Likvidace osobních údajů

V tomto článku se podrobně podíváme na vše související s tímto poněkud pomíjeným a podceňovaným termínem. Likvidace je jednou z forem při procesu zpracování, jak uvádí § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů), přičemž konkrétně součástí velmi důležitou. 

Likvidací osobních údajů se ukončuje proces jejich zpracování, a jedná se tak de facto poslední etapou zpracování. Po vykonání likvidace již osobní údaje nebudou existovat (s výjimkou dále uvedenou) a subjekt, který je zpracovával, přestává být správcem osobních údajů v rozsahu likvidovaných údajů, čili přestává být za jejich zpracování zodpovědný.

Zpracování osobních údajů je definováno v již zmiňovaném § 4 písm. e) zákona o ochraně osobních údajů. Ten říká, že zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Podstatnou částí této definice je skutečnost, že se nemusí vždy jednat o celý soubor činností, ale může jít v některých případech jen o některé z nich, dokonce se může jednat o jedinou operaci.

Základem této činnosti je, že musí jít vždy o systematickou činnost správce nebo zpracovatele, případně jiných osob, tedy činnost vykonávanou s určitým záměrem zpracovávat osobní údaje fyzických osob - subjektů údajů. Dalším dnes již méně zdůrazňovaným kritériem je skutečnost, že se toto ustanovení vztahuje na jakékoliv systematicky uskutečňované operace, aniž je přitom rozhodující, zda jsou prováděny automatizovaně nebo jinými prostředky.

V návaznosti na první část předmětného ustanovení definice se uvádí také demonstrativní výčet postupů, které se nejčastěji za zpracování považují. Nalézá se mezi nimi i likvidace, která celou paletu uzavírá.

Co znamená termín likvidace?

Jak již bylo uvedeno, likvidace je jednou z forem zpracování, jak uvádí § 4 písm. e) zákona o ochraně osobních údajů, a dá se říci, že tímto krokem je zpracování osobních údajů ukončeno. Důvodová zpráva k zákonu o ochraně osobních údajů uvádí, že cílem likvidace osobních údajů je jejich neexistence pro jakékoliv další zpracování.

Likvidace osobních údajů je tím pádem takový krok nebo operace, jejímž důsledkem je nenávratné zničení (nebo trvalé vyloučení z dalšího zpracování) informací nebo osobních údajů. K jejich likvidaci může dojít buďto přímým jednáním správce, nebo také zpracovatele, popřípadě jednáním jiného, k tomu oprávněného subjektu.

Likvidace dat elektronických nosičů

Ustanovení § 4 písm. i) zákona o ochraně osobních údajů nabízí vícero možností, jak údaje zlikvidovat. Způsob likvidace odpovídá tomu, na jakém nosiči jsou informace uchovávány.

Vesměs se vždy jedná o fyzickou likvidaci – u papírových nosičů se nabízí skartace. Variantou, která přichází v úvahu také, je začerňování "nadbytečných" údajů.

U elektronických nosičů je možné zlikvidovat údaje jejich vymazáním způsobem, který ale vylučuje jejich zpětnou obnovu (tedy ne např. prázdnými znaky nebo překrytím jiným textem).

Za likvidaci není možné považovat takový způsob, po jehož aplikaci by přesto bylo možné, např. jinými technickými prostředky, tyto údaje jakkoli obnovit.

Likvidace při ukončení zpracovávání

Pominutí účelu, pro který byly osobní údaje zpracovány, je základním a v praxi nejčastějším důvodem pro likvidaci osobních údajů. V případě, že tato skutečnost nastane, stanoví § 20 odst. 1 zákona o ochraně osobních údajů povinnost pro správce nebo na základě jeho pokynu zpracovatele provést likvidaci. Jinými slovy, pomine-li důvod, pro který byly údaje shromážděny za účelem jejich zpracovávání, musejí být zlikvidovány.

Povinnost likvidace se tedy vztahuje k naplnění účelu zpracování, jenž byl správce povinen stanovit podle § 5 odst. 1 písm. a) zákona o ochraně osobních údajů. Podle tohoto zákona musí správce stanovit účel, k němuž mají být osobní údaje zpracovány, tj. proč a k jakému cíli se shromažďují a následně zpracovávají údaje. Na základě Směrnice 95/46/ES (recital 28) musejí být tyto účely výslovné a legitimní a musejí být stanoveny při sběru údajů. Tato povinnost je jednou z nejdůležitějších a nejzákladnějších povinností správce.

Z dikce tohoto ustanovení vyplývá, že správce musí již předem vědět, proč má ke zpracovávání osobních údajů dojít. Ke stanovení účelu zpracovávání osobních údajů musí dojít vždy, neboť na splnění této povinnosti je navázána řada dalších souvisejících povinností, mimo jiné tedy i povinnost provést likvidaci, pokud účel pomine.

Účel zpracovávání osobních údajů

Účel nebo cíl zpracovávání osobních údajů může být soukromý, který vychází ze zcela specifických záměrů a cílů konkrétního správce, pro které je třeba zpracovat určité kategorie osobních údajů, ale tento účel může být také určen právními předpisy.
Nejvýrazněji se tento způsob stanovení účelu projevuje v případě, kdy je současně s kompetenčním ustanovením zvláštního zákona zakotvena zároveň také pravomoc k vedení určitého registru nebo evidence (viz například obchodní rejstřík, katastr nemovitostí, živnostenský rejstřík apod.). Vedle toho ale existují zákonná zmocnění, která sice obdobnou dikci neobsahují, ale jak vyplývá z obsahu těchto ustanovení, je nezbytné při výkonu těchto pravomocí osobní údaje zpracovávat. Lze konstatovat, že zpracovávání osobních údajů je nedílnou součástí výkonu uvedených pravomocí.

Vzhledem k tomu, že zákon o ochraně osobních údajů nestanoví konkrétní formu likvidace osobních údajů poté, co pomine účel zpracování, je způsob jejího provedení na správci. Ten by však měl mít stanoveny a využívat standardní postupy.

Velký problém někdy nastává u papírových nosičů, kde správce likvidaci často dělá tím způsobem, že dokumenty s osobními údaji předá do sběrných surovin. Toto předání bez zvláštních záruk o zabezpečení osobních údajů při jejich likvidaci nelze v žádném případě doporučit. V § 4 písm. i) zákona o ochraně osobních údajů bylo řečeno, že se likvidací osobních údajů rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování. Jenže při předání nosičů s osobními údaji sběrným surovinám ztrácí správce kontrolu nad tím, zda bude likvidace skutečně provedena.

Pokud by osobní údaje byly předány ve formě, která naplňuje znaky zpracování osobních údajů (např. seznamy, evidence, dokumenty uspořádané podle osobních údajů) mohlo by dojít k porušení povinnosti správce osobních údajů podle § 13 zákona o ochraně osobních údajů, tedy povinnosti přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Likvidace podle § 21 zákona o ochraně osobních údajů

Dalším důvodem pro likvidaci zpracovávaných osobních údajů je likvidace podle § 21 zákona o ochraně osobních údajů. Ten dává subjektu údajů právo reagovat na nesrozumitelné nebo nepravdivé, či jen nepřesné, sdělení od správce a požádat o vysvětlení, případně o nápravu zjištěného nesprávného stavu.

Na základě tohoto ustanovení může každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel zpracovává jeho osobní údaje způsobem, který je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování:

· požádat správce nebo zpracovatele o vysvětlení,
· požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, opravu, doplnění nebo likvidaci osobních údajů.

Je zřejmé, že požadavku vznesenému subjektem údajů podle § 21 odst. 1 zákona o ochraně osobních údajů, tedy požadavku o vysvětlení nebo požadavku, aby správce nebo zpracovatel odstranil vzniklý stav, musí předcházet alespoň domnělé porušení povinností správcem nebo zpracovatelem, a to konkrétně takové porušení, že správce nebo zpracovatel zpracovává jeho osobní údaje způsobem, který je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování.

Běžným řešením bude v případech zjištění neoprávněného zpracování osobních údajů právě jejich likvidace.
Je třeba dodat pro úplnost, že požadovat odstranění závadného stavu vzniklého následkem porušení povinností správcem nebo zpracovatelem lze pouze v případě, že tento závadný stav trvá, nikoliv tehdy, když závadný stav vzniklý následkem porušení povinností sice dříve existoval, ale v době, kdy subjekt údajů svůj požadavek podle § 21 odst. 1 zákona o ochraně osobních údajů vznesl, byl již odstraněn.

Likvidace jako nápravné opatření

Likvidaci neoprávněně zpracovávaných osobních údajů může ukládat také Úřad pro ochranu osobních údajů (dále jen "Úřad") správcům, zpracovatelům a osobám, které osobní údaje shromáždily neoprávněně, v rámci opatření k nápravě, a to podle § 40 zákona o ochraně osobních údajů. Uvedené ustanovení stanovuje, že zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

Jestliže byla uložena likvidace osobních údajů, jsou do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Až do chvíle, než bude o námitce rozhodnuto, musejí být osobní údaje blokovány.
Proti rozhodnutí předsedy lze podat žalobu v rámci předpisů o správním soudnictví, avšak do chvíle, než bude soudem rozhodnuto, jsou údaje blokovány.

Je-li uložena kontrolovanému jako jedno z opatření k nápravě i likvidace osobních údajů, musí být v tomto případě kontrolovaný poučen o svém právu podat námitku. Jestliže jsou zároveň podány i další námitky proti kontrolnímu protokolu, rozhoduje se o námitkách proti likvidaci samostatně a vydává se o nich samostatné rozhodnutí.

Pokud je kontrolovanému uložena likvidace osobních údajů, musejí být v souladu se zákonem o ochraně osobních údajů do likvidace blokovány.

Nahodilá likvidace osobních údajů – porušení bezpečnostních opatření

Od likvidace osobních údajů vykonané jako součásti zpracování prováděné správcem nebo zpracovatelem je nutné odlišit případy, kdy k likvidaci osobních údajů, často provázenou i zničením jejich nosiče nebo jeho vážným poškozením, dochází v důsledku události, kterou lze jen s obtížemi předvídat.

Zároveň tímto způsobem může být porušen zákon o ochraně osobních údajů, neboť jednou z povinností správce nebo zpracovatele, obsaženou v § 13 zákona o ochraně osobních údajů je přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Uvedená povinnost platí i po ukončení zpracování osobních údajů.

Tímto ustanovením je dána obecná povinnost správců a zpracovatelů osobních údajů chránit osobní údaje. Jedná se o další ze základních povinností, jejímž obsahem je povinnost zajistit tzv. „bezpečnost zpracovávaných osobních údajů". Myšleno jednak před jednáním úmyslným, ale i nedbalostním, stejně tak jako proti působení přírodních a jiných událostí (povodně, požáry, zemětřesení apod.), které by mohlo způsobit zneužití osobních údajů.

Správce a zpracovatel osobních údajů tedy odpovídají podle zákona o ochraně osobních údajů za provedení náležitých opatření vylučujících rizika spojená s předmětným zpracováním osobních údajů. Součástí této prevence je také to, že je třeba chránit nejen osobní údaje jako takové, ale i jejich nosiče.

Jak je zřejmé, je likvidace jako závěrečná fáze zpracování osobních údajů institucionálním prostředkem pro uplatnění práv, plnění povinností a do jisté míry i sankcí pro ty správce, kterým je likvidace údajů nařízena v podobě nápravného opatření. Tito správci, pokud zpracovávali osobní údaje neoprávněně, mohou mnohdy pociťovat jejich ztrátu mnohem citelněji, než peněžitou pokutu. Likvidace jako institut je rovněž prostředkem, jímž jsou eliminovány excesy správců údajů a tím je subjektům údajů garantován takový rozsah práva na soukromí, který si sami zvolí nebo jaký jim garantuje zvláštní právní úprava.