Jak se vyhnout porušení ochrany osobních údajů na webech obcí

Webové stránky bezesporu patří k hlavním komunikačním kanálům mezi obcí a širokou veřejností. V dnešní době si lze jen těžko představit, že by existovala obec bez vlastního webu. Jeho prostřednictvím však může docházet ke zpracování osobních údajů, například jejich zveřejňováním. Ačkoliv vždy záleží na konkrétním případě, určitá pravidla zpracování osobních údajů lze do určité míry typizovat. Způsobů, jimiž se může správce dopustit deliktu ve vztahu k ochraně osobních údajů, je hned několik. V článku se dozvíte o nejčastějších způsobech porušení ochrany osobních údajů na webech obcí.

Zveřejňování poskytnutých informací na žádost

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „Infozákon“), stanoví v § 4  povinnost povinných subjektů poskytovat informace také na základě žádosti, přičemž formální náležitosti dané žádosti jsou popsané v dalších částech Infozákona[1]. Je tedy zřejmé, že žádosti o informace dle Infozákona mohou obsahovat osobní údaje žadatele[2]. V praxi obecních webů se nezřídka stává, že správce osobních údajů (obec) zveřejní na svých webových stránkách celou žádost o poskytnutí informací včetně osobních údajů žadatele.

Lze najít právní titul ke zveřejnění osobních údajů?

Odpověď je jednoznačně záporná, zveřejnění osobních údajů žadatele je zcela nepřípustné. V samotném Infozákoně nenalezneme ani zmínku o tom, že by měl povinný subjekt povinnost zveřejnit samotnou žádost o informace. V § 5 odst. 3 je řečeno, že „Do 15 dnů od poskytnutí informací na žádost povinný subjekt tyto informace zveřejní způsobem umožňujícím dálkový přístup.“. Povinný subjekt musí tedy zveřejnit pouze poskytnuté informace, rozhodně však z výše uvedeného nevyplývá povinnost zveřejnit samotnou žádost o informace, natož osobní údaje žadatele. Při zveřejňování odpovědi nebo poskytnuté informace musí platit pravidlo, že žadatel nesmí být při zveřejnění žádosti a poskytnuté informace[3] jakkoliv identifikovatelný. Na webu obce by se tak neměly zveřejňovat žádné osobní údaje žadatele. V případě, že se poskytnuté informace vkládají na web jako externí dokumenty (word, pdf apod.), je třeba dávat si pozor i na název vkládaného souboru. Ani v názvu souboru by se neměly osobní údaje žadatele objevit [4].

Kapitolou samou o sobě je pak poskytování osobních údajů, o které žadatel žádal. Jako příklad můžeme uvést odměnu konkrétního zastupitele nebo výši platu úředníka. Debata o tom, zdali tyto údaje můžeme poskytnout, by vydala na celou knihu, proto se tímto tématem nebudeme v tomto článku zabývat. Pokud se však zaměříme na následné zveřejňování takových osobních údajů na webu obce[5], platí následující teze: Zveřejnit osobní údaje bez anonymizace lze pouze v takovém případě, pokud bychom tyto osobní údaje poskytli každému bez rozdílu. Znamená to tedy, že pokud poskytujeme určité osobní údaje žadateli jen z toho důvodu, že je např. zastupitelem dané obce (privilegovaný žadatel), pak je třeba takto poskytnuté osobní údaje zcela jistě anonymizovat. Naopak v případě, že bychom osobní údaje poskytli každému bez rozdílu, anonymizace pravděpodobně nebude nutná[6].

Zveřejňování zápisů ze zasedání zastupitelstva obce je dobrovolné

Velmi častým jevem na webech obcí je zveřejňování zápisů ze zasedání zastupitelstva, případně rady obce. Povinnost pořízení zápisu z veřejného zasedání zastupitelstva je definována v § 95 zákona č. 128/2000 Sb., obecní zřízení, ve znění pozdějších předpisů (dále jen jako „Obecní zřízení“), kde je následně definována pouze povinnost pořídit zápis do 10 dnů po skončení zasedání. Obecní zřízení pak stanovuje, že zápis „musí být uložen na obecním úřadu k nahlédnutí“[7]. Zveřejnění zápisů ze zastupitelstva obcí tak není povinnost, jedná se o dobrovolné zveřejnění, které je možné a v rámci transparentnosti velmi využívané. Opírá se o § 5 odst. 6 InfZ[8].

Ve vztahu ke zveřejňování osobních údajů je v tomto případě klíčové, že takové zveřejnění je dobrovolné. V případě zveřejnění takových zápisů je třeba odlišovat originální neanonymizovanou verzi zápisu uloženou na obecním úřadě od verze, která je umístěna na webu obce. Webová verze by tak neměla obsahovat nadbytek osobních údajů. Ve webové verzi zápisů je možné ponechat osobní údaje o veřejných představitelích a zaměstnancích, stejně tak jako osobní údaje příjemců veřejných prostředků[9]. Zcela bezpochyby je však nutno anonymizovat osobní údaje osob, které jsou typicky zveřejněny v bodě „Různé/Diskuze“, tedy takových, které nebyly nezbytné pro vlastní rozhodování zastupitelstva.

Je nutný souhlas se zpracováním osobních údajů v kontaktním formuláři?

V rámci zefektivnění komunikace s občany obce často využívají na svých webech kontaktní formulář, jehož pomocí mohou občané kontaktovat obec přímo. Nezřídka se tak stává, že součástí tohoto kontaktního formuláře je souhlas se zpracováním osobních údajů dle Článku 7 obecného nařízení. Je však tento souhlas nutný?

Za předpokladu, že takto získané údaje občanů nejsou využívány k jinému účelu[10], právním titulem k takovému zpracování je písmeno e) Článku 6 Obecného nařízení – zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Souhlas se zpracováním osobních údajů tedy není na místě.

V rámci dodržení zásad obecného nařízení je však třeba myslet na dostatečnou informovanost subjektů údajů a z toho plynoucí povinnost správce informovat o zpracování osobních údajů. V bezprostřední blízkosti takového kontaktního formuláře je tedy nutné umístit odkaz na informace o zpracování osobních údajů, které správce na svém webu zveřejnil[11].

Závěr

Webové stránky obcí bezpochyby obsahují množství osobních údajů, respektive mohou tyto osobní údaje obsahovat. Mezi nejobvyklejší nešvary patří zveřejňování osobních údajů v poskytnutých informacích dle Infozákona, zveřejňování osobních údajů v zápisech ze zastupitelstva obce a získávání souhlasu v kontaktním formuláři.

Obecně lze říci, že ke zveřejňování osobních údajů na obecním webu je třeba přistupovat velmi opatrně, k jejich zveřejnění je třeba hledat konkrétní právní titul a právní základ.

Michal Hinda

Autor je pověřenec pro ochranu osobních údajů.


[1] Formální náležitosti žádosti (včetně požadovaných osobních údajů žadatele) jsou definovány v § 14. Zároveň je nutné dodat, že ne každá žádost, respektive správně podaná žádost musí takto definované náležitosti splňovat.

[2] Typicky pak jméno, příjmení, datum narození, adresa trvalého pobytu.

[3] V praxi se často stává, že povinný subjekt zveřejňuje celou odpověď.

[4] Jako např. Hinda_žádost_106_1.pdf

[5] Jako součást zveřejnění poskytnutých informací na žádost dle § 5 Infozákona.

[6] Velmi často se poskytují tzv. příjemci veřejných prostředků, viz § 8b Infozákona.

[7] Viz § 95 obecního zřízení.

[8] „Povinný subjekt může informace podle odstavce 1 zveřejnit i dalšími způsoby a s výjimkami uvedenými v tomto zákoně může zveřejnit i další informace.“

[9] Osobní údaje lze zveřejnit v rozsahu definovaném § 8b odst. 3 Infozákona.

[10] Takovým příkladem mohou být různá sdělení marketingového charakteru.

[11] Např. pomocí hypertextového odkazu.

Přihlášení k odběru aktualit