Co je to kategorie zvláštních osobních údajů?
Kategorie zvláštních osobních údajů představuje specifickou a velmi přísně chráněnou skupinu osobních informací o fyzické osobě, která je v rámci evropské legislativy označována jako subjekt údajů. Tato kategorie je výslovně definována a upravena přímo použitelným právním předpisem Evropské unie, konkrétně nařízením Evropského parlamentu a Rady č. 2016/679, obecně známým pod zkratkou GDPR, které stanovuje jednotný a závazný rámec ochrany osobních údajů platný ve všech členských státech Evropské unie a Evropského hospodářského prostoru.
Jaké údaje do této kategorie patří?
Do kategorie zvláštních osobních údajů jsou zařazeny ty nejcitlivější informace týkající se soukromého života jedince, jejichž případné zneužití nebo neoprávněné zpracování by mohlo mít pro dotčenou osobu závažné a dalekosáhlé negativní důsledky v osobním, pracovním i společenském životě. Konkrétně se jedná o údaje vypovídající o zdravotním stavu fyzické osoby, včetně informací o jejích nemocech, léčbě, handicapech či zdravotní historii, dále pak o genetické údaje, které jsou jedinečné pro každého jednotlivce a odhalují informace o jeho biologických vlastnostech a predispozicích, jakož i biometrické údaje, jako jsou otisky prstů, rozpoznávání obličeje nebo sken duhovky, které umožňují jednoznačnou identifikaci konkrétní fyzické osoby. Kromě toho do této kategorie spadají rovněž údaje o rasovém nebo etnickém původu, politických názorech a postojích, náboženském nebo filozofickém přesvědčení a členství v odborových organizacích, přičemž všechny tyto informace jsou natolik intimní a osobní povahy, že jejich existence, zveřejnění nebo zneužití může vést k přímé či nepřímé diskriminaci subjektu údajů, k sociálnímu vyloučení, k poškození jeho pověsti nebo k jiné formě závažné újmy v různých oblastech každodenního života, jako je zaměstnání, přístup ke službám nebo účast na společenském dění.
Kdy je zpracování zvláštních údajů přípustné?
Vzhledem k mimořádně citlivé povaze zvláštních osobních údajů platí pro jejich zpracování výrazně přísnější podmínky než pro zpracování běžných osobních údajů, přičemž obecným pravidlem zakotveným přímo v textu nařízení GDPR je zákaz jejich zpracování, od něhož se lze odchýlit pouze v taxativně vymezených a zákonem přesně stanovených výjimečných situacích. Nejzákladnější a nejčastěji uplatňovanou výjimkou z tohoto zákazu je udělení výslovného a informovaného souhlasu samotným subjektem údajů, přičemž takový souhlas musí být svobodný, konkrétní, informovaný a jednoznačný, a subjekt údajů musí mít vždy možnost jej kdykoli odvolat bez jakýchkoli negativních důsledků pro svoji osobu. Dalšími přípustnými důvody ke zpracování zvláštních osobních údajů jsou pak situace, kdy je jejich zpracování nezbytně nutné pro plnění zákonných povinností nebo výkon zákonných práv správce nebo subjektu údajů v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany, přičemž tyto důvody musí být vždy podloženy konkrétním právním předpisem nebo kolektivní smlouvou, jež poskytují přiměřené záruky pro ochranu základních práv a zájmů subjektu údajů.
Zpracování ve zvláštních okolnostech a pro specifické účely
Nařízení GDPR dále připouští zpracování zvláštních kategorií osobních údajů i v dalších specifických a přesně vymezených situacích, které odrážejí oprávněné zájmy společnosti a jednotlivců v různých oblastech veřejného a soukromého života. Mezi tyto situace patří zejména ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby tehdy, kdy subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas se zpracováním, například v případě bezvědomí, vážného zdravotního stavu nebo nezpůsobilosti k právním úkonům, kdy je neodkladné zpracování citlivých zdravotních informací nezbytné pro záchranu lidského života. Zpracování zvláštních osobních údajů je rovněž přípustné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, pro účely lékařské diagnostiky, poskytování zdravotní nebo sociální péče a léčby nebo pro správu systémů a služeb zdravotní nebo sociální péče, přičemž v těchto případech musí být zpracování prováděno výhradně zdravotnickými pracovníky vázanými povinností mlčenlivosti nebo jinými osobami podléhajícími srovnatelné povinnosti zachovávat mlčenlivost stanovenou právním předpisem nebo profesními pravidly. Konečně je zpracování zvláštních osobních údajů dovoleno také pro určení, výkon nebo obhajobu právních nároků nebo při soudním řízení, jakož i z důvodu závažného veřejného zájmu, jako je ochrana před vážnými přeshraničními zdravotními hrozbami, zajištění bezpečnosti zdravotní péče nebo ochrana před šířením nebezpečných nemocí, a to vždy jen v rozsahu nezbytně nutném pro dosažení sledovaného legitimního cíle a při zachování přiměřených a konkrétních záruk na ochranu základních práv a zájmů subjektů údajů.
Zásady ochrany a povinnosti správců při nakládání se zvláštními údaji
Správci a zpracovatelé, kteří přicházejí do styku se zvláštními kategoriemi osobních údajů, jsou povinni dodržovat veškeré základní zásady ochrany osobních údajů zakotvené v nařízení GDPR v jejich nejpřísnější podobě, a to zejména zásadu zákonnosti, korektnosti a transparentnosti zpracování, zásadu účelového omezení, která zakazuje zpracovávat zvláštní osobní údaje pro jiné účely, než pro které byly původně shromážděny, zásadu minimalizace údajů, jež ukládá povinnost zpracovávat výhradně ty údaje, které jsou skutečně nezbytné pro dosažení stanoveného účelu, a zásadu integrity a důvěrnosti, která vyžaduje zavedení odpovídajících technických a organizačních bezpečnostních opatření chránících citlivé údaje před neoprávněným přístupem, ztrátou, zničením nebo poškozením. Správci jsou dále povinni v mnoha případech zpracovávání zvláštních osobních údajů provést posouzení vlivu na ochranu osobních údajů, tzv. DPIA, jelikož zpracování těchto kategorií údajů zpravidla představuje vysoké riziko pro práva a svobody fyzických osob, přičemž výsledky tohoto posouzení musejí být řádně zdokumentovány a v případě zjištění vysokého reziduálního rizika musí být před zahájením zpracování konzultován příslušný dozorový úřad, v případě České republiky Úřad pro ochranu osobních údajů, který vykonává dohled nad dodržováním pravidel ochrany osobních údajů a disponuje rozsáhlými pravomocemi k nápravě protiprávního stavu, včetně ukládání velmi citelných finančních sankcí dosahujících až výše dvaceti milionů eur nebo čtyř procent celkového ročního světového obratu dotčené společnosti.
