Menu

Co uděláte, když vás zákazník požádá o přenos svých údajů?

Jedním z nových práv, které GDPR přináší, je právo na přenositelnost osobních údajů. To má lidem usnadnit přechod mezi poskytovateli služeb. Co to znamená pro vás jako správce nebo zpracovatele?

Obecné nařízení o ochraně osobních údajů (GDPR) výrazně zvyšuje ochranu osobních údajů občanů. Mezi novinky patří například právo na přístup, opravu nebo výmaz údajů, právo být zapomenut nebo právo na přenositelnost.

Právě poslední jmenované umožňuje jednotlivcům mít plnou kontrolu nad svými osobními údaji. Podnikatelé mohou novou povinnost vnímat ze dvou perspektiv: jako příležitost i jako riziko. Ať tak či onak, právo na přenositelnost rozhodně ovlivní podnikání v Evropské unii.

GDPR o právu na přenositelnost osobních údajů říká:

„Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě a zpracování se provádí automatizovaně.“

K tomuto ustanovení vydala své pokyny Working Party 29 (WP29). Konkrétně uvedla, že subjekt údajů má právo:

  • přijímat osobní údaje zpracovávané správcem údajů a uchovávat je pro další osobní použití na soukromém zařízení, aniž by bylo předáno jinému správci údajů ve formátu, který nemůže bránit třetím stranám ve čtení,
  • předávat osobní údaje od jednoho správce údajů jinému správci údajů.

Poslední bod je velmi zajímavý, protože záměrem práva na přenositelnost je usnadnit v rostoucí konkurenci přechod mezi jednotlivými poskytovateli služeb, posílit sdílení osobních údajů mezi různými správci a poskytovat lepší služby, například v rámci Internetu věcí (Internet of Things).

Předání dat přímo nebo automatizovaně

Podle pokynů WP29 by správci údajů měli prozkoumat a hledat dvě různé (a vzájemně se doplňující) cesty, které umožní přenos osobních údajů. Nabízí se hned dvě cesty, resp. nástroje:

  1. Přímý přenos celé sady dat
  2. Použití automatizovaného nástroje

WP29 doporučuje hlavně druhé řešení, které umožňuje extrakci jakékoliv části datového souboru, jenž je pro subjekt údajů relevantní. Automatizovaný nástroj současně snižuje míru rizika zneužití osobních údajů a umožňuje použití mechanismů synchronizace dat.

GDPR k tomuto uvádí, že „subjekt údajů má právo předat osobní údaje přímo od jednoho správce jinému, pokud je to technicky proveditelné.“

Mezi technická omezení spadá například velikost předávaných dat. Ovšem šifrování nebo formát zpracovávaných údajů není důvodem odmítnutí práva na přenositelnost. Jinými slovy, GDPR správcům dat zakazuje vytvářet překážky, jež by přenosu dat bránily.

Ve chvíli, kdy subjekt údajů požádá o uplatnění svého práva na přenositelnost, správce je povinen vyjít mu bezplatně vstříc, a to do 1 měsíce (výjimku tvoří tzv. složité případy, kde je lhůta na vyřízení stanovena na 3 měsíce).

Údaje musí být poskytnuty ve formátu, jenž umožňuje „opětovné použití“. To neznamená povinnost vytvářet kompatibilní systémy, ale nutnost zajistit interoperabilitu – schopnost různých systémů vzájemně spolupracovat.

Která data přenášet?

Právo na přenositelnost osobních údajů se vztahuje jen na údaje, které byly shromážděny se souhlasem nebo na základě smlouvy se subjektem údajů. A zároveň na data zpracovávaná automatizovanými prostředky. Jde o osobní údaje, jež osoba poskytla správci údajů bez „negativního ovlivnění práv a svobod“.

Co to znamená?

  • Anonymní data jsou z této povinnosti vyjmuta, ale pseudonymizované údaje jsou zahrnuty.
  • Údaje, které jsou generovány a shromažďovány díky aktivitě jednotlivců, jsou zahrnuté, zatímco hodnocení (například výše kreditu nebo výsledky zdravotních testů) jsou vyloučeny. Vyloučeno je také profilování, kategorizace nebo personalizace dat.
  • Údaje týkající se zaměstnanců by mohly podléhat přenositelnosti údajů jen omezeně, protože souhlas s pracovním poměrem není považovaný za souhlas se zpracováním osobních údajů. Proto se právo na přenos dat bude v těchto případech posuzovat individuálně, s ohledem na oprávněný zájem nebo na nutnost dodržet právní závazek.
  • Údaje třetích stran mohou být zahrnuty do kategorie přenositelných dat jen v případě, že existuje jiný právní důvod, který odůvodňuje jejich zpracování, například oprávněný zájem umožňující použití údajů třetích stran pro osobní účely (nikoliv ale pro marketingové účely).

Co uchovat a co vymazat?

WP29 ve svém upřesnění uvádí, že správce údajů, jenž odpovídá na žádost o přenos dat, není zodpovědný za budoucí zpracování osobních údajů, které přijímá nový správce. Musí ale zabezpečit takový postup, který zajistí, že budou přeneseny jen údaje, jež je dotčená osoba ochotna předat. WP29 doporučuje získat potvrzení od subjektu údajů.

Správce, který údaje přijímá, je zodpovědný za to, že jsou relevantní a nejsou nadbytečné. To s sebou pochopitelně nese zátěž, protože správce musí údaje prozkoumat, posoudit, zjistit, které může uchovávat a které by měly být vymazány. Takové přezkoumání souvisí s účelem zpracování osobních údajů, který si správce stanovil.

Pokyny WP29 nejsou v tomto bodě zcela jasné. Jednotlivci mohou souhlasit s přenosem dat tak, jak jsou. Dokonce by mohli uplatnit nárok na náhradu škody, pokud by správce některé údaje bez jejich souhlasu vymazal.

Z pokynů WP29 ovšem zcela přesně vyplývá, že správci, kteří budou osobní údaje přijímat, musí splnit stejné povinnosti jako při sběru nových osobních dat.

Jak se právo na přenositelnost dotkne vaší branže?

Právo na přenositelnost se mimo jiné dotkne zejména těchto oblastí:

  • Pojišťovnictví. Při změně pojišťovny může jedinec uplatnit právo na přenos osobních údajů, resp. celého svého profilu.
  • E-commerce. Už dnes různé technologie, například cookies, umožňují vytvářet detailní profil zákazníků nakupujících on-line. Jednotlivci mohou podle nového nařízení o ochraně soukromí požadovat převod svého profilu na novou platformu elektronického obchodování.
  • Výzkum a klinické hodnocení. Lidé zapojení například do výzkumných projektů nebo vyšetření mohou požadovat, aby si nemocnice jejich data mezi sebou předaly, pokud se zapojí do nového projektu.
  • Internet věcí. Příkladem může být koupě nového automobilu, přičemž se uživatelé rozhodnou přenést svůj profil do nového vozu.
  • Cloudy. Většina dat je nyní uložena v cloudových platformách a po několika letech u jednoho poskytovatele se mohou uživatelé rozhodnout pro nového. I této oblasti se tak dotkne přenositelnost dat.

Podhoubí pro konkurenční boj

Data jsou dnes velmi cenný artikl. Při jejich přenosu mezi jednotlivými subjekty vyvstává zásadní otázka: Jak to ovlivní konkurenční boj?

Výkon práva na přenositelnost osobních údajů by mohl mít dopad i na práva duševního vlastnictví správce údajů. A to v případě, kdy by společnost získala obsah databáze jednoho ze svých konkurentů. Nelze proto vyloučit, že výkon práva na přenositelnost by mohl vést k nekalé soutěži.

WP29 se ovšem vyjádřila ve svých pokynech jasně: potenciální obchodní riziko nemůže sloužit jako důvod pro odmítnutí žádosti o přenos osobních dat.

Podniky by proto měly být připraveny reagovat na požadavky svých zákazníků a zároveň se chránit. Zejména v případě velkých databází osobních údajů je to komplikované.

Jak zmírnit negativní dopady?

Právo na přenositelnost osobních údajů přinese správcům údajů další náklady. Pomoci by mohly například drobné poplatky za úkony, ale o nich nařízení mlčí. Možnost účtovat si přiměřený poplatek je zmíněna v případě práva na přístup, s nímž právo na přenositelnost do jisté míry souvisí.

Podnikatelé rozhodně nebudou v jednoduché situaci, ale už nyní se na ni mohou připravit:

  • přijmout postupy, které umožní výkon práva na přenositelnost osobních údajů,
  • zavést standardní procesy, které umožní přenos dat novému poskytovateli,
  • přijmout opatření, která umožní odstranění důvěrných informací nebo obchodních tajemství z předávaných dat,
  • mít systémy, jež sledují množství a typy žádostí o přenositelnost dat s cílem omezit rizika zneužívání ze strany konkurentů.

S právem na přenositelnost je to podobné jako s ostatními právy, jež GDPR přináší – připravenost bude rozhodující.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018