GDPR[1] na rozdíl od předchozího zákona o ochraně osobních údajů[2] neobsahuje výslovný právní základ pro zpracování oprávněně zveřejněných údajů a je proto na místě vyjasnit možnosti zpracování zveřejněných údajů. V případě, kdy má dojít k dalšímu využití takových zveřejněných osobních údajů, je nezbytné identifikovat nový právní základ (ve smyslu čl. 6 odst. 1 GDPR) pro takové zpracování osobních údajů. Zároveň platí, že možnost využít zveřejněné zvláštní kategorie osobních údajů je (poněkud nesystematicky) výslovně zakotvena v čl. 9 odst. 2 GDPR.

Pro využití osobních údajů proto dále zvažujeme aplikaci tohoto čl. 9 odst. 2 GDPR v kontextu především tzv. oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR. Tato hypotéza rovněž vychází z předpokladu, že každý nový správce (tj. osoba zodpovědná za nové využívání zveřejněných osobních údajů) bude při využívání těchto zveřejněných osobních údajů povinen (kromě dalších povinností z GDPR) řádně odůvodnit oprávněný zájmu (provedení balančního testu ve smyslu čl. 6 odst. 4 GDPR).

Právní základ zpracování zveřejněných údajů – vztah mezi čl. 6 a čl. 9 GDPR

Zpracování zveřejněných údajů je výslovně připuštěno v čl. 9 odst. 2 písm. e) GDPR ve vztahu ke zvláštním kategoriím údajů.[3] Obdobný důvod zpracování však není uveden mezi obecnými důvody zpracování podle čl. 6 odst. 1 GDPR.  Z tohoto důvodu se domníváme, že je nutné analyzovat vztah mezi čl. 6 odst. 1 GDPR a čl. 9 odst. 2 GDPR a z této analýzy dovodit závěr pro možnost zpracování zveřejněných osobních údajů nad rámec zvláštních kategorií údajů.

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Obecně platí, že právní základy zpracování dle čl. 6 odst. 1 by měly pokrývat veškeré zpracování osobních údajů, přičemž zpracování zvláštních kategorií údajů je dle čl. 9 odst. 1 GDPR zakázáno. Ustanovení čl. 9 odst. 2 upravuje výjimky ze zákazu zpracování zvláštních kategorií osobních údajů. Z této legislativní konstrukce dovozujeme, že výjimky ze zákazu zpracování zvláštních kategorií údajů dle čl. 9 odst. 2 GDPR jsou pouze podmnožinou důvodů zpracování podle čl. 6 odst. 1 GDPR, nikoliv výslovně samostatnými právními důvody.

Ve vztahu těchto ustanovení lze však ve skutečnosti dovodit tři níže rozebrané principy:

Restriktivní požadavky na zpracování zvláštních kategorií údajů

Tam, kde jsou důvody zpracování dle čl. 9 odst. 2 GDPR konkrétní podmnožinou důvodů zpracování dle čl. 6 odst. 1 GDPR, je výklad zjevný – všechny osobní údaje je možné zpracovávat na základě důvodů v čl. 6 odst. 1 GDPR a pro zpracování zvláštních kategorií údajů dle čl. 9 odst. 2 GDPR platí restriktivnější podmínky (je nezbytné naplnit podmínky výjimky z obecného zákazu jejich zpracování).  Tak je tomu např. u zpracování ve veřejném zájmu, kdy čl. 6 odst. 1 písm. e) umožňuje zpracování osobních údajů ve veřejném zájmu a čl. 9 odst. 2 písm. g) umožňuje zpracování zvláštních kategorií údajů pouze ve „významném“ veřejném zájmu, a to s dodatečným testem přiměřenosti a povinností vhodných záruk. Podobně je tomu i se zpracováním na základě souhlasu, kdy čl. 9 odst. 2 písm. a) stanoví nad rámec obecných požadavků na souhlas dle čl. 6 odst. 1 písm. a) pro souhlas se zpracováním zvláštních kategorií údajů i požadavek na výslovný souhlas pro konkrétní účel a dále také možnost členského státu některé údaje z režimu souhlasu vyloučit. Stejný princip se vztahuje i na zpracování nezbytné pro ochranu životně důležitých zájmů, kdy čl. 9 odst. 2 písm. c) GDPR stanoví nad rámec zpracování dle čl. 6 odst. 1 písm. d) GDPR pro zvláštní kategorie údajů podmínku, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas.

Tento princip se dále vztahuje i na zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje, kdy dle čl. 6 odst. 1 písm. c) může správce zpracovávat běžné (tj. nikoliv zvláštní kategorii) osobní údaje pro splnění libovolné právní povinnosti, ale zpracování zvláštních kategorií údajů je přípustné pouze pro některé typy právních povinností v rámci článku 9 odst. 2 písm. b), h), i) a j) GDPR. Lze předpokládat, že právní řád nemůže správce stavět do situace, kdy by měl pro splnění právní povinnosti zpracovávat zvláštní kategorie údajů a zároveň se tím dopouštěl nezákonného zpracování dle GDPR. Tato konstrukce tak nepřímo klade požadavky na zákonodárce, aby nestanovoval zákonné povinnosti vyžadující zpracování zvláštních kategorií údajů, které nespadají do kategorií předvídaných v čl. 9 odst. 2 GDPR.[4]

V této souvislosti je třeba uvést, že v souladu se stanoviskem Pracovní skupiny WP 29 č. 6/2014 je nutno právní povinnost vykládat restriktivně. Právním titulem plnění právní povinnosti tak bude pouze takové ustanovení právního předpisu, které správci nedává možnost svobodně rozhodnout. Jestliže je zákonem či jiným právním předpisem dána možnost, o jejímž využití správce rozhoduje svobodně, relevantní zvláštní právní titul dle článku 9 odst. 2 již nebude možné kombinovat s právním titulem plnění právní povinnosti, ale s právním titulem oprávněného zájmu správce či třetí strany dle článku 6 odst. 1 písm. f) GDPR.

Některé důvody zpracování běžných údajů jsou pro zvláštní kategorie údajů nepřípustné

Některé důvody zpracování jsou výslovně uvedené v čl. 6 odst. 1 GDPR pro všechny osobní údaje, avšak již je nelze bez dalšího využít jako výjimku zpracování zvláštních kategorií osobních údajů ve smyslu čl. 9 odst. 2 GDPR.

Takový závěr by se vztahoval např. na zpracování nezbytné pro plnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR, které dle čl. 9 odst. 2 GDPR není přípustné pro zvláštní kategorie údajů s výjimkou plnění povinností v oblasti pracovního práva a sociálního zabezpečení ve smyslu čl. 9 odst. 2 písm. b) GDPR a případně s výjimkou zpracování nezbytného pro určení, výkon nebo obhajobu právních nároků dle čl. 9 odst. 2 písm. f) GDPR.

V takovém případě by bylo titul oprávněného zájmu dle článku 6 odst. 1 písm. f) GDPR pro zvláštní kategorie údajů možné aplikovat bez splnění dalších podmínek pouze pro oprávněné zájmy v oblasti určení, výkonu nebo obhajoby právních nároků dle čl. 9 odst. 2 písm. f) GDPR.

Výjimky ze zákazu zpracování zvláštních kategorií údajů výslovně neuvedené pro běžné údaje (včetně zpracování zveřejněných údajů)

Výjimky ze zákazu zpracování zvláštních kategorií údajů dle čl. 9 odst. 2 GDPR naopak obsahují některé důvody zpracování, které nejsou výslovně uvedeny ve výčtu obecných důvodů zpracování dle čl. 6 odst. 1 GDPR. Úvodní body odůvodnění („recitály“) GDPR k tomu neposkytují žádné vysvětlení.

Nelze předpokládat, že by čl. 9 odst. 2 GDPR připouštěl v těchto případech zpracování zvláštních kategorií údajů, pokud by takové zpracování bylo podle čl. 6 odst. 1 GDPR nezákonné a zároveň není pravděpodobné, že by účelem bylo umožnit správci zpracovávat jen zvláštní kategorie údajů, přičemž běžné osobní údaje jako např. identifikační údaje, by zpracovávat nemohl. Pro tuto diskrepanci zbývají jen dvě možná vysvětlení:

• zpracování z těchto důvodů musí být vždy podřaditelné pod některý důvod zpracování dle čl. 6 odst. 1 GDPR, nebo
• tyto důvody zpracování je třeba považovat za samostatné (další) důvody zpracování, které nejsou v čl. 6 odst. 1 GDPR výslovně uvedené.

Na základě výše uvedených možností se domníváme se, že na základě systematického výkladu a na základě výše uvedeného lze předpokládat, že zpracování zvláštních kategorií osobních údajů je i při splnění podmínek čl. 9 odst. 2 GDPR vždy třeba podřadit pod některý důvod zpracování dle čl. 6 odst. 1 GDPR, i když na první pohled není, nebo nemusí být, zjevné pod který.

Zjevné nemusí být zejména podřazení důvodu zpracování údajů nadací, sdružením nebo jiným neziskovým subjektem dle čl. 9 odst. 2 písm. d) GDPR, zpracování údajů zjevně zveřejněných subjektem údajů dle čl. 9 odst. 2 písm. e) GDPR a zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely dle čl. 9 odst. 2 písm. j) GDPR.

• Zpracování údajů nadací, sdružením nebo jiným neziskovým subjektem dle čl. 9 odst. 2 písm. d) GDPR
  
  Takové zpracování je dle našeho názoru možné obecně podřadit zejména pod zpracování pro účely oprávněných zájmů dle čl. 6 odst. 1 písm. f) GDPR. Dodatečné podmínky uvedené v 9 odst. 2 písm. d) GDPR pak pravděpodobně představují kritéria pro účely balančního testu podle čl. 6 odst. 1 písm. f) GDPR, který je blíže rozveden v bodě 2 tohoto dokumentu.
   
• Zpracování údajů zjevně zveřejněných subjektem údajů dle čl. 9 odst. 2 písm. e)  
  
  Lze předpokládat, že zpracování již zveřejněných údajů je možné rovněž podřadit především pod zpracování pro účely oprávněných zájmů dle čl. 6 odst. 1 písm. f) GDPR.
  
  Podle výše uvedené argumentace vycházející především ze systematického výkladu GDPR by zpracování zveřejněných údajů bylo přípustné v rámci oprávněných zájmů správce dle čl. 6 odst. 1 písm. f) GDPR. Pro zpracování zvláštních kategorií údajů by navíc platila podmínka zjevného zveřejnění samotným subjektem údajů.
  
  Ostatně obdobný závěr rovněž akceptoval Úřad pro ochranu osobních údajů, když k přebírání (a dalšímu zveřejňování) osobních údajů z veřejných rejstříků konstatoval: „Úřad dospěl k závěru, že dané zpracování lze v této formě založit na právním titulu upraveném v čl. 6 odst. 1 písm. f) [GDPR], neboť kontrolovaná osoba má oprávněný zájem na dalším zveřejnění osobních údajů podnikatelů získaných z veřejných rejstříků (v podobě zajištění ekonomické stránky své podnikatelské činnosti).“[5]
   
• Zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely dle čl. 9 odst. 2 písm. j) GDPR  
  
  Tyto tituly pro zpracování zvláštních kategorií dat je možné podřadit buď pod plnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR nebo pod plnění úkolu ve veřejném zájmu dle čl. 6 odst. 1 písm. e) GDPR.
  
  V případě tohoto specifického důvodu je rovněž případně možné zvažovat, že čl. 89 GDPR, který členským státům umožňuje derogaci[6] od některých ustanovení GDPR pro účely archivace, statistiky a výzkumu, je samostatným důvodem zpracování, jdoucím nad rámec důvodů uvedených v čl. 6 odst. 1 GDPR, přestože jeho text není takto výslovně formulován (k tomu rovněž srov. čl. 5 odst. 1 písm. b) GDPR).

Rozsah přípustného zpracování zveřejněných údajů

Balanční test

Jestliže správce zakládá zpracování osobních údajů na oprávněném zájmu, což bude dle výše uvedené argumentace i zpracování již zveřejněných údajů, je dle bodu 47 odůvodnění GDPR povinen posoudit, zda tyto oprávněné zájmy převažují nad zájmy nebo základními právy a svobodami subjektu údajů. Pokud oprávněné zájmy správce nepřeváží, je povinen osobní údaje subjektu dále nezpracovávat.

V případě již zveřejněných údajů může být v praxi těžké abstraktně porovnat zájmy správce na straně jedné a soukromí subjektu údajů na straně druhé. Z toho důvodu je správce dle bodu 47 odůvodnění GDPR oprávněn vycházet z přiměřených očekávání subjektu v konkrétní situaci. Pokud subjekt údajů zveřejnil či poskytl ke zveřejnění (viz bod 2.2 níže) údaje, aniž by mohl přiměřeně očekávat, že dojde k jejich zpracování zamýšlenému správcem (resp. účel dalšího zpracování je zcela odlišný od primárního účelu zveřejnění), bude výsledek balančního testu při zpracování takových údajů na základě oprávněného zájmu správce pravděpodobně negativní. Právo na ochranu soukromí subjektu údajů, který nemohl přiměřeně předpokládat, že jeho údaje budou zpracovány určitým způsobem, převáží nad oprávněným zájmem správce takto údaje zpracovávat. Naopak ale pokud subjekt údajů mohl při zveřejnění takové zpracování rozumně očekávat (resp. účel dalšího zpracování souvisí s účelem primárního zveřejnění), bude výsledek balančního testu pozitivní ve prospěch správce a zpracování bude přípustné.

Jestliže se tedy správci podaří prokázat, že subjekt při poskytnutí údajů mohl (a měl) přiměřeně očekávat, že údaje budou zpracovány tímto novým zamýšleným způsobem, bude to pro správce indikací pozitivního výsledku balančního testu, a tedy zákonnosti jím prováděného zpracování zveřejněných údajů.

Přestože test slučitelnosti v čl. 6 odst. 4 GDPR výslovně nezmiňuje zveřejnění osobních údajů, lze dovozovat, že další využití osobních údajů novým správcem zakládá nový účel zpracování. Toto nové využití osobních údajů (jiným) správcem tak bude podléhat tomuto testu slučitelnosti, v rámci kterého je (nový) správce povinen vyhodnotit, zda nové zamýšlené užití těchto zveřejněných údajů bude v souladu s původním účelem, pro který byly tyto osobní údaje zveřejněny (slovy čl. 6 odst. 4 písm. a) „pro který byly shromážděny“).

Výše popsaný balanční test založený zejména na přiměřených očekáváních subjektu údajů a účelu zpracování lze demonstrovat na zjevných extrémních příkladech: využití (zpracování) osobních údajů osob uvedených jako statutární orgány v obchodním rejstříku pro účely kontaktování právnické osoby prostřednictvím těchto osob (např. adresováno k jeho rukám) bude bez dalšího přípustné, protože subjekt údajů (fyzická osoba ve funkci statutárního orgánu) jednak mohl toto zpracování rozumně očekávat a navíc se jedná o účel přímo související s účelem, pro nějž jsou údaje v obchodním rejstříku primárně zveřejňovány. Naopak stejný subjekt údajů nemůže rozumně očekávat, že adresa jeho bydliště uvedená v obchodním rejstříku bude využita za účelem nabízení spotřebitelských produktů nesouvisejících s předmětem jeho podnikání; nejedná se o účel, který by jakkoliv souvisel s primárním účelem zveřejnění.

Obdobně, pokud podnikatel – fyzická osoba zveřejní na internetových stránkách své osobní údaje, bude oprávněně očekávat, že takto zveřejněné osobní údaje budou třetí osoby zpracovávat např. za účelem jeho kontaktování v souvislosti s jeho obchodní činností (zejména za účelem zasílání objednávek zákazníků, ale rovněž nabídek potenciálních dodavatelů) a takové zpracování v obvyklých případech projde balančním testem[7]. Naopak pokud by jeho osobní údaje byly zpracovávány např. za účelem kontaktování ve věcech zcela nesouvisejících s jeho obchodní činností, tak takové zpracování subjekt údajů neočekává a pravděpodobně by (až na výjimky[8]) neprošlo balančním testem.

K obdobným závěrům dospěl při své dozorové činnosti i Úřad pro ochranu osobních údajů, když ve výše citované kontrole shledal, že: „v daném případě je dán i zájem třetích osob, respektive veřejnosti, na dostupných a strukturovaných informacích o ekonomicky aktivních subjektech a obecně zájem na zvýšení transparentnosti podnikatelského prostředí. Další zpracování těchto osobních údajů, které se týkají výhradně ekonomické aktivity subjektů a nikoli rodinné či osobní sféry zároveň, nepředstavuje takový zásah do základních práv subjektů údajů, který by odůvodňoval závěr o tom, že zájmy subjektů údajů převáží tyto oprávněné zájmy. Zájmy subjektu údajů zásadně převáží až ve chvíli, kdy subjekt údajů vznese námitku proti tomuto zpracování.“[9]

Rovněž využívání údajů z insolvenčního rejstříku a jejich indexace a zpřístupnění široké veřejnosti (včetně zamezení přístupu internetových vyhledavačů a robotů) již přesahuje hranice legitimního očekávání subjektů údajů a představuje významný zásah do jejich soukromí.[10]

Nicméně většina praktických reálných situací není na jedné či druhé straně spektra a test přiměřeného očekávání je pro tyto situace obtížněji odůvodnitelný a předvídatelný. Příkladem může být analytika dat ze sociálních sítí[11] nebo zpracování zveřejněných politických názorů, k němuž se vyjadřoval Úřad pro ochranu osobních údajů[12] a jemuž se v reakci na stanovisko úřadu věnuje dřívější článek Zpracování údajů o politických názorech voličů na sociálních sítích pro volební kampaně.

Oprávněné zveřejnění údajů

Správce je dle GDPR oprávněn zpracovávat pouze údaje, které byly zveřejněny oprávněně.[13] U zvláštních kategorií údajů navíc platí požadavek zjevného zveřejnění subjektem údajů.

Oprávněně zveřejněnými údaji budou primárně údaje, které zveřejnil sám subjekt (např. subjekt zveřejní na své internetové stránce své kontaktní údaje) nebo které byly zveřejněny na základě právního předpisu (např. ve veřejném rejstříku). Vzhledem k tomu, že v prvním případě si správce nikdy nemůže být naprosto jistý, že dané údaje byly opravdu zveřejněny subjektem údajů, postačí, pokud lze v konkrétní situaci rozumně předpokládat, že ke zveřejnění došlo z vůle subjektu údajů. Tento závěr lze dovozovat i z výkladové praxe SDEU, který v jiném kontextu stanovil[14], že za určitých okolností lze za oprávněně zveřejněné údaje považovat i údaje nezveřejněné přímo subjektem, např. pokud byly údaje zveřejněny platformou, jejímuž poskytovateli subjekt údaje poskytl a zároveň byl srozuměn s tím, že k takto poskytnutým údajům budou mít přístup další osoby.

Závěr

Zpracování zveřejněných osobních údajů bude ve většině případů probíhat na základě oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR (v případě zvláštních kategorií údajů pouze těch zveřejněných přímo subjektem údajů v souladu s čl. 9 odst. 2 písm. e) GDPR).

Jakékoliv zpracování na základě oprávněného zájmu je třeba posoudit tzv. balančním testem. Zpracování bude zákonné, pokud nad oprávněný zájmem správce zpracovávat zveřejněného osobní údaje nepřeváží základní práva a svobody subjektů údajů vyžadující jeho soukromí. Základním kritériem posouzení by mělo být zejména očekávání subjektů ohledně zpracování těchto údajů a kompatibilita účelu, za nímž byly údaje primárně zveřejněny. Za určitých podmínek a v určitých individuálních případech bude zákonné i vytváření databází či katalogů ze zveřejněných údajů nebo datová analytika prováděná na základě oprávněného zájmu správce.

Správce by však měl umožnit subjektům údajů co nejjednodušší uplatnění námitek proti zpracování a práva na opravu a dále by měl v přiměřených odstupech ověřovat správnost údajů uvedených v databázi.

Zcela samostatnou otázkou (kterou se tento článek nezabývá) je pak plnění informační povinnosti vůči subjektům údajů, jejichž zveřejněné osobní údaje se správce chystá využívat. Ve výše citované kontrole soukromého internetového rejstříku podnikatelů Úřad pro ochranu osobních údajů dospěl k závěru, že informační povinnost (bez uvedení dalších detailů) byla splněna dostatečně. Obdobným případem (využívání zveřejněných údajů z polské obdoby obchodního a živnostenského rejstříku) se zabýval i polský dozorový orgán. Aniž bychom jakkoliv hodnotili přiměřenost daného rozhodnutí, polský dozorový orgán v tomto případě dospěl k závěru, že správce nedostatečně informoval subjekty údajů – správce totiž při využívání zveřejněných údajů zaslal informační email o zpracování těchto osobních údajů pouze subjektů, jejichž emailové adresy byly v těchto zdrojích uvedeny; ostatní subjekty neinformoval, a tudíž nesplnil povinnosti dle čl. 14 GDPR.[15]

Jana Pattynová,
PIERSTONE
e-mail:    jana.pattynova@pierstone.com

Dominik Vítek,
PIERSTONE
e-mail:    dominik.vitek@pierstone.com

PIERSTONE s.r.o., advokátní kancelář

Na Příkopě 9
110 00  Praha 1

Tel.:    +420 224 234 958

_________________________________
*Tento článek byl v upravené podobě publikován rovněž jako poziční dokument Spolku pro ochranu osobních údajů.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679, obecném nařízení o ochraně osobních údajů.
[2] Ustanovení § 5 odst. 2 písm. d) zákona č. 101/2000 Sb. , o ochraně osobních údajů, ve znění pozdějších předpisů.
[3] Podle článku 9 odst. 1 GDPR se zakazuje zpracování zde vypočtených zvláštních kategorií osobních údajů. Čl. 9 odst. 2 písm. e) pak stanoví, že ustanovení čl. 9 odst. 1 nepoužije, pokud se zpracování těchto zvláštních kategorií týká osobních údajů zjevně zveřejněných subjektem údajů.
[4] Tím není dotčena možnost zákonodárce stanovit další podmínky pro zpracování genetických a biometrických údajů či údajů o zdravotním stavu ve smyslu čl. 9 odst. 4 GDPR.
[5] Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků (Mladá fronta a.s.), k dispozici >>> zde.
[6] Čeští zákonodárci této možnosti využili v § 16 zákona č. 110/2019 Sb. o zpracování osobních údajů („ZZOÚ“). § 16 odst. 2 ZZOÚ navíc zavádí povinnost anonymizace zvláštních kategorií (citlivých) osobních povinnost tam, kde tomu nebrání oprávněné zájmy subjektu údajů.
[7] V této oblasti však upozorňujeme, že další úpravu může přinést nové chystané nařízení ePrivacy Regulation upravující, mj. užívání osobních údajů při zasílání obchodních sdělení.
[8] Lze zvažovat např. oprávněný zájem v případě poskytování zpravodajství.
[9] Kontrola zveřejňování osobních údajů na internetu v tzv. klonech veřejných rejstříků (Mladá fronta a.s.), k dispozici >>> zde.
[10] Srov. Kontrola zpracování veřejně přístupných údajů (společnost Úspěch Online s.r.o.), k dispozici >>> zde.
[11] Viz případová studie v příloze Pozičního dokumentu k možnostem zpracování zveřejněných údajů Spolku pro ochranu osobních údajů, z něhož vychází tento článek a který je k dispozici >>> zde.
[12] K dispozici >>> zde.
[13] Až na výjimky související např. s prosazováním svobody projevu.
[14] Např. závěry rozhodnutí SDEU ve věci Lindquist (C-101/01).
[15] Pro více informací viz např. shrnutí případu na stránkách Evropského sboru pro ochranu osobních údajů k dispozici >>> zde.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz