Práva subjektu údajů podle GDPR – hrozba pro provozovatele kamerových systémů III. – Právo na přenositelnost
V předcházejícím publikovaném výkladu jsme se věnovali prvnímu z nových obecných oprávnění subjektu údajů – právu na výmaz. Nyní obracíme pozornost k druhému z těchto práv, které subjektům údajů přináší GDPR – právu na přenositelnost.
Toto právo je garantováno prostřednictvím článku 20 GDPR, podle něhož má subjekt údajů právo získat osobní údaje, které se ho týkají, jež poskytl správci, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.
Ani toto právo, stejně jako právo na výmaz, nebude možné uplatnit ve všech případech, kdy ke zpracování osobních údajů dochází. V kontextu čl. 20 odst. 1 bude možné toto právo uplatnit jen v několika v čl. 20 (taxativně) uváděných případech.
- Půjde o situaci, kdy je zpracování založeno na souhlasu subjektu údajů podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) GDPR;
- Půjde o situaci, kdy je zpracování založeno na smlouvě se subjektem údajů podle čl. 6 odst. 1 písm. b) GDPR;
- Půjde o zpracování, které se provádí automatizovaně.
Pro správce nebo zpracovatele, kteří zpracovávají osobní údaje prostřednictvím kamerového systému, přicházejí v zásadě v úvahu všechny tyto možnosti. To vše proto, že ještě donedávna díky poměrně přísnému postoji Úřadu pro ochranu osobních údajů nebylo možné provozovat kamerový systém v obytném domě v zónách vstupu nebo vjezdu, ve výtahu apod. bez souhlasu všech osob, které v době bydlí. I když bylo toto stanovisko dlouhodobě kritizováno, teprve až v roce 2016 UOOU tento svůj postoj změnil a prostřednictvím novelizovaného stanoviska 1/2006 (novela viz 1/20161) vyjádřil, že pro provoz kamerových systému v bytových domech hodlá nadále připouštěn jako právní titul tzv. oprávněný zájem správce nebo třetí osoby. Proto je i v tomto kontextu vhodné se zabývat výše zmiňovaným stanoviskem WP 29 č. 217.
V zásadě je tak vhodné, aby ti správci, kteří stále disponují sbírkou souhlasů všech svých členů (v případě společenství) nebo dalších osob, které zde bydlí, tyto souhlasy velmi rychle zlikvidovali a všechny osoby informovali o tom, že nadále považují jako právní titul pro zpracování osobních údajů jinou podmínku, dnes uvedenou v § 5 odst. 2 písm. f) zákona č. 101/2000 Sb. a do budoucna v čl. 6 odst. 1 písm. f) GDPR (tj. oprávněný zájem správce pozn. autorky).
Pokud se jedná o možné zpracování OU na základě smlouvy, ani v tomto případě se nedá vyloučit, že z dosavadní praxe některých developerů, kdy souhlas nebo článek o zpracování osobních údajů a jejich podmínkách byl přímo součástí smlouvy, kterou fyzické osoby nabývaly své vlastnictví bytových jednotek, bude stále platným ujednáním mezi subjektem údajů a provozovatelem kamerového systému a díky tomu bude moci smluvní strana uplatnit své právo na přenositelnost. Rovněž v těchto případech, kdy bude muset stejně proběhnout nová informační kampaň v souvislosti s dopady GDPR, bude vhodné některé tyto přežitky minulosti odstranit a dále v nich nepokračovat, pokud se tak smluvní strany dohodnou.
Zbývá tak třetí důvod, kdy subjekt údajů bude své právo uplatňovat vůči provozovateli kamerového systému, a to za situace, kdy zpracování, které správce nebo z jeho pověření provozovatel provádějí, probíhá automatizovaně.
V poslední době se ovšem autorka setkává s tím, že výraz „automatizovaně“, který je běžně v této souvislosti používán, není zcela přesný, respektive je matoucí, protože v některých případech by měl být nahrazen pojmem „automaticky“, a to zejména v případě aplikace čl. 22 GDPR; v případě provozování běžného kamerového systému, který nepoužívá nějaké vnitřní technické metody pro vyhodnocování chování monitorovaných osob, ale jejich chování je vyhodnoceno „okem“ pozorovatele – monitorující fyzické osoby, je výraz automatizovaně na místě. Proto se lze domnívat, že v souladu s čl. 20 odst. 1 písm. b) GDPR bude provozovatel kamerového systému povinen žádostem o přenositelnost obvykle vyhovět.
Podle článku 20 odst. 2 má subjekt údajů při výkonu svého práva na přenositelnost údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému. To vše za předpokladu, že tento přenos dat je technicky proveditelný. A právě v tom může spočívat jisté riziko pro správce za situace, když během přenosu dat dojde k bezpečnostnímu incidentu a data jsou poškozena, zničena nebo odcizena. V této souvislosti je třeba se ptát, kdo bude za tento incident odpovědný? Původní správce jistě ne, pokud data bezpečně opustila jím chráněný a provozovaný informační systém. Nový správce asi také ne, jestliže data k němu doputovala již poškozená během přenosu a on kvalitu přenosu neovlivnil. Odpovědnost tak bude nejspíš na žadateli o přenos dat, který chybně odhadl kvalitu přenosu. Tohle jistě řada těch, kdo se na zpracování osobních údajů podílejí, nemusí vždy předpokládat. Proto je jistým doporučením, aby správce, pokud subjekt údajů trvá na přenosu dat přímou cestou k jinému správci, včas subjekt údajů upozornil na možná rizika přenosu a doporučil bezpečnější způsob, který spočívá v tom, že subjekt údajů sám převezme požadovaná data od původního správce – správce č. 1 – a sám je předá novému správci – správci č. 2. O předání a převzetí dat musí být pořízena dokumentace, aby byla opět zajištěna zásada odpovědnosti správce dle čl. 5 odst. 2 GDPR.
Podle čl. 20 odst. 3 výkonem práva na přenositelnost není dotčen článek 17, který řeší podmínky pro výkon práva na výmaz osobních údajů. Jinými slovy to znamená, že nezávisle na tom, zda subjekt údajů uplatní právo na přenositelnost podle článku 20 GDPR, může uplatnit právo být zapomenut podle článku 17 GDPR. Touto zdánlivě nezajímavou větou tak GDPR dává odpověď na otázku, kterou si řada povinných subjektů v souvislosti s očekáváním dopadů práva na přenositelnost klade, tedy zda si po té, co vyhoví žádosti na přenositelnost, kterou subjekt údajů uplatní, může ponechat kopii přenesených osobních údajů. Na rozdíl od práva na přístup podle čl. 15 GDPR, kde se jasně v odstavci třetím hovoří o kopii zpracovávaných osobních údajů, v článku 20 žádná taková zmínka není. To by mohlo vést k pochybám, zda je právem odpovědného subjektu si kopii uchovat. Odpověď zni ano, a důvodů pro ni je hned několik. Kromě již zmiňovaného odstavce 3 v článku 20 GDPR, který by jinak nemohl být naplněn, je tu ještě i navazující ustanovení odstavce čtvrtého, které správci ukládá, aby před přenosem dat zajistil, aby nebyla nepříznivě dotčena práva a svobody jiných osob.
Při provozu kamerového systému je zcela běžné, že na pořízených záběrech je více než jedna osoba, nebo jde o monitorování prostor, kde se nachází majetek (sklepy, garážová stání), který vlastní více osob. Proto asi nebude vhodné, aby během realizace práva na přenositelnost provozovatel kamerového systému předal všechny požadované záznamy, a to ani za situace, kdy jde o záznam týkající se vizuálně jedné osoby, protože nemůže předem předpokládat, že stejná sekvence nebude využitelná i pro další osobu, které se může přímo dotýkat. Současně by se správce výdejem dat připravil o vlastní důkazní materiál pro případ možného sporu se subjektem údajů.
Zkrátka, i když to v článku 20 není přímo uvedeno, rozhodně lze doporučit, aby správce, pokud vyhoví žadateli o přenos dat, sám dále disponoval všemi záznamy, které pořídil s přihlédnutím k zásadám pro zpracování osobních údajů dle článku 5 GDPR.
Pro veřejný sektor obsahuje článek 20 jednu výjimku: ve svém odst. 3 přímo uvádí, že „Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.“ Dopady této výjimky se však budou týkat spíše městských kamerových systémů provozovaných Policií ČR nebo Obecní policií, ale rozhodně tuto výjimku nebude moci využívat běžný (spolu)vlastník nemovitosti při provozu kamerového systému například v bytovém domě.
Závěr k právu na přenositelnost
Pro provozovatele kamerového systému, který slouží pro ochranu oprávněných zájmů správce nebo jiných osob, by nemělo být uplatnění práva na přenositelnost nějakou velkou hrozbou. Je však nezbytné, stejně jako u všech ostatních práv, postupovat při vyřizování těchto žádostí rozvážně, dbát na dodržení lhůt, které GDPR stanovilo v čl. 12 a poučit subjekt údajů o rizicích spojeným s neřízeným přenosem dat a o jeho odpovědnosti za případnou ztrátu informací. Pro řadu lidí tak bude mnohem bezpečnější převzít záznam a také ho osobně předat.
Poznámka
1 STANOVISKO č. 1/2016 Umístění kamerových systémů v bytových domech. ... Zpět
Autorka příspěvků JUDr. Alena Kučerová v souvislosti s novými pravidly pro ochranu osobních údajů (de facto v důsledku ochrany soukromí) se zaměřuje na práva subjektů údajů – tedy všech fyzických osob, které se ocitnou v dosahu kamer.
Dnešní příspěvek JUDr. Kučerové k uplatňování práv subjektů údajů se soustředil na výklad práva subjektu údajů na přenositelnost osobních údajů. Právo na to, aby byly osobní údaje předány přímo subjektu údajů nebo jím zvolené třetí straně má jednak důležité technické náležitosti – tady neopomíjí autorka upozorňovat na rizika spojená s přenosem – jednak toto právo souvisí také s problémem uplatňování souhlasu subjektu údajů. Je důležité konstatovat, že autorka vysvětluje spojitost uvedeného práva mj. s postojem Úřadu pro ochranu osobních údajů k používání kamer v bytových domech, které dozorový úřad po deseti letech novelizoval. JUDr. Kučerová ve svém výkladu tento fakt důsledně zohledňuje: přináší i návod na praktickou reakci vyplývající z přehodnocení povinnosti udělení souhlasu, k níž novelizací došlo, a to včetně rozvahy o náležitosti postupu developerů, kteří souhlas zahrnovali již do svých smluv souvisejících s výstavbou domů vybavených kamerovou technikou. Stejně tak upozorňuje i na závažnost uchování kopie záznamů v případech, kdy právu na přenos je vyhověno – s ohledem na závažnost zachování vlastního důkazního materiálu správcem osobních údajů pro případ možného sporu se subjektem údajů.
Autorka svými výklady poskytuje nejen servis subjektům údajů, které mohou své právo uplatňovat, ale také uživatelům kamer. Jde o vyvážený přístup k uplatňování práva a dopadů jeho uplatňování. Je tedy zřejmé, že i v případě obou příspěvků se vysvětlení JUDr. Kučerové vyznačuje vyvážeností právního přístupu k právům i povinnostem, které je v Obecném nařízení obsaženo. Jejich autorka pochopení této kvality nového právního předpisu podstatně přispívá. Je třeba také říci, že její způsob vysvětlení velmi přirozeným a fundovaným způsobem neutralizuje řadu pochybností, které ve společnosti v souvislosti s novou právní úpravou ochrany osobních údajů někdy až agresivně zaznívají; a také je třeba říci, že takové projasnění smyslu i potřebných postupů není často součástí kvality mnoha pořádaných seminářů provázejících implementaci GDPR. Kvalita takového výkladu spočívá ale také v tom, že nabízí srozumitelný způsob intelektuálního výkonu, který zajisté implementace GDPR vyžaduje (a proto není snadná) a který je také do značné míry kamenem úrazu právě pro praktické zavedení funkčnosti GDPR. Pohodlnost z intuitivního využívání nových technických komunikačních prostředků by ji totiž zajisté ochotně ignorovala. Proto je rozhodně vítané, že srozumitelný, byť právně precizní, výklad, jaký nabízejí příspěvky JUDr. Aleny Kučerové, užitnost technických prostředků pro valnou většinu uživatelů usnadní. Záslužnost jejich publikování na TZB-info je proto nezpochybnitelná.