Účel „budoucího výzkumu“ bez další specifikace je pro potřeby §5 odst. 1 písm. a) zákona č. 101/2000 Sb. dostatečně specifický. Úvodní teze je východiskem pro toto podání, ve kterém bude následně argumentačně podpořena a rozvinuta. Nejprve je ovšem nutné popsat a ozřejmit právní zázemí, z něhož teze čerpá a které je jí oporou. Zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, schválený dne 4. dubna 2000, upravuje nakládání s osobními údaji, především jejich ochranu, způsob jejich zpracovávání v České republice, otázky přenosu osobních údajů do zahraničí a reguluje vztahy, které v souvislosti s nimi vznikají. Při tvorbě tohoto zákona se zákonodárci nechali usměrňovat a zároveň inspirovat Listinou základních práv a svobod, do té doby platným zákonem č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, Úmluvou č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat z roku 1981 a Směrnicí č. 95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat. Ta byla v nedávné době zrušena Nařízením Evropského parlamentu a Rady Evropské unie 2016/679 (neboli GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Toto obecné nařízení o ochraně osobních údajů je tedy také nutné mít na vědomí při interpretaci ustanovení zákona o ochraně osobních údajů. Zákon v § 1 vymezuje svůj předmět úpravy: (Tento zákon) v souladu s právem Evropské unie, mezinárodními smlouvami, kterými je Česká republika vázána, a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států. Otázku působnosti zákon v § 3 upravuje takto: Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. K odstavci 1 ustanovení § 5 komentář (Kučerová a spol., 2012) uvádí, že jsou v něm zakotveny základní principy pro zpracování osobních dat, tvoří tedy samotný základ právní úpravy ochrany osobních údajů. Uvádí základní podmínky, které musí být naplněny, aby jakékoli zpracování osobních údajů mohlo být vůbec provedeno. Ještě před zahájením zpracování samotného je povinností správce osobních údajů stanovit základní parametry zpracování, konkrétně účel (cíl), kterého má být prostřednictvím zpracování osobních údajů dosaženo, a způsob a prostředky, které budou při tomto procesu využívány. V průběhu zpracování dat je potom povinností správců i zpracovatelů osobních údajů respektovat limity vyplývající primárně právě z účelu daného zpracování, tedy zpracovávat pouze přesné údaje, neshromažďovat data, která jsou z hlediska daného zpracování nadbytečná, neuchovávat získané osobní údaje déle, než je nezbytné pro naplnění sledovaného účelu, a v neposlední řadě využívat osobní údaje výhradně v souladu s účelem jejich zpracování. Samotné ustanovení § 5 odst. 1 písm. a) zní: Správce je povinen stanovit účel, k němuž mají být osobní údaje zpracovány. Správce a případného zpracovatele definuje zákon v předchozím ustanovení § 4 písm. j) a k): Pro účely tohoto zákona se rozumí správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak, zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona. Důvodová zpráva k § 5 odst. 1 písm. a) hovoří, že: Jednou z povinností správce je předem stanovit účel zpracování osobních údajů, tj. proč a k jakému cíli se shromažďují a následně zpracovávají údaje. Od tohoto stanoveného účelu se pak odvíjejí některé další povinnosti, např. pro uchovávání údajů, jejich přenos do jiných států apod. Obdobná povinnost jako v tomto ustanovení je vyjádřena v článku 6 odst. 1 písm. b) Směrnice 95/46/ES: Členské státy stanoví, že osobní údaje musejí být shromažďovány pro stanovené účely, výslovně vyjádřené a legitimní, a nesmějí být dále zpracovávány způsobem neslučitelným s těmito účely. Další zpracování pro historické, statistické nebo vědecké účely není považováno za neslučitelné, pokud členské státy poskytnou vhodná ochranná opatření. Velmi podobný je i článek 5 písm. b) Úmluvy 108: Osobní údaje, které jsou předmětem automatizovaného zpracování, musejí být shromažďovány pro stanovené a oprávněné účely a nesmí jich být použito způsobem neslučitelným s těmito účely. V obou předpisech je oproti § 5 odst. 1 písm. a) zahrnut současně i obecný zákaz zpracovávat údaje k jinému než předem stanovenému účelu, ten je v zákoně o ochraně osobních údajů obsažen až v § 5 odst. 1 písm. f). K tomu judikoval Ústavní soud ve svém Usnesení ze dne 5. 9. 2017, sp. zn. III. ÚS 3565/16. Dle něj je účel „ochrany majetku“ v případě kamerových systémů se záznamem naplněn právě možností instalovat kameru a ukládat snímané osobní údaje, které umožní identifikaci subjektu údajů a mohou být použity jako důkaz v příslušném řízení (občanskoprávním, přestupkovém, trestním), postup stěžovatelky, která zveřejnila fotografii údajného zloděje na sociálních sítích, je však překročením tohoto účelu. Tento konkrétní judikát obsahuje obecný princip, který je jistým korektivem následného zpracovávání, ovšem jak bylo již uvedeno výše, před samotným získáním osobních údajů je nutné deklarovat účel. Nesmí docházet k tomu, že bude stanoven účel a na základě tohoto účelu dojde k vícero zpracováváním osobních údajů, každé musí mít svůj individuální účel. Na správce je tedy zákonem kladen požadavek správné analýzy a popisu jednotlivých účelů. Komentář k zákonu o ochraně osobních údajů (Kučerová a spol., 2012) se tohoto tématu také dotýká: Uvedená povinnost (požadavek analýzy a popisu) sice samozřejmě platí pro všechny správce osobních údajů, avšak v praxi dopadá především na ty, kteří zpracovávají osobní údaje výhradně na základě svého rozhodnutí. Kromě těchto správců je zde velká skupina správců osobních údajů, kteří zpracovávají osobní údaje proto, že jim zvláštní právní předpis ukládá povinnosti, jejichž plnění více či méně bezprostředně zpracování osobních údajů vyžaduje. Ne vždy však zvláštní zákon upravuje účel a průběh zpracování osobních údajů podrobně, naopak mnohem častěji je účel formulován pouze obecně, případně není výslovně formulován vůbec a je nutno jej dovozovat z předmětu či účelu daného právního předpisu, resp. z předmětu činnosti daného správce osobních údajů. Jako příklad komentář uvádí povinnost zaměstnavatelů vést evidenci pracovní doby, práce přesčas, pracovní pohotovosti a noční práce u jednotlivých zaměstnanců podle § 96 Zákoníku práce. Nebo také činnost správních orgánů, které při vykonávání svých pravomocí disponují množstvím osobních údajů osob, kterých se činnost správních orgánů týká (viz. řízení o odebrání řidičského oprávnění dle zákona o silničním provozu – dochází ke zpracovávání identifikačních údajů, jako jméno, příjmení, datum narození, adresa bydliště, ale také informací o řidičově protiprávním jednání, na jehož základě je mu řidičský průkaz odebírán). Z příslušných norem, které tvoří rámec těchto zákonných povinností, je nutné příslušný účel pro zpracovávání osobních údajů vyvozovat (v případě uvedené povinnosti zaměstnavatele podle zákoníku práce to je tedy zajištění úkolů při provádění sociálního zabezpečení nebo při kontrole dodržování pracovní doby). Účel zpracování osobních údajů je nutný specifikovat dostatečně také kvůli požadavkům legálnosti a legitimnosti, které sice přímo nevyplývají z § 5 odst. 1 písm. a) zákona o ochraně osobních údajů, avšak lze je dovodit z ustanovení Směrnice 95/46/ES a Úmluvy 108. Vždy nelegální je takový účel zpracování osobních údajů, které má vést k trestné činnosti. Za velmi pravděpodobně nelegální bude považován i účel, který má vést k diskriminaci jednotlivých osob (podle pohlaví, věku, rasy, apod.). Vždy náročnější je posouzení legitimity účelu. Tento aspekt je nutno hodnotit vždy ad hoc, tj. zejména porovnáním deklarovaného účelu zpracování se skutečným jednáním správce osobních údajů, a to s přihlédnutím ke všem relevantním okolnostem. Úřad pro ochranu osobních údajů ve stanovisku č. 1/2006 Provozování kamerového systému uvedl, že kamerové sledování je právně přípustné právě tehdy, pokud zamýšleného účelu nelze účinně dosáhnout jinou cestou (mechanickými nebo elektronickými zabezpečovacími prostředky apod.) a nedojde jím k nadměrnému zasahování do soukromí ("prostory určené k ryze soukromým účelům"). Tím dal najevo, že volba prostředků (zde kamerového systému) podléhá zásadám subsidiarity a proporcionality. Jako velmi problematická se jeví snaha některých správců změnit stanovený účel získávání osobních údajů v momentě, kdy již došlo k jejich shromáždění a zpracovávání. Takový postup ovšem zákon neumožňuje, jde proti jeho základním zásadám. Správný postup v případě změny účelu uvádí komentář (Kučerová, 2012): V případě, kdy správce zjistí, že je třeba zpracovávat osobní data i k jinému než již deklarovanému a realizovanému účelu, musí stanovit nový účel, znovu splnit oznamovací povinnost vůči Úřadu a subjektům údajů a v případě, kdy pro nové zpracování nemůže uplatnit jiný právní titul, získat rovněž jejich souhlas s tímto novým zpracováním. K požadavku na samotnou specifičnost a určitost účelu zpracování osobních údajů je třeba uvést, že se nelze spolehnout na obecná tvrzení o účelu (např. obchodní činnost). Je nutné určit konkrétní důvod (cíl) zpracování osobních údajů. Pracovní skupina 29 (WP29) ve svých pokynech pro souhlas podle nařízení 2016/679 uvádí několik různých kvalitativních požadavků, které musí mít souhlas se zpracováním osobních údajů, aby byl platný. Souhlas musí být především svobodný, informovaný a konkrétní. V článku 5 nařízení 2016/679 je dáno, že: Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem ("zákonnost, korektnost a transparentnost"); a shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 nepovažuje za neslučitelné s původními účely ("účelové omezení"); Ve svém stanovisku WP29 č. 3/2013 o účelovém omezení (WP 203) pracovní skupina upřesňuje: „Z těchto důvodů účel, který je neurčitý nebo obecný, jako například „zlepšení uživatelské zkušenosti“, „účely marketingu“, „účely bezpečnosti informačních technologií“ nebo „budoucí výzkum“ obvykle – bez dalších podrobností – neplní kritérium „konkrétnosti“.“ Vzhledem k úvodní tezi není příliš příznivé zařazení „budoucího výzkumu“ mezi účely, které neplní požadavek konkrétnosti. Avšak důležité je užití příslovce „obvykle“, jež znamená možnost i opačného přístupu. V tomto kontextu je důležitý článek 6 písm. a) nařízení 2016/679, který upravuje zákonnost zpracování. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů. Právě možnost udělit i více konkrétních účelů je pro mé tvrzení klíčová, neboť možná se účel „budoucího výzkumu“ jako osamocený nejeví dostatečně konkrétní, ovšem ve spojení s jiným konkrétním účelem může být chápán jako dostačující. V této souvislosti je také zamýšlen důvod 33 k nařízení 2016/679: Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel. Jednalo by se například o situaci, kdy chce skupina vědců provádět výzkum určitého typu rakoviny, ale ze svých zkušeností ví, že tento výzkum může mít relevanci i k dalším výzkumům jiných typů rakoviny. Nejsou tedy schopni specifikovat pouze konkrétní účely, a proto jako účel stanoví i „budoucí výzkum“, který vzhledem k úzké vazbě k základnímu účelu (výzkumu určitého typu rakoviny) nepotřebuje další specifikaci (kterou by vědci ani nebyli schopni poskytnout). Specifičnost účelu „budoucího výzkumu“ bez další specifikace pro potřeby § 5 odst. 1 písm. a) zákona č. 101/2000 Sb. považuji za dostatečnou. Oporou pro toto tvrzení je mi především nařízení 2016/679, v jehož kontextu je nutné zákon o ochraně osobních údajů interpretovat. Specifičnost a konkrétnost jednotlivých účelů není možné posuzovat obecně, bez přihlédnutí k jednotlivým případům.