Informování
Správce údajů by tedy měl subjekty údajů informovat o zpracování prostřednictvím údajů, které má k dispozici. Přitom platí, že pokud správce identifikační údaje subjektů ke své činnosti nepotřebuje, a tudíž je ani nezpracovává, nemusí je zjišťovat[1] (a zpracovávat) pouze za účelem povinností plynoucích z GDPR. V takovém případě tedy není možné subjekt údajů informovat a správce jej tak v souladu s čl. 14 odst. 5 písm. b) neinformuje.
Informace veřejného sektoru obvykle jako kontaktní údaje subjektů (zejména veřejné informace) obsahují pouze poštovní adresu trvalého bydliště. Informace by tak měla být zaslána na tuto adresu. Zasílání informací, zvláště při zpracování velkého objemu informací veřejného sektoru (např. celý obchodní rejstřík), tak s sebou nese vysoké náklady. Otázkou je, zda tyto náklady (úsilí k informování subjektů) nejsou nepřiměřené.
Účelem informování subjektů údajů je zachování kontroly nad svými údaji a možnost uplatnit svá práva týkající se zpracování. Tím se naplňuje zásada korektnosti[2] zpracování osobních údajů: subjekty údajů mohou důvodně a správně předpokládat, jak je s jejich údaji nakládáno a toto nakládání v rámci svých práv ovlivňovat. Úsilí k informování subjektů údajů tak bude nepřiměřené, jestliže bude nutné vynakládat poměrně mnoho zdrojů, přitom postavení subjektů údajů se příliš nezlepší.
Jestliže jsou informace poskytovány veřejnou institucí veřejně neomezeně za určitým účelem, může subjekt údajů předpokládat, že jeho osobní údaje v tomto rozsahu může zpracovávat každý pro svou osobní potřebu, případně za stejným účelem, za jakým byly zveřejněny (např. ochrana vlastních práv a oprávněných zájmů).[3] Vstoupí-li do tohoto vztahu správce, který údaje získává od veřejné instituce a dále je poskytuje za stejným účelem jako veřejná instituce, zpracování je nadále korektní: nerozšiřuje se okruh potenciálních příjemců údajů, nemění se účel zpracování, ani se nemění rozsah zpracovávaných údajů. Subjekt má nadále možnost kontroly nad svými údaji prostřednictvím uplatňování svých práv. Tato možnost je ale snížena, neboť není informován, kdo nově jeho údaje zpracovává.
Jak již bylo zmíněno, subjekt údajů zveřejněných veřejnou institucí je srozuměn s tím, že tyto údaje může zpracovávat každý - např. pro účely ochrany svých práv (tento správce pak často nemá informační povinnost). Navíc si tento správce může zvolit pro toto zpracování zpracovatele (na zpracovatele se informační povinnost nevztahuje),[4] přičemž činnost tohoto zpracovatele bude fakticky totožná s činností poskytovatele. Z těchto důvodů je možná újma subjektu údajů způsobená neinformováním minimální. Navíc GDPR v čl. 14 odst. 5 písm. b) posl. věta i tuto újmu kompenzuje. Správce musí přijmout opatření na ochranu práv, svobod a oprávněných zájmů subjektů (např. bezpečnostní opatření, o kterých byla zmínka výše), včetně zveřejnění informací, které by jinak poskytoval subjektu údajů. Pokud se tedy subjekt dozví, že jeho údaje zpracovává správce, má na základě zveřejněné informace možnost účinně uplatnit svá práva.
Při zpracování informací, které jsou poskytovány veřejně s omezením (na žádost, nebo za poplatek), je třeba individuálně hodnotit možnost rozšíření potenciálních příjemců. Jestliže původně bylo, lze očekávat, že informaci získá jen velmi malý okruh zájemců, jelikož vyhotovení žádosti nebo úhrada poplatku (či dokonce povědomí, že takovou informaci mohou získat) představuje významnou překážku těm příjemcům, kterým posléze informaci potenciálně poskytuje správce, pak je tato skutečnost již mimo předpoklady subjektu údajů, a pokud by nebyl informován, zpracování by bylo v rozporu se zásadou korektnosti. Samozřejmě i zde existují výjimky, např. pokud by informování výrazně ztížilo nebo znemožnilo dosažení cílů zpracování.[5]
Stejně tak, pokud jsou údaje zpracovávány za jiným účelem, než byly získány, je třeba v každém případě zvážit, zda dle účelu původního zpracovávání lze očekávat, že osobní údaje budou použity za tímto jiným účelem (blízkost účelu). Zejména jsou-li na základě veřejných informací sestavovány profily fyzických osob (samozřejmě za předpokladu zákonného zpracování, tedy zpracování na základě některého titulu uvedeného v GDPR), o blízký předpokládaný účel se jednat nebude a bude nutné subjekty údajů informovat.
Právo být zapomenut
Do GDPR byla výslovně zavedena úprava práva subjektu údajů na výmaz osobních údajů[6] (tzv. právo být zapomenut). V podstatě se nejedná o samostatné zvláštní právo, ale výslovné zakotvení projevu zásad uvedených v čl. 5 GDPR, zejména zásady zákonnosti, účelového omezení a minimalizace údajů. Zjednodušeně je subjektu přiznáno právo žádat výmaz osobních údajů, které jsou zpracovávány v rozporu s GDPR, a tudíž by již zpracovávány být neměly. Význam tohoto ustanovení spočívá zejména v tom, že subjekt může o výmaz svých údajů požádat v okamžiku, kdy správce o rozporu zpracování s GDPR neví.
V souvislosti se zpracováváním informací veřejného sektoru, které byly správci veřejnou institucí poskytnuty, se právo na výmaz nejčastěji uplatní podle čl. 17 odst. 1 písm. a) GDPR (údaje již nejsou potřebné pro zamýšlené účely), nebo podle písm. c) stejného ustanovení v souvislosti s námitkou proti zpracování osobních údajů,[7] protože titulem pro zpracování takových informací bude nejčastěji oprávněný zájem.[8] Jak již bylo uvedeno výše, služba veřejnosti spočívající v poskytování stejných informací, jako poskytuje sama veřejná správa, pouze v lepší podobě, je důvodem, proč námitce nevyhovět.[9] Ostatně takové zpracování nepřináší pro subjekt údajů žádný nový zásah do jeho práv a svobod, jak jsme rovněž již uvedli.[10] Pokud však správce zpracovává informace veřejnou institucí dříve zveřejněné, které však již nejsou nadále zveřejňované, pak takový argument nelze použít. Správce sice osobní údaje získal a zpracovává oprávněně, ale v okamžiku, kdy přestaly být zveřejňovány původcem, může zájem subjektu údajů převážit nad zájmem správce. Jestliže veřejná instituce údaje subjektu zveřejňovala a nyní je nezveřejňuje, existoval ke zveřejnění důvod, který odpadl, nebo naopak vyvstal důvod proč údaje nelze zveřejňovat. Tento důvod nezveřejňování, případně odpadnutí důvodu pro zveřejňování, může znamenat právě zájem subjektu údajů, který převáží nad oprávněným zájmem správce. Z výše uvedených důvodů je tedy třeba žádosti o výmaz již nezveřejňovaných údajů zásadně vyhovět (neexistuje-li jiný důvod oprávněného zájmu).[11]
Dojde-li k výmazu osobních údajů podle čl. 17 odst. 1 GDPR, má správce, který údaje zveřejnil, povinnost informovat jiné správce, kteří tyto údaje zpracovávají, že subjekt údajů požádal o jejich výmaz (vč. odkazů, replikací, či kopií).[12] Pokud jsou údaje standardně zveřejněny tak, že se nesleduje, kdo k údajům přistupuje, nelze tuto povinnost fakticky splnit. Jediné myslitelné řešení by bylo stejným způsobem zveřejnit tuto informaci. To by však znamenalo, že o výmazu osobních údajů (a jejich původním zveřejnění) by se dozvěděly také osoby, které původně zveřejněné osobní údaje nezpracovávaly.[13] Jsou-li vymazávané osobní údaje dostupné pod speciální adresou URL,[14] lze na tuto adresu místo těchto údajů umístit informaci o výmazu. Takovým způsobem se o výmazu dozví pouze ten, kdo takovou adresu již zná, neboť tyto osobní údaje zpracovával. Obdobně lze informovat ty, kdo využívají službu správce spojenou s poskytováním osobních údajů, přičemž si sami předem určují, čích údajů se služba týká.[15]
Monitorování
Mnoho informací zveřejňovaných veřejnými institucemi je dynamických a mění se dle chování nějakého subjektu (např. jmenování a odvolávání orgánů, zřizování a rušení věcných práv k věci cizí, apod.). Obvykle lze najít i historii tohoto chování. Nejvíce patrné je to v systému insolvenčního rejstříku. Tento rejstřík sleduje chování všech účastníků insolvenčního řízení. Je tedy třeba zvážit, zda se nejedná o monitorování. Samotné GDPR monitorování nedefinuje, pouze v bodě 24 recitálu je zmíněno jakési vodítko, že monitorování je především sledování chování na internetu za účelem automatizovaného rozhodování nebo profilování. Podle tohoto vodítka je za monitorování nutné považovat sledování a záznam chování subjektu údajů vyplývající z tohoto sledování, z jehož výsledku lze sestavovat profil tohoto subjektu. Podstatným znakem monitorování je záznam chování subjektu směřujícího k jinému cíli, přičemž tento cíl je na monitorování nezávislý, monitorování není nutnou součástí splnění tohoto cíle, monitorování vytváří jinou hodnotu než cíl chování a subjekt údajů ani nemusí vědět, že je monitorován. V tom je podstata rizika monitorování pro subjekty údajů.
Naproti tomu vytváření spisu jako záznamu o procesním chování účastníků řízení, soudu a jiných osob zúčastněných na řízení je nutnou součástí soudního řízení, neboť spis je potřebný pro vedení řízení a rozhodování. Data o chování jsou shromažďována s vědomím subjektů údajů o nutnosti jejich shromažďování a nejsou určena k profilování ani automatizovanému rozhodování.[16] Subjekty údajů se tedy cíleně chovají tak, aby byl tento záznam vytvářen (což by u monitorování chování subjektů bylo absurdní). Vytváření soudního spisu, vč. spisu insolvenčního, ani jeho publikace není tedy monitorováním chování subjektů údajů.
Jestliže insolvenční rejstřík neprovádí monitorování chování subjektů údajů, tím spíše ho neprovádí správce pouze využívající poskytované informace (kdyby k monitorování docházelo, prováděl by jej soud), a to včetně provozovatele služby „hlídacího psa“, která je často označována jako monitorování insolvenčního rejstříku. Dochází zde totiž pouze ke zjišťování změn ve spisech podle nich zveřejňovaných informací, nikoli sledování chování subjektu údajů. Těmto provozovatelům tak z tohoto důvodu neplynou povinnosti spojené s monitorováním, tedy zejména provádění posouzení vlivu na ochranu osobních údajů a ustanovení pověřence pro ochranu osobních údajů.
Závěr
V tomto článku jsme si všimli některých specifických problémů zpracování osobních údajů poskytovaných v rámci informací veřejného sektoru. Dozvěděli jsme se, že původní titul „oprávněně zveřejněné údaje“ již nebude existovat a bude třeba opřít o některý z ostatních titulů, kdy nejčastěji bude přicházet v úvahu titul „oprávněné zájmy“. Při vážení zájmů lze mezi pozitivní následky zařadit také lepší dosažení účelu, pro který informace zveřejnila veřejná instituce. Dále jsme poukázali na to, že nebude třeba informace zveřejněné veřejnou institucí chránit proti úniku, neboť by tím nevzniklo riziko pro fyzické osoby, nicméně je nutné zabezpečit integritu zpracovávaných osobních údajů. Informační povinnost týkající se zpracování velkého množství zveřejněných informací veřejného sektoru za stejným účelem, za jakým je zveřejnila veřejná instituce, není nutné plnit vůči každému subjektu zvlášť, neboť by úsilí informovat bylo vzhledem k rizikům pro subjekty údajů nepřiměřené. Je ale třeba zavést opatření na ochranu práv, svobod a oprávněných zájmů subjektů údajů a informaci o zpracování osobních údajů zveřejnit. Právo na výmaz se neuplatní při zpracování zveřejněných informací veřejného sektoru, ale po ukončení jejich zveřejnění veřejnou institucí je třeba zásadně žádosti subjektu údajů o výmaz vyhovět. Provozovatelé poskytující služby monitorování zveřejňovaných informací veřejné správy nepotřebují zřizovat pověřence pro ochranu osobních údajů, ani provádět posouzení vlivu na ochranu ochranu osobních údajů, protože nedochází k monitorování chování subjektů údajů.
První část článku si můžete přečíst zde.
[1] Čl. 11 odst. 1 GDPR.
[2] Čl. 5 odst. 1 písm. a) GDPR.
[3] Například věřitel bude zpracovávat údaje z insolvenčního řízení svého dlužníka získané z insolvenčního rejstříku.
[4] Např. podle čl. 14 odst. 5 písm. b) GDPR, kdy by informování ztížilo nebo znemožnilo ochranu práv, nebo písm. d), jestliže osobní údaje zpracovává advokát.
[5] Například novinářské zjišťování korupce ve veřejné správě.
[7] Podle čl. 22 odst. 1 GDPR.
[8] Čl. 6 odst. 1 písm. f) GDPR.
[9] viz část článku Titul (část I.)
[10] viz část článku Informování
[11] Např. výjimka podle čl. 17 odst. 3 GDPR.
[12] Čl. 17 odst. 2 GDPR.
[13] Např. v případě výmazu údajů o insolvenčním řízení by to znamenalo, že se veřejnost nově dozví o tomto výmazu, a tedy o dřívější existenci insolvenčního řízení. To může být pro subjekt údajů dokonce větší zásah než zveřejnění údajů tohoto řízení, pokud byl např. věřitelský insolvenční návrh zamítnut.
[14] Např. informace o konkrétní osobě z určitého rejstříku, nebo o konkrétním řízení z insolvenčního rejstříku.
[15] Např. služba "hlídacího psa" informující o změnách (např. v řízeních). Poslední změnou bude odstranění údajů.
[16] Je možné, že v budoucnu budou soudy automatizovaně rozhodovat, dokonce v některých řízeních, např. rozkazních, lze automatizovaně rozhodovat již nyní. Nejedná se však v žádném případě o rozhodování na základě chování subjektů, ale na základě petitu podpořeného obsahem žaloby, dále na základě obsahu ostatních podání, protokolů a dalších součástí spisu.
Diskuze k článku ()