Za osobní údaj je dnes možné chápat každou informaci o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická (přirozená) osoba, již je možné přímo či nepřímo identifikovat, především odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

 

Ochranu osobních údajů a ochranu soukromí jako širší kategorii, do které ochrana osobních údajů spadá neradno podceňovat, ostatně má ústavně-právní kořeny, tedy té nejvyšší právní síly. Výchozím pramenem právní úpravy ochrany osobních údajů je zákon č. 2/1993 Sb., Listina základních práv a svobod („Listina“) jako součást ústavního pořádku České republiky, ve které je zakotveno i právo na ochranu osobních údajů.

V svém článku sedmém Listina garantuje právo na nedotknutelnost osoby a jejího soukromí, v článku  10 odst. 3 Listina upravuje právo každého na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě a v čl. 13 Listina stanoví, že „nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon; stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením“.

V eurounijní rovině nalezneme principiální právo na ochranu fyzických osob v souvislosti se zpracováním osobních údajů v článku 8 odst. 1 Listiny základních práv Evropské unie a článku 16 odst. 1 Smlouvy o fungování Evropské unie, na něž se odvolává také Preambule nařízení o ochraně osobních údajů.

Jak je i širší veřejnosti známo 25. května 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), jež stanovuje postupy a pravidla pro zpracování osobních údajů.

Předmětné euro-nařízení tak bezprostředně vystřídalo původní právní úpravu v zákoně číslo 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů.

 

Praktický problém

Nedávno jsem se setkal s dotazem, zda je  možné, aby vedoucí odboru na městském úřadě  rozesílal podřízeným pracovníkům tzv. hromadné e-maily s „otevřenou hlavičkou“? Jde například o situaci, že zmíněný vedoucí rozešle e-mail čtyřem nebo pěti zaměstnancům úřadu současně a ti vidí ostatní adresáty. Nicméně obdobný případ může nastat například v advokátní kanceláři, kdy některý z advokátů nebo advokátních koncipientů[1] obdobným způsobem rozesílá e-maily svým kolegům a kolegyním.

Nejprve se v souladu se stanovisky Úřadu pro ochranu osobních údajů (ÚOOÚ) vyjádřeme k stále aktuální tématice e-mailů s „otevřenou hlavičkou“, tedy kdy individuální adresáti vidí ostatní adresáty e-mailu, obecněji.

Při odeslání e-mailu s „otevřenou hlavičkou“ se de facto realizuje předání osobních údajů jednotlivých adresátů, konkrétně jejich e-mailových adres spolu s informací, že jsou členy určitých skupin, jimž jsou takové elektronické zprávy zasílány.

Mimo zvláštní situace, kdy je kupříkladu účelem hromadného e-mailu zahájení diskuze mezi jeho adresáty (modelově: pořádání akce v rámci drobnějšího spolku, kdy se všichni členové a členky mají k této akci vyjádřit a kdy je nesporné, že předání kontaktních údajů mezi členy tohoto spolku nepředstavuje žádné riziko pro subjekty údajů), by měly být všechny hromadné e-maily rozesílány tak, aby nebyli viditelní ostatní adresáti.

Obecně tedy nutno v souladu se zásadami ochrany osobních údajů doporučit, aby lidé rozesílali hromadnější e-maily takovým způsobem, aby ve zprávě nebyli viditelní ostatní adresáti.

Nicméně ve výše popsané situaci, kdy vedoucí odboru rozesílá e-maily osobám, které spolu sdílí jedno pracoviště (mnohdy spolu sedí takříkajíc na jedné chodbě, či dokonce ve stejné kanceláři na městském úřadě), tedy existuje zákonitý předpoklad, že se vzájemně již znají, včetně svých e-mailových adres, tak by striktní vyžadování zákazu vytváření a používání e-mailů s otevřenou hlavičkou působilo do značné míry nepatřičně.

Lidověji vyjádřeno: vyžadováním výše zmíněného zákazu bychom byli papežštější než papež. Navíc v řadě případů, viditelnost ostatních e-adresátů může plnit svůj účel – například pracovníci pak vidí, kdo z ostatních zaměstnanců o věci již ví (jelikož jim přišla stejná e-mailová zpráva), a není tedy nutné je znovu informovat, a tím ztrácet drahocenný čas.

 

JUDr. Petr Kolman, Ph.D., právník, VŠ pedagog a člen RK ÚOOÚ[2]
Foto: canva.com

 

---

Použitá a doporučená literatura

Úřad pro ochranu osobních údajů [online]: Základní příručka k ochraně údajů, www.uoou.cz

Žůrek, J.: Praktický průvodce GDPR. Olomouc: ANAG, 2017

Nezmar, L.: GDPR – praktický průvodce implementací. Praha: Grada Publishing, 2017

Janečková, E.: GDPR – Řešení problémů v praxi obcí. Praha: Grada Publishing, 2019

Kučerová, A. a kol.: Zákon o ochraně osobních údajů komentář, Praha: C. H. Beck, 2012

 

[1] Anebo jakýkoliv jiný zaměstnanec  AK

[2] Článek nevyjadřuje stanovisko žádné z institucí, ve kterých autor působí.