Právo na přenositelnost

GDPR s sebou nepřináší jen nové povinnosti, ale také zcela nová práva. Některá jsou všem jasná, u jiných je trochu těžší představit si, co běžným občanům slibují. Víte, kdy a jak můžete uplatnit své právo na přenositelnost údajů?

Dosud člověk, s jehož osobními daty správce údajů (například banka nebo e-shop) nakládá, takové právo neměl. Od letošního května však může za určitých podmínek všechny údaje týkající se jeho osoby získat a předat je jinému správci.

Podmínky, které je nutné splnit, jsou dvě:

· jedná se o data shromážděná se souhlasem k jejich zpracování nebo na základě smlouvy se subjektem údajů,

· data jsou zpracovávaná automatizovanými prostředky (tedy nikoliv v papírové podobě).

Právo na přenositelnost doplňuje právo na přístup, které je svou definicí širší a vztahuje se i na osobní údaje zpracovávané na jiných základech (plnění právní povinnosti, oprávněné zájmy), jakož i na informace o příjemcích údajů, zdrojích informací a jiné. Právo na přenositelnost ovšem disponuje jednou nespornou výhodou: údaje v jeho rámci musí být zpřístupněny ve strukturovaném, běžně dostupném a strojově čitelném formátu, což značně ulehčuje využitelnost takto získaných údajů. Získané údaje si pak smí daná osoba ponechat pro osobní účely nebo je předat jinému správci podle vlastního uvážení a bez jakýchkoli omezení. Dokonce může správce požádat, aby tato data novému správci předal sám, pokud to lze technicky provést.

O jaké údaje jde?

Právo na přenositelnost údajů se vztahuje nejen na data vědomě a aktivně poskytnutá subjektem údajů, ale i na data získaná prostřednictvím jeho činnosti nebo sledováním jeho činnosti. Příkladem takových dat mohou být údaje získané z chytrých měřičů (inteligentní sítě — smart grid, smart meter atd.), wearables (nositelná elektronika) nebo různých logů, historie prohlížení, vyhledávání atd. Do rámce práva na přenositelnost budou spadat též pseudonymní/pseudonymizované údaje, které lze pomocí dalších informací spojit s konkrétní osobou.

Obecně, vzhledem k záměru práva na přenositelnost, musí být výraz „poskytnutý subjektem údajů“ vykládán široce s vyloučením pouze „dovozených“ a „odvozených dat“, která zahrnují osobní údaje vytvářené správcem (např. výsledky algoritmických postupů). K odvozeným datům budou patřit i data získaná prací s údaji poskytnutými dotčenou osobou — například různé profily pro potřeby ohodnocení rizika (odvozené ze zdravotních dotazníků atp.), skóring finančních institucí nebo behaviorální cílování reklamy. Správce může tato odvozená nebo dovozená data vyjmout a dotčené osobě je v rámci portability neposkytovat.

Pochopitelně, právem na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob. Přenos údajů dotčené osoby bude každopádně zpravidla obsahovat i údaje třetích stran. Odpovědnost za ochranu práv a zájmů třetích stran leží jak na původním, odesílajícím správci, tak na správci novém, který je má přijmout. Ten má odpovědnost za to, že jakékoli údaje (ať už jsou přímo daného subjektu, nebo třetích stran) zpracovává na základě legitimního účelu a zákonného titulu a v nezbytném rozsahu. Právo na přenos údajů v žádném případě nepředstavuje nový právní titul pro jejich zpracování nebo oprávnění je používat k jiným účelům než k těm, pro které byly subjektem převedeny. Jakékoli nepotřebné údaje musí nový správce smazat v souladu s obecnými pravidly GDPR. Odesílající správce by naopak v rámci své odborné péče (best practice) měl dotčené osobě umožnit vybrat si, jaká konkrétní data chce přenést, a to pokud možno v přehledné a strukturované podobě (pomocí aplikace, API apod.). Odesílající správce rovněž odpovídá za bezpečnost přenosu (šifrování či jiné opatření) a autentizaci subjektu údajů (uživatelské účty, potvrzovací kódy aj.)

K čemu je to dobré — praktické příklady

· Aplikace MiData ve Spojeném království již v roce 2011 zpřístupnila aplikaci, která umožňuje subjektu údajů v bankovním sektoru získat údaje ze svého bankovního účtu a přenést je na třetí stranu, která posléze dle dostupných dat analyzuje, jak co nejefektivněji uložit, zhodnotit či ušetřit finanční prostředky.

· Právo na přenositelnost může například bankám umožnit poskytnutí doplňkových služeb, a sice s využitím osobních údajů původně shromážděných v rámci energetické služby (samozřejmě s vědomím dotčené osoby a při poskytnutí informací o takovém zpracování).

· Seznam přehrávaných písní pro účely přenosu na jinou platformu.

· Kontakty z mailové schránky pro účely rozeslání pozvánek na svatební obřad (osobní využití nepodléhající samo o sobě GDPR).

· Možnost nabízet služby na míru dle komplexnějších údajů o subjektu údajů, tzn. např. zájezdy, věrnostní karty, doplňkové služby.