Nejedná se o revoluci [1], nýbrž o evoluci v ochraně osobních údajů. Změny nejsou tolik rozsáhlé, jak by se mohlo podle množství publikovaných příspěvků, nejen v odborných médiích, zdát, nicméně existují oblasti, do kterých GDPR přináší zcela novou úpravu, která samozřejmě není prověřena praxí, a už vůbec s tím spojené problémy neřeší judikatura. V takovém případě je třeba zavést novou praxi založenou na argumentaci doktrinálního výkladu.
Tento článek se bude zabývat právě jednou z výše uvedených oblastí, a sice zpracováním osobních údajů pocházejících z veřejného sektoru. Nejdříve se stručně seznámíme s pojmem informací veřejného sektoru a rozdělíme si je na jednotlivé typy pro potřeby tohoto článku. V následující části si vyložíme, proč je zpracování informací veřejného sektoru oblastí, do které GDPR přináší novou úpravu, a jaké praktické problémy (povinnosti správce) jsou s tím spojeny. Podstatnou částí článku pak bude argumentačně odůvodněný návrh praktického řešení uvedených problémů. V závěru poté navržená řešení shrneme.
Informace veřejného sektoru
Za informace veřejného sektoru se považují[2] informace, se kterými veřejné instituce pracují, zejména ty, které v rámci veřejného sektoru vznikají (např. rozhodnutí správních orgánů, územní plány, statistická data, seznamy nemovitých věcí, osoby oprávněné jednat za právnické osoby, apod.). Tyto informace jsou poskytovány veřejnosti zejména z důvodu práva na kontrolu činnosti veřejné správy.[3] Dále jsou zveřejňovány informace výrazně usnadňující (prakticky umožňující) právní styk (např. informace zveřejňované v obchodním rejstříku, nebo v katastru nemovitostí). Posledním důvodem poskytováním informací veřejného sektoru veřejnosti je jejich komerční využití pro usnadnění podnikání (např. ekonomické ukazatele, statistické údaje, apod.), ale i pro podnikání samotné (spočívající v nabídce výsledků zpracování informací veřejného sektoru).
Pro účely tohoto článku si informace veřejného sektoru rozdělíme podle způsobu poskytování na následující kategorie:
a) veřejné neomezené: informace veřejná správa zveřejňuje bez jakéhokoli omezení, tj. přístup má kdokoli ke všem informacím bez dalších podmínek. Tyto informace jsou poskytovány obvykle prostřednictvím internetu (např. údaje obchodního rejstříku, insolvenčního rejstříku, registru živnostenského podnikání, údaje o nemovitých věcech a jejich vlastnících, seznamy adresních míst, neplatných osobních dokladů, atd.).
b) veřejné za poplatek: informace za jejíž poskytnutí se platí poplatek, jinak se poskytují bez jakéhokoli omezení stejně jako informace v předchozí kategorii (např. údaje rejstříku exekucí, seznamu listin o manželském majetkovém režimu, podkladové listiny k zápisu do katastru nemovitostí, atd.).
c) veřejné na žádost: informace, které jsou poskytovány na základě individuální žádosti, případně i za poplatek. Žádosti jsou prověřovány pouze z hlediska, zda jde o poskytované informace, nebo jde (byť z části) o informace, které se žadateli neposkytují (např. zasahují do cizích oprávněných zájmů), případně, zda je poskytnutí nákladné a je třeba stanovit poplatek. Zásadně se tedy takto poskytují všechny informace, a to podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, který stanoví nejen proces poskytování informací, ale také výjimky, kdy informaci nelze poskytnout.
d) neveřejné: jde o informace, které se poskytují (tedy nikoli ty, co se neposkytují, např. informace utajované) pouze osobě, která splní určité podmínky, typicky účastníku řízení, osobě, která osvědčí právní zájem, nebo osobě, o jejíž osobní údaje jde.
Informace poskytnuté veřejnou institucí jsou jejich příjemci využívány pro různé účely. Tyto účely lze rozdělit do následujících kategorií:
a) informace používané pro vlastní potřebu příjemce: příjemce využívá získané informace pouze pro své soukromé potřeby nebo pro potřeby svého podnikání, dále je nijak nezveřejňuje ani jinak nepředává. Z dalších úvah vyloučíme zpracování informací pro vlastní soukromou potřebu, jelikož na takové zpracování se GDPR nevztahuje.[4]
b) informace poskytované příjemcem dalším příjemcům za stejným účelem jako je účel jejich poskytování veřejným subjektem: konečný příjemce tak od příjemce získá stejné informace, jaké mohl získat přímo od veřejného subjektu. Smyslem takového „přeposkytování“ informací bývá odstranění určité (technické) překážky. Zjednodušení přístupu k těmto informacím může spočívat ve snadnějším vyhledávání relevantní informace (kvalitnější vyhledávací funkce, více možností vyhledávání), lepším formátu poskytované informace (např. strojově zpracovatelný formát), snížením poplatku za poskytnutí informace využívající nižších poplatků při vyšším množství požadovaných informací, nebo automatizaci vyhledávací funkce (tzv. „hlídací pes“ reagující na změnu informací podle zadaných kriterií).
c) informace příjemcem zpracované a poskytované za jiným účelem než byl původní účel jejich poskytnutí: např. sdružování údajů z různých zdrojů, vytváření profilů subjektů údajů, ekonomické analýzy, statistická zjišťování, atd.
Povinnosti správce osobních údajů získaných z informací veřejného sektoru
Jestliže správce zpracovává osobní údaje z informací veřejného sektoru, má stejné povinnosti jako jakýkoli jiný správce zpracovávající osobní údaje. V této části článku se seznámíme se specifiky povinností při zpracování informací veřejné správy a představíme řešení praktických problémů s tím spojených.
Titul
Každý správce musí stanovit účel zpracování[5] osobních údajů a k tomu přiřadit odpovídající titul.[6] Podle dosavadní právní úpravy je jedním z titulů zpracování osobních údajů zpracování oprávněně zveřejněných údajů.[7] Tento titul již však podle GDPR nebude existovat. Správce tak musí zpracování opřít o titul jiný, nejčastěji pravděpodobně zpracování pro účely oprávněných zájmů správce.[8]
Při vážení zájmů pro účely ověření zákonnosti tohoto titulu je mimo obchodního (či jiného oprávněného) zájmu správce možné vzít v úvahu také zájem veřejnosti na zpracování, a tedy přínos tohoto zpracování pro veřejnost.[9] Jestliže totiž správce dále poskytuje neomezeně získané veřejné informace za stejným účelem, za jakým byly zveřejněny, vykonává pouze to, co má vykonávat přímo veřejná instituce. Pokud je taková služba potřebná, znamená to, že veřejná instituce nevykonává svou informační povinnost dostatečně. Pozitivním následkem pro veřejnost je tedy kompenzace nedostatečnosti výkonu informační povinnosti veřejnou institucí. Vzhledem k tomu, že velká část informací zveřejňovaných veřejnými institucemi slouží příjemcům primárně k ochraně a vymáhání jejich práv a oprávněných zájmů, díky zpracování těchto informací správcem se ochrana a vymáhání práv a oprávněných zájmů veřejnosti stává efektivnější.[10] Obdobný pozitivní efekt pro veřejnost má poskytování informací veřejných za poplatek, pokud poplatek slouží pouze ke krytí nákladů na poskytnutí informace.
Pokud správce poskytuje zpracované informace pro jiný účel než byly původně poskytnuty, rovněž zde lze často nalézt pozitivní vliv pro veřejnost, např. zveřejnění určitých takto získaných osobních údajů v médiích může přispívat ke kontrole výkonu veřejné moci.[11] Není to již však vždy nutné.
Pozitivní vliv zpracování údajů pro veřejnost je rovněž závažným oprávněným důvodem pro zpracování v případě uplatnění námitky subjektem údajů podle čl. 21 GDPR. Pokud by totiž tento argument nebyl považován za závažný oprávněný důvod, zpracovávané údaje by byly po uplatnění námitek neúplné, a tedy nespolehlivé. Nedostatečnost výkonu informační povinnosti veřejným subjektem by tak nebyla kompenzována a ochrana a vymáhání práv by se stala ještě méně efektivní, neboť pokud by příjemce spoléhal na úplnost zpracovávaných informací, neexistenci informace odstraněné na základě námitky podle čl. 21 GDPR by mohl považovat za neexistenci informace vůbec.[12]
U informací veřejných na žádost a informací veřejných za poplatek, který má účel regulační, tedy omezuje množství zveřejněných informací a jejich příjemců, je třeba při vážení zájmů zohlednit také zásah do práv a svobod subjektů údajů spočívající v rozšíření informace, resp. okruhu (byť potenciálně) informovaných osob (pokud nejsou informace zpracovávány pouze pro vlastní potřebu správce) a s tím spojené negativní následky.[13] V takových případech je tedy třeba analyzovat, zda se mění okruh potenciálních příjemců informace z praktického hlediska. Je totiž možné, že teoreticky se tento okruh nemění, jelikož každý může o informaci požádat, případně zaplatit poplatek, ale při zpracování informací správcem se může okruh prakticky rozšířit i o ty příjemce, kteří by o informaci nepožádali, případně poplatek nezaplatili.
Pokud se jedná o informace poskytované neveřejně, jejich další poskytování je jednoznačně rozšířením okruhu potenciálních příjemců. V tomto případě tedy nastávají s tímto spojené negativní následky vždy. Tyto negativní následky musí být vyváženy dostatečnými oprávněnými zájmy správce a důležitými přínosy pro společnost.
Zabezpečení
Správce osobních údajů má povinnost zpracovávané osobní údaje zabezpečit.[14] Míra zabezpečení musí mj. odpovídat různě pravděpodobným a různě závažným rizikům pro práva a svobody subjektů údajů (jde o jeden z prvků zásady rozumné dostatečnosti). Pokud správce zpracovává osobní údaje, které jsou poskytovány veřejně neomezeně, nemusí zavádět žádná opatření pro zabezpečení důvěrnosti těchto údajů. Získání zpracovávaných údajů neoprávněně třetí osobou (např. útočníkem) nemůže znamenat žádný zásah do práv a svobod subjektů údajů, neboť tato třetí osoba má možnost tyto jejich údaje získat oprávněně a snadněji přímo od veřejné instituce. Přiměřeně to platí i pro údaje poskytované za poplatek a na žádost, případně pro údaje poskytované přímo správcem (riziko hrozí nanejvýše obchodním zájmům správce, pokud údaje poskytuje za poplatek). Únik takových osobních údajů by tedy neznamenal riziko pro práva a svobody fyzických osob a takový bezpečnostní incident by nepodléhal ohlašovací povinnosti. [15]
Ztráta zpracovávaných osobních údajů pak obvykle neznamená riziko pro subjekty údajů (výjimkou je např. situace, kdy si správce ověřuje oprávnění jednat za právnickou osobu ve své databázi, která čerpá informace z obchodního rejstříku a při ztrátě těchto údajů by oprávněné fyzické osobě neumožnil za právnickou osobu vůči němu jednat), ale pro správce a jejich zákazníky ano. Zabezpečení by se tedy mělo zaměřit na nejvyšší riziko pro subjekty údajů - a to narušení integrity dat. Pokud by k němu došlo, mohlo by to pro subjekty údajů znamenat, že s nimi budou spojovány negativní informace, které se jich netýkají (např. o insolvenci), nebo naopak s jejich údaji bude spojována jiná osoba (např. jednání za právnickou osobu). Zpracování již dříve oprávněně zveřejněných osobních údajů tedy neznamená rezignaci na jejich ochranu, ale zaměření se na ochranu relevantní.
[1] např. viz POMAIZLOVÁ, Karin, Monika FÜRSTOVÁ. GDPR – revoluce, nebo rozvedení stávajícího? Bulletin advokacie, Praha: Česká advokátní komora, 2017, roč. 2017, č. 9, s. 15-24. ISSN 1210-6348.
[2] POLČÁK, Radim. Informace veřejného sektoru a jejich další komerční využití. Veřejná správa, Praha: Ministerstvo vnitra ČR, 2008, roč. 2008, č. 7, s. 4-7. ISSN 1213-6581.
[3] čl. 17 odst. 5 Listiny základních práv a svobod.
[4] Čl. 2 odst. 2 písm. c) GDPR.
[5] Jak plyne z čl. 5 odst. 1 písm. b) GDPR.
[7] Podle § 5 odst. 2 písm. d) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů
[8] podle čl. 6 odst. 1 písm. f) GDPR
[9] WP29. Stanovisko č. 6/2014 ze dne 9. dubna 2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES. 2014, s. 27 an.
[10] Například insolvenční rejstřík zveřejňuje informace o dlužnících a jejich insolvenčních řízeních. Věřitelé jsou povinni přihlásit své pohledávky ve lhůtě vázané na zveřejnění rozhodnutí v insolvenčním rejstříku, jinak se k jejich pohledávkám nepřihlíží, a v případě úspěšného oddlužení pohledávka dokonce zcela neuspokojená zaniká. Aby věřitel vykonával efektivně ochranu svých práv, musí neustále sledovat insolvenční rejstřík, zda se v něm neobjeví jeho dlužník. To může činit pravidelně (např. jednou týdně) ručně pomocí funkce vyhledávání v insolvenčním rejstříku, nebo využít některý soukromý systém „hlídacího psa“, který tak činí častěji a plně automaticky. Ochrana práv věřitele se tak stává nesrovnatelně efektivnější a dostává se z čistě teoretické roviny do roviny praktické.
[11] Například lze podle informací z obchodního rejstříku zjistit vztahy, které by mohly mít vliv na podjatost rozhodujícího úředníka, nebo tyto informace o společném podnikání může oslabit důvěryhodnost některého politika.
[12] Pokud použijeme opět modelový příklad „hlídacího psa“ insolvenčního rejstříku, věřitelé by se ze automatizovaného systému nedozvěděli o insolvenci svého dlužníka, který podal námitku podle čl. 21 GDPR, přitom sami již ručně insolvenční rejstřík neprohledávají spoléhajíce se na „hlídacího psa“.
[13] Za (regulační) poplatek lze získat vkladovou listinu z katastru nemovitostí. Pokud by správce poskytoval takto získané informace ve formátu kdo a za jakou cenu v poslední době zpeněžil nemovitou věc, může to mít negativní následky pro tyto osoby spočívající ve zvýšeném nebezpečí, že se stanou obětí majetkového, nebo dokonce násilného trestného činu, nebo i pouhého obtěžování žádostmi o materiální pomoc od svého okolí.
Diskuze k článku ()