Podle článku 27 nařízení GDPR se toto nařízení se nevztahuje na osobní údaje zesnulých osob. Členské státy mohou stanovit pravidla týkající se zpracování osobních údajů zesnulých osob.
Stanovislo ÚOOU
Úřad pro ochranu osobních údajů vydal STANOVISKO č. 4/2012 v březnu 2012.
Zpracování osobních údajů zemřelých osob
Podle § 1 zákon č. 110/2019 Sb., o ochraně osobních údajů (dále jen „zákon o ochraně osobních údajů“) upravuje ochranu osobních údajů o fyzických osobách a práva a povinnosti při zpracování těchto údajů. V § 3 odst. 1 tohoto zákona je stanoveno, že zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby. Zmínit je třeba i ustanovení § 4 písm. d), podle něhož je subjektem údajů fyzická osoba, k níž se údaje vztahují. Všechna tato ustanovení se dotýkají otázek spojených se způsobilostí fyzické osoby k právům a povinnostem. Jako základ pro řešení těchto otázek lze vzít ustanovení hlavy druhé občanského zákoníku (zákon č. 89/2012 Sb.), která definuje účastníky občanskoprávních vztahů. Podle § 7 občanského zákoníku způsobilost fyzické osoby mít práva a povinnosti (právní subjektivita) vzniká narozením a zaniká smrtí fyzické osoby. Zemřelá osoba přestává být účastníkem občanskoprávních vztahů. Přechod práv a povinnosti na další osoby je řešen řadou dalších ustanovení zvláštních zákonů, z nichž jako nejvýznamnější je nutno zmínit ustanovení § 15 občanského zákoníku (posmrtná ochrana osobnosti), z něhož vyplývá, že po smrti fyzické osoby přísluší uplatňovat právo na ochranu její osobnosti manželu a dětem, a není-li jich, jejím rodičům. Zákon o ochraně osobních údajů však nestanoví přechod práv subjektu údajů po jeho úmrtí na jiné osoby. Z toho vyplývá, že po úmrtí subjektu údajů pozbývají platnosti ta ustanovení zákona o ochraně osobních údajů, v nichž subjekt údajů vystupuje jako účastník občanskoprávních vztahů, tedy ustanovení o právech subjektu údajů a povinnostech správce ve vztahu k subjektu údajů. Konkrétně jde především o ustanovení § 5 odst. 2 a 5 (souhlas se zpracováním osobních údajů), § 9 a) (souhlas se zpracováním citlivých údajů), § 11 a § 12 (informační povinnost správce) a § 21 – § 24 (ochrana práv subjektu údajů a náprava nemajetkové újmy), kde právo požadovat nápravu při porušení povinností správcem nebo zpracovatelem dává zákon pouze subjektu údajů. Naproti tomu při zpracování osobních údajů zemřelých osob zůstávají v platnosti ta ustanovení zákona o ochraně osobních údajů, v nichž subjekt údajů jako účastník občanskoprávních vztahů nevystupuje a jejichž působnost je relativně nezávislá na skutečnosti, zda subjektem údajů je žijící nebo již zemřelá osoba. Jedná se především o některé povinnosti správce osobních údajů. V prvé řadě jde o ustanovení § 5 odst. 1, v němž jsou stanoveny náležitosti účelu zpracování osobních údajů. V praxi zde mohou nastat dva případy: V prvém případě správce zpracovává údaje žijící osoby. Podle písm. a) cit. ustanovení je povinen stanovit účel zpracování. Dojde-li k úmrtí tohoto subjektu údajů, nedostane-li správce tuto informaci ihned, zjistí ji po určitém čase sám, protože je podle písm. c) povinen ověřovat, zda jsou údaje pravdivé a přesné s ohledem na 2 stanovený účel. Podle písm. e) je pak povinen uchovávat údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Tento účel mohl, ale nemusel, smrtí subjektu údajů pominout. Nepomíjí zpravidla v tom případě, že z charakteru zpracování vyplývá zákonný přechod práv a povinností na jiné osoby (například osobní údaje klienta banky zpracovávané podle § 41c odst. 3 písm. a) zákona č. 21/1992 Sb.), nebo jde o uplatnění zákonných práv či plnění zákonných povinností samotného správce (např. uchování účetních dokladů). Pokud účel zpracování smrtí subjektu údajů pominul (např. nabízení obchodu a služeb), je podle § 20 odst. 1 zákona o ochraně osobních údajů správce povinen provést likvidaci osobních údajů. V druhém případě jsou shromažďovány osobní údaje již zemřelé osoby. I v tomto případě je nutno stanovit účel jejich zpracování a dodržovat další ustanovení § 5 odst. 1. Podle písm. f) je možno tyto údaje zpracovávat pouze v souladu s účelem, k němuž byly shromážděny. Tedy např. pohřební službou pro účely zajištění pohřbu zemřelého, krematoriem pro evidenci lidských pozůstatků a ostatků podle § 15 odst. 2 zákona č. 256/2001 Sb., o pohřebnictví, nebo pro evidenci související s provozováním veřejného pohřebiště podle § 21 zákona č. 256/2001 Sb. V nesouladu se stanoveným účelem, a tedy v rozporu se zákonem, by bylo, kdyby tito správci volně předali osobní údaje zemřelých osob například někomu, kdo by chtěl získat kontakt na pozůstalé a využít jejich duševního rozpoložení po ztrátě blízké osoby k vlastnímu obohacení, nebo se chtěl nezákonným způsobem obohatit na úkor dědiců. V platnosti zůstávají pro zpracování osobních údajů zemřelých i další ustanovení zákona o ochraně osobních údajů, v nichž subjekt údajů nevystupuje jako účastník občanskoprávních vztahů, tedy povinnosti osob při zabezpečení osobních údajů podle § 13 – 15.
Subjekt údajů není účastníkem občanskoprávního vztahu ani při plnění oznamovací povinnosti správcem podle § 16, teoreticky tedy i toto ustanovení zůstává v platnosti pro zpracování osobních údajů zemřelých. V praxi však u takového zpracování lze téměř vždy uplatnit některé z liberačních ustanovení podle § 18. Buď jde o zpracování uložené zákonem (např. zákonem č. 256/2001 Sb., o pohřebnictví, zákonem č. 499/2004 Sb., o archivnictví, ve znění pozdějších předpisů, uchovávání účetních dokladů podle § 11 zákona č. 563/1991, o účetnictví, ve znění pozdějších předpisů) nebo je zpracování třeba k uplatnění práv vyplývajících ze zvláštních zákonů (řada zákonů, z nichž vyplývá právo či povinnost archivovat dokumenty s osobními údaji) nebo jde v souladu s § 5 (1) e) o uchování osobních údajů pro archivní či statistické účely subjektů uvedených v § 18 c). Zákon o ochraně osobních údajů se samozřejmě podle ustanovení § 3 (3) nevztahuje na zpracování osobních údajů zemřelých osob, které provádí fyzická osoba výlučně pro osobní potřebu.