Open data a GDPR
Právní limity pro OPEN DATA neboli jak to jde i za splnění požadavků Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob při zpracovávání osobních údajů a o volném pohybu těchto údajů (GDPR).
Tato analýza užívání Open Data za současného splnění požadavků GDPR byla vypracována advokátní kanceláří Nechala & Co., s. r. o. pro kolegy z Finstatu. My jsme ji se souhlasem autora přeložili dáváme k dispozici.
Tuto analýzu zveřejňujeme se souhlasem autora za účelem poskytnutí právní argumentace i pro nevládní organizace a novináře, kteří se zabývají zpracováním údajů ze zveřejněných registrů. V tomto rozsahu poskytuje advokátní kancelář Nechala & Co., s. r. o., souhlas s jejím použitím.
Tato analýza byla připravena za účelem zodpovězení otázky, zda je možné zpracovávání osobních údajů, které jsou součástí tzv. Open Data, po 25. květnu, kdy se začne uplatňovat nařízení GDPR.
Zdrojem zpracovaných osobních údajů jsou veřejné registry. Jde o oficiální registry státních institucí (Jako Obchodní rejstřík, Živnostenský rejstřík a podobně). Registry, z nichž se osobní údaje sbírají, jsou jednak veřejné registry dostupné neurčitému okruhu uživatelů (jako Obchodní rejstřík, Živnostenský rejstřík a podobně), ale i registry, které jsou dostupné pouze na základě zvláštní žádosti a za úplatu (např. Centrální registr exekucí).
Osobní údaje, které se zpracovávají, jsou obsahem informací, které jsou volně a bezplatně (výjimečně za úplatu v případě Centrálního registru exekucí) dostupné pro každého za stejných podmínek, tzv.
otevřená data, resp. Open Data. Otevřená data jsou zpřístupněna na internetu ve strukturované formě, která umožňuje jejich hromadné strojní zpracování.2
V současnosti je možné zpracování osobních údajů nacházejících se v rámci tzv. Open Data, a to na
základě zvláštního zákonného zmocnění uvedeného v původním zákoně o ochraně osobních údajů.3 GDPR a ani nový zákon o ochraně osobních údajů neobsahuje výslovné zvláštní povolení k dalšímu zpracování již jednou zveřejněných osobních údajů. Takové zpracování osobních údajů bude možné i nadále, avšak bude nutné najít pro to jiný právní základ.
Mezi základní zásady zpracování osobních údajů ve smyslu GDPR patří zákonnost zpracování.5
Podle čl. 6 GDPR je zásada zákonnosti naplněna pouze tehdy, pokud je splněna jedna z následujících
podmínek:
- dotyčná osoba vyjádřila souhlas se zpracováním svých osobních údajů pro jeden nebo
několik konkrétních účelů; 6
- zpracování je nezbytné pro plnění smlouvy, jejíž stranou je dotyčná osoba, nebo aby se na základě žádosti dotčené osoby provedly opatření před uzavřením smlouvy; 7
- zpracování je nezbytné pro splnění zákonné povinnosti provozovatele;8
- zpracování je nezbytné, aby se ochránily životně důležité zájmy dotčené osoby nebo jiné fyzické osoby; 9
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci svěřené provozovateli; 10
- zpracování je nezbytné pro účely oprávněných zájmů, které sleduje provozovatel nebo třetí strana, s výjimkou případů, kdy nad takovými zájmy převažují zájmy nebo základní práva a svobody dotčené osoby, které vyžadují ochranu osobních údajů, zejména pokud je dotčenou osobou dítě.11
Podmínky definované v čl. 6 GDPR jsou právními základy, na základě, kterých je umožněno zpracovávat osobní údaje. Každý provozovatel musí určit konkrétní právní základ, na kterém zpracovává osobní údaje.
Je třeba zkoumat, zda je Open Data možné zpracovávat na základě některého z výše uvedených
právních základů. Právní základy uvedené v GDPR jsou koncipovány v zásadě rovnocenně. Avšak podle názorů odborné veřejnosti by měl platit princip prioritní volby specifického právního základu
(Čl. 6 odst. 1 písm. B) až e) GDPR) a až v případě, že takový právní základ neexistuje, měl by
provozovatel zkoumat, zda je možné zpracování na základě oprávněného zájmu (čl. 6 odst. 1 písm. f) GDPR). Souhlas jako právní základ by měl být zvolen jako poslední možnost vzhledem k právům dotčených osob a jejich možnost kdykoliv odvolat souhlas.
Níže uvádíme stručnou charakteristiku a vysvětlení, proč není možné využít při zpracovávání Open Data právní základy uvedené v čl. 6 odst. 1 písm. b) až e) GDPR.: https://impr.cz/cms/media/files/open-data-gdpr.pdf