Stanovisko ČSÚ ke vztahu GDPR a zpravodajské povinnosti podle zákona o Státní statistické službě
Český statistický úřad (dále také jen „ČSÚ“) tímto stanoviskem reaguje na časté dotazy týkající se plnění zpravodajské povinnosti podle zákona o státní statistické službě1 (dále také jen „zákon o SSS“) po nabytí účinnosti Obecného nařízení o ochraně osobních údajů2, známého pod zkratkou GDPR (dále také jen „GDPR“).
GDPR a vymezení jeho působnosti
Obecné nařízení o ochraně osobních údajů představuje nový jednotný právní rámec ochrany osobních údajů v EU, který přímo stanoví pravidla pro zpracování osobních údajů. GDPR sjednocuje úpravu osobních údajů v celé Evropské unii a ve všech státech EU je přímo použitelné. Ode dne nabytí účinnosti, tj. od 25. května 2018, jsou správci a zpracovatelé osobních údajů, tedy i Český statistický úřad, povinni dodržovat povinnosti vyplývající z tohoto nařízení.
GDPR se vztahuje na veškerá zcela nebo částečně automatizovaná zpracování osobních údajů a na neautomatizovaná zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.3 Osobními údaji se přitom rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě.4 GDPR se nevztahuje na zpracování osobních údajů právnických osob ani na zpracování anonymních informací, včetně jejich zpracování pro statistické účely.5
GDPR A STATISTIKA
GDPR považuje zpracování osobních údajů pro statistické účely za jeden ze zvláštních druhů zpracování. Jsou-li osobní údaje zpracovávány pro statistické účely, GDPR se na taková zpracování vztahuje (s výjimkou výše zmíněných anonymních, resp. anonymizovaných informací, nebo informací o právnických osobách). V řadě případů však GDPR upravuje výjimky pro zpracování pro statistické účely, tzn., že jsou zmírněny některé dopady GDPR tak, aby nebyl ohrožen výkon státní statistické služby.6
Z článku 89 GDPR, který upravuje záruky a odchylky některých zvláštních zpracování, včetně zpracování pro statistické účely, vyplývá zejména povinnost osobní údaje zpracovávané pro statistické účely důsledně technicky a organizačně zabezpečit a minimalizovat jejich obsah. Pro ČSÚ je ochrana důvěrných statistických dat prioritou a data jsou náležitě chráněna a zabezpečena podle platných právních předpisů.7
Je nutné upozornit, že GDPR je obecným předpisem k ochraně osobních údajů, nicméně statistický obsah, kontrola přístupu, zvláštní podmínky zpracování osobních údajů pro statistické účely a vhodná opatření k zaručení práv a svobod subjektů údajů a k zajištění statistické důvěrnosti mají být upraveny právem EU nebo členského státu.8 Takovým zvláštním předpisem pro výkon státní statistické služby je v České republice zákon o státní statistické službě.
Zpracování osobních údajů pro statistické účely tedy není v žádném případě v rozporu s principy ochrany osobních údajů podle GDPR, naopak představuje zvláštní kategorii zpracování, jemuž je poskytována nejen základní ochrana podle obecného nařízení (GDPR), ale také ochrana podle zvláštních právních předpisů.
ZPRAVODAJSKÁ POVINNOST PODLE ZÁKONA O SSS VE VZTAHU K GDPR
Český statistický úřad, jakožto orgán vykonávající státní statistickou službu podle zákona o SSS, mj. zabezpečuje získávání a zpracování údajů pro statistické účely.9 Jedním z prostředků zabezpečení získávání těchto údajů je uložení zpravodajské povinnosti.
Zpravodajská povinnost je uložena zákonem o SSS a rozumí se jí povinnost zpravodajských jednotek poskytnout požadované individuální statistické údaje včas, správně a pravdivě pro statistická zjišťování, uvedená v programu statistických zjišťování,10 přičemž zpravodajskou jednotkou je právnická osoba, organizační složka státu nebo fyzická osoba, od nichž se požaduje poskytnutí individuálních údajů ve statistickém zjišťování.11
ČSÚ zpracovává osobní údaje ze statistických zjišťování pro splnění právní povinnosti, která se na ČSÚ vztahuje podle zákona o SSS, a zpravodajské jednotky jsou povinny Českému statistickému úřadu tyto potřebné údaje pro výkon státní statistické služby poskytnout. Jelikož ke zpracování osobních údajů dochází na základě zákona, není pro tato zpracování nutný souhlas subjektu údajů.
ZÁVĚR
Český statistický úřad plně respektuje nový evropský právní rámec ochrany osobních údajů a zaručuje, že jsou důvěrná statistická data důsledně chráněna a zabezpečena podle zvláštních právních předpisů.
ČSÚ zároveň zdůrazňuje, že výkon státní statistické služby je regulován především zákonem o státní statistické službě, na základě něhož je také povinen zabezpečovat získávání a zpracování údajů pro statistické účely, včetně osobních údajů zpravodajských jednotek. K uvedenému zpracování osobních údajů není nutný souhlas subjektu údajů.
1 Zákon č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů
2 Nařízení (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
3 Článek 2 odst. 1 GDPR
4 Článek 4 bod 1 GDPR
5 Recitál 14 a 26 preambule GDPR
6 Např. výjimka v článku 5 odst. 1 písm. b) GDPR stanoví, že statistický účel podle čl. 89 odst. 1 se nepovažuje za neslučitelný s původními účely. Další výjimky např. v čl. 5 odst. 1 písm. e), čl. 9 odst. 2 písm. j), čl. 14 odst. 5 písm. b), čl. 17 odst. 3 písm. d), čl. 21 odst. 6.
7 Např. nařízení Evropského parlamentu a Rady (ES) č. 223/2009 o evropské statistice; zákon č. 89/1995 Sb., o státní statistické službě; zákon č. 181/2014 Sb. o kybernetické bezpečnosti; zákon č. 110/2019 Sb., o zpracování osobních údajů, aj.
8 Recitál 162 preambule GDPR
9 ustanovení § 3 odst. 1 a § 4 odst. 1 zákona o SSS
10 ustanovení § 2 písm. j) zákona o SSS
11 ustanovení § 2 písm. i) zákona o SSS