28. 8. 2012
Mluvíme-li o zpracování osobních údajů, každého
provozovatele čerpací stanice okamžitě napadne - kamerový systém.
Další činnosti, které jsou zpracováním osobních údajů, je již
nenapadnou. Rozsah činností, jež jsou zpracováním osobních údajů,
je však nečekaně široký.
Co považujeme za zaznamenání osobních údajů
Zcela obecně jde o situaci, kdy lze jednotlivý dokument
obsahující osobní údaje změnit například na datový soubor,
kartotéku, databázi, seznam nebo tabulku. Avšak jednotlivý
dokument, jako je například občanský průkaz, smlouva, fotografie
nebo hlasový záznam konkrétní osoby, nelze za zpracování osobních
údajů považovat. Za zpracování osobních údajů považujeme až
situaci, kdy jsou dále prováděny s osobními údaji systematicky
úkony, na základě kterých lze subjekty údajů vyhledávat či třídit
podle zaznamenaných kritérií. Věc vysvětlím na možném příkladu z
praxe. Dojde k situaci, kdy zákazník nemá na zaplacení PHM, sám
přijde k obsluze, vysvětlí důvod a obsluze předloží občanský
průkaz za účelem prokázání své totožnosti, aby provozovatel měl
možnost v budoucnu případně vymáhat dlužnou částku. Obsluha si
opíše identifikační údaje osoby, poté zákazník odjede pro peníze,
vrátí se na čerpací stanici a svůj dluh vyrovná. Pokud poté obsluha
opsané osobní údaje zlikviduje nebo zaznamenané údaje vrátí
zákazníkovi, nejde o zpracování osobních údajů a nikomu nehrozí
žádná sankce. V případě, že si z takto zjištěných údajů
provozovatel čerpací stanice udělá seznam osob, jde o zpracování
osobních údajů a navíc protiprávní.
Osobní údaje a provoz čerpací stanice
Různé typy zpracování osobních údajů nás provázejí v podstatě na
každém kroku. Obdobná situace platí i pro celou činnost benzinové
čerpací stanice. Málo známá je ta skutečnost, že zpracování
osobních údajů jsou například různé typy smluv. Každý provozovatel
má například smlouvy o dodávkách zboží, o dodávkách služeb, o
servisu zařízení apod., dále pracovní smlouvy, které navíc obsahují
často i zvláštní formu osobních údajů a to údaje citlivé. Citlivým
údajem je v pracovní smlouvě minimálně údaj o výši základního platu
nebo hodinové mzdě. Některé zákony jako například občanský zákoník
a obchodní zákoník uvádějí k některým typům smluv rozsah
identifikačních údajů, které jsou v konkrétních typech smluvních
vztahů povinné. Tím je právní normou často určen i rozsah
zpracování osobních údajů. Ne všechny smlouvy však podléhají dikci
zákona o ochraně osobních údajů (dále jen zákona). Máte-li
například dodavatelské smlouvy řazeny pouze podle pořadového čísla,
nejde o režim podle zákona, máte-li však vytvořenou databázi
smluvních vztahů, ve které lze vyhledávat zejména podle příjmení,
čísla nebo jiného identifikačního znaku, pak jde o zpracování podle
zákona.
Pracovněprávní vztahy
Pracovnísmlouvy jsou typickým příkladem zpracování osobních
údajů. To má zejména dva důvody. V prvé řadě jsou tyto smlouvy
podkladem při vedení účetnictví, tedy jsou podkladem pro zpracování
mzdových nákladů, různých daňových hlášení, jako je například účet
mzdy zaměstnance, evidence pracovní doby (§ 96 zákoníku práce),
evidence o zaměstnancích pro účely pojištění (zák. č. 187/2006
Sb.), evidenční listy důchodového pojištění, ale například i knihy
úrazů (§ 105, § 108 zákoníku práce). To je však pouze malá část
povinně zpracovávaných osobních údajů, které provádí každý
zaměstnavatel. Dalším důvodem je ta okolnost, že daňové zákony a
zákony o účetnictví vyžadují uvádění rodného čísla. Rodné číslo je
identifikačním znakem konkrétní osoby, které je po celý život
neměnné. Původně bylo rodné číslo zavedeno pro účely sociálního
zabezpečení a pro různá statistická využití. Zákon ve své definici
osobního údaje neuvádí přímo rodné číslo jako osobní údaj. Z
definice uvedené v § 4 písm. a) zákona to však jasné je. Rodné
číslo je osobním údajem, neboť subjekt údajů lze identifikovat
přímo nebo nepřímo též na základě čísla nebo kódu. Všechny doposud
uvedené příklady zpracování osobních údajů jsou prováděny na
základě legalizace konkrétním typem právní normy. Tedy není u nich
dána registrační povinnost dle § 16 zákona. Všechny ostatní
povinnosti vztahující se ke zpracování osobních údajů však platí v
plném rozsahu.
Zpracování podléhající registrační
povinnosti
Velké množství zpracování osobních údajů je prováděno na základě
rozhodnutí některého typu subjektu, tedy nikoliv na základě
právního předpisu. O takovémto rozhodnutí směřujícího ke zpracování
osobních údajů nelze bez jeho poznání minimálně říci, zda je
oprávněné, zda nezasahuje nad míru přípustnou do osobnostních práv
subjektů údajů. Zejména z toho důvodu je cílem povinné registrace
zpracování osobních údajů, aby Úřad na ochranu osobních údajů měl
pro účely kontroly a posouzení oprávněnosti zpracování přehled o
tom, kdo a jakým způsobem osobní údaje zpracovává. Případně aby
rozhodl, zda konkrétní oznámené zpracování je oprávněné, či je v
rozporu se zákony a mohl proti takovémuto zpracování osobních údajů
zasáhnout.
Samozřejmě takřka každého napadne otázka, kdo tedy má povinnost
provést registraci ve smyslu § 16 zákona? Odpověď je jednoduchá. Je
to správce, tedy osoba uvedená v § 4 písm. j), tedy ten, kdo určuje
účel a prostředky zpracování odpovídá za něj. Ve stejném duchu
hovoří i již zmiňovaný § 16, který v odst. 1 zcela jasně deklaruje,
že oznamovací povinnost má pouze správce. Například u kamerových
systémů lze říci, že je to majitel příslušného systému. Avšak ani
tato poučka neplatí bezezbytku, tedy na 100 %.
Typickými příklady pro zpracování osobních údajů na čerpacích
stanicích jsou bezpečnostní uzavřené kamerové systémy, různé typy
zákaznických akcí, průzkumy trhu a spokojenosti, zákaznické nebo
slevové karty atd. Zatímco registrace průzkumů trhu či zákaznické
akce jsou poměrně často na Úřadu na ochranu osobních údajů
registrovány, pak zejména kamerové systémy a některé další běžně
prováděná zpracování osobních údajů registrována nejsou.
Tento stav musím označit jako špatný a pramení z něj zejména
finanční nepříjemnosti, které z porušení registrační povinnosti
plynou. Ten, kdo nesplní registrační povinnost ve smyslu § 16
zákona, se dopouští přestupku (fyzická osoba) nebo správního
deliktu (právnická nebo podnikající fyzická osoba), za což lze
uložit sankci v podobě pokuty do 5, resp. 10 mil. Kč. Jak vysokou
pokutu lze očekávat, lze odvodit od kritérií uvedených v § 46 odst.
2 zákona.
Vladimír Oliberius
Ochrana osobních údajů
Ochrana osobních údajů je poměrně novou povinností provozovatelů
čerpacích stanic. Málokdo si ale uvědomuje, že jde o nečekaně
rozsáhlou a složitou bezpečnostní problematikou s hrozbou
vysokých sankcí. V seriálu (Ne)bezpečné osobní údaje
nás Vladimír Oliberius provede základní problematikou ochrany
osobních údajů nejen na čerpacích stanicích, objasní, co všechno je
osobním údajem, kdy osobní údaje zpracováváme na základě legalizace
právním předpisem, jak zajistíme jejich ochranu, kdy máme povinnost
provést registraci jejich zpracovávání a jaké jsou základní
povinnosti správce při zpracování osobních údajů.
Autor: Vladimír Oliberius, Zdroj: PETROLmedia