Téma komentáře se prolíná celým českým právním řádem a publikace tak nabízí pomůcku pro státní správu, advokacii, soudnictví i soukromé subjekty, které přicházejí do styku s osobními údaji a jejich zpracováním.

Autorem je Daniel Novák (1981). Absolvent oborů právo, mezinárodní vztahy - evropská studia a politologie. Ph.D. v oboru mezinárodní a evropské právo. Od roku 2006 asistent soudce Ústavního soudu.

Zákon o ochraně osobních údajů a předpisy související (č. 101/2000 Sb. ) - Komentář
Daniel Novák 
Vydalo nakladatelství Wolters Kluwer, 2015, 504 s. 

Publikaci lze objednat >>> zde.

Z publikace vybíráme:

§ 12

Přístup subjektu údajů k informacím

(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.

(2) Obsahem informace je vždy sdělení o

a) účelu zpracování osobních údajů,
b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,
c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,
d) příjemci, případně kategoriích příjemců.

(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.

K § 12

1. Ustanovení § 12 navazují na recitály 41 až 43 a čl. 12 směrnice 95/46/ES. Jak již nadpis tohoto paragrafu předesílá, týká se pozitivní složky ochrany soukromí. Úzký vztah k předmětné problematice mají i další právní instituty, kupříkladu souhlas se zpracováním osobních údajů [§ 5 odst. 4 a § 9 písm. a)], neboť jeho právoplatnost předpokládá též jistý stupeň informovanosti, dále též informační povinnosti správce podle § 11. S otázkou přístupu subjektu údajů k informacím souvisí též § 21 upravující právo subjektu údajů na opravu, vysvětlení nebo likvidaci osobních údajů. Ustanovení § 12 se nepoužijí v případech předvídaných v § 3 odst. 6.

2. Jde o situace předvídané v § 83 zák. č. 273/2008 Sb. , o Policii České republiky, § 5c zák. č. 17/2012 Sb. , o Celní správě České republiky, resp. § 52 zák. č. 341/2011 Sb. , o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů, § 18 zák. č. 300/2013 Sb. , o Vojenské policii

3. Specifickou úpravu přístupu k osobním údajům obsahuje též § 8 odst. 3 zák. č. 133/2000 Sb. , o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), § 18a zák. č. 328/1999 Sb. , o občanských průkazech, nebo § 30a zák. č. 329/1999 Sb. , o cestovních dokladech.

K odst. 1

4. Předmětné ustanovení neklade na subjekt údajů omezení z hlediska formy žádosti o přístup k informacím. Zneužití tohoto práva nepřiměřeně častým uplatňováním těchto žádostí není rozšířeným jevem, a to i se zřetelem k povinnosti žadatele uhradit správci přiměřenou částku nepřevyšující náklady nezbytné na poskytnutí informace (§ 12 odst. 3). Se zřetelem k čl. 12 písm. a) směrnice 95/46/ES lze dovozovat, že správce údajů je povinen subjektu údajů podat též informaci, že žádné jeho osobní údaje nezpracovává. Oproti kupř. švédské právní úpravě nepostačuje, omezí-li se správce údajů na konstatování, že subjekt údajů je zpravován průběžně.

5. Lhůta „bez zbytečného odkladu“ (v jejímž rámci je správce povinen subjektu údajů požadovanou informaci předat) se neodvíjí z administrativních či technických možností správce údajů. Předmětná úprava nepřevzala normativní řešení obsažené kupříkladu v německém zákoně, který stanoví, že právo na přístup dopadá též na údaje uchovávané v nestrukturovaných souborech, avšak uplatní se zde test proporcionality, kdy v kolizi stojí úsilí správce a zájem subjektu údajů na získání předmětné informace [§ 19 odst. 1 německého spolkového zákona o ochraně osobních údajů]. Osobní údaje nicméně mohou být obsaženy v množství databází umístěných v různých zeměpisných oblastech nebo databázích delokalizovaných, čemuž odpovídá obtížnost nalezení všech osobních údajů, kterých se jejich subjekt dožaduje. Není vyloučeno, že již samotné vyhledávání v on-line přístupných databázích může znamenat riziko úniku informací a obdobný závěr lze vztáhnout i na výsledek tohoto procesu tvořící mnohdy ucelený profil jednotlivce. Za zmínku stojí otázka informačních systémů podniků i orgánů veřejné správy, které by měly předdefinovánu funkci vyhledání uchovávaných osobních údajů. Evropská komise se v této souvislosti vyslovila pro podporu technologií zlepšujících soukromí zaměřených na anonymitu a pseudonymitu. Tento software by zahrnoval i facility označující ty uchovávané údaje, které mají osobní povahu. Facility mají zajistit plnění závazků vyplývajících z transpozice směrnice 95/46/ES, jako kupř. omezení předávání osobních údajů třetím subjektům nebo omezení uchovávání údajů na dobu nezbytnou pro původní účel. [Srov. sdělení Komise ze dne 2. 5. 2007 o „podpoře ochrany osobních údajů prostřednictvím technologií zvyšujících ochranu soukromí (PETs)“ KOM(2007) 228 v konečném znění. Jedním z těchto produktů je Tivoli Privacy Manager.] Úsilí inkorporovat požadavky ochrany osobních údajů do standardů technických je patrně kupř. ze stanoviska WP 29 ke zprávě CEN/ISSS o standardizaci soukromí v Evropě [Article 29 Working Party. Opinion 1/2002 on the CEN/ISSS Report on Privacy Standardisation in Europe. (10761/02/EN/Final, WP 57, 30. 5. 2002)].

6. Porušení povinnosti podle § 12 odst. 2 může mít za následek uložení nápravného opatření podle § 40. Dále jde o přestupek podle § 44 odst. 2 písm. f) a správní delikt podle § 45 odst. 1 písm. f).

K odst. 2 písm. a)

7. Toto ustanovení navazuje na zásadu omezení účelem (srov. komentář k § 5). Pokud zpracování osobních údajů sleduje více účelů, je správce povinen specifikovat, které osobní údaje se vztahují k jednotlivým účelům.

K odst. 2 písm. b)

8. Kategorií osobních údajů jsou kupř. provozní a lokalizační údaje uchovávané mobilním operátorem. Na základě právního názoru vysloveného Úřadem ve stanovisku č. 6/2013 týkajícího se výkladu § 12 společnost T-Mobile Czech Republic, a.s., předmětné údaje za období předchozích šesti měsíců poskytuje, je-li předmětná SIM karta evidována na jméno žadatele (tj. nejde-li o tzv. předplacenou SIM kartu). V případě, že má klient vedeno u jmenované společnosti více smluv, předmětné údaje neobdrží, jelikož podle tohoto operátora není jisté, zda další SIM kartu nehradí za jinou osobu, např. svou manželku). Pokud má ovšem klient smlouvu u jiného operátora nebo je uživatelem předplacené SIM karty, údaje obdrží. Společnost T-Mobile si za tuto službu účtuje 1 700 Kč. Další operátoři poskytují údaje za individuálně sjednaných podmínek. Není nicméně zřejmé, zda mobilní telefon měl účastník celou dobu při sobě a zda jej neposkytl někomu jinému. Tím by operátor byl nápomocen zásahu do soukromí třetí osoby, která nemusí mít tušení, že se někdo domáhá údajů této povahy. Výklad, podle něhož mají subjekty údajů právo na přístup k provozním a lokalizačním údajům, je diskutabilní též proto, že předmětné údaje jsou uchovávány ke specifickým účelům a pro orgány uvedené v § 97 odst. 1 zák. č. 127/2005 Sb. , o elektronických komunikacích a o změně některých souvisejících zákonů, (zákon o elektronických komunikacích), tj. v podstatě pro účely bezpečnosti (jde o implementaci směrnice 2006/24/ES), resp. případně v návaznosti na čl. 6 odst. 2 (je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení, přičemž takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu) a čl. 15 odst. 1 směrnice 2002/58/ES. Kriticky se k otázce nedostatečného regulačního rámce uchovávání a dalšího zpracování provozních a lokalizačních údajů vyslovil Ústavní soud v nálezu Pl. ÚS 24/10 v odstavci 57. Soudní dvůr rozsudkem ze dne 8. 4. 2014 ve spojených věcech C-293/12 a C-594/12 shledal směrnici 2006/24/ES od počátku neplatnou, avšak do vnitrostátního právního řádu tento rozsudek prozatím implementován nebyl.

9. K odstranění výkladových pochybností ve specifické oblasti RFID, u nichž mají subjekty údajů často méně přesnou představu, o zpracování jakých údajů se jedná, přispívá Pracovní dokument o tématech ochrany osobních údajů týkajících se RFID technologií. [Article 29 Working Party. Working document on data protection issues related to RFID technology. (10107/05/EN, WP 105, 19. 1. 2005) K odkazu na něj viz seznam užitečných webových stránek na konci publikace. Ve světle zásad ochrany osobních údajů by prodejce výrobku opatřeného RFID tagu měl zákazníka informovat o: a) Přítomnosti RFID tagů na zboží a o umístění čteček. A tedy jednotlivci musejí být informování zaprvé o přítomnosti RFID nebo čteček RFID, zadruhé, informovat o RFID, zejména jsou-li pouhým okem nepostřehnutelné, zatřetí pomocí vizuálního ukazatele, že RFID právě přenáší údaje. b) Důsledcích tohoto technologického opatření, především možnosti předat údaje bez aktivního zásahu člověka. c) Účelu použití těchto údajů, zejména zda budou tyto údaje spojeny a zda bude informace zpřístupněna třetí straně. d) Totožnosti správce údajů. e) Možnostech odstranění tagů či opravě a výmazu jejich obsahu. Výmaz obsahu zahrnuje možnost dočasné (pomocí softwarového zámku) či trvalé deaktivace (kill command) či přepsaní jeho obsahu tak, že vysílá jen číslice 0 (to, že RFID vysílá jen nuly, není běžné, a proto i zde lze uvažovat o identifikovatelnosti), i samotná přítomnost tagu (ať již jakéhokoli čísla) avizuje zlodějům (vykradačům aut apod.) přítomnost hodnotnější věci, je též sporné, zda by nadále měly zájem užívat RFID, když vyčtou jen bezcenná data. Lze dodat, že v některých případech jsou přiměřenější jednoduchá technická opatření na principu Faradayovy klece. f) Realizaci práva na přístup k informacím, ukládání údajů v běžném formátu současně zvyšuje riziko neoprávněného přístupu třetí osoby; obdobně vyšší stupeň standardizace z dílny ISO a ETSI je přínosem z hlediska čl. 6 odst. 1 písm. d) směrnice 95/46/ES, ale zároveň představuje riziko tím, že usnadňuje použití údajů k dalším účelům.] Stanovisko WP 29 č. 4/2004 prohlašuje, že s informováním subjektů údajů o přítomnosti kamerových systémů počítají čl. 10, 11 a 13 směrnice 95/46/ES; není však třeba podat detailní informaci o způsobu tohoto monitoringu (kupř. rozmístění kamer), ale informace by měla být k dispozici v rozumné vzdálenosti od monitorovaného místa.

K odst. 2 písm. c)

10. Toto ustanovení navazuje na § 11 odst. 6 zák. o ochraně os. údajů a čl. 15 směrnice 95/46/ES. Rozsah informací, které je třeba poskytnout podle § 12 odst. 2 písm. c), je obdobný jako v případě informační povinnosti podle § 11 odst. 1, kam lze zařadit též přístup subjektu údajů k informaci o logice automatizovaného rozhodnutí, a to ve formě srozumitelné adresátovi.

K odst. 2 písm. d)

11. Pojem „příjemce“ vymezuje ustanovení § 4 písm. o) zák. o ochraně os. údajů. Sdělení musí zahrnovat dostatečně přesné informace, aby subjekt údajů mohl identifikovat jednotlivé příjemce a osobní údaje, které obdrželi. Zpřístupnění pouze kategorií příjemců (bez jejich individuálního ztotožnění) lze považovat za splnění předmětné právní povinnosti jen ve výjimečných případech.

12. Soudní dvůr v rozsudku Rijkeboer konstatoval, že: „Článek 12 písm. a) směrnice 95/46/ES ukládá členským státům, aby stanovily právo na přístup k informacím o příjemcích nebo kategoriích příjemců údajů, jakož i k obsahu sdělovaných informací, platící nejen ohledně přítomnosti, ale i minulosti. Členským státům přísluší stanovit lhůtu pro uchovávání těchto informací, jakož i odpovídající přístup k nim, což zajistí spravedlivou rovnováhu mezi jednak zájmem subjektu údajů na ochraně jeho soukromí, zejména uplatněním práv a opravných prostředků stanovených směrnicí 95/46/ES, a jednak zátěží, kterou pro správce představuje povinnost tyto informace uchovávat. Úprava omezující uchovávání informací o příjemcích nebo kategoriích příjemců údajů a obsahu předaných údajů na období jednoho roku, a tomu odpovídajícím způsobem omezující i přístup ke zmíněným informacím, zatímco základní údaje jsou uchovávány mnohem déle, nezajišťuje spravedlivou rovnováhu mezi daným zájmem a danou povinností, není-li prokázáno, že delší uchovávání těchto informací představuje nadměrnou zátěž pro správce. Vnitrostátnímu soudu přísluší provést nezbytná ověření.“

K odst. 3

13. Lze dovozovat, že nárok na předmětnou úhradu správci údajů nevzniká, podá-li informaci, že žádné osobní údaje žadatele nezpracovává. Jde o občanskoprávní nárok, ve vztahu ke kterému se podle § 629 obč. zák. uplatní promlčecí lhůta trvající tři roky. V občanském soudním řízení lze též posuzovat spor o výši úhrady. Není vyloučeno analogicky aplikovat úpravu úhrad za poskytování informací podle zákona č. 106/1999 Sb. , o svobodném přístupu k informacím, obsaženou v nařízení vlády č. 173/2006 Sb. , o zásadách stanovení úhrad a licenčních odměn za poskytování informací podle zák. o svobodném přístupu k informacím, dále též instrukci Ministerstva spravedlnosti 286/2011-OT-OSV, kterou se stanoví sazebník úhrad za poskytování informací podle zákona č. 106/1999 Sb. , o svobodném přístupu k informacím, nebo kupř. stavovský předpis prezidia Exekutorské komory České republiky EK01/2009, kterým se vydává sazebník úhrad nákladů v souvislosti s poskytováním informací podle § 17 odst. 1 zák. č. 106/1999 Sb. , o svobodném přístupu k informacím.

14. Německý zákon o ochraně osobních údajů umožňuje – nejde-li o jeho využití pro obchodní účely – přístup k osobním údajům bezplatně. Někteří respondenti v britské studii tvrdili, že zodpovězení jediného dotazu si může vyžádat náklady přes 1 000 britských liber. Ve Velké Británii přitom může správce údajů stanovit poplatek za každý dotaz a opakovaný dotaz lze vznést až po uplynutí „rozumné doby“ [část II, čl. 7 odst. 2 písm. b) a čl. 8 odst. 3 britského zákona].

K odst. 4

15. Plnění povinnosti podle § 11 odst. 1 a 2 předchází samotnému nabytí (shromažďování) osobních údajů, v důsledku čehož se úprava podle § 11 odst. 7 uplatní tehdy, pokud zpracovatel zajišťuje nabytí (shromažďování) těchto údajů. Z hlediska rozlišení odpovědnosti správce a zpracovatele se uplatní obecná úprava obsažená v § 8 a 10.

16. Předmětné ustanovení odkazuje na povinnost poskytnout specifikované informace, nehovoří nicméně o úhradě nákladů podle § 12 odst. 3. Pokud správce prokáže, že zpracovateli náklady spojené s podáním informace proplatí, má právo požadovat jejich úhradu po subjektu údajů.

Citovaná judikatura a stanoviska:

ESD/SDEU:
rozsudek ze dne 7. 5. 2009, Rijkeboer, C-553/07, Sb. rozh. s. I-3889.

Stanoviska WP 29:
stanovisko WP 29 ke zprávě CEN/ISSS o standardizaci soukromí v Evropě č. 1/2002, stanovisko WP 29 č. 4/2004 ke zpracování osobních údajů prostředky kamerového sledování.

Související ustanovení:
§ 4 písm. a) a o) – vymezení pojmů, § 5 odst. 1 písm. a) – práva a povinnosti správce, § 11 odst. 6 – informační povinnost, § 44 odst. 2 písm. f) – přestupky, § 45 odst. 1 písm. f) – jiné správní delikty.

Související předpisy:
§ 83, § 629 zák. č. 273/2008 Sb. , o Policii České republiky, – § 35i zák. č. 124/1992 Sb. , o Vojenské policii, – § 5c zák. č. 17/2012 Sb. , o Celní správě České republiky, – zák. č. 341/2011 Sb. , o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů, – § 8 odst. 3 zák. č. 133/2000 Sb. , o evidenci obyvatel a rodných číslech a o změnách některých zákonů (zákon o evidenci obyvatel), – § 18a zák. č. 328/1999 Sb. , o občanských průkazech, – § 30a zák. č. 329/1999 Sb. , o cestovních dokladech, – § 97 odst. 1 zák. č. 127/2005 Sb. , o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).

Související prameny mezinárodního a evropského práva:
Čl. 8, 12 Úmluvy č. 108, – recitál 41 až 43 směrnice 95/46/ES.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz