Nakládání s rodnými čísly v kontextu GDPR

GDPR nahradilo na úrovni práva EU směrnici 95/46/ES. Při této legislativní změně však nedošlo pouze k nahrazení vlastního obsahu právní úpravy, ale také ke změně formy právních aktů. GDPR je totiž nařízením, které je na rozdíl od směrnice 95/46/ES již ze své podstaty přímo použitelné v právních řádech členských států. Podmínkám zpracování národních identifikačních čísel se věnuje čl. 87 GDPR, který zní následovně: „Členské státy mohou dále stanovit zvláštní podmínky pro zpracování národních identifikačních čísel nebo jakýchkoliv jiných všeobecně uplatňovaných identifikátorů. V takovém případě se národní identifikační číslo nebo jakýkoliv jiný všeobecně uplatňovaný identifikátor použije pouze v závislosti na vhodných zárukách práv a svobod daného subjektu údajů podle tohoto nařízení.“ Dle čl. 87 GDPR lze tedy v rámci zvláštních podmínek zpracování národních identifikátorů tyto identifikátory použít pouze v závislosti na vhodných zárukách práv a svobod daného subjektu údajů podle GDPR. Čl. 87 tak svým zněním reflektuje aplikační přednost GDPR před národními úpravami. Tím je fakticky omezen rámec působnosti zvláštních podmínek zpracování rodných čísel přijatých členským státem.

V reakci na přijetí GDPR a zakotvení čl. 87 GDPR do jeho textu se žádné nové zvláštní podmínky zpracování rodných čísel v národní legislativě nepřipravují. Dle vládního návrhu zákona o zpracování osobních údajů má být stávající vnitrostátní úprava zpracování rodných čísel dostačující. Stávající úpravou se přitom míní především zákon č. 133/2000 Sb., o evidenci obyvatel. Tento zákon upravuje podobu rodných čísel, způsob jejich přidělování a především omezuje přípustné případy zpracování rodných čísel, z čehož lze dovozovat i vyšší míru ochrany tohoto osobního údaje. Za základ zvláštních podmínek zpracování rodných čísel ve smyslu GDPR lze považovat § 13c odst. 1 zákona o evidenci obyvatel, podle kterého je možné rodná čísla využívat jen

a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy a soudů vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí;

b) stanoví-li tak zvláštní zákon, nebo

c) se souhlasem nositele rodného čísla nebo jeho zákonného zástupce.

Ustanovení § 13c odst. 1 písm. a) zákona o evidenci obyvatel neobsahuje žádné výslovně vyjádřené omezení zde obsaženého zmocnění ke zpracování rodných čísel. Oprávněné subjekty jsou proto v možnostech zpracování omezeny primárně výše zmiňovaným zněním čl. 87 GDPR – rodná čísla tedy mohou být použita pouze v závislosti na vhodných zárukách práv a svobod subjektu údajů. Pojem vhodných záruk práv a svobod ve smyslu čl. 87 GDPR je však možno vykládat různými způsoby. Při vymezení obsahu tohoto pojmu je však vždy nezbytné opřít se o základní zásady zpracování osobních údajů uvedené v čl. 5 GDPR. Dodržování těchto zásad je totiž samo o sobě nejobecnější zárukou šetření práv a svobod subjektů údajů. Lze tak dovodit, že pokud oprávněný subjekt dbá naplnění základních zásad zpracování osobních údajů, měl by současně poskytovat vhodné záruky práv a svobod subjektů údajů. Způsob naplňování základních zásad je nastíněn níže v tomto článku.

V souladu s § 13c odst. 1 písm. b) zákona o evidenci obyvatel může být zmocnění ke zpracování rodných čísel obsaženo také ve zvláštním zákoně. V takových případech lze obdobně aplikovat závěry uvedené výše k obecnému zmocnění obsaženému v § 13c odst. 1 písm. a) zákona o evidenci obyvatel. Přístup ke zpracování rodných čísel se však bude lišit podle toho, zda je zmocnění vyjádřeno ve formě oprávnění, nebo povinnosti zpracovávat rodná čísla.

V případech, kdy zvláštní zákon obsahuje oprávnění zpracovávat rodná čísla, je nutné zhodnotit, zda bližší podmínky zpracování obsažené v příslušném zvláštním zákoně zajišťují poskytnutí vhodných záruk práv a svobod subjektů údajů. Pokud nikoliv, nemohl by správce rodná čísla v souladu s čl. 87 GDPR zpracování použít. Tím je dle názoru autorů dán významný rozdíl mezi právním stavem v době před datem použitelnosti GDPR, kdy základní zásady zpracování osobních údajů v členských státech zakotvovala směrnice 95/46/ES. V čl. 8 odst. 7 této směrnice bylo stanoveno pouze to, že členské státy určí podmínky, za kterých může být předmětem zpracování vnitrostátní identifikační číslo. V případech, kdy tedy zvláštní zákon stanovoval podmínky v rozporu s právy a svobodami subjektů údajů, nezbývalo dotčeným subjektům nic jiného než vyčkat na změnu legislativy, případně na zrušení vadných ustanovení takového zákona Ústavním soudem.[2]

Možnost upustit od zpracování rodných čísel však nebude dána v případě, kdy právní řád stanoví výslovnou povinnost rodné číslo zpracovávat.[3] Stanovení takové povinnosti je právním titulem zpracování ve smyslu čl. 6 odst. 1 písm. c) GDPR - splnění právní povinnosti správce. nejedná o zvláštní podmínku zpracování ve smyslu čl. 87 GDPR. Pokud tedy správce má výslovnou povinnost rodné číslo zpracovávat, ale zároveň mu podmínky zpracování uvedené ve zvláštním předpise neumožňují toto provést za současného zachování záruk pro práva a svobody subjektů údajů, měl by s ohledem na aplikační přednost unijního práva primárně postupovat v souladu s právní úpravou GDPR. Je však samozřejmě možné, že povinnost zpracovat rodné číslo byla již od počátku stanovena tak, že ji je nemožné splnit a zároveň se nedostat do rozporu se zásadami ochrany osobních údajů. V takovém případě by bylo dle názoru autorů v zásadě opět nutné (jako za minulé právní úpravy) vyčkat změny legislativy.

Mimo orgány veřejné správy a případy upravené zvláštními zákony lze rodná čísla v souladu s § 13c odst. 1 písm. c) zákona o evidenci obyvatel zpracovávat pouze na základě souhlasu subjektu údajů. Tento souhlas musí samozřejmě splňovat všechny náležitosti souhlasu dle GDPR. Nově je tedy např. postaveno najisto, že podpis smlouvy, v níž jsou uvedena rodná čísla, nelze bez dalšího považovat za souhlas s jejich zpracováním dle GDPR.

Jak již bylo uvedeno výše, dodržování základních zásad zpracování osobních údajů dle čl. 5 GDPR je samo o sobě nejobecnější zárukou šetření práv a svobod subjektů údajů. Správce by proto měl dbát naplňování těchto zásad i při zpracování rodných čísel.

Základ pro zásadu zákonnosti je stanoven v § 13c odst. 1 zákona o evidenci obyvatel. Pokud je subjekt pouze oprávněn ke zpracování rodných čísel, ale nemá pro konkrétní případ k tomu stanovenou žádnou povinnost ani jiný předem daný právní titul, musí sám stanovit jeden z právních titulů obsažených v čl. 6 odst. 1 GDPR. V naprosté většině takových případů bude právním titulem oprávněný zájem, plnění úkolu ve veřejném zájmu nebo zpracování při výkonu veřejné moci. V ostatních případech bude přípustný právní titul již dán přímo zákonodárcem bez ohledu na vůli správce.

Pro dodržování zásady účelového omezení je důležité mít na zřeteli, že česká judikatura poskytla relativně přesné vymezení účelu nakládání s rodnými čísly. Dle závěrů judikatury je účelem zpracování rodných čísel „zajišťování co nejrychlejšího a nejefektivnějšího zpracování a vyhledávání údajů, neboť rodné číslo se jako identifikátor objevuje v mnoha evidencích a počítačových systémech“.[4] Pokud tedy výše uvedený účel v konkrétním případě odpadá (např. z toho důvodu, že příslušné evidence využívají jiný způsob identifikace), měl by správce, pokud je to možné, zpracování rodného čísla ukončit. 

Jak bylo nastíněno již v úvodu tohoto článku, ze zpracování samotného rodného čísla lze dovodit datum narození, věk a pohlaví fyzické osoby, které bylo rodné číslo přiděleno. To může být problematické v případě zpracování rodných čísel v databázích veřejné správy, které slouží k jednoznačnému ztotožnění fyzické osoby a ke kterým může mít v řadě případů přístup široká veřejnost. Z hlediska zásady minimalizace údajů, dle níž je správce oprávněn za stanoveným účelem zpracovávat toliko nezbytný rozsah osobních údajů se dle názorů autorů jeví jako nadbytečné, aby byl tento identifikátor složen z dalších osobních údajů. Tento problém má být v budoucnu vyřešen přechodem na osobní identifikátor, jehož podoba nebude na stávajících osobních údajích závislá.[5]

[1] Jedná se o taxativní výčet osobních údajů uvedených v čl. 9 GDPR, které jsou považovány vůči subjektu údajů za citlivé a jimž je proto poskytnuta zvýšená ochrana při jejich zpracování.

[2] Např. zrušení povinnosti uvádění daňového identifikačního čísla (DIČ) na každé účtence. Ústavní soud v tomto případě dospěl k závěru, že užívání DIČ není šetrné k právu na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním osobních údajů podle čl. 10 odst. 3 Listiny. Viz Nález ÚS ČR, sp. zn. Pl. ÚS 26/16, ze dne 12. prosince 2017.

[3] Např. § 4 odst. 2 písm. b) zákona č. 256/2013 Sb., o katastru nemovitostí.

[4] Nález ÚS ČR, sp. zn. Pl. ÚS 26/16, ze dne 12. prosince 2017.

[5] Např. dle § 64 odst. 2 zákona č. 111/2009 Sb., o základních registrech, lze při vytváření registru obyvatel pro jednoznačnou identifikaci fyzické osoby využívat rodné číslo nejdéle do 31. prosince 2025.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz