Ochrana osobních dat a legislativa PV080 Vašek Matyáš Důležité právní úpravy (EU/CZ) ˇ Listina základních práv a svobod (zákon č. 2/1993 Sb.) ˇ Směrnice č. 95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat ˇ Zákon o ochraně osobních údajů (101/2000 Sb.) ˇ Doplňkové čtení ­ IS Vývoj v Evropě ­ I. ˇ Rada Evropy (1950) ­ Konvence o ochraně lidských práv a základních svobod ­ dva články (8 a 10), zabývající se nakládáním s informacemi. ˇ První ,,informační zákony" ve Švédsku (1973), Spolkové republice Německo (1977) a Rakousku (1978). Vývoj v Evropě ­ II. ˇ Rada Evropy (1981) ­ Úmluva na ochranu osob se zřetelem na automatizované zpracování osobních údajů (č. 108). ­ závaznost pravidel pro veřejný i soukromý sektor, ­ nutnost vzniku státního orgánu pro dozor nad jejich dodržováním, ­ podmínky pro získávání, aktualizaci a likvidaci informací, ­ zvláštní podmínky pro práci s tzv. ,,citlivými" informacemi a ­ záruky pro občana ke kontrole svých osobních informací a způsobu nakládání s nimi. Vývoj v Evropě ­ III. ˇ Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 ­ o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů ­ http://www.uoou.cz/smernice.php3 ˇ Směrnice 2002/58/EC o soukromí a elektronických komunikacích ­ Nahradila Direktivu 97/66/EC a stejně jako tato upřesňuje směrnici 95/46/ES ˇ Vztahuje se v některých věcech i na právnícké osoby! Vývoj v Evropě ­ IV. ˇ Smlouva o Ústavě pro Evropu ­ články II-67 a II-68 se věnují ochraně osobních údajů a soukromí ­ právo občana, zákon, nezávislý kontrolní orgán Listina základních práv a svobod I. ˇ nedotknutelnost osoby a jejího soukromí; ˇ ochrana lidské důstojnosti, osobní cti, dobré pověsti a jména, soukromého a rodinného života; ˇ ochrana před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Listina základních práv a svobod II. ˇ Nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením. Ochrana osobnosti ­ Občanský zákoník ˇ Fyzická osoba má právo na ochranu své osobnosti, zejména života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého jména a projevů osobní povahy. (§11) ˇ §12: Písemnosti osobní povahy, podobizny, obrazové snímky a obrazové a zvukové záznamy týkající se fyzické osoby nebo jejích projevů osobní povahy Zákoník práce, Obchodní a Trestní zák. ˇ Povinnosti vyjmenovaných (,,státních") zaměstnanců ohledně mlčenlivosti ˇ Souvislost s neoprávněným průnikem do počítačových systémů ˇ Obchodní tajemství ˇ Nekalá soutěž ˇ ... CZ ­Zákon o ochraně osobních dat v informačních systémech (256/1992) ˇ široká formulace pojmu osobní údaje, která nepřímo způsobila ,,znehodnocení" skutečně důležitých dat; ˇ široká formulace pojmu informační systém; ˇ nejasná sankční opatření; ˇ nespecifikované pojmy ,,osobnost", ,,soukromí"; ˇ neexistence úřadu pro registraci systémů s osobními údaji, pro kontrolu dodržování zákona atd. Osobní průzkum (1995?) ˇ Právo získat vyrozumění o informacích o osobě uchovávaných (§ 17, odst. l) ­ jednou ročně bezplatně. ˇ Dotázáno 44 firem a institucí (některé 2x ­ centrála a místní pobočka ­ např. VZP). ˇ Došlo jen 26 odpovědí! Průzkum ­ 26 odpovědí (ze 44 dotazů) ˇ 6 řádně zpracovaných (armáda a VZP) ˇ 7 víceméně uspokojivých (zaměstnavatelé) ˇ 6 nejasných nebo nekvalifikovaných (banky a státní úřady) ˇ 7 lživých nebo zmatečných (státní policie) Z průzkumu... "...informace k Vaší osobě Vám poskytneme za podmínek, že ke své žádosti přiložíte příslušný správní poplatek..." "...máte možnost zjistit na kterékoliv přepážce Střediska cenných papírů... např. zpoplatněnou informační službou...", Z průzkumu... "Informace, jež jste poskytl... Jednalo se pouze o údaje, které jsou předmětem osobního dotazníku... V informačním systému, jehož jsme provozovatelem, nejsou informace o Vaší osobě vedeny." Z průzkumu... "...jedná se pouze o údaje Vámi osobně vypsané žádosti o vydání cestovního pasu, kterou jste sám podepsal a jistě je Vám známo, které údaje jste do žádosti uvedl." Z průzkumu... "V této souvislosti sděluji, že k řádnému vypracování odpovědi považuji za nezbytné, abyste podal zprávu o charakteru informací..., které jste poskytl subjektům resortu..." Zákon o ochraně osobních údajů (101/2000 Sb.) ˇ Nabyl účinnosti obecně 1. 6. 2000. ˇ Účinnost vybraných ustanovení posunuta až na 1. 12. 2000 (ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů u Úřadu pro ochranu osobních údajů), resp. k 1. 6. 2001. ˇ Plná účinnost od 1. 1. 2003 ˇ Několik změn (zejm. e-podpis, návaznost na další zákony) O čem je tento zákon? ˇ Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států. ˇ Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak. Pozor!!! ˇ Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. ˇ Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. ˇ Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány, nebo pokud nejsou pro podnikání (jiné než nezávislé povolání). Osobní údaj ˇ Jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. ˇ Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. ˇ O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků. Citlivý údaj ˇ Osobní údaj údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů. Povinnosti správce I. ˇ stanovit účel, k němuž mají být osobní údaje zpracovány, ˇ stanovit prostředky a způsob zpracování osobních údajů, ˇ zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné a pokud tak nemůže zjistit, musí je blokovat... (pozor ­ výjimka pro některé jiné zákony ­ stát) Povinnosti správce II. ˇ shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu, ˇ uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. (výjimka ­ statistika, věda, archivnictví) ˇ zpracovávat osobní údaje pouze k tomu účelu, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj jen pokud k tomu dal subjekt údajů souhlas. Povinnosti správce III. ˇ shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti ˇ nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak Souhlas subjektu ˇ Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat jen v případech výslovně stanovených zákonem (§5, odst. 2 ­ široký výčet). Správce ­ zpracovatel ˇ Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná. ˇ Zodpovědnost zpracovatele a správce!!! (§8) Správce ­ subjekt údajů ˇ Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem... ˇ Správce musí subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout... ˇ Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům... ˇ Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů). ˇ ...a konečně výjimky z výše uvedeného... Další záležitosti ˇ Informační povinnost správce (1x ročně bezpl.) ˇ Povinnosti osob při zabezpečení osobních údajů ˇ Registrace zpracování osobních údajů ˇ Likvidace osobních údajů ˇ Úřad na ochranu osobních údajů ­ www.uoou.cz ˇ Oprávnění a povinnosti kontrolujících Porušení povinností správcem nebo zpracovatelem ­ práva subj.(§21, od. 2) a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění, b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné, c) aby osobní údaje byly zablokovány nebo zlikvidovány, d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména. Náhrada škody, pokuty ˇ V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu (Občanský zák., Obchodní zák.). ˇ Zaměstanci až do 50'000 Kč za porušení mlčenlivosti. ˇ Pokuta za neposkytnutí součinnosti 25'000 Kč. ˇ Správce/zpracovatel až do 10'000'000 Kč. Geneze (druhého) Zákona o ochraně osobních údajů http://www.fi.muni.cz/~smid/genezezoou.html (link je i v ISu ­ Studijní materiály PV080) V budoucnu dvě návazné přednášky ˇ K. Neuwirt ­ 18. 10. ­ zkušenosti prvního předsedy ÚOOÚ se zákonem a prosazováním ˇ J. Vyskoč ­ 8. 11. ­ rozdíly mezi českým a slovenským zákonem, praktický dopad slovenského zákona