NP305Zk Správní věda 5. přednáška – 30.11.2018 Veřejná správa a informace. Ochrana osobních údajů ve veřejné správě doc.JUDr. Soňa Skulová, Ph.D Základ právní úpravy: Ústavní úprava nakládání s informacemi ve veřejné správě. Platí protikladné principy, resp. požadavky: • princip otevřenosti + transparentnosti VS = právo na informace, resp. informační povinnost pro tzv. povinné subjekty (čl. 17 LZPS, + obecná úprava v zákoně č. 106/1999 Sb., v platném znění vs. • princip diskrétnost (nepřístupnost) Včetně : ochrany soukromí a před neoprávněným shromažďováním osobních údajů (čl. 7 a 10 LZPS). Vztah transparentnost vs. diskrétnost: • Náročnost vymezování hranic mezi oběma principy. • Řešením = vyvažování, resp. poměřování, (projev principu proporcionality). /Pozn.: GDPR předpokládá v čl. 85 a 86./ • Založeno: - zákonem /např. u veřejných činitelů – střet zájmů – z.č.159/2006 Sb./, jinak - rozhodovací praxí (+ metodika, zde MVČR, ÚOOÚ) + soudní judikatura /přezkum/ (zejm. NSS, Ústavní soud (např. kdo je povinným subjektem, informace o platech a odměnách, kdo jsou příjemci veřejných prostředků dle z.č. 106/99 Sb.). Také judikatura ESLP, SD EU). Právo na informace a svoboda projevu – zakotveno v čl. 17 LZPS: • (1) Svoboda projevu a právo na informace jsou zaručeny. • (2) Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu. • (3) Cenzura je nepřípustná. • (4) Svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti.“ Informační povinnost „povinných subjektů“ ( čl. 17 odst. 5 LZPS): „Státní orgány a orgány územní samosprávy jsou povinny přiměřeným způsobem poskytovat informace o své činnosti. Podmínky a provedení stanoví zákon.“ = Konkrétní úprava : zákon č. 106/1999 Sb. Omezení práva na informace a svobody projevu dle čl. 17 odst. 4 LZPS pouze: • formou zákona • ze stanovených důvodů:  ochrana práv a svobod druhých (osobnost, soukromí, osobní údaje, obchodní tajemství, autorská práva…),  bezpečnost státu a veřejná bezpečnost, (  ochrana veřejného zdraví a mravnosti. Ochrana osoby a jejího soukromí Listina základních práv a svobod: Čl. 7 • (1) Nedotknutelnost osoby a jejího soukromí je zaručena. Omezena může být jen v případech stanovených zákonem. • (2) Nikdo nesmí být mučen ani podroben krutému, nelidskému nebo ponižujícímu zacházení nebo trestu. Čl. 10 • (1) Každý občan má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. • (2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. • (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Ochrana osoby a jejího soukromí - v mezinárodních smlouvách + právu EU: • OSN - Všeobecná deklarace lidských práv (zejm. čl. 12), • Rada Evropy - evropská Úmluva o ochraně lidských práv a základních svobod (čl. 8), /ČR od r. 1992/. - Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No.8) /ČR od r. 2011/ • EU: - Listina základních práv EU(čl. 8). - Směrnice 46/95/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Vycházel z ní z.č. 101/2000 Sb. = kontinuita úpravy, pojmů a požadavků na ochranu osobních údajů. - GDPR na Směrnici navazuje. Listina základních práv EU Článek 8 Ochrana údajů osobního charakteru 1. Každý člověk má právo na ochranu údajů osobního charakteru, které se ho týkají. 2. S těmito údaji musí být nakládáno čestně, pouze k přesně danému účelu a na základě souhlasu dotyčné osoby či na základě jiného legitimního opodstatnění uvedeného v zákoně. Každý člověk má právo na přístup k údajům shromážděným o jeho osobě a na jejich zpřesnění. 3. Respektování těchto pravidel podléhá kontrole nezávislé moci. Režimy ochrany osobních údajů v našem právním řádu: • soukromoprávní (tradiční) – Občanský zákoník (§ 3, § 12 - pod soudní ochranou, § 77a n. – jméno, § 81 a n. – osobnost člověka (chráněny mj. důstojnost, vážnost, čest, soukromí a projevy osobní povahy). • veřejnoprávní ( obecně - z.č.101/2000 Sb., posléze GDPR). Úprava vyvolána podmínkami informační společnosti – snadné operace s velkým množství dat, tedy i zneužití (slabší postavení osob). = je věcí veřejného zájmu, prosazován působením a prostředky veřejné moci (proto regulace, Úřad, sankce). A také trestní zákoník (z.č.40/2009 Sb.): § 180 Neoprávněné nakládání s osobními údaji • (1) Kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti. • (2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Změny ve veřejnoprávním režimu ochrany osobních údajů: • od 25.května 2018 – směrnice 46/95/ES zrušena, nahrazena I. Obecným nařízením - GDPR - 2016/679. • Vedle toho (mimo rámec GDPR): („Trestněprávní“) II. Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV – ta implementována – III. Zákonem o zpracování osobních údajů (v legislativním procesu), který dále upraví i otázky neupravené GDPR (např. postavení a působnost ÚOOÚ), či přinese odchylnou vnitrostátní úpravu. Zruší zákon o ochraně osobních údajů. + IV. Zákon změnový (mj. změna o.s.ř., s.ř.s., z.č.106/1999 Sb…) . GDPR – Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice č. 95/46/ES (Obecné nařízení o ochraně osobních údajů). Účinné od 25. května 2018. = právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. Přímo závazný předpis. Umožňuje ve více ustanoveních - odchylky pro úpravu členskými státy (srov. např. čl. 87 – 90). Východiska veřejnoprávní úpravy ochrany osobních údajů: • účel úpravy (ochrana soukromí) • rozsah působnosti úpravy (vztahuje se na veškeré zpracování osobních údajů, a to jakýmkoliv druhem subjektu, jakýmkoliv způsobem (§ 3 ZOOÚ), - čl. 2 odst. 1 GDPR = automatiz., poloautomatiz., neautomatiz. zpracování (= jsou nebo budou obsaženy v evidenci), Výjimka - FO při výlučně osobních či domácích činnostech (GDPR - čl. 2 odst.2. písm. c). • vztah ke zvláštním zákonům, např. zákon o matrikách, zákon o evidenci obyvatel, z. o archivnictví,… ale také srov. reflexi ochrany osobních údajů ve správním řádu. (dříve ZOOÚ) - nyní GDPR = lex generalis, obsahující konkrétní režim, tj. práva a povinnosti při nakládání s osobními údaji + obecné principy - zásady (k ochraně soukromí). Význam a náročnost ochrany osobních údajů v činnosti veřejné správy: • kvantita údajů, (evidence obyvatel, základní registry – z.111/2009 Sb.), povinnost třetích osob údaje předávat, …. • množství osob s údaji pracujících, nároky na nakládání s údaji ( zejm. zásada legality, přiměřenosti, respektu k právům osob) • S tím spojena povinnost chránit údaje, včetně povinnosti mlčenlivosti . • + na druhé straně povinnost stanovenými postupy informace poskytovat (z.č.106/1999 Sb., z.č. 123/1998 Sb., nahlížení do spisu dle správního řádu, z. o obcích, z. o krajích – práva občanů obce nebo kraje,…) • Tato specifika odráží také GDPR – některé odlišnosti pro orgány veřejné moci nebo veřejné subjekty (- povinnost jmenovat pověřence pro OOÚ /čl. 37 odst. 1/, - výjimka z monitorování kodexů akreditovaným subjektem /čl. 41 odst. 6/, možnost státu upravit si pravidla pro ukládání pokut /čl. 83 odst. 7/. Co zůstalo, a co je s Nařízením jinak. Stále platí: I. Základy (opřené o hodnoty) - ústavní, - mezinárodní, a evropské (avšak posíleny v evropském právním a správním prostoru). Ze základů vycházejí principy zpracování (nakládání) s OÚ. Stále platí, resp. jsou rozšířeny a konkretizovány: II. Principy nakládání s osobními údaji (Nařízení - konkrétněji rozvádí, doplňuje, upřesňuje působení – viz „recitály“ – důvodová zpráva, výklad). III. Specifická terminologie III. U veřejných institucí (tj. „povinných subjektů“ dle z.č.106/1999 Sb.) nutnost nacházet proporcionalitu mezi: zpřístupněním (zveřejněním) informace vs. ochranou soukromí tam, kde neřeší zákon výslovně. K řešení otázek napomohou principy / + judikatura, metodika ÚOOÚ/. (Nařízení - čl. 85, 86) Nařízení přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji. Přizpůsobuje právní rámec ochrany osobních údajů dnešní době, k dosažení větší jednoty právního rámce ve všech zemích, na které dopadá, posiluje práva subjektu údajů, se snahou dosáhnout sjednoceného výkladu Obecného nařízení a dozoru jednotlivými dozorovými úřady (u nás ÚOOÚ), a to na stejném základě a na stejné úrovni v rámci celé EU. Posílena: - odpovědnost správců - práva osob (subjektů údajů), včetně usnadnění domoci se nápravy a ochrany , a to v rámci EU. Pojmy používané v GDPR (čl. 4 –“Definice“) (se specifickým obsahem a rozsahem): • „subjekt údajů“ („SÚ“) = fyzická osoba, o jejíž údaje jde, • „osobní údaj“ (široce , obecně definován) • „zvláštní kategorie“ (dříve „citlivý údaj“) ( užší okruh, výslovný výčet, zvýšená ochrana • „zpracování“ osobních údajů ( zde velmi široce, znakem je systematičnost operací s osobními údaji),… • „správce“ – provádí zpracování, odpovídá za něj, • „zpracovatel“ – postavení odvozené od správce. Nové pojmy v Nařízení: • „omezení zpracování“ (obdoba dosavadního „blokování“ – odst. 3) • „profilování“ (odst. 4) • „pseudonymizace“ (odst. 5) • „evidence“ (odst. 6) • „porušení zabezpečení osobních údajů“ (odst. 12) • „relevantní a odůvodněná námitka“ (správce ) – vůči návrhu rozhodnutí, nebo při .posuzování souladu (odst. 24) • „přeshraniční zpracování“,… + další, zejména pro soukromý sektor: • „hlavní provozovna“ • „podnik“, „skupina podniků“ • „závazná podniková pravidla“. Nařízení - zakládá dva komplexní principy, jež je nutno trvale brát v úvahu, resp. prolínají Nařízením: I. Princip odpovědnosti správce („OS“): Správce odpovídá za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Nařízení. Správce musí být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech zpracování. II. Přístup založený na riziku („PZR“): Správce již od počátku záměru, resp. koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit zpracování a také zabezpečení osobních údajů. Rozlišuje se riziko či vysoké riziko pro práva a svobody fyzické osoby. Na bázi uvedených principů se uplatňují konkrétní povinnosti, resp. zásady. Zásady pro zpracování osobních údajů dle (ZOOÚ a) Nařízení: = povinnosti správce a zpracovatele. - vždy platí obecně, pokud konkrétní ustanovení nestanoví odchylně /resp. pokud není využita možnost členského státu upravit odlišně – dle některých ustanovení/. Obecné východisko: Souhlas subjektu údajů (jde o zásah do sféry soukromí osoby ústavně chráněné). V Nařízení je to jeden z „legitimních účelů“ pro zpracování (čl. 6). Podmínky souhlasu v čl. 7, u dítěte v čl. 8. Správce - schopnost doložit. Před udělením – SÚ informován ( dosud v § 11 – 12 ZOOÚ). SÚ může souhlas odvolat. Písemný – odlišitelnost, srozumitelnost (odst. 2). Povinnosti správce - ve formě zásad (čl. 5 + čl. 6) • „Zákonnost, korektnost“ • „Transparentnost“ vůči SÚ • „Účelové omezení“ = povinnost mít pro zpracování minimálně 1 legitimní účel, shromažďovat pouze pro takový účel, nezpracovávat pro důvod neslučitelný s původním. souhlas nebo jiný účel uvedený v čl. 6 odst. 1 + „minimalizace údajů“ = nezbytný rozsah údajů ve vztahu k účelu zpracování (čl. 5 odst. 1 písm. c), + minimalizace časová - „omezení uložení“ – po dobu nezbytně nutnou pro daný účel zpracování. • „Přesnost“ zpracovávaných údajů = nelze vědomě nepřesné + povinnost aktualizace, vymazání, opravy. Další zásada: „Integrita a důvěrnost“ zpracování a systémů = zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním), + prevence (opatrnost, uvážlivost) (písm. f) + zejm. čl. 32), v rámci „principu odpovědnosti správce“. = zvýšení a rozšíření odpovědnosti správce (a zpracovatele), redukce paternalistické role Úřadu pro OOÚ). ------------------------ POZN.: Již v ZOOÚ bylo náročně nastaveno (§ 13 – 15) : - zabezpečení osobních údajů (před neoprávněným nebo i nahodilým přístupem). - mlčenlivost (§ 15). Technicko - organizační opatření k a zajištění osobních údajů přijmout, provést a dokumentovat (§ 14 odst. 2). Posuzování rizik (odst.3), přístupová práva, záznamy (odst.4, § 14). Ad „Zákonnost zpracování“ ( čl. 6): Nezbytná existence alespoň 1 legitimního účelu z uvedených:  - souhlas subjektu údajů,  - nezbytné pro splnění smlouvy,  -nezbytné pro splnění právní povinnosti správce,  - nezbytné pro ochranu životně důležitých zájmů s.ú. či jiné FO,  - nezbytné pro účely oprávněných zájmů správce nebo 3. strany ( s vyvážením zájmů či základních práv SÚ,  nezbytné pro úkoly ve veřejném zájmu nebo pro výkon veřejné moci jímž je správce pověřen (musí mít právní základ, může být konkretizováno – typicky ve zvl. předpisech + úprava přiměřená sledovaném u legitimnímu cíli) (písm. e). + stanoveny podmínky event. využití pro jiný než pro účel, než pro který byly shromážděny (archivnictví, statisktika…). -neplatí stejně pro všechna zpracování a všechny správce. Liší se: - dle správce či zpracovatele, - dle druhu, resp. rizikovosti zpracování, resp. dle míry ohrožení os. údajů. = slouží k naplnění principů „OS“ a „PZR“: • Vést záznamy o činnostech zpracování osobních údajů (čl. 30) • Provádět posuzování vlivu zpracování na ochranu osobních údajů (čl. 35)  Vyžádat si přechozí konzultaci u dozorového úřadu – ÚOOÚ (čl. 36)  Ohlásit případ porušení zabezpečení osobních údajů Úřadu (čl. 33)  Oznámit případ porušení zpracování osobních údajů subjektu údajů (čl. 34) + Institucionální: Ustavit pověřence pro ochranu osobních údajů a vytvořit podmínky pro jeho činnost (čl. 37 – 39) – vždy u orgánu veřejné moci a veřejného subjektu (s výj. soudů v rámci soudní pravomoci). Nové povinnosti při zpracování osobních údajů: Práva subjektů údajů (čl. 12 – 22 Nařízení) • právo na to být informován o zpracování osobních údajů - čl. 12 • právo na přístup k osobním údajům, - čl. 13-15 • právo na opravu, resp. doplnění, - čl. 16 • právo na výmaz („být zapomenut“), - čl. 17 • právo na omezení zpracování, - čl. 18 • právo na přenositelnost údajů, - čl. 20 • právo vznést námitku, - čl. 21 • právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. - čl. 22 + Právo na právní ochranu (čl. 77 – 82): - právo na stížnost, - na soudní ochranu vůči Úřadu a vůči správci nebo zpracovateli, - na zastupování, - na náhradu újmy. Předávání osobních údajů do jiných států - k zajištění standardů ochrany osobních údajů, úloha Úřadu pro ochranu osobních údajů. • v rámci EU nelze bránit. Standardy zajištěny : • původně Směrnice Evropského parlamentu a Rady 95/46/ES . • Obdobně - GDPR (čl. 44 – 50). Úřad pro ochranu osobních údajů Dozorový orgán – nezávislý. Působí jako ústřední správní úřad pro oblast ochrany osobních údajů. Hlavní úkoly: monitorovat a vymáhat uplatňování obecného nařízení a dalších předpisů upravujících některé otázky ochrany osobních údajů, tedy působit jako dozorový úřad, a zvyšovat povědomí veřejnosti o ochraně osobních údajů. ------------------------------------------------------------------------------------------------------- - Konzultační činnost – skupinám správců, i jednotlivým, i subjektům údajů. + zobecňuje, zveřejňuje na svých stránkách. - Kontrolní činnost - se silnými oprávněními kontrolujících, režim dle kontrolního řádu (z.č. 255/2012 Sb.) (kontrolní protokol, námitky k předsedovi Úřadu), - Sankce, opatření k nápravě. Dle Nařízení: Sankce nikoliv nepatrné – avšak uplatňovány dle obecných zásad trestání, a navazují na dosavadní umírněnou praxi Úřadu. + na úrovni EU: „Evropský sbor pro ochranu osobních údajů“ ( čl. 68 – 76) – ze skupiny WP29. • V Nařízení - maximální výše pokut za porušení určitých povinností až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. • V návrhu ZOZPÚ – limit pro orgány veřejné moci. Úřad pro ochranu osobních údajů - sankční pravomoc: • za porušení povinností stanovených GDPR. • Sankční pravomoc Úřad i dle dalších zákonů (služby elektronické společnosti, střet zájmů, evidence obyvatel – rodné číslo,…). • Rozhodnutí Úřadu podléhají soudnímu přezkumu ve správním soudnictví (nejprve rozklad k předsedovi Úřadu). Zdroje informací k Nařízení a spol.: Zejména: A. (zejména pro obce a kraje) Ministerstvo vnitra ČR: www.mvcr.cz/gdpr/ B. (obecně, včetně soukromého sektoru) Úřad pro ochranu osobních údajů: www.uoou.cz Problémy k řešení – konfliktní body mezi ochranou soukromí a právem na informace (informační povinností): • Vztah ke správnímu řádu (poskytnutí kopie spisu, nahlížení do spisu), • Informování ve zpravodajích a na webových stránkách, • Ochrana soukromí veřejných funkcionářů a úředníků (zaměstnanců) správních orgánů, • Informace o platech a odměnách, (rozšířený senát NSS – sp.zn. 8 As 55/2012 -62), Odlišně nyní Ústavní soud IV. ÚS 1378/16 ze dne 27.10.2017 K tomu MV ČR: - Metodické doporučení k poskytování informací o platech a odměnách podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím (k 30.11.2017). Děkuji za pozornost….