22 září 2017

Web „češtíadvokáti.cz“ a ochrana osobních údajů

Nový web „češtíadvokáti.cz“ zveřejňuje statistiky o vystupování advokátů před třemi nejdůležitějšími soudy v ČR, a to díky kombinaci údajů ze seznamu advokátů vedeného Českou advokátní komorou a z judikátů. Komora se s webem rychle a rázně vypořádala, prý je nelegální a advokáty “všeobecně velmi negativně hodnocen”. Představenstvo ČAK proto podalo několik podnětů k prošetření „protiprávního jednání spolku DATOS“, který za webem stojí, a to z pohledu ochrany osobních údajů, použití pojmu „čeští advokáti“ a případného poškození dobrého jména advokátů. Rád bych se krátce podíval na otázku ochrany osobních údajů.

Na Jiném právu se o webu psalo zde

Základní podmínkou zpracování osobních údajů je existence zákonného titulu, například souhlasu subjektů. Podle § 5 odst. 2 písm. d) ZOOÚ je takovým titulem i zpracování již dříve zákonně zveřejněných údajů.
„Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, ... jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů.“
Seznam advokátů vede ČAK. Údaje obsažené v seznamu jsou zveřejněny v souladu se ZoA, jedná se o veřejný seznam.
"Seznam advokátů, seznam advokátních koncipientů a seznam evropských advokátů jsou veřejnými seznamy."
V případě webu „češtíadvokáti.cz“ se tak jedná o další zpracovávání oprávněně zveřejněných osobních údajů (kromě seznamu advokátů jsou to také judikáty, které zveřejňují soudy). Základní právní titul pro zpracování tedy dán je. 

Jak je to s otázkou ochrany soukromého a osobního života advokátů podle § 5 odst. 2 písm. d) ZOOÚ? Zde je dobré odkázat na článek bývalého ředitele právního oddělení Úřadu pro ochranu osobních údajů Františka Nonnemanna. Ten se touto otázkou obecně zabýval a dospěl k závěru, že problém by zde být neměl.
„Ani případná kombinace osobních údajů získaných z různých veřejných zdrojů a vytváření informací nových, které svým obsahem přesahují pouhý mechanický souhrn dostupných dat, obecně řečeno nemohou představovat neprávněný zásah do soukromí či do osobního života subjektů údajů.“
Zdá se mi, že v případě webu „češtíadvokáti.cz“ to platí také, a to s ohledem na účel existence seznamu advokátů, jeho veřejnost a také veřejnost judikatury nejvyšších soudů.

ZOOÚ nicméně obsahuje ještě další podmínky pro zpracování osobních údajů, především obsažené v § 5. Jako hlavní se v tomto kontextu jeví povinnost „uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování“ a „nesdružovat osobní údaje, které byly získány k rozdílným účelům“. Tyto otázky také zpracovává Nonnemann ve svém článku a ani zde nevidí problém. Povinnost nesdružovat osobní údaje získané k různým účelům vztahuje ke správci dalšího zpracování, v posuzované věci spolku DATOS.
„Ačkoliv účel zveřejnění osobních údajů v jednotlivých registrech a databázích je odlišný, správce je z nich shromažďuje za jedním účelem, jejich dalšího využití. Jedná se tedy o jednu množinu, jednu sumu informací získaných z odlišných zdrojů, ale za stejným cílem a zpracovávanou za stejným účelem. Porušení (zákona) proto podle mého názoru nelze v tomto případě konstatovat.“
Ani zde se mi tedy nezdá, že by měl být problém. K dalším povinnostem dle ZOOÚ lze ještě doplnit, že DATOS by zřejmě měl být v případě žádosti některého advokáta schopen případný chybný osobní údaj na svém webu opravit.

Z výše uvedeného mi vyplývá, že web „češtíadvokáti.cz“ zpracovává osobní údaje advokátů v souladu se zákonem. Ostatně podobných webů využívajících veřejné seznamy je spousta, a to jsou navíc často weby zaměřené čistě komerčně. Tam je to ale ještě trochu složitější. Nicméně, snad lze ještě doplnit Nonnemannův odkaz na Směrnici o opakovaném použití informací veřejného sektoru, která vyzývá státy EU, aby prosazovaly a podporovaly opakované použití oprávněně zveřejněných veřejnoprávních informací. Viděl bych tam tedy přinejmenší důvod pro jistou benevolenci.

Co se týče Obecného nařízení (GDPR), tak to v článku 5 odst. 1 obsahuje podobný titul, jako aktuální směrnice, ze které vychází český ZOOÚ, tedy možnost zpracování osobních údajů v případě existence „oprávněných zájmů příslušného správce“. Český ÚOOÚ je ale v této otázce opatrný.
„Osobní údaje patří subjektům údajů a ty musí v některých případech, zejména v zákonem stanovených případech, strpět jejich zveřejnění např. ve veřejném rejstříku. Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož Obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti Obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 5 odst. 1 Obecného nařízení.“
GDPR nabývá účinnost v květnu 2018, takže otázka zveřejnění již veřejných osobních údajů bude zřejmě znovu posouzena, ale nezdá se mi, že by mělo dojít k zásadní problematizaci dalšího zpracovávání údajů oprávněně zveřejněných ve veřejných seznamech. Uvidíme.

2 komentáře:

Tomáš Pavelka řekl(a)...

Lukáši, díky za rychlý odborný zásah. Umím si za splnění dalších podmínek představit tu nekalosoutěžní odpovědnost, ale postavením své reakce na ochraně údajů ČAK imo prestřelil.

Michal Havran řekl(a)...

Osobně se domnívám, že pokud jsou osobní údaje zpracovávány za účelem "publikace ve veřejné databázi," není už možné omezovat jejich další využití veřejností. Protože jakékoliv další využívání je už implicitně obsaženo v tom, že budou data veřejně publikována.
Opačný výklad by byl absurdní - máme databázi, máme ji veřejnou na webu, ale vy ji nesmíte využívat k jiným účelům, než my vám dovolíme (pokud se rozhodneme, nesmíte ji využívat vůbec).



Tím samozřejmě není dotčena ochrana osobnosti. Pokud by se některý advokát cítil dotčen tím, jak jsou jeho osobní údaje využity, může se bránit zásahu do svých osobnostních práv, ale ne přes zákon o ochraně os. údajů.