Nejnavštěvovanější odborný web
pro stavebnictví a technická zařízení budov
estav.tvnový videoportál

Práva subjektu údajů podle GDPR – hrozba pro provozovatele kamerových systémů II. – Právo na výmaz

V prvním dílu jsme se věnovali tomu, jak GDPR posiluje a rozšiřuje právo subjektu údajů na přístup ke shromážděným osobním údajům. Nyní obracíme pozornost k prvnímu z nových práv, které subjektům údajů přináší GDPR – právu na výmaz neboli právu být zapomenut.


© Fotolia.com

V návaznosti na předcházející články autorky, které se týkaly dopadů GDPR do práv subjektů údajů, která se stala již běžnou součástí našeho života – právo na informace a právo na přístup (která jsou již částečně regulována v aktuálně platném zákoně č. 101/2000 Sb.), se nyní komentovaná práva v oblasti obecných oprávnění subjektů údajů objevují nově. Prvních z nich je právo na výmaz nebo jinak právo být zapomenut, které je obsahem článku 17 GDPR, druhé – právo na přenositelnost údajů, které je garantováno prostřednictvím článku 20 GDPR a zaměříme na něj pozornost v třetí části našeho výkladu, který bude publikován následně.

Pokud jde o právo na výmaz, jde sice o velmi silně deklarovaný nárok fyzické osoby, podpořený textem čl. 17 odst. 1 GDPR, podle kterého „Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat“, to vše za podmínky, že je dán jeden z následně taxativně vyjmenovaných důvodů v navazujícím textu tohoto článku.

  • Podle názoru fyzické osoby (subjektu údajů) tak může jít o důvody spočívající v tom, že pro správce již zpracovávané osobní údaje nejsou potřebné pro účely, pro které byly shromážděny;
  • Rovněž se bude jednat o situaci, kdy subjekt údajů odvolal nebo aktuálně odvolává svůj souhlas se zpracováním osobních údajů podle čl. 6 odst. 1 písm. a) GDPR nebo výslovný souhlas se zpracováním zvláštních kategorií osobních údajů podle čl. 9 odst. 2 písm. a), a neexistuje žádný další právní důvod pro zpracování;
  • Dalším důvodem bude vznesení námitky proti zpracování ze strany subjektu údajů podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
  • Právo na výmaz může subjekt údajů dále uplatnit v situaci, kdy se domnívá, že jeho osobní údaje byly zpracovány protiprávně;
  • Rovněž muže jít o situaci, kdy osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
  • Posledním důvodem je pak skutečnost, že osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 GDPR.

Jak to vypadá, důvodů pro uplatnění práva na výmaz bude mít subjekt údajů vždy po ruce několik. Asi ty nejčastější budou spočívat v přesvědčení, že správce zpracovává osobní údaje protiprávně, a to jak z pouhého přesvědčení na straně fyzické osoby (subjektu údajů) nebo proto, že existuje kvalifikovaná domněnka (souhlas byl odvolán, nebo nebyl vydán v souladu s GDPR); dalším častým důvodem bude názor, že oprávněný zájem na straně správce není pro subjekt údajů dostatečně vyvážený s dopady na jeho soukromí.

Pokud správce takový požadavek obdrží, platí jako v ostatních případech pro řešení žádostí subjektu údajů poměrně přísná pravidla, která upravuje článek 12 GDPR, který je obecný a vztahuje se na způsob vyřizování všech oprávnění podle čl. 13 až 22 GDPR.

Především je třeba respektovat dobu nezbytnou pro vyřízení žádosti: V tomto směru je GDPR poměrně přísné. V čl. 12 odst. 3 se uvádí, že správce poskytne subjektu údajů na žádost informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.

Tuto lhůtu je možné prodloužit maximálně o další dva měsíce v případě potřeby a s ohledem na složitost a počet vyřizovaných žádostí. Proto se zde správci ukládá, aby informoval subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.

Další povinností je dodržet formu vyřízení žádosti. V tomto směru GDPR uvádí, že jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

Dále je nezbytná pro řádné vyřízení žádosti identifikace žadatele. Jak už bylo uváděno v minulém článku, správce nemůže riskovat, že vyhoví žadateli, aniž si bude jistý, že jde o fyzickou osobu (subjekt údajů), která je oprávněná takové právo nebo požadavek vůbec uplatnit.




V tomto směru podává pomocnou ruku opět samo Obecné nařízení (GDPR) prostřednictvím článku 11 a 12, kde se v odst. 2 uvádí, že správce by neměl odmítnout vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů, s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv podle uvedených článků poskytne dodatečné informace umožňující jeho identifikaci. Takže pokud se žadatel odmítá identifikovat, je nezbytné všechna jednání s ním a výzvy k identifikaci dokumentovat, protože důkazní břemeno v případě sporu o uplatnění práva bude vždy na straně správce.

Takže pokud proběhne identifikace žadatele úspěšně, měl by správce co nejrychleji přistoupit k posouzení vlastní žádosti o výmaz, respektive k posouzení důvodů na své straně, které svědčí ve prospěch oprávněnosti zpracování, které provádí.

Zde je vhodné uvést, že řada žadatelů o právo na zapomenutí bude odmítána, protože na straně správce bude zpracování probíhat dle kvalifikovaného oprávnění, které zmiňuje článek 17 odst. 3, podle kterého se právo na výmaz neuplatní, pokud je zpracování nezbytné:

  1. pro výkon práva na svobodu projevu a informace;
  2. pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
  3. z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;
  4. pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
  5. pro určení, výkon nebo obhajobu právních nároků.

V tomto ohledu půjde zejména o všechna zpracování, která jsou založena na kvalifikovaném právním titulu podle čl. 6 a 9 GDPR a nikoli na (výslovném) souhlasu. I když zde není výslovně uváděn např. právní titul podle čl. 6 odst. 1 písm. b), který se týká zpracování prováděného za účelem sjednání a plnění smlouvy se subjektem údajů, dá se dovodit, že pokud na základě platně uzavřeného smluvního vztahu mezi správcem a subjektem údajů zpracování osobních údajů probíhá, bylo by nesmyslné, aby náhle subjekt údajů vyžadoval výmaz svých údajů, a i když tak učiní, správce jeho žádosti nevyhoví, protože správci svědčí řada důvodů, které se váží k plnění smluvního vztahu jako právní povinnosti a dále možné právní nároky, které mu na základě smlouvy vznikly nebo vzniknout mohou.

Rovněž novinářská obec zde nachází kvalifikovaný důvod pro zpracování osobních údajů, které úzce souvisejí s uplatněním práva na svobodu projevu a informace.

Pokud jde o hlavní téma tohoto článku, tedy dopady práva na výmaz pro provozovatele kamerového systému, pak ani ten nemusí zoufat, že po 25. květnu 2018 bude muset vymazávat své dosud legitimně shromážděné a uchovávané záznamy.

Pokud provozovatel kamerového systému obdrží žádost o výmaz osobních údajů ze záznamů konkrétní fyzické osoby (subjektu údajů), po provedení identifikace žadatele musí přezkoumat svůj test proporcionality, který provedl v době instalace systému a rozhodnout se, zda požadavku vyhoví nebo nikoliv. To je dost důležité zejména v situaci, kdy subjekt údajů bude tvrdit, že uchovávané záběry významně poškozují jeho právo na ochranu soukromí.

Budou následovat dvě možné a předvídatelné situace. Provozovatel systému se rozhodne žádosti o výmaz vyhovět a tuto informaci v souladu s čl. 17 odst. 1 tedy vymaže bezodkladně a následně o tom subjekt údajů v souladu s článkem 12 odst. 3 bez zbytečného prodlení bude informovat. Pokud nastanou problémy s vyhledáváním všech záběrů, na kterých došlo k monitorování žadatele, může tato lhůta pro podání informace činit až dva měsíce.

Druhou možnou situaci navozuje čl. 12 odst. 4 GDPR následujícím způsobem: „Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.“ Takže pokud se provozovatel kamerového systému rozhodne požadavku na výmaz nevyhovět, nic mu v tom nebrání, ale musí splnit právní podmínky GDPR a v případě přezkumu svého chování a rozhodnutí ze strany Úřadu pro ochranu osobních údajů svůj postoj obhájit.

Z očekávání GDPR je zřejmá již dříve komentovaná zásada odpovědnosti správce, která je vyjádřena v čl. 5 odst. 2: „Správce odpovídá za dodržení odstavce 1 (zásad zpracování pozn. autorky) a musí být schopen toto dodržení souladu doložit („odpovědnost“).“

Tím hlavním důvodem na straně správce, který je provozovatelem kamerového systému v obytném domě, bude existence oprávněného zájmu pro uchování kompletních záznamů, protože pokud se ze souboru dat vyjme určitá sekvence, mohlo by to následně při posuzování nějakého bezpečnostního incidentu/trestné činnosti v monitorovaných prostorách poškodit ostatní účastníky záznamem zachycených vztahů.

V této souvislosti lze provozovatelům doporučit, aby nečekali na spornou situaci, která nastane po 25. květnu 2018 a již dnes se na tyto stavy připravili – ozřejmili si pojem „oprávněný zájem“. Návodem k bližšímu chápání pojmu „oprávněný zájem“ je stanovisko WP 291 č. WP 217 přijaté dne 9. dubna 2014 jako „Stanovisko č. 6/2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES“. V tomto stanovisku se evropští ochránci dat zabývají nejen samotným pojmem oprávněný zájem, když uvádějí, že „Pojem „zájem“ úzce souvisí s pojmem „účel“ uvedeném v článku 6 této směrnice (směrnice 95/46/ES – pozn. autorky), avšak je od něho odlišný. V debatě o ochraně údajů se „účelem“ rozumí konkrétní důvod, proč jsou údaje zpracovávány: cíl nebo záměr zpracování údajů. Zájmem se na druhé straně rozumí širší angažovanost správce při zpracování údajů nebo výhoda, která vzniká správci – nebo která může vzniknout společnosti – na základě tohoto zpracování údajů.

V dalším textu WP 29 pokračuje takto: „Zájem musí být formulován dostatečně jasně, aby umožnil provést ověření vyváženosti zájmů a základních práv subjektu údajů. Zájem, o nějž se jedná, musí být navíc rovněž „zájmem správce“. To vyžaduje skutečný a trvající zájem, který odpovídá současné činnosti nebo přínosům které jsou očekávány ve velmi blízké budoucnosti. Jinými slovy zájmy, které jsou příliš vágní a spekulativní, nebudou dostačující.

Z uvedeného vyplývá, že pokud zájem správce není závažný, je pravděpodobnější, že zájmy a práva subjektu údajů převýší oprávněné – ale méně významné – zájmy správce. Proto se WP 29 rozhodla v závěru dokumentu nabídnout určitý scénář, jak by měl každý správce provádět ověření vyváženosti svých zájmů, včetně toho, že je třeba zvážit, zda jsou k dosažení téhož cíle k dispozici jiné, méně invazivní prostředky. Blíže viz: Stručný návod, jak provádět ověření vyváženosti podle čl. 7 písm. f) na str. 56 stanoviska WP2172.

Závěr k právu na výmaz

I když bude muset často provozovatel kamerového systému řešit požadavky na výmaz zpracovávaných osobních údajů, rozhodně to neznamená, že bude jeho povinností všem žádostem vyhovět.


Poznámky

1 Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Jedná se o nezávislý evropský poradní orgán pro otázky ochrany údajů a soukromí. Její úkoly jsou popsány v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. ... Zpět

2 Stanovisko WP 29 č. 6 /2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES. ... Zpět

 
Komentář recenzenta PhDr. Hana Štěpánková

Autorka příspěvků JUDr. Alena Kučerová v souvislosti s novými pravidly pro ochranu osobních údajů (de facto v důsledku ochrany soukromí) se zaměřuje na práva subjektů údajů – tedy všech fyzických osob, které se ocitnou v dosahu kamer.

V dnešním příspěvku jde o právo na výmaz (jinak řečeno „právo být zapomenut“ – což je bohužel příliš doslovný český překlad, pro který se rozhodli autoři českého textu Obecného nařízení o ochraně osobních údajů: jde totiž vždy spíše o právo na to, aby byly zapomenuty určité – aktuálně irelevantní – skutečnosti o subjektu údajů, nikoli subjekt sám; toto poznamenáváme na okraj).

Autorka sumarizuje články GDPR tak, aby z právního hlediska zřetelně poukázala na situace (prakticky je taxativně pojmenovává), za nichž právo lze uplatňovat, a tedy lze také předpokládat, že subjekty údajů (fyzické osoby v dohledu kamer tak nejen mohou činit, ale zřejmě i činit budou); zároveň ale také vysvětluje, jak se mají zachovat v takových – jednotlivých případech uplatnění práva – uživatelé kamer (správci osobních údajů), aniž by jednak podléhali panice z toho, že může dojít k přísnějším dopadům na jejich záměry a účely, jež si pro využívání pomoci kamerových systémů vytyčili. Vysvětlujícím způsobem dává autorka „návod“, jak krok za krokem reagovat v souladu s novým právním předpisem; není opomenut ani fakt, že za určitých okolností lze požadavky na uplatnění práva v souladu s právním předpisem i odmítnout: tyto situace autorka pojmenovává, pochopitelně s plným respektem k právním krokům, které musí uživatel kamerového systému, kterého oslovil subjekt údajů, učinit v souladu s Obecným nařízením, a důsledně tyto kroky také jeden po druhém vysvětluje.

English Synopsis
GDPR data subject's rights - threat to camera system operators II. - The right to be erased

In the first part, we looked at how the GDPR strengthens and extends the data subject's right to access collected personal data. We now turn to the first of the new rights that GDPR brings to data subjects – the right to be erased or the right to be forgotten.

 
 
Reklama