Úřad pro ochranu osobních údajů (www.uoou.cz) je novým nezávislým orgánem, který vznikl ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Tento zákon nabyl účinnosti 1. června letošního roku a jeho cílem je nastolit v České republice podstatně zodpovědnější prostředí při nakládání s osobními údaji občanů než tomu bylo v minulých letech. Jak se zatím zdá, v mnoha případech může znamenat doslova revoluci. Jaké změny přinese do života samospráv? Na toto téma jsme si povídali s předsedou Úřadu RNDr. Karlem Neuwirtem.

Pane předsedo, proč vlastně tento zákon vznikl?

Je třeba si uvědomit, že ochrana osobních údajů je součástí evropské Úmluvy o lidských právech a základních svobodách, článku 8. Dalším důvodem byl současný velmi silný nárůst informačních technologií umožňujících rychlý přenos informací, vznik databází všeho druhu a jejich zpracování. Tato, na jedné straně pozitivní skutečnost však vytváří i rizika k porušování lidských práv a svobod. Nový zákon tomu v podstatě má zabránit. Jde o to, aby se s osobními údaji zacházelo a nakládalo jen podle stanovených pravidel. Navíc jsme za uvedenou problematiku byli kritizování Evropskou unií.

Údaje o občanech dnes shromažďuje řada institucí, obce to dokonce mají ze zákona. Kdo a jaké informace může shromažďovat?

V zákoně se praví, že osobní údaje lze shromažďovat pouze ke stanovenému účelu a v rozsahu nezbytném pro naplnění tohoto stanoveného účelu. To znamená, že obec, firma, kdokoliv, kdo k tomu má oprávnění, může shromažďovat informace, které potřebuje k plnění stanovených povinností či k ochraně svých práv. Takové údaje může shromažďovat bez souhlasu dotčeného subjektu. V případě obce jsou to například identifikační údaje občana, s nimiž může dále pracovat. Čili obce mohou vlastnit a shromažďovat údaje a databáze, které si vytváří pro jejich chráněný zájem nebo pro plnění zákonem stanovených povinností. To jsou třeba poplatky, daně, poplatky ze psů atd. Bude-li chtít tuto databázi rozšířit o další informace, například u občanů o údaje typu zálib, rodinného stavu, vlastností a podobně, musí se ho na to zeptat. Občan má právo vědět, jaké informace o něm obecní úřad má a může také úřad požádat o vymazání nadbytečných osobních dat.

Dobře, ale obec bývá zároveň i ohlašovnou trvalého a přechodného pobytu, takže údaje o rodinném stavu od občana stejně získává...

Ano, ale údaje, které takto získá, nesmí použít ke dvěma různým účelům. To znamená, že nesmí mít jednu databázi, ve které bude u jména občana uvedeno všechno, od identifikačních údajů, rodinného stavu, zálib až po poznámky subjektivního charakteru, jako je hodnocení lhář, podvodník, notorický neplatič, které vyplývají spíš ze zkušeností a postojů, a už vůbec nemusí být objektivní.

Obec je však správcem věcí veřejnoprávních i soukromoprávních. Kde je tedy hranice propojování či sdružování?

Řekněme, že obec má databázi či soubor pro placení nájemného, kde jsou uvedeni nájemníci v obecních bytech. Nemůže však tuto databázi propojit s jinou, třeba s databází pro placení poplatků za svoz odpadu, chce-li zjistit, zda tito lidé nebo jen jeden konkrétní člověk má zaplaceno také za odpad. Každá databáze byla vytvořena pro jiný účel a zákon zakazuje je propojovat. Chápu, že třeba pro úředníky či zaměstnance úřadů a firem je to výhodné. Pro občana takováto transakce může být v konečném efektu nevýhodná, neboť umožní získání dalších informací nesouvisejících s konkrétním rozhodnutím.

Co se rozumí pod pojmem propojování?

Propojení chápeme jako sdružení dvou různých databází vytvořených pro rozdílné účely tak, že tím získám novou souhrnnou informaci, kterou bych jinak nezískal, a s tou dále pracuji. To ovšem neznamená, že nemohu jednotlivou informaci v jiné databázi dohledat a pak ji použít na jeden konkrétní případ, pro jednu osobu.

To tedy znamená, že obdrží-li obec od okresního úřadu, potažmo od státu třeba data z evidence obyvatel, nemůže je použít pro své potřeby?

Obec může do této databáze nahlížet a může z ní použít pouze identifikační údaje, tedy jméno, příjmení, datum narození a bydliště občana. Ostatní údaje, které potřebuje k výkonu své funkce, si musí pořídit sama, nemůže je převzít či získat sloučením z jiných. Pokud by tak učinila, jednalo by se o propojení dvou různých souborů pořízených za jiným účelem a navíc od různých správců. To je porušení zákona.

Jak je to se zveřejňováním údajů? Běžnou praxí je, že se zveřejňují třeba jména neplatičů nájemného či dlužníků…

Samozřejmě se jedná o porušení zákona, byť se argumentuje tím, že tato cesta je účinná. Stejně tak protizákonné je i zveřejňování různých výročí občanů v oblíbené společenské rubrice, pokud při tomto zveřejnění použita jejich úplná identifikace. Takové informace by se na stránkách obecních novin, zpravodajů a jiných tiskovin rozhodně objevovat neměly a my uvedený nešvar hodláme pranýřovat. Obec informace o občanovi prostě musí chránit, ne je zveřejňovat, a ještě k tomu s plnou identifikací.

Jaké informace o občanovi tedy může obec poskytnout žadateli?

Poskytnuté údaje nesmí jít nad rámec ochrany dotčeného subjektu. Například nelze zveřejnit či poskytnout informaci, že ten a ten občan nezaplatil obci za psa, dům, pole. Zde je potřeba také rozlišit, zda se k problému vztahuje zákon č. 106/1999 Sb., o svobodném přístupu k informacím, nebo zda je to zákon č. 101/2000 Sb. Obec rozhodně nesmí bez právního titulu poskytnout údaje vybrané ze systematické databáze.

Jaké jsou možnosti postihu?

Od napomenutí až po vysoké peněžité pokuty od 10 milionů Kč při jednorázových porušeních zákona po 20 milionů korun při opakovaných přestupcích. Vše je přesně v zákoně uvedeno. Dokonce je možný peněžitý postih i pro zaměstnance, kteří by chtěli krýt svého zaměstnavatele, třeba tím, že by pracovníkovi provádějícímu kontrolu neumožnili přístup do databáze.

Pracovníci úřadů, kteří pracují s osobními daty a databázemi, musí být proškoleni či poučeni?

Ano, měli by. Náš úřad toto sledovat nebude, ale v případě, že vznikne spor, bude se zjišťovat, zdali byly dodrženy všechny podmínky k zajištění bezpečnosti. Obec by pak musela prokazovat, že odpovědní zaměstnanci byli poučeni. Otázka poučení je v kompetenci obecního úřadu. Ten stanovuje pravidla, kdo s jakými informace může pracovat, v jakém rozsahu a také za jakých podmínek.

Bude váš úřad sledovat třeba technické zabezpečení, aby nemohlo dojít k neoprávněnému nakládání s osobními údaji?

My jsme v zákoně nestanovili žádná konkrétní pravidla, pouze obecný požadavek, že nesmí dojít k neoprávněnému nakládání s informacemi. Pravděpodobně časem, patrně ve spolupráci s NBÚ (Národním bezpečnostním úřadem), vydáme nějaké doporučení či metodiku. Rozsah a zpracování údajů jsou velmi široké a nelze je kategorizovat. Pokud dojde k porušení zákona, věc se bude zkoumat.

A jak se o překračování zákona dozvíte? Ze stížností občanů?

Samozřejmě. Ortodoxní stěžovatelé jistě již jásají, ale předem říkám, že každou podanou žádost nejprve důkladně prozkoumáme ve smyslu oprávněnosti. A stěžovatel bude muset popsat okolnosti a důvody, proč se domnívá, že jeho data byla zneužita. Tím, myslím, řadu stížností eliminujeme.

Pozn.  red.: Vážení čtenáři, nabízíme vám možnost obracet se s vašimi dotazy týkajícími se zákona č. 101/2000 Sb., o ochraně osobních údajů na předsedu ÚOOU pana RNDr. Karla Neuwirta, a to prostřednictvím redakce našeho časopisu. Vaše dotazy předáme a odpovědi na ně budeme průběžně zveřejňovat na stránkách Veřejné správy online.