dokumenty:ochrana-osobních-údajů-a-gdpr

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
Následující verzeObě strany příští revize
dokumenty:ochrana-osobních-údajů-a-gdpr [2019/02/05 10:28] – [Shrnutí] Jakub Míšekdokumenty:ochrana-osobních-údajů-a-gdpr [2019/02/05 10:40] – [A) Zpracování osobních údajů při poskytování otevřených dat] Jakub Míšek
Řádek 22: Řádek 22:
 Tuto otázku je tedy možné shrnout tak, že __poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon, nebo ke kterému je zákonem zmocněn__. Tuto otázku je tedy možné shrnout tak, že __poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon, nebo ke kterému je zákonem zmocněn__.
 Ze stanoviska Pracovní skupiny WP 29 (nyní Evropský sbor pro ochranu osobních údajů) vyplývá, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. Vzhledem k tomu, že poskytování osobních údajů jako otřevřených dat je možné pouze na základě zákonného zmocnění, musí toto zhodnocení proběhnout na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data). Navrhovaný zákon o zpracování osobních údajů v § 10 navíc výslovně uvádí, že správce údajů nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. Ze stanoviska Pracovní skupiny WP 29 (nyní Evropský sbor pro ochranu osobních údajů) vyplývá, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. Vzhledem k tomu, že poskytování osobních údajů jako otřevřených dat je možné pouze na základě zákonného zmocnění, musí toto zhodnocení proběhnout na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data). Navrhovaný zákon o zpracování osobních údajů v § 10 navíc výslovně uvádí, že správce údajů nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
 +Je nutné ještě upozornit na variantu, kdy poskytovatel sice má ze zákona povinnost poskytovat osobní údaje online, ale není výslovně uvedeno, že tak musí činit v podobě otevřených dat. V takovém případě není přímo vyloučené poskytnutí těchto osobních údajů jako otřevřených dat, protože již ustanovení § 4b odst. 1 požaduje po povinných dubjektech, aby veškeré informace poskytovaly co nejotevřeněji. V takovém případě je však nezbytné zvážit povahu poskytovaných osobních údajů a poměřit vůči sobě různé způsoby jejich zveřejnění (např. otevřená data nebo přístup k datům na základě formuláře). Poskytovatel tak musí provést hodnocení dopadů zpracování osobních údajů a na základě něj zveřejnit údaje adekvátním způsobem. Je třeba zdůraznit, že poskytování osobních údajů v podobě otevřených dat může představovat značný zásah do práv subjektů údajů a proto musí být řádně odůvodněno a opodstatněno.
 ==== B) Zpracování osobních údajů příjemci dat – tvůrci aplikací ==== ==== B) Zpracování osobních údajů příjemci dat – tvůrci aplikací ====
 Obecné nařízení dává osobám, které mají zájem o další užití otevřených dat s osobními údaji možnost využít pouze právní titul uvedený v čl. 6 odst. 1 písm. f), tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Obecné nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v Obecném nařízení je „//zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě//“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například [[http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf|stanovisko pracovní skupiny WP 29 č. 6/2014]]. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout. Obecné nařízení dává osobám, které mají zájem o další užití otevřených dat s osobními údaji možnost využít pouze právní titul uvedený v čl. 6 odst. 1 písm. f), tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Obecné nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v Obecném nařízení je „//zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě//“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například [[http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf|stanovisko pracovní skupiny WP 29 č. 6/2014]]. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout.
  • dokumenty/ochrana-osobních-údajů-a-gdpr.txt
  • Poslední úprava: 2020/06/03 09:37
  • autor: 127.0.0.1