Elektronické karty

Většina škol, především středních a vysokých, vydává identifikační karty, z nichž je jasné, že držitel je studentem. Tyto karty obvykle řeší i další potřeby studentů i školy a s její pomocí se studenti snáze dostanou k dalším službám, slouží například k platbě za kopírování, nahradí průkaz do knihovny, její pomocí se ověřují vstupy do budovy nebo do místností.

Je však třeba zohlednit, že prostřednictvím těchto karet zpracovávaných. Každá škola, která se rozhodne některou z karet zavést, by měla vybírat podle účelů, k nimž je zaváděna, a podle možností zabezpečení.

Nejjednodušší je tzv. „bílá“ čipová karta, která často bývá nesprávně označovaná jako anonymní. Její anonymita spočívá v tom, že (např. jméno, příjmení, fotografie). Z pohledu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“), by však o anonymitě držitele karty bylo možné hovořit jen v případě, že by karta umožňovala jejímu nositeli pouze vstup do budovy, přístup do informačního systému (popř. využití nějaké služby), aniž by při jejím použití bylo možné majitele jednoznačně identifikovat. Systém by tedy neidentifikoval držitele, ale pouze úroveň přístupových práv, které karta svému držiteli umožňuje. V souvislosti s užíváním karty by tak nebyly zpracovávány žádné osobní údaje ve smyslu § 4 písm. a) a e) ZoOU.

Většina těchto „bílých“ karet je však personalizovaná. Znamená to, že umožňuje využívání specifických služeb jen konkrétnímu uživateli, např. vydávání obědů, zpětnou kontrolu oprávněnosti vstupu apod. Systém je proto schopen sledovat činnosti držitele „bílé“ karty stejným způsobem jako činnosti majitele jakékoli jiné karty. V takovém případě je tedy nepochybně naplněno ustanovení § 4 písm. e) ZoOU, podle něhož se zpracováním osobních údajů rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky, a dochází tak ke zpracování osobních údajů.

Dalším typem jsou jednoúčelové personalizované karty. Při vydávání těchto karet rovněž dochází ke zpracování osobních údajů, neboť tyto karty jsou vázány na konkrétního uživatele, který je na kartě jednoznačně identifikován – většinou pomocí jména, příjmení, popř. fotografie. Posledním, v současnosti nejužívanějším typem elektronických karet jsou multifunkční karty, jež umožňují využívat více druhů služeb.

V souvislosti se zpracováním osobních údajů v rámci poskytovaných služeb představuje karta vnější prostředek, jež umožňuje realizovat různě definované účely. (databáze) osobních údajů, v souvislosti s nímž je karta vydána, a především účel tohoto zpracování, tedy nikoli karta sama. Ve většině případů jsou karty nástrojem sloužícím k provedení služby, jinak řečeno – jsou (smlouva o poskytnutí služby), která je uzavírána mezi poskytovatelem služby a subjektem údajů. Vydání karty a zpracovávání osobních údajů je tak uzavíraného z iniciativy subjektu údajů (podání žádosti o vydání karty), který spadá do výjimky § 5 odst. 2 písm. b) ZoOU. Podle něj může správce osobní údaje zpracovávat bez souhlasu subjektu údajů, jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření či o změně smlouvy uskutečněné na návrh subjektu údajů. Jedná se o akceptaci nabídky produktu se stanovenými parametry.

Existuje-li alternativní možnost, tedy možnost produkt využívat i bez čipové karty, zpracování osobních údajů je možné bez formálního souhlasu subjektu údajů, neboť výběrem produktu (karty, která umožňuje jeho identifikaci) žák/student přistupuje na podmínky poskytovatele služby. (žák/student si kartu musí pořídit, jinak mu nebude poskytnuta služba),

Pro zpracování údajů nezbytně nutných pro vydání karty a pro plnění smlouvy platí výše uvedené, tedy Pro zpracování údajů, které jde nad rámec nezbytnosti zpracování pro plnění smlouvy (např. zaznamenávání informací typu v kolik hodin chodí na obědy), je třeba souhlasu subjektu údajů. Avšak i v případě získání souhlasu je nutné respektovat zásadu ochrany soukromí a osobního života, která stanoví hranici rozsahu zpracovávaných osobních údajů.

Vzhledem ke skutečnosti, že nabízený produkt (službu) lze využít pouze s kartou a bude-li rozsah zpracovávaných údajů zcela zjevně nepřiměřený stanovenému účelu, je možné zpochybnit svobodu poskytovaného souhlasu. A právě je podle § 4 písm. n) ZoOU nezbytným atributem tohoto úkonu. Souhlas musí být také informovaný, jak ukládá § 5 odst. 4 ZoOU, podle něhož musí být při udělení souhlasu subjekt údajů informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Informování subjektu údajů však není vázáno pouze na úkon souhlasu.

Poskytnout informace je nutné i v případech, kdy ZoOU umožňuje zpracování bez souhlasu. Tuto povinnost stanoví § 11 ZoOU. Splnění informační povinnosti vůči subjektům údajů, uživatelům karet, pak nabývá na významu zvláště tam, kde dané prostředí prakticky „nutí“ fyzické osoby si kartu pořídit a využívat ji v rámci daného systému nebo komunity.

V souvislosti s vydáváním a následným využíváním karet dochází nebo může docházet v drtivé většině případů k vytváření rozsáhlé databáze. Ta může, kromě identifikačních údajů potřebných pro vydání karty, obsahovat i údaje o využívání jednotlivých služeb, jež karta poskytuje, a to prostřednictvím počítačových systémů zapojených do daného projektu. Systém je pak schopen uchovávat všechny informace o činnosti držitele karty, které tato technologie umožňuje; např. údaje o tom, kdy nebo jak často chodí majitel karty (žák nebo student) do školy, ve škole dále na obědy, jak často a jak dlouho se držitel karty pohybuje po určité budově (nejen školy, ale třeba i kolejní budovy, knihovny atd.) – systém tak umožňuje velmi průkaznou možnost evidence docházky apod.

Shromažďování osobních údajů, k němuž dochází v souvislosti s vydáváním karet, popřípadě shromažďováním dalších údajů týkajících se využívání karty a jejich následné další zpracování podléhá nepochybně režimu ZoOU. Z toho důvodu je třeba věnovat pozornost následujícím okruhům problémů:

V prvé řadě je třeba vymezit základní vztahy při zpracování osobních údajů, tedy kdo je v daném případě správcem a kdo zpracovatelem ve smyslu § 4 písm. j) a k) ZoOU. Tento krok bude komplikovanějším u „multifunkčních“ karet. Musí být jednoznačně určeno, zda je vydavatel karty správcem a majitelé jednotlivých aplikací nebo funkcí karty a počítačových systémů zapojených do daného projektu jsou zpracovatelé, nebo zda všichni účastníci budou ve vztahu správce–správce, tedy že jedna (multifunkční) karta bude mít z pohledu ZoOU několik správců osobních údajů, zpracovávaných při využívání karty jejím držitelem.

Nastavení vzájemných vztahů mezi vydavatelem karty a dalšími účastníky je plně v jejich rukou, nelze proto předjímat, doporučovat či dokonce nařizovat, kdo bude v postavení správce, případně zpracovatele.

Ve velké většině případů bude platit, že vydavatel karty je správcem. Jednotliví účastníci zapojení do systému mohou mít postavení zpracovatele nebo také všichni účastníci budou ve vztahu správce–správce, popřípadě je možné, že vydavatel karty bude v postavení správce a zároveň i zpracovatele pro další subjekty – samostatné správce.

Pokud by se ve vztahu objevil zpracovatel, bylo by nutné podle § 6 ZoOU, která musí být písemná a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá.

Tato smlouva také musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Musí být také zajištěno, aby osobní údaje, zpracovávané v rámci aplikací, byly chráněny tak, že k údajům z jednotlivých aplikací budou mít přístup pouze jejich správci, že každý správce bude mít přístup pouze do své aplikace.

Je zcela nepřípustné, aby údaje byly přístupné v plném rozsahu všem správcům, jejichž aplikace se na kartě vyskytuje, či dokonce aby údaje byly nějakým způsobem sdružovány. Nastavení přístupů vždy musí odpovídat nastavení vzájemných vztahů, a to tak, aby byla naplněna všechna ustanovení ZoOU, v tomto případě především § 13. Správce, popřípadě zpracovatel, musí také zajistit, aby výrobce karty zlikvidoval po skončení prací veškeré poskytnuté údaje a zpracování tak ukončil.

Správné určení postavení jednotlivých účastníků projektu je východiskem pro plnění dalších povinností podle ZoOU. podle § 16 ZoOU, kterou je povinen splnit správce osobních údajů. Oznamovací povinnost nemusí správce plnit pouze v případě, že je možné na jím prováděné zpracování uplatnit některou z výjimek stanovenou § 18 odst. 1 ZoOU (např. v případě, kdy zaměstnatel vydá kartu svým zaměstnancům za účelem kontroly docházky – zaměstnavatel tak plní svou zákonnou povinnost a karta je pouze zvoleným prostředkem zákonného zpracování).

Je tedy zjevné, že elektronické karty jsou ve většině případů pouze prostředkem nebo nástrojem pro zpracování osobních údajů, a to v souvislosti s poskytováním služeb. (Bartík, V., Janečková, E. Ochrana osobních údajů v aplikační praxi. Praha: Linde, 2012. s. 193 a násl., jinak také www.uoou.cz, Stanovisko Úřadu pro ochranu osobních údajů č. 8/2006, „K využívání elektronických karet“).