Velký objem dat není pro informatiky novou skutečností, tento trend však byl akcelerován technologickým rozvojem, který vede k novým nárokům na zpracování dat. Atributy spojované s termínem Big data souvisí zejména s novými zdroji rozmanitých datových struktur označovaných jako variabilita dat, která nás nutí hledat nové metody a technologie pro práci s daty.

Pokud hovoříme o variabilních datových strukturách, máme na mysli data ze sociálních sítí a internetu obecně, mediální data zahrnující jak text, obraz, video nebo hlasový záznam, tak i logy z ICT systémů, souřadnice o poloze nebo záznamy z takzvaných chytrých zařízení. Jako chytrá zařízení přitom označujeme elektroniku vybavenou komunikačním modulem, která umožňuje sdílet data s dalšími zařízeními a aplikacemi, jako jsou například mobilní telefony, tablety, parkovací automaty, mýtné systémy, vybavení budov a infrastrukturních staveb nebo domácí elektronika.

Big data a právní rámec

Z pohledu právní regulace není pojem Big data dosud znám ani regulován. Z pohledu legislativy je však poměrně dobře popsána a regulována oblast osobních údajů a dat, neboť v tomto případě může snadno dojít k jejich zneužití, a proto se na ně vztahuje vyšší míra ochrany. Z definice osobních údajů níže lze odvodit, že Big data typicky obsahují osobní data, tedy pokud neprojdou algoritmy, které zdrojová data cíleně anonymizují.

Dle zákona o ochraně osobních údajů je osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Základní právní rámec regulující práci s daty je následující.

Česká republika:

• čl. 10 odst. 3 Listiny základních práv a svobod: Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě;
• zákon č. 101/2000 Sb., o ochraně osobních údajů (vymezení pojmů osobní údaj, zpracování, správce, zpracovatel, předání osobních údajů do jiných států);
• zákon č. 40/2009 Sb., trestní zákoník (trestný čin v ustanovení § 180 Neoprávněné nakládání s osobními údaji).

Evropská unie:

• směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů;
• judikatura Evropského soudního dvora.

Právo být zapomenut – zajímavý případ judikovaný Evropským soudem

V roce 2014 došlo k rozhodnutí Evropského soudního dvora (ESD) ve věci Google Spain SL, Google Inc., Agencia Espaňa de Protección de Datos (AEDP), versus Mario Costeja González

Mario Costeja, španělský státní příslušník, podal stížnost proti deníku La Vanguardia a společnostem Google Spain a Google Inc. na Státní úřad na ochranu osobních údajů proti tomu, že se po zadání jména M. Costeja Gonzáleze do internetového vyhledávače skupiny Google objevuje odkaz na dvě strany deníku La Vanguardia ze dnu 19. ledna a 9. března 1998 uvádějící jméno M. Costeja Gonzáleze v souvislosti s dražbou nemovitostí zabavených v důsledku dluhů na sociálním zabezpečení, pohledávky zajištěné zabavenými nemovitostmi přitom byly již několik let v plné výši uhrazeny – domáhal se odstranění nebo změny těchto uvedených stránek tak, aby se na nich neobjevovaly jeho osobní údaje.

ESD zde posuzoval tzv. „právo být zapomenut“ a rozhodl, že „činnost vyhledávače (umístěného na území EU) spočívající ve vyhledávání informací zveřejněných nebo umístěných na internetu třetími osobami, v jejich automatickém indexování, v jejich dočasném ukládání a konečně v jejich poskytování uživatelům internetu v určitém preferenčním pořadí je „zpracováním osobních údajů“ (pokud uvedené informace obsahují osobní údaje) a provozovatel uvedeného vyhledávače musí být považován za „správce“ odpovědného za dané zpracování ve smyslu směrnice 95/46/ES.“

Shrnutí

Pokud chceme zpracovávat osobní údaje, musíme k tomu, až na výjimky definované zákonem, mít souhlas osoby, které se takovéto zpracování týká. Zároveň bychom se měli registrovat u Úřadu na ochranu osobních údajů jako tzv. správce osobních údajů. Označení zpracovatel dle zákona se pak vztahuje na toho, kdo s daty dále manipuluje např. prostřednictvím IT nástrojů. Správce i zpracovatel pak mohou s daty nakládat pouze v rozsahu uděleném v souhlasu nebo za účelem, který je „kompatibilní“ s původním souhlasem.

Zní to velmi obecně, ale pokud si uvědomíme, jak často dáváme v prostředí internetu za účelem užívaní jednotlivých aplikací souhlas s dlouhým textem vymezujícím rozsah zpracování našich osobních údajů, nelze se divit, že souhlas s nakládáním našich osobních údajů mají nejen globální firmy typu Google, Facebook, ale i řada menších firem, kterým jsme nevědomky dali souhlas k tomu, aby naše údaje zpracovávaly i předávaly k využití třetím stranám.

Oblast Big data je typickým příkladem, kdy technologie předbíhají současnou legislativu a technické možnosti dozorujících orgánů, jako je Úřad na ochranu osobních údajů. Nicméně existují obecné právní principy a rozhodnutí na úrovni evropské nebo i české soudní praxe, které ukazují, že se tento náskok rychle zkracuje.

Z pohledu oblasti zpracování Big data je tedy podstatné mít ten správný souhlas o zpracování osobních dat, přičemž v opačném případě nás pouze kompletní „anonymizace“ zdrojových dat činí chráněnými z hlediska zákona.

Richard Novák Autor článku je ředitelem pro strategii ve společnosti GTS Czech

Marta Fišerová Spoluautorka je advokátkou ve společnosti JŠK Law