Ochrana osobních údajů v praxi poradenských pracovníků

Smyslem zákona o ochraně osobních údajů je v čl. 10 odst. 3 Listiny základních práv a svobod

Je zcela zjevné, že poradenští pracovníci zpracovávají velký rozsah osobních údajů včetně citlivých osobních údajů. Na počátku je třeba vyjasnit si některé pojmy, které zákon o ochraně osobních údajů používá.

se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

je takový údaj, který vypovídá mimo jiné o národnostním, rasovém nebo etnickém původu fyzické osoby, jejích politických postojích, členství v politických stranách, hnutích nebo odborových či zaměstnaneckých organizacích, jejím náboženském a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuální orientaci. Citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádí s osobními údaji, a to automatizovaně nebo jinými prostředky.

je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.

je udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

je fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.

je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně. Zpracováním osobních údajů může správce zmocnit zpracovatele. Správcem zůstává i nadále subjekt, ne zpracovatel.

je každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.

Jestliže poradenský pracovník pracuje s osobními údaji, vztahují se na něj i všechny povinnosti tak, jak je obsahuje zákon o ochraně osobních údajů. Základní povinnosti jsou uvedeny v ustanovení § 5 tohoto zákona. První povinností je povinnost stanovit účel, k němuž mají být osobní údaje zpracovány, tj. proč a k jakému cíli se shromažďují a následně zpracovávají údaje.

Další povinností je povinnost stanovit prostředky zpracování a stanovit způsob zpracování osobních údajů, kterých může být při zpracovávání použito. Obojí by měl správce stanovit ještě před zahájením zpracování údajů. Tento požadavek je zcela logický, neboť by mělo být správci zřejmé již před zahájením zpracovávání, které prostředky a jaký způsob zpracovávání zvolí pro dosažení cíle - účelu, pro který má ke zpracovávání osobních údajů dojít.¹⁾

Správce osobních údajů je dále povinen zpracovávat pouze přesné osobní údaje, které získal v souladu se zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Pokud správce zjistí, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje.²⁾

Dále je správce povinen uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje. Splnění této povinnosti bude tedy vyžadovat přesné vymezení minimálního rozsahu konkrétních osobních údajů, které budou v daném případě k naplnění stanoveného účelu skutečně potřebné.

Správce také musí uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné. Správce je dále povinen

Předposlední povinností je povinnost shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti.

Poslední povinností uvedenou v § 5 odst. 1 je povinnost nesdružovat osobní údaje, které byly získány k rozdílným účelům. Tím vytvořil zákonodárce zákonnou překážku pro to, aby správce mohl libovolně sdružovat osobní údaje, které jsou předmětem jeho zpracovávání pro jím stanovený účel s osobními údaji, které jsou předmětem jiného jeho zpracovávání pro naplnění odlišného účelu.

Mezi další zásadní (§ 5 odst. 2), pokud se na zpracování nevztahuje některá z výjimek [písm. a) až g) téhož ustanovení]. Dále povinnost informovat subjekt údajů o daném zpracování (§ 11). V informaci poskytované subjektu údajů musí být uveden „rozsah“ zpracovávaných osobních údajů, informace o tom, jakým způsobem bude správce, popřípadě zpracovatel zpracovávat osobní údaj, „kdo“ bude osobní údaje zpracovávat. Informační povinnosti je správce zproštěn v případě, že jsou informace subjektu údajů již známy.

Správci osobních údajů je dále stanovena povinnost poučit subjekt údajů o tom, zda poskytnutí osobních údajů správci je dobrovolné, nebo zda je subjekt údajů povinen osobní údaje poskytnout správci, popřípadě zpracovateli ke zpracování na základě zvláštního zákona. Jestliže je subjekt údajů podle zvláštního zákona povinen poskytnout správci, popřípadě zpracovateli osobní údaje pro zpracování, musí být správcem také poučen o důsledcích, které budou vyvozeny, pokud subjekt údajů osobní údaje ke zpracování neposkytne. Velmi důležitá je povinnost osobní údaje zabezpečit (§ 13) a dále povinnost mlčenlivosti (§ 15).

Jestliže výše uvedené premisy budeme aplikovat na konkrétní praxi poradenských pracovníků, musíme zohlednit kromě zákona o ochraně osobních údajů i vyhlášku č. 72/2005 Sb., o poskytování poradenských služeb ve školách a školských poradenských zařízeních, ve znění pozdějších předpisů (dále jen „vyhláška č. 72/2005 Sb.“).

V případě, že poradenští pracovníci budou postupovat podle právního předpisu, bude aplikováno ustanovení § 5 odst. 2 písm. a) zákona o ochraně osobních údajů a nebude zapotřebí souhlasu. Poskytování poradenských služeb by případně také mohlo být považováno za plnění z uzavřené smlouvy, na něž se vztahuje § 5 odst. 2 písm. b). V případě, kdy budou zpracovávány osobní údaje mimo rámec těchto ustanovení, bude nutné respektovat § 5 odst. 2 zákona o ochraně osobních údajů a získat souhlas. O souhlasu ostatně mluví i § 1 odst. 2 vyhlášky č. 72/2005 Sb., podle něhož podmínkou poskytnutí psychologické nebo speciálně pedagogické poradenské služby je předání informace podle odstavce 3 a písemný souhlas žáka nebo jeho zákonného zástupce. Souhlasu není třeba v případech stanovených zvláštními právními předpisy.Tento souhlas se vztahuje k podmínkám poskytnutí poradenské služby, nicméně tato služba bude nepochybně zahrnovat i zpracování osobních údajů.

Otázkou je, jaké osobní údaje mohou poradenští pracovníci zpracovávat a jakou dokumentaci vedou. Podle § 4 vyhlášky č. 72/2005 Sb. je vedena dokumentace o žádostech o poskytnutí poradenské služby, o odmítnutí nebo přerušení poskytování poradenské služby, o vyšetření, jeho výsledcích a poskytnuté péči individuální i skupinové, o poskytnutí informace podle § 1 odst. 3 a potvrzení podle § 1 odst. 5 věty čtvrté, o spolupráci se školami a školskými zařízeními. V rámci poskytnuté individuální nebo skupinové péče každý poradenský pracovník nepochybně povede , který bude obsahovat základní identifikační údaje jako jméno a příjmení, datum narození, místo trvalého pobytu, příp. státní občanství, dále datum zahájení a ukončení poradenské péče, údaje o zdravotní způsobilosti, popřípadě o zdravotních obtížích, které by mohly mít vliv na posuzovanou problematiku, údaje o tom, zda je klient zdravotně postižen, včetně údaje o druhu postižení, nebo zdravotně znevýhodněn; popřípadě údaj o tom, zda je klient sociálně znevýhodněn, označení školy, v níž se klient vzdělává, a identifikační a kontaktní údaje zákonného zástupce - jméno, a příjmení, místo trvalého pobytu a adresu pro doručování písemností, telefonické spojení.

Spis klienta bude také obsahovat anamnestické údaje, školní a lékařské dotazníky, příp. písemné zprávy specialistů, jiných poradenských zařízení apod., záznamy o průběhu vyšetření, záznamové listy použitých diagnostických nástrojů, příp. kopie školních prací, písemné závěry z vyšetření včetně doporučení.

Poradenští pracovníci mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném zadáním, povahou řešeného případu.

Z výše uvedeného je zřejmé, že Velký důraz je proto třeba klást na zajištění ochrany osobních údajů. Mezi ně by v souladu s § 13 zákona o ochraně osobních údajů mělo patřit zabezpečení objektů a místností, uložení spisů klientů v uzamykatelných skříních či kartotékách, případně místnostech, spisy klientů by neměly být vynášeny mimo prostory pracovišť, v rámci jednotlivých pracovišť je třeba učinit taková technicko-organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněnému zpracování či jinému zneužití (např. je třeba zajistit, aby programy, se kterými je pracováno při poskytování poradenské služby, byly nainstalovány pouze na určených počítačích, byly přístupné až po přihlášení uživatele k počítačové síti, pro spuštění programu je nezbytné přihlášení uživatele). Je třeba zabránit záměně dokumentace během zpracování, které by případně poškodilo klienta, musí být zajištěno řádné uložení zálohovaných dat na elektronických nosičích.

Pracovníci musí také dodržovat povinnost mlčenlivosti. Ustanovení § 15 zákona o ochraně osobních údajů říká, že zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů. Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů. Mezi tyto zvláštní zákony patří i zákon č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 21/1992 Sb., o bankách atd.

Z uvedeného vyplývá například to, že (resp. jeho zákonnému zástupci), na jeho výslovnou žádost mohou být odeslány poštou. Zpravidla zprávu vyzvedne rodič, který pak rozhodne o další distribuci kopií. Třetí osobě (škola, lékař apod.) je možné sdělit výsledky vyšetření výhradně na základě písemné žádosti subjektu údajů (resp. jeho zákonného zástupce), a to po seznámení s obsahem dokumentu.

Při odpovědi na otázku, zda a v jakém rozsahu je škola povinna vyhovět žádosti Policie ČR, je třeba vycházet z ustanovení § 18 a § 66 zákona č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů (dále jen „zákon o Policii ČR“). Podle ustanovení § 18 uvedeného zákona je policista v rozsahu potřebném pro splnění konkrétního úkolu policie oprávněn požadovat od orgánů a osob uvedených v § 143 věcnou a osobní pomoc, zejména potřebné podklady a informace včetně osobních údajů. Tyto orgány a osoby jsou povinny požadovanou pomoc poskytnout; nemusí tak učinit, brání-li jim v tom zákonná nebo státem uznaná povinnost mlčenlivosti anebo plnění jiné zákonné povinnosti. Fyzická osoba tak nemusí dále učinit, pokud by poskytnutím pomoci vystavila vážnému ohrožení sebe nebo osobu blízkou.³⁾

Rozsah požadovaných údajů musí odpovídat potřebám plnění konkrétního úkolu policie. Způsob předávání údajů musí umožňovat uchovávání identifikačních údajů o útvaru policie nebo o policistovi, který o poskytnutí informací žádal, a o účelu, k němuž bylo o poskytnutí informací žádáno, a to nejméně po dobu pěti let.⁴⁾

Z uvedených ustanovení vyplývá, že Policii České republiky by v žádném případě neměly být vyřizovány na základě neověřeného telefonického dotazu. Vždy by měly být policií podávány pouze v písemné formě a měly by být správcem nebo zpracovatelem uchovávány, včetně odpovědi příslušného správce nebo zpracovatele osobních údajů. V případě osobního jednání s policistou je třeba, aby správce nebo zpracovatel obdržel kopii úředního protokolu. Jen při splnění těchto podmínek může správce či zpracovatel dostát zákonnému požadavku, jehož obsahem je prokázat, kdy, komu a za jakým účelem předal osobní údaje zpracovávané v příslušné evidenci.⁵⁾