Soukromý objekt

Pro účely tohoto příspěvku ponechme stranou problematiku vstupu do objektů, u kterých prokázání totožnosti (a tedy sdělení osobních údajů) návštěvníka předpokládá přímo zákonná úprava,[1] a zaměřme se na vstup do tzv. soukromých objektů v podobě kanceláří, výrobních areálů, administrativních center, restaurací apod., u kterých výslovné oprávnění požadovat prokázání totožnosti (a tedy sdělení osobních údajů) v legislativě absentuje.

Prokázání totožnosti návštěvníka soukromého objektu

Jestliže je při vstupu do soukromého objektu od návštěvníka vyžadováno prokázání jeho totožnosti (např. předložením dokladu totožnosti) s tím, že osobní údaje návštěvníka jsou současně zaznamenány a uchovány, jedná se o zpracování osobních údajů dle GDPR,[2] jak potvrzuje rovněž stanovisko Úřadu pro ochranu osobních údajů.[3]

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Naopak v případě, kdy by od návštěvníka soukromého objektu bylo vyžadováno prokázání jeho totožnosti bez jakéhokoliv zaznamenání a uchování osobních údajů (tzn. při vstupu do objektu by bylo vyžadováno předložení dokladu totožnosti pouze „k nahlédnutí“), má autor tohoto příspěvku za to, že daná situace by nepředstavovala zpracování osobních údajů ve smyslu GDPR.

Z hlediska zpracování osobních údajů návštěvníka soukromého objektu, resp. prokazování jeho totožnosti, je poté nutné soukromé objekty fakticky rozdělit na dva typy, a to (i) objekty, které jsou běžně určeny návštěvám veřejnosti (např. obchodní centrum, restaurace, nádraží apod.) a (ii) objekty, které naopak k návštěvám veřejnosti běžně určeny nejsou (kanceláře, výrobní areál apod.).

U soukromých objektů, jejichž určení běžně předpokládá návštěvy veřejnosti, by jakékoliv prokazování totožnosti, resp. zpracování osobních údajů, návštěvníka nemělo být vůbec vyžadováno ani prováděno.[4] V takové situaci totiž nebude dán oprávněný zájem provozovatele daného soukromého objektu na zpracování osobních údajů, jakožto nezbytný právní základ pro oprávněnost takového zpracování osobních údajů (viz dále), jelikož samotný provoz objektu předpokládá, že do něj bude umožněn volný přístup širokému okruhu osob.

Naopak u soukromých objektů, které běžným návštěvám veřejnosti nejsou přímo určeny, může být požadavek na prokazování totožnosti, a tedy zpracování osobních údajů, návštěvníků takových objektů oprávněný.[5]

Zpracování osobních údajů

Oprávněnost zpracování osobních údajů však musí v každém případě vyhodnotit provozovatel daného soukromého objektu; nelze totiž bez dalšího uzavřít, že zpracování osobních údajů návštěvníků veškerých soukromých objektů, které k návštěvám veřejnosti běžně určeny nejsou, je oprávněné. Oprávněnost takového zpracování by mohla být podložena např. bezpečnostními důvody [6] či zájmy provozovatele daného objektu na ochraně majetku a osob nacházejících se v objetu apod.

Právním základem zpracování osobních údajů návštěvníků soukromých objektů pak typicky bude ochrana oprávněných zájmů provozovatele daného objektu[7], když oprávněné zájmy budou spočívat právě v ochraně a bezpečnosti majetku provozovatele daného objektu a osob, které se v objektu nacházejí.

V souvislosti se zpracováním osobních údajů nelze opomenout zcela stěžejní povinnost provozovatele objektu návštěvníky o zpracování jejich osobních údajů v odpovídajícím rozsahu informovat. Návštěvník by přitom o zpracování osobních údajů měl být informován již při prokazování totožnosti, resp. při zaznamenávání osobních údajů. Lze tedy doporučit, aby dané informace byly k dispozici právě u vstupu do konkrétního soukromého objektu, kde návštěvník prokazuje svoji totožnost, aby měl každý návštěvník možnost se s těmito informacemi seznámit (např. vyvěšení informací na tabuli u vstupu apod.).

Nad rámec informační povinnosti je nutné závěrem zdůraznit rovněž tzv. zásadu minimalizace zpracování osobních údajů,[8] dle které je (zjednodušeně řečeno) možné zpracovávat osobní údaje pouze v rozsahu nezbytném ve vztahu k účelu, pro který jsou osobní údaje zpracovávány.

Dle názoru Úřadu pro ochranu osobních údajů bude obecně přiměřené zpracovávat toliko jméno a příjmení konkrétního návštěvníka soukromého objektu, v určitých případech rovněž např. číslo průkazu.[9] Za odporující zásadě minimalizace zpracování osobních údajů, a tedy za nedovolené, je proto nutné považovat zpracování dalších osobních údajů jako např. datum narození, adresu bydliště apod.[10]

Autor tohoto článku proto považuje za excesivní rovněž případné pořízení kopie dokladu totožnosti návštěvníka soukromého objektu, a to pořízenou i s případným souhlasem návštěvníka. V dané situaci totiž bude namístě důvodně pochybovat o svobodě případně uděleného souhlasu s pořízením kopie dokladu totožnosti (a tedy se zpracováním osobních údajů v něm zachycených),[11] jelikož návštěvník může nabýt dojmu, že bez pořízení kopie dokladu totožnosti mu vstup do objektu nebude umožněn (a že takové zamezení vstupu je v rozhodovací pravomoci provozovatele daného objektu).

Závěrem lze tedy doporučit, aby provozovatelé soukromých objektů, kteří po návštěvnících požadují prokázání totožnosti a současně zpracovávají jejich osobní údaje, toto zpracování prováděli pouze na základě právního základu a způsobem předpokládaným GDPR, zejména s přihlédnutím k zásadě minimalizace zpracování osobních údajů, a návštěvníky současně o zpracování jejich osobních údajů odpovídajícím způsobem informovali.

Mgr. Martin Winter,
advokát

Doležal & Partners s.r.o., advokátní kancelář

Růžová 1416/17
110 00 Praha

Koliště 1912/13
602 00 Brno

tel.: +420 222 544 201
e-mail: office@dolezalpartners.com