Úřad pro ochranu osobních údajů (dále jako „Úřad“) v nedávné době uveřejnil své Stanovisko č. 3/2016 týkající se evidence návštěvníků při vstupech do budov a kopírování dokladů (dále jako „Stanovisko“).Úřad veStanovisku opakovaně vyjádřil některé svéjiždříve formulované názory. Stále platí, že v případech, kdy budova není běžně přístupná veřejnosti, je v souladu s právními předpisy požadovatod návštěvníků v přiměřeném rozsahu určité osobní údaje, s to za účelem ochrany majetkových hodnot abezpečnosti. Tento přiměřený rozsah dle názoru Úřadu spočívá v poskytnutí jména navštěvované osoby, čísla kanceláře a jména a příjmení návštěvníka.U pracovních návštěv je dále zpravidla možné zaznamenat ičíslo služebního průkazu a názvu vysílající instituce. Pokud se nejedná o pracovní návštěvu,je přípustné zaznamenat i číslo občanského průkazu, cestovního dokladunebo jiného odpovídajícího dokumentu návštěvníka(např. pozvánky).
Mnozí provozovatelé kancelářských i jiných budov však v praxi postupují odlišným způsobem a zaznamenávají u vstupu do budovy široké spektrum dalších osobních údajů. Nejčastějise jedná o požadavek poskytnutí adresy trvalého či přechodného pobytu, podobizny ve formě na místě pořízené fotografie, nebo kopiiněkterého identifikačního dokladu. Ti opatrnější z provozovatelů přitom od návštěvníků spolu s údaji požadují i písemný souhlas se zpracováním těchto osobních údajů. Je však takový postup v souladu s právními předpisy?
Úřad ve Stanovisku vyslovil poměrně překvapivý názor, že ani formálně správný souhlas nemůže zhojit či legitimizovat porušení jiných pravidel pro zpracování osobních údajů. Problematická je v této souvislosti především zákonná povinnost shromažďovat osobní údaje pouze v rozsahu nezbytném pro naplnění stanoveného účelu zpracování. Obecně totiž platí, že pro každé zpracování osobních údajů musí být přesně stanoven účel. Pokudúčel zpracování pomine, musí být osobní údaje zákonným způsobem zlikvidovány, popř. archivovány.
Úřad v této souvislosti dovodil, že u osob vstupujících do budovy je možné shromažďovat pouze osobní údaje v přiměřeném rozsahu, které slouží k naplnění účelu ochrany majetku a zajištění bezpečnosti v budově. Zpracovávání ostatních osobních údajů, i za předpokladu udělení výslovného souhlasu subjektu údajů s jejich zpracováním, již přesahuje vymezený účel a proto být zpracovávány nemohou. Pokud by tak právnická osoba či podnikající fyzická osoba činila, dopouští se správního deliktu v rozsahu,za který je možné uložit pokutu až do výše 5.000.000,- Kč. U fyzické osoby nepodnikající hrozí jako sankce za přestupek pokuta až do výše 1.000.000,- Kč.
Viz stanovisko UOOU č. 3/2016 na adrese: https://www.uoou.cz/VismoOnline_ActionScripts/File.ashx?id_org=200144&id_dokumenty=20374