| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze |
| dokumenty:ochrana-osobních-údajů-a-gdpr [2019/02/05 10:40] – [A) Zpracování osobních údajů při poskytování otevřených dat] jakub.misek | dokumenty:ochrana-osobních-údajů-a-gdpr [2020/06/03 09:37] (aktuální) – upraveno mimo DokuWiki 127.0.0.1 |
|---|
| ====== Ochrana osobních údajů a poskytování otevřených dat ====== | ====== Ochrana osobních údajů a poskytování otevřených dat ====== |
| |
| Nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále označované jako „Nařízení“ nebo „GDPR“ z anglického „General Data Protection Regulation“) bylo přijato v dubnu 2016 a je aplikovatelné od 25. května 2018. Jedná se o přímo aplikovatelnou normu ve všech členských státech EU a je prostředkem celoevropské reformy systému ochrany osobních údajů. Nahradilo směrnici 95/46/ES, jejíž implementace byla provedena do českého právního řádu prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. | Nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále označované jako „Nařízení“ nebo „GDPR“ z anglického „General Data Protection Regulation“) bylo přijato v dubnu 2016 a je aplikovatelné od 25. května 2018. Jedná se o přímo aplikovatelnou normu ve všech členských státech EU a je prostředkem celoevropské reformy systému ochrany osobních údajů. |
| GDPR stojí na stejných principech jako směrnice 95/46/ES, které dále posiluje výslovným uvedením některých práv subjektů údajů, přísnější sankcemi a nezbytností vést detailní dokumentaci o zpracování údajů. | Na národní úrovni jsou vybraná ustanovení GDPR upřesněná [[https://www.zakonyprolidi.cz/cs/2019-110|zákonem č. 110/2019 Sb., o zpracování osobních údajů]]. |
| V současné době vrcholí legislativní proces harmonizačního zákona ([[http://www.psp.cz/sqw/historie.sqw?o=8&t=138|zákona o zpracování osobních údajů]]), který nahradí zákon č. 101/2000 Sb. | |
| |
| |
| |
| Pro poskytovatele otevřených dat je podstatné, zda dané informace obsahující osobní údaje poskytuje v rámci plnění svých zákonných povinností, nebo zda by se je rozhodl poskytovat z vlastní vůle (na základě obecného oprávnění poskytovat informace, které mu dává § 5 odst. 7 zákona č. 106/1999 Sb., o svobodném přístupu k informacím). V prvním případě může osobní údaje zveřejňovat na základě právního titulu zpracování osobních údajů za účelem plnění právní povinnosti správce, případně při plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci dle čl. 6 odst. 1 písm. c) a e) Obecného nařízení. V případě poskytování z vlastní vůle se na tento právní titul správce spolehnout nemůže a potřeboval by ke zpracování titul jiný. Teoreticky se nabízí například souhlas subjektu údajů se zpracováním, který je ale fakticky jen obtížně získatelný. | Pro poskytovatele otevřených dat je podstatné, zda dané informace obsahující osobní údaje poskytuje v rámci plnění svých zákonných povinností, nebo zda by se je rozhodl poskytovat z vlastní vůle (na základě obecného oprávnění poskytovat informace, které mu dává § 5 odst. 7 zákona č. 106/1999 Sb., o svobodném přístupu k informacím). V prvním případě může osobní údaje zveřejňovat na základě právního titulu zpracování osobních údajů za účelem plnění právní povinnosti správce, případně při plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci dle čl. 6 odst. 1 písm. c) a e) Obecného nařízení. V případě poskytování z vlastní vůle se na tento právní titul správce spolehnout nemůže a potřeboval by ke zpracování titul jiný. Teoreticky se nabízí například souhlas subjektu údajů se zpracováním, který je ale fakticky jen obtížně získatelný. |
| | |
| Tuto otázku je tedy možné shrnout tak, že __poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon, nebo ke kterému je zákonem zmocněn__. | Tuto otázku je tedy možné shrnout tak, že __poskytování otevřených dat, které obsahují osobní údaje je možné pouze tehdy, pokud se jedná o zveřejňování, které správci ukládá zákon, nebo ke kterému je zákonem zmocněn__. |
| Ze stanoviska Pracovní skupiny WP 29 (nyní Evropský sbor pro ochranu osobních údajů) vyplývá, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. Vzhledem k tomu, že poskytování osobních údajů jako otřevřených dat je možné pouze na základě zákonného zmocnění, musí toto zhodnocení proběhnout na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data). Navrhovaný zákon o zpracování osobních údajů v § 10 navíc výslovně uvádí, že správce údajů nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. | Ze stanoviska Pracovní skupiny WP 29 (nyní Evropský sbor pro ochranu osobních údajů) vyplývá, že před zveřejněním takových informací v podobě otevřených dat je třeba provést zhodnocení dopadů tohoto zveřejnění na subjekty údajů a jejich chráněná práva. Vzhledem k tomu, že poskytování osobních údajů jako otřevřených dat je možné pouze na základě zákonného zmocnění, musí toto zhodnocení proběhnout na úrovni zákonodárce, který jednoznačně stanoví povinnost poskytovat některé informace jako otevřená data (například prostřednictvím nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data). Navrhovaný zákon o zpracování osobních údajů v § 10 navíc výslovně uvádí, že správce údajů nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést. |
| | |
| Je nutné ještě upozornit na variantu, kdy poskytovatel sice má ze zákona povinnost poskytovat osobní údaje online, ale není výslovně uvedeno, že tak musí činit v podobě otevřených dat. V takovém případě není přímo vyloučené poskytnutí těchto osobních údajů jako otřevřených dat, protože již ustanovení § 4b odst. 1 požaduje po povinných dubjektech, aby veškeré informace poskytovaly co nejotevřeněji. V takovém případě je však nezbytné zvážit povahu poskytovaných osobních údajů a poměřit vůči sobě různé způsoby jejich zveřejnění (např. otevřená data nebo přístup k datům na základě formuláře). Poskytovatel tak musí provést hodnocení dopadů zpracování osobních údajů a na základě něj zveřejnit údaje adekvátním způsobem. Je třeba zdůraznit, že poskytování osobních údajů v podobě otevřených dat může představovat značný zásah do práv subjektů údajů a proto musí být řádně odůvodněno a opodstatněno. | Je nutné ještě upozornit na variantu, kdy poskytovatel sice má ze zákona povinnost poskytovat osobní údaje online, ale není výslovně uvedeno, že tak musí činit v podobě otevřených dat. V takovém případě není přímo vyloučené poskytnutí těchto osobních údajů jako otřevřených dat, protože již ustanovení § 4b odst. 1 požaduje po povinných dubjektech, aby veškeré informace poskytovaly co nejotevřeněji. V takovém případě je však nezbytné zvážit povahu poskytovaných osobních údajů a poměřit vůči sobě různé způsoby jejich zveřejnění (např. otevřená data nebo přístup k datům na základě formuláře). Poskytovatel tak musí provést hodnocení dopadů zpracování osobních údajů a na základě něj zveřejnit údaje adekvátním způsobem. Je třeba zdůraznit, že poskytování osobních údajů v podobě otevřených dat může představovat značný zásah do práv subjektů údajů a proto musí být řádně odůvodněno a opodstatněno. |
| ==== B) Zpracování osobních údajů příjemci dat – tvůrci aplikací ==== | ==== B) Zpracování osobních údajů příjemci dat – tvůrci aplikací ==== |
| Obecné nařízení dává osobám, které mají zájem o další užití otevřených dat s osobními údaji možnost využít pouze právní titul uvedený v čl. 6 odst. 1 písm. f), tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Obecné nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v Obecném nařízení je „//zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě//“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například [[http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf|stanovisko pracovní skupiny WP 29 č. 6/2014]]. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout. | Obecné nařízení dává osobám, které mají zájem o další užití otevřených dat s osobními údaji možnost využít pouze právní titul uvedený v čl. 6 odst. 1 písm. f), tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Obecné nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti (jako v případě souhlasu se zpracováním). Přesné znění tohoto titulu v Obecném nařízení je „//zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě//“. Byť je text tohoto ustanovení upraven oproti znění ve směrnici 95/46/ES (a tedy i oproti zákonu č. 101/2000 Sb.), je možné na ně přiměřeně vztáhnout dosavadní doktrinální a výkladové texty, jako je například [[http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf|stanovisko pracovní skupiny WP 29 č. 6/2014]]. Aby mohl být použit tento právní titul, musí správce údajů (tvůrce nebo provozovatel aplikace) splnit dvě podmínky. První z nich je, že zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany. Druhou podmínkou pak je, že zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů. Oprávněný zájem musí být v souladu s aplikovatelným právem EU i s národními předpisy. Musí být rovněž dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat. Na tvůrci nebo provozovateli aplikace pracující s otevřenými daty obsahující osobní údaje bude ležet úkol a odpovědnost zhodnotit, jaké může zpracování osobních údajů jeho aplikací mít důsledky. Pokud by měla intenzita zásahu do ochrany soukromí subjektů údajů převážit oprávněný zájem správce nebo třetí osoby, nemůže se na tento právní titul spolehnout. |
| Vedle právě uvedeného, ve specifických případech budou moci správci údajů využít právní titul uvedený v § 17 navrhovaného zákona o zpracování osobních údajů. Toto ustanovení umožňuje zpracování osobních údajů "slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu". V souladu s rozhodovací praxí Soudního dvora EU je pak třeba mát za to, že tento účel zpracování osobních údajů, které je nezbytné pro dosažení možnosti výkonu práva svobody projevu (zejména novinářského, akademického a uměleckého) je třeba vykládat spíše široce (viz [[http://curia.europa.eu/juris/document/document.jsf?text=&docid=76075&pageIndex=0&doclang=CS&mode=lst&dir=&occ=first&part=1&cid=8128054|rozhodnutí ve veci Stamedia Oy]]). | Vedle právě uvedeného, ve specifických případech budou moci správci údajů využít právní titul uvedený v § 17 navrhovaného zákona o zpracování osobních údajů. Toto ustanovení umožňuje zpracování osobních údajů "slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu". V souladu s rozhodovací praxí Soudního dvora EU je pak třeba mát za to, že tento účel zpracování osobních údajů, které je nezbytné pro dosažení možnosti výkonu práva svobody projevu (zejména novinářského, akademického a uměleckého) je třeba vykládat spíše široce (viz [[http://curia.europa.eu/juris/document/document.jsf?text=&docid=76075&pageIndex=0&doclang=CS&mode=lst&dir=&occ=first&part=1&cid=8128054|rozhodnutí ve veci Satamedia Oy]]). |
| Je třeba připomenout, že tvůrce nebo provozovatel aplikace pracující s osobními údaji v podobě otevřených má z důvodu jeho statusu správce údajů povinnost splnit rovněž všechny další povinností, které se s touto pozicí pojí. | Je třeba připomenout, že tvůrce nebo provozovatel aplikace pracující s osobními údaji v podobě otevřených má z důvodu jeho statusu správce údajů povinnost splnit rovněž všechny další povinností, které se s touto pozicí pojí. |
| Rozhodně tedy není platná teze, která se bohužel často objevuje, která tvrdí, že „jakmile jsou data veřejná, tak s tím mohu bez dalšího pracovat“. | Rozhodně tedy není platná teze, která se bohužel často objevuje, která tvrdí, že „jakmile jsou data veřejná, tak s tím mohu bez dalšího pracovat“. |