NP305Zk Správní věda – 6. přednáška 11. 12. 2020 Petr Havlan Veřejná správa a informace Ochrana osobních údajů ve veřejné správě Osnova přednášky a její cíl * Veřejná správa a informace • základ právní úpravy • transparentnost vs. diskrétnost • právo na informace a svoboda projevu • omezení práva na informace a svobodu projevu • informační povinnost „povinných subjektů“ • Ochrana osobních údajů ve veřejné správě • ochrana osoby a jejího soukromí • ochrana osobních údajů v českém právním řádu • změny ve veřejnoprávní ochraně osobních údajů • Obecné nařízení o ochraně osobních údajů MU, Právnická fakulta, Katedra správní vědy a správního práva 2 [USEMAP] Osnova přednášky a její cíl – východiska veřejnoprávní úpravy ochrany osobních údajů – Nařízení – zásady pro zpracování osobních údajů podle Nařízení a zákona – o ochraně osobních údajů – práva subjektů údajů – předávání osobních údajů do jiných států – Úřad pro ochranu osobních údajů – –Cíl: cílem této přednášky je, aby studenti byli s to vymezit, co je podstatou vztahu veřejná správa a informace a co vše zahrnuje ochrana osobních údajů ve veřejné správě, resp. co obnáší její komplexní právní zajištění. MU, Právnická fakulta, Katedra správní vědy a správního práva 3 4 Základ právní úpravy * princip otevřenosti a transparentnosti VS * právo na informace, resp. informační povinnost pro tzv. povinné subjekty (čl. 17 LZPS, obecná úprava v zákoně č. 106/1999 Sb.) * * princip diskrétnosti (nepřístupnosti) * včetně : ochrany soukromí a před neoprávněným shromažďováním osobních údajů * (čl. 7 a 10 LZPS) [USEMAP] [USEMAP] 5 Transparentnost vs. diskrétnost * náročnost vymezování hranic mezi oběma principy * řešením = vyvažování, resp. poměřování * (což je projev principu proporcionality) * /Pozn.: GDPR předpokládá v čl. 85 a 86/ * založeno: * zákonem /např. u veřejných činitelů – střet zájmů – – z. č. 159/2006 Sb./, jinak * rozhodovací praxí (a metodika, zde MVČR, ÚOOÚ) * soudní judikatura/přezkum/(zejm. NSS, ÚS) * např. kdo je povinným subjektem; informace o platech a odměnách; kdo jsou příjemci veřejných prostředků dle z. č. 106/1999 Sb. * a také judikatura ESLP, SD EU [USEMAP] 6 Právo na informace a svoboda projevu * v principu zakotveno v čl. 17 LZPS: • • (1) Svoboda projevu a právo na informace jsou zaručeny. • (2) Každý má právo vyjadřovat své názory slovem, písmem, tiskem, obrazem nebo jiným způsobem, jakož i svobodně vyhledávat, přijímat a rozšiřovat ideje a informace bez ohledu na hranice státu. (3) Cenzura je nepřípustná. • [USEMAP] 7 Omezení práva na informace a svobodu projevu * čl. 17 odst. 4 LZPS * tedy pouze: • • formou zákona a • • ze stanovených důvodů: * ochrana práv a svobod druhých (osobnost, soukromí, osobní údaje, obchodní tajemství, autorská práva…) * bezpečnost státu a veřejná bezpečnost * ochrana veřejného zdraví a mravnosti – [USEMAP] Informační povinnost „povinných subjektů“ * čl. 17 odst. 5 LZPS: • • „Státní orgány a orgány územní samosprávy jsou povinny přiměřeným způsobem poskytovat informace o své činnosti. Podmínky a provedení stanoví zákon.“ • obecným zákonem v tomto smyslu je zákon č. 106/1999 Sb., o svobodném • přístupu k informacím • MU, Právnická fakulta, Katedra správní vědy a správního práva 8 [USEMAP] [USEMAP] 9 Ochrana osoby a jejího soukromí * čl. 7 LZPS •(1) Nedotknutelnost osoby a jejího soukromí je zaručena. Omezena může být jen v případech stanovených zákonem. •(2) Nikdo nesmí být mučen ani podroben krutému, nelidskému nebo ponižujícímu zacházení nebo trestu. * čl. 10 LZPS •(1) Každý občan má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. •(2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. •(3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. * [USEMAP] [USEMAP] 10 Ochrana osoby a jejího soukromí * v mezinárodních smlouvách a právu EU • • OSN - Všeobecná deklarace lidských práv (zejm. čl. 12) • • Rada Evropy - evropská Úmluva o ochraně lidských práv a základních svobod (čl. 8), /ČR od r. 1992/; Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No.8) /ČR od r. 2011/ • • EU - Listina základních práv EU (čl. 8). * - GDPR (General Data Protection Regulation) navazuje na (zrušenou) směrnici 46/95/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů * kontinuita úpravy, pojmů a požadavků na ochranu osobních údajů * [USEMAP] [USEMAP] [USEMAP] 11 Ochrana osobních údajů v českém právním řádu * soukromoprávní (tradiční) - občanský zákoník (§ 3, § 12 pod soudní ochranou, § 77 a n. - jméno, § 81 a n. osobnost člověka (chráněny mj. důstojnost, vážnost, čest, soukromí a projevy osobní povahy) • * veřejnoprávní • - obecně z. č. 110/2019 Sb., o zpracování osobních údajů •úprava vyvolána podmínkami informační společnosti • (snadné operace s velkým množství dat, tedy i snadné zneužití) •jde o věc veřejného zájmu, proto prosazována působením a prostředky veřejné moci (regulace, ÚOOÚ, sankce) –- trestní zákoník (§ 180) [USEMAP] [USEMAP] [USEMAP] 12 Změny ve veřejnoprávní ochraně osobních údajů * směrnice 46/95/ES zrušena a nahrazena obecným nařízení o ochraně osobních údajů (GDPR)-2016/679 * zákon č. 101/2000 Sb., o ochraně osobních údajů, nahrazen zákonem č. 110/2019 Sb. * dále: * („Trestněprávní“) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady2008/977/SVV * zákon změnový čili z. č. 111/2019 Sb. (mj. změna o.s.ř., s.ř.s., z. č.106/1999 Sb.) [USEMAP] [USEMAP] 13 Obecné nařízení o ochraně osobních údajů * Nařízení Evropského Parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice č.95/46/ES - GDPR * účinné od 25. května 2018. * právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji * přímo závazný předpis * umožňuje (ve vícero ustanoveních) odchylky pro úpravu členskými státy (viz např. čl. 87–90) [USEMAP] 14 Východiska veřejnoprávní úpravy ochrany osobních údajů * účel úpravy: ochrana soukromí * rozsah působnosti úpravy: • - zpracování osobních údajů podle Nařízení • - zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech • - zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky • - automatizované zpracování osobních údajů (výjimka dle čl. 2 odst. 2 písm. c/ Nařízení) • - postavení a pravomoc Úřadu pro ochranu osobních údajů [USEMAP] 15 Východiska veřejnoprávní úpravy ochrany osobních údaj * * vztah ke zvláštním zákonům (např. zákon o matrikách, zákon o evidenci obyvatel, zákon o archivnictví) ale také viz reflexi ochrany osobních údajů ve správním řádu • * Nařízení je lex generalis, obsahující konkrétní režim, tj. práva a povinnosti při nakládání s osobními údaji a obecné principy (zásady) ochrany soukromí [USEMAP] 16 Nařízení * rerspektuje: • - základy (opřené o hodnoty) - ústavní, mezinárodní a evropské (posílené v evropském právním a správním prostoru) – /ze základů vycházejí principy zpracování (nakládání) OÚ/ * respektuje, rozšiřuje a konkretizuje: • - principy nakládání s osobními údaji • - specifickou terminologii • - u veřejných institucí (tj. „povinných subjektů“ podle z. č. 106/1999 Sb.) nutnost nacházet proporcionalitu mezi zpřístupněním (zveřejněním) informace vs. ochranou soukromí tam, kde to výslovně neřeší zákon; řešení napomáhají principy /a judikatura a metodika ÚOOÚ/ * [USEMAP] 17 Nařízení * přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji * přizpůsobuje právní rámec ochrany osobních údajů dnešní době, k dosažení větší jednoty právního rámce ve všech zemích, na které dopadá * posiluje práva subjektů údajů, přičemž usiluje o to, dosáhnout sjednoceného výkladu Nařízení a dozoru jednotlivými dozorovými úřady (u nás ÚOOÚ), a to na stejném základě a na stejné úrovni v rámci celé EU; mj. s cílem umožnit subjektům údajů snáze se domoci nápravy a ochrany * posiluje odpovědnost správců 18 Nařízení •pojmy používané v Nařízení – čl. 4 („Definice“) • - vykazují specifický obsah a rozsah •• „subjekt údajů“(„SÚ“) - fyzická osoba, o jejíž údaje jde •• „osobní údaj“ (široce, obecně definován) •• „zvláštní kategorie“ (dříve „citlivý údaj“) - užší okruh, výslovný výčet, zvýšená ochrana •• „zpracování“ osobních údajů (pojat velmi široce, znakem je systematičnost operací s osobními údaji) •• „správce“ – provádí zpracování a odpovídá za něj •• „zpracovatel“ – postavení odvozené od správce (zpracovává pro něho osobní údaje) • [USEMAP] [USEMAP] 19 Nařízení * další pojmy * „omezení zpracování“ /obdoba dřívějšího „blokování“/ (odst. 3) * „profilování“ (odst. 4) * „pseudonymizace“ (odst. 5) * „evidence“ (odst. 6) * „porušení zabezpečení osobních údajů“ (odst. 12) * „relevantní a odůvodněná námitka“ (správce ) vůči návrhu rozhodnutí, nebo při posuzování souladu (odst. 24) * „přeshraniční zpracování“,… * zejména pro soukromý sektor: * •„hlavní provozovna“ * •„podnik“, „skupina podniků“ * •„závazná podniková pravidla“. [USEMAP] Nařízení * Nařízení - zakládá dva komplexní principy •I. Princip odpovědnosti správce („OS“) * správce odpovídá za dodržení zásad zpracování, které jsou uvedeny – v čl. 5 odst. 1 Nařízení * správce musí být schopen toto dodržení souladu doložit – (k dokládání souladu budou mj. sloužit kodexy, osvědčení, certifikace, případně záznamy o činnostech zpracování) •II. Princip přístupu založeného na riziku („PZR“) * správce již od počátku záměru, resp. koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob, přičemž tomu musí přizpůsobit zpracování a (také) zabezpečení osobních údajů * rozlišuje se riziko a vysoké riziko pro práva a svobody fyzické osoby * na bázi uvedených principů se uplatňují konkrétní povinnosti, potažmo zásady MU, Právnická fakulta, Katedra správní vědy a správního práva [USEMAP] 21 Zásady pro zpracování osobních údajů podle Nařízení a zákona o ochraně osobních údajů * povinnosti správce a zpracovatele • (platí potud, pokud konkrétní ustanovení nestanoví odchylně, resp. pokud není využita možnost členského státu upravit, dle některých ustanovení, odlišně) • * obecné východisko – souhlas subjektu údajů (jde o zásah do soukromí osoby ústavně chráněné) * v Nařízení je to jeden z „legitimních účelů“ pro zpracování (čl. 6) * podmínky souhlasu - čl. 7 Nařízení * podmínky souhlasu u dítěte - čl. 8 Nařízení [USEMAP] [USEMAP] 22 Zásady pro zpracování osobních údajů podle Nařízení a zákona o ochraně osobních údajů •povinnosti správce ve formě zásad čl. 5 a 6 Nařízení * „zákonnost, korektnost, transparentnost“ * „účelové omezení“ * „minimalizace údajů“ * „omezení uložení“, jde tedy o jakousi minimalizaci časovou * „přesnost“ * „integrita a důvěrnost“ •vše v rámci „principu odpovědnosti správce“ (došlo ke zvýšení a rozšíření odpovědnosti správce (a zpracovatele), z čehož plyne redukce paternalistické role Úřadu pro ochranu osobních údajů) * Pozn. • Podobně náročně „nastaveno“ také v zákoně o ochraně osobních údajů (zabezpečení osobních údajů před neoprávněným nebo i nahodilým přístupem, mlčenlivost, technická a organizační opatření k zajištění přijetí, provedení a dokumentování osobních údajů, posuzování rizik, přístupová práva, záznamy, …) * [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] 23 Zásady pro zpracování osobních údajů podle Nařízení a zákona o ochraně osobních údajů * „zákonnost zpracování“ - čl. 6 odst. 1 Nařízení * zpracování je zákonné, pokud je splněna nejméně jedna z dále uvedených podmínek (a pouze v odpovídajícím rozsahu): * „souhlas“ subjektu údajů * nezbytné pro „splnění smlouvy“ * nezbytné pro „splnění právní povinnosti“ * nezbytné pro „ochranu životně důležitých zájmů“ * nezbytné pro „splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci“ * nezbytné pro „účely oprávněných zájmů správce nebo třetí strany“ * v Nařízení jsou stanoveny podmínky pro event. využití zpracovaných údajů pro jiný účel, než pro který byly shromážděny (archivnictví, statistika…) [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] 24 Zásady pro zpracování osobních údajů podle Nařízení a zákona o ochraně osobních údajů •nové povinnosti při zpracování osobních údajů •liší se: * podle správce či zpracovatele * podle druhu, resp. rizikovosti zpracování, resp. podle míry ohrožení osobních údajů * slouží k naplnění principů „OS“ a „PZR“ * vést záznamy o činnostech zpracování osobních údajů (čl. 30 Nařízení) * provádět posuzování vlivu zpracování na ochranu osobních údajů (čl. 35 Nařízení) * vyžádat si přechozí konzultaci u dozorového úřadu – ÚOOÚ (čl. 36 Nařízení) [USEMAP] [USEMAP] Zásady pro zpracování osobních údajů podle Nařízení a zákona o ochraně osobních údajů •nové povinnosti při zpracování osobních údajů * ohlásit případ porušení zabezpečení osobních údajů ÚOOÚ (čl. 33 Nařízení) * oznámit případ porušení zpracování osobních údajů subjektu údajů (čl. 34 Nařízení) • * institucionální: * ustavit pověřence pro ochranu osobních údajů a vytvořit podmínky pro jeho činnost (čl. 37–39 Nařízení) * vždy u orgánu veřejné moci a veřejného subjektu (s výjimkou soudů v rámci soudní pravomoci). • MU, Právnická fakulta, Katedra správní vědy a správního práva 25 [USEMAP] [USEMAP] [USEMAP] 26 Práva subjektů údajů •čl. 12 až 22 Nařízení * právo na to být informován o zpracování osobních údajů (čl. 12) * právo na přístup k osobním údajům (čl. 13-15) * právo na opravu, resp. doplnění (čl. 16) * právo na výmaz („být zapomenut“) (čl. 17) * právo na omezení zpracování (čl. 18) * právo na přenositelnost údajů (čl. 20) * právo vznést námitku (čl. 21) * právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (čl. 22) •právo na právní ochranu (čl. 77-82) * právo na stížnost, na soudní ochranu vůči ÚOOÚ a vůči správci nebo zpracovateli, na zastupování, na náhradu újmy [USEMAP] [USEMAP] [USEMAP] 27 Předávání osobních údajů do jiných států * jde o zajištění standardů ochrany osobních údajů * důležitou úlohu zde hraje Úřad pro ochranu osobních údajů • * v rámci EU nelze předávání osobních údajů bránit * standardy zajištěny: * původně Směrnicí Evropského parlamentu a Rady (EU) 95/46/ES * nyní obdobně čl. 44 až 50 Nařízení • [USEMAP] 28 Úřad pro ochranu osobních údajů * je nezávislý dozorový orgán, který působí jako ústřední správní úřad pro oblast ochrany osobních údajů * hlavní úkoly: monitorovat a vymáhat uplatňování Nařízení a dalších předpisů upravujících otázky ochrany osobních údajů (tedy působit jako dozorový úřad) a zvyšovat povědomí veřejnosti o ochraně osobních údajů * konzultační činnost poskytuje správcům a subjektům údajů; zobecňuje ji a zveřejňuje * kontrolní činnost se silnými oprávněními kontrolujícího; režim podle kontrolního řádu (z. č. 255/2012Sb.) * ukládá opatření k odstranění nedostatků • • [USEMAP] [USEMAP] [USEMAP] 29 Úřad pro ochranu osobních údajů •sankční pravomoc podle Nařízení * ukládání správních pokut (čl. 83) * další sankce (čl. 84) * •sankční pravomoc podle ZZOÚ * projednávání přestupků a ukládání pokut (§ 61-65) * •sankční pravomoc podle dalších zákonů * (služby elektronické společnosti, střet zájmů, evidence obyvatel, rodné číslo,…) •rozhodnutí Úřadu podléhají soudnímu přezkumu ve správním soudnictví (předchází mu rozklad k předsedovi Úřadu) • • [USEMAP] [USEMAP] [USEMAP] [USEMAP] [USEMAP] 30 Prameny ke studiu •- Skulová, S. a kol. Základy správní vědy. 2. vyd. Brno: Masarykova univerzita, 2014, s. 184-191 - •- zdroje informací k Nařízení zejména: * A. pro obce a kraje * Ministerstvo vnitra ČR: www.mvcr.cz/gdpr/ – * B. obecně, včetně soukromého sektoru * Úřad pro ochranu osobních údajů: www.uoou.cz