Studijní text

Úvod

Ochrana osobních údajů představuje velice aktuální problém, protože dopadá na velké množství případů zpracování dat v informačních systémech. Vzhledem k nárůstu možností výpočetních technologií došlo k výraznému rozšíření možností, jak osobní údaje zpracovávat, stejně jako celkovému množství probíhajících procesů zpracování. S ochranou osobních údajů se tak dostáváme dennodenně do kontaktu ať už v pozici správce údajů (tedy toho, kdo osobní údaje zpracovává ať už za cíli profesními jako například při vedení databáze zákazníků, nebo volnočasovými jako v případě vytvoření studentské stránky, na které je možné hodnotit kvalitu výuky konkrétních pedagogů), nebo v pozici subjektu údajů (tedy toho, jehož údaje jsou zpracovávány; jako příklad je možné uvést prakticky jakékoli sociální sítě a další online služby, hodnocení kredibility v bankách, zákaznické programy v obchodech atd.). Základní dokument, se kterým je třeba při právním hodnocení zpracování osobních údajů pracovat, je  nařízení č. 2016/679, Obecné nařízení o ochraně osobních údajů (známé pod akronymem „GDPR“ z anglického „General Data Protection Regulation“, dále jako „Obecné nařízení“, nebo jako "GDPR").

Tento studijní text je výrazně delší než ostatní, protože představuje základní nezbytné koncepty, se kterými pak dále budeme pracovat. Studijní texty v ostatních kapitolách tak do značné míry na tento text navazují.

Základní pojmy

Obecné nařízení vymezuje pojem osobní údaj v čl. 4 odst. 1 jako: "veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat".  Osobní údaje jsou opravdu všechny informace, které mohou přímo nebo nepřímo vést k identifikaci fyzické osoby (tedy člověka). Právní úprava ochrany osobních údajů se nevztahuje na právnické osoby. Přímo identifikující osobní údaje jsou takové informace nebo záznamy, u kterých je přímo z jejich vlastního kontextu jednoznačné, že mohou identifikovat člověka. Jde tak například o jméno a příjmení, trvalé bydliště, číslo občanského průkazu, nebo telefonní číslo. České soudy totiž tradičně osobní údaje mimo jiné pojí s možností daného člověka kontaktovat. Nepřímo identifikující jsou naopak takové údaje, které sice samy o sobě k identifikaci vést nemohou, ale pokud se spojí dohromady s dalšími údaji ve správném kontextu, už k identifikaci daného člověka mohou být použity. Jde tak například o IP adresy, které identifikují osobní zařízení uživatelů, a které mohou být použity při vyšetřování trestné činnosti. Je potřeba zdůraznit, že nepřímo identifikující osobní údaje jsou opravdu osobními údaji i tehdy, pokud je člověk v danou chvíli nedokáže použít ke ztotožnění. Pokud existuje někdo, kdo je legálními prostředky k identifikaci člověka použít dokáže, a toto použití nebude zásadně nepřiměřeně nákladné nebo technicky neproveditelné, jedná se o osobní údaje.

Správce osobních údajů je osoba (ať už fyzická nebo právnická), instituce, úřad nebo jakýkoli jiný subjekt, který určuje účel daného zpracování osobních údajů a je za ně primárně odpovědný. Jeho vymezení najdeme v čl. 4 odst. 7 Obecného nařízení. V případě, že se vícero správců dohodne, že si rozdělí odpovědnost za zpracování, hovoříme o tzv. „společných správcích“. Jedna společnost tak může například zajišťovat sběr dat a komunikaci se subjekty údajů, druhá jejich archivaci a analýzu. Účel zpracování je zcela zásadním prvkem v kontextu celé právní úpravy ochrany osobních údajů. Vůči účelu, který správce na začátku zpracování určil, se následně poměřuje, jak zajistit, aby zpracování mohlo legálně probíhat (na základě jakého právního titulu), jak dlouho mohou být údaje uchovávány, kdo k nim může mít přístup a podobně. Správce osobních údajů často zpracovává údaje za různými účely a odpovídá tak za vícero procesů zpracování.

Zpracovatel osobních údajů (definován v čl. 4 odst. 8 Obecného nařízení) je osoba, instituce, úřad nebo jakýkoli jiný subjekt, který zpracovává osobní údaje pro správce. Sám tedy účel neurčuje, ale dělá to, co mu správce řekne. Správce a zpracovavatel mezi sebou musí uzavřít smlouvu, ve které se upraví detaily jejich vztahu (minimální požadavky na tuto smlouvu jsou uvedeny v čl. 28 Obecného nařízení). Primární odpovědnost za zpracování nese sice správce, subjekt údajů se však může obrátit i na zpracovatele.

Cíle právní úpravy ochrany osobních údajů

Základem pro právo na ochranu osobních údajů je právo na informační sebeurčení. To garantuje každému člověku možnost určit si, jak bude nakládáno s informacemi o jeho osobě. Nejde o právo absolutní a existují z něj výjimky, například v podobě zpracování informací státními orgány. Obecně však právo na informační sebeurčení dává každému člověku možnost určit si, jak se bude na veřejnosti prezentovat, jaké informace chce, aby o něm byly známy, a v konečném důsledku i jaké informace chce přijímat.

Právo na ochranu osobních údajů upravuje to, jak je s osobními údaji nakládáno. Jedná se o preventivní nástroj, v jehož základu stojí předpoklad, že pokud správce údajů dodržuje povinnosti, které jsou mu předepsány, zmenšuje se riziko škody, újmy nebo zneužití osobních údajů, které by mohlo být zpracováním způsobeno. Díky tomu jsou nepřímo chráněna další základní práva, do kterých by mohlo být špatným nakládáním s osobními údaji zasaženo. Předně jde o právo na soukromí, protože při správném zacházení s osobními údaji je limitováno riziko, že dojde k prozrazení citlivých informací o člověku. Dále je však jako příklad takto nepřímo chráněného práva možné uvést vlastnické právo (špatné zpracování osobních údajů může vést například ke krádeži identity a zneužití platebních karet), nebo zákaz diskriminace (na základě zneužití zpracování osobních údajů může docházet k diskriminačním praktikám). Právo na ochranu osobních údajů je ve své podstatě procedurální právo. Je jako slunečník chránící další práva, která by zpracováním osobních údajů mohla být porušena.

Druhým cílem právní úpravy je obecně umožnit takové zpracování osobních údajů, které je v souladu s právem, a které ctí ochranu práv subjektů údajů. Právní úprava ochrany osobních údajů je vrcholně pragmatická, protože v jejím základu stojí předpoklad, že se zpracování osobních údajů děje a obecně je pro společnost vhodné, aby se dělo. Oblíbená glosa praví, že osobní údaje jsou novou ropou, protože umožňují ekonomické využití a pokrok. Právní úprava ochrany osobních údajů proto nemá za cíl naprosté zakázání zpracování osobních údajů. Zpracování je obecně možné, pokud k němu správce údajů přistupuje zodpovědně tak, aby minimalizoval rizika, která zpracování může pro subjekt údajů znamenat.

Oba zmíněné cíle se vzájemně dynamicky doplňují. Předmětem každého procesu zpracování osobních údajů je nalezení rovnováhy mezi nimi.

Zásady zpracování

Právní úprava ochrany osobních údajů spočívá na několika zásadách, které jsou vyjmenovány v čl. 5 Obecného nařízení, a které se promítají do každého zpracování osobních údajů. Jejich znalost je důležitá, protože tyto zásady umožňují dovodit, jak má správce osobních údajů v konkrétní situaci postupovat. Obecné nařízení je v kontextu jiných právních předpisů poněkud atypické, protože nenabízí jasný seznam („check-list“) úkolů, které musí správce údajů splnit, aby dostál svým povinnostem a nehrozila mu sankce. Naopak, Obecné nařízení od správce vyžaduje, aby se před každým zpracováním zamyslel nad tím, jaké údaje, za jakými účely a jakým způsobem bude zpracovávat, zvážil rizikovost takové činnosti a tomu své zpracování přizpůsobil. Tento způsob regulace (tzv. „performativní regulace“, protože není zadána konkrétní povinnost, ale cíl, kterého má být dosaženo) je nesmírně efektivní zejména v technologických oblastech práva. Vychází z úvahy, že povinné subjekty (správci údajů) samy nejlépe ví, jak jejich konkrétní proces zpracování vypadá a vzhledem k tomu dokáží správně nastavit všechny podmínky celého procesu, jako je například technické a organizační zajištění, jak dlouho konkrétně mají být údaje uloženy atd. Na druhou stranu ovšem tento způsob regulace klade na správce údajů poměrně vysoké nároky v tom, že musí být schopni posoudit svoji situaci a správně se v kontextu právní úpravy osobních údajů rozhodnout, jak své zpracování nastavit.

První zásadou uvedenou v čl. 5 je zásada zákonnosti, korektnosti a transparentnosti. Osobní údaje musí být zpracovávány korektně a zákonným a transparentním způsobem. To předně znamená, že zpracování musí probíhat za účelem, který je v souladu s právem. Z definice správce osobních údajů vyplývá, že jeho základní povinností je stanovit účel zpracování. Ten může být obecně jakýkoli, pokud neporušuje zákony. Zásada zákonnosti vedle toho dále znamená, že správce osobních údajů musí disponovat právním titulem, který zpracování umožňuje. Jejich taxativní výčet je přítomný v čl. 6 odst.Obecného nařízení.  Zásady korektnosti a transparentnosti by se jednoduše daly shrnout do požadavku, že správce osobních údajů má údaje zpracovávat férově (korektně). Důležité proto je, aby zpracování neprobíhalo skrytě, tedy aby měl subjekt údajů vždy možnost zjistit, kdo jeho údaje zpracovává. Tato znalost je totiž naprosto klíčová, aby subjekt údajů mohl vykonávat kontrolu nad probíhajícím zpracováním a tím realizovat své právo na informační sebeurčení.

Zásada omezení účelem stanoví, že osobní údaje musí být zpracovávány za určitým, výslovně vyjádřeným a legitimním účelem a nesmí být zpracovávány způsobem, který by byl s tímto účelem neslučitelný. Více se o roli účelu ve zpracování osobních údajů budeme bavit na přednášce.

Zásada minimalizace údajů úzce souvisí s prevenční povahou právní úpravy ochrany osobních údajů a spočívá v tom, že správce může zpracovávat jen ty údaje, které jsou striktně nezbytné pro účel, který si pro dané zpracování osobních údajů stanovil.

Zásada přesnosti stanoví, že zpracovávané osobní údaje mají být přesné, a v případě potřeby aktualizované. Z toho vyplývá, že každý správce osobních údajů musí dbát na to, aby přizpůsobil proces zpracování a zajistil, že nebude zpracovávat nepřesné nebo chybné osobní údaje. Otázka toho, jak moc musí správce údajů dbát na kontrolu a aktualizaci údajů přímo vyplývá z účelu zpracování a z míry rizika pro práva a svobody subjektů údajů, které zpracování představuje. Pokud například na základě zpracování osobních údajů dochází k rozhodování o právech a povinnostech subjektu údajů, je naprosto zásadní, aby zpracovávané údaje byly přesné a aktuální. Na druhou stranu zpracování údajů s nízkým rizikem tak vysokou míru kontroly vyžadovat nebude. V souladu se zásadou přesnosti je rovněž právo subjektu údajů požadovat opravu nebo aktualizaci chybných nebo neaktuálních osobních údajů, případně omezení jejich zpracování do doby, než k opravě dojde.

Zásada omezení uložení stanoví, že osobní údaje mohou být uchovávány jen po takovou dobu, která je nezbytná vzhledem k účelu, pro který jsou zpracovávány. Otázka „jak dlouho můžeme mít data uložená“ je jednou z nejčestnějších praktických otázek, které se v průběhu nastavování procesů zpracování osobních údajů objevují. Odpověď na ni není možné jednoznačně dopředu určit konkrétním datem (den, týden, měsíc…), ale je závislá na konkrétní situaci konkrétního účelu a způsobu zpracování osobních údajů.

Zásada integrity a důvěrnosti určuje povinnosti správce údajů zabezpečit proces zpracování tak, aby osobní údaje náležitě zabezpečil před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Účelem této zásady je, aby správce údajů minimalizoval riziko zásahu do práv a svobod subjektu údajů. Za tímto cílem může správce zapojit řadu technických a organizačních opatření.

Zásada odpovědnosti správce (anglický ekvivalent zní „accountability“) je nová zásada, kterou zákonodárce výslovně zakotvil v Obecném nařízení, a která ve staré směrnici 95/46/ES a zákoně 101/2000 Sb. nebyla přítomná. Tato zásada stanoví, že správce musí při zpracování přijmout vhodná opatření, aby splnil všechny požadavky vyplývající z předchozích zásad a zároveň musí být schopen přijetí takových opatření doložit. V praxi to pak znamená, že správce údajů musí prostředky a způsob, jakými zpracování osobních údajů provádí, přizpůsobit účelu, riziku a dalším okolnostem daného zpracování. Čím větší riziko dané zpracování osobních údajů představuje, tím více povinností má a tím důkladněji je musí plnit. A naopak, čím je zpracování méně rizikové, tím snazší práci správce údajů má. Více se zásadou odpovědnosti budeme zabývat na přednášce.

Právní tituly ke zpracování osobních údajů

Aby správce údajů mohl začít se zpracováním osobních údajů za určitým účelem, potřebuje jej podložit jedním z právních titulů uvedených v čl. 6 odst. 1 Obecného nařízení. Těchto právních titulů je šest, jde o taxativní výčet a členské státy nemají možnost jej rozšiřovat nebo zužovat.

Jako první právní titul je sice uveden souhlas subjektu údajů, v praxi však ve většině případů zpracování souhlas není potřeba. Obecně platí, že pokud se správce může spolehnout na kterýkoli z dále jmenovaných právních titulů, je takové řešení vhodnější než požadovat po subjektu údajů souhlas.

Pod písmenem b) je uveden právní titul, který umožňuje zpracování osobních údajů, pokud je nezbytné pro splnění smlouvy subjektu údajů se správcem. Opět, jako v jiných případech, je pojem „nezbytné“ nutné chápat úzce ve smyslu „opravdu nezbytné“.

Písm. c) a e) spolu úzce souvisí. Obě totiž umožňují zpracování osobních údajů, které vyplývá jako povinnost pro splnění právní povinnosti vyplývající z právního předpisu. Liší se v tom, že zatímco písm. c) směřuje zejména na osoby soukromého práva, písm. e) se použije zejména při zpracování prováděném za účelem výkonu veřejné správy.

Písm. d) umožňuje zpracování osobních údajů, pokud to je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby. Jako v jiných případech je tuto nezbytnost nutné vykládat úzce. Tento právní titul tak představuje značnou výjimku a vztahuje se na specifické případy, jako například zjištění zdravotního stavu a krevní skupiny člověka, který po zranění akutně potřebuje krevní transfuzi.

Písm. f) umožňuje zpracování osobních údajů tehdy, když je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Fakticky to znamená, že pokud správci údajů, nebo třetí osobě, svědčí oprávněný zájem na tom, aby zpracování osobních údajů probíhalo, může se na tento právní titul spolehnout. Je zde však přítomná zcela zásadní limitace v podobě poměřování zásahu, které zpracování představuje pro práva a zájmy subjektů údajů. Správce údajů se totiž může na tento právní spolehnout pouze tehdy, pokud zpracováním údajů do práv a zájmů subjektů údajů není nepřiměřeně zasaženo. V praxi proto musí před zahájením zpracování provést test proporcionality, ve kterém vůči sobě poměří svůj oprávněný zájem vůči právům a zájmům subjektu údajů. Důkazní břemeno k prokázání oprávněného zájmu a výsledku testu proporcionality leží na správci údajů.

Práva subjektu údajů a další povinnosti správce

Obecné nařízení garantuje subjektům údajů subjektivní práva, kterých se mohou vůči správcům dovolávat, a ti pak mají odpovídající povinnosti chovat se tak, aby byla práva subjektu dodržena. Tato práva najdeme formulována v čl. 12-22 Obecného nařízení. Práva subjektu údajů hrají v systému ochrany osobních údajů zásadní roli, protože umožňují subjektům údajů vykonávat určitou míru kontroly nad zpracováním v celém jeho průběhu. Čl. 12-14 garantují transparentnost zpracování. Správce údajů obecně musí subjekty údajů informovat o probíhajícím zpracování (ať probíhá na základě jakéhokoli právního titulu). Vedle toho musí správce subjekt údajů informovat o právech, které mu Obecné nařízení garantuje. Informace by měla být poskytnuta jednoznačně a pokud možno co nejvíce srozumitelně. Pokud správce údajů získává údaje přímo od subjektu údajů, měl by ho informovat v době získání těchto údajů. Pokud ale dochází ke sběru údajů z jiných zdrojů, musí dát správce údajů alespoň možnost subjektu údajů se s těmito informacemi seznámit (např. umístěním na webu). Transparentnost zpracování je naprosto klíčová, protože bez znalosti, že zpracování probíhá se subjekt proti němu nemůže případně bránit a využívat svá další práva.

Následující práva mají společné to, že subjektu údajů přímo umožňují určitým způsobem se svými osobními údaji nakládat, respektive může po správci údajů požadovat, aby s danými daty nakládat určitým způsobem. Jde o právo na přístup k osobním údajům (čl. 15), dle kterého se může subjekt údajů dotázat správce, jestli zpracovává jeho osobní údaje a pokud ano, může si vyžádat jejich kopii. Dále pak čl. 16 pak garantuje subjektu údajů právo na opravu chybných nebo nepřesných údajů. Často skloňované je právo na výmaz, známé též pod názvem „právo být zapomenut“, které je upraveno v čl. 17.  Dle něj může subjekt údajů požadovat vymazání osobních údajů, jejichž účel zpracování již pominul, u kterých není právní titul na zpracování, případně které jsou obecně zpracovávány protiprávně. Mezi další práva subjektu údajů pak patří právo na omezení zpracování (čl. 18), právo na přenositelnost údajů (čl. 20), právo vznést námitku proti probíhajícímu zpracování (čl. 21) a právo nebýt předmětem automatizovaného rozhodování (čl. 22).

Obecné nařízení obsahuje několik dalších povinností správce údajů, které mají přispět k tomu, že zpracování bude probíhat bezpečně a způsobem, který bude šetřit práva subjektů údajů. Tyto povinnosti pak přímo vyplývají ze základních zásad uvedených v čl. 5 a dále odpovídají právům subjektů údajů (jinými slovy, správce údajů musí umožnit výkon práv subjektu údajů). V tomto prostoru se již nebudu dále věnovat konkrétním povinnostem, vybraných se dotkeme v rámci přednášky. 

Výukové video

Povinná literatura

• Povinným zdrojem, ve kterém je dobře nastíněn současný stav ochrany osobních údajů je příslušná část kapitoly 9 Osobnost, soukromí a osobní údaje v moderní společnosti monografie Polčák, R. et al. Právo informačních technologií. Wolters Kluwer, 2018. ISBN 978-80-7598-045-8. Dostupné ze systému ASPI.
• Kapitola 5 Míšek, J. Moderní regulatorní metody ochrany osobních údajů. Brno: Masarykova univerzita, 2020. (s. 147 a následující).
  
• Quelle, C. Enhancing Compliance under the General Data Protection Regulation: The Risky Upshot of the Accountability and Risk-based Approach. European Journal of Risk Regulation [online]. 2018, roč. 9, č. 3, s. 502–526. ISSN 1867-299X, 2190-8249. Dostupné z: doi:10.1017/err.2018.47