GDPR návod – V jakém vztahu jsou obecná pravidla pro výkon práv subjektu údajů vůči přenositelnosti údajů?
IV. V jakém vztahu jsou obecná pravidla pro výkon práv subjektu údajů vůči přenositelnosti údajů?
Jaké předchozí informace mají být subjektu údajů poskytnuty?
Aby bylo vyhověno novému právu na přenositelnost údajů, musí správci informovat subjekty údajů o jeho existenci. V případech, kdy předmětné osobní údaje jsou shromažďovány přímo od subjektu údajů, musí se tak stát „v okamžiku získání osobních údajů“. Pokud osobní data nebyla získána od subjektu údajů, musí správce poskytnout informaci jak požadováno v článcích 13, odst. 2, písm. b a 14, odst. 2, písm. c Obecného nařízení.
V případech, kdy „osobní údaje nebyly získány od subjektu údajů“, musí být podle článku 14, odst. 3 informace poskytnuta v přiměřené lhůtě po získání údajů, ale nejpozději do jednoh oměsíce, v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů nebo při zpřístupnění osobních údajů třetím stranám24.
Při poskytování požadovaných informací musí správci zajistit, aby právo na přenositelnost bylo vymezeno vůči dalším právům. Proto WP29 především doporučuje správcům, aby jasně vysvětlili rozdíl mezi druhy dat, které subjekt údajů může obdržet při využití práva na přístup nebo přenositelnost.
Kromě toho WP29 doporučuje, aby správci vždy uváděli informaci o právu na přenositelnost ještě předtím, než subjekty údajů zruší jakýkoli případný účet. To uživatelům umožní získat před ukončením smlouvy přehled o svých osobních datech a snadno tyto údaje přenést do vlastních zařízení nebo jinému poskytovateli.
A konečně, WP29 doporučuje jako dobrou praxi „přijímajícím“ správcům, aby subjektům údajů poskytli úplnou informaci o povaze osobních údajů nezbytných pro výkon svých služeb. Vedle posílení poctivosti zpracování to uživatelům umožní omezit rizika pro třetí strany a rovněž jakoukoli zbytečnou duplicitu osobních údajů v případech, kdy žádný další subjekt údajů není dotčen.
Jak správce může identifikovat subjekt údajů před vyřízením jeho žádosti?
Obecné nařízení nestanoví žádné normativní požadavky ohledně ztotožnění subjektu údajů. Nicméně, Obecné nařízení v článku 12, odst. 2 uvádí, že správce nemá odmítnout žádost subjektu údajů za účelem výkonu jeho práv (včetně práva na přenositelnost údajů), ledaže zpracovává osobní údaje pro účely nevyžadující identifikaci subjektu údajů a může doložit, že není schopen totožnost subjektu údajů zjistit. V takových situacích ovšem může subjekt údajů, jak stanoveno v článku 11, odst. 2, poskytnout více informací, aby umožnil svoji identifikaci. Navíc, v článku 12, odst. 6 stojí, že pokud má správce důvodné pochybnosti o totožnosti subjektu údajů, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů. Poskytne-li subjekt údajů dodatečnou informaci umožňující jeho identifikaci, nesmí správce odmítnout danou žádostí se zabývat. Jsou-li informace nebo data shromážděná online spojena s pseudonymy nebo jedinečnými identifikátory, mohou správci zavést náležité postupy umožňující jednotlivci podat žádost na přenos údajů a získat data, která se ho týkají. Správci musí každopádně zavést postupy autentizace za účelem jasného zjištění totožnosti subjektu údajů požadujícího svá osobní data nebo vůbec uplatňujícího práva zaručená Obecným nařízením.
V mnoha případech už takové postupy existují. Často dochází k autentizaci subjektů údajů správcem již před uzavřením smlouvy nebo obdržením jejich souhlasu se zpracováním. Osobní údaje použité k registraci jednotlivce pro dané zpracování lze tedy následně použít pro ztotožnění subjektu údajů pro účely přenositelnosti25.
V těchto případech může předchozí identifikace subjektu údajů vyžadovat ověření právní identity, přičemž takové ověření nemusí být relevantní pro posouzení vztahu mezi daty a dotyčným jednotlivcem, protože vazba na úřední nebo právní identitu neexistuje. Možnost správce, požadovat dodatečné informace k posouzení totožnosti dané osoby, zásadně nemůže vést k nepřiměřeným požadavkům a ke sběru osobních údajů, jež nejsou relevantní nebo nezbytná pro prohloubení vazby mezi jednotlivcem a požadovanými osobními údaji.
V mnoha případech už byly takové postupy autentizace ustaveny. Často například jsou používána uživatelská jména a hesla umožňující jednotlivcům přístup ke svým datům v emailových schránkách, účtech na sociálních sítích nebo účtech používaných pro různé další služby, z nichž některé se uživatelé rozhodli využívat, aniž by odhalili plné jméno nebo totožnost.
Pokud dělá problém objem dat požadovaných subjektem údajů přenést po internetu, je možné, aby správce namísto povolení prodloužit lhůtu k vyřízení žádosti na maximálně tři měsíce26, zvážil alternativní prostředky k poskytnutí údajů, jako je kontinuální přenos (streaming) nebo uložení dat na CD, DVD nebo jiné fyzické nosiče nebo přenos osobních údajů přímo k jinému správci (viz Obecné nařízení, článek 20, odst. 2, pokud je to technicky proveditelné).
V jaké lhůtě musí být žádost o přenos vyřízena?
Článek 12, odst. 3 požaduje, aby správce poskytnul subjektu údajů informaci „o přijatých opatřeních“ „bez zbytečného odkladu“ a v každém případě „do jednoho měsíce od obdržení žádosti“. Tuto měsíční lhůtu lze prodloužit na maximálně tři měsíce u složitých případů za podmínky, že subjekt údajů byl do měsíce od podání původní žádosti informován o důvodech odkladu.
Správci provozující služby informační společnosti budou pravděpodobně lépe vybaveni, aby dokázali vyhovět žádostem ve velmi krátkém termínu. Pro naplnění očekávání uživatelů a s ohledem na osvědčené postupy by bylo dobré stanovit časový rámec, v němž typicky lze žádost o přenos údajů vyřídit a informovat o něm subjekty údajů.
Správci, kteří odmítnou žádosti o přenos vyhovět, musí podle článku 12, odst. 4 subjekt údajů informovat „o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu“, nejpozději do jednoho měsíce po obdržení žádosti.
Správci musí dodržet povinnost odpovědět ve stanovených lhůtách, byť by šlo o odmítnutí. Jinými slovy, správce nemůže zůstat nečinný, pokud je konfrontován se žádostí o přenos údajů.
V jakých případech lze žádost odmítnout nebo zpoplatnit?
Podle článku 12 nesmí správci účtovat poplatek za poskytnutí osobních údajů, pokud správce neprokáže zjevnou neodůvodněnost nebo nadbytečnost žádostí, „zejména protože se opakují“. U služeb informační společnosti specializovaných na automatizované zpracování osobních dat, může zavedení automatizovaných systémů, jako jsou rozhraní pro programování aplikací (API)27 usnadnit komunikaci se subjektem údajů a tím snížit zátěž vyplývající z opakovaných žádostí. Případů, kdy správce bude schopen odůvodnit zamítnutí žádosti, by mělo být jen velmi málo a to i v případě násobných žádostí o přenos.
Kromě toho by celkové náklady na vyřízení žádosti o přenos údajů neměly hrát roli při posuzování, zda je žádost nadbytečná. Článek 12 Obecného nařízení se ve skutečnosti zabývá žádostmi podanými jedním subjektem údajů a nikoliv celkovým počtem žádostí, které správce obdrží. Ve výsledku tedy by celkové náklady na zavedení daného systému neměly být přeneseny na subjekty údajů, ani by neměly sloužit jako důvod k odmítnutí žádostí o přenos.
Mohlo by vás zajímat
24 Článek 12 vyžaduje, aby správce poskytnul „veškerá sdělení […] stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, zejména pokud se jedná o informace určené konkrétně dítěti.“
25 Pokud se zpracování dat týká například uživatelského účtu, může být poskytnutí uživatelského jména a hesla postačující k identifikaci subjektu údajů.
26 Článek 12, odst. 3: „Správce poskytne […] informace o přijatých opatřeních“.
27 Rozhraní pro programování aplikací (Application Programming Interface – API) jsou rozhraní aplikací nebo webových služeb dávaných správci k dispozici, aby se jiné systémy nebo aplikace mohly propojit a pracovat s jejich systémy.
zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017