Musí správce subjektu údaj sdělit i totožnost zaměstnanců, kteří měli přístup k jeho datům?

Toto právo je upraveno v čl. 15 obecného nařízení o ochraně osobních údajů (GDPR)[1]. V čl. 12 GDPR jsou pak upraveny společné procesní náležitosti pro vyřizování uplatnění nejen práva na informace o zpracování osobních údajů, ale i dalších práv dotčených osob, např. práva na výmaz, práva na přenositelnost osobních údajů, práva na námitku proti zpracování atd.

Správce osobních údajů je povinen žadateli poskytnout následující informace:

1. Účel, pro který jeho osobní údaje zpracovává nebo zpracovával
2. Jaké údaje, resp. jaké kategorie údajů zpracovává (např. identifikační a kontaktní údaje, údaje o spotřebitelském chování, informace o zdravotním stavu atd.)
3. Příjemce či kategorie příjemců, jímž správce osobní údaje zpřístupnil nebo zpřístupní
4. Plánovanou dobu uchování údajů
5. Bližší informace k právům subjektů údajů a možnostech jejich uplatnění
6. Možnost podat stížnost proti zpracování k dozorového úřadu
7. Zdroj osobních údajů, pokud je správce nezískal přímo od dotčené osoby
8. Skutečnost, zda dochází k automatizovanému rozhodování (např. automatické schvalování úvěrů, posuzování žádosti o sociální dávky, rozhodování ve výběrovém řízení atd.), a pokud ano, tak vysvětlení použitého automatického postupu, algoritmu.[2]

Právo na informace o zpracování osobních údajů je dále upřesňováno

Právo na informace o zpracování osobních údajů je tím, které subjekty údajů v praxi nejčastěji využívají. Do jisté míry to odpovídá i struktuře GDPR a úmyslu posílit práva dotčených osob, které právě po zjištění, zda ten který správce jejich osobní údaje zpracovával, za jakým účelem, po jakou dobu atd., vůči němu mohou uplatnit další práva. Typicky právo na výmaz, námitku proti zpracování či právo podat stížnost k dozorovému úřadu.

Reklama

ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025

5.8.2025 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Některé aspekty či souvislosti práva na informace o zpracování osobních údajů jsou upřesňovány i ze strany dozorových úřadů a soudů. Zmiňme zejména výkladová vodítka Evropského sboru pro ochranu osobních údajů[3] č. 1/2022, která řeší jak hmotněprávní, tak řadu procesních náležitostí a specifik. Z aktuální judikatury pak můžeme pro příklad poukázat na rozsudek Soudního dvora Evropské unie ze dne 12. ledna 2023, v kauze C-154/2021, Rakouská pošta. V tomto případě soud upřesnil, že subjekty údajů obecně postačí poskytnout informace o kategoriích příjemců jeho osobních údajů, pokud ale upřesní, že požaduje jednoznačnou identifikace organizací, kterým správce jeho data předal, musí mu správce vyhovět.

Jsou zaměstnanci správce považování za příjemce osobních údajů?

Soudní dvůr EU v červnu tohoto roku vydal další, pro praxi důležitý rozsudek k právu na informace o zpracování osobních údajů. Konkrétně jde o rozsudek ze dne 22. června 2023, ve věci C‑579/21, Pankki.

Soud se v této kauze zabýval předběžnými otázkami finského soudu. Tou nejdůležitějšími podle mě byla otázka, zda subjekt údajů, který u správce uplatní práva na informace o zpracování, má či nemá právo vědět, kteří zaměstnanci správce se na zpracování podíleli. A měli přístup k jeho osobním datům.

Audit, nebo šmírování kolegy?

Pan J.M. byl zaměstnancem a zároveň klientem finské banky Pankki S. V roce 2014 z ní byl propuštěn, možná ne úplně v dobrém. V roce 2018, 4 dny po účinnosti GDPR, požádal svého bývalého zaměstnavatele v souladu s čl. 15 GDPR o informace o zpracování svých osobních údajů. V žádosti doplnil, že má indicie o tom, že v roce 2013 někteří jeho bývalí kolegové nahlíželi do jeho klientských údajů, a proto žádá rovněž o sdělení informace o tom, které osoby, kdy a proč k jeho osobním údajům přistoupily.

Banka žadateli poskytla informace o zpracování jeho dat, s jednou výjimkou: Odmítla mu sdělit, kteří konkrétní zaměstnanci k jeho klientským datům přistoupili, a to s argumentem, že se jedná o osobní údaje jeho zaměstnanců. Detailně ale žadateli vysvětlil, že na jeho osobní údaje v daném období nahlíželi zaměstnanci interního auditu, kteří prověřovali závažné podezření ze střetu zájmů.

Žadateli takováto odpověď nestačila. Sdělení konkrétních zaměstnanců se domáhal u finského dozorového úřadu. Neúspěšně. Proto se rozhodl věc řešit soudně, žalobou k finskému správnímu soudu. A právě ten SDEU položil předběžné otázky týkající se toho, zda lze zaměstnance správce považovat za příjemce osobních údajů.

Jsou zaměstnanci příjemci údajů ve smyslu GDPR? Podle soudu ne

Jak Soudní dvůr EU rozhodl? Má subjekt údajů právo vědět, kteří zaměstnanci se u správce podíleli na zpracování jeho osobních údajů, resp. měli přístup k jeho osobním údajům? Jedná se o příjemce údajů ve smyslu GDPR, o kterých je správce povinen subjekty údajů informovat?

Stručná odpověď zní ne. Součástí práva na informace o zpracování není identifikace konkrétních zaměstnanců, kteří se na zpracování podíleli a k osobním údajům měli přístup.

Proč tomu tak je? Podle soudu ze dvou hlavních důvodů:

Tím prvním je, že zaměstnanec správce neodpovídá legální definici příjemce osobních údajů. Ten je v čl. 4 bodu 9) GDPR definován jako „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.“ Zaměstnanci, kteří zpracovávají osobní údaje z pověření správce a v souladu s jeho pokyny, nejsou osobou odlišnou od správce a jejich jednání je přičitatelné správci. Proto se nejedná o příjemce osobních údajů dle uvedené definice.

I zaměstnanci mají právo na ochranu osobních údajů

Druhým důvodem, proč informace o zaměstnancích správce v rámci žádosti o informace o zpracování neposkytovat, je podle Soudního dvora EU skutečnost, že správce je povinen chránit i práva svých zaměstnanců.

Identifikační údaje zaměstnanců, kteří se při činnosti pro správce podíleli na zpracování dat, měli k nim přístup, jsou také osobními údaji ve smyslu GDPR. Soudní dvůr EU v tomto kontextu konstatuje, že právo na informace o zpracování osobních údajů není absolutní. V souladu s recitálem č. 63 GDPR soud doplnil, že výkonem práva na informace o zpracování osobních údajů by neměla být dotčena práva a svobody dalších osob.

Zaměstnanci jednají z pověření a dle pokynů správce. Právě správce je také za celé zpracování odpovědný, jak ve veřejnoprávní, tak soukromoprávní rovině. Pro realizaci práva na informace o zpracování osobních údajů, případně dalších práv přiznaných GDPR, proto není nutné poskytovat identitu konkrétních zaměstnanců dotčeného správce. Pokud by správce subjektu údajů poskytl informace o tom, kteří zaměstnanci správce měli přístup k daným osobním údajům, o nepřiměřený zásah do jejich práv a svobod by se proto obvykle jednalo.

Soudní dvůr EU nevylučuje, že zaměstnanci správce mohou i sami zasáhnout do práv subjektu údajů. Například neoprávněným přístupem k osobním údajům, v rozporu se postupem a pravidly zavedenými správcem. V takovém případě však soud subjekty údajů ve většině případů odkazuje na podání stížnosti k dozorovému úřadu, který si může záznamy (logy) o přístupech k osobním údajů vyžádat a ověřit jejich legitimitu a důvodnost.

Pro úplnost dodejme, že Evropský sbor pro ochranu osobních údajů ve shora zmíněných vodítcích č. 1/2022 tuto otázkou výslovně neřeší. Pouze konstatuje, že správce musí při vyřizování uplatnění práva na informace a přístup k osobním údajům celý proces nastavit tak, aby šetřil práva ostatních, např. právo na soukromí svých zaměstnanců.[4]

Kdy má subjekt údajů právo na informace o zaměstnancích, kteří nahlíželi na jeho osobní údaje?

Závěr, že subjekt údajů nemá právo na informace o tom, kteří zaměstnanci správce se podíleli na zpracování jeho osobních údajů, neplatí absolutně. Zjevně by měl být chápán jako obecný princip, už kvůli tomu, že zaměstnanci nejsou považování za příjemce údajů. Druhý aspekt, posuzování zásahu do práv subjektu údajů a zásahu do práv daných zaměstnanců, však může být komplikovanější.

Soudní dvůr EU v odpovědi na jednu z položených otázek uvádí, že subjekt údajů by měl v některých specifických případech mít právo vědět i to, kteří zaměstnanci měli u správce k jeho osobním údajům přístup. Podle soudu se jedná o situace, kdy jsou tyto informace nezbytné k tomu, aby subjekt údajů mohl účinně vykonávat další práva, která mu GDPR přiznává. I to ovšem za podmínky, že jsou zohledněna práva a svobody těchto zaměstnanců.

Soud už bohužel neupřesňuje, pro uplatnění kterých práv by tato informace měla či mohla být nezbytná. Z katalogu práv subjektů údajů upravených v GDPR se především nabízí již zmíněné právo podat stížnost k dozorovému úřadu a případně právo na omezení zpracování upravené v čl. 18 GDPR. Lze si představit situaci, kdy by se subjekt údajů dozvěděl, v tomto případě od správce, že k jeho údajům přistupovali zaměstnanci nad rámec plnění svých pracovních povinností a v rozporu s pokyny správce. Proto by správce vyzval, aby osobní údaje dále nezpracovával, ani nevymazal, a to až do odstranění pochybností, například opět ze strany dozorového úřadu.

Dle mého názoru je však tento případ spíše teoretickou možností. Jak z pohledu struktury a koncepce regulace zpracování osobních údajů, tak s ohledem na praktické možnosti se mi jeví jako efektivnější a smysluplnější, aby spor o oprávněnost přístupu zaměstnanců k osobním údajům řešil dozorový úřad, případně soud, a ne sám subjekt údajů. Ten by se navíc musel spoléhat na to, že správce objektivně vyhodnotí, že v takto specifickém případě mu identitu dotčených zaměstnanců sdělí, což by také nemuselo vždy probíhat zcela nestranně a objektivně.

Výjimky mohou být i v sektorové regulaci

Výjimky z uvedeného obecného závěru můžeme ale najít i v některých zvláštních právních předpisech. V určitých oblastech totiž už zákonodárce sám vyhodnotil, že práva subjektu údajů obvykle budou mít přednost, resp. že případný zásah do jejich práv by byl tak výrazný, že mají mít možnost zjistit, které osoby se u správce s jejich osobními údaji seznámily.

Typickým případem je zdravotnictví, resp. poskytování zdravotních služeb. Poskytování zdravotních služeb je v České republice upraveno především zákon 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách).

Co tato zvláštní právní úprava říká?

Poskytovatel zdravotních služeb je povinen vést zdravotnickou dokumentaci, která obsahuje zejména informace o zdravotním stavu konkrétního pacienta, o poskytnuté léčbě, hospitalizaci atd. Zákon o zdravotních službách dále v § 65 taxativně vymezuje, kdo může do zdravotnické dokumentace nahlížet. V § 66 odst. 6 zákona je pak stanovena povinnost zaznamenat až na výjimky každé nahlédnutí do zdravotnické dokumentace. A prováděcí právní předpis, konkrétně vyhláška 98/2012 Sb., o zdravotnické dokumentaci, v § 1 odst. 2 písm. n) upřesňuje, že zdravotnická dokumentace obsahuje i „záznam o nahlédnutí do zdravotnické dokumentace vedené o pacientovi s uvedením kdy, kým a v jakém rozsahu k nahlédnutí došlo, včetně záznamu o pořízení kopie nebo výpisu ze zdravotnické dokumentace, pokud byly pořízeny.“

Jinak řečeno, přístup do zdravotnické dokumentace je z důvodu citlivosti zdravotnických údajů zákonem omezen. Přístup do dokumentace musí být ve většině případů zaznamenám a tento seznam osob, ať už interních, zaměstnanců či dalších spolupracovníků správce, poskytovatele zdravotních služeb, tak i externích, je také součástí zdravotnické dokumentace.

Prvním z těch, kdo mohou do zdravotnické dokumentace nahlížet, a pořizovat si z ní výpisy a kopie, je sám pacient. Součástí zdravotnické dokumentace je i seznam dalších osob, které k ní přistoupily. Pacient tedy zjevně má právo i na přístup k těmto záznamům. Má právo vědět, které další osoby, včetně zaměstnanců správce, poskytovatele zdravotních služeb, se seznámily s informacemi uchovávanými v jeho zdravotnické dokumentaci. V tomto případě tedy již ze zákona převažují práva subjektu údajů, pacienta, nad právem zaměstnanců správce i dalších osob na ochranu jejich osobních údajů.

Jaké jsou závěry pro praxi?

Co si z tohoto rozsudku odnést pro praxi, pro vyřizování žádostí subjektů údajů o informace o zpracováních jejich osobních údajů?

Okruh informací, které správce musí poskytovat subjektu údajů o zpracování jeho dat, je široký. Identifikace konkrétních zaměstnanců, kteří se na zpracování podílejí, mezi ně ale obvykle nepatří. To ovšem neznamená, že by tyto informace neměl odpovědný správce shromažďovat, že by neměl pořizovat logy (záznamy) o tom, kdo a kdy k osobním údajům, které zpracovává, přistoupil. I když obecně není povinen tuto informaci sdělit subjektu údajů, může se jej na to zeptat ÚOOÚ, případně jiný dozorový orgán nebo soud. A bez schopnosti prokázat a doložit, že správce k osobním údajů přístup řídí a eviduje, jen obtížně dokáže dodržení svých povinností týkajících se zpracování osobních údajů.

Tento závěr ale neplatí absolutně. Správce musí znát i sektorovou regulaci, která upravuje některé specifika jím prováděného zpracování osobních údajů. Pokud dle této zvláštní úpravy práva subjektu údajů ve smyslu tématu tohoto článku převažují nad právy zaměstnanců, tzn. pokud je správce povinen informace o zaměstnancích s přístupem k osobním údajům subjektu údajů poskytnout, pak se pochopitelně musí řídit touto sektorovou regulací.

Mgr. František Nonnemann,
konzultant v oblasti ochrany osobních údajů, řízení rizik a compliance, člen Výboru Spolku pro ochranu osobních údajů

e-mail: nonnemann@volny.cz