Právo na přenositelnost údajů zakotvuje nařízení EU v článku 20. Na základě tohoto práva může subjekt údajů získat své osobní údaje, které poskytl správci údajů, ve strukturovaném, běžně používaném a strojově čitelném formátu a může tyto údaje předat jinému správci, aniž by mu v tom správce bránil. Nové právo na přenositelnost údajů má usnadnit spotřebiteli přechod od jednoho poskytovatele služeb ke druhému a také posílit možnost kontroly nad svými osobními údaji.

Co vše může subjekt údajů požadovat v rámci práva na přenositelnost údajů?

Právo na přenositelnost údajů umožní subjektům údajů získat osobní údaje zpracovávané správcem a uchovávat je pro další soukromé účely (bez jejich předání dalšímu správci). Příkladem může být situace, kdy uživatel online hudební platformy chce získat svůj aktuální playlist, aby zjistil, jakou skladbu a kolikrát si ji přehrál, a aby se na základě toho mohl rozhodnout, jakou hudbu si objedná u jiné hudební platformy. V případě, že provozovatel hudební platformy tyto údaje o uživateli zpracovává, musí je uživateli na základě jeho žádosti předat. Podle výkladového stanoviska EU (pracovní skupiny WP29) může subjekt údajů požadovat také předání přehledu kontaktů z webmailové aplikace pro účely vytvoření seznamu svatebních hostů nebo poskytnutí informací o nákupech přes věrnostní kartu.

Právo na přenositelnost údajů dále zahrnuje právo na předání osobních údajů od jednoho správce k jinému správci. Subjekt údajů může své údaje předat jinému poskytovateli služeb a nebude tak zaháčkován u jednoho poskytovatele. Je-li to technicky proveditelné, může subjekt údajů dokonce požadovat, aby byly jeho osobní údaje předány přímo jedním správcem správci druhému (viz čl. 20 odst. 2 nařízení). Výkladové stanovisko skupiny WP29 doporučuje, aby správci údajů prováděli předání údajů poskytnutím rozhraní pro programování aplikací (API).[3]

Z práva na přenositelnost údajů však nevyplývá pro správce údajů povinnost, aby uchovával údaje déle, než je nezbytné pro účel zpracování, nebo déle než po stanovenou dobu zpracovaní. Například pokud správce neukládá záznamy o písních přehrávaných uživatelem, tak tyto údaje nemusí uživateli předávat. Správci údajů tedy nevzniká podle nařízení dodatečná povinnost uchovávat osobní údaje pouze pro účely potenciální žádosti subjektu údajů o přenos údajů. Na druhou stranu nový správce údajů, ke kterému budou údaje přeneseny, má povinnost zpracovávat jen údaje relevantní a přiměřené vzhledem k novému zpracování. Pokud budou některé přenášené údaje nadbytečné s ohledem na účel nového zpracování, neměly by tyto údaje být novým správcem uchovány a zpracovány.

Za jakých podmínek lze právo na přenositelnost údajů uplatnit?

Právo na přenositelnost údajů se vztahuje pouze na osobní údaje, které správce zpracovává na základě souhlasu subjektů nebo pro účely plnění smlouvy uzavřené se subjektem údajů. Kromě playlistu tak může subjekt údajů požadovat například také seznam knih, které zakoupil v internetovém knihkupectví, neboť v takovém případě se jedná o zpracování údajů pro účely plnění smlouvy. U zpracování údajů na základě jiného důvodu právo subjektu údajů na přenositelnost nevzniká. Nařízení výslovně stanovuje, že se právo na přenositelnost neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

Dále nařízení stanoví, že právo na přenositelnost se vztahuje pouze na údaje, které se týkají subjektu údajů. Proto subjekt údajů nemůže požadovat předání údajů, které jsou anonymní nebo se ho netýkají. Nicméně právo na přenositelnost zcela jistě dopadá na pseudonymní údaje, které se týkají subjektu údajů a které může správce vztáhnout ke konkrétnímu subjektu údajů na základě příslušného identifikátoru. Za spornou lze považovat situaci, kdy mají být přeneseny osobní údaje nejen subjektu údajů, který o to požádal, ale také třetích osob (například při přenosu záznamů telefonních hovorů obsahující údaje o třetích osobách účastnících se odchozích nebo příchozích hovorů). Podle skupiny WP29 má subjekt údajů právo tyto informace získat a předat je jinému správci. Nový správce však nesmí tyto údaje třetích stran zpracovávat za žádným účelem, kterým by ohrožoval nebo porušoval jejich práva a svobody. To znamená, že nový správce nesmí tyto údaje třetích stran využít pro vlastní účely, například k marketingu.

Další podmínka omezující rozsah uplatnění práva na přenositelnost údajů spočívá v tom, že se musí jednat pouze o data poskytnutá subjektem údajů. Pojem „údaje poskytnuté subjektem údajů“ však musí být vykládán široce. Za takové údaje lze považovat data aktivně a vědomě poskytnutá subjektem údajů (např. e-mailová adresa, uživatelské jméno, věk atd.) a data poskytnutá subjektem údajů na základě využívání služby nebo zařízení (např. historie vyhledávání, provozní a lokační údaje nebo tepová frekvence shromažďovaná sport testerem) včetně dat získaných o subjektu údajů v průběhu činnosti, za jejímž účelem jsou data shromažďována, byť subjekt údajů tato data nepředává správci vědomě nebo aktivně (např. transakční historie nebo přístupové logy).

Naopak do práva na přenositelnost údajů nespadají údaje dovozené nebo odvozené správcem údajů, které správce vytvořil v procesu personalizace nebo profilování uživatele (např. úvěrové skóre nebo výsledek zdravotního posudku). Nicméně správci mají podle nařízení jiné povinnosti ve vztahu k těmto dovozeným nebo odvozeným údajům. Musí totiž poskytnout subjektu údajů na jeho žádost potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány, a pokud jsou, tak subjekt údajů má právo na přístup k těmto údajům (tj. zejména na informace o zpracování údajů a na kopii údajů). V rámci práva na přístup k údajům má subjekt údajů rovněž právo na informaci o skutečnosti, zda dochází k automatizovanému rozhodování, včetně profilování, a na informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování.

Jaké další povinnosti musí správce údajů splnit ve vztahu k právu na přenositelnost údajů?

Správce údajů musí kromě výše uvedených povinností vyplývajících přímo z práva na přenositelnost údajů splnit také informační povinnost. Měl by předem informovat subjekt údajů o existenci práva na přenositelnost údajů. Skupina WP29 doporučuje, aby správci údajů jasně vysvětlili rozdíl mezi druhy dat, které subjekt údajů může získat při uplatnění práva na přenositelnost nebo na přístup. Informační povinnost dopadá také na nové správce přijímající přenášené údaje, kteří by měli informovat o povaze osobních údajů relevantních k výkonu svých služeb.

Správce musí poskytnout osobní údaje subjektu údajů nebo je předat jinému správci bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti o předání údajů anebo maximálně do třech měsíců od podání žádosti a u komplikovanějších žádostí za podmínky, že subjekt údajů bude do jednoho měsíce informován o důvodech odkladu.

Správce nesmí účtovat poplatek za předání osobních údajů, ledaže prokáže zjevnou neodůvodněnost nebo nadbytečnost žádosti subjektu údajů (např. zejména protože se opakují).

Jak mají být přenositelné údaje poskytovány?

Nad touto závěrečnou otázkou visí zřejmě největší otazník. Nařízení vyžaduje, aby správce poskytl údaje ve strukturovaném, běžně používaném a strojově čitelném formátu, který umožňuje opakované použití a je interoperabilní. Nařízení žádné doporučení ohledně formátu nestanoví. Typ odpovídajícího formátu se bude lišit podle jednotlivých hospodářských odvětví. Skupina WP29 zdůrazňuje, aby správci k poskytovaným údajům připojovali co nejvíce metadat, v reálně dosažitelné rozlišitelnosti zachovávající přesný význam vyměňované informace. Například pdf verze e-mailové schránky nebude považována za dostatečně strukturovaný formát. Údaje z e-mailu by měl správce poskytnout ve formátu, který zachovává veškerá metadata, aby bylo možné opakované použití těchto údajů. Evropská unie apeluje na členy jednotlivých odvětví a obchodních asociací, aby spolupracovali při tvorbě obecně uznávaných standardů interoperability a formátů. V každém případě implementace přenositelnosti údajů bude pro správce údajů znamenat zvýšené finanční i časové náklady, a proto by s implementací měli začít co nejdříve, i přestože nařízení bude účinné až v květnu 2018.




JUDr. Martin Kartner,
partner



Mgr. Jiří Prouza,
advokátní koncipient

 
CHSH Kališ & Partners s.r.o., advokátní kancelář

Týn 639/1
110 00  Praha 1 – Staré Město

Tel.:    +420 221 111 711
Fax:    +420 221 111 725
e-mail:    office@chsh.cz


____________________________
[1] Nařízení EU o ochraně osobních údajů - pověřenec pro ochranu osobních údajů, dostupné na www, k dispozici >>> zde. V prosinci loňského roku vydala EU (pracovní skupina WP29) první dokumenty s výkladovými pokyny k nařízení. Jeden z nich se týká právě pověřence pro ochranu osobních údajů, jehož český překlad zpracovaným českým Úřadem pro ochranu osobních údajů je dostupný na www, k dispozici >>> zde.
[2] Nejasnosti ohledně práva na přenositelnost údajů se snaží objasnit pracovní skupina WP29 v pokynech k právu na přenositelnost údajů z prosince loňského roku. Český překlad tohoto dokumentu zpracovaný Úřadem pro ochranu osobních údajů je dostupný na www, k dispozici >>> zde.
[3] API (Application Programming Interface) označuje rozhraní pro programování aplikací, které představuje soubor podprogramů, protokolů a nástrojů pro tvorbu softwaru a aplikací. Jedná se o rozhraní aplikací nebo webových služeb, které mohou využívat správci, aby se ostatní systémy nebo aplikace dokázaly napojit a pracovat s jejich systémy.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz