facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2015 , AI a Business Intelligence , IT Security , IT právo

Jak legálně spravovat a vyvážet osobní data?



MATZNER et alPrávo na ochranu osobních údajů je mezinárodně považováno za součást práva na ochranu soukromí a platí samozřejmě i na internetu. Ochrana osobních údajů v EU, a tedy i v České republice, se ale výrazně liší od právní úpravy v USA. Tento fakt, posílený často i mylným výkladem či překladem příslušných právních norem, může při nakládání se získanými daty v prostředí nadnárodních korporací vést k nesouladu s právní úpravou ochrany soukromí v konkrétním státě.


Evropské právo je v ochraně osobních údajů výrazně přísnější než americké a klade subjektům shromažďujícím data velké množství překážek. Podle zákona o ochraně osobních údajů č. 101/2000 Sb. je třeba především stanovit účel, ke kterému jsou osobní údaje zpracovávány, a vyžádat si souhlas s takovým nakládáním s daty. Shromažďovat údaje je možné pouze v nezbytném rozsahu a po nezbytně nutnou dobu a nelze sdružovat údaje získané za různým účelem.

Z uvedeného je jasné, že e-shopy či webové služby, vyžadující při registraci nových uživatelů pomalu i velikost bot, by měly skutečně hodně co vysvětlovat, proč data sbírají. Samozřejmě je přitom důležitá i definice osobních údajů, mezi které dle zákona patří jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více specifických prvků, a to pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní či sociální identitu.

Výklady zákonů se mohou lišit a nejinak je tomu i u definice osobních údajů. Zatímco český Úřad pro ochranu osobních údajů (ÚOOÚ) nepovažuje například IP adresu za osobní údaj, protože „…ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy ani nemůže být IP adresa považována za osobní údaj.“ (ze stanoviska ÚOOÚ č. CJ08469/05UOOU ze dne 1. listopadu 2005), EU je opačného názoru. Podle stanoviska Pracovní skupiny pro ochranu údajů č. 4/2007 z 20. června 2007 „…pokud poskytovatel internetových služeb není schopen s naprostou jistotou odlišit údaje odpovídající uživatelům, kteří nemohou být identifikováni, bude muset pro jistotu nakládat se všemi informacemi o IP adresách jako s osobními údaji“. EU se tedy přiklání k širší definici osobních údajů, a tedy i vyšší ochraně práva na soukromí. Jde ale jen o výklad, nikoli závaznou právní normu.

Vývoz dat do zahraničí

Až do letošního října platilo rozhodnutí Evropské komise z roku 2000 (2000/520/ES), podle kterého mohly firmy z USA při nakládání s osobními daty Evropanů postupovat podle jednotných celoevropských pravidel nazývaných Safe Harbour. Soudní dvůr Evropské unie ovšem na základě žaloby rakouského právníka Maxe Schremse došel k závěru, že je rozhodnutí Evropské komise o Safe Harbour neplatné, protože „…nemůže popřít ani omezit pravomoci, jimiž jsou nadány vnitrostátní orgány dozoru podle Listiny základních práv Evropské unie.“ V soudním sporu šlo o předávání osobních údajů získaných v Evropě Facebookem, do USA. Podle rozhodnutí Safe Harbour byly Spojené státy Evropskou komisí považovány za zemi s dostatečnou úrovní ochrany osobních dat a bylo tedy paušálně možné data získaná v Evropě do USA předávat. Přelomové soudní rozhodnutí vrátilo pravomoc rozhodovat o předávání dat do zahraničí národním orgánům na ochranu osobních dat, tedy v našem případě ÚOOÚ.

Konec rozhodnutí Safe Harbour bude mít důsledky pro tisíce internetových firem působících v Evropě, které doposud mohly přenášet získaná data do svých databází spravovaných v USA, aniž by musely řešit podmínky exportu dat v jednotlivých zemích EU. Nově to bude možné pouze s výslovným souhlasem uživatelů svých služeb.

I předávání osobních údajů do jiných států řeší zákon o ochraně osobních údajů č. 101/2000 Sb., ke kterému existuje stanovisko ÚOOÚ č. 2/2010, podle kterého musí firmy žádat o povolení k předání osobních údajů do třetích zemí. Úřad posuzuje úroveň ochrany osobních dat v cílové zemi a v případě, že není zaručena stejná či vyšší úroveň ochrany (ani dodatečnými podmínkami ve smlouvě o převodu dat), je třeba zažádat o výjimku. Jednodušší je situace v rámci EU, jelikož § 27 odst. 1 zákona o ochraně osobních údajů garantuje volný pohyb osobních údajů v rámci států EU.

Internetové firmy mají s dodržováním zákonů na ochranu soukromí problémy často. Svědčí o tom i nedávný rozsudek belgického soudu, podle kterého musel Facebook do 48 hodin přestat se sledováním uživatelů (prostřednictvím cookies), kteří se neregistrovali k jeho službám, a tedy ani nepotvrdili souhlas se zpracováním svých osobních údajů. Je pravděpodobné, že do budoucna se bude oprávněně domáhat ochrany stále větší počet uživatelů internetu.

JUDr. Jiří Matzner, Ph.D., LL.M. JUDr. Jiří Matzner, Ph.D., LL.M.
Autor článku je zakladatelem advokátní kanceláře MATZNER et al
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.