Právo Európskej únie a judikatúra Súdneho dvora EÚ k ochrane osobných údajov uchádzačov vo výberovom konaní
Vzhľadom na zvýšenú výmenu osobných údajov medzi verejnými a súkromnými subjektmi – vrátane fyzických osôb, združení a podnikov – je úlohou práva Európskej únie vymedziť pevný a ucelený rámec ochrany údajov.
1)
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (Ú. v. EÚ L 119, 4. 5. 2016, s. 1) (ďalej len " GDPR") zvýšilo povedomie občanov Európskej únie o pravidlách ochrany údajov a ich právach (výsledky Eurobarometra uverejneného v máji 2019).
Právo na ochranu osobných údajov je základným právom, ktorého dodržiavanie predstavuje významný cieľ pre Európsku úniu (ďalej aj "Únia").
Je zakotvené v článku 8 Charty základných práv Európskej únie (ďalej len "Charta").
2)
Toto základné právo je, okrem iného, úzko spojené s právom na rešpektovanie súkromného a rodinného života uvedeným v článku 7 Charty. Právo na ochranu osobných údajov je takisto definované v článku 16 ods. 1 Zmluvy o fungovaní Európskej únie (ďalej len "ZFEU").
3)
Pokiaľ ide o sekundárne právo, od druhej polovice 90. rokov 20. storočia prijalo Európske spoločenstvo rôzne nástroje, ktorých cieľom je zabezpečovať ochranu osobných údajov. Smernica 95/46/ES o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov
4)
(ďalej len "smernica 95/56/ES") predstavovala v tejto súvislosti základný právny akt Únie v danej oblasti. Táto smernica stanovila všeobecné podmienky zákonnosti spracovania týchto údajov, ako aj práva dotknutých osôb, a stanovila najmä vytvorenie nezávislých dozorných orgánov v členských štátoch.
V roku 2016 Únia zmenila všeobecný právny rámec. Na tento účel prijala nariadenie GDPR, ktorým sa zrušuje smernica 95/46 a ktoré je priamo uplatniteľné od 25. mája 2018.
Medzi základné pravidlá uplatňovania pravidiel ochrany údajov podľa nariadenia GDPR platí pravidlo "jeden kontinent, jeden právny rámec" a "pravidlá Únie sú referenčným bodom pre kvalitnejšiu ochranu údajov po celom svete", keďže čoraz viac krajín na celom svete pristupuje k moderným pravidlám ochrany údajov, a ako referenčný bod používajú štandardy Únie v oblasti ochrany údajov.
5)
Medzi ciele GDPR patrí:
6)
a) prispôsobenie právnej regulácie ochrany osobných údajov pomerom dnešnej doby,
b) zjednotenie práva ochrany osobných údajov vo všetkých štátoch Únie a ďalších štátoch, na ktoré dopadá,
c) posilnenie práv v oblasti ochrany osobných údajov všetkých osôb, ktoré sú subjektmi údajov a dosiahnutie zjednoteného výkladu GDPR dozornými úradmi jednotlivých štátov Únie,
d) posilnenie dôveryhodnosti Únie a jej členských štátov (a ďalších štátov, ktoré pod GDPR spadajú) pre iné štáty, ktoré majú záujem na rozvoji obchodu s Úniou a s tým súvisiacim poskytovaním osobných údajov medzi štátmi.
Výklad pojmu "osobné údaje" uchádzača vo výberovom konaní v judikatúre Súdneho dvora EÚ
Súdny dvor EÚ (ďalej len "SDEU") v rozsudku z 20. decembra 2017 vo veci C-434/16, P
eter Nowak proti Data Protection Commissioner(EU:C:2017:994) vyslovil právny názor na interpretáciu pojmu "osobné údaje" uchádzača vo výberovom konaní.
7)
Pán Nowak bol účtovný praktikant, ktorý neuspel na skúške, ktorá bola organizovaná írskou komorou účtovníkov. Podľa vnútroštátneho zákona o ochrane údajov podal pán Nowak žiadosť o prístup, pokiaľ ide o všetky osobné údaje, ktoré sa ho týkajú a ktoré má v držbe komora účtovníkov. Komora účtovníkov pánovi Nowakovi poskytla niektoré dokumenty, ale odmietla mu odovzdať jeho kópiu skúšky z dôvodu, že neobsahuje osobné údaje, ktoré sa ho týkajú, v zmysle zákona o ochrane údajov. Supreme Court (Najvyšší súd, Írsko) rozhodujúci o odvolaní podanom pánom Nowakom položil SDEU otázku, či sa má článok 2 písm. a) smernice 95/46/ES vykladať v tom zmysle, že za takých podmienok, o aké išlo vo veci samej, písomné odpovede uchádzača na odbornej skúške a prípadné poznámky skúšajúceho, ktoré sa na ne vzťahujú, predstavujú osobné údaje týkajúce sa uchádzača v zmysle tohto ustanovenia.
V prvom rade SDEU uviedol, že na to, aby sa určitý údaj mohol kvalifikovať ako "osobný údaj" v zmysle článku 2 písm. a) smernice 95/46/ES sa nevyžaduje, aby sa všetky informácie umožňujúce identifikovať dotknutú osobu nachádzali v rukách jedinej osoby. V prípade, keď skúšajúci nepozná identitu uchádzača pri hodnotení jeho odpovedí v rámci skúšky, samotný subjekt, ktorý skúšku organizuje, v tomto prípade komora účtovníkov, disponuje potrebnými informáciami, ktoré mu umožňujú bez ťažkostí alebo pochybností identifikovať tohto uchádzača prostredníctvom jeho identifikačného čísla uvedeného na kópii skúšky alebo na vrchnom liste tejto kópie, a tak mu priradiť jeho odpovede.
V druhom rade SDEU konštatoval, že písomné odpovede uchádzača na odbornej skúške predstavujú informácie, ktoré súvisia s jeho osobou. Obsah týchto odpovedí totiž odzrkadľuje úroveň znalostí a schopností uchádzača v danej oblasti, prípadne aj jeho myšlienkové pochody, úsudok a kritické myslenie. Okrem toho cieľom získavania uvedených odpovedí je zhodnotiť odborné schopnosti uchádzača a jeho spôsobilosť vykonávať predmetné povolanie. Navyše, použitie týchto informácií, ktorého výsledkom je najmä úspech alebo neúspech uchádzača na predmetnej skúške, môže mať vplyv na jeho práva a záujmy, keďže môže určiť alebo ovplyvniť napríklad jeho šance na prístup k želanému povolaniu alebo zamestnaniu.
Pokiaľ ide
o poznámky skúšajúceho týkajúce sa odpovedí uchádzača
,
SDEU konštatoval, že tieto poznámky rovnako ako odpovede uchádzača na skúške predstavujú informácie, ktoré sa ho týkajú, keďže odzrkadľujú názor alebo hodnotenie skúšajúceho týkajúce sa individuálneho výkonu uchádzača na skúške, najmä jeho znalostí a schopností v predmetnej oblasti. Cieľom uvedených poznámok je navyše zdokumentovať hodnotenie skúšajúceho týkajúce sa výkonu uchádzača a tieto poznámky môžu mať na uchádzača vplyv.
SDEU rozhodol, že písomné odpovede uchádzača na odbornej skúške a prípadné poznámky skúšajúceho, ktoré sa na ne vzťahujú, možno podrobiť overovaniu, najmä pokiaľ ide o ich presnosť a nevyhnutnosť ich uchovávania v zmysle článku 6 ods. 1 písm. d) a e) smernice 95/46/ES, a možno ich opraviť alebo vymazať na základe článku 12 písm. b) tejto smernice.
Priznanie práva na prístup k týmto odpovediam a poznámkam uchádzačovi podľa článku 12 písm. a) tejto smernice slúži na dosiahnutie cieľa tejto smernice spočívajúceho v zabezpečení ochrany práva na súkromný život tohto uchádzača, pokiaľ ide o spracúvanie údajov, ktoré sa ho týkajú, a to nezávisle od otázky, či uvedený uchádzač má alebo nemá také právo na prístup aj podľa vnútroštátnej právnej úpravy uplatniteľnej na skúšku. SDEU však zdôraznil, že práva na prístup a opravu podľa článku 12 písm. a) a b) smernice 95/46 sa nevzťahujú na skúšobné otázky, ktoré samy osebe nepredstavujú osobné údaje uchádzača (body 56 a 58).
SDEU rozhodol o veci samej tak, že písomné odpovede uchádzača na odbornej skúške a prípadné poznámky skúšajúceho týkajúce sa týchto odpovedí predstavujú osobné údaje v zmysle článku 2 písm. a) smernice 95/46/ES.
Pre úplnosť je potrebné uviesť, že pojem "osobné údaje" uvedené v článku 2 písm. a) smernice 95/46/ES znamená akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby ("údajového subjektu"); identifikovateľná osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu. Definícia pojmu "osobné údaje" je podľa GDPR obsahom článku 4 ods. 1, podľa ktorého na účely tohto nariadenia "osobné údaje" sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len "dotknutá osoba"); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden alebo viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Podľa čl. 5 ods. 1 GDPR osobné údaje musia byť:
a) spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (
"zákonnosť, spravodlivosť a transparentnosť"
);
b) získavané na konkrétne určené, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi; ďalšie spracúvanie na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či štatistické účely sa v súlade s článkom 89 ods. 1 nepovažuje za nezlučiteľné s pôvodnými účelmi (
"obmedzenie účelu"
);
c) primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (
"minimalizácia údajov"
);
d) správne a podľa potreby aktualizované; musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia (
"správnosť"
);
e) uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, pokiaľ sa budú spracúvať výlučne na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s
článkom 89 ods. 1 GDPRza predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto nariadením na ochranu práv a slobôd dotknutých osôb (
"minimalizácia uchovávania"
);
f) spracúvané spôsobom, ktorý zaručuje primeranú bezpečnosť osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení (
"integrita a dôvernosť"
).
Prevádzkovateľ je zodpovedný za súlad s odsekom 1 a musí vedieť tento súlad preukázať –
"zodpovednosť"
(
čl. 5 ods. 2 GDPR).
Podľa čl. 9 ods. 1 GDPRsa zakazuje spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajo