25. 7. 2017
ID: 106181
GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) - Praktický komentář
Zdroj: Wolters Kluwer
Kniha přináší na český trh první ucelený komentář k nařízení Evropského parlamentu a Rady (EU) 2016/679, tzv. obecnému nařízení o ochraně osobních údajů (GDPR), které kromě zvýšené ochrany osobních údajů přináší také mimořádně vysokou míru právní nejistoty a otevírá prostor pro celou řadu nejasností.
V předkládaném komentáři jsou proto srozumitelnou a praktickou formou vysvětleny všechny pojmy a instituty nového Nařízení. Komentář je přehledně strukturovaný dle jednotlivých článků Nařízení, které jsou již v rámci předpisu členěny do tematických celků v řádech kapitol a oddílů. Na začátku výkladu k článkům čtenář nalezne provázání na příslušné body odůvodnění Nařízení a v relevantních případech také na ustanovení čl. 83 s výší správní sankce, která za porušení daného článku hrozí. V případech, kdy je to vhodné, obsahuje komentář také praktické shrnutí nových povinností souhrnně pro několik článků. V textu je výklad průběžně demonstrován na množství příkladů a situací, se kterými se správce nebo zpracovatel může setkat.
Přestože nařízení nabude účinnosti až 25. května 2018, správce i zpracovatele osobních údajů čeká už nyní řada úkolů, aby se na nové povinnosti a hrozící sankce včas připravili. Nařízení se totiž dotkne řady procesů, dokumentů a informačních systémů fungujících v rámci organizací. Příprava na účinnost nařízení se tak pro řadu firem i veřejných institucí může stát časově i finančně náročným projektem, při jehož řešení může být praktickým průvodcem tento komentář.
Komentář je dílem autorského kolektivu pod vedením partnera advokátní kanceláře Rowan Legal Mgr. Michala Nulíčka.
„Co v komentáři nenajdete (resp. byste neměli najít), jsou právněteoretické abstraktní rozbory určené výhradně odbornému čtenáři. V celém komentáři se snažíme zachovávat praktický ráz. Tomu je uzpůsoben také výběr témat, kterými se zabýváme. Namísto toho, abychom tak řešili některá teoretická dilemata, zaměřujeme se na praktické problémy, před kterými budou správci a zpracovatelé při implementaci Nařízení stát.“
GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) - Praktický komentář
Autor: Michal Nulíček, Josef Donát, František Nonnemann, Bohuslav Lichnovský, Jan Tomíšek
Vydalo nakladatelství Wolters Kluwer, 2017
Publikaci je možné zakoupit >>> zde.
Ukázka z publikace
Čl. 20
Právo na přenositelnost údajů
1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.
Bod odůvodnění: 68
Sankce: čl. 83 odst. 5 písm. b) Nařízení
I.
Právo na portabilitu
Právo na přenositelnost, tj. právo na portabilitu, se v oblasti ochrany údajů objevuje vůbec poprvé a jeho cílem je umožnit převádění osobních údajů mezi správci tak, aby se rozšířily možnosti subjektu údajů tím, že se usnadní přesouvání, kopírování a předávání osobních údajů z jednoho IT prostředí do jiného. Toto právo by také mělo podpořit soupeření mezi správci, kterými budou zejména poskytovatelé internetových služeb a e-commerce, a tím zvyšovat kvalitu poskytovaných služeb. Mělo by dojít k omezení situací, kdy subjekt údajů zůstává u používání jedné služby a nezačne používat jinou jen z toho důvodu, že již investoval velké množství času do využívání první, například vytvářením vlastního obsahu.
Příklad:
Pan Jaromír je úspěšný podnikatel a používá ve svém mobilním telefonu placenou aplikaci Kalendář, do které si průběžně ukládá informace o pracovních i osobních schůzkách. Dozví se o aplikaci Kalendář zdarma, jejíž užívání je bezplatné, ale čas, který by strávil vkládáním všech údajů do nové aplikace, ho odrazuje od toho, aby aplikaci změnil. Subjektu údajů by se tak hodilo mít možnost jednoduchým způsobem přesunout všechny své osobní údaje do aplikace Kalendář zdarma. Právo na portabilitu mu tuto migraci usnadní.
Právo na přenositelnost se projevuje dvěma způsoby:
a. jako právo subjektu údajů získat, tedy zejména stáhnout, od správce své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a
b. jako právo na přímé poskytnutí osobních údajů původním správcem správci jinému.
II.
Podmínky uplatnění práva na portabilitu
Podmínky pro uplatnění práva na přenositelnost jsou restriktivnější než u práva na přístup. Právo na přenositelnost lze podle odst. 1 tohoto článku uplatnit, pouze pokud je zpracování osobních údajů prováděno automatizovaně a zároveň je založeno na:
a. souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) Nařízení, v případě citlivých údajů na souhlasu uděleném v souladu s čl. 9 odst. 2 písm. a) Nařízení nebo
b. plnění smlouvy, jejíž smluvní stranou je subjekt údajů podle čl. 6 odst. 1 písm. b) Nařízení.
Právo na portabilitu se v souladu s odst. 3 větou druhou tohoto článku neuplatní vůči správci, který provádí zpracování osobních údajů, jež je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je tento správce pověřen (více v komentáři k čl. 6 Nařízení).
Pokud podmínky pro uplatnění práva na portabilitu splněny nejsou, může správce i tak umožnit z vlastní vůle přenositelnost osobních údajů. V takovém případě se však nejedná o právo subjektu údajů a nelze jej po správci vymáhat.
III.
Osobní údaje poskytované v rámci práva na portabilitu
Rozsah osobních údajů, které se poskytují v rámci práva na portabilitu, je užší než u práva na přístup. Poskytnout lze totiž jen osobní údaje, které se týkají subjektu údajů a zároveň které subjekt údajů poskytl správci.
Nicméně označení „osobní údaje poskytnuté správci“ by mělo být vykládáno šířeji. Jedná se tak o osobní údaje, které subjekt údajů přímo, vědomě a aktivně sdělil správci, třeba prostřednictvím formuláře (např. e-mailová adresa, jméno, příjmení, věk), a zároveň i o osobní údaje, které jsou generovány na základě aktivity subjektu údajů při používání služby nebo zařízení (např. lokalizační údaje, počet přehrání určité skladby, srdeční tep zaznamenaný prostřednictvím náramku, data přihlášení do aplikace).
Nepůjde ale o odvozené údaje, tedy údaje odvozené nebo dovozené z osobních údajů subjektu údajů na základě analýz, hodnocení, profilování a podobných procesů prováděných správcem (např. vyhodnocení kredibility na základě osobních údajů získaných od subjektu údajů o jeho zaměstnání, věku či provedených transakcích nebo výběr nejvhodnějších partnerů prováděný správcem nebo jeho aplikací na základě osobních údajů vložených do seznamky).
IV.
Povinnosti správce v souvislosti s uplatněním práva na portabilitu
Při splnění podmínek pro uplatnění práva na portabilitu musí správce poskytnout osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a nesmí bránit v tom, aby tyto osobní údaje byly předány jinému správci. Pokud je to technicky proveditelné, má subjekt údajů právo na to, aby jeho osobní údaje byly předány přímo jedním správcem druhému správci. Naproti tomu v případě uplatnění práva na přístup nemusí správce osobní údaje v tomto kvalifikovaném formátu poskytovat.
Strukturovaný, strojově čitelný a běžně používaný formát se může mezi jednotlivými správci lišit, nicméně vždy bude platit, že takovým není formát, jehož zpracování vyvolává vysoké náklady, a to zejména v případě, kdy existuje levnější nebo bezplatná alternativa.
Strojově čitelným formátem se rozumí soubor strukturovaný tak, „aby v něm softwarové aplikace mohly snadno nalézt, rozpoznat a získat konkrétní údaje. Za strojově čitelné údaje se považují údaje zakódované v souborech strukturovaných ve strojově čitelném formátu. Strojově čitelné formáty mohou být otevřené nebo chráněné vlastnickým právem; mohou být formálně normalizované, či nikoli. Dokumenty ve formě souboru, který toto automatické zpracování omezuje, jelikož údaje z nich nelze získat snadno či vůbec, by za dokumenty ve strojově čitelném formátu být považovány neměly“.
Cílem Nařízení není uložit správcům povinnost udržovat navzájem kompatibilní systémy zpracování. V bodě 68 odůvodnění Nařízení je nicméně vyjádřen apel směřující na správce, kteří by měli rozvíjet interoperabilní řešení, která umožní a zjednoduší přenositelnost osobních údajů. Interoperabilitou je „schopnost interakce různých nesourodých organizací, která přispívá k dosažení vzájemně prospěšných a dohodnutých společných cílů a zahrnuje sdílení informací a znalostí mezi organizacemi pomocí podnikových procesů, které tyto organizace podporují, na základě výměny údajů mezi jejich systémy IKT (tzn. informačních a komunikačních technologií)“.
Správce je na žádost povinen informovat subjekt údajů o přijatých opatřeních ve lhůtách v souladu s čl. 12 Nařízení. Je rovněž vhodné, aby subjektu údajů v rámci dobré praxe sdělil informaci o tom, kdy budou jeho údaje připraveny k získání, pokud je to možné. Vždy by měl však v uvedených lhůtách reagovat, ať už žádosti vyhoví, nebo nikoliv.
Uplatňování tohoto práva podléhá požadavkům uvedeným v čl. 12 Nařízení, zejména v tom, že správce usnadňuje subjektu údajů jeho výkon. Příklady usnadňování jsou nejen formuláře, prostřednictvím kterých může subjekt údajů získat své údaje (např. Google Takeout), ale také informování subjektu údajů o ukončení služby a o možnosti své osobní údaje získat a tím zabránit jejich nenávratné ztrátě (např. Google informoval své uživatele o rozhodnutí ukončit provoz služby Google Reader a umožnil jim stáhnout jejich data).
Po technické stránce lze takové usnadňování a interoperabilitu dále spatřovat ve zpřístupnění zabezpečeného rozhraní pro programování aplikací (API), které ostatním správcům umožní napojit se na něj a získat z něj na základě žádosti subjektu údajů osobní údaje. Tohoto rozhraní může využít i subjekt údajů prostřednictvím vlastní aplikace nebo aplikace třetí strany k tomu, aby získal osobní údaje. V případě velkých objemů dat se jeví jako vhodné opatření zavést funkci, která umožní prostřednictvím API získat pouze ty osobní údaje, u kterých došlo ke změnám oproti předchozí žádosti. Zpřístupnění API tímto způsobem nicméně není povinností správce, pouze možností.
V.
Vztah k ostatním právům, zejména k právu na výmaz
Uplatnění práva na přenositelnost osobních údajů nemá vliv na ostatní práva, kterými subjekt údajů disponuje vůči správci. V případě přímého předání osobních údajů subjektu údajů od jednoho správce druhému může první správce osobní údaje i nadále zpracovávat, stejně tak však nezanikají práva subjektu údajů vůči tomuto správci. To ve svém důsledku umožňuje subjektu údajů, aby používal více služeb najednou.
Pokud má subjekt údajů v úmyslu předat své údaje jinému správci a zároveň si přeje, aby původní správce jeho osobní údaje dále nezpracovával, musí tak učinit zvlášť, protože využití práva na přenositelnost v sobě implicitně neobsahuje využití práva na výmaz, ale zároveň ho nijak neomezuje.
Stejně tak právo na portabilitu nezasahuje do smluvních a jiných obdobných vztahů mezi subjektem údajů a původním správcem. Uplatnění tohoto práva tak v sobě nezahrnuje kompletní převod smluvního vztahu k novému poskytovateli služby, tedy novému správci, ani nezpůsobuje zánik či změnu původního smluvního vztahu.
VI.
Ochrana práv třetích osob
Osobní údaje, které subjekt údajů poskytl správci a na které by tak právo na portabilitu mohlo dle odst. 1 tohoto článku dopadat, mohou obsahovat osobní údaje osob odlišných od subjektu údajů. Pokud by výkonem práva na portabilitu dle odst. 1 tohoto článku ve vztahu k určitým údajům měla být nepříznivě dotčena práva a svobody jiných osob, nelze dle odst. 4 tohoto článku tyto údaje v rámci práva na portabilitu poskytnout.
Dle stanoviska WP29 k ohrožení práv jiných osob nedojde, pokud budou osobní údaje, které jsou předmětem práva na přenositelnost, použity ke stejnému účelu. Zároveň musí platit, že žádající subjekt údajů uplatňuje své právo na přenositelnost pro čistě osobní nebo domácí potřeby.
Například pokud subjekt údajů žádá o přenesení své e-mailové komunikace od jednoho poskytovatele webmailové služby k jinému, nedojde k zásahu do práv jiných osob, pokud jejich osobní údaje, tedy zejména e-mailové adresy a obsahy konverzací, budou použity k totožnému účelu (adresář kontaktů a uchování konverzací). Nový správce nesmí tyto osobní údaje používat jiným způsobem, tedy nesmí použít osobní údaje těchto jiných osob pro marketingové účely.
Obsahuje-li soubor osobních údajů, které jsou v rámci portability předávány, pro nového správce nerelevantní informace, měly by tyto údaje být vymazány a v žádném případě by nemělo docházet ke zpracování ze strany nového správce. Jedná se tak o další projev základní zásady Nařízení – zásady minimalizace údajů, zakotvené v čl. 5 odst. 1 písm. c) Nařízení.
Ochranou třetích osob je však myšleno i obchodní tajemství, právo duševního vlastnictví nebo autorské právo jiných osob, a to včetně správce a zpracovatele (více v komentáři k čl. 15 Nařízení).
Je však důležité upozornit na to, že stanovisko WP29 není právně závazné a takto restriktivní výklad ochrany práv třetích osob může v praxi dostát určitých změn, a to zejména vzhledem k tomu, že nemá základ v samotném textu Nařízení. Je tak možné, že v rámci rozhodovací praxe dozorových úřadů a soudů bude ochrana práv třetích osob poskytována ve větší míře.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Přestože nařízení nabude účinnosti až 25. května 2018, správce i zpracovatele osobních údajů čeká už nyní řada úkolů, aby se na nové povinnosti a hrozící sankce včas připravili. Nařízení se totiž dotkne řady procesů, dokumentů a informačních systémů fungujících v rámci organizací. Příprava na účinnost nařízení se tak pro řadu firem i veřejných institucí může stát časově i finančně náročným projektem, při jehož řešení může být praktickým průvodcem tento komentář.
Komentář je dílem autorského kolektivu pod vedením partnera advokátní kanceláře Rowan Legal Mgr. Michala Nulíčka.
„Co v komentáři nenajdete (resp. byste neměli najít), jsou právněteoretické abstraktní rozbory určené výhradně odbornému čtenáři. V celém komentáři se snažíme zachovávat praktický ráz. Tomu je uzpůsoben také výběr témat, kterými se zabýváme. Namísto toho, abychom tak řešili některá teoretická dilemata, zaměřujeme se na praktické problémy, před kterými budou správci a zpracovatelé při implementaci Nařízení stát.“
GDPR / Obecné nařízení o ochraně osobních údajů (2016/679/EU) - Praktický komentář
Autor: Michal Nulíček, Josef Donát, František Nonnemann, Bohuslav Lichnovský, Jan Tomíšek
Vydalo nakladatelství Wolters Kluwer, 2017
Publikaci je možné zakoupit >>> zde.
Ukázka z publikace
Právo na přenositelnost údajů
1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.
Bod odůvodnění: 68
Sankce: čl. 83 odst. 5 písm. b) Nařízení
I.
Právo na portabilitu
Právo na přenositelnost, tj. právo na portabilitu, se v oblasti ochrany údajů objevuje vůbec poprvé a jeho cílem je umožnit převádění osobních údajů mezi správci tak, aby se rozšířily možnosti subjektu údajů tím, že se usnadní přesouvání, kopírování a předávání osobních údajů z jednoho IT prostředí do jiného. Toto právo by také mělo podpořit soupeření mezi správci, kterými budou zejména poskytovatelé internetových služeb a e-commerce, a tím zvyšovat kvalitu poskytovaných služeb. Mělo by dojít k omezení situací, kdy subjekt údajů zůstává u používání jedné služby a nezačne používat jinou jen z toho důvodu, že již investoval velké množství času do využívání první, například vytvářením vlastního obsahu.
Příklad:
Pan Jaromír je úspěšný podnikatel a používá ve svém mobilním telefonu placenou aplikaci Kalendář, do které si průběžně ukládá informace o pracovních i osobních schůzkách. Dozví se o aplikaci Kalendář zdarma, jejíž užívání je bezplatné, ale čas, který by strávil vkládáním všech údajů do nové aplikace, ho odrazuje od toho, aby aplikaci změnil. Subjektu údajů by se tak hodilo mít možnost jednoduchým způsobem přesunout všechny své osobní údaje do aplikace Kalendář zdarma. Právo na portabilitu mu tuto migraci usnadní.
Právo na přenositelnost se projevuje dvěma způsoby:
a. jako právo subjektu údajů získat, tedy zejména stáhnout, od správce své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a
b. jako právo na přímé poskytnutí osobních údajů původním správcem správci jinému.
II.
Podmínky uplatnění práva na portabilitu
Podmínky pro uplatnění práva na přenositelnost jsou restriktivnější než u práva na přístup. Právo na přenositelnost lze podle odst. 1 tohoto článku uplatnit, pouze pokud je zpracování osobních údajů prováděno automatizovaně a zároveň je založeno na:
a. souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) Nařízení, v případě citlivých údajů na souhlasu uděleném v souladu s čl. 9 odst. 2 písm. a) Nařízení nebo
b. plnění smlouvy, jejíž smluvní stranou je subjekt údajů podle čl. 6 odst. 1 písm. b) Nařízení.
Právo na portabilitu se v souladu s odst. 3 větou druhou tohoto článku neuplatní vůči správci, který provádí zpracování osobních údajů, jež je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je tento správce pověřen (více v komentáři k čl. 6 Nařízení).
Pokud podmínky pro uplatnění práva na portabilitu splněny nejsou, může správce i tak umožnit z vlastní vůle přenositelnost osobních údajů. V takovém případě se však nejedná o právo subjektu údajů a nelze jej po správci vymáhat.
III.
Osobní údaje poskytované v rámci práva na portabilitu
Rozsah osobních údajů, které se poskytují v rámci práva na portabilitu, je užší než u práva na přístup. Poskytnout lze totiž jen osobní údaje, které se týkají subjektu údajů a zároveň které subjekt údajů poskytl správci.
Nicméně označení „osobní údaje poskytnuté správci“ by mělo být vykládáno šířeji. Jedná se tak o osobní údaje, které subjekt údajů přímo, vědomě a aktivně sdělil správci, třeba prostřednictvím formuláře (např. e-mailová adresa, jméno, příjmení, věk), a zároveň i o osobní údaje, které jsou generovány na základě aktivity subjektu údajů při používání služby nebo zařízení (např. lokalizační údaje, počet přehrání určité skladby, srdeční tep zaznamenaný prostřednictvím náramku, data přihlášení do aplikace).
Nepůjde ale o odvozené údaje, tedy údaje odvozené nebo dovozené z osobních údajů subjektu údajů na základě analýz, hodnocení, profilování a podobných procesů prováděných správcem (např. vyhodnocení kredibility na základě osobních údajů získaných od subjektu údajů o jeho zaměstnání, věku či provedených transakcích nebo výběr nejvhodnějších partnerů prováděný správcem nebo jeho aplikací na základě osobních údajů vložených do seznamky).
IV.
Povinnosti správce v souvislosti s uplatněním práva na portabilitu
Při splnění podmínek pro uplatnění práva na portabilitu musí správce poskytnout osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu a nesmí bránit v tom, aby tyto osobní údaje byly předány jinému správci. Pokud je to technicky proveditelné, má subjekt údajů právo na to, aby jeho osobní údaje byly předány přímo jedním správcem druhému správci. Naproti tomu v případě uplatnění práva na přístup nemusí správce osobní údaje v tomto kvalifikovaném formátu poskytovat.
Strukturovaný, strojově čitelný a běžně používaný formát se může mezi jednotlivými správci lišit, nicméně vždy bude platit, že takovým není formát, jehož zpracování vyvolává vysoké náklady, a to zejména v případě, kdy existuje levnější nebo bezplatná alternativa.
Strojově čitelným formátem se rozumí soubor strukturovaný tak, „aby v něm softwarové aplikace mohly snadno nalézt, rozpoznat a získat konkrétní údaje. Za strojově čitelné údaje se považují údaje zakódované v souborech strukturovaných ve strojově čitelném formátu. Strojově čitelné formáty mohou být otevřené nebo chráněné vlastnickým právem; mohou být formálně normalizované, či nikoli. Dokumenty ve formě souboru, který toto automatické zpracování omezuje, jelikož údaje z nich nelze získat snadno či vůbec, by za dokumenty ve strojově čitelném formátu být považovány neměly“.
Cílem Nařízení není uložit správcům povinnost udržovat navzájem kompatibilní systémy zpracování. V bodě 68 odůvodnění Nařízení je nicméně vyjádřen apel směřující na správce, kteří by měli rozvíjet interoperabilní řešení, která umožní a zjednoduší přenositelnost osobních údajů. Interoperabilitou je „schopnost interakce různých nesourodých organizací, která přispívá k dosažení vzájemně prospěšných a dohodnutých společných cílů a zahrnuje sdílení informací a znalostí mezi organizacemi pomocí podnikových procesů, které tyto organizace podporují, na základě výměny údajů mezi jejich systémy IKT (tzn. informačních a komunikačních technologií)“.
Správce je na žádost povinen informovat subjekt údajů o přijatých opatřeních ve lhůtách v souladu s čl. 12 Nařízení. Je rovněž vhodné, aby subjektu údajů v rámci dobré praxe sdělil informaci o tom, kdy budou jeho údaje připraveny k získání, pokud je to možné. Vždy by měl však v uvedených lhůtách reagovat, ať už žádosti vyhoví, nebo nikoliv.
Uplatňování tohoto práva podléhá požadavkům uvedeným v čl. 12 Nařízení, zejména v tom, že správce usnadňuje subjektu údajů jeho výkon. Příklady usnadňování jsou nejen formuláře, prostřednictvím kterých může subjekt údajů získat své údaje (např. Google Takeout), ale také informování subjektu údajů o ukončení služby a o možnosti své osobní údaje získat a tím zabránit jejich nenávratné ztrátě (např. Google informoval své uživatele o rozhodnutí ukončit provoz služby Google Reader a umožnil jim stáhnout jejich data).
Po technické stránce lze takové usnadňování a interoperabilitu dále spatřovat ve zpřístupnění zabezpečeného rozhraní pro programování aplikací (API), které ostatním správcům umožní napojit se na něj a získat z něj na základě žádosti subjektu údajů osobní údaje. Tohoto rozhraní může využít i subjekt údajů prostřednictvím vlastní aplikace nebo aplikace třetí strany k tomu, aby získal osobní údaje. V případě velkých objemů dat se jeví jako vhodné opatření zavést funkci, která umožní prostřednictvím API získat pouze ty osobní údaje, u kterých došlo ke změnám oproti předchozí žádosti. Zpřístupnění API tímto způsobem nicméně není povinností správce, pouze možností.
V.
Vztah k ostatním právům, zejména k právu na výmaz
Uplatnění práva na přenositelnost osobních údajů nemá vliv na ostatní práva, kterými subjekt údajů disponuje vůči správci. V případě přímého předání osobních údajů subjektu údajů od jednoho správce druhému může první správce osobní údaje i nadále zpracovávat, stejně tak však nezanikají práva subjektu údajů vůči tomuto správci. To ve svém důsledku umožňuje subjektu údajů, aby používal více služeb najednou.
Pokud má subjekt údajů v úmyslu předat své údaje jinému správci a zároveň si přeje, aby původní správce jeho osobní údaje dále nezpracovával, musí tak učinit zvlášť, protože využití práva na přenositelnost v sobě implicitně neobsahuje využití práva na výmaz, ale zároveň ho nijak neomezuje.
Stejně tak právo na portabilitu nezasahuje do smluvních a jiných obdobných vztahů mezi subjektem údajů a původním správcem. Uplatnění tohoto práva tak v sobě nezahrnuje kompletní převod smluvního vztahu k novému poskytovateli služby, tedy novému správci, ani nezpůsobuje zánik či změnu původního smluvního vztahu.
VI.
Ochrana práv třetích osob
Osobní údaje, které subjekt údajů poskytl správci a na které by tak právo na portabilitu mohlo dle odst. 1 tohoto článku dopadat, mohou obsahovat osobní údaje osob odlišných od subjektu údajů. Pokud by výkonem práva na portabilitu dle odst. 1 tohoto článku ve vztahu k určitým údajům měla být nepříznivě dotčena práva a svobody jiných osob, nelze dle odst. 4 tohoto článku tyto údaje v rámci práva na portabilitu poskytnout.
Dle stanoviska WP29 k ohrožení práv jiných osob nedojde, pokud budou osobní údaje, které jsou předmětem práva na přenositelnost, použity ke stejnému účelu. Zároveň musí platit, že žádající subjekt údajů uplatňuje své právo na přenositelnost pro čistě osobní nebo domácí potřeby.
Například pokud subjekt údajů žádá o přenesení své e-mailové komunikace od jednoho poskytovatele webmailové služby k jinému, nedojde k zásahu do práv jiných osob, pokud jejich osobní údaje, tedy zejména e-mailové adresy a obsahy konverzací, budou použity k totožnému účelu (adresář kontaktů a uchování konverzací). Nový správce nesmí tyto osobní údaje používat jiným způsobem, tedy nesmí použít osobní údaje těchto jiných osob pro marketingové účely.
Obsahuje-li soubor osobních údajů, které jsou v rámci portability předávány, pro nového správce nerelevantní informace, měly by tyto údaje být vymazány a v žádném případě by nemělo docházet ke zpracování ze strany nového správce. Jedná se tak o další projev základní zásady Nařízení – zásady minimalizace údajů, zakotvené v čl. 5 odst. 1 písm. c) Nařízení.
Ochranou třetích osob je však myšleno i obchodní tajemství, právo duševního vlastnictví nebo autorské právo jiných osob, a to včetně správce a zpracovatele (více v komentáři k čl. 15 Nařízení).
Je však důležité upozornit na to, že stanovisko WP29 není právně závazné a takto restriktivní výklad ochrany práv třetích osob může v praxi dostát určitých změn, a to zejména vzhledem k tomu, že nemá základ v samotném textu Nařízení. Je tak možné, že v rámci rozhodovací praxe dozorových úřadů a soudů bude ochrana práv třetích osob poskytována ve větší míře.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
