GDPR návod – Jak musí být přenositelná data poskytnuta?

V. Jak musí být přenositelná data poskytnuta?

Jaké prostředky by měl správce očekávaně zavést pro poskytnutí dat?

Článek 20, odst. 1 Obecného nařízení stanoví, že subjekt údajů má právo předat data jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.

Toto bránění lze charakterizovat jako jakékoli právní, technické nebo finanční překážky ze strany správce za účelem vyhnutí se nebo přibrzdění přístupu, přenosu nebo opětovného použití dat subjektem údajů nebo dalším správcem. Takovou překážkou může například být: poplatek požadovaný za dodání dat, nedostatečná interoperabilita nebo přístup k datovému formátu nebo API nebo poskytnutý formát, nadměrný časový odklad nebo složitost vytáhnout celý datový soubor, záměrné rozostření datového souboru, požadavek specifické a nepřiměřené nebo nadbytečné standardizace nebo akreditace<sup>28</sup>.

Článek 20, odst. 2 ukládá správcům také povinnosti ohledně předání přenositelných údajů přímo druhým správcům „je-li to technicky proveditelné“.

Technická proveditelnost předání od správce správci, za dohledu subjektu údajů, by měla být posuzována případ od případu. Recitál 68 více vymezuje hranice pojmu „technicky proveditelné“ konstatováním, že toto právo „by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní způsoby zpracování“.

Očekává se, že správci budou osobní údaje přenášet v interoperabilním formátu, ačkoli by to nemělo na jiné správce klást povinnost tyto formáty podporovat. Přímé předání od jednoho správce jinému by se tedy mělo uskutečnit, pokud je komunikace mezi dvěma systémy možná, zabezpečeným způsobem<sup>29</sup> a pokud systém na příjmu je technicky způsobilý příchozí data přijmout. Pokud technické překážky nedovolují přímé předání, musí správce tyto překážky vysvětlit subjektům údajů, neboť jeho rozhodnutí by se jinak svým účinkem podobalo odmítnutí přijmout opatření na žádost subjektu údajů (článek 12, odst. 4).

V technickém ohledu by správci měli prozkoumat a posoudit dvě různé a nezpoplatněné cesty k zajištění dostupnosti přenositelných dat pro subjekty údajů nebo jiným správcům:

  • přímý přenos celého souboru přenositelných dat (nebo několik výňatků částí celkového souboru dat);
  • automatický nástroj umožňující vybrat relevantní údaje.

Druhý způsob bude asi upřednostňován správci v případech týkajících se složitých a rozsáhlých souborů dat, neboť dovoluje vyjmout jakoukoli část datového souboru podstatnou pro subjekt údajů v souvislosti s jeho žádostí, může pomoci minimalizovat riziko a případně umožnit použití mechanismů datové synchronizace<sup>30</sup> (např. v rámci pravidelné komunikace mezi správci). Může to být lepší způsob zajištění souladu „novým“ správcem představující příklad dobré praxe při snižování rizika na straně správce původního.

Tyto dva různé a pokud možno bezplatné způsoby poskytnutí relevantních přenositelných údajů by mohly být uplatněny zpřístupněním dat prostřednictvím různých způsobů jako například zabezpečené textování, SFTP server, zabezpečený WebAPI nebo WebPortal. Subjektům údajů by mělo být umožněno využít úložiště osobních údajů, systému správy osobních informací<sup>31</sup> nebo jiných druhů důvěryhodných třetích stran k držení a uchovávání osobních dat a udělit správcům souhlas s přístupem k osobním údajům a jejich zpracování podle požadavku

Jaký je očekávaný datový formát?

Obecné nařízení klade požadavky na správce, aby poskytovali osobní údaje požadované jednotlivcem ve formátu podporujícím jejich opětovné použití. Konkrétně článek 20, odst. 1 Obecného nařízení stanoví, že osobní údaje musí být poskytnuty „ve strukturovaném, běžně používaném a strojově čitelném formátu“. Recitál 68 dále objasňuje, že tento formát by měl být interoperabilní, což je termín definovaný v EU takto<sup>32</sup>:

Schopnost interakce různých nesourodých organizací, která přispívá k dosažení vzájemně prospěšných a dohodnutých společných cílů a zahrnuje sdílení informací a znalostí mezi organizacemi pomocí podnikových procesů, které tyto organizace podporují, na základě výměny údajů mezi jejich systémy IKT.

Pojmy „strukturovaný“, „běžně používaný“ a „strojově čitelný“ představují soubor minimálních požadavků, které by měly usnadnit interoperabilitu datových formátů poskytovaných správcem. V tomto smyslu představují pojmy „strukturovaný, běžně používaný a strojově čitelný“ prostředky, přičemž interoperabilita je žádoucím výsledkem.

Recitál 21 směrnice 2013/37/EU33,34 definuje pojem „strojově čitelný“ takto:

„strojově čitelným formátem“ se rozumí formát souboru s takovou strukturou, která umožňuje softwarovým aplikacím v něm snadno nalézt, rozpoznat a získat z něj konkrétní údaje, včetně jednotlivých uvedených fakt a jejich vnitřní struktury; Za strojově čitelné údaje se považují údaje zakódované v souborech strukturovaných ve strojově čitelném formátu. Strojově čitelné formáty mohou být otevřené nebo chráněné vlastnickým právem; mohou být formálně normalizované, či nikoli. Dokumenty ve formě souboru, který toto automatické zpracování omezuje, jelikož údaje z nich nelze získat snadno či vůbec, by za dokumenty ve strojově čitelném formátu být považovány neměly. Členské státy by měly ve vhodných případech podporovat používání otevřených, strojově čitelných formátů.

Vzhledem k široké škále možných druhů dat, které správci mohou zpracovávat, nestanoví Obecné nařízení žádná konkrétní doporučení ohledně formátu pro poskytování osobních údajů. Typ nejvhodnějšího formátu se bude lišit podle odvětví a odpovídající formáty už možná existují, přičemž by vždy měly být zvoleny tak, aby naplnily účel čitelnosti a umožňovaly subjektu údajů vysoký stupeň přenositelnosti dat. Formáty podléhající nákladným licencím nebudou považovány za odpovídající.

Recitál 68 objasňuje, že „právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní způsoby zpracování“. Přenositelnost tedy směřuje k vytváření interoperabilních, a nikoliv kompatibilních systémů35.

Počítá se s tím, že osobní údaje budou poskytovány ve formátech s vysokým stupněm abstrakce vůči formátu internímu nebo vlastnickému. Přenositelnost údajů jako taková představuje další rovinu zpracování dat správcem, kdy je potřeba vybrat data ze základu a odfiltrovat osobní údaje nespadající pod přenositelnost, jako jsou data odvozená nebo data týkající se bezpečnosti systémů. V tomto smyslu jsou správci vyzváni předem určit data ve svých systémech, na která se vztahuje přenositelnost údajů. Takové dodatečné zpracování bude považováno za doplňkové k hlavnímu zpracování, neboť nebude správcem prováděno pro dosažení nově definovaného účelu.

Pokud v daném odvětví nebo v určité souvislosti neexistují žádné běžně používané formáty, měli by správci poskytnout osobní údaje v běžně užívaných otevřených formátech (např. XML, JSON, CSV,…) spolu s upotřebitelnými metadaty v reálně dosažitelné rozlišitelnosti, při zachování vysoké úrovně neurčitosti. Vhodná metadata by měla být použita k přesnému popisu významu sdělované informace. Tato metadata by měla postačovat k umožnění funkčnosti a opětovného použití dat, ale ovšem, bez vyzrazení obchodních tajemství. Je proto nepravděpodobné, že poskytnutí PDF verzí emailové schránky bude dostatečně strukturované a popisné, aby byl jednotlivec schopen tato data snadným způsobem opětovně použít. Údaje z e-mailu musí být dodané ve formátu, který zachová veškerá metadata, aby bylo možné opakovaně tyto údaje použít. Při výběru formátu by měl správce zvážit, jak tento formát ovlivní nebo ztíží uplatnění práva na opakované použití dat. V případech, kdy správce je schopen subjektu údajů nabídnout výběr upřednostňovaného formátu, měl by poskytnout jasné vysvětlení ohledně důsledků konkrétního rozhodnutí. Avšak zpracování dodatečných metadat jen s domněnkou, že by mohla být potřebná nebo vyžadovaná pro vyřízení žádosti o přenositelnost, nezakládá legitimní účel zpracování.

WP29 silně vyzývá zainteresované strany v odvětví a obchodní asociace ke spolupráci při tvorbě obecně uznávaných standardů interoperability a formátů pro naplnění práva na přenositelnost údajů. Touto výzvou se zabývá i Evropský rámec interoperability (EIF). EIF vytvořil „rámec interoperability“, který byl odsouhlasen pro organizace, jež si přejí společně poskytovat veřejné služby. V hranicích své platnosti konkretizuje tento rámec sadu společných prvků, jako jsou slovník, koncepty, zásady, politiky, vodítka, doporučení, standardy, specifikace a praktiky36.

Jak nakládat s velkým nebo složitým shromažďováním dat?

Obecné nařízení nevysvětluje, jak se chovat v případě sběru velkého množství dat, komplexních datových struktur nebo jiných technických otázek, které mohou způsobit potíže správcům nebo subjektům údajů.

V každém případě je však naprosto důležité respektovat, že definice, schémata a struktury osobních dat, která by správcem mohla být předána, mají být pro jednotlivce zcela srozumitelné. Data například mohou být nejprve poskytnuta souhrnně za použití přehledů (dashboardů), umožňujících subjektu údajů přenést podmnožiny osobních údajů a nikoliv celý jejich výčet. Správce má poskytnout přehled „stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků“ (viz Obecné nařízení, článek 12, odst. 1), aby subjekt údajů vždy jasně věděl, jaká data stáhnout nebo předat druhému správci v souvislosti s daným účelem. Subjekt údajů by měl být sto využít softwarových aplikací ke snadnému určení, rozpoznání a zpracování konkrétních dat získaných z této informace.

Jak zmíněno výše, jedním z praktických způsobů, kterým správce může vyřídit žádost o přenesení údajů je nabídka náležitě zabezpečeného a doložitelného rozhraní pro programování aplikací (API). To by mohlo umožnit, aby jednotlivci byli schopni podávat žádosti prostřednictvím softwaru vlastního nebo třetích stran nebo zajistit souhlas, aby to za ně udělal někdo jiný (včetně druhého správce) jak je stanoveno v článku 20, odst. 2 Obecného nařízení. Poskytnutím přístupu přes externě dostupné API lze nabídnout sofistikovanější přístupový systém umožňující jednotlivcům podat následné žádosti o data, buď ve formě úplného stažení nebo jako funkci delta zohledňující pouze změny od posledního stažení, aniž by tyto požadavky byly pro správce obtěžující.

Jak mohou být přenášená data zabezpečena?

Správci by obecně měli zajistit „náležité zabezpečení osobních údajů včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“) podle článku 5, odst. 1, písm. f Obecného nařízení.

V souvislosti s přenosem dat subjektu údajů se však může objevit několik bezpečnostních problémů:

Jak mohou správci zajistit, aby osobní údaje byly bezpečně doručeny správné osobě?

Jelikož přenositelnost údajů znamená vyjmutí osobních dat z informačního systému správce, může jejich přenos být zdrojem možných rizik (zejména narušení ochrany během přenosu). Správce je odpovědný za veškerá bezpečnostní opatření pro zajištěný přenos osobních údajů (např. použitím šifrování end-to-end nebo šifrování dat) ke správnému příjemci (použitím silných autentizačních opatření), ale také za stálou ochranu osobních údajů, které zůstaly v jeho systémech, jakožto i za transparentní postupy zacházení s možnými porušeními bezpečnosti ochrany dat37. Správci by měli posoudit rizika konkrétně spojená s přenositelností údajů a přijmout odpovídající opatření pro zmírnění těchto rizik.

Tato riziko zmírňující opatření mohou být: použití doplňkové autentizační informace, jako je sdílené tajemství nebo jiný autentizační faktor typu jednorázového hesla, pokud už je potřeba subjekt údajů identifikovat; přerušení nebo zmrazení předávky při podezření, že účet byl prolomen; autentizace na základě mandátu, jakou je na tokenech založená autentizace, v případě přenosu od jednoho správce druhému.

Tato bezpečnostní opatření nesmí být obtěžující a nesmí bránit uživatelům ve výkonu jejich práv, např. účtováním vícenákladů.

Jak pomoci uživatelům při uchovávání jejich osobních údajů ve vlastních systémech?

Po vyzvednutí osobních údajů z internetové služby vždy existuje riziko, že uživatelé je mohou uložit do systému méně zabezpečeného, než byl ten předchozí. Subjekt údajů požadující data je odpovědný za výběr správných opatření pro zajištění osobních údajů ve vlastním systému. Měl by však na to být upozorněn, aby podniknul kroky k ochraně obdržených informací. Správci také v rámci dobré praxe mohou subjektu údajů doporučit vhodný formát nebo formáty, šifrovací prostředky a další bezpečnostní opatření a být mu tak nápomocni při splnění jeho cíle.

V Bruselu dne 13. prosince 2016

Za pracovní skupinu
předsedkyně
Isabelle FALQUE-PIERROTIN

Posledně revidováno a schváleno 5. dubna 2017

Za pracovní skupinu
předsedkyně
Isabelle FALQUE-PIERROTIN


Viz také:


28 Některé oprávněné obtíže nastat mohou, týkající se třeba práv a svobod jiných, jak zmíněno v článku 20, odst. 4 nebo ve vztahu k bezpečnosti systémů správce. Je v odpovědnosti správce odůvodnit, proč jsou takové překážky oprávněné a proč nepředstavují zábranu ve smyslu článku 20, odst. 1.

29 Použitím autentizované komunikace s nezbytnou hloubkou šifrování dat.

30 Synchronizační mechanismus může napomoci splnit obecnou povinnost podle článku 5 Obecného nařízení, který stanoví, že „osobní údaje musí být přesné a v případě potřeby aktualizované“.

31 Informace o systémech pro správu osobních informací viz například Stanovisko 9/2016 Evropského inspektora ochrany údajů dostupné na: https://edps.europa.eu/sites/edp/files/publication/17-01-11_pims_ex_summ_cs_0.pdf

32 Článek 2 Rozhodnutí Evropského parlamentu a Rady č. 922/2009/ES ze dne 16. září 2009 o řešeních interoperability pro evropské orgány veřejné správy (ISA), Úř. věst. L 260, 03.10.2009, str. 20.

33 Kterou se mění směrnice 2003/98/ES o opakovaném použití informací veřejného sektoru.

34 Slovník EU (http://eur-lex.europa.eu/eli-register/glossary.html) poskytuje bližší vysvětlení jaká jsou očekávání ohledně konceptů uvedených v těchto vodítkách, jako jsou pojmy stojově čitelný, interoperabilita, otevřený formát, standardní, metadata.

35 ČSN ISO/IEC 2382-01 definuje interoperabilitu následovně: Schopnost komunikovat, provádět programy, nebo přenášet data mezi různými funkčními jednotkami způsobem, jaký požaduje uživatel s malými nebo žádnými znalostmi jedinečných charakteristik těchto jednotek.

36 Zdroj: http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf

37 V souladu se Směrnicí Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017

Košík