2. 2. 2017
ID: 104926upozornění pro uživatele
Profilování ve světle nového obecného nařízení o ochraně osobních údajů (GDPR)
Dlouho připravované a dnes již platné Obecné nařízení o ochraně osobních údajů (dále jen „nařízení“)[1] známé také po zkratkou GDPR[2] nabude účinnosti dne 25. května 2018. Jednou z řady novinek, které nařízení přináší je i speciální úprava institutu profilování, která se s největší pravděpodobností významně dotkne celé řady správců osobních údajů. Profilování a analýza velkých objemů dat (big data) hrají klíčovou roli v růstu digitální ekonomiky.
Naše digitální stopy, které dnes každý z nás zanechává při práci s počítačem, telefonem, používání aplikace nebo využíváním internetu vytvářejí nebývalé příležitosti pro rozvoj průmyslu, zejména v oblasti poskytování služeb. Obrovské možnosti v oblasti zpracování dat (shromažďování velkých objemů dat, jejich analýza, sdílení apod.), které přinášejí nové komunikační a informační technologie, neunikly ani pozornosti regulátora, což vedlo k zahrnutí zvláštních pravidel pro profilování do nového právního rámce ochrany údajů – nařízení. Vzhledem k tomu, že se v zásadě jedná o novou úpravu, na kterou se váže řada dalších ustanovení tohoto nařízení, považujeme za žádoucí se profilováním podrobněji zabývat, poskytnout ucelený přehled nové regulace v této oblasti a rovněž se pokusíme nastínit dopady provádění profilování v souvislosti s ochranou osobních údajů.
Definice profilování podle nařízení
Nejdříve je nutné se podívat na to, jak je v nařízení profilování definováno. Definici profilování nalezneme společně s dalšími definicemi jednotlivých pojmů, konkrétně v článku 4 bod 4 nařízení. Zde je uvedeno, že „profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména za účelem rozboru nebo odhadu resp. analýzy či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu“. Již z této definice lze dovodit, že jako profilování ve smyslu nařízení může být a bude hodnocena celá řada aktivit prováděných obchodními společnostmi, ať již monitorování chování návštěvníků webových stránek za účelem marketingu či ve finančním sektoru mimo jiné za účelem poskytnutí úvěru, případně v pracovněprávní agendě např. v souvislosti s náborem nových zaměstnanců. Totožnou definici profilování a zmíněné příklady obsahuje i text ustanovení (71) recitálu nařízení, které o profilování mluví ve vztahu k tzv. automatizovanému rozhodování, jež si rozebereme níže.
I když se definice profilování na první pohled může jevit jako jasná a jednoznačná, považujeme za účelem objasnění případných výkladových problémů, ale i v souvislosti s již zmíněným automatizovaným rozhodováním vhodné rozebrat ji podrobněji. Abychom tedy určité zpracování osobních údajů mohli označit za profilování, musí být naplněny dva pojmové znaky profilování, konkrétně, že se jedná o automatizované zpracování a za druhé, že zpracovávané osobní údaje jsou použité k hodnocení nějakých osobních aspektů subjektu údajů, přičemž příklady těchto hodnocených aspektů jsou uvedeny výše. Zde se nabízí otázka, jaké zpracování již lze či nelze považovat za automatizované, a zda je tedy možné pod profilování podřadit i zpracování automatizované pouze částečně.
Profilování jako automatizované zpracování
Definici pojmu „automatizované zpracování“ nenalezneme ani v současné době ještě platné směrnici 95/46/ES ani v zákoně č. 101/2000 Sb. ale dokonce ani v nařízení, jak by se dalo předpokládat. K tomuto dotazu lze nalézt vodítko v jiné mezinárodní úpravě oblasti ochrany osobních údajů, a to v Úmluvě 108,[3] která v čl. 2 písm. c) definuje automatizované zpracování jako operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Na základě této definice pak lze dospět k závěru, že proces profilování ve smyslu nařízení nemusí být zcela automatizovaný, ale že může být zapojen i lidský faktor. Jako příklad lze uvést situaci, kdy daná osoba vloží do systému osobní údaje a ty jsou následně dle určitých kritérií dále vyhodnoceny. Na základě výše uvedeného můžeme dospět k závěru, že znak automatizovaného zpracování, je naplněn i v případě, kdy fyzická osoba použije pro zpracovatelské operace výpočetní techniku, např. drobný živnostník či hoteliér, který shromažďuje údaje o zvycích nebo zájmech svých klientů, které si ukládá do počítačového souboru, v němž jsou tyto údaje dle určitých parametrů uspořádávaný či kategorizovány. Bez dalšího se však v uvedeném ještě nemusí jednat o profilování, ale pouze o automatizované resp. částečně automatizované zpracování osobních údajů.
Výše uvedený výklad pak nepřímo potvrzují i věcně vymezené působnosti nařízení v článku 2, který říká, že nařízení se vztahuje na zcela anebo částečně automatizované zpracování, a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny, přičemž evidencí se podle nařízení rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska. V tomto ohledu nařízení k vymezení věcné působnosti přistupuje zcela stejně jako současná právní úprava, která je v českém právním řádu obsažena v zákoně o ochraně osobních údajů,[4] přičemž český zákon pro naplnění definice zpracování vyžaduje tzv. systematičnost prováděných operací s osobními údaji, tedy jinými slovy jakousi uspořádanost dle určitých hledisek. Tento bod tak lze uzavřít s tím, že o automatizované zpracování osobních údajů se bude jednat vždy, pokud jsou ke zpracování osobních údajů, resp. alespoň k některým operacím zpracování využívané automatizované prostředky či postupy.
Profilování jako zpracování vedoucí k hodnocení osobních aspektů fyzických osob
Druhou podmínkou nezbytnou k tomu, abychom profilování jako speciální způsob zpracování osobních údajů odlišili od běžného zpracování osobních údajů je, že zpracovávané osobní údaje musí být použité k hodnocení nějakých osobních aspektů fyzické osoby. Vzhledem k tomu, že v dnešním konkurenčním prostředí musí podnikatelské subjekty hledat nové a efektivní způsoby oslovování svých stávajících i potenciálních zákazníků a snaží se tak činit prostřednictvím nabízení tzv. produktů na míru, je pro ně často výhodné získat o konkrétních osobách např. návštěvnících svých webových stránek informace, na základě kterých je pak možné dané osobě přímo nabídnout produkt, který by jí nebo jemu vyhovoval. Tento trend lze zaznamenat například v oblasti telekomunikací, kde není neobvyklé, že telefonní operátor přímo osloví zákazníka s nabídkou výhodnějšího balíčku nebo v bankovnictví, kde jsou v internetovém bankovnictví často nabízené již předschválené úvěry v určité hodnotě. Z uvedeného tak jednoznačně plyne, že jako profilování podle nařízení bude možné hodnotit celou řadu činností, které se již dnes staly součástí běžného podnikatelského života zvláště internetového průmyslu, marketingu či finančního sektoru. A právě pro tato odvětví se může stát regulace profilování jedním z nejdůležitějších ustanovení nového nařízení, neboť zásadním způsobem zasáhne do jejich současné podnikatelské strategie. Pokud bude právnická nebo fyzická osoba provádět jakoukoliv činnost, jež naplní pojmové znaky profilování podle nařízení, bude muset plnit celou řadu povinností, které toto nařízení stanoví, neboť jak je výslovně uvedeno i v bodě (72) recitálu nařízení „na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody nebo zásady ochrany údajů“.
Nad rámec výše uvedeného je vhodné v této obecné části zdůraznit ještě jednu věc, a to povinnost správců osobních údajů posuzovat rizika zpracovatelských činností pro práva a svobody fyzických osob, tedy aplikovat tzv. přístup založený na riziku.[5] Tento nový koncept posuzování rizik je obsažen v celé řadě ustanovení nařízení a od výsledků posouzení rizik se častokrát odvíjí další povinnosti, jež musí správce plnit, např. povinnost provádět posouzení vlivu na ochranu osobních údajů. Jednoduše řečeno tento nový koncept zdůrazňuje povinnost správce při zpracováních osobních údajů posuzovat pravděpodobnost a závažnost rizik pro práva a svobody dotčených osob a podle těchto rizik nastavit adekvátní opatření a záruky ochrany osobních údajů. Z čl. 35 odst. 3 písm. a) i bodů (75) a (91) recitálu nařízení vyplývá povinnost správce osobních údajů tento přístup aplikovat a tedy posuzovat možná rizika pro práva a svobody subjektů údajů zejména v těch případech, kdy dochází k profilování. Jinými slovy, v některých případech může profilování znamenat vysoce rizikové zpracování, z kterého správci vyplývá řada dalších povinností.[6] Pokud se tedy správce osobních údajů rozhodne profilování provádět, měl by ještě před jeho zahájením posoudit možná rizika pro dotčené fyzické osoby.
Profilování, velká data (big data) a vytěžování dat (data mining)
V této části bychom chtěli stručně vymezit pojmy, které s profilováním úzce souvisí a s kterými se často setkáváme zejména v oblasti informačních a komunikačních technologií. Jedná se o pojem „big data“ neboli velká data a navazující „data mining“ aneb vytěžování dat. Profilování lze v této souvislosti chápat jako zvláštní druh zpracování, které je de facto založeno na vytěžování velkých objemů dat. Cílem takového zpracování je tvorba profilů, např. návrh, jaký obsah reklamy zacílit na jednotlivce. Pro spoustu společností je shromažďování a analyzování dat základem úspěchu jejich podnikání. Sbírají informace o svých uživatelích, jejich zázemí, zájmech, nákupních zvycích a o všem, co by jim pomohlo zjistit o nich co nejvíce informací. Znalost zákazníkových zájmů a přání představuje velkou konkurenční výhodu, neboť je spojena s tvorbou zisku.
Pojem big data souvisí s vývojem internetu a obrovským nárůstem generovaných dat, přičemž se nejedná pouze o informace osobní povahy, neboli osobní údaje, ale o data obecně, které jsou často úplně nestrukturovaná a nepřehledná, mluvíme tak o pojmu mnohem širším než osobní údaje. V tomto obrovském množství dat je však obsažena řada cenných informací, které můžou pro podnikatele představovat nové obchodní příležitosti nebo můžou sloužit např. k predikci některých společenských jevů či k statistickým účelům. Je tak velmi žádoucí z velkých dat vytěžovat ony cenné informace tak, aby mohly být dále využívány pomocí metody data miningu aneb procesu hledání korelace mezi daty. Z těchto vytěžených dat pak můžou být vytvářeny „profily“ osob a u těch jsou dále analyzovány právě určité osobní aspekty, což dále přispívá k efektivnímu využívání dostupných dat a informací. V okamžiku, kdy je možné takto vyprofilovaná data přiřadit k přímo či nepřímo identifikovatelné osobě, bude se jednat o profilování ve smyslu nařízení.
Nejtypičtějším případem využívání technik profilování je prostřednictvím sledování aktivit fyzických osob na internetu. Na zpracování osobních údajů prostřednictvím internetu pamatuje i nařízení a v bodě (24) recitálu označuje sledování fyzických osob na internetu, včetně využití profilování zejména za účelem přijetí rozhodnutí nebo analýzy či odhadu osobních preferencí, postojů a chování této fyzické osoby za monitoring chování subjektu údajů. Pokud pak k takovému monitoringu dochází u subjektu údajů nacházejících se v EU, tak v rozsahu, v němž k jejich chování dochází v EU se nařízení vztahuje i na správce nebo zpracovatele osobních údajů, kteří nejsou usazení v EU. Toto rozšíření působnosti regulace ochrany osobních údajů až za hranice EU hraje významnou roli pro subjekty údajů, kterým tak dává novou možnost za uvedených předpokladů uplatnit svá práva podle nařízení např. i u amerických společností, které v EU nemají žádnou provozovnu. Jak ale bude výkon práv vůči mimoevropským společnostem v praxi skutečně realizovatelný, a zda se nařízení povede zajistit opravdu účinnou ochranu subjektům údajů deklarovanou v jeho textu, zůstává otázkou, na kterou odpoví až praxe.
Profilování a automatizované individuální rozhodování
V kontextu nařízení je profilování velice úzce spojeno s tzv. automatizovaným individuálním rozhodováním. I přesto, že tento pojem v definičním ustanovení nařízení nenajdeme, je možné význam automatizovaného individuálního rozhodnutí dovodit z článku 22 odst. 1 nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“. Abychom tedy mohli mluvit o automatizovaném individuálním rozhodování ve smyslu nařízení, musí být splněny dvě podmínky. Za prvé se musí jednat o rozhodnutí založené výhradně na automatizovaném zpracování a za druhé, pro subjekt údajů musí mít toto rozhodnutí právní účinky nebo se ho musí obdobným způsobem významně dotýkat.
Co se týče automatizovaného zpracování osobních údajů obecně, lze vycházet z toho, co uvádíme výše v podkapitole „Definice profilování podle nařízení“. U automatizovaného individuálního rozhodování však nařízení v článku 22 odst. 1 navíc stanoví, že v tomto ustanovení uvedená práva a povinnosti se vztahují pouze na rozhodnutí, které je založené výhradně na automatizovaném zpracování, tedy i v kontextu odst. 3 stejného ustanovení zřejmě takového zpracování, u kterého nedochází k lidskému zásahu ze strany správce. Požadavek výhradní automatizace zpracování však dle našeho názoru nelze vykládat tak, že v žádné fázi daného zpracování k zásahu ze strany člověka vůbec nedochází, ale spíše v tom směru, že k lidskému zásahu nedochází ve fázi vyhodnocování informací, na kterém je rozhodnutí založeno. Pokud by se výklad nařízení ubíral tím směrem, že automatizovaný bez lidského zásahu musí být úplně celý proces zpracování, nemělo by toto ustanovení prakticky žádný význam, neboť i na procesu automatizovaného zpracování se minimálně ve fázi tvorby systému nebo zadávání hodnoticích kritérií musí podílet lidský faktor. O výhradně automatizovaném zpracování tak budeme hovořit pouze v případě takových zpracovatelských operací, které budou spočívat v hodnocení a navazujícím rozhodování bez přítomnosti lidského zásahu.
Druhou podmínkou aplikace článku 22 pak je, že dané rozhodnutí či rozhodování má pro subjekt údajů nějaké právní účinky nebo se ho obdobným způsobem významně dotýká. Co se týče právních účinků pro subjekt údajů, najdeme příklady situací, kdy rozhodování takové dopady mít bude v recitálu (71) nařízení, které explicitně uvádí automatizované zamítnutí on-line žádostí o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Dalším příkladem rovněž z pracovněprávní oblasti může být situace, kdy by zaměstnavatel na základě výhradně automatizovaného rozhodnutí vyvozoval pro zaměstnance pracovněprávní důsledky např. ukončení pracovního poměru. Co se však přesně myslí pod pojmem, že rozhodování se subjektu údajů musí obdobným způsobem významně dotýkat, však nařízení nikde blíže nespecifikuje. V čl. 35 odst. 3 a) je pak česká terminologie lehce upravená a místo toho, že se rozhodování musí subjektu údajů významně dotýkat, nařízení říká, že rozhodnutí musí mít ve vztahu k fyzickým osobám právní účinky nebo na ně mít „podobně závažný dopad“. V kontextu nařízení však mají tyto pojmy totožný význam, což lze mimo jiné dovodit také z původního anglického textu nařízení. Zákonodárce tím pravděpodobně chtěl aplikaci tohoto ustanovení vymezit pro širší okruh rozhodování, ne pouze těch, u kterých dochází k dopadům na fyzické osoby v právním pojímaní. Co se tedy týče tohoto bodu, je zatím na správcích, kteří provádí nebo zamýšlí provádět automatizované rozhodování ve výše uvedeném smyslu, aby posoudili, zda se rozhodnutí může dotčených osob nějakým způsobem významně dotýkat a v návaznosti na toto posouzení přizpůsobili další postup. Obecně lze říct, že např. automatizovaná rozhodnutí, na základě kterých je na jednotlivce cílena reklama, se pravděpodobně subjektu údajů nebudou významně dotýkat, resp. zřejmě pro něj nebudou představovat žádné významnější omezení, z kterých by se ono „významné dotčení“ dalo dovozovat, ale nemusí to platit bezpodmínečně. Finální výklad však pravděpodobně přinese až soudní praxe.
Tuto část lze uzavřít s tím, že profilování je jedním ze způsobů automatizovaného zpracování, o které se může opírat automatizované individuální rozhodování. Na základě profilování tak může i nemusí docházet k popsaným automatizovaným individuálním rozhodnutím a automatizované rozhodnutí můžou i nemusí být založeny na profilování. Pojmy profilování a automatizované rozhodování tedy nejsou v žádném případě významově totožné a i přesto, že jsou vzájemně úzce propojené je nutné je ve smyslu nařízení rozlišovat. Rozdíl je nutné zdůraznit i z toho důvodu, že pokud budeme mluvit o automatizovaném individuálním rozhodování, které je založeno na profilování či jiném zpracování, je v nařízení pro tento proces stanoven přísnější režim. Je tomu tak právě proto, že pokud se výsledné rozhodnutí fyzické osoby právně či jinak významně dotýká, může představovat mnohem závažnější zásah do práv a svobod dané fyzické osoby a způsobit jí závažnější ujmu. Práva subjektu údajů a povinnosti správce tak musí dostatečně korespondovat s možnými nežádoucími důsledky a dostatečně vyvažovat potenciální nebezpečí.
Související práva subjektu údajů a navazující povinnosti správce
Jak už asi nepřímo vyplývá z výše uvedeného, problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodování, má pro správce jako povinné osoby podle nařízení význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně některé speciální povinnosti spočívající v zajištění výkonu práv subjektů údajů. V této části na tyto práva a povinnosti upozorníme a pokusíme se je vysvětlit.
Právo nebýt předmětem automatizovaného rozhodnutí
Vzhledem k tomu co uvádíme výše o automatizovaném rozhodování je zřejmě nejzásadnější z těchto práv v článku 22 a v bodě (71) recitálu nařízení upravené právo subjektu údajů nebýt předmětem rozhodování založeného výhradně na automatizovaném zpracování, vč. profilování, pokud pro něj má toto rozhodnutí právní účinky nebo se ho obdobným způsobem významně dotýká. V článku 22 odst. 2 jsou pak upraveny situace, kdy se dikce odst. 1 nepoužije. V podstatě jsou v kontextu ochrany osobních údajů v odst. 2 speciálně upraveny právní tituly neboli v kontextu nařízení právní základy či důvody pro provádění zpracování osobních údajů, vč. profilování, na kterém je založeno rozhodnutí s právními účinky nebo jiným významným dopadem na subjekt údajů. Pokud tedy správce zamýšlí vydávat tato automatizovaná individuální rozhodnutí, musí ke zpracování přistupovat podobně, jak tomu doposud bylo u tzv. citlivých údajů[7] a tudíž postupovat v rámci přísnějšího režimu. Jiný režim spočívá právě v omezenějších možnostech pro zajištění zákonnosti zpracování a na rozdíl od postupu podle článku 6 nařízení, může zpracování založit pouze na třech právních důvodech (titulech) uvedených v článku 22 odst. 2. Jedná se o důvody spočívající v nezbytnosti uzavření nebo plnění smlouvy mezi správcem a subjektem údajů, v oprávnění stanoveným nějakým právním předpisem, který se na správce vztahuje a rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo ve výslovném souhlasu subjektu údajů.
Pokud správce zákonnost zpracování založí na výslovném souhlasu nebo nezbytnosti k uzavření či plnění smlouvy musí navíc přijmout vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů. Tímto opatřením musí být minimálně právo subjektu údajů na lidský zásah ze strany správce, právo subjektu údajů vyjádřit svůj názor a právo napadnout dané rozhodnutí. V praxi to bude znamenat, že správce by měl mít nastaven mechanizmus, v rámci kterého dotčená osoba kontaktuje správce a požádá, aby bylo automatizované rozhodnutí přehodnoceno např. odpovědným zaměstnancem správce.
Další zpřísnění požadavků kladených na správce pak nastává v situaci, kdy jsou k vydání automatizovaného individuálního rozhodnutí využívané tzv. zvláštní kategorie osobních údajů podle čl. 9 odst. 1 nařízení. V tomto případě pak má správce k dispozici pouze dva právní tituly pro automatizované zpracování a rozhodování, a to výslovný souhlas nebo významný veřejný zájem na základě práva,[8] přičemž však musí také zavést vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.
Informační povinnost a právo na přístup
S výše uvedeným právem velmi úzce souvisí některé další povinnosti správce, které na něj sice dopadají obecně, ale ve vztahu k automatizovanému rozhodování jsou v nařízení výslovně upraveny a správce by jim měl obzvlášť věnovat pozornost v případě provádění automatizovaného rozhodování. Tato práva a povinnosti jsou provedením principu transparentnosti, což je jeden z klíčových principů, na kterých jsou nařízení a celá (i současná) právní úprava ochrany osobních údajů postaveny. Nařízení věnuje principu transparentnosti zpracování osobních údajů podstatně víc pozornosti a prostoru než současná právní úprava. Úprava informační povinnosti správce osobních údajů vůči subjektu údajů a práva subjektu údajů na přístup k informacím o zpracování svých osobních údajů je obsažena ustanoveních článku 13 až 15 nařízení, a rovněž v recitálu v bodech (60) a (63).
Co se týče informací, které musí správci osobních údajů povinně poskytovat, rozlišuje nařízení dvě situace podle toho, zda jsou osobní údaje získávány přímo od subjektu údajů nebo je správce získal z nějakého jiného zdroje. Pokud však jde o obsah povinně poskytované informace, je v kontextu tohoto příspěvku informace totožná v obou případech. Správce osobních údajů tak podle nařízení musí pro zajištění spravedlivého a transparentního zpracování osobních údajů v okamžiku získání osobních údajů, nebo jestliže se jedná o postup podle článku 14, v odst. 3 uvedených lhůtách, poskytnout subjektu údajů mimo jiné informaci o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a smysluplné informace týkající se použitého postupu, tedy o tom, v čem spočívá logika automatizovaného zpracování, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Nad rámec výše uvedeného je správce povinen informovat subjekt údajů také o všech jeho právech vyplývajících z nařízení. Jedním z těchto práv je také právo subjektu údajů na přístup ke svým osobním údajům podle článku 15 nařízení. Mezi informacemi o zpracování osobních údajů, které je správce osobních údajů povinen subjektu údajů zpřístupnit, je rovněž informace o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a také o použitém postupu, významu a předpokládaných důsledcích pro dotčenou osobu. Obdobné informace pak musí obsahovat také závazná podniková pravidla podle článku 47 nařízení, pokud se je správce rozhodne využít jako nástroj pro předávání osobních údajů do třetích zemí.
Právo vznést námitku
Speciálně ve vztahu k profilování upravuje nařízení v oblasti ochrany osobních údajů zcela nové právo subjektu údajů, a to právo vznést námitku proti zpracování osobních údajů podle článku 21 nařízení. Toto právo může subjekt údajů z důvodů týkajících se jeho konkrétní situace využít kdykoliv v těch případech, kdy správce jeho osobní údaje zpracovává na základě článku 6 odst. 1 písm. e) nařízení, tedy z důvodu, že je takové zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmů nebo při výkonu veřejné moci, kterým je pověřen správce, nebo podle stejného ustanovení písm. d) v pro soukromou sféru relevantnějším případě, pokud je zpracování osobních údajů nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. V článku 21 odst. 1 nařízení je explicitně uvedené, že dané právo subjektu údajů se vztahuje i na profilování založené na výše uvedených právních důvodech. V odst. 2 tohoto článku je dále stanoveno, že pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
Pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.[9]
Stejně jak je tomu i u jiných práv subjektu údajů podle nařízení, i v tomto případě jej na toto právo musí správce výslovně upozornit, přičemž v tomto případě je navíc stanovena povinnost správce, že předmětná informace musí být uvedena zřetelně a odděleně od jakýchkoli jiných informací. Informovat subjekt údajů je nutné nejpozději v okamžiku první komunikace se subjektem údajů. Pro právo uplatnit námitku proti zpracování v souvislosti s využívaním služeb informační společnosti by subjekt měl mít možnost využít automatizovaných prostředků pomocí technických specifikací.
Závěr
Problematika profilování, coby zvláštní formy automatizovaného zpracování, případně jeho využívání k automatizovanému rozhodování, je poměrně rozsáhlá a bezpochyby bude mít závažné dopady do praxe mnoha společností, zejména společností provádějících tato zpracování v hojné míře již dnes. Vzhledem k hrozbě mnohonásobně vyšších sankcí oproti současné právní úpravě, jež nařízení předpokládá (až 20 mil. EUR či 4% celosvětového ročního obratu, cokoliv je vyšší), lze povinným osobám doporučit, aby v prvé řadě nepodcenily přípravu na nové nařízení. Proto i uvedení do souladu s tímto novým režimem, by se mělo stát cílem každého podniku, jehož strategie podnikání je založena na sběru velkých objemů dat a jejich vytěžování. Lze doporučit, aby takové podniky si již nyní provedly důkladnou analýzu stávajících procesů a činností, u kterých dochází ke zpracování osobních údajů založeném na automatizovaném rozhodování včetně profilování a přizpůsobily takové zpracování novým podmínkám stanoveným v nařízení včetně nastavení právního základu pro takovou činnost. Do budoucna rovněž není vyloučeno, že vzhledem k významu problematiky profilování v rámci digitálního trhu, se do věci nevloží Evropský sbor pro ochranu osobních údajů,[10] jehož role spočívá kromě jiného i v tom, že k důležitým tématům může vydávat pokyny, doporučení a osvědčené postupy za účelem jednotného uplatňování nařízení.[11]
Mgr. Zuzana Radičová,
právník/compliance v Raiffeisen stavební spořitelně
Mgr. David Burian,
vedoucí oddělení registračních činností Úřadu pro ochranu osobních údajů
_________________________________________
[*] V příspěvku jsou vyjádřeny osobní názory autorů, nikoliv názory jejich zaměstnavatelů.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, dostupné na www, k dispozici >>> zde.
[2] Podle anglického zkráceného názvu „General Data Protection Regulation“.
[3] Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108, 1981, vyhlášená pod č. 115/2001 Sb.m.s.
[4] Zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů.
[5] Více ohledně přístupu založeného na riziku (Risk Based Approach) podle nařízení naleznete v příspěvku autorů věnujícím se této problematice v časopise Bankovnictví č. 11/2016 „Posuzování rizik dle nového evropského nařízení o ochraně osobních údajů“.
[6] Více ohledně povinností správců ve vztahu k vysoce rizikovým zpracováni naleznete v příspěvku autorů „Nová regulace ochrany osobních údajů aneb na jaké změny se připravit“, epravo.cz, 3. 11. 2016 nebo v článku autorů „K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR)“, Právni prostor, 25.2. 2016.
[7] Citlivé osobní údaje definuje § 9 zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů. Nařízení používá nového označení, a to zvláštní kategorie osobních údajů.
[8] Článek 22 odst. 4 nařízení a článek 9 odst. 2 písm. a) anebo g).
[9] Článek 21 odst. 3 nařízení.
[10] Evropský sbor má podle GDPR nahradit Pracovní skupinu podle článku 29 směrnice 95/46/ES.
[11] Například co týče Evropského systému dohledu nad finančním trhem, tak společný výbor evropských orgánu dohledu (evropského orgánu dohledu pro bankovnictví, evropského orgánu dohledu pro pojišťovnictví a zaměstnanecké a penzijní pojištění a evropský orgán pro cenné papíry a trhy) již nedávno zahájil veřejnou diskuzi k využívání velkých dat finančními institucemi. Dostupné na www, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
Definice profilování podle nařízení
Nejdříve je nutné se podívat na to, jak je v nařízení profilování definováno. Definici profilování nalezneme společně s dalšími definicemi jednotlivých pojmů, konkrétně v článku 4 bod 4 nařízení. Zde je uvedeno, že „profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména za účelem rozboru nebo odhadu resp. analýzy či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu“. Již z této definice lze dovodit, že jako profilování ve smyslu nařízení může být a bude hodnocena celá řada aktivit prováděných obchodními společnostmi, ať již monitorování chování návštěvníků webových stránek za účelem marketingu či ve finančním sektoru mimo jiné za účelem poskytnutí úvěru, případně v pracovněprávní agendě např. v souvislosti s náborem nových zaměstnanců. Totožnou definici profilování a zmíněné příklady obsahuje i text ustanovení (71) recitálu nařízení, které o profilování mluví ve vztahu k tzv. automatizovanému rozhodování, jež si rozebereme níže.
I když se definice profilování na první pohled může jevit jako jasná a jednoznačná, považujeme za účelem objasnění případných výkladových problémů, ale i v souvislosti s již zmíněným automatizovaným rozhodováním vhodné rozebrat ji podrobněji. Abychom tedy určité zpracování osobních údajů mohli označit za profilování, musí být naplněny dva pojmové znaky profilování, konkrétně, že se jedná o automatizované zpracování a za druhé, že zpracovávané osobní údaje jsou použité k hodnocení nějakých osobních aspektů subjektu údajů, přičemž příklady těchto hodnocených aspektů jsou uvedeny výše. Zde se nabízí otázka, jaké zpracování již lze či nelze považovat za automatizované, a zda je tedy možné pod profilování podřadit i zpracování automatizované pouze částečně.
Profilování jako automatizované zpracování
Definici pojmu „automatizované zpracování“ nenalezneme ani v současné době ještě platné směrnici 95/46/ES ani v zákoně č. 101/2000 Sb. ale dokonce ani v nařízení, jak by se dalo předpokládat. K tomuto dotazu lze nalézt vodítko v jiné mezinárodní úpravě oblasti ochrany osobních údajů, a to v Úmluvě 108,[3] která v čl. 2 písm. c) definuje automatizované zpracování jako operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Na základě této definice pak lze dospět k závěru, že proces profilování ve smyslu nařízení nemusí být zcela automatizovaný, ale že může být zapojen i lidský faktor. Jako příklad lze uvést situaci, kdy daná osoba vloží do systému osobní údaje a ty jsou následně dle určitých kritérií dále vyhodnoceny. Na základě výše uvedeného můžeme dospět k závěru, že znak automatizovaného zpracování, je naplněn i v případě, kdy fyzická osoba použije pro zpracovatelské operace výpočetní techniku, např. drobný živnostník či hoteliér, který shromažďuje údaje o zvycích nebo zájmech svých klientů, které si ukládá do počítačového souboru, v němž jsou tyto údaje dle určitých parametrů uspořádávaný či kategorizovány. Bez dalšího se však v uvedeném ještě nemusí jednat o profilování, ale pouze o automatizované resp. částečně automatizované zpracování osobních údajů.
Výše uvedený výklad pak nepřímo potvrzují i věcně vymezené působnosti nařízení v článku 2, který říká, že nařízení se vztahuje na zcela anebo částečně automatizované zpracování, a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny, přičemž evidencí se podle nařízení rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska. V tomto ohledu nařízení k vymezení věcné působnosti přistupuje zcela stejně jako současná právní úprava, která je v českém právním řádu obsažena v zákoně o ochraně osobních údajů,[4] přičemž český zákon pro naplnění definice zpracování vyžaduje tzv. systematičnost prováděných operací s osobními údaji, tedy jinými slovy jakousi uspořádanost dle určitých hledisek. Tento bod tak lze uzavřít s tím, že o automatizované zpracování osobních údajů se bude jednat vždy, pokud jsou ke zpracování osobních údajů, resp. alespoň k některým operacím zpracování využívané automatizované prostředky či postupy.
Profilování jako zpracování vedoucí k hodnocení osobních aspektů fyzických osob
Druhou podmínkou nezbytnou k tomu, abychom profilování jako speciální způsob zpracování osobních údajů odlišili od běžného zpracování osobních údajů je, že zpracovávané osobní údaje musí být použité k hodnocení nějakých osobních aspektů fyzické osoby. Vzhledem k tomu, že v dnešním konkurenčním prostředí musí podnikatelské subjekty hledat nové a efektivní způsoby oslovování svých stávajících i potenciálních zákazníků a snaží se tak činit prostřednictvím nabízení tzv. produktů na míru, je pro ně často výhodné získat o konkrétních osobách např. návštěvnících svých webových stránek informace, na základě kterých je pak možné dané osobě přímo nabídnout produkt, který by jí nebo jemu vyhovoval. Tento trend lze zaznamenat například v oblasti telekomunikací, kde není neobvyklé, že telefonní operátor přímo osloví zákazníka s nabídkou výhodnějšího balíčku nebo v bankovnictví, kde jsou v internetovém bankovnictví často nabízené již předschválené úvěry v určité hodnotě. Z uvedeného tak jednoznačně plyne, že jako profilování podle nařízení bude možné hodnotit celou řadu činností, které se již dnes staly součástí běžného podnikatelského života zvláště internetového průmyslu, marketingu či finančního sektoru. A právě pro tato odvětví se může stát regulace profilování jedním z nejdůležitějších ustanovení nového nařízení, neboť zásadním způsobem zasáhne do jejich současné podnikatelské strategie. Pokud bude právnická nebo fyzická osoba provádět jakoukoliv činnost, jež naplní pojmové znaky profilování podle nařízení, bude muset plnit celou řadu povinností, které toto nařízení stanoví, neboť jak je výslovně uvedeno i v bodě (72) recitálu nařízení „na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody nebo zásady ochrany údajů“.
Nad rámec výše uvedeného je vhodné v této obecné části zdůraznit ještě jednu věc, a to povinnost správců osobních údajů posuzovat rizika zpracovatelských činností pro práva a svobody fyzických osob, tedy aplikovat tzv. přístup založený na riziku.[5] Tento nový koncept posuzování rizik je obsažen v celé řadě ustanovení nařízení a od výsledků posouzení rizik se častokrát odvíjí další povinnosti, jež musí správce plnit, např. povinnost provádět posouzení vlivu na ochranu osobních údajů. Jednoduše řečeno tento nový koncept zdůrazňuje povinnost správce při zpracováních osobních údajů posuzovat pravděpodobnost a závažnost rizik pro práva a svobody dotčených osob a podle těchto rizik nastavit adekvátní opatření a záruky ochrany osobních údajů. Z čl. 35 odst. 3 písm. a) i bodů (75) a (91) recitálu nařízení vyplývá povinnost správce osobních údajů tento přístup aplikovat a tedy posuzovat možná rizika pro práva a svobody subjektů údajů zejména v těch případech, kdy dochází k profilování. Jinými slovy, v některých případech může profilování znamenat vysoce rizikové zpracování, z kterého správci vyplývá řada dalších povinností.[6] Pokud se tedy správce osobních údajů rozhodne profilování provádět, měl by ještě před jeho zahájením posoudit možná rizika pro dotčené fyzické osoby.
Profilování, velká data (big data) a vytěžování dat (data mining)
V této části bychom chtěli stručně vymezit pojmy, které s profilováním úzce souvisí a s kterými se často setkáváme zejména v oblasti informačních a komunikačních technologií. Jedná se o pojem „big data“ neboli velká data a navazující „data mining“ aneb vytěžování dat. Profilování lze v této souvislosti chápat jako zvláštní druh zpracování, které je de facto založeno na vytěžování velkých objemů dat. Cílem takového zpracování je tvorba profilů, např. návrh, jaký obsah reklamy zacílit na jednotlivce. Pro spoustu společností je shromažďování a analyzování dat základem úspěchu jejich podnikání. Sbírají informace o svých uživatelích, jejich zázemí, zájmech, nákupních zvycích a o všem, co by jim pomohlo zjistit o nich co nejvíce informací. Znalost zákazníkových zájmů a přání představuje velkou konkurenční výhodu, neboť je spojena s tvorbou zisku.
Pojem big data souvisí s vývojem internetu a obrovským nárůstem generovaných dat, přičemž se nejedná pouze o informace osobní povahy, neboli osobní údaje, ale o data obecně, které jsou často úplně nestrukturovaná a nepřehledná, mluvíme tak o pojmu mnohem širším než osobní údaje. V tomto obrovském množství dat je však obsažena řada cenných informací, které můžou pro podnikatele představovat nové obchodní příležitosti nebo můžou sloužit např. k predikci některých společenských jevů či k statistickým účelům. Je tak velmi žádoucí z velkých dat vytěžovat ony cenné informace tak, aby mohly být dále využívány pomocí metody data miningu aneb procesu hledání korelace mezi daty. Z těchto vytěžených dat pak můžou být vytvářeny „profily“ osob a u těch jsou dále analyzovány právě určité osobní aspekty, což dále přispívá k efektivnímu využívání dostupných dat a informací. V okamžiku, kdy je možné takto vyprofilovaná data přiřadit k přímo či nepřímo identifikovatelné osobě, bude se jednat o profilování ve smyslu nařízení.
Nejtypičtějším případem využívání technik profilování je prostřednictvím sledování aktivit fyzických osob na internetu. Na zpracování osobních údajů prostřednictvím internetu pamatuje i nařízení a v bodě (24) recitálu označuje sledování fyzických osob na internetu, včetně využití profilování zejména za účelem přijetí rozhodnutí nebo analýzy či odhadu osobních preferencí, postojů a chování této fyzické osoby za monitoring chování subjektu údajů. Pokud pak k takovému monitoringu dochází u subjektu údajů nacházejících se v EU, tak v rozsahu, v němž k jejich chování dochází v EU se nařízení vztahuje i na správce nebo zpracovatele osobních údajů, kteří nejsou usazení v EU. Toto rozšíření působnosti regulace ochrany osobních údajů až za hranice EU hraje významnou roli pro subjekty údajů, kterým tak dává novou možnost za uvedených předpokladů uplatnit svá práva podle nařízení např. i u amerických společností, které v EU nemají žádnou provozovnu. Jak ale bude výkon práv vůči mimoevropským společnostem v praxi skutečně realizovatelný, a zda se nařízení povede zajistit opravdu účinnou ochranu subjektům údajů deklarovanou v jeho textu, zůstává otázkou, na kterou odpoví až praxe.
Profilování a automatizované individuální rozhodování
V kontextu nařízení je profilování velice úzce spojeno s tzv. automatizovaným individuálním rozhodováním. I přesto, že tento pojem v definičním ustanovení nařízení nenajdeme, je možné význam automatizovaného individuálního rozhodnutí dovodit z článku 22 odst. 1 nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“. Abychom tedy mohli mluvit o automatizovaném individuálním rozhodování ve smyslu nařízení, musí být splněny dvě podmínky. Za prvé se musí jednat o rozhodnutí založené výhradně na automatizovaném zpracování a za druhé, pro subjekt údajů musí mít toto rozhodnutí právní účinky nebo se ho musí obdobným způsobem významně dotýkat.
Co se týče automatizovaného zpracování osobních údajů obecně, lze vycházet z toho, co uvádíme výše v podkapitole „Definice profilování podle nařízení“. U automatizovaného individuálního rozhodování však nařízení v článku 22 odst. 1 navíc stanoví, že v tomto ustanovení uvedená práva a povinnosti se vztahují pouze na rozhodnutí, které je založené výhradně na automatizovaném zpracování, tedy i v kontextu odst. 3 stejného ustanovení zřejmě takového zpracování, u kterého nedochází k lidskému zásahu ze strany správce. Požadavek výhradní automatizace zpracování však dle našeho názoru nelze vykládat tak, že v žádné fázi daného zpracování k zásahu ze strany člověka vůbec nedochází, ale spíše v tom směru, že k lidskému zásahu nedochází ve fázi vyhodnocování informací, na kterém je rozhodnutí založeno. Pokud by se výklad nařízení ubíral tím směrem, že automatizovaný bez lidského zásahu musí být úplně celý proces zpracování, nemělo by toto ustanovení prakticky žádný význam, neboť i na procesu automatizovaného zpracování se minimálně ve fázi tvorby systému nebo zadávání hodnoticích kritérií musí podílet lidský faktor. O výhradně automatizovaném zpracování tak budeme hovořit pouze v případě takových zpracovatelských operací, které budou spočívat v hodnocení a navazujícím rozhodování bez přítomnosti lidského zásahu.
Druhou podmínkou aplikace článku 22 pak je, že dané rozhodnutí či rozhodování má pro subjekt údajů nějaké právní účinky nebo se ho obdobným způsobem významně dotýká. Co se týče právních účinků pro subjekt údajů, najdeme příklady situací, kdy rozhodování takové dopady mít bude v recitálu (71) nařízení, které explicitně uvádí automatizované zamítnutí on-line žádostí o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Dalším příkladem rovněž z pracovněprávní oblasti může být situace, kdy by zaměstnavatel na základě výhradně automatizovaného rozhodnutí vyvozoval pro zaměstnance pracovněprávní důsledky např. ukončení pracovního poměru. Co se však přesně myslí pod pojmem, že rozhodování se subjektu údajů musí obdobným způsobem významně dotýkat, však nařízení nikde blíže nespecifikuje. V čl. 35 odst. 3 a) je pak česká terminologie lehce upravená a místo toho, že se rozhodování musí subjektu údajů významně dotýkat, nařízení říká, že rozhodnutí musí mít ve vztahu k fyzickým osobám právní účinky nebo na ně mít „podobně závažný dopad“. V kontextu nařízení však mají tyto pojmy totožný význam, což lze mimo jiné dovodit také z původního anglického textu nařízení. Zákonodárce tím pravděpodobně chtěl aplikaci tohoto ustanovení vymezit pro širší okruh rozhodování, ne pouze těch, u kterých dochází k dopadům na fyzické osoby v právním pojímaní. Co se tedy týče tohoto bodu, je zatím na správcích, kteří provádí nebo zamýšlí provádět automatizované rozhodování ve výše uvedeném smyslu, aby posoudili, zda se rozhodnutí může dotčených osob nějakým způsobem významně dotýkat a v návaznosti na toto posouzení přizpůsobili další postup. Obecně lze říct, že např. automatizovaná rozhodnutí, na základě kterých je na jednotlivce cílena reklama, se pravděpodobně subjektu údajů nebudou významně dotýkat, resp. zřejmě pro něj nebudou představovat žádné významnější omezení, z kterých by se ono „významné dotčení“ dalo dovozovat, ale nemusí to platit bezpodmínečně. Finální výklad však pravděpodobně přinese až soudní praxe.
Tuto část lze uzavřít s tím, že profilování je jedním ze způsobů automatizovaného zpracování, o které se může opírat automatizované individuální rozhodování. Na základě profilování tak může i nemusí docházet k popsaným automatizovaným individuálním rozhodnutím a automatizované rozhodnutí můžou i nemusí být založeny na profilování. Pojmy profilování a automatizované rozhodování tedy nejsou v žádném případě významově totožné a i přesto, že jsou vzájemně úzce propojené je nutné je ve smyslu nařízení rozlišovat. Rozdíl je nutné zdůraznit i z toho důvodu, že pokud budeme mluvit o automatizovaném individuálním rozhodování, které je založeno na profilování či jiném zpracování, je v nařízení pro tento proces stanoven přísnější režim. Je tomu tak právě proto, že pokud se výsledné rozhodnutí fyzické osoby právně či jinak významně dotýká, může představovat mnohem závažnější zásah do práv a svobod dané fyzické osoby a způsobit jí závažnější ujmu. Práva subjektu údajů a povinnosti správce tak musí dostatečně korespondovat s možnými nežádoucími důsledky a dostatečně vyvažovat potenciální nebezpečí.
Související práva subjektu údajů a navazující povinnosti správce
Jak už asi nepřímo vyplývá z výše uvedeného, problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodování, má pro správce jako povinné osoby podle nařízení význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně některé speciální povinnosti spočívající v zajištění výkonu práv subjektů údajů. V této části na tyto práva a povinnosti upozorníme a pokusíme se je vysvětlit.
Právo nebýt předmětem automatizovaného rozhodnutí
Vzhledem k tomu co uvádíme výše o automatizovaném rozhodování je zřejmě nejzásadnější z těchto práv v článku 22 a v bodě (71) recitálu nařízení upravené právo subjektu údajů nebýt předmětem rozhodování založeného výhradně na automatizovaném zpracování, vč. profilování, pokud pro něj má toto rozhodnutí právní účinky nebo se ho obdobným způsobem významně dotýká. V článku 22 odst. 2 jsou pak upraveny situace, kdy se dikce odst. 1 nepoužije. V podstatě jsou v kontextu ochrany osobních údajů v odst. 2 speciálně upraveny právní tituly neboli v kontextu nařízení právní základy či důvody pro provádění zpracování osobních údajů, vč. profilování, na kterém je založeno rozhodnutí s právními účinky nebo jiným významným dopadem na subjekt údajů. Pokud tedy správce zamýšlí vydávat tato automatizovaná individuální rozhodnutí, musí ke zpracování přistupovat podobně, jak tomu doposud bylo u tzv. citlivých údajů[7] a tudíž postupovat v rámci přísnějšího režimu. Jiný režim spočívá právě v omezenějších možnostech pro zajištění zákonnosti zpracování a na rozdíl od postupu podle článku 6 nařízení, může zpracování založit pouze na třech právních důvodech (titulech) uvedených v článku 22 odst. 2. Jedná se o důvody spočívající v nezbytnosti uzavření nebo plnění smlouvy mezi správcem a subjektem údajů, v oprávnění stanoveným nějakým právním předpisem, který se na správce vztahuje a rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo ve výslovném souhlasu subjektu údajů.
Pokud správce zákonnost zpracování založí na výslovném souhlasu nebo nezbytnosti k uzavření či plnění smlouvy musí navíc přijmout vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů. Tímto opatřením musí být minimálně právo subjektu údajů na lidský zásah ze strany správce, právo subjektu údajů vyjádřit svůj názor a právo napadnout dané rozhodnutí. V praxi to bude znamenat, že správce by měl mít nastaven mechanizmus, v rámci kterého dotčená osoba kontaktuje správce a požádá, aby bylo automatizované rozhodnutí přehodnoceno např. odpovědným zaměstnancem správce.
Další zpřísnění požadavků kladených na správce pak nastává v situaci, kdy jsou k vydání automatizovaného individuálního rozhodnutí využívané tzv. zvláštní kategorie osobních údajů podle čl. 9 odst. 1 nařízení. V tomto případě pak má správce k dispozici pouze dva právní tituly pro automatizované zpracování a rozhodování, a to výslovný souhlas nebo významný veřejný zájem na základě práva,[8] přičemž však musí také zavést vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.
Informační povinnost a právo na přístup
S výše uvedeným právem velmi úzce souvisí některé další povinnosti správce, které na něj sice dopadají obecně, ale ve vztahu k automatizovanému rozhodování jsou v nařízení výslovně upraveny a správce by jim měl obzvlášť věnovat pozornost v případě provádění automatizovaného rozhodování. Tato práva a povinnosti jsou provedením principu transparentnosti, což je jeden z klíčových principů, na kterých jsou nařízení a celá (i současná) právní úprava ochrany osobních údajů postaveny. Nařízení věnuje principu transparentnosti zpracování osobních údajů podstatně víc pozornosti a prostoru než současná právní úprava. Úprava informační povinnosti správce osobních údajů vůči subjektu údajů a práva subjektu údajů na přístup k informacím o zpracování svých osobních údajů je obsažena ustanoveních článku 13 až 15 nařízení, a rovněž v recitálu v bodech (60) a (63).
Co se týče informací, které musí správci osobních údajů povinně poskytovat, rozlišuje nařízení dvě situace podle toho, zda jsou osobní údaje získávány přímo od subjektu údajů nebo je správce získal z nějakého jiného zdroje. Pokud však jde o obsah povinně poskytované informace, je v kontextu tohoto příspěvku informace totožná v obou případech. Správce osobních údajů tak podle nařízení musí pro zajištění spravedlivého a transparentního zpracování osobních údajů v okamžiku získání osobních údajů, nebo jestliže se jedná o postup podle článku 14, v odst. 3 uvedených lhůtách, poskytnout subjektu údajů mimo jiné informaci o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a smysluplné informace týkající se použitého postupu, tedy o tom, v čem spočívá logika automatizovaného zpracování, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Nad rámec výše uvedeného je správce povinen informovat subjekt údajů také o všech jeho právech vyplývajících z nařízení. Jedním z těchto práv je také právo subjektu údajů na přístup ke svým osobním údajům podle článku 15 nařízení. Mezi informacemi o zpracování osobních údajů, které je správce osobních údajů povinen subjektu údajů zpřístupnit, je rovněž informace o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a také o použitém postupu, významu a předpokládaných důsledcích pro dotčenou osobu. Obdobné informace pak musí obsahovat také závazná podniková pravidla podle článku 47 nařízení, pokud se je správce rozhodne využít jako nástroj pro předávání osobních údajů do třetích zemí.
Právo vznést námitku
Speciálně ve vztahu k profilování upravuje nařízení v oblasti ochrany osobních údajů zcela nové právo subjektu údajů, a to právo vznést námitku proti zpracování osobních údajů podle článku 21 nařízení. Toto právo může subjekt údajů z důvodů týkajících se jeho konkrétní situace využít kdykoliv v těch případech, kdy správce jeho osobní údaje zpracovává na základě článku 6 odst. 1 písm. e) nařízení, tedy z důvodu, že je takové zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmů nebo při výkonu veřejné moci, kterým je pověřen správce, nebo podle stejného ustanovení písm. d) v pro soukromou sféru relevantnějším případě, pokud je zpracování osobních údajů nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. V článku 21 odst. 1 nařízení je explicitně uvedené, že dané právo subjektu údajů se vztahuje i na profilování založené na výše uvedených právních důvodech. V odst. 2 tohoto článku je dále stanoveno, že pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
Pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.[9]
Stejně jak je tomu i u jiných práv subjektu údajů podle nařízení, i v tomto případě jej na toto právo musí správce výslovně upozornit, přičemž v tomto případě je navíc stanovena povinnost správce, že předmětná informace musí být uvedena zřetelně a odděleně od jakýchkoli jiných informací. Informovat subjekt údajů je nutné nejpozději v okamžiku první komunikace se subjektem údajů. Pro právo uplatnit námitku proti zpracování v souvislosti s využívaním služeb informační společnosti by subjekt měl mít možnost využít automatizovaných prostředků pomocí technických specifikací.
Závěr
Problematika profilování, coby zvláštní formy automatizovaného zpracování, případně jeho využívání k automatizovanému rozhodování, je poměrně rozsáhlá a bezpochyby bude mít závažné dopady do praxe mnoha společností, zejména společností provádějících tato zpracování v hojné míře již dnes. Vzhledem k hrozbě mnohonásobně vyšších sankcí oproti současné právní úpravě, jež nařízení předpokládá (až 20 mil. EUR či 4% celosvětového ročního obratu, cokoliv je vyšší), lze povinným osobám doporučit, aby v prvé řadě nepodcenily přípravu na nové nařízení. Proto i uvedení do souladu s tímto novým režimem, by se mělo stát cílem každého podniku, jehož strategie podnikání je založena na sběru velkých objemů dat a jejich vytěžování. Lze doporučit, aby takové podniky si již nyní provedly důkladnou analýzu stávajících procesů a činností, u kterých dochází ke zpracování osobních údajů založeném na automatizovaném rozhodování včetně profilování a přizpůsobily takové zpracování novým podmínkám stanoveným v nařízení včetně nastavení právního základu pro takovou činnost. Do budoucna rovněž není vyloučeno, že vzhledem k významu problematiky profilování v rámci digitálního trhu, se do věci nevloží Evropský sbor pro ochranu osobních údajů,[10] jehož role spočívá kromě jiného i v tom, že k důležitým tématům může vydávat pokyny, doporučení a osvědčené postupy za účelem jednotného uplatňování nařízení.[11]
Mgr. Zuzana Radičová,
právník/compliance v Raiffeisen stavební spořitelně
Mgr. David Burian,
vedoucí oddělení registračních činností Úřadu pro ochranu osobních údajů
_________________________________________
[*] V příspěvku jsou vyjádřeny osobní názory autorů, nikoliv názory jejich zaměstnavatelů.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, dostupné na www, k dispozici >>> zde.
[2] Podle anglického zkráceného názvu „General Data Protection Regulation“.
[3] Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108, 1981, vyhlášená pod č. 115/2001 Sb.m.s.
[4] Zákon č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů.
[5] Více ohledně přístupu založeného na riziku (Risk Based Approach) podle nařízení naleznete v příspěvku autorů věnujícím se této problematice v časopise Bankovnictví č. 11/2016 „Posuzování rizik dle nového evropského nařízení o ochraně osobních údajů“.
[6] Více ohledně povinností správců ve vztahu k vysoce rizikovým zpracováni naleznete v příspěvku autorů „Nová regulace ochrany osobních údajů aneb na jaké změny se připravit“, epravo.cz, 3. 11. 2016 nebo v článku autorů „K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR)“, Právni prostor, 25.2. 2016.
[7] Citlivé osobní údaje definuje § 9 zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů. Nařízení používá nového označení, a to zvláštní kategorie osobních údajů.
[8] Článek 22 odst. 4 nařízení a článek 9 odst. 2 písm. a) anebo g).
[9] Článek 21 odst. 3 nařízení.
[10] Evropský sbor má podle GDPR nahradit Pracovní skupinu podle článku 29 směrnice 95/46/ES.
[11] Například co týče Evropského systému dohledu nad finančním trhem, tak společný výbor evropských orgánu dohledu (evropského orgánu dohledu pro bankovnictví, evropského orgánu dohledu pro pojišťovnictví a zaměstnanecké a penzijní pojištění a evropský orgán pro cenné papíry a trhy) již nedávno zahájil veřejnou diskuzi k využívání velkých dat finančními institucemi. Dostupné na www, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
