Ochrana osobních údajů a poskytování otevřených dat

Nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále označované jako „Nařízení“ nebo „GDPR“ z anglického „General Data Protection Regulation“) bylo přijato v dubnu 2016 a je aplikovatelné od 25. května 2018. Jedná se o přímo aplikovatelnou normu ve všech členských státech EU a je prostředkem celoevropské reformy systému ochrany osobních údajů. Nahradilo směrnici 95/46/ES, jejíž implementace byla provedena do českého právního řádu prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. GDPR stojí na stejných principech jako směrnice 95/46/ES, které dále posiluje výslovným uvedením některých práv subjektů údajů, přísnější sankcemi a nezbytností vést detailní dokumentaci o zpracování údajů. V současné době vrcholí legislativní proces harmonizačního zákona (zákona o zpracování osobních údajů), který nahradí zákon č. 101/2000 Sb.

Obecné nařízení nabízí velice širokou definici pojmu „osobní údaj“, který je klíčový, protože podle něj se určuje, zda bude právní rámec ochrany osobních údajů v daném případě aplikován. Jedná se o „veškeré informace o identifikované nebo identifikovatelné osobě“, která je označena jako „subjekt údajů“. Identifikovatelná osoba je pak taková, kterou je možné přímo nebo nepřímo identifikovat. O nepřímou identifikaci jde tehdy, když je třeba k určení osoby k dané informaci přidat kontext v podobě informace jiné. Osobními údaji jsou potom informace obě. Kontext a možnost jeho vytvoření jsou tedy zásadním atributem pro určení, zda jsou dané informace osobními údaji. Nezáleží při tom, zda správce osobních údajů (tedy osoba, která určuje účel zpracování, nebo které takové postavení vyplývá ze zákona, a je za zpracování primárně odpovědná) fakticky disponuje všemi informacemi, které jsou k nepřímé identifikaci potřebné. O osobní údaje se jedná v každém případě. Z uvedeného je patrné, že aplikační dosah právní úpravy je značně široký. Jedině tak je totiž možné naplnit preventivní funkci, kterou právní úprava ochrany osobních údajů má. Z rozhodnutí SDEU ve věci Breyer vyplývá určitá limitace z právě uvedeného. Při určení, zda je daná informace osobním údajem je tedy třeba brát v potaz míru rizika jejího užití k identifikaci vzhledem k míře úsilí a vynaložených nákladů nezbytných na danou identifikaci. Tato široká definice odpovídá i textaci GDPR. V kontextu otevřených dat je navíc nezbytné brát v potaz, že otevřená data ze své podstaty usnadňují propojování informací a vytváření nových kontextů. Z toho důvodu může snadněji dojít k propojení informací, které se samy o sobě nezdají být osobními údaji, ale v novém kontextu už umožňují identifikaci žijící fyzické osoby. Z uvedeného vyplývá, že je vhodné považovat za osobní údaje, takové informace, které se v kdykoli v průběhu svého životního cyklu týkaly fyzické osoby, ledaže by vzhledem k povaze informací a míře úsilí a vynaložených nákladů na opětovnou identifikaci bylo zřejmé, že riziko identifikace fyzické osoby je minimální, případně, že bude minimální rovněž zásah do práva na ochranu soukromí v případě úspěšné identifikace. Pokud se v průběhu svého životního cyklu informace poskytované jako otevřená data týkaly pouze věcí, přírodních jevů nebo dalších entit odlišných od člověka, je možné bezpečně tvrdit, že poskytování takových otevřených dat nebude zatíženo ochranou osobních údajů.

Zpracováním osobních údaj Obecné nařízení rozumí jakoukoli činnost, která se týká osobních údajů. Součástí příkladného výčtu různých zpracování, který zákon uvádí čl. 4 odst. 2 Obecného nařízení, je rovněž výslovně uvedeno „zpřístupňování, používání, předávání, šíření a zveřejňování“. Aby správce mohl zpracování zahájit potřebuje k tomu mít právní titul. Ty jsou taxativně vymezeny v čl. 6 odst. 1 Obecného nařízení. Pokud jsou zpracovávány zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR splnit další tam uvedené podmínky. Obecně ale platí, že datové sady obsahující tyto kategorie údajů by neměly být poskytovány jako otevřená data, protože riziko nepřiměřeného zásahu do práva na ochranu soukromí subjektů údajů je příliš vysoké. V kontextu otevřených dat je třeba odlišit dva typy správců osobních údajů. Jsou jimi A) poskytovatelé informací, kteří obvykle zpracovávají osobní údaje za účelem plnění svých právních povinností, a B) ti kteří data využívají, tedy nejčastěji tvůrci aplikací, které s daty pracují. Účely zpracování publikovaných osobních údajů se mohou velice lišit, a záleží jen na těchto správcích, aby je stanovili v souladu se zákonem a splnili všechny povinnosti, které jim právní úprava ochrany osobních údajů ukládá.

A) Zpracování osobních údajů při poskytování otevřených dat

Pro poskytovatele otevřených dat je podstatné, zda dané informace obsahující osobní údaje poskytuje v rámci plnění svých zákonných povinností, nebo zda by se je rozhodl poskytovat z vlastní vůle (na základě obecného oprávnění poskytovat informace, které mu dává § 5 odst. 7 zákona č. 106/1999 Sb., o svobodném přístupu k informacím). V prvním případě může osobní údaje zveřejňovat na základě právního titulu zpracování osobních údajů za účelem plnění právní povinnosti správce, případně při plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci dle čl. 6 odst. 1 písm. c) a e) Obecného nařízení. V případě poskytování z vlastní vůle se na tento právní titul správce spolehnout nemůže a potřeboval by ke zpracování titul jiný. Teoreticky se nabízí například souhlas subjektu údajů se zpracováním, který je ale fakticky jen obtížně získatelný.

Tuto otázku je tedy možné shrnout tak, že poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon, nebo ke kterému je zákonem zmocněn. Ze stanoviska Pracovní skupiny WP 29 (nyní Evropský sbor pro ochranu osobních údajů) vyplývá, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. Vzhledem k tomu, že poskytování osobních údajů jako otřevřených dat je možné pouze na základě zákonného zmocnění, musí toto zhodnocení proběhnout na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data). Navrhovaný zákon o zpracování osobních údajů v § 10 navíc výslovně uvádí, že správce údajů nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.

Je nutné ještě upozornit na variantu, kdy poskytovatel sice má ze zákona povinnost poskytovat osobní údaje online, ale není výslovně uvedeno, že tak musí činit v podobě otevřených dat. V takovém případě není přímo vyloučené poskytnutí těchto osobních údajů jako otřevřených dat, protože již ustanovení § 4b odst. 1 požaduje po povinných dubjektech, aby veškeré informace poskytovaly co nejotevřeněji. V takovém případě je však nezbytné zvážit povahu poskytovaných osobních údajů a poměřit vůči sobě různé způsoby jejich zveřejnění (např. otevřená data nebo přístup k datům na základě formuláře). Poskytovatel tak musí provést hodnocení dopadů zpracování osobních údajů a na základě něj zveřejnit údaje adekvátním způsobem. Je třeba zdůraznit, že poskytování osobních údajů v podobě otevřených dat může představovat značný zásah do práv subjektů údajů a proto musí být řádně odůvodněno a opodstatněno.

B) Zpracování osobních údajů příjemci dat – tvůrci aplikací

Obecné nařízení dává osobám, které mají zájem o další užití otevřených dat s osobními údaji možnost využít pouze právní titul uvedený v čl. 6 odst. 1 písm. f), tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Obecné nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v Obecném nařízení je „zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například stanovisko pracovní skupiny WP 29 č. 6/2014. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout. Vedle právě uvedeného, ve specifických případech budou moci správci údajů využít právní titul uvedený v § 17 navrhovaného zákona o zpracování osobních údajů. Toto ustanovení umožňuje zpracování osobních údajů „slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu“. V souladu s rozhodovací praxí Soudního dvora EU je pak třeba mát za to, že tento účel zpracování osobních údajů, které je nezbytné pro dosažení možnosti výkonu práva svobody projevu (zejména novinářského, akademického a uměleckého) je třeba vykládat spíše široce (viz rozhodnutí ve veci Satamedia Oy). Je třeba připomenout, že tvůrce nebo provozovatel aplikace pracující s osobními údaji v podobě otevřených má z důvodu jeho statusu správce údajů povinnost splnit rovněž všechny další povinností, které se s touto pozicí pojí. Rozhodně tedy není platná teze, která se bohužel často objevuje, která tvrdí, že „jakmile jsou data veřejná, tak s tím mohu bez dalšího pracovat“.

Při poskytování informací ve formě otevřených dat je nezbytné dbát na to, zda se nejedná o osobní údaje, protože v takovém případě musí zúčastněné osoby splnit související povinnosti správců údajů. Na straně poskytovatele informací se situace liší dle toho, zda se jedná o povinné, či dobrovolné poskytování informací, tedy zda existuje zákonná povinnost zveřejňovat informace – osobní údaje. Pokud existuje, je právní titul umožňující takové zveřejnění osobních údajů plnění právní povinnosti správce údajů. Osobní údaje není možné zveřejnit na základě diskrece. Jedinou šancí pro poskytnutí takových informací je zajištění dostatečně robustní anonymizace. Na straně příjemce dat je aplikovatelný právní titul zpracování údajů za účelem naplnění oprávněného zájmu správce a po nabytí účinnosti nového zákona o zpracování osobních údajů rovněž zpracování za účelem výkonu práva na svobodu projevu. Zároveň s tím, nehledě na to, zda se jedná o poskytovatele či příjemce dat, musí správci osobních údajů splnit všechny další povinnosti, které jim v souvislosti s tímto postavením právní úprava ukládá.