Role jmenného rejstříku

Povinnost vedení jmenného rejstříku jako samostatné funkční části základní evidenční pomůcky spisové služby, kterou je při výkonu spisové služby v elektronické podobě vlastní elektronický systém spisové služby, zavedl již zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů. Základní myšlenka byla ve snaze přesunout na jedno určené místo zpracování osobních údajů, které jmenný rejstřík jednoznačně obsahuje, byť jsou v něm vedeny i údaje o právnických osobách, které samozřejmě nelze považovat za osobní údaje ve smyslu obecného nařízení o ochraně osobních údajů (GDPR). Jde tedy o to, aby osobní údaje nebyly „roztroušené“ v různých popisných datech dokumentů vedených ve spisové službě, ale byly uvedeny jen a pouze ve jmenném rejstříku.

V praxi není však tento přístup často plně realizován, neboť uvádění osobních údajů v takových metadatech jako je věc u dokumentu nebo název (nejen typového) spisu je významným zvykem. Samozřejmě v případě realizace jmenného rejstříku, který má odkaz na dokumenty [§ 64 odst. 5 písm. g) zákona č. 499/2004 Sb.] lze funkčnost uvedených popisů nahradit právě těmito odkazy, ale zvyk zapisovat a hledat přesné určení jen ve věci dokumentu bývá silnější. Jistou nechuť původců k plnému využívání možnosti jmenného rejstříku zapříčinilo také jeho prvotní uzákonění, které jej v případě určitých typů dokumentů činilo administrativně nezvládnutelným. V jmenném rejstříku byla povinnost vést nejen údaje o odesílatelích a adresátech dokumentů evidovaných v evidenční pomůcce, ale také údaje o všech dalších osobách, jichž se dokumenty evidované v evidenční pomůcce týkají. Představme si takový dokument obsahující petici, kdy bylo nutné při naplnění litery zákona do jmenného rejstříku uvést osobní údaje všech petentů.

Proto tedy byly jmenné rejstříky sice realizovány ve smyslu základní centralizace zpracování osobních údajů v rámci spisové služby, ale více než k oproštění dalších metadat od osobních údajů sloužily například k zjednodušení naplnění práva subjektu údajů na přístup k osobním údajům podle článku 15 GDPR.

Nicméně, jak bylo již naznačeno v úvodu, v letošním roce došlo k výraznému posunu pravidel pro vedení jmenného rejstříku. Nyní má původce, při výkonu spisové služby v elektronické podobě, povinnost v něm vést údaje o odesílatelích a adresátech dokumentů evidovaných v evidenční pomůcce případně i o a jiných osobách, jichž se dokumenty evidované v evidenční pomůcce týkají a u nichž původce shledal potřebu jejich vedení ve jmenném rejstříku. Samozřejmě tato potřeba by neměla být vyhodnocována živelně. Původce by měl pravidla pro její aplikování uvést ve svém spisovém řádu, jakožto základní vnitřní směrnici upřesňující konkrétní výkon spisové služby v dané organizaci.

Lze vyslovit domněnku, že citovaná změna může mít obecný pozitivní dopad na přístup ke jmennému rejstříku a jeho využívání v praxi, čímž by se konečně mohla naplnit původní myšlenka jeho zavedení spočívající (jak uvádí důvodová zpráva k zákonu č. 111/2019 Sb.) ve „vyjmutí“ osobních údajů z metadat vlastního elektronického systému spisové služby, aby tyto byly již dále pouze ve jmenném rejstříku.

Pravidla pro vedení jmenného rejstříku

Údaje vedené ve jmenném rejstříku o odesílateli dokumentu, adresátu dokumentu nebo jiné osobě, jíž se dokument týká a u níž určený původce shledal potřebu jejího vedení ve jmenném rejstříku, lze rozdělit do dvou skupin:

• Povinně vedené údaje, které jsou specifikované § 64 odst. 5 zákona č. 499/2004 Sb.
• Nepovinně vedené údaje, u kterých je v případě, že se týkají fyzické osoby (a tedy je lze považovat jednoznačně za osobní údaje), ustanovením § 64 odst. 6 téhož zákona stanoveno, že pro jejich vedení není třeba souhlas subjektu údajů.

Povinně vedené údaje jsou následující:

• jméno, popřípadě jména, a příjmení, jde-li o fyzickou osobu,
• jméno, popřípadě jména, a příjmení, popřípadě dodatek odlišující osobu podnikatele nebo druh podnikání vztahující se zpravidla k této osobě nebo druhu podnikání, jde-li o podnikající fyzickou osobu nezapsanou v obchodním rejstříku,
• obchodní firmu nebo název, jde-li o podnikající fyzickou osobu zapsanou v obchodním rejstříku nebo právnickou osobu,
• identifikační číslo osoby, pokud bylo přiděleno,
• identifikátor datové schránky, pokud byla zřízena.

Nepovinné údaje nejsou v případě právnických osob omezovány. V případě fyzických osob je využit odkaz na prováděcí nařízení Komise (EU) 2015/1501 o rámci interoperability podle čl. 12 odst. 8 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu (nařízení eIDAS). Pro fyzické osoby je tak variantně možno v jmenném rejstříku vést:

• datum narození,
• současnou adresu,
• rodné příjmení,
• místo narození a
• pohlaví.

Uvedený výčet lze srovnat např. s identifikací fyzických osob podle správního řádu, který vyžaduje uvedení jména, příjmení, data narození a místa trvalého pobytu (např. § 18 odst. 2 správního řádu). Tento soubor údajů je tedy podmnožinou možných údajů vedených o fyzické osobě ve jmenném rejstříku, což znamená, že jmenný rejstřík pokrývá též potřeby identifikace fyzických osob podle správního řádu.

Samozřejmou součástí jmenného rejstříku je odkaz na dokument, jehož je osoba odesílatelem, adresátem nebo se jí jinak týká a u něhož určený původce shledal potřebu vedení odkazu, případně odkaz na spis, jehož je takový dokument součástí.

Doba uchování osobních údajů ve jmenném rejstříku

Jednou ze základních zásad zpracování osobních údajů je omezení doby uložení těchto dat na nezbytnou dobu potřebnou pro naplnění účelu jejich zpracování [čl. 5 odst. 1 písm. e) GDPR]. Aby byl naplněn smysl jmenného rejstříku a jeho účel, musí být údaje v něm zpracovávány po celou dobu životního cyklu dokumentu (popř. spisu), na který ve jmenném rejstříku veden odkaz. Tedy od příjmu a zaevidování dokumentu, přes jeho vyřízení a případné odeslání, až po celou dobu uložení ve spisovně končící jeho navržením k výběru v rámci skartačního řízení.

Otázkou zůstává, jak dlouho mohou být tyto údaje dále zpracovávány po tom, co je příslušný odkazovaný dokument (samostatně nebo jako součást spisu) v rámci skartačního řízení buď předán do archivu k trvalému uložení nebo je určen ke zničení. K tomu se vyjadřuje § 64 odst. 7 zákona č. 499/2004 Sb. Toto ustanovení omezuje následnou dobu uložení maximálně na tři roky, přičemž skutečnou dobu, kterou původce aplikuje, je vhodné uvést ve spisovém řádu. V praxi však nebývá doporučeno tuto dobu zkracovat.

Samozřejmě, že jeden konkrétní záznam ve jmenném rejstříku může mít odkaz na více dokumentů, jejichž odesílatelem či adresátem je daná fyzická osoba nebo jíž se tyto dokumenty týkají za podmínky, že původce shledal potřebu jejího vedení ve jmenném rejstříku. V takovém případě začíná ona zmíněná tříletá lhůta následného zpracování těchto osobních údajů běžet od okamžiku, kdy je předán nebo zničen poslední z těchto odkazovaných dokumentů. A samozřejmě by se neuplatnila, pokud by během této tříleté doby byl ve spisové službě zaevidován nový dokument s odkazem na tento záznam ve jmenném rejstříku.

Pro údaje, které jsou vedeny ve jmenném rejstříku a nemají charakter osobních údajů, tedy týkají se právnických osob, nejsou zákonem stanoveny žádné lhůty jejich uchování.

Další aspekty ochrany osobních údajů ve jmenném rejstříku

Další pravidla pro jmenný rejstřík stanoví prováděcí právní předpisu k zákonu o archivnictví a spisové službě, kterým je konkrétně vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby. Její § 12 se vyjadřuje zejména k naplnění zásady přesnosti zpracování osobních údajů podle čl. 5 odst. 1 písm. d) GDPR a zásady integrity a důvěrnosti podle písm. f) téhož odstavce.

Z pohledu zajištění náležitého zabezpečení osobních údajů vedených ve jmenném rejstříku, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným zpracováním, musí původce určit, které osoby mají oprávnění k přístupu do jmenného rejstříku. Všechny specifické podmínky ochrany osobních údajů vedených ve jmenném rejstříku a prostředky zpracovávání údajů vedených ve jmenném rejstříku musí původce také detailně specifikovat ve svém spisovém řádu.

Z pohledu zásady přesnosti platí, že původce při příjmu dalšího dokumentu doručeného týmž odesílatelem ověří správnost údajů vedených ve jmenném rejstříku, popřípadě doplní neúplné údaje. Obdobně se postupuje při odesílání dokumentů. Kromě toho původce ověřuje přesnost údajů vedených ve jmenném rejstříku, a to zejména kontrolou vůči ověřeným zdrojům souvisejících s plněním úkolů v jeho působnosti. Těmito zdroji by měly být jistě také základní registry veřejné správy, avšak definice příslušné agendy v základním registru práv a povinností toto stále v obecné rovině výkonu spisové služby nezohledňuje. Lze jen doufat, že dojde k nápravě tohoto stavu třeba v souvislosti se změnami provedeným v zákoně č. 111/2009 Sb., o základních registrech, právě zde zmiňovaným zákonem DEPO, které nabývají účinnosti k 1. únoru 2022.

Mgr. Tomáš Lechner, Ph.D. Autor pracuje ve společnosti Triada jako konzultant pro oblast spisové služby a také působí na VŠE v Praze, kde se zabývá oblastí e-Governmentu.