Judikát měsíce: „osobní údaj“ a identifikovatelnost osoby

Posouzení povahy údajů a zejména toho, zda lze subjekt přímo či nepřímo identifikovat, totiž zpravidla vyžaduje komplexní analýzu zohledňující konkrétní okolnosti zpracování. Pokud si správce takové cvičení neprovede, mnohdy si ani nemusí uvědomovat, že jím zpracovávané informace jsou osobními údaji. To může vést k závažným porušením GDPR.

Tím přínosnější je nová rozhodovací praxe, která na skutečných případech demonstruje, jak může k identifikaci osoby docházet, a vyjasňuje tak sporné otázky ohledně pojetí identifikovatelnosti dle GDPR. Právě takovým rozhodnutím je nedávný judikát Nejvyššího správního soudu, rozebírá, zda je možné za osobní údaj považovat spisovou značku trestního spisu. Zajímavé poznatky přináší také nový judikát SDEU ohledně identifikačních čísel vozidel (VIN).

Identifikovatelnost osoby dle GDPR

Osobními údaji jsou podle Obecného nařízení o ochraně osobních údajů (GDPR) jakékoli informace, které lze přiřadit k identifikované či identifikovatelné osobě.[1] Přímá identifikace v praxi nečiní větší problémy. Jestliže soubor dat obsahuje informace, ze kterých lze totožnost osoby zjistit a údaje k ní přiřadit (typicky jméno osoby či jiné charakteristické prvky), její identifikovatelnost je téměř očividná. Složitější je však posouzení toho, zda může docházet k identifikaci nepřímé, tj. jestliže se informace samy o sobě zdají být anonymní.

Dosavadní judikatura již vysvětlila, že k nepřímé identifikaci může docházet tehdy, když správce (potenciálních) osobních údajů má k dispozici prostředky, o nichž lze rozumně předpokládat, že by je mohl k identifikaci osoby použít.[2] Tak je tomu zejména v případě, kdy je správce schopen od třetí osoby získat dodatečné informace, které ve spojení se zdánlivě anonymními údaji správce již identifikaci osoby umožní. O osobní údaje se naopak nejedná, je-li riziko nepřímé identifikace zanedbatelné, například pokud by identifikace vyžadovala nepřiměřené úsilí z časového hlediska a z hlediska ekonomických a lidských zdrojů a z tohoto důvodu se jeví jako prakticky neproveditelná.

V případu Breyer takto Soudní dvůr Evropské unie (SDEU) dovodil, že za osobní údaj lze považovat dynamickou IP adresu, kterou zpracovává provozovatel webové stránky.[3] Přestože uživatel nemusí být výhradně prostřednictvím IP adresy přímo identifikovaný, k identifikaci může dojít spojením IP adresy s dodatečnými údaji osoby, které má k dispozici poskytovatel internetového připojení a které si provozovatel webové stránky v některých případech bude schopen od něj vyžádat. 

I po rozhodnutí Breyer nicméně některé otázky identifikovatelnosti zůstávají sporné. Zejména je diskutováno, do jaké míry musí být riziko identifikace sníženo a z perspektivy jaké osoby by měla být posuzována dostupnost dodatečných prostředků k identifikaci fyzické osoby. Na jedné straně stojí zastánci absolutní anonymizace, dle kterých jsou údaje skutečně anonymní pouze tehdy, jestliže je v důsledku použitých anonymizačních technik žádná osoba není objektivně schopna přiřadit k identifikovatelnému jednotlivci. Na druhé straně spektra stojí zastánci anonymizace založené na vyhodnocení míry rizika, kteří připouští, že určité riziko nepřímé identifikace může nadále přetrvávat.

Spisová značka jako osobní údaj

K této diskuzi významně přispívá komentované rozhodnutí Nejvyššího správního soudu.[4] V tomto případě Nejvyšší správní soud řešil situaci, kdy nejmenovaný žadatel požádal krajský soud podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím (Informační zákon), o poskytnutí informace, kolikrát žalobce jako obžalovaný ve věci vedené pod konkrétní spisovou značkou žádal o nahlížení do spisu. Krajský soud této žádosti vyhověl a žadateli odpověděl, že v této věci nebyla nalezena ani jedna žádost obžalovaného o nahlížení do spisu.

V rámci posuzování žádosti o informace se přitom krajský soud nijak nezabýval ochranou osobnosti žalobce. Odpověď totiž považoval za pouhý výsledek vyhledávání v soudním spise, který o žalobci nic nevypovídá a který ani nelze spojit s jeho osobou, neboť neobsahuje jméno, příjmení a ani jiný jednoznačný identifikátor žalobce. Žalobce s tímto závěrem nesouhlasil. Poukazoval přitom na skutečnost, že k jeho identifikaci v tomto případě postačovala již spisová značka řízení, neboť z veřejně dostupných informací je možné zjistit, že obžalovaným v této věci byl právě on.

O otázce, zda lze osobu považovat za identifikovatelnou pouze na základě spisové značky řízení, jehož je účastníkem, rozhodoval Nejvyšší správní soud. Aplikací rozhodnutí Breyer přitom dovodil, že identifikovatelnost nelze posuzovat pouze ze subjektivního pohledu správce či zpracovatele, který údaji v daný moment disponuje. Naopak, je třeba zjišťovat, zda někde existuje další informace, která by, ve spojení s původní informací, mohla vést k identifikaci subjektu údajů, tj. zda existují jakékoliv osoby nebo orgány, které by subjekt údajů dokázaly na základě dané informace identifikovat.[5]

Nejvyšší správní soud s ohledem na výše uvedené rozhodl, že osobním údajem může být i spisová značka trestní věci, pokud existují další informace, které má nebo může mít k dispozici jiný subjekt, který by pomocí nich identifikoval konkrétní fyzickou osobu obžalovaného v daném řízení. Takovými dalšími informacemi mohou být zejména jiné údaje týkající se totožného řízení zveřejněné podle Informačního zákona, nedostatečně anonymizovaná rozhodnutí zveřejněná na webových stránkách soudů nebo mediální zprávy.[6]

VIN jako osobní údaj

Podobnou problematiku řešil také SDEU ve svém rozsudku SCANIA ze dne 9. listopadu 2023.[7] V rozhodnutí se SDEU na základě sektorové regulace zabýval tím, zda je výrobce automobilů oprávněn umožnit samostatným provozovatelům přístup k údajům o opravách a údržbě vozidla pouze na základě cíleného vyhledávání zadáním VIN vozidla, pokud jim současně neposkytne aktuální seznam všech VIN svých vozidel. Asociace zastupující prodejce automobilových součástek argumentovala tím, že bez znalosti VIN není schopna v databázi vyhledávat a informace nejsou tudíž poskytnuty „snadno dostupným“ způsobem. Výrobce argumentoval mimo jiné tím, že seznam VIN není oprávněn poskytnout, neboť se jedná o osobní údaje vlastníků vozidel. 

Aby bylo možné předběžnou otázku zodpovědět, musel SDEU nejprve jako dílčí aspekt posoudit, zda identifikační číslo vozidla (VIN) může být osobním údajem ve smyslu GDPR. Generální advokát ve svém stanovisku uvedl, že údaj, jako je VIN, tedy alfanumerický kód přidělený vozidlu výrobcem za účelem správné identifikace každého vozidla, nemá sám o sobě povahu osobního údaje (např. jestliže vozidlo nevlastní fyzická osoba ani jí není užíváno). Je však třeba zohlednit, že VIN je uváděno v osvědčení o registraci vozidla společně se jménem, příjmením a adresou držitele tohoto osvědčení. SDEU proto dospěl k závěru, že jestliže provozovatelé mají rozumně k dispozici prostředky, které jim umožňují přiřadit VIN k identifikované nebo identifikovatelné fyzické osobě, představuje VIN osobní údaj pro ně a nepřímo také pro výrobce automobilů, který jim VIN poskytuje.

Praktické dopady rozhodnutí

Nová judikatura se přiklání k objektivnímu pojetí osobních údajů, neboť identifikovatelnost subjektu údajů posuzuje nejen z hlediska správce osobních údajů, ale i z hlediska dalších osob, které by mohly k osobním údajům získat přístup a subjekt identifikovat. Správce se tak ocitá v nelehkém postavení, kdy za účelem plnění vlastních povinností musí posoudit, zda jiné osoby budou s informacemi nakládat jako s osobními údaji, a to přestože on sám je vnímá jako anonymní. Jak vyplývá z rozhodnutí SCANIA, i pro výrobce, který přiřazuje vozidlu číslo VIN, může být VIN nepřímo osobním údajem, pokud dále může sloužit k identifikaci osob. Stejně tak soud při poskytování informací identifikovaných spisovou značkou musí zvážit, zda žadatel o informace (nebo jiná osoba či orgán) bude schopen spisovou značku přiřadit ke konkrétní fyzické osobě.

Zároveň se však zdá, že ani soudy nevnímají identifikovatelnost absolutně. Jestliže totiž SDEU ve vztahu k provozovatelům uvádí, že VIN lze považovat za osobní údaje „pro ně“, zdá se, že ve vztahu k jiným osobám by závěr mohl být jiný. Dostupnost dodatečných prostředků použitelných k nepřímé identifikaci osoby nepochybně může být odlišná pro různé osoby v závislosti na jejich ekonomických prostředcích, lidských zdrojích, dostupné technologii či právním postavení. Například policejní orgán má jistě k dispozici mnohem širší vyšetřovací prostředky než drobný podnikatel. I k těmto subjektivním faktorům tak zřejmě bude třeba přihlédnout při posuzování identifikovatelnosti.

Na základě uvedené judikatury lze rovněž dospět k závěru, že riziko identifikovatelnosti osoby musí překročit určitou minimální zanedbatelnou míru. Za vhodné kritérium pro posuzování této míry považujeme test tzv. motivovaného narušitele (motivated intruder), který prosazuje britský úřad Information Commissioner’s Office.[8] Dle úřadu má být identifikovatelnost posuzována z hlediska průměrně schopné osoby, která může mít zájem na provedení identifikace. Jestliže správce s ohledem na okolnosti daného případu a účely zpracování vyhodnotí, že taková osoba není schopna identifikaci provést, lze údaje i přes přetrvávající minimální riziko hodnotit jako úspěšné anonymizované.