Čtenářům, kteří zaznamenali článek na totéž téma v letošním únorovém čísle Zpravodaje ÚVT (V. Šmíd. Ochrana osobních údajů na Masarykově univerzitě.), se předem omlouvám za to, že je neustále pronásleduji, a to za pomoci stejného "strašidla". Nicméně právě ten minulý článek končil svého druhu algoritmem, jak si v podmínkách Masarykovy univerzity s novými právy a povinnostmi poradit. A proto si následující řádky kladou za cíl alespoň v podstatných rysech zhodnotit, jak se to vše povedlo.
Začít se muselo osvětou. Tedy zpravidla vysvětlit všem zainteresovaným, v čem je smysl nových pravidel a v čem je s nimi v rozporu dosavadní praxe. Zodpovědně prohlašuji, že právě tento aspekt aplikace nového zákona o ochraně osobních údajů si vyžádal nejvíce času a popisovat byť jen typové reakce garantů jednotlivých evidencí by přinejmenším řádově přesáhlo účelný rozsah tohoto textu.
Prvním konkrétním efektem pak bylo odstranění nemalého počtu dílčích evidencí osob, které byly často zbytečně vedeny paralelně vedle základních institucionálních evidencí, zejména pak personalistiky a studijní evidence. Jako typický příklad za všechny by mohly sloužit nejrůznější databáze osob s kontaktními údaji, rodnými čísly a čísly občanských průkazů, speciálně vedené na několika katedrách proto, aby tam byli schopni operativně vyrobit např. seznamy pro ubytování v rámci kurzů či exkurzí. Přitom řešení bylo zpravidla jednoduché:
Dalším netriviálním problémem bylo rozhodnutí, zda některé evidence osob jsou vůbec zpracováním osobních údajů dle zákona nebo (možná ještě lépe řečeno) zda musí vypadat tak, aby režimu tohoto zákona podléhaly. Základní otázkou je totiž možnost identifikovat osobu, jejíž osobní údaje se zpracovávají. Zjednodušeně můžeme říci, že lze zpracovávat o osobách i bez jejich souhlasu a málem bez jejich vědomí téměř cokoliv; to ovšem za předpokladu, že zjištění totožnosti konkrétní osoby, jíž se týkají (subjektu údajů), bude spojeno s nutností vynaložit úsilí zcela neúměrné konečnému výsledku. Sem tedy patří zejména evidence, kde:
Zde i v návaznosti na příklad uvedený v předchozím odstavci podotýkám, že obecná výkladová praxe v souvislosti např. s evidencemi osob ubytovaných v hotelu či návštěvníků různých institucí vybavených vrátnicí se ustálila ve stavu, že je možné (a v takovém případě není zpracováním osobních údajů), když tato evidence po dobu nezbytně nutnou identifikuje osobu prostřednictvím jejího jména, příjmení a čísla občanského průkazu či jiného dokladu. Toto sice jsou skutečně údaje pro běžného provozovatele pro konkrétní identifikaci osoby zcela nedostačující, ovšem, kdyby v dané souvislosti u takto označené osoby vzniklo třeba podezření ze spáchání trestného činu, tak orgánům činným v trestním řízení s ohledem na jejich pravomoci tyto údaje určitě stačit budou.
V podstatě po selekci dle předchozích odstavců na Masarykově univerzitě zbylo celkem osm evidencí, které splňují podmínky pro to, aby byly označovány za zpracování osobních údajů ve smyslu zákona č. 101/2000 Sb. (dnes se mohu přiznat, že zhruba před rokem jsem odhadoval, že půjde až o několik desítek):
Tyto evidence byly vymezeny vždy podle své vlastní povahy, takže i jejich spektrum z hlediska objemu a rozsahu je značně široké - patří sem jak evidence badatelů v Archívu MU, což je zcela krátkodobá evidence lidí vedená manuálním způsobem na listech papíru, tak Komplexní evidence osob ve vztahu k Masarykově univerzitě v Brně, která zahrnuje 13 součástí, je vedena téměř zásadně automatizovaným způsobem a reálně na ní participují desítky tisíc lidí:
Podrobnější informace jsou uvedeny na https://inet.muni.cz/proxy/rec/portaly/zprac-inf/zprac-inf-akt.htm .
Každá z výše uvedených obecných evidencí osob byla podrobena více či méně podrobné analýze datových struktur se zvláštním zřetelem na položky, které jsou zbytečné, špatně využitelné, obtížně verifikovatelné a především pak na ty, které obsahují citlivá data, s maximální snahou eliminovat vše nadbytečné s ohledem na účel zpracování dat. Například po této analýze obsahují citlivá data pouze dvě z těchto zpracování osobních údajů; ovšem obě jsou právě na zpracování těchto údajů bezprostředně založena. Na druhou stranu sem možná patří metodická poznámka, že ne každý údaj související třeba se zdravotním stavem je údajem citlivým - skutečnost, zda je člověk schopen či neschopen vykonávat jisté povolání, je zcela běžným osobním údajem, zatímco citlivým údajem by byla až diagnóza, z níž lze tuto neschopnost vyvodit.
Součástí této analýzy bylo i stanovení případného rozsahu údajů, jejichž zpracování je MU jako správci uloženo zákonem a z toho důvodu se na ně vztahují výjimky z nutnosti žádat o souhlas s jejich zpracováním osobu, k níž se vztahují. Příkladem evidence takového typu, kde jsou téměř stoprocentně veškerá data odvozována z obdobných výjimek, je na první pohled možná paradoxně opět to nejrozsáhlejší zpracování osobních údajů na MU, tj. institucionální "Komplexní evidence osob ve vztahu k Masarykově univerzitě v Brně".
V několika málo případech se na zpracování osobních údajů pro Masarykovu univerzitu podílejí i externí zpracovatelé. Ani ti nemohli být z uvedené procedury vyjmuti. Naopak přímo ze zákona s nimi musely být rozšířeny dosavadní či přímo uzavřeny nové smlouvy o zpracování osobních údajů tak, aby byla zaručena odpovědnost za ochranu zpracovávaných dat vždy u obou stran těchto smluv vůči sobě vzájemně a zejména pak vůči vlastním subjektům údajů.
Pro každé z uvedených zpracování osobních údajů (evidencí) byla pořízena charakteristika daného zpracování osobních údajů, jakožto dokument o právní síle vnitrouniverzitní směrnice, která mimo jiné stanoví:
Tyto charakteristiky jsou navázány na již zmiňovaný seznam na adrese https://inet.muni.cz/proxy/rec/portaly/zprac-inf/zprac-inf-akt.htm a takto veřejně vystaveny.
Zde mohou subjekty údajů nalézt podstatnou část informací o jednotlivých zpracováních osobních údajů, čímž je právě realizována zákonná povinnost jejich průběžného informování a poučení o určených aspektech zpracování jejich dat.
Z pohledu MU jako takové je pak možná ještě důležitější fakt, že v těchto charakteristikách jsou obecně definovány povinnosti při zpracovávání dat, resp. práva přístupu k datům, pověřených zaměstnanců Masarykovy univerzity, případně dalších osob, které zpravidla vyplývají z jejich pracovního zařazení. Zde je nutno poznamenat, že tyto osoby, pokud jsou zařazeny na odpovídajících funkcích, jsou odpovědny za ochranu osobních údajů přímo ze zákona. Tato odpovědnost se mimo jiné skládá jak z doživotní mlčenlivosti o obsahu zpracovávaných osobních údajů samotných, tak i z mlčenlivosti o zpravidla technických opatřeních k ochraně dat. Zaměstnancům, jichž se to týká, již bylo v zájmu naprosté jasnosti a průhlednosti uvedených vztahů dáno k podpisu prohlášení o tom, že se aktuálně seznámili se svými právy a povinnostmi v této oblasti, resp. že vědí, kde jsou tyto informace přístupné.
Zde je nutné připomenout, že všechno to, co bylo napsáno v předchozím odstavci, platí hlavně pro zaměstnance a další osoby v obdobném právním vztahu k MU. Ovšem rozhodně to nemůže platit ani pro studenty MU, ani např. pro tu část pracovníků spolupracujících institucí, kteří na MU (navíc zadarmo) učí. Proto, než konkrétně v případě nutnosti "pustíme" tyto osoby k osobním datům zpracovávaným na MU, musíme mít vyjasněn problém jejich odpovědnosti. Obecně by to mohla být dohoda, v níž se takové osoby k odpovědnosti (v rozsahu obdobném jako zaměstnanci) zaváží. Ovšem nejlepší a současně i nejčistší by bylo tyto osoby byť na minimální potřebnou dobu zaměstnat s tím, že od té doby jim trvá právě ta dříve zmíněná doživotní povinnost mlčenlivosti.
Současně byly také v jednotlivých aplikacích automatizovaného zpracování osobních údajů "provedeny odpovídající programové úpravy". Jistě nemá smysl zde vypočítávat vše, o co se jednalo. Za všechny uvádím jen několik zásadních příkladů:
Změny zasáhly ovšem i manuální zacházení s osobními údaji, a to opět v širokém spektru od získávání a ukládání příslušných souhlasů či informování subjektů údajů (tam, kde je to nutné) až po takové na první pohled lapidární akce, jako je eventuální obstarání odpovídajících zámků a klíčů k místnostem a skříním, kde jsou ukládána data v listinné podobě.
Tento text rozhodně nemohl obsáhnout všechny problémy, s nimiž se Masarykova univerzita při aplikaci zákona o ochraně osobních údajů dosud potkala, a tím méně ty, s nimiž se čtenář může v konkrétní situaci potkat v budoucnu.
V každém případě extrémní názory typu, že "tento zákon nám příliš komplikuje život, je tudíž neaplikovatelný a tak si počkáme, až jej pod obecným nátlakem společnosti parlament zase zliberalizuje", nemají rozumný smysl. Mimochodem, právě ve chvíli, kdy dopisuji tento článek, schválily již obě komory Parlamentu ČR novelu zmiňovaného zákona. Ta jej na první pohled opravdu v určitých ohledech zmírňuje. Ovšem ve skutečnosti se jedná spíš o jistá upřesnění, k nimž se dříve muselo těžce přicházet výkladem zákona, a navíc se jedná o změny v takovém rozsahu, že je MU reálně nepocítí.
Nicméně přinejmenším určitě stojí za to i touto cestou přispět k vytvoření či prohlubování obecného vědomí, že osobní údaje mají vysokou cenu a jako "cenné zboží" je třeba je chránit.
předchozí článek
