Ochrana osobních údajů
Mgr. Eva Fialová, LL.M.
eva.fialova@law.muni.cz
Právo informačních a komunikačních technologií I
2.4.2012
Ochrana soukromí online
1. Ochrana soukromí
2. Ochrana osobních údajů
3. Ochrana osobní cti a dobrého jména
2
Soukromí v mezinárodním a evropském právu
o Všeobecná deklarace lidských práv: čl. 12
o Mezinárodní pakt o občanských a politických právech: čl.
17
o EÚLP čl. 8: 1. Každý má právo na respektování svého
soukromého a rodinného života, obydlí a korespondence.
3
Soukromí v českém právu
o Čl. 7 Listiny: Nedotknutelnost osoby a jejího soukromí je zaručena.
Omezena může být jen v případech stanovených zákonem.
o Čl. 10 Listiny: (1) Každý má právo, aby byla zachována jeho lidská
důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno.
(2) Každý má právo na ochranu před neoprávněným zasahováním do
soukromého a osobního života.
(3) Každý má právo na ochranu před neoprávněným shromažďováním,
zveřejňováním nebo jiným zneužíváním údajů o své osobě.
o § 11 OZ: Fyzická osoba má právo na ochranu své osobnosti, zejména
života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého
jména a projevů osobní povahy.
o § 81/2 NOZ: Ochrany požívají zejména život a důstojnost člověka, jeho
zdraví a právo žít v příznivém životním prostředí, jeho vážnost, čest,
soukromí a jeho projevy osobní povahy.
4
OCHRANA SOUKROMÍ
5
Co je to soukromí?
o Právní definice chybí.
o ESLP č.13710/88 (Niemietz v. Německo): The Court does
not consider it possible or necessary to attempt an
exhaustive definition of the notion of "private life".
o ÚS 517/99: Právo na ochranu osobního soukromí je
právem fyzické osoby rozhodnout podle vlastního uvážení
zda, popř. v jakém rozsahu a jakým způsobem mají být
skutečnosti jejího osobního soukromí zpřístupněny jiným
subjektům a zároveň se bránit (vzepřít) proti
neoprávněným zásahům do této sféry ze strany jiných
osob.
6
Proč chránit soukromí?
o Soukromí hodnota samo o sobě
o Soukromí nutné z důvodu:
o osobní autonomie
o svobody jednání
o svobody projevu
o vymezení hranic výkonu veřejné moci
7
Míra ochrany soukromí
o Soukromí není absolutní hodnota, vždy nutné poměřovat s
jinými hodnotami (právo na informace, svoboda projevu,
ochrana bezpečnosti).
o Míra ochrany soukromí není u každého stejná (public
figures)
o přiměřené očekávání soukromí (reasonable expectation of
privacy):
 subjektivní kritérium: aktuální očekávání soukromí v
určité situaci
 objektivní kritérium: společnost uznává toto očekávání
jako přiměřené (Katz v. US 389 U.S. 347 (1967))
8
Dimenze soukromí
o Relační soukromí:
rodina, vztahy, right to be let alone
o Komunikační soukromí:
dopis, email, telefonní hovor
o Informační soukromí:
osobní údaje
„The claim of individuals, groups and institutions to
determine for themselves, when, how, and to what
extend information about them is comunicated to others.“
A. Westin: Privacy and Freedom
9
Ochrana osobních údajů a ochrana soukromí
o Soukromí - subjektivní
o Ochrana osobních údajů - objektivní
o Osobní údaje chráněny podle zákona ≠ nenarušené
soukromí
o Porušení zákona na ochranu osobních údajů ≠ narušené
soukromí
10
Web 2.0
11
Co hrozí na Webu 2.0 z hlediska soukromí?
o Ohrožení/narušení relačního soukromí
o Ohrožení/narušení informačního soukromí
o Data mining
o Krádež identity
o Sledování polohy a pohybu
o Cyberstalking
o Nemožnost oddělení sociálních rolí
o Nemožnost být zapomenut
12
Ohrožení/narušení relačního soukromí
13
Ohrožení/narušení informačního soukromí
14
Data mining
o shromažďování a vyhodnocování dat z různých
zdrojů/databází
 cíl: získat potenciálně využitelné informace
 vygenerování osobního údaje, který předtím nebyl k
dispozici
 zákaz sdružování osobních údajů získaných k rozdílným
účelům (§ 5/1 h) ZOOÚ)
15
Krádež identity
o nedovolené shromažďování a zneužití osobních údajů
 offline identita (jméno, rodné číslo, adresa)
 online identita (přihlašovací jméno, heslo, číslo kreditní
karty, expirace karty)
o Jak? Krádež osobního dokladu, phishing, pharming,
spyware, virus, trojský kůň...
16
Krádež identity
§ 230 TZ Neoprávněný přístup k počítačovému systému a nosiči informací
(1) Kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému
systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem
činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.
(2) Kdo získá přístup k počítačovému systému nebo k nosiči informací a
a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací,
b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže
nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní
neupotřebitelnými.
bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci
nebo jiné majetkové hodnoty.
(3) Odnětím svobody na šest měsíců až tři léta, zákazem činnosti nebo propadnutím věci
nebo jiné majetkové hodnoty bude pachatel potrestán, spáchá-li čin uvedený v odstavci 1
nebo 2
a) v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému
neoprávněný prospěch.
17
Sledování polohy a pohybu
o sledování elektronických stop uživatele internetu pro
komerční účely, pro účely vyšetřování
o Jak? Cookies, email, sociální sítě
Facebook places
18
Cyberstalking
§ 354 TZ nebezpečné pronásledování
Kdo jiného dlouhodobě pronásleduje tím, že
a) vyhrožuje ublížením na zdraví nebo jinou újmou jemu nebo jeho
osobám blízkým,
b) vyhledává jeho osobní blízkost nebo jej sleduje,
c) vytrvale jej prostřednictvím prostředků elektronických komunikací,
písemně nebo jinak kontaktuje,
d) omezuje jej v jeho obvyklém způsobu života, nebo
e) zneužije jeho osobních údajů za účelem získání osobního nebo jiného
kontaktu,
a toto jednání je způsobilé vzbudit v něm důvodnou obavu o jeho život
nebo zdraví nebo o život a zdraví osob jemu blízkých, bude potrestán
odnětím svobody až na jeden rok nebo zákazem činnosti.
19
Nemožnost oddělení sociálních rolí
o Sociální role: očekávaný způsob chování člověka v určité
situaci
o Web 2.0 znesnadňuje oddělení sociálních rolí.
o Splývá rozdíl mezi soukromým a veřejným prostorem.
20
Nemožnost být zapomenut
o Internet nezapomíná
o „Frajer je ten, koho na Googlu vůbec nenajdete“ (M.
Čermák)
o právo být zapomenut
21
OCHRANA OSOBNÍCH ÚDAJŮ
22
Právní úprava ochrany osobních údajů
o Směrnice 95/46/ES o ochraně fyzických osob v souvislosti
se zpracováním osobních údajů a o volném pohybu těchto
údajů
o Směrnice 2002/58/ES o zpracování osobních údajů a
ochraně soukromí v odvětví elektronických komunikací
o Směrnice 2006/24/ES o uchovávání údajů (Data
Retention)
o Zákon č.101/2000 Sb., o ochraně osobních údajů
o Zákon č. 127/2005 Sb., o elektronických komunikacích
23
Osobní údaj
o Osobní údaj: jakákoliv informace týkající se určeného
nebo určitelného subjektu údajů (§ 4a) ZOOÚ).
o Subjekt údajů: fyzická osoba, k níž se osobní údaje
vztahují (§ 4d) ZOOÚ).
o Určenost nebo určitelnost: subjekt údajů lze přímo či
nepřímo identifikovat
o Co je a co není osobní údaj?
24
Zpracovávání osobních údajů
o Zpracování osobních údajů: jakákoliv operace nebo soustava operací,
které správce nebo zpracovatel systematicky provádějí s osobními
údaji, a to automatizovaně nebo jinými prostředky. Zpracováním
osobních údajů se rozumí zejména shromažďování, ukládání na nosiče
informací, zpřístupňování, úprava nebo pozměňování, vyhledávání,
používání, předávání, šíření, zveřejňování, uchovávání, výměna,
třídění nebo kombinování, blokování a likvidace (§ 4e) ZOOÚ).
o Správce: každý subjekt, který určuje účel a prostředky zpracování
osobních údajů, provádí zpracování a odpovídá za něj (§ 4j) ZOOÚ).
o Zpracovatel: každý subjekt, který na základě zvláštního zákona nebo
pověření
25
Zásady zpracování osobních údajů
1. legalita zpracování (§ 5/2 ZOOÚ)
a) souhlas subjektu údajů (svobodný a vědomý projev vůle subjektu údajů,
jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů (§
4 n) ZOOÚ)
b) právní povinnost správce
c) plnění smlouvy
d) ochrana důležitých zájmů subjektu
e) zveřejnění v souladu ze zvláštním předpisem
f) nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce
nebo jiné dotčené osoby
g) osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné
správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho
funkčním nebo pracovním zařazení
h) zpracování pro účely archivnictví
26
Zásady zpracování osobních údajů
2. zpracovávání osobních údajů pouze ke stanovenému
účelu a v rozsahu nezbytném pro naplnění stanového
účelu (5/1 a), d) ZOOÚ)
3. zpracovávání přesných osobních údajů, aktualizace (5/1
c) ZOOÚ)
4. uchovávání osobních údajů pouze po dobu nezbytnou k
účelu jejich zpracování
5. zabezpečení (§ 13 ZOOÚ)
6. zákaz sdružování osobních údajů získaných k rozdílným
účelům (§ 5/1 h) ZOOÚ)
27
Souhlas se zpracováním
o písemně, ústně, konkludentně
o může být odvolán
o Jak posoudíme souhlas ke zpracování osobních údajů nezletilých?
§ 9 OZ: Nezletilí mají způsobilost jen k takovým právním
úkonům, které jsou svou povahou přiměřené rozumové a volní
vyspělosti odpovídající jejich věku.
nesouhlas nezletilého/ zákonného zástupce →správce nesmí osobní
údaje zpracovávat
souhlas nezletilého →zákonný zástupce může souhlas následně
odepřít
28
Citlivé údaje
osobní údaje vypovídající o:
 národnostním, rasovém nebo etnickém původu
 politických postojích
 členství v odborových organizacích
 náboženství a filozofickém přesvědčení
 odsouzení za trestný čin
 zdravotním stavu
 sexuálním životě
 genetický údaj
 biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci
subjektu údajů
- výslovný souhlas se zpracováním, poučení o právech
- správce povinen poučit subjekt o jeho právech
29
Práva subjektu
1. právo na informace o zpracovávání (§ 12 ZOOÚ)
2. žádost o vysvětlení (§ 21/1 a) ZOOÚ)
3. blokování, provedení opravy, doplnění likvidaci osobních
údajů (§ 21/1 b) ZOOÚ)
4. informovat ÚOOÚ (§ 21/3 ZOOÚ)
30
Povinnosti zpracovatele
1. informační povinnost (§ 11 ZOOÚ)
2. oznamovací povinnost (§ 16 ZOOÚ)
3. povinnost zabezpečení údajů (§ 13 ZOOÚ)
4. zachovávání mlčenlivosti (§ 15 ZOOÚ)
5. povinnost k nápravě (§ 21/2 ZOOÚ)
6. likvidace údajů po skončení účelu zpracování (§ 20
ZOOÚ)
7. zpracovávání pro účely marketingu
(§ 5/5 ZOOÚ)
31
Osobní údaje v elektronických komunikacích
o Provozní údaje § 90 ZEK:
- smazat nebo učinit anonymními, jakmile již nejsou
potřebné pro přenos zprávy
- Výjimka: vyúčtování, se souhlasem účastníka marketing
či poskytování služeb s přidanou hodnotou
o Lokalizační údaje § 91 ZEK:
- učinit anonymními
- Výjimka: se souhlasem účastníka poskytování služeb s
přidanou hodnotou
32
Data Retention
o § 90 odst. 3 a 4 ZEK:
- Uchovávání provozních a lokalizačních údajů, netýká se
obsahu zpráv
o Zrušen nálezem Ústavního soudu Pl. ÚS 24/10:
• Soukromí a informační sebeurčení
• Proporcionalita zásahu
• Zabezpečení údajů (uchovávání, odpovědnost)
• Vágnost právní úpravy (oprávněné osoby, účel)
33
Reforma ochrany osobních údajů
o Nařízení, které stanoví obecný rámec EU pro ochranu
údajů
o Úplná harmonizace
o Pravidla pro jednotný digitální trh
o Účinnost: 2 roky po vyhlášení ve Věstníku
34
Reforma ochrany osobních údajů
o Souhlas:
- výslovný (prohlášení, potvrzovací úkon)
- nebude opravňovat ke zpracování v případě značné
nerovnováhy subjekt – správce
o Posílení práv subjektu
- právo být zapomenut - správce na žádost smaže OÚ,
pokud již nejsou déle třeba ke zpracování, subjekt
odvolal souhlas se zpracováním
- snadnější přístup k údajům, právo obdržet kopii
- přenositelnost k jinému poskytovateli
35
Reforma ochrany osobních údajů
o Posílení bezpečnosti:
- Privacy by design and by default
- Neprodlené oznámení narušení (data breach)
o Zlepšení ochrany práva:
- Posílení nezávislosti a pravomocí orgánů
- Zlepšení správních a soudních prostředků při porušení
práva
o Závazná podniková pravidla (Binding Corporate Rules)
o Data Protection Impact Assassement
36
OCHRANA OSOBNÍ CTI A
DOBRÉHO JMÉNA
37
Ochrana osobní cti a dobrého jména na internetu
38
Náprava vzniklé újmy
§ 12/1 OZ: Fyzická osoba má právo se zejména domáhat, aby bylo upuštěno od
neoprávněných zásahů do práva na ochranu její osobnosti, aby byly odstraněny
následky těchto zásahů a aby jí bylo dáno přiměřené zadostiučinění.
§ 79/1 OSŘ: Řízení se zahajuje na návrh. Návrh musí kromě obecných náležitostí
(§ 42 odst. 4) obsahovat jméno, příjmení, bydliště účastníků, popřípadě rodná
čísla účastníků (obchodní firmu nebo název a sídlo právnické osoby, označení
státu a příslušné organizační složky státu, která za stát před soudem vystupuje),
popřípadě též jejich zástupců, vylíčení rozhodujících skutečností, označení
důkazů, jichž se navrhovatel dovolává, a musí být z něj patrno, čeho se
navrhovatel domáhá. Ve věcech vyplývajících z obchodních vztahů musí návrh
dále obsahovat identifikační číslo právnické osoby, identifikační číslo fyzické
osoby, která je podnikatelem, popřípadě další údaje potřebné k identifikaci
účastníků řízení. Tento návrh, týká-li se dvoustranných právních vztahů mezi
žalobcem a žalovaným (§ 90), se nazývá žalobou.
39
Svoboda projevu
o Mezinárodní pakt o občanských a politických právech: čl.
19
o EÚLP čl. 10. Každý má právo na svobodu projevu. Toto
právo zahrnuje svobodu zastávat názory a přijímat a
rozšiřovat informace nebo myšlenky bez zasahování
státních orgánů a bez ohledu na hranice. Tento článek
nebrání státům, aby vyžadovaly udělování povolení
rozhlasovým, televizním nebo filmovým společnostem.
o Listina čl. 17: (1) Svoboda projevu a právo na informace
jsou zaručeny.
40
Odpovědnost ISP podle zk. 480/2004
§ 5/1: Poskytovatel služby, jež spočívá v ukládání informací poskytnutých
uživatelem, odpovídá za obsah informací uložených na žádost uživatele, jen
a) mohl-li vzhledem k předmětu své činnosti a okolnostem a povaze případu
vědět, že obsah ukládaných informací nebo jednání uživatele jsou protiprávní,
nebo
b) dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných
informací nebo o protiprávním jednání uživatele a neprodleně neučinil veškeré
kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění
takovýchto informací.
§ 6: Poskytovatelé služeb uvedení v § 3 až 5 nejsou povinni
a) dohlížet na obsah jimi přenášených nebo ukládaných informací,
b) aktivně vyhledávat skutečnosti a okolnosti poukazující na protiprávní obsah
informace.
41
Povinnost ISP předat osobní údaje uživatele
o § 5/2 e) ZOOÚ: Správce může zpracovávat osobní údaje
pouze se souhlasem subjektu údajů. Bez tohoto souhlasu
je může zpracovávat, pokud je to nezbytné pro ochranu
práv a právem chráněných zájmů správce, příjemce nebo
jiné dotčené osoby; takové zpracování osobních údajů
však nesmí být v rozporu s právem subjektu údajů na
ochranu jeho soukromého a osobního života.
o Zpracovávání = předávání, šíření, zveřejňování
Cofola, Brno, 29.4.-1.5.2011 42
Povinnost ISP předat osobní údaje uživatele soudu
o Povinnost ISP předat osobní údaje uživatele soudu chybí.
o Promusicae (C-275/06): Směrnice 2000/31/ES
o elektronickém obchodu neukládá členským státům, aby
stanovily povinnost sdělit osobní údaje v rámci
občanskoprávního řízení.
o Zajištění spravedlivé rovnováhy mezi jednotlivými
základními právy chráněnými právním řádem Společenství,
a sice právem na ochranu soukromí, právem na ochranu
vlastnictví a právem na na účinnou právní ochranu
→ poškozený musí žalovat ISP na vydání osobních údajů
43
Zákonná povinnost ISP předat osobní údaje soudu
o Právo na svobodu projevu
o it is applicable not only to "information" or "ideas" that are
favourably received or regarded as inoffensive or as a
matter of indifference, but also to those that offend,
shock or disturb the State or any sector of the population.
(ESLP 5493/72, Handyside)
o Chilling effect
44
DĚKUJI ZA POZORNOST
Cofola, Brno, 29.4.-1.5.2011 45