Výzva jménem DSAR… aneb co pro správce znamená žádost o přístup k osobním údajům

V květnu tomu byly dva roky, co se stalo aplikovatelným obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR.1 Tato právní regulace blíže upravila a posílila práva subjektů údajů, což si mnozí i díky medializaci tématu ochrany osobních údajů uvědomují, a žádosti o výkon práv subjektů jsou stále častější. V tomto příspěvku se zaměříme na jedno z práv subjektů údajů, a to právo na přístup, konkrétně na jeho hmotně-právní aspekty.2

ochrana osobních údajů     DSAR     žádosti subjektů       GDPR       žádost o přístup

Část I.

Subjekt údajů má právo na přístup ke shromážděným osobním údajům, které se ho týkají. Měl by mít možnost toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o zpracování informován a mohl si ověřit jeho zákonnost. Subjekt údajů má dále právo na opravu či doplnění osobních údajů, které se jej týkají, právo na výmaz, omezení zpracování, právo vznést námitku a další. Jednotlivá práva jdou často ruku v ruce, resp. žádost o přístup (DSAR – Data Subject Access Request)³ často předchází uplatnění dalších uvedených práv, proto se zaměříme právě na ni. Pro správce a zpracovatele osobních údajů může DSAR představovat časově i administrativně náročnou zátěž, kdy v relativně krátké časové lhůtě musí vyhodnotit oprávněnost žádosti, shromáždit všechny požadované údaje a správně reagovat (o tom blíže v 2. části tohoto článku).

Chybějící výkladová vodítka

Nařízení GDPR předpokládá, že správci osobních údajů zavedou interní procesy, které usnadní výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a bezplatného obdržení přístupu k osobním údajům.⁴ Žádostí subjektů údajů o uplatnění práv přibývá, právní úprava v nařízení GDPR je však poměrně strohá a ne vždy jednoznačná. Správci osobních údajů v současné době postrádají jednotná výkladová pravidla, která by jim pomohla vyrovnat se s žádostmi subjektů v souladu se všemi požadavky GDPR. Některé dozorové úřady sice zveřejnily svá vodítka, např. britský ICO⁵, francouzský CNIL⁶ i ÚOOÚ⁷, jednotná výkladová pravidla však dosud chybí. Očekává se, že Evropský sbor pro ochranu osobních údajů (EDPB) přijme očekávané pokyny k výkonu práv subjektů v druhé polovině roku 2020.⁸

Právo na přístup k osobním údajům

Právo na přístup k osobním údajům podle článku 15 GDPR v sobě zahrnuje několik rovin – subjekt osobních údajů má od správce právo získat:

Informační práva

Pokud správce o subjektu údajů žádné informace nezpracovává, informuje o tom v předepsané lhůtě žadatele. Zároveň subjekt informuje o možnosti podat stížnost u dozorového úřadu a soudní ochraně. Zpracovává-li osobní údaje správce, nařízení GDPR předepisuje rozsah informací, které má subjektu osobních údajů poskytnout. Jedná se zejména o informace o účelu zpracování, kategorii dotčených osobních údajů, příjemcích, plánované době zpracování, zdroji osobních údajů a právech subjektu.⁹

Přístupová práva

Správce osobních údajů by měl, je-li to možné, umožnit subjektu údajů přímý přístup k jeho osobním údajům, a to prostřednictvím vzdáleného přístupu v rámci zabezpečeného systému.¹⁰ Pokud správce takový systém zavede (dodejme, že se nejedná o povinnost, ale doporučení upravené v preambuli, tedy nezávazné části nařízení), měl by zajistit zejména bezpečné přihlašování (např. 2FA), vhodně nastavit rozsah oprávnění subjektu (omezení editace některých údajů, zamezení přístupu k datům jiných osob atp.) a zabezpečení přenosu dat.

Na rozdíl od práva na přenositelnost osobních údajů¹¹ rozsah poskytovaných osobních údajů není v případě žádosti o přístup k osobním údajům limitován. Právo na přístup se tak týká všech osobních údajů (ledaže subjekt údajů žádost omezí jen na některé údaje), a to včetně údajů z:

• listinných evidencí¹² ,
• archivů a záloh¹³ ,
• osobních počítačů zaměstnanců (pokud se tam údaje subjektu nacházejí),
• big data setů¹⁴.

Správce nemá obecně povinnost poskytovat kopii osobních údajů v strukturované, strojově čitelné elektronické podobě (jak je tomu u práva na přenositelnost) – to se týká jak vzdáleného přístupu, tak kopií. Na druhou stranu má správce dle nařízení GDPR usnadňovat výkon práv subjektů, a pokud je žádost podána v elektronické formě, mají se i informace poskytnout v elektronické formě (nepožádá-li subjekt o jiný způsob). Oproti předchozí právní úpravě přináší nařízení GDPR právo na bezplatné poskytnutí první kopie osobních údajů, což může být jeden z důvodů, proč dochází ke zvýšení počtu těchto žádostí.

Právě rozsah poskytovaných osobních údajů může v některých případech činit potíže, a to jak v administrativní (shromáždění veškerých údajů, vytvoření kopií), tak technické rovině¹⁵ (k tomu blíže v 2. části tohoto článku).

Výjimky a omezení práva na přístup k informacím

Nařízení GDPR umožňuje v některých případech odmítnout žádost o přístup nebo omezit rozsah údajů, které mají být na základě žádosti poskytnuty.

Možnost odmítnutí žádosti je dána v případě, že správce doloží, že nemůže zjistit totožnost subjektu údajů (poté, co vynaložil přiměřenou snahu ji zjistit). Také v případě, že ježádost zjevně nedůvodná nebo nepřiměřená, může správce žádost odmítnout nebo uložit přiměřený poplatek zohledňující administrativní náklady.¹⁶ O nedůvodnou žádost se bude jednat v případě šikanózních žádostí, jejichž jediným cílem je administrativně paralyzovat činnost správce; za nepřiměřené se pak považují často se opakující žádosti (na druhou stranu nepřiměřená nebude navazující žádost, kterou subjekt žádá o doplnění některých dříve neposkytnutých informací).¹⁷ Důkazní břemeno ohledně nemožnosti zjištění totožnosti subjektu anebo nedůvodnosti či nepřiměřenosti žádosti leží na správci.

Dále pak obecně platí, že právem získat kopii osobních údajů nesmějí být nepříznivě dotčena práva a svobody jiných osob.¹⁸ Mezi práva a svobody ostatních patří např. obchodní tajemství nebo duševní vlastnictví (zejména autorské právo chránící programové vybavení) stejně jako právo na soukromí, listovní tajemství a další osobnostní práva. Ač to není v nařízení GDPR explicitně stanoveno, může se jednat i o práva a svobody samotného správce. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací; spíše by před poskytnutím mělo dojít k odstranění některých údajů.

Další omezení se vztahuje na situace, kdy správce zpracovává velké množství informací týkajících se subjektu údajů. Správce má možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.¹⁹ Subjekt údajů nicméně nemá povinnost rozsah zúžit, pak musí správce poskytnout údaje všechny.

Další výjimky mohou stanovit národní právní předpisy, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření. ²⁰ Český zákon o zpracování osobních údajů²¹ připouští další omezení práv a povinností v případě zpracování osobních údajů za účelem zajištění chráněného zájmu, kterým může být vedle veřejných zájmů (obrana a bezpečnost, hospodářské zájmy, odhalování protiprávní činnosti aj.) i ochrana práv a svobod osob nebo vymáhání soukromoprávních nároků.²²

Nesplnění povinnosti

V případě, že subjekt údajů není spokojen s vyřízením své žádosti, může se obrátit se stížností na dozorový úřad a/nebo žádat o soudní ochranu. O této možnosti musí být ze strany správce osobních údajů informován. Pokud úřad shledá, že došlo k porušení práva, může správci uložit některé z nápravných opatření (včetně pokuty). S přibývajícím počtem žádostí o výkon práv roste i počet stížností jak u českého Úřadu pro ochranu osobních údajů, tak u jiných evropských úřadů. (Vybrané příklady rozhodnutí těchto úřadů a udělených pokut jsou uvedeny v Boxu 2).

Závěr

Zatímco v některých případech bude subjekt požadovat jen jednotlivý dokument, jindy může žádost směřovat k poskytnutí veškerých informací a kopií všech zpracovávanýchosobních údajů. Subjekty údajů mají právo na přístup ke svým osobním údajům (včetně kopií) a informacím o jejich zpracování a správci jsou povinni (nejedná-li se o některou z výjimek) tyto údaje a informace poskytovat. V příštím vydání představíme návod, jakým způsobem a v jaké lhůtě by měli správci na DSARs reagovat.

Poznámky pod čarou:

1. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o zrušení směrnice 95/46/EU (dále jen „GDPR“).
2. V druhém dílu pak navážeme z procesního pohledu a představíme návod, jak a kdy na žádosti reagovat.
3. V širším pojetí se zkratka DSAR někdy používá souhrnně pro všechny uvedené žádosti subjektů údajů o výkon práv.
4. Srov. recitál (59), čl. 12 GDPR
5. Zdroj [2]
6. Srov. CNIL “Professionnels: comment répondre à une demande de droit d’accès?”, ze dne 8. srpna 2018, dostupné online z https://www.cnil.fr/fr/ professionnels-comment-repondre-une-demande-de-droit-dacces [cit. dne 20. 2. 2020].
7. Srov. Úřad pro ochranu osobních údajů. Práva subjektů. Příspěvek ze dne 25.4.2019. Dostupné online z https://www.uoou.cz/6-prava-subjektu-udaj/ d-27276 [cit. dne 20. 2. 2020].
8. Srov. Zdroj [1]; a dále Pracovní program Evropského sboru pro ochranu osobních údajů na období 2019/2020, ze dne 12. února 2019, dostupné online z https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_cs_0.pdf [cit. dne 20. 2. 2020].
9. Srov. čl. 15 odst. 1 GDPR
10. Srov. recitál (63) GDPR
11. Dle čl. 20 GDPR
12. Srov. rozhodnutí High Court (UK) ze dne 17. května 2019 ve věci Dawson-Damer v Taylor Wessing [2019] EWHC 1258 (Ch).
13. Na druhou stranu se dle názoru ICO nevztahují DSAR na vymazaná data. Srov. zdroj [2], s. 25.
14. Tamtéž
15. 15 Příklad z praxe (únor 2020): Na základě žádosti o přístup a kopii osobních údajů zpracovávaných provozovatelem jedné sociální sítě byl poskytnut datový soubor o velikosti 3,6 GB. Takové datové objemy není zpravidla možné poskytovat prostřednictvím e-mailu a je potřeba hledat jiná (bezpečná) řešení.
16. Srov. čl. 12 odst. 5 GDPR. První kopii osobních údajů však musí správce poskytnout bezplatně.
17. Srov. zdroj [2], s. 36
18. Ačkoli nařízení GDPR vztahuje toto omezení pouze na poskytování kopie osobních údajů (srov. čl. 15 odst. 4 GDPR), za použití základních zásad GDPR i základních právních principů vůbec lze toto omezení jistě vztáhnout i na jiné roviny práva na přístup k osobním údajům.
19. Srov. recitál (63) GDPR
20. Na základě zmocnění v čl. 23 GDPR
21. Srov. ustanovení § 12 zákona č. 110/2019 Sb., o zpracování osobních údajů
22. Srov. ustanovení § 6 odst. 2 zákona č. 110/2019 Sb., o zpracování osobních údajů

Použité zdroje:

[ 1 ] BARCELO, R. a další. Absent Guidelines, Many Questions on Facilitating DSARs. Blog Security&Privacy // Bytes, publikováno 3. února 2020, dostupné z: https://www.securityprivacybytes.com/2020/02/absent-guidelines-many-questions-on-facilitating-dsars/

[ 2 ] Information Commissioner’s Office (ICO). Right of access. The Guide to Data Protection. Verze 1.0, z 26. listopadu 2019, dostupné online z: https://ico.org.uk/media/about-the-ico/consultations/2616442/right-of-access-draft-consultation-20191204.pdf

[ 3 ] Evropský sbor pro ochranu osobních údajů. Pokyny 3/2019 ke zpracování osobních údajů prostřednictvím video záznamů. Verze 2.0, přijato 29. ledna 2020.

[ 4 ] NULÍČEK, M. a další. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017.