Publikováno | 16. Listopad, 2011
Jak vyplývá z příspěvků účastníků Konference evropských komisařů
ochrany dat a soukromí, uskutečněné 29. – 30. dubna 2010 v Praze a
zveřejněné v Informačním bulletinu č. 1/2010 Úřadu pro ochranu osobních
údajů, je základním úskalím chování uživatelů na Internetu fakt, že ač
jejich počet stoupá, stále chybí základní povědomí o tom, jak se v tomto
relativně novém prostředí chovat [1]. Tento
fakt je umocněn za předpokladu, že je vztažen ke společensko-právnímu
fenoménu tak novému, jako je ochrana osobních údajů. Lze jistě souhlasit
s myšlenkou, že jen ve společnosti, která nemusí jako palčivý
problém den ze dne řešit fyzické přežití svých členů, je prostor zabývat
se takovými detaily, jako je vyvažování různých práv lidí a vztahu
jednotlivce a soukromoprávních a veřejnoprávních společenských struktur a že nastolování problému ochrany osobních údajů je výrazem relativně velmi dobrého fungování [...] modelu demokratické společnosti [2].
Vycházeje z těchto naznačených premis a s odkazem na naposledy
uveřejněný článek věnovaný nevyžádaným obchodním sdělením [3], jehož
úvod by se mutatis mutandis uplatnil i u tohoto tématu, lze říci, že se
v případě ochrany osobních údajů a nejrůznějších činností na Internetu
jedná o úzce spjatou problematiku. Tento článek věnovaný institutu
osobních údajů se zaměří na základní osvětlení fenoménu ochrany osobních
údajů, především vymezením pojmu osobní údaj, a vytvoří základ pro
další návazné články z této oblasti.
Základní národní právní normou upravující ochranu osobních údajů je
zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů ve znění změn a doplňků [dále jen zákon]. Ten vymezuje pojem
osobní údaj v § 4
písm. a) a ve speciálních formách nadto ještě v písm. b) vymezující
citlivý osobní údaj a v písm. c) věnující se anonymnímu údaji.
Znění § 4 písm. a) zákona
Pro účely tohoto zákona se rozumí
a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo nebo nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,
Dále je problematika osobních údajů upravena zejména ve směrnici
Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a v Úmluvě o ochraně osob se zřetelem na
automatizované zpracování osobních dat z dílny Rady Evropy, ke které je
připojen Dodatkový protokol (k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat)
o orgánech dozoru a toku dat přes hranice.
o orgánech dozoru a toku dat přes hranice.
Znění článku 2 písm. a) Směrnice 95/46/ES
Pro účely této směrnice se rozumí
a) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné osobě (subjekt údajů); identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity
Znění článku 2 písm. a) Úmluvy o ochraně osob se zřetelem na automatické zpracování osobních dat
Pro účely této Úmluvy:
a) „osobní údaje“ znamenají každou informaci týkající se identifikované nebo identifikovatelné fyzické osoby („subjekt údajů“);
Přístupů k osvětlení stěžejního pojmu osobní údaj je mnoho. Někdy se
odborná literatura omezuje na stručné shrnutí, že osobním údajem je laicky řečeno jakákoliv informace o člověku (fyzické osobě), která jej umožňuje identifikovat
[4]. Podobně pojaté jsou definice širší jen o část dikce zákona [5].
Jejich přínosem je především nahrazení pojmu subjekt údajů pojmy člověk
nebo fyzická osoba.
Podíváme-li se na všechny výše uvedené definice podané právními
normami, je třeba poznamenat, že základním definičním znakem osobních
údajů je jejich rozličnost, resp. mnohost podob. Osobními údaji je totiž
jakákoliv informace (v překladu Směrnice a
Úmluvy pak veškerá informace resp. každá informace) a nelze tak přinést
taxativní výčet údajů, které lze za ty osobní považovat. Tento fakt je
umocněn možnostmi současné informační společnosti, na jejíž vývoj by
příliš rigidní právní úprava nestačila reagovat. Definovat osobní údaj
je tak třeba ad hoc.
Před vymezením určenosti, resp. určitelnosti subjektu (subjekt
identifikovaný či identifikovatelný) je třeba věnovat krátkou pozornost
právě vymezení subjektu údajů tak, jak to činily výše zmíněné definice
v odborné literatuře. Pojem subjekt údajů je upraven v § 4 písm. d) zákona jako fyzická osoba, k níž se osobní údaje vztahují.
Chráněny (v rámci ochrany osobních údajů) tak nejsou právnické osoby.
To podtrhuje i judikatura [6]. Subjektem údajů jsou tedy pouze žijící
lidé (fyzické osoby), včetně nascitura.
Určenost, resp. určitelnost subjektu (subjekt identifikovaný či identifikovatelný) je vysvětlena již v samotné definici pojmu a je spojena s možností přímé či nepřímé identifikace. Přímá identifikace je stav, kdy správce [osobních údajů] či jiná osoba může vytvořit přímou vazbu mezi [osobním] údajem a fyzickou osobou [7]. Nepřímá identifikace je pak vázána na možnost správce [osobních údajů]
získat identifikátor ze souborů, které nejsou v jeho držení – např.
z veřejných registrů, od zpracovatele s nímž má uzavřenou smlouvu apod.[8]. To znamená, že pokud lze na základě drženého
údaje přímo ukázat na konkrétního člověka, jde o přímou identifikaci a
za předpokladu, že k drženému údaji je nutné přiřadit údaj jiný, který
je držiteli původního údaje přístupný, a na jeho základě pak ukázat na
konkrétního člověka, jde o identifikaci nepřímou.
Shrnutím výše zmíněného lze definovat osobní údaj jako každou
informaci vztaženou výlučně k živým osobám včetně nascitura na jejímž
základě lze bezpečně odlišit konkrétní osobu od jiné nebo k takovému
odlišení dospět po spojení s jiným dostupným údajem. Žádná
definice však nemůže být vyčerpávající a zcela konkrétní, což pramení
z naznačené pružnosti pojmu, který pod sebe musí akumulovat především
rozličné nové identifikátory.
______________________
[1] Informační bulletin. Praha: Úřad pro ochranu osobních údajů, 2010, č. 1/2010 [13.11.2011]. Dostupné také z: http://www.uoou.cz/files/zpravodaj/bulletin_2010_01.pdf
[2] MATOUŠOVÁ, M., HEJLÍK, L. Osobní údaje a jejich ochrana. 2. vyd. Praha: ASPI, Wolters Kluwer, 2008, str. 16. ISBN 978-80-7357-322-5.
[3] KAŠÁK, P. Nevyžádaná obchodní sdělení šířená elektronickou poštou a zneužívání § 7 k jejich rozesílání. Znalostní společnost.
[online]. Praha: SparkTECH, 19. srpen 2011. ISSN 1804-9958. Dostupné
z: http://www.znalostnispolecnost.cz/pravo/121-nevyzadana-obchodni-sdeleni-sirena-elektronickou-postou-a-zneuzivani-%C2%A7-7-k-jejich-rozesilani/
[4] ŠTEDROŇ, L., LUDVÍK, M. Právo v informačních technologiích.
Kralice na Hané: Computer Media, 2008, str. 13. ISBN 978-80-86686-36-3.
[5] JANSA, L., OTEVŘEL, P. Softwarové právo: Praktický průvodce právní problematikou v IT. Brno: Computer Press, 2011, str. 267. ISBN 978-80-251-3458-0.
[6] Rozsudek Nejvyššího správního soudu 6 A 83/2001-39.
[7] ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. K pojmu osobní údaj. UOOU.cz
[online]. 1/2001, aktualizace květen 2010. Dostupné z:
http://www.uoou.cz/uoou.aspx?menu=14&loc=365
[8] Tamtéž ref. 7