GDPR návod – Kdy je právo na přenositelnost uplatnitelné?
III. Kdy je právo na přenositelnost uplatnitelné?
Na které operace zpracování se právo na přenositelnost vztahuje?
Podle Obecného nařízení musí mít správce pro zpracování osobních údajů jasný právní základ.
V souladu s článkem 20, odst. 1, písm. a) Obecného nařízení musí zpracování, aby se na ně vztahovalo právo na přenositelnost údajů, být založeno:
- na souhlasu subjektu údajů (podle článku 6, odst. 1, písm. a) nebo podle článku 9, odst. 2, písm. a), jedná-li se o zvláštní kategorie osobních údajů), nebo
- na smlouvě jejíž smluvní stranou subjekt údajů je, podle článku 6, odst. 1, písm. b.
Jako další příklad údajů podléhajících přenositelnosti lze uvést tituly knih zakoupených jednotlivcem v internetovém knihkupectví nebo seznam písní poslouchaných přes internetovou hudební službu, neboť tyto informace jsou zpracovány na základě plnění smlouvy, jehož stranou je subjekt údajů.
GDPR nařízení neustanovuje obecné právo na přenositelnost pro případy, kde zpracování osobních údajů není založeno na souhlasu nebo smlouvě16. Například, finanční instituce nemusí vyhovět žádosti o přenos osobních údajů zpracovávaných v rámci jejich povinnosti prevence a odhalování případů praní špinavých peněz a dalších peněžních zločinů; stejně tak se přenositelnost údajů nevztahuje na pracovní kontakty zpracovávané v rámci obchodních vztahů v případech, kdy toto zpracování není opřeno ani o souhlas subjektu údajů, ani o smlouvu, kteréžto je smluvní stranou.
Jedná-li se o zaměstnanecká data, právo na přenositelnost údajů se typicky uplatní pouze, pokud je zpracování založeno na smlouvě, jejíž stranou subjekt údajů je. V této souvislosti se vyskytne řada případů, kdy souhlas nebude možné považovat za svobodně udělený vzhledem k nerovnovážnému postavení zaměstnavatele a zaměstnance17. Některá zpracování personalistických dat jsou opřena o právní důvod legitimního zájmu nebo jsou nezbytná pro splnění zvláštních, zákonem stanovených povinností, v oblasti zaměstnávání. V praxi se právo na přenositelnost v oblasti personalistiky bude nepochybně týkat mnoha jiných operací (jako třeba výplaty a náhrady, vnitřní nábor zaměstnanců), avšak v mnoha jiných situacích bude potřeba případ od případu ověřit, zda jsou splněny všechny podmínky týkající se práva na přenositelnost údajů.
Kromě toho, právo na přenositelnost údajů se vztahuje pouze na zpracování prováděná „automatizovanými prostředky“ a netýká se tedy většiny papírových svazků.
Jaké osobní údaje musí být zahrnuty?
Podle článku 20, odst. 1 musí data, aby spadala pod právo na přenositelnost:
- být údaji, které se týkají subjektu údajů
- být údaji, které subjekt údajů poskytl správci
Článek 20, odst. 4 dále stanoví, že splnění tohoto práva nemá mít negativní dopad do práv a svobod jiných osob.
První podmínka: osobní údaje týkající se subjektu údajů
Žádost podle práva na přenositelnost se může vztahovat jen na osobní údaje. Proto veškerá data, která jsou anonymní18 nebo se netýkají subjektu údajů, nespadají pod právo na přenositelnost. Avšak na pseudonymní údaje, které mohou být jasně vztaženy k subjektu údajů (např. pokud subjekt údajů poskytne příslušný identifikátor, srovnej s článkem 11, odst. 2) se přenositelnost zcela jistě vztahuje.
V mnoha případech správci zpracovávají informace obsahující osobní údaje několika subjektů údajů. V takovém případě nemusí brát správci příliš restriktivně větu „osobní údaje týkající se subjektu údajů“. Například záznamy telefonních hovorů, textování mezi osobami nebo hlasových služeb (VoIP) mohou obsahovat (ve výpisu volání) informace o třetích stranách účastnících se příchozích nebo odchozích hovorů. Ačkoliv záznamy v takovém případě budou obsahovat osobní údaje týkající se více osob, zákazník by je měl na základě žádosti podle páva přenositelnosti dostat, neboť tyto záznamy se (také) týkají subjektu údajů. Pokud však mají být tyto výpisy předány novému správci, neměl by je tento nový správce zpracovávat za žádným účelem, který by nepříznivě dopadl do práv a svobod třetích stran (viz níže: třetí podmínka).
Druhá podmínka: data poskytnutá subjektem údajů
Druhá podmínka zužuje rozsah dat poskytnutých subjektem údajů.
Existuje mnoho příkladů dat, která jsou vědomě a aktivně poskytnuta subjektem údajů (např. emailová adresa, uživatelské jméno, věk) prostřednictvím online formuláře. Nicméně údaje „poskytnuté“ subjektem údajů jsou rovněž výsledkem sledování jeho činnosti. WP29 se proto domnívá, že má-li toto nové právo být plnohodnotné, měl by výraz „poskytnutý“ zahrnovat také osobní údaje získané sledováním činnosti uživatelů, jako jsou surová data zpracovávaná chytrými měřiči nebo jinými typy propojených předmětů19, logy (záznamy) činností, historie navštívených webových stránek a vyhledávání na internetu.
Tato posledně jmenovaná kategorie nezahrnuje údaje vytvořené správcem (užitím vysledovaných nebo vstupních dat) jako je uživatelský profil sestavený na základě analýzy surových dat shromážděných z chytrého měření.
Pro určení, zda právo na přenositelnost je uplatnitelné, lze rozlišovat mezi různými kategoriemi dat v závislosti na jejich původu. Následující kategorie dat mohou být považovány za „poskytnuté subjektem údajů“:
- data aktivně a vědomě poskytnutá subjektem údajů (např. emailová adresa, uživatelské jméno, věk atd.),
- vysledovaná data poskytnutá subjektem údajů na základě využívání služby nebo zařízení. Sem může patřit třeba vyhledávací historie, provozní a lokační údaje nebo také surová data jako tepová frekvence sbíraná pomocí nositelného zařízení.
Naproti tomu, dovozená nebo odvozená data jsou vytvářena správcem na základě údajů „poskytnutých subjektem údajů“. Například výsledek zdravotního posudku uživatele nebo profilu vytvořeného v souvislosti s řízením rizika a finančních předpisů (např. přidělení úvěrového skóre nebo vyhovění předpisům proti praní špinavých peněz) nemůže sám o sobě být považován za „poskytnutá“ subjektem údajů. I když taková data mohou být součástí profilu uchovávaného správcem a jsou dovozena nebo odvozena analýzou dat poskytnutých subjektem údajů (kupříkladu prostřednictvím jeho činnosti), nebudou tato data typicky brána jako „poskytnutá subjektem údajů“ a tedy se na ně toto nové právo nebude vztahovat20.
Obecně, vzhledem k záměru práva na přenositelnost, musí být výraz „poskytnutý subjektem údajů“ vykládán široce s vyloučením pouze kategorií „dovozená data“ a „odvozená data“, které zahrnují osobní údaje vytvářené správcem (např. výsledky algoritmických postupů). Správce může tato dovozená data vyjmout, měl by však zahrnout všechny další osobní údaje poskytnuté subjektem údajů cestou technických prostředků daných k dispozici správcem.21
Slovo „poskytnutý“ pokrývá tedy osobní údaje vztahující se k činnosti subjektu údajů nebo které jsou výsledkem sledování chování jednotlivce, nikoliv však následné analýzy tohoto chování. Naproti tomu, osobní údaje, které správce vytvořil v rámci zpracování, např. v procesu personalizace nebo doporučení podle kategorizace nebo profilování uživatele, jsou data odvozená nebo dovozená z údajů poskytnutých subjektem údajů a právo na přenositelnost se tak na ně nevztahuje.
Třetí podmínka: právo na přenositelnost nemá nepříznivě ovlivňovat práva a svobody ostatních
Ve vztahu k osobním datům týkajících se jiných subjektů údajů:
Třetí podmínka má zamezit získávání a přenosu informací zahrnujících osobní údaje jiných subjektů údajů (jež neposkytly souhlas) novému správci v situacích, kdy by tato data mohla být zpracována způsobem nepříznivě dopadajícím do práv a svobod jiných subjektů údajů (Obecné nařízení, článek 20, odst. 4)22.
Takový nepříznivý dopad by mohl nastat třeba při přenosu dat od jednoho správce jinému podle práva na přenositelnost, pokud by to zabránilo třetím stranám uplatnit svá práva coby subjekty údajů podle Obecného nařízení (právo na informace, přístup, atd.).
Subjekt údajů, který spustí přenos dat jinému správci, buď udělí souhlas se zpracováním novému správci, nebo s ním vstoupí do smluvního vztahu. Pokud jsou v datovém souboru údaje třetích stran, je třeba dále zdůvodnit právoplatnost zpracování. Například, podle článku 6 odst. 1, písm. f oprávněným zájmem správce může být poskytování služby subjektu údajů, která tomuto subjektu umožní osobní údaje zpracovávat v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti. Zpracovatelské operace prováděné subjektem údajů v souvislosti s jeho osobní činností, která se týká třetích stran a může na ně mít dopad, zůstávají potud v jeho odpovědnosti, pokud o tomto zpracování žádným způsobem nerozhoduje správce.
Webmailová služba, například, může umožňovat sestavení seznamu kontaktů subjektu údajů, přátel, příbuzných, zkrátka osob z rodinného i širšího okruhu. Tato data se vztahují (a jsou vytvořena) identifikovatelným jednotlivcem, který si přeje uplatnit právo na přenositelnost, proto by správci měli subjektu údajů přenést celý adresář příchozích a odchozích e-mailů.
Obdobně bankovní účet subjektu údajů může obsahovat osobní údaje související s transakcemi nejenom držitele účtu, ale také informace o dalších jednotlivcích (pokud například převedli peníze na účet daného držitele). V této souvislosti je nepravděpodobné, že by práva a svobody těchto třetích stran byly nepříznivě ovlivněny předáním bankovní historie držiteli účtu na základě žádosti o přenos – budou-li data v obou jmenovaných případech použita ke stejnému účelu (např. jako kontaktní adresa používaná pouze subjektem údajů nebo jako přehled historie bankovního účtu subjektu údajů).
Naopak, práva a svobody by nebyly respektovány, pokud by je nový správce použil jako seznam kontaktů pro jiné účely, např. pokud by přijímající správce použil osobní údaje jiných jednotlivců obsažených v adresáři subjektu údajů pro účely marketingu.
Aby se předešlo nežádoucím dopadům na dotčené třetí strany, je zpracování takových osobních údajů jiným správcem povoleno pouze v rozsahu údajů, které jsou ve výhradním držení žádajícího uživatele a jsou spravovány jen pro čistě osobní nebo domácí potřeby. Přebírající „nový“ správce (kterému data mohou být předána na vyžádání uživatele) nesmí použít předaná data třetích stran pro vlastní účely, například k marketingu výrobků a služeb těmto dalším subjektům údajů – třetím stranám. Tyto informace by neměly být použity například pro rozšíření profilu subjektu údajů – třetí strany a pro vytváření obrazu jeho společenského prostředí bez vědomí a souhlasu tohoto subjektu údajů23. Nelze je použít ani pro získání informací o těchto třetích stranách a vytváření konkrétních profilů, dokonce ani v případech, kdy jejich osobní údaje jsou už v držení správce. Jinak by takové zpracování mohlo být nezákonné nebo nečestné, zejména pokud dotčené třetí strany by nebyly informovány a neměly možnost uplatnit svá práva coby subjekty údajů.
Osvědčenou praxí pro správce (odesílající i přijímající) má také být zavádění nástrojů umožňujících subjektům údajů vybrat příslušné údaje dalších jednotlivců, pokud existují, které si přejí dostat, přenést nebo vyloučit. To bude další pomůckou omezující rizika pro třetí strany vyplývající z eventuálního přenosu jejich osobních údajů.
Správci by také měli zavést mechanismus souhlasu pro ostatní dotčené subjekty údajů k usnadnění přenosu dat v případech, kdy tyto strany jsou ochotny udělit souhlas, například když i oni si přejí přenést své údaje jinému správci. Taková situace může vzniknout kupříkladu u sociálních sítí, je však na správcích, zda se rozhodnou postupovat v duchu osvědčené praxe.
Ve vztahu k datům podléhajícím ochraně duševního vlastnictví a obchodního tajemství:
Práva a svobody jiných jsou zmíněny v článku 20, odst. 4. I když se nevztahují přímo na přenositelnost údajů, lze ho chápat jako zahrnující „obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Byť by tato práva měla být zvážena před vyřízením žádosti o přenos údajů, „zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací“. Dále by správce neměl odmítnout žádost o přenos údajů z důvodu porušení jiného smluvního práva (například nevyrovnaný dluh nebo obchodní spor se subjektem údajů).
Právo na přenositelnost údajů nedává jednotlivci právo zneužít informace způsobem, který by mohl být kvalifikován jako nečestná praktika nebo by zakládal porušení práv duševního vlastnictví.
Možné obchodní riziko ovšem nemůže samo o sobě sloužit jako záminka pro odmítnutí žádosti o přenos údajů, přičemž správci mohou předat subjektem údajů poskytnutá osobní data způsobem, který nezpůsobí únik informací chráněných obchodním tajemstvím nebo právy duševního vlastnictví.
Mohlo by vás zajímat
16 Viz recitál 68 a článek 20, odst. 3, Obecného nařízení. Článek 20, odst. 3 a recitál 68 stanoví, že přenositelnost údajů se nevztahuje na případy, kdy zpracování údajů je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen nebo pokud správce plní veřejné nebo právně stanovené povinnosti. V takových případech není správce povinen vyhovět požadavku přenositelnosti. Je však osvědčeným postupem ustavit procedury pro automatické vyřizování žádostí o přenos podle zásad stanovených pro přenositelnost údajů. Příkladem může být státní služba umožňující snadné stažení dříve podaných daňových přiznání. Přenositelnost údajů jako příklad osvědčené praxe u případů zpracování založených na nezbytnosti v legitimním zájmu a stávající dobrovolné modely jsou pojednány na stránkách 47 – 48 Stanoviska 6/2014 k pojmu o oprávněných zájmech (WP217) vypracovaného skupinou WP29.
17 Jak WP29 nastínila ve stanovisku 8/2001 ze dne 13. září 2001 (WP48).
18 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp216_en.pdf
19 Subjekt údajů, možností dostat data vyplývající ze sledování jeho činnosti, může také získat lepší přehled o správcem nabízeném výběru ohledně rozsahu sledovaných dat a ocitne se v lepší pozici při rozhodování, která data chce poskytnout pro získání podobné služby a získá lepší povědomí o míře respektu vůči jeho soukromí.
20 Nicméně, subjekt údajů může i nadále využít svého práva „získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům“ stejně jako má právo na informaci o skutečnosti, „že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů“ podle článku 15 Obecného nařízení (který pojednává o právu na přístup).
21 Patří sem veškerá data sesbíraná o subjektu údajů během činnosti, za jejímž účelem jsou data shromažďována, jako třeba transakční historie nebo přístupové logy. Data shromážděná cestou sledování a nahrávání (např. aplikace zaznamenávající srdeční tep nebo technologie sledující zvyklosti uživatele internetového vyhledávače) by také měla být považována za „jím poskytnutá“, byť tato data nejsou vědomě nebo aktivně předávána.
22 Recitál 68 říká, že „pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.“
23 Služba sociálních sítí (social networking service) by neměla rozšiřovat profil svých členů použitím osobních údajů posílaných subjektem údajů v rámci práva na přenositelnost, aniž by respektovala zásadu transparentnosti a zajistila, že konkrétní zpracování bude mít náležitou právní oporu.
zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017