(Ne)bezpečné osobní údaje 2

Mluvíme-li o zpracování osobních údajů, každého provozovatele čerpací stanice okamžitě napadne - kamerový systém. Další činnosti, které jsou zpracováním osobních údajů, je již nenapadnou. Rozsah činností, jež jsou zpracováním osobních údajů, je však nečekaně široký.

Co považujeme za zaznamenání osobních údajů

Zcela obecně jde o situaci, kdy lze jednotlivý dokument obsahující osobní údaje změnit například na datový soubor, kartotéku, databázi, seznam nebo tabulku. Avšak jednotlivý dokument, jako je například občanský průkaz, smlouva, fotografie nebo hlasový záznam konkrétní osoby, nelze za zpracování osobních údajů považovat. Za zpracování osobních údajů považujeme až situaci, kdy jsou dále prováděny s osobními údaji systematicky úkony, na základě kterých lze subjekty údajů vyhledávat či třídit podle zaznamenaných kritérií. Věc vysvětlím na možném příkladu z praxe. Dojde k situaci, kdy zákazník nemá na zaplacení PHM, sám přijde k obsluze, vysvětlí důvod a obsluze předloží občanský průkaz za účelem prokázání své totožnosti, aby provozovatel měl možnost v budoucnu případně vymáhat dlužnou částku. Obsluha si opíše identifikační údaje osoby, poté zákazník odjede pro peníze, vrátí se na čerpací stanici a svůj dluh vyrovná. Pokud poté obsluha opsané osobní údaje zlikviduje nebo zaznamenané údaje vrátí zákazníkovi, nejde o zpracování osobních údajů a nikomu nehrozí žádná sankce. V případě, že si z takto zjištěných údajů provozovatel čerpací stanice udělá seznam osob, jde o zpracování osobních údajů a navíc protiprávní.

Osobní údaje a provoz čerpací stanice

Různé typy zpracování osobních údajů nás provázejí v podstatě na každém kroku. Obdobná situace platí i pro celou činnost benzinové čerpací stanice. Málo známá je ta skutečnost, že zpracování osobních údajů jsou například různé typy smluv. Každý provozovatel má například smlouvy o dodávkách zboží, o dodávkách služeb, o servisu zařízení apod., dále pracovní smlouvy, které navíc obsahují často i zvláštní formu osobních údajů a to údaje citlivé. Citlivým údajem je v pracovní smlouvě minimálně údaj o výši základního platu nebo hodinové mzdě. Některé zákony jako například občanský zákoník a obchodní zákoník uvádějí k některým typům smluv rozsah identifikačních údajů, které jsou v konkrétních typech smluvních vztahů povinné. Tím je právní normou často určen i rozsah zpracování osobních údajů. Ne všechny smlouvy však podléhají dikci zákona o ochraně osobních údajů (dále jen zákona). Máte-li například dodavatelské smlouvy řazeny pouze podle pořadového čísla, nejde o režim podle zákona, máte-li však vytvořenou databázi smluvních vztahů, ve které lze vyhledávat zejména podle příjmení, čísla nebo jiného identifikačního znaku, pak jde o zpracování podle zákona.

Pracovněprávní vztahy

Pracovnísmlouvy jsou typickým příkladem zpracování osobních údajů. To má zejména dva důvody. V prvé řadě jsou tyto smlouvy podkladem při vedení účetnictví, tedy jsou podkladem pro zpracování mzdových nákladů, různých daňových hlášení, jako je například účet mzdy zaměstnance, evidence pracovní doby (§ 96 zákoníku práce), evidence o zaměstnancích pro účely pojištění (zák. č. 187/2006 Sb.), evidenční listy důchodového pojištění, ale například i knihy úrazů (§ 105, § 108 zákoníku práce). To je však pouze malá část povinně zpracovávaných osobních údajů, které provádí každý zaměstnavatel. Dalším důvodem je ta okolnost, že daňové zákony a zákony o účetnictví vyžadují uvádění rodného čísla. Rodné číslo je identifikačním znakem konkrétní osoby, které je po celý život neměnné. Původně bylo rodné číslo zavedeno pro účely sociálního zabezpečení a pro různá statistická využití. Zákon ve své definici osobního údaje neuvádí přímo rodné číslo jako osobní údaj. Z definice uvedené v § 4 písm. a) zákona to však jasné je. Rodné číslo je osobním údajem, neboť subjekt údajů lze identifikovat přímo nebo nepřímo též na základě čísla nebo kódu. Všechny doposud uvedené příklady zpracování osobních údajů jsou prováděny na základě legalizace konkrétním typem právní normy. Tedy není u nich dána registrační povinnost dle § 16 zákona. Všechny ostatní povinnosti vztahující se ke zpracování osobních údajů však platí v plném rozsahu.

Zpracování podléhající registrační povinnosti

Velké množství zpracování osobních údajů je prováděno na základě rozhodnutí některého typu subjektu, tedy nikoliv na základě právního předpisu. O takovémto rozhodnutí směřujícího ke zpracování osobních údajů nelze bez jeho poznání minimálně říci, zda je oprávněné, zda nezasahuje nad míru přípustnou do osobnostních práv subjektů údajů. Zejména z toho důvodu je cílem povinné registrace zpracování osobních údajů, aby Úřad na ochranu osobních údajů měl pro účely kontroly a posouzení oprávněnosti zpracování přehled o tom, kdo a jakým způsobem osobní údaje zpracovává. Případně aby rozhodl, zda konkrétní oznámené zpracování je oprávněné, či je v rozporu se zákony a mohl proti takovémuto zpracování osobních údajů zasáhnout.
Samozřejmě takřka každého napadne otázka, kdo tedy má povinnost provést registraci ve smyslu § 16 zákona? Odpověď je jednoduchá. Je to správce, tedy osoba uvedená v § 4 písm. j), tedy ten, kdo určuje účel a prostředky zpracování odpovídá za něj. Ve stejném duchu hovoří i již zmiňovaný § 16, který v odst. 1 zcela jasně deklaruje, že oznamovací povinnost má pouze správce. Například u kamerových systémů lze říci, že je to majitel příslušného systému. Avšak ani tato poučka neplatí bezezbytku, tedy na 100 %.
Typickými příklady pro zpracování osobních údajů na čerpacích stanicích jsou bezpečnostní uzavřené kamerové systémy, různé typy zákaznických akcí, průzkumy trhu a spokojenosti, zákaznické nebo slevové karty atd. Zatímco registrace průzkumů trhu či zákaznické akce jsou poměrně často na Úřadu na ochranu osobních údajů registrovány, pak zejména kamerové systémy a některé další běžně prováděná zpracování osobních údajů registrována nejsou.
Tento stav musím označit jako špatný a pramení z něj zejména finanční nepříjemnosti, které z porušení registrační povinnosti plynou. Ten, kdo nesplní registrační povinnost ve smyslu § 16 zákona, se dopouští přestupku (fyzická osoba) nebo správního deliktu (právnická nebo podnikající fyzická osoba), za což lze uložit sankci v podobě pokuty do 5, resp. 10 mil. Kč. Jak vysokou pokutu lze očekávat, lze odvodit od kritérií uvedených v § 46 odst. 2 zákona.

Vladimír Oliberius

Ochrana osobních údajů 

Ochrana osobních údajů je poměrně novou povinností provozovatelů čerpacích stanic. Málokdo si ale uvědomuje, že jde o nečekaně rozsáhlou a složitou bezpečnostní problematikou s hrozbou vysokých sankcí. V seriálu (Ne)bezpečné osobní údaje nás Vladimír Oliberius provede základní problematikou ochrany osobních údajů nejen na čerpacích stanicích, objasní, co všechno je osobním údajem, kdy osobní údaje zpracováváme na základě legalizace právním předpisem, jak zajistíme jejich ochranu, kdy máme povinnost provést registraci jejich zpracovávání a jaké jsou základní povinnosti správce při zpracování osobních údajů.