Ochrana osobních údajů a poskytování otevřených dat
Pojďme se podívat na právní limity pro Open Data, resp. odpověď na otázku, zda je možné zpracovávání osobních údajů, které jsou součástí tzv. Open Data, po 25. Květnu 2018, kdy se začalo uplatňovat Nařízení EU č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále označované jako „Nařízení“ nebo „GDPR“ z anglického „General Data Protection Regulation“), které bylo přijato v dubnu 2016 a je aplikovatelné od 25. května 2018. Jedná se o přímo aplikovatelnou normu ve všech členských státech EU a je prostředkem celoevropské reformy systému ochrany osobních údajů.
Zdrojem zpracovaných osobních údajů jsou veřejné registry, tedy oficiální registry státních institucí (např. Obchodní rejstřík, Živnostenský rejstřík a podobně). Registry, z nichž se osobní údaje sbírají, jsou jednak veřejné registry dostupné neurčitému okruhu uživatelů (např. Obchodní rejstřík, Živnostenský rejstřík a podobně), ale i registry, které jsou dostupné pouze na základě zvláštní žádosti a za úplatu (např. Centrální registr exekucí).
Osobní údaje, které se zpracovávají, jsou obsahem informací, které jsou volně a bezplatně (výjimečně za úplatu v případě Centrálního registru exekucí) dostupné pro každého za stejných podmínek, tzv. otevřená data, resp. Open Data. Otevřená data jsou zpřístupněna na internetu ve strukturované formě, která umožňuje jejich hromadné strojní zpracování.
Při poskytování informací ve formě otevřených dat je nezbytné dbát na to, zda se nejedná o osobní údaje, neboť v takovém případě musí zúčastněné osoby splnit související povinnosti správců údajů, s čímž je přímo spojena potřeba odlišit jednotlivé správce osobních údajů.
Zpracováním osobních údajů Nařízení rozumí jakoukoli činnost, která se týká osobních údajů. Aby správce mohl zpracování zahájit, potřebuje k tomu mít právní titul. Ty jsou taxativně vymezeny v čl. 6 odst. 1 Nařízení, čímž je pak naplněna i základní zásada zpracování osobních údajů ve smyslu Nařízení a to zákonnost zpracování.
V kontextu otevřených dat je třeba odlišit dva typy správců osobních údajů. Jsou jimi:
- A) poskytovatelé informací, kteří obvykle zpracovávají osobní údaje za účelem plnění svých právních povinností,
- B) ti, kteří data využívají, tedy nejčastěji tvůrci aplikací, které s daty pracují.
1) Na straně poskytovatele informací se situace různí dle toho, zda se jedná o povinné, či dobrovolné poskytování informací, tedy zda existuje zákonná povinnost zveřejňovat informace – osobní údaje, nebo zda by se rozhodl je poskytovat z vlastní vůle.
- Pokud existuje zákonná povinnost zveřejňovat informace, je právním titulem umožňujícím takové zveřejnění osobních údajů plnění právní povinnosti správce údajů, neboť osobní údaje není možné zveřejnit na základě volnosti uvážení. V tomto případě může osobní údaje zveřejňovat na základě právního titulu zpracování osobních údajů za účelem plnění právní povinnosti správce, případně při plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci dle čl. 6 odst. 1 písm. c) a e) Nařízení.
- V případě poskytování z vlastní vůle se na tento právní titul správce spolehnout nemůže a potřeboval by ke zpracování titul jiný. Teoreticky se nabízí například souhlas subjektu údajů se zpracováním, který je ale fakticky jen obtížně získatelný.
2) Na straně příjemce dat je aplikovatelný právní titul uvedený v čl. 6 odst. 1 písm. f) Nařízení, tedy zpracování údajů nezbytné za účelem ochrany práv a právem chráněných zájmů správce či třetí strany. Jiné právní tituly, které Nařízení nabízí, nejsou aplikovatelné, ať už z důvodu jejich textového vymezení, nebo z důvodu obtížné technické proveditelnosti a po nabytí účinnosti Zákona č. 110/2019 Sb. o zpracování osobních údajů rovněž zpracování za účelem výkonu práva na svobodu projevu.
Aby mohl být použit tento právní titul, musí správce údajů splnit dvě podmínky:
– zpracování je nezbytné pro účely oprávněných zájmu správce či třetí strany
– zpracování nepřiměřeným způsobem nezasahuje do soukromí subjektu údajů
Oprávněný zájem musí být dostatečně jasně vyjádřený, aby bylo možné prozkoumat jeho proporcionalitu s mírou zásahu do práv subjektu údajů, a nesmí být spekulativní. Vzájemné posouzení těchto dvou podmínek je pak klíčové pro určení toho, zda je možné tento právní titul aplikovat.
Zdroj: https://opendata.gov.cz/dokumenty:ochrana-osobn%C3%ADch-%C3%BAdaj%C5%AF-a-gdpr
Autor: Ministerstvo vnitra