Nejdůležitější legislativní normy týkající se kvalitativního výzkumu ˙ Kvalitativní výzkum a Listina základních práv a svobod ˙ Kvalitativní výzkum a ochrana osobnosti v občanském zákoníku (§11-17 zákona č. 40/1964 Sb.) ˙ Kvalitativní výzkum a zákon o ochraně osobních údajů (zákon č. 101/2000 Sb., novely 227/2000 Sb., 177/2001 Sb., 450/2001 Sb.) ˙ Kvalitativní výzkum a autorský zákon (zákon č. 121/2000 o o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů) ˙ Kvalitativní výzkum a zákon o archivnictví (zákon č. 343/1992, kterým se mění a doplňuje zákon č. 97/1974) Kvalitativní výzkum a zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.) Základní charakteristika vztahu zákona ke kvalitativnímu výzkumu Pro kvalitativní výzkum zákon znamená většinou tři věci. Zaprvé musíte od člověka, se kterým pořizujete rozhovor, získat písemný souhlas ke zpracování rozhovoru. Zadruhé instituce, pod kterou pracujete, se musí zaregistrovat u Úřadu pro ochranu osobních údajů. A zatřetí musíte zajistit bezpečnost údajů, se kterými pracujete, tak aby se nemohly dostat do nepovolaných rukou. Další informace a komentáře Kdy se zákon na kvalitativní výzkum vztahuje? Zákon se na kvalitativní výzkum vztahuje, jakmile ve výzkumu dochází ke zpracování osobních údajů. Přitom termíny "zpracování" i "osobní údaje" mají přesnou definici. Většina výzkumů s měkkými daty do této definice spadá. Co jsou to osobní údaje podle zákona č. 101/2000 Sb.? V případě kvalitativního výzkumu mají povahu osobních údajů dvě věci. Zaprvé jsou to adresy lidí, od kterých badatel získává svoje data. Ty mají povahu osobních údajů vždycky. Zadruhé jsou to samotná data. Rozhovory, záznamy pozorování apod. Pro tento druhý typ údajů platí, že získává povahu osobních údajů spojením s prvním typem údajů, tedy spojením se jménem a adresou nebo telefonem konkrétního člověka. To je velmi obvyklá situace. Badatel má ve svém diáři poznamenané adresy lidí, na které se obrací s žádostí o rozhovor. Na kazetách a na disketách má zase nahrávky a přepisy rozhovorů. V poznámkovém bloku má zápisy pozorování a další polní poznámky. Z uvedené charakteristiky osobních údajů také plyne způsob, jakým lze osobní údaje anonymizovat, a tím je povahy osobních údajů zbavit. Co je to zpracování osobních údajů? Stručně řečeno, zpracováním osobních údajů je prakticky cokoli. Zákon vymezuje zpracování především tím, že musí jít o systematickou činnost. V případě kvalitativního výzkumu to znamená, že si vedete seznam jmen a adres nebo telefonů a k nim řadíte dokumenty, které se příslušných lidí týkají. Přepisy rozhovorů s daným člověkem, poznámky z průběhu těchto rozhovorů apod. Jinak zákon pod pojem zpracování explicitně řadí i takové operace, jako je uchovávání údajů nebo jejich likvidace. Kdy je třeba mít písemný souhlas ke zpracování osobních údajů? Člověku, o kterém zpracováváte nějaké informace, zákon říká subjekt údajů. Písemný souhlas subjektu údajů musíte bez výjimky získat, jakmile chcete pracovat s tzv. citlivými údaji. U kvalitativního výzkumu platí, že prakticky každý rozhovor obsahuje citlivé údaje. Informace, které mají povahu citlivých údajů jsou vyjmenované v §4, písemeni b). Pokud sbíráte rozhovory, měli byste předem vědět, jestli budete od interviewovaného člověka chtít, aby vám podepsal souhlas. Přitom před rozhovorem lze jen stěží odhadnout, co všechno vám informant řekne. Nemůžete vyloučit, že vám řekne citlivé údaje o svojí osobě. Proto je potřeba písemný souhlas použít, i když se nakonec může ukázat, že se v rozhovoru žádné citlivé údaje neobjeví. Kdy písemný souhlas není potřeba? 1. Písemnému souhlasu se lze vyhnout tak, že nebudete pracovat s identifikačními údaji lidí. K tomu může dojít například tehdy, pokud získáte anonymizované údaje z archivu Medard. Ve výjimečných případech lze bez identifikačních údajů data také sbírat. Například můžete dělat rozhovory s bezdomovci, se kterými se setkáváte v organizacích, které jim pomáhají. Nepotřebujete znát jejich adresu, pokud vůbec nějakou mají, nepotřebujete znát ani jejich rodné číslo ani žádné další identifikační údaje. Znáte pouze jejich jméno nebo dokonce jen křestní jméno nebo přezdívku. Potom se nebude vůbec jednat o osobní údaje a písemný souhlas nebudete podle zákona potřebovat. Nebo můžete dělat zúčastněné pozorování ve veřejných prostorech, aniž byste zjišťovali adresy nebo telefonní čísla pozorovaných lidí. 2. Písemnému souhlasu se lze vyhnout také tak, že se nějak vyhnete sbírání citlivých údajů. To je téměř nereálný výzkumný design, ale nelze ho samozřejmě předem vyloučit. V takovém případě rozhodně nemůžete nechat lidem, se kterými mluvíte, příliš velký prostor pro vlastní vyjádření. Citlivým údajům se lze pravděpodobně vyhnout jen pokud bude výzkum natolik strukturovaný, že se bude blížit dotazníku. Současně musí platit, že otázky pokládané v rozhovoru se budou vyhýbat tématům, která mají povahu citlivých údajů. Na takový výzkum by se vztahovala výjimka stanovená v §5 odst. 4, kde se říká, že osobní údaje, pokud nejsou citlivé, lze sbírat bez souhlasu subjektu údajů pro vědecké účely. Nicméně takové údaje je třeba anonymizovat, jakmile je to možné. Jak má vypadat písemný souhlas se zpracováním osobních údajů? Písemný souhlas se zpracováním osobních údajů musí být samozřejmě podepsaný člověkem, který ho poskytuje, a musí tam být čitelně uvedeno jeho jméno. Kromě toho z něj musí být jasné, komu je souhlas poskytován, na jaké období je souhlas poskytován, jakých údajů se týká a k jakému účelu budou údaje využity. Kdo má být adresátem písemného souhlasu? Písemný souhlas by měl být adresován správci osobních údajů. Tím je v případě výzkumu většinou organizace, jejímž je badatel zaměstnancem. Ale to by mohlo být v rozporu s etickými zásadami badatele. To on, nikoli jeho zaměstnavatel, cítí zodpovědnost za zachování důvěrnosti poskytnutých dat. Proto je nejlepší uvádět v souhlasu jak organizaci, v jejímž rámci výzkum probíhá, tak konkrétní badatele, kteří se na něm podílejí. Z hlediska zákona ovšem půjde o dvě různé složky souhlasu. Zatímco název organizace určuje jakému správci osobních údajů je souhlas udělován, jména výzkumníků spoluurčují účel zpracování, kterým je výzkumná činnost těchto badatelů. Jak mají být určeny údaje, na které se souhlas vztahuje? Pokud budou zpracovávány citlivé údaje, musí být ze souhlasu zřejmé, na jaké konkrétní údaje se tento souhlas vztahuje. V případě rozhovoru to znamená vyjasnit, že souhlas se vztahuje na údaje obsažené právě v tomto rozhovoru, tedy specifikovat jméno informanta, datum rozhovoru, název výzkumu a organizace, která ho provádí, a nejlépe ještě jméno tazatele, který rozhovor sebral. Na jaké období má být souhlas poskytován? Souhlas nesmí být poskytován na dobu neurčitou. Zpracování osobních údajů musí být omezeno konkrétním obdobím. Nicméně toto období může být i velmi dlouhé. Například 30 let. Data bývají sbírána v rámci nějakého konkrétního výzkumného projektu často omezeného trváním výzkumného grantu. Nicméně je obvyklé, že badatel sebraná data využívá i po odevzdání závěrečné grantové zprávy. Proto je dobré souhlas svázat s prácí na konkrétním projektu a s navazující vědeckou činností účastníků projektu. Podle zákona je navíc potřeba dodat, že osobní údaje přestanou být zpracovávány nejpozději do nějakého období, například nejpozději do 30 let. Jak má být v písemném souhlasu charakterizován účel zpracování údajů? Popis účelu zpracování by měl postihovat tři věci. Zaprvé jak se bude s údaji zacházet v průběhu analýzy - jestli budou rozhovory zpracovávané anonymně nebo ne a k čemu a jak bude použito jméno a adresa. Zadruhé by souhlas měl uvádět, jakým způsobem se bude s údaji zacházet v publikacích nebo třeba při veřejných prezentacích výzkumu. Zda budou údaje anonymizovány nebo ne. A nakonec by ze souhlasu mělo být jasné, co se s osobními údaji stane po skončení výzkumu nebo po skončení práce s nimi, jestli budou zlikvidovány, anonymizovány nebo zda budou archivovány a v jaké podobě. Jsou někde zpracované nějaké vzory, podle kterých by se člověk mohl řídit při formulování souhlasu pro vlastní výzkum? Ano. Najdete je právě tady, na stránkách archivu Medard. Takhle vypadá souhlas, jehož text jsme konzultovali s Úřadem na ochranou osobních údajů: Dne 2.6.2002 jsem poskytl rozhovor Petrovi Novákovi v rámci výzkumného projektu Rodiny dlouhodobě nezaměstnaných. Na tomto výzkumu se podílí tým ve složení Aleš Rybný, Petr Novák, Kamila Neumannová a Jan Zámečník. Tým působí při Institutu AB na Vysoké škole XY. Pro účely analýzy v rámci uvedeného výzkumného projektu a pro zhely na něj navazující výzkumné činnosti jmenovaných řešitelů projektu smí být tento rozhovor zpracováván*: ˙ spolu s mým jménem a kontaktem na mojí osobu ˙ jen v anonymizované podobě bez souvislosti s mým jménem a kontaktem na mojí osobu V případě, že úryvky z tohoto rozhovoru budou součástí publikací nebo veřejných prezentací výsledků výzkumu*: ˙ souhlasím s tím, aby byly uváděny v souvislosti s mým jménem ˙ souhlasím s tím, aby byly uváděny v souvislosti s mým jménem, ale chci takový text předem autorizovat ˙ smí být uvedeny jen v anonymizované podobě bez mého jména a souvislosti s mojí osobou Až skončí výzkumný projekt Rodiny dlouhodobě nezaměstnaných, tento rozhovor*: ˙ smí být archivován a tím zprostředkován pro účely jiných výzkumů a dalších badatelů v plném rozsahu, včetně kontaktu na mojí osobou tak, aby mě další výzkumníci mohli v případě potřeby znovu oslovit, úryvky uvedené v publikovaných výstupech takových výzkumů budou anonymizovány ˙ smí být archivován a tím zprostředkován pro účely jiných výzkumů a dalších badatelů, ale pouze v anonymizované podobě, bez spojení s mým jménem a s mojí osobou ˙ smí být dále zpracováván jen výzkumníky jmenovanými v tomto souhlasu Na základě tohoto souhlasu smí být mé jméno, adresa a osobní údaje obsažené v tomto rozhovoru zpracovávány nejdéle 30 let. Pokud k tomu byl dán souhlas, smí poté být využívány podle zákona č. 97/1974 Sb. o archivaci. V opačném případě musí být rozhvor anonymizován. Jméno: Podpis: * vyberte jednu z uvedených možností Co jsou to anonymizované údaje podle zákona č. 101/2000? Definice anonymizace v §4, písm. c) zákona vyplývá z toho, co je podle zákona osobní údaj (více zde). Anonymizace podle zákona není tak složitá a pracná procedura, jakou často provádějí kvalitativní badatelé. Při anonymizaci kvalitativních dat podle zákona je nejprve třeba oddělit od nich identifikační údaje. To znamená, že ze samotných textů rozhovorů nebo jiných dokumentů je třeba smazat jména, adresy a telefonní čísla. Nicméně obvyklé je, že jména, adresy a telefony jsou zapsány ještě někde v pracovním diáři výzkumníka. Potom je třeba zrušit také jakékoli spojení mezi těmito údaji a daty. To například znamená, že u adresy v diáři nesmí mít výzkumník poznámku o přezdívce, jakou označuje rozhovor. Jinými slovy kvalitativní data jsou podle zákona anonymní v okamžiku, kdy je nelze spojit s identifikačními údaji. Samotné identifikační údaje, jména, adresy a telefonní čísla, je možné anonymizovat jedině tím, že budou zničeny. Jak je třeba pracovat s údaji o dalších lidech, které může vypravěč zmínit ve svém vyprávění? Údaje o třetích osobách, které se objeví v rozhovoru s nějakým člověkem, zpravidla nemají povahu osobních údajů. Tyto údaje by byly údaji osobními jedině tehdy, pokud by vypravěč v rozhovoru uvedl jméno a adresu takového člověka. To se nestává příliš často. Pokud by k tomu došlo, je asi nejlepší adresu zmíněného člověka z rozhovoru vymazat a tím údaj anonymizovat (o anonymizaci podle zákona více zde). Druhou alternativou vůči anonymizaci je získání souhlasu člověka, kterého se údaje týkají. To je ale krok, který je eticky prakticky nepřípustný. Jestliže někdo s výzkumníkem mluví o dalších lidech, často o nich mluví s vědomím, že jeho slova tito lidé neuslyší ani se o nich nedozví. Jak zákon upravuje předávání osobních údajů do jiných států? Předávání osobních údajů do jiných zemí se věnuje celá hlava III zákona (§27). Tento krok je možné učinit, pokud je splněna jedna ze dvou podmínek. Buď musí v cílové zemi platit obdobná právní úprava na ochranu osobních údajů, jako u nás. Pokud tato podmínka splněna není, je třeba získat souhlas subjektu údajů. Kromě toho je třeba požádat Úřad pro ochranu osobních údajů o povolení. Ten musí rozhodnout do 7 kalendářních dnů. Jak je to se registrací u ÚOOU? Jakmile má v rámci kvalitativního výzkumu docházet ke zpracování osobních údajů, je potřeba, aby správce osobních údajů byl zaregistrován u ÚOOÚ. Pokud správce zaregistrován není, musí na ÚOOÚ odeslat oznámení o zahájení zpracování osobních údajů. Zpracování osobních údajů, to znamená většinou sběr dat, může začít teprve v okamžiku, kdy správce osobních údajů obdrží od ÚOOÚ potvrzení o registraci jeho oznámení. Kdo je v případě kvalitativního výzkumu správcem osobních údajů, který by se měl registrovat? Ve většině případů by to měl být zaměstnavatel badatelů. Problémy mohou nastat, pokud je výzkumný tým složený z pracovníků různých organizací. Podobně sporná je role grantových agentur nebo jiných zdrojů financí pro výzkumnou činnost. V těchto sporných případech je nejlepší obrátit se s dotazem na ÚOOÚ. Bylo by užitečné, pokud byste o výsledcích takových dotazů informovali archiv Medard, abychom na jejich základě mohli zpřesňovat výklad zákona a informovat o něm ostatní. Správcem osobních údajů může být i fyzická osoba. To ovšem platí pouze v případě, kdy podniká výzkum na vlastní pěst, jako soukromá osoba. Jaký je postup při registraci zpracovatele osobních údajů? Nejlepší je zaregistrovat se prostřednictvím formulářů, které k tomuto účelu vydal ÚOOÚ. Tyto formuláře jsou k dispozici na finančních úřadech v Praze, v Brně, v Ostravě a v Plzni a na finančních úřadech ve všech okresních městech. Vzory formulářů jsou k nahlédnutí na stránkách ÚOOÚ (strana 1, strana 2, strana 3), ale jde jen o naskenované náhledy, jejich výtisky nepoužívejte k registraci. Formulář je třeba vyplnit a odeslat na adresu Úřadu pro ochranu osobních údajů: Havelkova 22, 130 00 Praha 3. Úřad by měl do 30 dnů odpovědět buď potvrzením registrace nebo výzvou k doplnění nebo opravě údajů uvedených v registračním formuláři. Jakmile obdržíte dopis s textem, že ÚOOU zaregistroval vaše oznámení, můžete začít sbírat data. Jak vyplnit registrační formulář? Zcela obecné pokyny pro vyplnění registračního formuláře najdete na stránkách ÚOOÚ (přímý odkaz je zde). Jinak v případě obvyklého kvalitativního výzkumu budete muset zaškrtnout téměř všechna políčka tiskopisu. Abyste mu lépe rozuměli, doporučujeme prostudovat si pozorně tuto stránku. O kousek níž si můžete přečíst podrobnější komentář k jeho vyplnění. Doporučujeme, abyste si tento komentář četli s formulářem před očima. Jeho vzor najdete zde: strana 1, strana 2, strana 3. Jak vyplnit jednotlivá políčka registračního formuláře? První strana formuláře, pole č. 1-5 Jde o údaje identifikující správce údajů. Pokud nevíte, jaká organizace by tu měla být uvedena, čtěte zde. Jinak by snad první stránka formuláře neměla být zdrojem žádných pochyb. Druhá strana formuláře, pole č. 6-12 Č. 6-8 opakují některé údaje z první strany formuláře. Č. 9, účel (účely) zpracování: zaškrtněte - v rámci souhlasu subjektu údajů; vědecká činnost; do políčka jiné účely doporučuji napsat např. kvalitativní výzkum. Políčko "oprávněné zveřejňování osobních údajů" byste měli zaškrtnou jen v případě, že byste z nějakého důvodu chtěli zveřejňovat neanonymizované pasáže dat včetně adres nebo jiných identifikačních údajů (o anonymizaci podle zákona najdete více informací zde). Č. 10, kategorie subjektů údajů: podle situace zaškrtněte buď osoby bez vztahu k oznamovateli nebo osoby s jiným vztahem k oznamovateli. Č. 11, kategorie osobních údajů: pokud děláte běžný kvalitativní výzkum, měli byste tu zaškrtnout všechna políčka různých kategorií citlivých údajů. I když se nebudete primárně zajímat o některé kategorie citlivých údajů, nemůžete si být jisti, že vám je lidé neřeknou. Adresní a identifikační údaje budete používat pro kontaktování lidí kvůli rozhovorům. Kromě toho budou rozhovory jistě obsahovat i řadu dalších osobních údajů - proto byste měli zaškrtnout i políčko "jiné osobní údaje". Č. 12, zdroje osobních údajů: téměř vždy bude třeba zaškrtnout políčko "přímo od subjektu údajů". Pokud budete rozhovory kombinovat s informacemi z médií nebo z archivů, měli byste zaškrtnout i políčko "z veřejných zdrojů". Pokud budete navíc používat i neanonymizovaná data získaná od jiných výzkumníků pracujících jinde než vy, zaškrtněte i políčko "od jiného správce". Pokud by šlo o výzkumníky pracující například na stejné vysoké škole jako vy, nepůjde o "jiného správce". Správcem je vždy celá právnická osoba, nikoli její zaměstnanci (více zde). Třetí strana formuláře, pole č. 13-18 Č. 13, popis způsobu zpracování osobních údajů: většinou zaškrtněte "manuální" - kvalitativní výzkum většinou nemá povahu nějakého automatického zpracování dat, a to ani v případě, že využíváte některý software pro kvalitativní analýzu. O "automatizované" zpracování osobních údajů by se jednalo tehdy, pokud byste adresy lidí, se kterými pracujete, ukládali do nějaké počítačové databáze. Dále zaškrtněte "vlastními pracovníky". Políčko "zpracovatelem" je třeba zaškrtnout jen tehdy, pokud zaměstnavatel výzkumníka uzavře smlouvu s nějakou jinou právnickou osobou - například pokud si najme nějakou jinou organizaci na sběr dat. Č. 14, adresa místa (míst) zpracování osobních údajů, je-li odlišná od adresy sídla (bydliště) oznamovatele: pokud jsou pracoviště výzkumníků jinde, než kde je oficiální sídlo jejich zaměstnavatele, měla by tu být uvedena adresa tohoto pracoviště. Č. 15, příjemce nebo kategorie příjemců, kterým mohou být údaje zpřístupněny či sdělovány: tohle políčko se týká především výzkumné spolupráce a případně archivace výzkumných dat. Pokud pracujete v rámci jedné právnické osoby a neanomizované údaje se nedostanou za její hranice, zaškrtněte "nebudou jiní příjemci než oznamovatel". Jinak je políčko 15 třeba vyplnit podle situace. Č. 16, předpokládané přenosy do jiných států: tady zaškrtněte buď "ano-jednorázový" nebo "ano-opakovaný", pokud budete spolupracovat s někým v zahraničí a budete přitom za hranice předávat neanonymizované osobní údaje (o anonymizaci podle zákona najdete více informací zde). V takovém případě je třeba vědět, jak je možné postupovat při předávání osobních údajů do jiných států. O tom naleznete více údajů zde. Č. 17, popis opatření k zajištění požadované ochrany osobních údajů podle §13 zákona č. 101/2000 Sb.: tohle políčko je třeba vyplnit podle situace v místě, kde probíhá výzkum. Pokud používáte výpočetní techniku, měli byste pro ochranu dat využívat alespoň antivirovou ochranu, případně kryptování a zaškrtnout příslušná políčka. Č. 18, propojení na jiné správce nebo zpracovatele: pokud nebude osobní údaje žádným způsobem sdílet s jinými právnickým osobami, pak zaškrtněte "ne". "Ano" zaškrtněte, pokud v rámci vašeho výzkumu budou osobní údaje nějakým způsobem překračovat hranice vašeho zaměstnavatele. Ať už směrem dovnitř, pokud budete získávat neanonymizovaná data od jiných výzkumníků, nebo analogickým způsobem směrem ven (o anonymizaci podle zákona najdete více informací zde). Jak má vypadat ochrana osobních údajů? Zákon nenařizuje žádná konkrétní opatření, která by měla osobní údaje ochránit před neoprávněným přístupem. Pouze říká, že zpracovatel musí přijmout opatření, která neoprávněnému přístupu nebo zneužití zamezí. Přesto je, myslím, dobré vyjmenovat několik věcí, na které by si kvalitativní badatel měl dát pozor. Většina práce v kvalitativním výzkumu se týká samotných dat. Proto je dobré tato data zbavit co možná největšího počtu identifikačních znaků. Ideální je na kazety ani na přepisy vůbec nepsat skutečná jména, ale rovnou zavést nějaké pseudonymy. Pokud se takový přepis někdy dostane mimo vaši kontrolu, nebude to znamenat tak velké ohrožení soukromí původce přepisu. Pokud je z nějakých důvodů takováhle praxe příliš nevýhodná, neměli byste nikdy s rozhovorem fyzicky spojovat více, než jméno příslušného člověka. Telefon a adresu si vždycky piště zvlášť, na jedno dobře kontrolovatelné místo. Výtisky rozhovorů, se kterými už nepracujete, byste měli zničit, nejlépe v nějakém skartovacím zařízení. Rozhodně byste je neměli dál používat, například tisknout jiné texty na jejich nepotištěnou stranu. Poměrně velké ohrožení znamenají také soubory s přepisy rozhovorů. Většinou nejde o ohrožení nějakým záměrným zneužitím. Jde především o to zamezit nahodilému přístupu k datům. Nebezpečí hrozí jak ve vašem osobním nebo pracovním počítači, tak na disketách nebo v emailu. Počítač vám může někdo ukrást. Navíc se k němu mohou většinou dostat i další lidé - minimálně další obyvatelé vaší domácnosti nebo kolegové v práci. Disketu snadno ztratíte, omylem zaměníte s jinou, zapomenete v disketové jednotce nějakého veřejného počítače nebo vám ji někdo odcizí i s kabelkou, batohem nebo kufříkem. Bez rizika rozhodně není ani email. Pro šikovného hackera není problém váš email někde zachytit a přečíst. Občas se člověk splete a pošle emil na špatnou adresu, apod. Pro soubory tedy platí totéž, co pro výtisky přepisů. Soubor s přepisem rozhovoru by měl obsahovat jen nezbytné minimum identifikačních údajů. To nejviditelnější je název souboru. Ten by proto neměl obsahovat jméno respondenta. Další minimální krok, který můžete udělat, je skladování a přenos souborů v komprimovaném tvaru. Pokud se k nim někdo náhodou dostane, bude muset udělat další krok k tomu, aby se do dat náhodou podíval. Ještě lepší je zkomprimovaný soubor zajistit přístupovým heslem. Například program Winzip takovou funkci má. Ideální je soubory s daty skladovat a přenášet zašifrované nějakou komplikovanější šifrou. Pokusíme se v budoucnu získat a zveřejnit nějaké podrobnější informace na tohle téma. Důležité pasáže zákona § 1 Předmět Zákon upravuje ochranu osobních údajů o úpravy fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států. § 3 Působnost (1) Zákon se vztahuje na osobní údaje, které zákona, odst. zpracovávají státní orgány, orgány územní 1-5 samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak. (2) Zákon se vztahuje na veškeré zpracování osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. (3) Zákon se nevztahuje na nahodilé shromažďování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu. (4) Zákon se nevztahuje na nahodilé shromažďování osobní údajů, pokud tyto údaje nejsou dále zpracovávány. (...) (5) Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony. § 4 Vymezení Pro účely tohoto zákona se rozumí pojmů, písm. a-a) osobním údajem jakýkoliv údaj týkající se f), j-l) určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků, b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů, c) anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů, d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují, e) zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace, f) shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uležení na nosič informací pro jejich okamžité nebo pozdější zpracování, g) uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat, j) správce každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak, k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona, l) zveřejněným osobní údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. § 5, odst. 1 Správce je povinen a) stanovit účel, k němuž mají být osobní údaje zpracovány, b) stanovit prostředky a způsob zpracování osobních údajů, c) zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné. Zjistí-li správce, že jím zpracovávané údaje nejsou s ohledem na stanovený účel pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon.11) [11) Například zákon č. 89/1995 Sb., zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 283/1991 Sb., ve znění pozdějších předpisů.] Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů, d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas, g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak, h) nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak. § 5, odst. 2, Správce může zpracovávat osobní údaje pouze se písm. d) souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.13) [13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných informačních prostředcích, ve znění pozdějších předpisů.] Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů § 5, odst. 4 Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13. [to neplatí pro citlivé údaje, viz § 9] § 5, odst. 5 Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písm. c) a g). Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas. § 9 Citlivé Citlivé údaje je možné zpracovávat, jen údaje, odst. 1 jestliže subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán. § 10 Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. § 12, odst. 2 Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud zákon nestanoví jinak. § 13 Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. § 16 (1) Ten, kdo hodlá zpracovávat osobní údaje, je Oznamovací povinen tuto skutečnost oznámit Úřadu před povinnost započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně. (2) Oznámení musí obsahovat následující informace: a) název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno, b) účel nebo účely zpracování, c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají, d) zdroje osobních údajů, e) popis způsobu zpracování osobních údajů, f) místo nebo místa zpracování osobních údajů, jsou-li odlišná od adresy sídla správce, g) příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány, h) předpokládané přenosy osobních údajů do jiných států, i) popis opatření k zajištění požadované ochrany osobních údajů podle § 13, j) propojení na jiné správce nebo zpracovatele. (3) Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17. (4) Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů. (5) Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval. § 17 (1) Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí. (2) Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil. (3) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém. (4) Po uplynutí lhůty stanovené podle odstavce 2 a 3 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí. § 17a (1) Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace. (2) Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší. (3) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší. § 19 Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost. § 27, odst. 1 Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně. § 27, odst. 2, Není-li podmínka podle odstavce 1 splněna, může písm a) být předávání osobních údajů uskutečněno, jestliže předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit. § 27, odst. 4 Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do 7 kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek. § 27, odst. 5 Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.