Ochrana osobních údajů a poskytování otevřených dat

Nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále označované jako „Nařízení“ nebo „GDPR“ z anglického „General Data Protection Regulation“) bylo přijato v dubnu 2016 a bude aplikovatelné od 25. května 2018. Jedná se o přímo aplikovatelnou normu ve všech členských státech EU a je prostředkem celoevropské reformy systému ochrany osobních údajů. Nahrazuje doposud platnou a účinnou směrnici 95/46/ES, jejíž implementace byla provedena do českého právního řádu prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. GDPR stojí na stejných principech jako směrnice 95/46/ES, které dále posiluje výslovným uvedením některých práv subjektů údajů, přísnější sankcemi a nezbytností vést detailní dokumentaci o zpracování údajů. Nepřináší však žádné zásadní principiální novinky, které by se odrazily v procesech poskytování otevřených dat. Je proto zpracován podle znění zákona 101/2000 Sb., účinného k 10. 10. 2017. Pokud v konkrétní věci přináší GDPR podstatnou změnu, je specificky uvedena.

Zákon 101/2000 Sb. v souladu se směrnicí 95/46/ES nabízí velice širokou definici pojmu „osobní údaj“, který je klíčový, protože podle něj se určuje, zda bude právní rámec ochrany osobních údajů v daném případě aplikován. Jedná se o „veškeré informace o identifikované nebo identifikovatelné osobě“, která je označena jako „subjekt údajů“. Identifikovatelná osoba je pak taková, kterou je možné přímo nebo nepřímo identifikovat. O nepřímou identifikaci jde tehdy, když je třeba k určení osoby k dané informaci přidat kontext v podobě informace jiné. Osobními údaji jsou potom informace obě. Kontext a možnost jeho vytvoření jsou tedy zásadním atributem pro určení, zda jsou dané informace osobními údaji. Nezáleží při tom, zda správce osobních údajů (tedy osoba, která určuje účel zpracování, nebo které takové postavení vyplývá ze zákona, a je za zpracování primárně odpovědná) fakticky disponuje všemi informacemi, které jsou k nepřímé identifikaci potřebné. O osobní údaje se jedná v každém případě. Z uvedeného je patrné, že aplikační dosah právní úpravy je značně široký. Jedině tak je totiž možné naplnit preventivní funkci, kterou právní úprava ochrany osobních údajů má. Z rozhodnutí SDEU ve věci Breyer vyplývá určitá limitace z právě uvedeného. Při určení, zda je daná informace osobním údajem je tedy třeba brát v potaz míru rizika jejího užití k identifikaci vzhledem k míře úsilí a vynaložených nákladů nezbytných na danou identifikaci. Tato široká definice odpovídá i textaci GDPR. V kontextu otevřených dat je navíc nezbytné brát v potaz, že otevřená data ze své podstaty usnadňují propojování informací a vytváření nových kontextů. Z toho důvodu může snadněji dojít k propojení informací, které se samy o sobě nezdají být osobními údaji, ale v novém kontextu už umožňují identifikaci žijící fyzické osoby. Z uvedeného vyplývá, že je vhodné považovat za osobní údaje, takové informace, které se v kdykoli v průběhu svého životního cyklu týkaly fyzické osoby, ledaže by vzhledem k povaze informací a míře úsilí a vynaložených nákladů na opětovnou identifikaci bylo zřejmé, že riziko identifikace fyzické osoby je minimální, případně, že bude minimální rovněž zásah do práva na ochranu soukromí v případě úspěšné identifikace. Pokud se v průběhu svého životního cyklu informace poskytované jako otevřená data týkaly pouze věcí, přírodních jevů nebo dalších entit odlišných od člověka, je možné bezpečně tvrdit, že poskytování takových otevřených dat nebude zatíženo ochranou osobních údajů.

Zpracováním osobních údaj zákon (v souladu se Směrnicí 95/46/ES i GDPR) rozumí jakoukoli činnost, která se týká osobních údajů. Součástí příkladného výčtu různých zpracování, který zákon uvádí v § 4 písm. e) (čl. 4 odst. 2 GDPR), je rovněž výslovně uvedeno „zpřístupňování, používání, předávání, šíření a zveřejňování“. Aby správce mohl zpracování zahájit potřebuje k tomu mít právní titul. Ty jsou taxativně vymezeny v § 5 odst. 2 zákona č. 101/2000 Sb., případně v čl. 6 GDPR. Pokud jsou zpracovávány zvláštní kategorie osobních údajů (tzv. citlivé údaje ve smyslu § 2 písm. b) zákona 101/2000 Sb., nebo čl. 9 GDPR) je ke zpracování potřeba specifický právní titul. Obecně platí, že datové sady obsahující tyto kategorie údajů by neměly být poskytovány jako otevřená data, protože riziko nepřiměřeného zásahu do práva na ochranu soukromí subjektů údajů je příliš vysoké. V kontextu otevřených dat je třeba odlišit dva typy správců osobních údajů. Jsou jimi A) poskytovatelé informací, kteří obvykle zpracovávají osobní údaje za účelem plnění svých právních povinností, a B) ti kteří data využívají, tedy nejčastěji tvůrci aplikací, které s daty pracují. Účely zpracování publikovaných osobních údajů se mohou velice lišit, a záleží jen na těchto správcích, aby je stanovili v souladu se zákonem a splnili všechny povinnosti, které jim právní úprava ochrany osobních údajů ukládá.

Pro poskytovatele otevřených dat je podstatné, zda dané informace obsahující osobní údaje poskytuje v rámci plnění svých zákonných povinností, nebo zda by se je rozhodl poskytovat z vlastní vůle (na základě obecného oprávnění poskytovat informace, které mu dává § 5 odst. 7 zákona č. 106/1999 Sb., o svobodném přístupu k informacím). V prvním případě může osobní údaje zveřejňovat na základě právního titulu zpracování osobních údajů za účelem plnění právní povinnosti správce (§ 5 odst. 2 písm. a) zákona č. 101/2000 Sb., čl. 7 písm. c) směrnice 95/46/ES a čl. 6 odst. 1 písm. c) a e) GDPR). V případě poskytování z vlastní vůle se na tento právní titul správce spolehnout nemůže a potřeboval by ke zpracování titul jiný. Teoreticky se nabízí například souhlas subjektu údajů se zpracováním, který je ale fakticky jen obtížně získatelný. Tuto otázku je tedy možné shrnout tak, že poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon. V souladu s názorem pracovní skupiny WP 29 je pak ještě nezbytné uvést, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. To může provést buď přímo správce, který se rozhodne splnit svoji zákonnou povinnost poskytovat dané informace způsobem publikace otevřených dat. Druhou možností potom je, že dané zhodnocení proběhne na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data.

V případě určení právního titulu pro zpracování osobních údajů tvůrci aplikací dojde s účinností GDPR k zásadnější změně, protože se nebude dále možné spoléhat na právní titul umožňující zpracování oprávněně zveřejněných údajů (§ 5 odst. 2 písm. d) zákona č. 101/2000 Sb.). Tento právní titul je českou výjimkou, kterou nenajdeme ani v textu směrnice 95/46/ES, ani v GDPR. Nově se správci údajů budou muset spoléhat pouze na právní titul zpracování údajů za účelem ochrany práv a právem chráněných zájmů správce či jiné osoby. Jiné právní tituly, které GDPR nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v GDPR je „zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například stanovisko pracovní skupiny WP 29 č. 6/2014. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout. Je třeba připomenout, že tvůrce nebo provozovatel aplikace pracující s osobními údaji v podobě otevřených má z důvodu jeho statusu správce údajů povinnost splnit rovněž všechny další povinností, které se s touto pozicí pojí. Rozhodně tedy není platná teze, která se bohužel často objevuje, která tvrdí, že „jakmile jsou data veřejná, tak s tím mohu bez dalšího pracovat“. Tato teze neplatí nyní a nebude platit ani až bude GDPR účinné.

Při poskytování informací ve formě otevřených dat je nezbytné dbát na to, zda se nejedná o osobní údaje, protože v takovém případě musí zúčastněné osoby splnit související povinnosti správců údajů. Na straně poskytovatele informací se situace liší dle toho, zda se jedná o povinné, či dobrovolné poskytování informací, tedy zda existuje zákonná povinnost zveřejňovat informace – osobní údaje. Pokud existuje, je právní titul umožňující takové zveřejnění osobních údajů plnění právní povinnosti správce údajů. Osobní údaje není možné zveřejnit na základě diskrece. Jedinou šancí pro poskytnutí takových informací je zajištění dostatečně robustní anonymizace. V každém případě by před zveřejněním údajů měli správci provést hodnocení dopadů tohoto zveřejnění. Na straně příjemce dat do května 2018 správci osobních údajů mohou spolehnout na právní titul zpracování oprávněně zveřejněných údajů. Po zrušení této bude prakticky aplikovatelný toliko právní titul zpracování údajů za účelem naplnění oprávněného zájmu správce. Zároveň s tím, nehledě na to, zda se jedná o poskytovatele či příjemce dat, musí správci osobních údajů splnit všechny další povinnosti, které jim v souvislosti s tímto postavením právní úprava ukládá.