1. Asociace
  2. Ochrana osobních údajů – GDPR nařízení
  3. GDPR návod – Jaké jsou hlavní prvky přenositelnosti údajů?

GDPR návod – Jaké jsou hlavní prvky přenositelnosti údajů?

II. Jaké jsou hlavní prvky přenositelnosti údajů?

Obecné nařízení definuje právo na přenositelnost údajů v článku 20, odst. 1 následovně:

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil ……“

Právo získat osobní údaje

Přenositelnost údajů je v první řadě právo subjektu údajů získat určitý podsoubor osobních údajů, jež se ho týkají, zpracovaných správcem a uchovávat je pro další osobní použití. Uložena mohou tato data být na soukromém zařízení nebo v soukromém cloudu, aniž by nutně musela být předána jinému správci.

V tomto ohledu přenositelnost údajů doplňuje právo na přístup. Jedna zvláštnost přenositelnosti údajů spočívá ve skutečnosti, že nabízí subjektům údajů snadný způsob, jak samy mohou spravovat a znovu využívat osobní údaje. Tyto údaje mají být ve „ve strukturovaném, běžně používaném a strojově čitelném formátu“. Například může mít subjekt údajů zájem získat svůj aktuální playlist (historii poslouchaných skladeb) z hudebního přenosu přes internet, aby zjistil, kolikrát si pustil určitou skladbu nebo se podíval, jakou hudbu si chce koupit nebo poslouchat na jiné platformě. Může také chtít získat přehled kontaktů ze své webmailové aplikace, například kvůli sestavení seznamu svatebních hostů nebo získání informace o nákupech přes různé věrnostní karty, či posouzení své uhlíkové stopy4.

Právo přenést osobní údaje od jednoho správce jinému správci

Článek 20, odst. 1 dále vybavuje subjekty údajů právem přenést osobní údaje od jednoho správce jinému správci „aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil“. Data mohou také být přenesena přímo od jednoho správce druhému na žádost subjektu údajů a je-li to technicky proveditelné (Článek 20, odst. 2). V tomto ohledu recitál 68 vyzývá k podpoře správců při vývoji interoperabilních formátů umožňujících přenositelnost údajů5, aniž by ovšem zakládalo povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování6 . Obecné nařízení však správcům zakazuje klást přenosům překážky.

Tento prvek přenositelnosti údajů v podstatě dává subjektům údajů možnost data nejenom získat a znovu použít, ale také je předat jinému poskytovateli služeb (ve stejném oboru podnikání nebo v jiném). Kromě posílení pozice spotřebitelů zamezením efektu zaháčkování u jednoho poskytovatele (lock-in), je počítáno s přínosem ve smyslu příležitostí pro inovace a sdílení osobních údajů mezi správci chráněným a zabezpečeným způsobem pod kontrolou subjektem údajů7. Přenositelnost údajů může podpořit kontrolované a ohraničené sdílení (ze strany uživatelů) osobních údajů mezi organizacemi a obohatit tak služby a zákaznické zážitky8. Přenositelnost údajů může napomoci přenosu a opětovnému použití osobních údajů uživatelů mezi různými službami, o které mají zájem.

Správcovství

Přenositelnost údajů zaručuje právo získat osobní údaje a zpracovávat je podle přání subjektu údajů9.

Správci reagující na žádost o přenos údajů za podmínek stanovených v článku 20, nejsou odpovědni za zpracování vykonávané subjektem údajů nebo jinou společností, která osobní údaje získala. Jednají jménem subjektu údajů i v případech, kdy osobní údaje jsou přímo přenášeny jinému správci. V tomto ohledu není správce odpovědný za to, že přijímající správce bude v souladu s právními předpisy pro ochranu osobních údajů, neboť odesílající správce není tím, kdo vybírá příjemce. Současně by měl správce zavést opatření zaručující, že bude jednat skutečně v zájmu subjektu údajů. Může například zavést postupy zajišťující, že bude přenášen přesně ten druh dat, jaký si subjekt údajů přeje. To lze splnit získáním potvrzení od subjektu údajů buď před přenosem, nebo ještě dříve, v okamžiku kdy je získán původní souhlas se zpracováním nebo je naplněna smlouva.

Správci reagující na žádost o přenos údajů nemají žádnou konkrétní povinnost kontrolovat a ověřovat kvalitu dat před jejich přenosem. Data by ovšem měla už být přesná a aktualizovaná, podle zásad uvedených v Obecném nařízení v článku 5, odst. 1. Přenositelnost údajů neukládá správci povinnost uchovávat osobní údaje déle, než je nezbytné nebo stanovené konkrétní lhůtou10. Důležité je si uvědomit, že nevzniká žádný dodatečný požadavek uchovávat data po dobu delší, než jinak uplatňované lhůty, jen kvůli případné budoucí žádosti o přenos údajů.

Jsou-li požadované osobní údaje zpracovány zpracovatelem, musí smlouva uzavřená v souladu s článkem 28 Obecného nařízení obsahovat povinnost být „správci nápomocen prostřednictvím vhodných technických a organizačních opatření, (…) reagovat na žádosti o výkon práv subjektu údajů“. Správce by tedy měl ve spolupráci se svými zpracovateli zavést konkrétní postupy pro vyřizování žádostí o přenos dat. V případě společného správcovství by smlouva měla jasně rozdělit mezi jednotlivé správce povinnosti související s žádostmi o přenos dat.

Zároveň platí, že je v odpovědnosti přijímajícího správce11 zajistit, aby předané osobní údaje byly relevantní a nebyly nepřiměřené vzhledem k novému zpracování. Například v případě žádosti týkající se webmailové služby, kdy právo na přenositelnost údajů je využito subjektem údajů k získání emailů a jejich odeslání na zabezpečenou platformu pro archivaci, nepotřebuje nový správce zpracovávat kontaktní údaje adresátů dotyčného subjektu údajů. Není-li tato informace důležitá s ohledem k účelu nového zpracování, neměla by být uchována a zpracována. Přijímající správci každopádně nejsou povinni akceptovat a zpracovat osobní údaje předané na základě žádosti podle práva na přenositelnost. Obdobně, když subjekt údajů požádá o předání informací o svých bankovních transakcích společnosti pomáhající mu s peněžní správou, nemusí nový (přijímající) správce přijmout všechny údaje nebo uchovávat veškeré podrobnosti o bankovních převodech, pokud byly označeny pro účely nové služby. Jinými slovy, akceptovaná a uchovaná by měla být pouze ta data, která jsou nezbytná a vztahují se ke službě poskytované přijímajícím správcem.

Přijímající organizace se stává novým správcem získaných osobních údajů a musí dodržovat zásady uvedené v článku 5 Obecného nařízení. Nový, přijímající správce musí tedy jasně a přímo uvést účel nového zpracování ještě před podáním jakékoli žádosti o předání údajů podle práva na přenositelnost v souladu s požadavky transparentnosti vyložených v článku 1412. Stejně jako u jiných zpracování dat v odpovědnosti správce, musí tento uplatnit zásady stanovené v článku 5, jako je zákonnost, korektnost a transparentnost, účelové omezení, minimalizace údajů, přesnost, celistvost a důvěrnost, omezenost doby uložení a odpovědnost13.

Správci držící osobní údaje by měli být připraveni usnadnit svým subjektům údajů uplatnění práva na přenositelnost údajů. Správci se také mohou rozhodnout přijmout data od subjektu údajů, ale není to jejich povinnost.

Přenositelnost údajů versus ostatní práva subjektu údajů

Pokud jednotlivec uplatňuje právo na přenositelnost údajů, činí tak bez dopadu na jakékoli jiné právo (podobně jako v případě kterýchkoli jiných práv v Obecném nařízení). Subjekt údajů může nadále využívat služby správce a mít z nich prospěch i po uskutečnění operace datového přenosu. Přenositelnost údajů nespouští automaticky výmaz dat14 ze systémů správce a nemá vliv na původní lhůtu pro uchování dat předaných podle práva na přenositelnost. Subjekt údajů může svá práva uplatnit kdykoli po celou dobu, po kterou správce údaje zpracovává.

Stejně tak, chce-li subjekt údajů uplatnit právo na výmaz („právo být zapomenut“ podle článku 17), nemůže správce argumentovat právem na přenositelnost jako důvodem pro odložení nebo odmítnutí požadovaného výmazu.

Zjistí-li subjekt údajů, že data vyžádaná podle práva na přenositelnost neodpovídají plně žádosti, mělo by být plně vyhověno jakémukoli dalšímu požadavku na osobní údaje podle práva na přístup v souladu s článkem 15 Obecného nařízení.

Pokud nějaký právní předpis, evropský nebo členského státu, z jiné oblasti obsahuje nějakou formu přenositelnosti dotčených údajů, musí být podmínky stanovené těmito konkrétními předpisy také zohledněny při vyřizování žádosti o přenos dat podle Obecného nařízení. Pokud je ze žádosti podané subjektem údajů jasné, že jeho záměrem není uplatnit práva podle Obecného nařízení, nýbrž jen podle sektorové legislativy, pak ustanovení Obecného nařízení ohledně přenositelnosti údajů nebudou v případě této žádosti použita15. Na druhé straně, pokud je žádost zaměřena na přenositelnost podle Obecného nařízení, pak taková zvláštní legislativa nemá u žádného správce přednost před obecným uplatněním zásady přenositelnosti údajů, jak je stanovena v Obecném nařízení. Je nutné posoudit, případ od případu, jaký, pokud vůbec, může taková zvláštní legislativa mít vliv na právo na přenositelnost údajů.

Mohlo by vás zajímat

4 Zpracování dat prováděné subjektem údajů může v těchto případech spadat buď do kategorie činnosti v domácnosti, pokud veškeré zpracování je prováděno pod kontrolou pouze subjektu údajů, nebo může být vykonáno jinou stranou, ve prospěch subjektu údajů. V posledně jmenovaném případě by jiná strana měla být považována za správce, byť jen pro pouhý účel uchování osobních údajů a jako taková musí vyhovět zásadám a povinnostem stanoveným v Obecném nařízení.

5 Viz také kapitola V.

6 Zvláštní pozornost je tedy potřeba věnovat formátu přenášených dat, aby bylo zajištěno, že data budou opětovně použitelná, bez velkého úsilí, subjektem údajů nebo dalším správcem. Viz také kapitola V.

7 Viz několik pokusných aplikací v Evropě, například MiData ve Spojeném království, MesInfos/SelfData od FING ve Francii.

8 Takzvané kvantifikované já a internet věcí jsou fenomény ukazující výhody (a rizika) spojování osobních údajů z různých oblastí lidského života, jako je sledování fitness aktivity a kalorického příjmu, což poskytuje úplnější obraz života jednotlivce v jednom jediném souboru.

9 Právo na přenositelnost údajů není omezeno na osobní údaje, které jsou užitečné nebo důležité pro podobné služby poskytované konkurenty správce.

10 V případě výše uvedeném platí, že neuchovává-li správce záznam o uživatelem přehrávaných písních, nemohou tyto osobní údaje být zahrnuty do žádosti o přenos.

11 Tj. toho, který obdrží osobní údaje na základě žádosti podle práva na přenositelnost, kterou subjekt údajů uplatnil vůči jinému správci

12 Kromě toho by nový správce neměl zpracovávat osobní údaje, které nejsou relevantní, přičemž zpracování musí být omezeno jen na to, co je nezbytné pro nové účely a to tehdy, jsou-li osobní údaje součástí širší sady dat předávané v rámci procesu přenositelnosti. Osobní údaje, které nejsou nutné z hlediska účelu nového zpracování, by měly být co nejdříve vymazány.

13 Data obdržená správcem na základě žádosti o přenos mohou být považována za „poskytnutá“ subjektem údajů a mohou být předána znovu v souladu s právem na přenositelnost údajů, v rozsahu takovém, aby byly splněny další podmínky uplatnitelné v rámci tohoto práva (např. právní základ pro zpracování,…).

14 Jak uvedeno v článku 17 Obecného nařízení.

15 Pokud například bude žádost subjektu údajů mířit konkrétně na poskytnutí přístupu k historii jeho bankovního účtu pro poskytovatele služeb informování o účtu za účelem uvedeným ve Směrnici o platebních službách na vnitřním trhu (PSD2), měl by podle ustanovení této směrnice být tento přístup umožněn.

zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017

Košík