Poslat článek emailem

*) povinné položky
16. 10. 2018
ID: 108254upozornění pro uživatele

Nakládání s rodnými čísly v kontextu GDPR

Rodné číslo je beze sporu nutné považovat za specifický osobní údaj. Ačkoliv nepatří mezi zvláštní kategorie osobních údajů[1], jedná se o unikátní identifikátor fyzických osob uvedených v § 16 zákona č. 133/2000 Sb., o evidenci obyvatel, z něhož lze vyčíst jejich pohlaví, datum narození a věk. Právě pro svou jedinečnou povahu vzbuzuje nakládání s rodnými čísly ze strany zaměstnavatelů, úřadů či bank u laické veřejnosti značné obavy, že jejich údaje mohou být zneužity. Cílem tohoto článku je analyzovat současnou právní úpravu a ověřit, zda garantuje subjektům údajů dostatečně účinnou ochranu. Analýze je podrobena právní úprava podmínek zpracování rodných čísel v kontextu nedávno přijatého obecného nařízení o ochraně osobních údajů (dále jen „GDPR“).

 
CÍSAŘ, ČEŠKA, SMUTNÝ s.r.o.   
 
Právo EU

GDPR nahradilo na úrovni práva EU směrnici 95/46/ES. Při této legislativní změně však nedošlo pouze k nahrazení vlastního obsahu právní úpravy, ale také ke změně formy právních aktů. GDPR je totiž nařízením, které je na rozdíl od směrnice 95/46/ES již ze své podstaty přímo použitelné v právních řádech členských států. Podmínkám zpracování národních identifikačních čísel se věnuje čl. 87 GDPR, který zní následovně: „Členské státy mohou dále stanovit zvláštní podmínky pro zpracování národních identifikačních čísel nebo jakýchkoliv jiných všeobecně uplatňovaných identifikátorů. V takovém případě se národní identifikační číslo nebo jakýkoliv jiný všeobecně uplatňovaný identifikátor použije pouze v závislosti na vhodných zárukách práv a svobod daného subjektu údajů podle tohoto nařízení.“ Dle čl. 87 GDPR lze tedy v rámci zvláštních podmínek zpracování národních identifikátorů tyto identifikátory použít pouze v závislosti na vhodných zárukách práv a svobod daného subjektu údajů podle GDPR. Čl. 87 tak svým zněním reflektuje aplikační přednost GDPR před národními úpravami. Tím je fakticky omezen rámec působnosti zvláštních podmínek zpracování rodných čísel přijatých členským státem.

Vnitrostátní právo

V reakci na přijetí GDPR a zakotvení čl. 87 GDPR do jeho textu se žádné nové zvláštní podmínky zpracování rodných čísel v národní legislativě nepřipravují. Dle vládního návrhu zákona o zpracování osobních údajů má být stávající vnitrostátní úprava zpracování rodných čísel dostačující. Stávající úpravou se přitom míní především zákon č. 133/2000 Sb., o evidenci obyvatel. Tento zákon upravuje podobu rodných čísel, způsob jejich přidělování a především omezuje přípustné případy zpracování rodných čísel, z čehož lze dovozovat i vyšší míru ochrany tohoto osobního údaje. Za základ zvláštních podmínek zpracování rodných čísel ve smyslu GDPR lze považovat § 13c odst. 1 zákona o evidenci obyvatel, podle kterého je možné rodná čísla využívat jen

a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy a soudů vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí;

b) stanoví-li tak zvláštní zákon, nebo

c) se souhlasem nositele rodného čísla nebo jeho zákonného zástupce.

Ad a) Orgány veřejné správy

Ustanovení § 13c odst. 1 písm. a) zákona o evidenci obyvatel neobsahuje žádné výslovně vyjádřené omezení zde obsaženého zmocnění ke zpracování rodných čísel. Oprávněné subjekty jsou proto v možnostech zpracování omezeny primárně výše zmiňovaným zněním čl. 87 GDPR – rodná čísla tedy mohou být použita pouze v závislosti na vhodných zárukách práv a svobod subjektu údajů. Pojem vhodných záruk práv a svobod ve smyslu čl. 87 GDPR je však možno vykládat různými způsoby. Při vymezení obsahu tohoto pojmu je však vždy nezbytné opřít se o základní zásady zpracování osobních údajů uvedené v čl. 5 GDPR. Dodržování těchto zásad je totiž samo o sobě nejobecnější zárukou šetření práv a svobod subjektů údajů. Lze tak dovodit, že pokud oprávněný subjekt dbá naplnění základních zásad zpracování osobních údajů, měl by současně poskytovat vhodné záruky práv a svobod subjektů údajů. Způsob naplňování základních zásad je nastíněn níže v tomto článku.

Ad b) Na základě zákonného zmocnění

V souladu s § 13c odst. 1 písm. b) zákona o evidenci obyvatel může být zmocnění ke zpracování rodných čísel obsaženo také ve zvláštním zákoně. V takových případech lze obdobně aplikovat závěry uvedené výše k obecnému zmocnění obsaženému v § 13c odst. 1 písm. a) zákona o evidenci obyvatel. Přístup ke zpracování rodných čísel se však bude lišit podle toho, zda je zmocnění vyjádřeno ve formě oprávnění, nebo povinnosti zpracovávat rodná čísla.

V případech, kdy zvláštní zákon obsahuje oprávnění zpracovávat rodná čísla, je nutné zhodnotit, zda bližší podmínky zpracování obsažené v příslušném zvláštním zákoně zajišťují poskytnutí vhodných záruk práv a svobod subjektů údajů. Pokud nikoliv, nemohl by správce rodná čísla v souladu s čl. 87 GDPR zpracování použít. Tím je dle názoru autorů dán významný rozdíl mezi právním stavem v době před datem použitelnosti GDPR, kdy základní zásady zpracování osobních údajů v členských státech zakotvovala směrnice 95/46/ES. V čl. 8 odst. 7 této směrnice bylo stanoveno pouze to, že členské státy určí podmínky, za kterých může být předmětem zpracování vnitrostátní identifikační číslo. V případech, kdy tedy zvláštní zákon stanovoval podmínky v rozporu s právy a svobodami subjektů údajů, nezbývalo dotčeným subjektům nic jiného než vyčkat na změnu legislativy, případně na zrušení vadných ustanovení takového zákona Ústavním soudem.[2]

Možnost upustit od zpracování rodných čísel však nebude dána v případě, kdy právní řád stanoví výslovnou povinnost rodné číslo zpracovávat.[3] Stanovení takové povinnosti je právním titulem zpracování ve smyslu čl. 6 odst. 1 písm. c) GDPR - splnění právní povinnosti správce. nejedná o zvláštní podmínku zpracování ve smyslu čl. 87 GDPR. Pokud tedy správce má výslovnou povinnost rodné číslo zpracovávat, ale zároveň mu podmínky zpracování uvedené ve zvláštním předpise neumožňují toto provést za současného zachování záruk pro práva a svobody subjektů údajů, měl by s ohledem na aplikační přednost unijního práva primárně postupovat v souladu s právní úpravou GDPR. Je však samozřejmě možné, že povinnost zpracovat rodné číslo byla již od počátku stanovena tak, že ji je nemožné splnit a zároveň se nedostat do rozporu se zásadami ochrany osobních údajů. V takovém případě by bylo dle názoru autorů v zásadě opět nutné (jako za minulé právní úpravy) vyčkat změny legislativy.

Ad c) Se souhlasem subjektu údajů

Mimo orgány veřejné správy a případy upravené zvláštními zákony lze rodná čísla v souladu s § 13c odst. 1 písm. c) zákona o evidenci obyvatel zpracovávat pouze na základě souhlasu subjektu údajů. Tento souhlas musí samozřejmě splňovat všechny náležitosti souhlasu dle GDPR. Nově je tedy např. postaveno najisto, že podpis smlouvy, v níž jsou uvedena rodná čísla, nelze bez dalšího považovat za souhlas s jejich zpracováním dle GDPR.

Zásady zpracování osobních údajů

Jak již bylo uvedeno výše, dodržování základních zásad zpracování osobních údajů dle čl. 5 GDPR je samo o sobě nejobecnější zárukou šetření práv a svobod subjektů údajů. Správce by proto měl dbát naplňování těchto zásad i při zpracování rodných čísel.

Základ pro zásadu zákonnosti je stanoven v § 13c odst. 1 zákona o evidenci obyvatel. Pokud je subjekt pouze oprávněn ke zpracování rodných čísel, ale nemá pro konkrétní případ k tomu stanovenou žádnou povinnost ani jiný předem daný právní titul, musí sám stanovit jeden z právních titulů obsažených v čl. 6 odst. 1 GDPR. V naprosté většině takových případů bude právním titulem oprávněný zájem, plnění úkolu ve veřejném zájmu nebo zpracování při výkonu veřejné moci. V ostatních případech bude přípustný právní titul již dán přímo zákonodárcem bez ohledu na vůli správce.

Pro dodržování zásady účelového omezení je důležité mít na zřeteli, že česká judikatura poskytla relativně přesné vymezení účelu nakládání s rodnými čísly. Dle závěrů judikatury je účelem zpracování rodných čísel „zajišťování co nejrychlejšího a nejefektivnějšího zpracování a vyhledávání údajů, neboť rodné číslo se jako identifikátor objevuje v mnoha evidencích a počítačových systémech“.[4] Pokud tedy výše uvedený účel v konkrétním případě odpadá (např. z toho důvodu, že příslušné evidence využívají jiný způsob identifikace), měl by správce, pokud je to možné, zpracování rodného čísla ukončit. 

Jak bylo nastíněno již v úvodu tohoto článku, ze zpracování samotného rodného čísla lze dovodit datum narození, věk a pohlaví fyzické osoby, které bylo rodné číslo přiděleno. To může být problematické v případě zpracování rodných čísel v databázích veřejné správy, které slouží k jednoznačnému ztotožnění fyzické osoby a ke kterým může mít v řadě případů přístup široká veřejnost. Z hlediska zásady minimalizace údajů, dle níž je správce oprávněn za stanoveným účelem zpracovávat toliko nezbytný rozsah osobních údajů se dle názorů autorů jeví jako nadbytečné, aby byl tento identifikátor složen z dalších osobních údajů. Tento problém má být v budoucnu vyřešen přechodem na osobní identifikátor, jehož podoba nebude na stávajících osobních údajích závislá.[5]

Závěr

S příchodem GDPR nedošlo pouze ke změně formy unijní úpravy ochrany osobních údajů ze směrnice na nařízení, ale rovněž k zúžení zmocnění členských států pro přijetí zvláštních podmínek zpracování rodných čísel. Dle čl. 87 GDPR je rodná čísla možné zpracovávat pouze, pokud jsou správcem danému subjektu údajů při zpracování poskytnuty vhodné záruky práv a svobod. Pojem vhodných záruk práv a svobod sice není výslovně definován, správci však vždy musí postupovat v souladu se základními zásadami zpracování osobních údajů dle čl. 5 GDPR.

Naplňování základních zásad by obecně nemělo činit potíže, pokud je správci dána pouhá možnost rodná čísla zpracovávat. V takovém případě bude muset správce sám zvážit, zda má přípustný právní titul a účel zpracování a následně zda je schopen poskytnout vhodné záruky zpracování tohoto osobního údaje. Problémy však nelze vyloučit v případech, kdy je správci sice dána povinnost rodné číslo zpracovat, to však nemůže učinit v souladu s vnitrostátní úpravou a se současným zachováním vhodných záruk dle GDPR. K uvedenému může dojít především v případech, kdy zákonodárce nerespektuje judikatorně vymezený účel, a to: „zajišťování co nejrychlejšího a nejefektivnějšího zpracování a vyhledávání údajů, neboť rodné číslo se jako identifikátor objevuje v mnoha evidencích a počítačových systémech“. Správce by za takového právního stavu měl splnit zákonnou povinnost rodné číslo zpracovat. Zároveň by se však měl pokusit využít pravidla přednosti unijního práva a vnitrostátní podmínky zpracování ve vhodném rozsahu nahradit ustanoveními GDPR. V této souvislosti je proto nutné apelovat na zákonodárce, aby především respektoval výše uvedený účel zpracování rodných čísel a vždy stanovil podmínky zpracování daného osobního údaje přiměřené tomuto účelu.


Mgr. Ing. Kateřina Mencnerová
advokátka

Mgr. Bc. Radek Tupec
advokátní koncipient



CITY TOWER
Hvězdova 1716/2b
140 00  Praha 4

Tel.:        +420 224 827 884
Fax:        +420 224 827 879
e-mail:    ak@akccs.cz

Právnická firma roku 2017
_______________________
[1] Jedná se o taxativní výčet osobních údajů uvedených v čl. 9 GDPR, které jsou považovány vůči subjektu údajů za citlivé a jimž je proto poskytnuta zvýšená ochrana při jejich zpracování.
[2] Např. zrušení povinnosti uvádění daňového identifikačního čísla (DIČ) na každé účtence. Ústavní soud v tomto případě dospěl k závěru, že užívání DIČ není šetrné k právu na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů podle čl. 10 odst. 3 Listiny. Viz Nález ÚS ČR, sp. zn. Pl. ÚS 26/16, ze dne 12. prosince 2017.
[3] Např. § 4 odst. 2 písm. b) zákona č. 256/2013 Sb., o katastru nemovitostí.
[4] Nález ÚS ČR, sp. zn. Pl. ÚS 26/16, ze dne 12. prosince 2017.
[5] Např. dle § 64 odst. 2 zákona č. 111/2009 Sb., o základních registrech, lze při vytváření registru obyvatel pro jednoznačnou identifikaci fyzické osoby využívat rodné číslo nejdéle do 31. prosince 2025.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz