KATEŘINA SLUŠNÁ, advokátka > COUNSEL, Koutná&Slušná, advokátní kancelář v.o.s.

Zpracování osobních údajů čtenářů

Zpracování osobních údajů čtenářů je součástí rutinního provozu knihoven, knihovny jsou proto ve smyslu ustanovení zákona o ochraně osobních údajů správci osobních údajů. Společně se tedy v tomto čísle zaměříme na některé aspekty jejich zpracování.

Jak jsme již uvedli v předchozích článcích, obecně je činnost knihoven upravena zákonem č. 257/ 2001 Sb., knihovním zákonem v platném znění. Tento zákon definuje celou řadu činností souvisejících s provozem knihovny a některé z nich také přímo upravuje. Zákon se však explicitně nezabývá zpracováním osobních údajů uživatelů knihoven - čtenářů, proto je nutné vycházet ze zákona č. 101/2000 Sb., o ochraně osobních údajů v platném znění, který se vztahuje na veškeré zpracování osobních údajů, nestanoví-li zvláštní zákony úpravu speciální.

Exkurz do problematiky osobních údajů začneme několika definicemi pojmů, které by mohly být považovány za nejednoznačné a mnohdy i za vágní. Tyto definice nám poskytne přímo zákonodárce, který jim věnoval celý jeden paragraf, a to konkrétně § 4 výše jmenovaného zákona o ochraně osobních údajů. Nahlíženo optikou příslušného zákona, je správcem osobních údajů každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí takové zpracování a také za něj odpovídá.

Je nutné si vysvětlit, co zákon míní osobními údaji. Ty zákon dělí na osobní údaje obecně a osobní údaje citlivé. Obecně jsou osobními údaji jakékoliv informace týkající se určených nebo určitelných fyzických osob, k nimž se vztahují - tzv. subjekty údajů. Za určenou nebo určitelnou je fyzická osoba považována tehdy, jestliže ji lze přímo či nepřímo identifikovat na základě čísla, kódu nebo jednoho či více prvků, specifických pro její fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Citlivými údaji jsou pak osobní údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě, dále pak genetické údaje a údaje biometrické, které umožňují přímou identifikaci nebo autentizaci subjektů údajů. Podle názoru Úřadu na ochranu osobních údajů je dán rozsah identifikačních údajů nezbytných k účelu vedení evidence uživatelů knihovny jménem, příjmením, datem narození a adresou trvalého pobytu k určení fyzické osoby jako uživatele knihovny a číslem průkazu čtenáře jako evidenčním číslem knihovny.

Posledním pojmem, který si vysvětlíme, je zpracování osobních údajů. Zákon jej definuje jako jakoukoliv operaci nebo soustavu operací, které správce nebo zpracovatel (subjekt pověřený správcem nebo zvláštním zákonem ke zpracování osobních údajů) systematicky provádějí s osobními údaji, ať již automatizovaně nebo jinými prostředky. Zejména pak se zpracováním osobních údajů rozumí jejich shromažďování, ukládání na nosiče informací, zpřístupňování, jejich úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Navážeme vhledem do některých povinností knihovny jako správce. Detailní rozbor jednotlivých povinností by totiž zcela jistě šel nad rámec účelu tohoto článku a také by patrně vyšel na několik čísel časopisu. Pro zájemce si dovolím poskytnout informaci, že práva a povinnosti při zpracování osobních údajů jsou obsaženy v hlavě II. zákona o ochraně osobních údajů. Z výše naznačených důvodů se zaměříme především na ty z povinností, které jako stěžejní identifikoval Úřad pro ochranu osobních údajů ve svém Stanovisku č. 2/2002 (aktualizováno bylo v listopadu 2005).

Správce je oprávněn zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Takovým souhlasem musí být svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Nepostačí proto předpokládat, že uživatel knihovny musel být srozuměn s tím, že jeho osobní údaje budou zpracovány. Jak už to však v právu bývá, i z tohoto pravidla existují výjimky. Ty zákon uvádí v § 5 odst. 2. Knihovny totiž mají právo i zákonem stanovenou povinnost chránit knihovní fond a vztah mezi knihovnou a čtenářem má smluvní charakter. Při vedení evidence uživatelů knihovny proto přichází v úvahu aplikace výjimky z důvodu, že je to nezbytné pro ochranu práv a právem chráněných zájmů správce a je-li zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů - v tomto případě čtenář. Takovou výjimku lze však aplikovat pouze v případě, že by knihovna vedla evidenci jen čtenářů aktuálních výpůjček. Nad to by knihovna mohla takto získané osobní údaje uchovávat pouze do vrácení zapůjčeného a nepoškozeného knihovního fondu, neboť další povinností správce je uchování osobních údajů pouze po dobu, která je nezbytná k účelu zpracování, pak je nutné identifikační údaje čtenáře zlikvidovat. Poté mohou být zpracovávány např. údaje o realizované výpůjčce.

Při stanovení doby uchování osobních údajů o výpůjčkách je obecně potřeba vycházet ze skutečnosti, že každé poškození knihovního dokumentu je nutné zjistit bezprostředně po jeho vrácení čtenářem. Lze tedy shrnout, že doba nutná pro uchování osobních údajů o výpůjčkách je dána způsobem vedení výpůjčního protokolu. Vzhledem k tomu, že většina knihoven vede evidenci čtenářů jako evidenci stálou obsahující osobní údaje čtenářů vypovídající o uskutečněných výpůjčkách, v níž jsou trvale uchovávány i osobní údaje čtenářů, kteří nemají aktuálně zapůjčen žádný knihovní dokument, bude nutné, aby knihovny disponovaly souhlasem uživatelů knihovny jako subjektů osobních údajů. Při získávání takového souhlasu je knihovna povinna poskytnout čtenářům informace podle § 5 odst. 4 zákona o ochraně osobních údajů o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván a na jaké období. Takový souhlas musí být knihovna schopna prokázat po celou dobu zpracování.

Mezi důležité povinnosti knihovny jako správce osobních údajů tedy patří informační povinnost, na jejímž základě je knihovna při shromažďování osobních údajů povinna informovat subjekt údajů o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny. Dále pak musí správce subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o právu žádat o vysvětlení a domáhat se odstranění nežádoucího stavu v souladu s citovaným zákonem.

Další samozřejmou povinností správce je přijetí takových opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, neoprávněnému zpracování či zneužití. Této povinnosti musí knihovna dostát i po ukončení zpracování osobních údajů. V rámci plnění této povinnosti musí knihovna zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů, zejména posuzovat příslušná rizika, stanovit podmínky a rozsah zpracování osobních údajů pro své zaměstnance a zavázat tyto zaměstnance k zachování mlčenlivosti o osobních údajích a o bezpečnostních opatřeních týkajících se zabezpečení osobních údajů. Tato mlčenlivost zaměstnanců trvá i po skončení zaměstnání nebo příslušných dílčích prací v knihovně.

Poslední povinností knihovny, s níž se v tomto článku seznámíme, je povinnost oznamovací, kterou zákon o ochraně osobních údajů upravuje v § 16. Na základě tohoto ustanovení je ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit již registrované zpracování v souladu s příslušným zákonem, povinen tuto skutečnost písemně oznámit Úřadu na ochranu osobních údajů, a to ještě před zpracováním. Tuto povinnost musí splnit všechny knihovny vedoucí stálou evidenci uživatelů knihovny (viz výše), a to bez ohledu na formu vedení takové evidence a na rozsah zpracovávaných osobních údajů. Povinnost se opět nevztahuje na knihovny, které vedou pouze evidenci výpůjček, obsahující identifikační a kontaktní údaje čtenářů, a záznamy v ní jsou uchovávány pouze po dobu trvání výpůjčky.