáždil účastník řízení citlivé údaje V. Ř., H. S., T. L. a R. Ch.
V případě GenoGraf testu nabízí účastník řízení možnost subjektu zařadit jeho Y-DNA nebo MT-DNA profil do databáze DNA profilů. Souhlas s tímto postupem je shodný na staré i nové průvodce a obsahuje informaci, že GenoGraf test je založen na porovnání DNA profilu se záznamy v databázích. Pro další rozvoj Y-DNA a MT-DNA databází a zpřesnění výsledků proto žádá účastník řízení o souhlas se zařazením Y-DNA a MT-DNA profilu do databáze. Součástí zápisu nebudou žádné konkrétní údaje o osobě, pouze DNA profil a geografická lokalita v České republice. S tímto zpracováním svých citlivých údajů vyjádřili dle spisového materiálu souhlas J. J., L. M., J. H., M. Ch., J. K. a Z. P.
Účastník řízení poskytl část zpracovávaných osobních údajů (kopie průvodek, vyhodnocení testů atd.) konkrétních, shora uvedených, klientů Úřadu v průběhu kontroly, a to dne 9. října 2007. Ze všech vyjádření účastníka řízení v průběhu kontroly vyplývá, že k tomuto dni jejich osobní údaje, včetně citlivých, zpracovával, resp. uchovával. Účastník řízení přitom odeslal výsledky provedených testů (tj. výsledek zakázky) objednateli R. Š. dne 13. října 2006, D. S. dne 13. července 2006, M. Č. dne 19. ledna 2006, H. Š. dne 14. února 2006, J. H. dne 7. března 2007 a V. M. dne 23. listopadu 2006. V případě objednatele T. P. je uvedeno pouze datum přijetí vzorků, a to 17. srpna 2005, a lze tedy důvodně očekávat, že krátce poté byly odeslány i výsledky testů.
Účastník řízení je ve smyslu § 4 písm. j) zákona o ochraně osobních údajů správcem osobních údajů shromážděných a zpracovávaných v souvislosti s prováděním genetických testů, a to testu otcovství, preventivního genetického testu a testu GenoGraf. Uvedená činnost je nepochybně zpracováním osobních údajů dle § 4 písm. e) zákona o ochraně osobních údajů, neboť jsou při ní osobní údaje shromažďovány, uchovávány, tříděny a používány. Účastník řízení zpracovává mimo jiné citlivé údaje dle § 4 písm. b) zákona o ochraně osobních údajů, a to genetické údaje v podobě profilu DNA jednotlivých osob.
Podle § 9 zákona o ochraně osobních údajů je správce osobních údajů, a tedy i účastník řízení, povinen zpracovávat citlivé údaje, jen jestliže k tomu dal subjekt údajů výslovný souhlas, přičemž musí být subjekt údajů při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Účastník řízení shromáždil osobní a citlivé údaje R. Š. a jeho syna, D. S., její dcery a jejího domnělého otce, M. Č., jeho syna a jeho matky, T. P., jeho syna a jeho matky, J. L., H. Š., J. J., L. M., J. H., V. M., M. Ch., J. K., Z. P. a Š. S. prostřednictvím starých průvodek. Souhlas se zpracováním citlivých údajů ve smyslu § 9 písm. a) zákona o ochraně osobních údajů je právní úkon, jímž subjekt údajů na základě ucelených informací o předmětném zpracování dává dle § 4 písm. n) zákona o ochraně osobních údajů svobodně a vědomě svolení se zpracováním konkrétních citlivých údajů za přesně stanoveným účelem, a to konkrétnímu správci na stanovenou dobu. Absence právě posledně zmiňovaných informací v části týkající se souhlasu u starých průvodek dle správního orgánu znamená, že úkon učiněný prostřednictvím staré průvodky není souhlasem se zpracováním citlivých údajů ve smyslu § 9 písm. a) zákona o ochraně osobních údajů.
V souvislosti s prováděním testu GenoGraf účastník řízení také nabízel zařazení výsledného Y-DNA nebo MT-DNA profilu do databáze DNA profilů, a to pro další rozvoj Y-DNA a MT-DNA databází a zpřesnění výsledů testů. Souhlas s tímto způsobem zpracování citlivých údajů opět neobsahuje zákonem požadované náležitosti dle § 9 písm. a) zákona o ochraně osobních údajů, a to ani v případě nových průvodek, kdy chybí především označení správce a doba, na kterou je souhlas poskytován, stejně tak jako poučení o právech dle § 12 a § 21 zákona o ochraně osobních údajů.
Podle § 5 odst. 1 písm. e) zákona o ochraně osobních údajů je správce povinen zpracovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. S výjimkou zařazení do databáze DNA je účelem zpracování citlivých údajů (biologického vzorku a následného profilu DNA) provedení objednaného testu, tedy testu otcovství nebo GenoGraf testu. Za dobu nezbytnou stanovenému účelu považuje v daném případě správní orgán dobu provedení vlastního testu, a jelikož je předmětem smluvního vztahu mezi účastníkem řízení a objednatelem zpracování citlivého údaje, tak i dobu na reklamaci vad dle obecných právních předpisů. V daném případě se smluvní vztah mezi účastníkem řízení a objednatelem (subjektem údajů) řídí smlouvou o dílo, konkrétně § 631 až § 643 zákona č. 40/1964 Sb., občanský zákoník. Odpovědnost za vady díla se v tomto případě řídí obecnými ustanoveními o odpovědnosti za vady dle § 499 a násl. občanského zákoníku, kdy analogicky dle § 504 občanského zákoníku lze vady vytknout ve lhůtě šesti měsíců od okamžiku, kdy obdrží objednatel výsledek testu. Po uplynutí této lhůty právo k uplatnění vad zaniká. Tímto okamžikem současně dle správního orgánu končí také doba, po kterou lze uchování odebraného vzorku a výsledného profilu DNA považovat za nezbytné a vzniká správci dle § 20 odst. 1 zákona o ochraně osobních údajů povinnost tyto citlivé údaje zlikvidovat. Tuto povinnost účastník řízení ve vztahu k citlivým údajům R. Š. a jeho syna, D. S., její dcery a jejího domnělého otce, M. Č., jeho syna a jeho matky, T. P., jeho syna a jeho matky, J. H. a V. M. nesplnil, neboť ačkoliv od odeslání výsledku testu ve všech případech uplynula doba delší než 6 měsíců, účastník řízení jejich citlivé údaje (vzorky a zpracované profily DNA) dále uchovával.
Podle § 11 odst. 1 zákona o ochraně osobních údajů je správce při shromažďování osobních údajů povinen informovat subjektu údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce dále musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21 zákona o ochraně osobních údajů. Podle § 11 odst. 2 zákona o ochraně osobních údajů je poté správce v případě, kdy zpracovává osobní údaje získané od subjektu údajů, poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Po posouzení informací uvedených ve staré a nové průvodce se shora uvedeným zákonným vymezením povinných informací dospěl správní orgán k závěru, že v případě staré průvodky chyběla informace o účelu zpracování osobních údajů, o tom, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být zpřístupněny, a dále o právech dle § 21 zákona o ochraně osobních údajů, a o tom, zda je poskytnutí údajů povinné či dobrovolné. V případě nové průvodky poté chybí pouze informace o právech subjektu údajů dle § 21 zákona o ochraně osobních údajů.