epravo.cz

Přihlášení / registrace

Nemáte ještě účet? Zaregistrujte se


Zapomenuté heslo
    Přihlášení / registrace
    • ČLÁNKY
      • občanské právo
      • obchodní právo
      • insolvenční právo
      • finanční právo
      • správní právo
      • pracovní právo
      • trestní právo
      • evropské právo
      • veřejné zakázky
      • ostatní právní obory
    • ZÁKONY
      • sbírka zákonů
      • sbírka mezinárodních smluv
      • právní předpisy EU
      • úřední věstník EU
    • SOUDNÍ ROZHODNUTÍ
      • občanské právo
      • obchodní právo
      • správní právo
      • pracovní právo
      • trestní právo
      • ostatní právní obory
    • AKTUÁLNĚ
      • 10 otázek
      • tiskové zprávy
      • vzdělávací akce
      • komerční sdělení
      • ostatní
      • rekodifikace TŘ
    • Rejstřík
    • E-shop
      • Online kurzy
      • Online konference
      • Záznamy konferencí
      • EPRAVO.CZ Premium
      • Konference
      • Monitoring judikatury
      • Publikace a služby
      • Společenské akce
      • Advokátní rejstřík
      • Partnerský program
    • Předplatné
    2. 2. 2017
    ID: 104926upozornění pro uživatele

    Profilování ve světle nového obecného nařízení o ochraně osobních údajů (GDPR)

    Dlouho připravované a dnes již platné Obecné nařízení o ochraně osobních údajů (dále jen „nařízení“)[1] známé také po zkratkou GDPR[2] nabude účinnosti dne 25. května 2018. Jednou z řady novinek, které nařízení přináší je i speciální úprava institutu profilování, která se s největší pravděpodobností významně dotkne celé řady správců osobních údajů. Profilování a analýza velkých objemů dat (big data) hrají klíčovou roli v růstu digitální ekonomiky.

    Naše digitální stopy, které dnes každý z nás zanechává při práci s počítačem, telefonem, používání aplikace nebo využíváním internetu vytvářejí nebývalé příležitosti pro rozvoj průmyslu, zejména v oblasti poskytování služeb. Obrovské možnosti v oblasti zpracování dat (shromažďování velkých objemů dat, jejich analýza, sdílení apod.), které přinášejí nové komunikační a informační technologie, neunikly ani pozornosti regulátora, což vedlo k zahrnutí zvláštních pravidel pro profilování do nového právního rámce ochrany údajů – nařízení. Vzhledem k tomu, že se v zásadě jedná o novou úpravu, na kterou se váže řada dalších ustanovení tohoto nařízení, považujeme za žádoucí se profilováním podrobněji zabývat, poskytnout ucelený přehled nové regulace v této oblasti a rovněž se pokusíme nastínit dopady provádění profilování v souvislosti s ochranou osobních údajů.

    Definice profilování podle nařízení

    Nejdříve je nutné se podívat na to, jak je v nařízení profilování definováno. Definici profilování nalezneme společně s dalšími definicemi jednotlivých pojmů, konkrétně v článku 4 bod 4 nařízení. Zde je uvedeno, že „profilováním se rozumí jakákoli forma
    Reklama
    Nemáte ještě registraci na epravo.cz?

    Registrujte se, získejte řadu výhod a jako dárek Vám zašleme aktuální online kurz na využití umělé inteligence v praxi.

    REGISTROVAT ZDE
    automatizovaného zpracování osobních údajů spočívající v jejich použití
    Reklama
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    5.8.2025 13:003 975 Kč s DPH
    3 285 Kč bez DPH

    Koupit

    k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména za účelem rozboru nebo odhadu resp. analýzy či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu
    “. Již z této definice lze dovodit, že jako profilování ve smyslu nařízení může být a bude hodnocena celá řada aktivit prováděných obchodními společnostmi, ať již monitorování chování návštěvníků webových stránek za účelem marketingu či ve finančním sektoru mimo jiné za účelem poskytnutí úvěru, případně v pracovněprávní agendě např. v souvislosti s náborem nových zaměstnanců. Totožnou definici profilování a zmíněné příklady obsahuje i text ustanovení (71) recitálu nařízení, které o profilování mluví ve vztahu k tzv. automatizovanému rozhodování, jež si rozebereme níže.

    I když se definice profilování na první pohled může jevit jako jasná a jednoznačná, považujeme za účelem objasnění případných výkladových problémů, ale i v souvislosti s již zmíněným automatizovaným rozhodováním vhodné rozebrat ji podrobněji. Abychom tedy určité zpracování osobních údajů mohli označit za profilování, musí být naplněny dva pojmové znaky profilování, konkrétně, že se jedná o automatizované zpracování a za druhé, že zpracovávané osobní údaje jsou použité k hodnocení nějakých osobních aspektů subjektu údajů, přičemž příklady těchto hodnocených aspektů jsou uvedeny výše. Zde se nabízí otázka, jaké zpracování již lze či nelze považovat za automatizované, a zda je tedy možné pod profilování podřadit i zpracování automatizované pouze částečně.

    Profilování jako automatizované zpracování

    Definici pojmu „automatizované zpracování“ nenalezneme ani v současné době ještě platné směrnici 95/46/ES ani v zákoně 101/2000 Sb. ale dokonce ani v nařízení, jak by se dalo předpokládat. K tomuto dotazu lze nalézt vodítko v jiné mezinárodní úpravě oblasti ochrany osobních údajů, a to v Úmluvě 108,[3] která v čl. 2 písm. c) definuje automatizované zpracování jako operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Na základě této definice pak lze dospět k závěru, že proces profilování ve smyslu nařízení nemusí být zcela automatizovaný, ale že může být zapojen i lidský faktor. Jako příklad lze uvést situaci, kdy daná osoba vloží do systému osobní údaje a ty jsou následně dle určitých kritérií dále vyhodnoceny. Na základě výše uvedeného můžeme dospět k závěru, že znak automatizovaného zpracování, je naplněn i v případě, kdy fyzická osoba použije pro zpracovatelské operace výpočetní techniku, např. drobný živnostník či hoteliér, který shromažďuje údaje o zvycích nebo zájmech svých klientů, které si ukládá do počítačového souboru, v němž jsou tyto údaje dle určitých parametrů uspořádávaný či kategorizovány. Bez dalšího se však v uvedeném ještě nemusí jednat o profilování, ale pouze o automatizované resp. částečně automatizované zpracování osobních údajů.

    Výše uvedený výklad pak nepřímo potvrzují i věcně vymezené působnosti nařízení v článku 2, který říká, že nařízení se vztahuje na zcela anebo částečně automatizované zpracování, a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny, přičemž evidencí se podle nařízení rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska. V tomto ohledu nařízení k vymezení věcné působnosti přistupuje zcela stejně jako současná právní úprava, která je v českém právním řádu obsažena v zákoně o ochraně osobních údajů,[4] přičemž český zákon pro naplnění definice zpracování vyžaduje tzv. systematičnost prováděných operací s osobními údaji, tedy jinými slovy jakousi uspořádanost dle určitých hledisek. Tento bod tak lze uzavřít s tím, že o automatizované zpracování osobních údajů se bude jednat vždy, pokud jsou ke zpracování osobních údajů, resp. alespoň k některým operacím zpracování využívané automatizované prostředky či postupy.

    Profilování jako zpracování vedoucí k hodnocení osobních aspektů fyzických osob

    Druhou podmínkou nezbytnou k tomu, abychom profilování jako speciální způsob zpracování osobních údajů odlišili od běžného zpracování osobních údajů je, že zpracovávané osobní údaje musí být použité k hodnocení nějakých osobních aspektů fyzické osoby. Vzhledem k tomu, že v dnešním konkurenčním prostředí musí podnikatelské subjekty hledat nové a efektivní způsoby oslovování svých stávajících i potenciálních zákazníků a snaží se tak činit prostřednictvím nabízení tzv. produktů na míru, je pro ně často výhodné získat o konkrétních osobách např. návštěvnících svých webových stránek informace, na základě kterých je pak možné dané osobě přímo nabídnout produkt, který by jí nebo jemu vyhovoval. Tento trend lze zaznamenat například v oblasti telekomunikací, kde není neobvyklé, že telefonní operátor přímo osloví zákazníka s nabídkou výhodnějšího balíčku nebo v bankovnictví, kde jsou v internetovém bankovnictví často nabízené již předschválené úvěry v určité hodnotě. Z uvedeného tak jednoznačně plyne, že jako profilování podle nařízení bude možné hodnotit celou řadu činností, které se již dnes staly součástí běžného podnikatelského života zvláště internetového průmyslu, marketingu či finančního sektoru. A právě pro tato odvětví se může stát regulace profilování jedním z nejdůležitějších ustanovení nového nařízení, neboť zásadním způsobem zasáhne do jejich současné podnikatelské strategie. Pokud bude právnická nebo fyzická osoba provádět jakoukoliv činnost, jež naplní pojmové znaky profilování podle nařízení, bude muset plnit celou řadu povinností, které toto nařízení stanoví, neboť jak je výslovně uvedeno i v bodě (72) recitálu nařízení „na profilování se vztahují pravidla tohoto nařízení pro zpracování osobních údajů, jako jsou právní důvody nebo zásady ochrany údajů“.

    Nad rámec výše uvedeného je vhodné v této obecné části zdůraznit ještě jednu věc, a to povinnost správců osobních údajů posuzovat rizika zpracovatelských činností pro práva a svobody fyzických osob, tedy aplikovat tzv. přístup založený na riziku.[5] Tento nový koncept posuzování rizik je obsažen v celé řadě ustanovení nařízení a od výsledků posouzení rizik se častokrát odvíjí další povinnosti, jež musí správce plnit, např. povinnost provádět posouzení vlivu na ochranu osobních údajů. Jednoduše řečeno tento nový koncept zdůrazňuje povinnost správce při zpracováních osobních údajů posuzovat pravděpodobnost a závažnost rizik pro práva a svobody dotčených osob a podle těchto rizik nastavit adekvátní opatření a záruky ochrany osobních údajů. Z čl. 35 odst. 3 písm. a) i bodů (75) a (91) recitálu nařízení vyplývá povinnost správce osobních údajů tento přístup aplikovat a tedy posuzovat možná rizika pro práva a svobody subjektů údajů zejména v těch případech, kdy dochází k profilování. Jinými slovy, v některých případech může profilování znamenat vysoce rizikové zpracování, z kterého správci vyplývá řada dalších povinností.[6] Pokud se tedy správce osobních údajů rozhodne profilování provádět, měl by ještě před jeho zahájením posoudit možná rizika pro dotčené fyzické osoby.

    Profilování, velká data (big data) a vytěžování dat (data mining)

    V této části bychom chtěli stručně vymezit pojmy, které s profilováním úzce souvisí a s kterými se často setkáváme zejména v oblasti informačních a komunikačních technologií. Jedná se o pojem „big data“ neboli velká data a navazující „data mining“ aneb vytěžování dat. Profilování lze v této souvislosti chápat jako zvláštní druh zpracování, které je de facto založeno na vytěžování velkých objemů dat. Cílem takového zpracování je tvorba profilů, např. návrh, jaký obsah reklamy zacílit na jednotlivce. Pro spoustu společností je shromažďování a analyzování dat základem úspěchu jejich podnikání. Sbírají informace o svých uživatelích, jejich zázemí, zájmech, nákupních zvycích a o všem, co by jim pomohlo zjistit o nich co nejvíce informací. Znalost zákazníkových zájmů a přání představuje velkou konkurenční výhodu, neboť je spojena s tvorbou zisku.

    Pojem big data souvisí s vývojem internetu a obrovským nárůstem generovaných dat, přičemž se nejedná pouze o informace osobní povahy, neboli osobní údaje, ale o data obecně, které jsou často úplně nestrukturovaná a nepřehledná, mluvíme tak o pojmu mnohem širším než osobní údaje. V tomto obrovském množství dat je však obsažena řada cenných informací, které můžou pro podnikatele představovat nové obchodní příležitosti nebo můžou sloužit např. k predikci některých společenských jevů či k statistickým účelům. Je tak velmi žádoucí z velkých dat vytěžovat ony cenné informace tak, aby mohly být dále využívány pomocí metody data miningu aneb procesu hledání korelace mezi daty. Z těchto vytěžených dat pak můžou být vytvářeny „profily“ osob a u těch jsou dále analyzovány právě určité osobní aspekty, což dále přispívá k efektivnímu využívání dostupných dat a informací. V okamžiku, kdy je možné takto vyprofilovaná data přiřadit k přímo či nepřímo identifikovatelné osobě, bude se jednat o profilování ve smyslu nařízení.

    Nejtypičtějším případem využívání technik profilování je prostřednictvím sledování aktivit fyzických osob na internetu. Na zpracování osobních údajů prostřednictvím internetu pamatuje i nařízení a v bodě (24) recitálu označuje sledování fyzických osob na internetu, včetně využití profilování zejména za účelem přijetí rozhodnutí nebo analýzy či odhadu osobních preferencí, postojů a chování této fyzické osoby za monitoring chování subjektu údajů. Pokud pak k takovému monitoringu dochází u subjektu údajů nacházejících se v EU, tak v rozsahu, v němž k jejich chování dochází v EU se nařízení vztahuje i na správce nebo zpracovatele osobních údajů, kteří nejsou usazení v EU. Toto rozšíření působnosti regulace ochrany osobních údajů až za hranice EU hraje významnou roli pro subjekty údajů, kterým tak dává novou možnost za uvedených předpokladů uplatnit svá práva podle nařízení např. i u amerických společností, které v EU nemají žádnou provozovnu. Jak ale bude výkon práv vůči mimoevropským společnostem v praxi skutečně realizovatelný, a zda se nařízení povede zajistit opravdu účinnou ochranu subjektům údajů deklarovanou v jeho textu, zůstává otázkou, na kterou odpoví až praxe.

    Profilování a automatizované individuální rozhodování

    V kontextu nařízení je profilování velice úzce spojeno s tzv. automatizovaným individuálním rozhodováním. I přesto, že tento pojem v definičním ustanovení nařízení nenajdeme, je možné význam automatizovaného individuálního rozhodnutí dovodit z článku 22 odst. 1 nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“. Abychom tedy mohli mluvit o automatizovaném individuálním rozhodování ve smyslu nařízení, musí být splněny dvě podmínky. Za prvé se musí jednat o rozhodnutí založené výhradně na automatizovaném zpracování a za druhé, pro subjekt údajů musí mít toto rozhodnutí právní účinky nebo se ho musí obdobným způsobem významně dotýkat.

    Co se týče automatizovaného zpracování osobních údajů obecně, lze vycházet z toho, co uvádíme výše v podkapitole „Definice profilování podle nařízení“. U automatizovaného individuálního rozhodování však nařízení v článku 22 odst. 1 navíc stanoví, že v tomto ustanovení uvedená práva a povinnosti se vztahují pouze na rozhodnutí, které je založené výhradně na automatizovaném zpracování, tedy i v kontextu odst. 3 stejného ustanovení zřejmě takového zpracování, u kterého nedochází k lidskému zásahu ze strany správce. Požadavek výhradní automatizace zpracování však dle našeho názoru nelze vykládat tak, že v žádné fázi daného zpracování k zásahu ze strany člověka vůbec nedochází, ale spíše v tom směru, že k lidskému zásahu nedochází ve fázi vyhodnocování informací, na kterém je rozhodnutí založeno. Pokud by se výklad nařízení ubíral tím směrem, že automatizovaný bez lidského zásahu musí být úplně celý proces zpracování, nemělo by toto ustanovení prakticky žádný význam, neboť i na procesu automatizovaného zpracování se minimálně ve fázi tvorby systému nebo zadávání hodnoticích kritérií musí podílet lidský faktor. O výhradně automatizovaném zpracování tak budeme hovořit pouze v případě takových zpracovatelských operací, které budou spočívat v hodnocení a navazujícím rozhodování bez přítomnosti lidského zásahu.

    Druhou podmínkou aplikace článku 22 pak je, že dané rozhodnutí či rozhodování má pro subjekt údajů nějaké právní účinky nebo se ho obdobným způsobem významně dotýká. Co se týče právních účinků pro subjekt údajů, najdeme příklady situací, kdy rozhodování takové dopady mít bude v recitálu (71) nařízení, které explicitně uvádí automatizované zamítnutí on-line žádostí o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. Dalším příkladem rovněž z pracovněprávní oblasti může být situace, kdy by zaměstnavatel na základě výhradně automatizovaného rozhodnutí vyvozoval pro zaměstnance pracovněprávní důsledky např. ukončení pracovního poměru. Co se však přesně myslí pod pojmem, že rozhodování se subjektu údajů musí obdobným způsobem významně dotýkat, však nařízení nikde blíže nespecifikuje. V čl. 35 odst. 3 a) je pak česká terminologie lehce upravená a místo toho, že se rozhodování musí subjektu údajů významně dotýkat, nařízení říká, že rozhodnutí musí mít ve vztahu k fyzickým osobám právní účinky nebo na ně mít „podobně závažný dopad“. V kontextu nařízení však mají tyto pojmy totožný význam, což lze mimo jiné dovodit také z původního anglického textu nařízení. Zákonodárce tím pravděpodobně chtěl aplikaci tohoto ustanovení vymezit pro širší okruh rozhodování, ne pouze těch, u kterých dochází k dopadům na fyzické osoby v právním pojímaní. Co se tedy týče tohoto bodu, je zatím na správcích, kteří provádí nebo zamýšlí provádět automatizované rozhodování ve výše uvedeném smyslu, aby posoudili, zda se rozhodnutí může dotčených osob nějakým způsobem významně dotýkat a v návaznosti na toto posouzení přizpůsobili další postup. Obecně lze říct, že např. automatizovaná rozhodnutí, na základě kterých je na jednotlivce cílena reklama, se pravděpodobně subjektu údajů nebudou významně dotýkat, resp. zřejmě pro něj nebudou představovat žádné významnější omezení, z kterých by se ono „významné dotčení“ dalo dovozovat, ale nemusí to platit bezpodmínečně. Finální výklad však pravděpodobně přinese až soudní praxe.

    Tuto část lze uzavřít s tím, že profilování je jedním ze způsobů automatizovaného zpracování, o které se může opírat automatizované individuální rozhodování. Na základě profilování tak může i nemusí docházet k popsaným automatizovaným individuálním rozhodnutím a automatizované rozhodnutí můžou i nemusí být založeny na profilování. Pojmy profilování a automatizované rozhodování tedy nejsou v žádném případě významově totožné a i přesto, že jsou vzájemně úzce propojené je nutné je ve smyslu nařízení rozlišovat. Rozdíl je nutné zdůraznit i z toho důvodu, že pokud budeme mluvit o automatizovaném individuálním rozhodování, které je založeno na profilování či jiném zpracování, je v nařízení pro tento proces stanoven přísnější režim. Je tomu tak právě proto, že pokud se výsledné rozhodnutí fyzické osoby právně či jinak významně dotýká, může představovat mnohem závažnější zásah do práv a svobod dané fyzické osoby a způsobit jí závažnější ujmu. Práva subjektu údajů a povinnosti správce tak musí dostatečně korespondovat s možnými nežádoucími důsledky a dostatečně vyvažovat potenciální nebezpečí.

    Související práva subjektu údajů a navazující povinnosti správce

    Jak už asi nepřímo vyplývá z výše uvedeného, problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodování, má pro správce jako povinné osoby podle nařízení význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně některé speciální povinnosti spočívající v zajištění výkonu práv subjektů údajů. V této části na tyto práva a povinnosti upozorníme a pokusíme se je vysvětlit.

    Právo nebýt předmětem automatizovaného rozhodnutí

    Vzhledem k tomu co uvádíme výše o automatizovaném rozhodování je zřejmě nejzásadnější z těchto práv v článku 22 a v bodě (71) recitálu nařízení upravené právo subjektu údajů nebýt předmětem rozhodování založeného výhradně na automatizovaném zpracování, vč. profilování, pokud pro něj má toto rozhodnutí právní účinky nebo se ho obdobným způsobem významně dotýká. V článku 22 odst. 2 jsou pak upraveny situace, kdy se dikce odst. 1 nepoužije. V podstatě jsou v kontextu ochrany osobních údajů v odst. 2 speciálně upraveny právní tituly neboli v kontextu nařízení právní základy či důvody pro provádění zpracování osobních údajů, vč. profilování, na kterém je založeno rozhodnutí s právními účinky nebo jiným významným dopadem na subjekt údajů. Pokud tedy správce zamýšlí vydávat tato automatizovaná individuální rozhodnutí, musí ke zpracování přistupovat podobně, jak tomu doposud bylo u tzv. citlivých údajů[7] a tudíž postupovat v rámci přísnějšího režimu. Jiný režim spočívá právě v omezenějších možnostech pro zajištění zákonnosti zpracování a na rozdíl od postupu podle článku 6 nařízení, může zpracování založit pouze na třech právních důvodech (titulech) uvedených v článku 22 odst. 2. Jedná se o důvody spočívající v nezbytnosti uzavření nebo plnění smlouvy mezi správcem a subjektem údajů, v oprávnění stanoveným nějakým právním předpisem, který se na správce vztahuje a rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo ve výslovném souhlasu subjektu údajů.

    Pokud správce zákonnost zpracování založí na výslovném souhlasu nebo nezbytnosti k uzavření či plnění smlouvy musí navíc přijmout vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů. Tímto opatřením musí být minimálně právo subjektu údajů na lidský zásah ze strany správce, právo subjektu údajů vyjádřit svůj názor a právo napadnout dané rozhodnutí. V praxi to bude znamenat, že správce by měl mít nastaven mechanizmus, v rámci kterého dotčená osoba kontaktuje správce a požádá, aby bylo automatizované rozhodnutí přehodnoceno např. odpovědným zaměstnancem správce.

    Další zpřísnění požadavků kladených na správce pak nastává v situaci, kdy jsou k vydání automatizovaného individuálního rozhodnutí využívané tzv. zvláštní kategorie osobních údajů podle čl. 9 odst. 1 nařízení. V tomto případě pak má správce k dispozici pouze dva právní tituly pro automatizované zpracování a rozhodování, a to výslovný souhlas nebo významný veřejný zájem na základě práva,[8] přičemž však musí také zavést vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.

    Informační povinnost a právo na přístup

    S výše uvedeným právem velmi úzce souvisí některé další povinnosti správce, které na něj sice dopadají obecně, ale ve vztahu k automatizovanému rozhodování jsou v nařízení výslovně upraveny a správce by jim měl obzvlášť věnovat pozornost v případě provádění automatizovaného rozhodování. Tato práva a povinnosti jsou provedením principu transparentnosti, což je jeden z klíčových principů, na kterých jsou nařízení a celá (i současná) právní úprava ochrany osobních údajů postaveny. Nařízení věnuje principu transparentnosti zpracování osobních údajů podstatně víc pozornosti a prostoru než současná právní úprava. Úprava informační povinnosti správce osobních údajů vůči subjektu údajů a práva subjektu údajů na přístup k informacím o zpracování svých osobních údajů je obsažena ustanoveních článku 13 až 15 nařízení, a rovněž v recitálu v bodech (60) a (63).

     Co se týče informací, které musí správci osobních údajů povinně poskytovat, rozlišuje nařízení dvě situace podle toho, zda jsou osobní údaje získávány přímo od subjektu údajů nebo je správce získal z nějakého jiného zdroje. Pokud však jde o obsah povinně poskytované informace, je v kontextu tohoto příspěvku informace totožná v obou případech. Správce osobních údajů tak podle nařízení musí pro zajištění spravedlivého a transparentního zpracování osobních údajů v okamžiku získání osobních údajů, nebo jestliže se jedná o postup podle článku 14, v odst. 3 uvedených lhůtách, poskytnout subjektu údajů mimo jiné informaci o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a smysluplné informace týkající se použitého postupu, tedy o tom, v čem spočívá logika automatizovaného zpracování, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

    Nad rámec výše uvedeného je správce povinen informovat subjekt údajů také o všech jeho právech vyplývajících z nařízení. Jedním z těchto práv je také právo subjektu údajů na přístup ke svým osobním údajům podle článku 15 nařízení. Mezi informacemi o zpracování osobních údajů, které je správce osobních údajů povinen subjektu údajů zpřístupnit, je rovněž informace o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a také o použitém postupu, významu a předpokládaných důsledcích pro dotčenou osobu. Obdobné informace pak musí obsahovat také závazná podniková pravidla podle článku 47 nařízení, pokud se je správce rozhodne využít jako nástroj pro předávání osobních údajů do třetích zemí.

    Právo vznést námitku

    Speciálně ve vztahu k profilování upravuje nařízení v oblasti ochrany osobních údajů zcela nové právo subjektu údajů, a to právo vznést námitku proti zpracování osobních údajů podle článku 21 nařízení. Toto právo může subjekt údajů z důvodů týkajících se jeho konkrétní situace využít kdykoliv v těch případech, kdy správce jeho osobní údaje zpracovává na základě článku 6 odst. 1 písm. e) nařízení, tedy z důvodu, že je takové zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmů nebo při výkonu veřejné moci, kterým je pověřen správce, nebo podle stejného ustanovení písm. d) v pro soukromou sféru relevantnějším případě, pokud je zpracování osobních údajů nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. V článku 21 odst. 1 nařízení je explicitně uvedené, že dané právo subjektu údajů se vztahuje i na profilování založené na výše uvedených právních důvodech. V odst. 2 tohoto článku je dále stanoveno, že pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

    Pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.[9]

    Stejně jak je tomu i u jiných práv subjektu údajů podle nařízení, i v tomto případě jej na toto právo musí správce výslovně upozornit, přičemž v tomto případě je navíc stanovena povinnost správce, že předmětná informace musí být uvedena zřetelně a odděleně od jakýchkoli jiných informací. Informovat subjekt údajů je nutné nejpozději v okamžiku první komunikace se subjektem údajů. Pro právo uplatnit námitku proti zpracování v souvislosti s využívaním služeb informační společnosti by subjekt měl mít možnost využít automatizovaných prostředků pomocí technických specifikací.

    Závěr

    Problematika profilování, coby zvláštní formy automatizovaného zpracování, případně jeho využívání k automatizovanému rozhodování, je poměrně rozsáhlá a bezpochyby bude mít závažné dopady do praxe mnoha společností, zejména společností provádějících tato zpracování v hojné míře již dnes. Vzhledem k hrozbě mnohonásobně vyšších sankcí oproti současné právní úpravě, jež nařízení předpokládá (až 20 mil. EUR či 4% celosvětového ročního obratu, cokoliv je vyšší), lze povinným osobám doporučit, aby v prvé řadě nepodcenily přípravu na nové nařízení. Proto i uvedení do souladu s tímto novým režimem, by se mělo stát cílem každého podniku, jehož strategie podnikání je založena na sběru velkých objemů dat a jejich vytěžování. Lze doporučit, aby takové podniky si již nyní provedly důkladnou analýzu stávajících procesů a činností, u kterých dochází ke zpracování osobních údajů založeném na automatizovaném rozhodování včetně profilování a přizpůsobily takové zpracování novým podmínkám stanoveným v nařízení včetně nastavení právního základu pro takovou činnost. Do budoucna rovněž není vyloučeno, že vzhledem k významu problematiky profilování v rámci digitálního trhu, se do věci nevloží Evropský sbor pro ochranu osobních údajů,[10] jehož role spočívá kromě jiného i v tom, že k důležitým tématům může vydávat pokyny, doporučení a osvědčené postupy za účelem jednotného uplatňování nařízení.[11]


    Mgr. Zuzana Radičová

    Mgr. Zuzana Radičová
    ,
    právník/compliance v Raiffeisen stavební spořitelně

    Mgr. David Burian

    Mgr. David Burian
    ,
    vedoucí oddělení registračních činností Úřadu pro ochranu osobních údajů


    _________________________________________
    [*] V příspěvku jsou vyjádřeny osobní názory autorů, nikoliv názory jejich zaměstnavatelů.

    [1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, dostupné na www, k dispozici >>> zde.
    [2] Podle anglického zkráceného názvu „General Data Protection Regulation“.
    [3] Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů (Rada Evropy, ETS 108, 1981, vyhlášená pod 115/2001 Sb.m.s.
    [4] Zákon 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů.
    [5] Více ohledně přístupu založeného na riziku (Risk Based Approach) podle nařízení naleznete v příspěvku autorů věnujícím se této problematice v časopise Bankovnictví č. 11/2016 „Posuzování rizik dle nového evropského nařízení o ochraně osobních údajů“.
    [6] Více ohledně povinností správců ve vztahu k vysoce rizikovým zpracováni naleznete v příspěvku autorů „Nová regulace ochrany osobních údajů aneb na jaké změny se připravit“, epravo.cz, 3. 11. 2016 nebo v článku autorů „K některým povinnostem, které pro správce přináší Obecné nařízení o ochraně osobních údajů (GDPR)“, Právni prostor, 25.2. 2016.
    [7] Citlivé osobní údaje definuje § 9 zákona 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů. Nařízení používá nového označení, a to zvláštní kategorie osobních údajů.
    [8] Článek 22 odst. 4 nařízení a článek 9 odst. 2 písm. a) anebo g).
    [9] Článek 21 odst. 3 nařízení.
    [10] Evropský sbor má podle GDPR nahradit Pracovní skupinu podle článku 29 směrnice 95/46/ES.
    [11] Například co týče Evropského systému dohledu nad finančním trhem, tak společný výbor evropských orgánu dohledu (evropského orgánu dohledu pro bankovnictví, evropského orgánu dohledu pro pojišťovnictví a zaměstnanecké a penzijní pojištění a evropský orgán pro cenné papíry a trhy) již nedávno zahájil veřejnou diskuzi k využívání velkých dat finančními institucemi. Dostupné na www, k dispozici >>> zde.


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz

    Mgr. Zuzana Radičová, Mgr. David Burian
    2. 2. 2017

    Poslat článek emailem

    *) povinné položky

    Další články:

    • Veřejně přístupná účelová komunikace a její znaky
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákaz změny k horšímu (reformace in peius) se neuplatní u nákladových výroků
    • Outsourcing ICT služeb dle nařízení DORA
    • Zápis zániku vozidla bez doložení ekologické likvidace prostřednictvím řízení o přestupku
    • Kombinovaná stavba opěrné zdi a oplocení bez povolení stavebního úřadu
    • Bezdlužnost poskytovatele sociálních služeb po 1. 3. 2025
    • Veřejné právo a obecní zřízení: Výbory zastupitelstva obce a jejich „funkční období“
    • Správní právo: Vznik a zánik mandátu člena zastupitelstva kraje
    • K (ne)použitelnosti kamerového záznamu pořízeného policejním orgánem v trestním řízení jako důkazu v řízení správním
    • Pochybení NSS – zásadní precedens v oblasti elektronické komunikace

    Novinky v eshopu

    Aktuální akce

    • 05.08.2025ChatGPT od A do Z v právní praxi (online - živé vysílání) - 5.8.2025
    • 12.08.2025Claude (Anthropic) od A do Z v právní praxi (online - živé vysílání) - 12.8.2025
    • 19.08.2025Microsoft Copilot od A do Z v právní praxi (online - živé vysílání) - 19.8.2025
    • 26.08.2025Gemini a NotebookLM od A do Z v právní praxi (online - živé vysílání) - 26.8.2025
    • 02.09.2025Pracovní smlouva prakticky (online - živé vysílání) - 2.9.2025

    Online kurzy

    • Úvod do problematiky squeeze-out a sell-out
    • Pořízení pro případ smrti: jak zajistit, aby Váš majetek zůstal ve správných rukou
    • Zaměstnanec – rodič z pohledu pracovněprávních předpisů
    • Flexi novela zákoníku práce
    • Umělá inteligence a odpovědnost za újmu
    Lektoři kurzů
    JUDr. Tomáš Sokol
    JUDr. Tomáš Sokol
    Kurzy lektora
    JUDr. Martin Maisner, Ph.D., MCIArb
    JUDr. Martin Maisner, Ph.D., MCIArb
    Kurzy lektora
    Mgr. Marek Bednář
    Mgr. Marek Bednář
    Kurzy lektora
    Mgr. Veronika  Pázmányová
    Mgr. Veronika Pázmányová
    Kurzy lektora
    Mgr. Michaela Riedlová
    Mgr. Michaela Riedlová
    Kurzy lektora
    JUDr. Jindřich Vítek, Ph.D.
    JUDr. Jindřich Vítek, Ph.D.
    Kurzy lektora
    Mgr. Michal Nulíček, LL.M.
    Mgr. Michal Nulíček, LL.M.
    Kurzy lektora
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    JUDr. Ondřej Trubač, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    JUDr. Jakub Dohnal, Ph.D., LL.M.
    Kurzy lektora
    JUDr. Tomáš Nielsen
    JUDr. Tomáš Nielsen
    Kurzy lektora
    všichni lektoři

    Konference

    • 18.09.2025Diskusní fórum: Daňové právo v praxi - 18.9.2025
    • 02.10.2025Trestní právo daňové - 2.10.2025
    • 03.10.2025Daňové právo 2025 - Daň z přidané hodnoty - 3.10.2025
    Archiv

    Magazíny a služby

    • Monitoring judikatury (24 měsíců)
    • Monitoring judikatury (12 měsíců)
    • Monitoring judikatury (6 měsíců)

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Znamená „převedení na jinou práci“ stále to, co říká zákon?
    • K odpovědnosti státu za majetkovou a nemajetkovou újmu způsobenou při výkonu veřejné moci. Vyslovování konstatací porušení práva. Připomínka státního svátku 6. července
    • Veřejně přístupná účelová komunikace a její znaky
    • Blanketní stížnost
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • AI revoluce v právní praxi: 10 specializovaných kurzů, které změní váš způsob práce
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Smlouva o smlouvě budoucí kupní k nemovitým věcem: Písemná forma není povinná, říká Nejvyšší soud
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Veřejně přístupná účelová komunikace a její znaky
    • 10 otázek pro … Ronalda Němce
    • Od konkurenční doložky k právní nejistotě: kontroverzní výklad Nejvyššího soudu v rozsudku 27 Cdo 1236/2024
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Musí žák platit školné za výuku nevyžádaného předmětu?
    • Vysokorychlostní variace dle smluvních podmínek FIDIC: případová studie z D5507
    • Bez rozvrhu pracovní doby to nepůjde
    • Nařízení odstranění černé stavby aneb Když výjimka potvrzuje pravidlo
    • Zákon č. 73/2025 Sb.: Advokacie v nové éře regulace a ochrany důvěrnosti
    • Top 12 čili Tucet nejvýznamnějších judikátů Nejvyššího soudu z loňského roku 2024 vzešlých z řešení pracovněprávních sporů
    • Závislá práce ve světle nového rozhodnutí Nejvyššího správního soudu. Rozsudek Nejvyššího správního soudu ze dne 19. 3. 2025, sp. zn. A Ads 6/2025
    • Dítě a dovolená v zahraničí: Co dělat, když druhý rodič nesouhlasí s cestou?
    • Promlčení zápůjčky na dobu neurčitou a změna judikatury Nejvyššího soudu
    • Umělá inteligence v právu: Efektivní pomoc nebo riziko pro odborný úsudek?

    Soudní rozhodnutí

    Blanketní stížnost

    Krajský soud tím, že rozhodl před uplynutím konce stěžovatelem avizované lhůty pro doplnění odůvodnění blanketní stížnosti, a navíc v situaci, kdy odůvodnění stížnosti již...

    Blanketní stížnost (exkluzivně pro předplatitele)

    Nepřihlédne-li stížnostní soud k odůvodnění stížnosti původně podané jako blanketní, ač měl odůvodnění v době rozhodování o stížnosti k dispozici, může porušit právo...

    Dovolání (exkluzivně pro předplatitele)

    Podle judikatury Nejvyššího soudu, spočívá-li rozsudek odvolacího soudu na posouzení vícero právních otázek, z nichž každé samo o sobě vede k zamítnutí žaloby, není dovolání...

    Exekutor (exkluzivně pro předplatitele)

    Funkce soudního exekutora je veřejnou funkcí. Proces obsazování exekutorského úřadu se tedy týká práva na rovný přístup k veřejným funkcím podle čl. 21 odst. 4 Listiny základních...

    Extrémní nesoulad mezi provedenými důkazy a skutkovými a právními závěry (exkluzivně pro předplatitele)

    Ústavní soud ve své judikatuře ustáleně opakuje, že obecné soudy poruší právo účastníka na soudní ochranu, pokud učiní skutkové a právní závěry, které jsou v extrémním...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2025, ISSN 1213-189X
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.
    Automatické vytěžování textů a dat z této internetové stránky ve smyslu čl. 4 směrnice 2019/790/EU je bez souhlasu EPRAVO.CZ, a.s. zakázáno.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.

    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního online kurzu Základy práce s AI. Tento kurz vás vybaví znalostmi a nástroji potřebnými k tomu, aby AI nebyla jen dalším trendem, ale spolehlivým partnerem ve vaší praxi. Připravte se objevit potenciál AI a zjistit, jak může obohatit vaši kariéru.

    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapomněli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.