Právo být zapomenut


autor: Mgr. Michal Nulíček, LL.M., CIPP/E, JUDr. Josef Donát, LL.M., CIPP/E, Mgr. František Nonnemann, Mgr. Bohuslav Lichnovský, CIPP/E, Mgr. et Mgr. Ing. Jan Tomíšek, CIPP/E
publikováno: 07.06.2017

Právo být zapomenut  

Právo na výmaz neboli právo být zapomenut dává subjektu údajů za splnění určitých podmínek právo požadovat vůči správci, aby zlikvidoval jeho osobní údaje a dále je neuchovával. Toto právo se postupně vyvinulo soudním výkladem již v současné úpravě, a to z práva na opravu, výmaz nebo blokování údajů dle čl. 12 a práva na námitku dle čl. 14 směrnice 95/46/ES. Toto právo je implementováno v zákoně o ochraně osobních údajů v jeho § 21 jako obecná žádost o vysvětlení a odstranění nežádoucího stavu ve spojení s § 20 zák. o ochraně os. údajů, který v případě žádosti dle § 21 zák. o ochraně os. údajů ukládá správci za určitých podmínek povinnost osobní údaje zlikvidovat.

V květnu roku 2014 vydal SDEU přelomové rozhodnutí ve věci C 131/12 Google Spain SL, Google Inc. proti Agencia Española de Protección de Datos (AEPD), Mario Costeja González, kterým vyložil právo na opravu, výmaz nebo blokování údajů, jejichž zpracování není v souladu se směrnicí 95/46/ES, zejména z důvodů neúplné nebo nepřesné povahy údajů, takovým způsobem, že značně rozšířil možnosti jeho aplikace. SDEU zde identifikoval, že Google skutečně zpracovává osobní údaje a že tak činí na základě právního titulu oprávněného zájmu. To ve spojení s čl. 14 směrnice 95/46/ES, který dával subjektům údajů právo vznést námitku proti zpracování na základě oprávněného zájmu, způsobilo, že v daném případě bylo nutné posoudit, jestli komerční zájem Googlu ve spojení s veřejným zájmem celé společnosti na svobodu informací převáží nad zájmem daného subjektu údajů v jeho konkrétní situaci. V posouzení došel SDEU k tomu, že v této konkrétní situaci je zájem pana Costeji Gonzálese skutečně silnější a že osobní údaje musí Google z vyhledávání odstranit.

V návaznosti na tento rozsudek poté vyhledávač Google zavedl specializovaný webový formulář, pomocí kterého mohou subjekty údajů žádat o výmaz svých osobních údajů z výsledků vyhledávání. Do tohoto formuláře přitom subjekt údajů musí vyplnit určité informace o své situaci (jak se žadatele daná URL adresa týká a proč je zahrnutí URL adresy ve výsledcích vyhledávání irelevantní, zastaralé nebo z jiných důvodů nevhodné) a Google poté vyhodnotí, jestli je zpracování těchto údajů v rozporu se směrnicí 95/46/ES.

Toto právo, pro které se v médiích vžil poetický název právo na zapomnění, nebo přesněji právo být zapomenut, se následně dostalo také do návrhu Nařízení a nakonec bylo schváleno v podobě, která umožňuje subjektům údajů vykonávat značnou kontrolu nad svými osobními údaji.

SDEU ve své rozhodovací praxi[1] zároveň nastavil limit práva být zapomenut, a to ve vztahu k veřejným rejstříkům. Veřejný zájem na zachování údajů ve veřejných rejstřících (v tomto případě v obchodním rejstříku) je totiž natolik silný, že právo být zapomenut je zde vyloučeno.

Podmínky pro uplatnění práva na výmaz 

Správce má dle Nařízení povinnost osobní údaje na žádost subjektu údajů vymazat, pouze pokud je splněna jedna z podmínek v čl. 17 odst. 1 Nařízení a zároveň nelze aplikovat ani jednu z výjimek v čl. 17 odst. 3 Nařízení.

Je však nutné mít na paměti, že v některých případech má správce povinnost osobní údaje vymazat sám od sebe, bez toho, aby musel subjekt údajů žádost podávat, jelikož mu to ukládá jedna ze základních zásad zpracování osobních údajů dle čl. 5 Nařízení. Pokud tedy pomine účel zpracování, bude muset správce osobní údaje dle zásady omezení uložení zlikvidovat (tedy vymazat či anonymizovat) sám od sebe. Stejně tak bude muset správce osobní údaje zlikvidovat, pokud pro určité kategorie osobních údajů ztratí právní titul. V každém případě bude muset správce osobní údaje vymazat, pokud subjekt údajů vznese žádost a bude splněna jedna z následujících podmínek:

  1. Správce nepotřebuje osobní údaje pro účel, za kterým je shromáždil, nebo je jinak zpracovává (např. v případě dalšího zpracování dle čl. 6 odst. 4 Nařízení – více k možnostem dalšího zpracování v komentáři k čl. 6 Nařízení v části XVI). Správce by měl v takovém případě v souladu se zásadou omezení uložení dle čl. 5 odst. 1 písm. e) Nařízení osobní údaje vymazat sám od sebe, to však nevylučuje možnost subjektu údajů o to zažádat.
  2. Správce zpracovává osobní údaje na základě souhlasu dle čl. 6 odst. 1 písm. a) Nařízení nebo citlivé údaje dle čl. 9 odst. 2 písm. a) Nařízení a subjekt údajů souhlas odvolá. Povinnost provést výmaz údajů však vznikne správci automaticky, jelikož pokud nebude mít jiný právní titul, bylo by pokračující zpracování v rozporu se zásadou zákonnosti dle čl. 5 odst. 1 písm. a) Nařízení.
  3. Subjekt údajů vznese námitku proti zpracování dle čl. 21 odst. 1 Nařízení a při posouzení dle tohoto ustanovení vyjde najevo, že v konkrétní situaci převažuje zájem subjektu údajů nad zájmem správce na zpracování těchto osobních údajů, nebo subjekt údajů vznese námitku proti zpracování dle čl. 21 odst. 2 Nařízení. Po dobu, po kterou správce posouzení provádí, nesmí dle čl. 21 odst. 1 Nařízení dané osobní údaje zpracovávat, dokud neprokáže, že jeho oprávněný zájem v daném případě převáží. Pokud dojde k závěru, že převáží zájem nebo práva subjektu údajů, musí správce osobní údaje vymazat, pokud jej o to subjekt údajů požádá. Pokud správce zpracovává osobní údaje subjektu údajů na základě právního titulu oprávněného zájmu za účelem přímého marketingu a tento subjekt údajů vznese námitku proti takovému zpracování dle čl. 21 odst. 2 Nařízení, musí správce osobní údaje vymazat rovnou, bez vážení oprávněného zájmu.
  4. Osobní údaje byly zpracovány protiprávně. V souladu s pojetím zásady zákonnosti, která je blíže vysvětlena v komentáři k čl. 5 Nařízení v části II, bude mít subjekt údajů právo na výmaz nejen v případě, že budou osobní údaje zpracovány v rozporu s Nařízením, ale případně i s jakýmkoliv jiným právním předpisem EU nebo předpisem členského státu, který se na správce vztahuje.[2]
  5. Na správce se vztahuje právní povinnost vyplývající z práva EU nebo z práva členského státu, která mu ukládá osobní údaje vymazat. Tímto ustanovením dává Nařízení de facto členským státům a EU možnost zakotvovat do jejich právního řádu další případy pro uplatnění práva na výmaz. Tyto podmínky však budou stále podléhat výjimkám v čl. 17 odst. 3 Nařízení.
  6. Jedná se o osobní údaje dětí shromážděné správcem v souvislosti s nabídkou služby informační společnosti dle čl. 8 Nařízení. Toto právo se uplatní na všechny osobní údaje, které správce shromáždil od nezletilých subjektů údajů. Subjekt údajů má na výmaz právo i poté, co již hranici zletilosti překročil, ohledně údajů, které o něm správce shromáždil, když byl ještě nezletilý.

Výjimky z práva na výmaz 

Právo na výmaz není právem absolutním. U každé žádosti bude správce moci zvažovat, jestli se na danou situaci neuplatní jedna z výjimek dle čl. 17 odst. 3 Nařízení, která mu umožní osobní údaje dále zpracovávat. Pokud na základě jedné z těchto výjimek správce výkon práva na výmaz odmítne provést, musí v souladu s čl. 12 Nařízení ve lhůtě jednoho měsíce od doručení žádosti o tomto odmítnutí subjekt údajů informovat, užití takovéto výjimky řádně odůvodnit a poučit jej o jeho právu podat stížnost u dozorového úřadu dle čl. 77 Nařízení nebo se proti takovému odmítnutí bránit u soudu dle čl. 79 Nařízení.

První výjimkou z práva na výmaz jsou případy, kdy je nezbytné osobní údaje zpracovávat pro výkon práva na svobodu projevu a informace. Tato výjimka se tak uplatní např. v žurnalistice, v níž jsou vydané články projevem svobody projevu. Stejně tak nebudou moci subjekty údajů žádat výmaz osobních údajů např. z veřejných rejstříků, u nichž se zase jedná o právo na informace. Konkrétní uplatnění této výjimky bude záviset na způsobu, jakým členské státy upraví podmínky zpracování osobních údajů při výkonu práva na svobodu projevu a informace dle čl. 85 Nařízení. Uplatňování bude také vždy záviset na konkrétní situaci daného subjektu údajů. Způsob, jakým je nutné vážit právo na ochranu osobních údajů proti právu na svobodu projevu a informace, však bude ve finále záviset na rozhodnutích soudů. Více o výjimkách a o střetu práva na svobodu projevu a práva na ochranu osobních údajů pojednává komentář k čl. 85 Nařízení.

Pokud se na správce vztahuje právní povinnost podle práva EU nebo práva členského státu, která správci ukládá, aby osobní údaje uchovával, nebude muset subjektům údajů v jejich žádosti vyhovět. V ČR to bude např. povinnost uchovávat doklady o uskutečnění obchodů dle § 21 odst. 2 zák. o bankách nebo povinnost úschovy účetních záznamů dle § 31 zák. č. 563/1991 Sb., o účetnictví. Pokud správce potřebuje osobní údaje zpracovávat ke splnění úkolu prováděného ve veřejném zájmu, kterým je pověřen, nebo při výkonu veřejné moci, může žádost o výmaz odmítnout i z tohoto důvodu. Nemělo by to ale automaticky znamenat, že se právo na výmaz nevztahuje paušálně na všechny osobní údaje zpracované na základě právního titulu čl. 6 odst. 1 písm. c) a e). Správce by měl vždy posoudit konkrétní situaci žadatele a zvážit, jestli osobní údaje skutečně potřebuje zpracovávat či nikoliv.

Správce bude moci odmítnout také výmaz osobních údajů, jejichž zpracování je nezbytné z důvodu veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) Nařízení. Tyto údaje musejí být zároveň příslušným pracovníkem zpracovávány v souladu s čl. 9 odst. 3 Nařízení. Více k tomuto tématu v komentáři k čl. 9 Nařízení v částech X a XI.

Další výjimka se uplatní v případě, že je zpracování nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely a toto zpracování splňuje podmínky stanovené v čl. 89 odst. 1 Nařízení. V takovém případě může správce výmaz těchto osobních údajů odmítnout provést, pokud by tím bylo znemožněno nebo vážně ohroženo splnění cílů takového zpracování.

Správce také může žádost o výkon práva na výmaz odmítnout v případě, že je zpracování osobních údajů nezbytné pro určení, výkon nebo obhajobu právních nároků. Zde je nutné důsledně uplatňovat zásadu nezbytnosti, přičemž osobní údaje by měly být dle této podmínky uchovány pouze tehdy, pokud nelze určit, vykonat nebo obhájit určitý právní nárok bez jejich zpracování. Zároveň se musí jednat o potřebu objektivní. Správce jednoduše nemůže o určitých osobních údajích prohlásit, že je pro takové účely potřebuje bez toho, aby toto odůvodnil faktickou potřebou.

Všechny výše uvedené výjimky je nutné posuzovat v souladu se základními zásadami, a to zejména se zásadou minimalizace údajů. To znamená, že na základě těchto výjimek správce nesmí zpracovávat více údajů, než je pro daný účel nezbytně nutné. V tomto ustanovení je navíc uvedeno, že zpracování musí být pro daný účel nezbytné. Tím pádem se uplatní kritérium nezbytnosti tak, jak je dlouhodobě vykládáno SDEU. Výjimky se tedy uplatní pouze tehdy, pokud daného cíle nelze dosáhnout jiným způsobem než zpracováním daných osobních údajů.[3]

Povinnost informovat jiné správce o výmazu osobních údajů 

V případě, že je splněna jedna z podmínek pro výmaz a správce, který osobní údaje zveřejnil, žádosti vyhoví, je správce povinen s ohledem na dostupnou technologii a náklady na provedení učinit přiměřené kroky včetně technických opatření k tomu, aby informoval jiné správce o tom, že jej subjekt údajů žádá, aby vymazal veškeré odkazy na dané osobní údaje, jejich kopie či replikace.[4]

Nařízení neobsahuje definici zveřejněných osobních údajů. Zákon o ochraně osobních údajů však takový pojem již dnes používá a rozumí jím osobní údaje zpřístupněné zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Není zřejmé, jakým způsobem by měl správce informování dalších správců provést a jak bude v praxi tato povinnost správci plněna. Informování nejspíše nebude možné činit pouhým zveřejněním žádosti skrze stejné médium, jakým byly osobní údaje původně zveřejněny. Subjekty údajů by tím totiž byly vystaveny nebezpečí vzniku tzv. „efektu Streisandové“, kdy snahou zakrýt určitou skutečnost, zejména v prostředí internetu, dojde paradoxně k její popularizaci a efektivní výmaz je následně zcela nemožný. Toho koneckonců dosáhl také „vítěz“ případu Google Spain Mario Costeja González, který chtěl vymazat z vyhledávání Googlu informace o svých finančních potížích, které se v důsledku sporu staly naprostou notorietou.

Dalším, možná ještě podstatnějším problémem pro kýženou diseminaci práva na výmaz v prostředí internetu je také skutečnost, že pouhá informace o žádosti o výmaz pravděpodobně nezaloží jiným správcům bez dalšího povinnost tyto údaje vymazat, jelikož mají pro zpracování osobních údajů vlastní právní titul. Pokud tedy správce takovou informaci dostane, měl by s ní nakládat tak, jako by jej o výmaz zažádal sám subjekt údajů, a pro konkrétní situaci posoudit, zda jsou v jeho případě splněny podmínky pro výmaz údajů dle čl. 17 odst. 1 Nařízení. V mnohých případech však samotná informace o vůli subjektu k výmazu nestačí a správce potřebuje znát určité skutečnosti ohledně konkrétní situace daného subjektu údajů. Mělo by tedy toto znamenat, že si správci budou v podstatě neomezeně předávat osobní údaje nutné k posouzení práva na výmaz na základě tohoto ustanovení? Takový výklad by byl z hlediska ochrany osobních údajů velice nebezpečný. V současnosti správcům nezbývá než čekat na výkladové pokyny k právu na výmaz, které by měla vydat v průběhu roku 2017 WP29 a které by měly praktické provádění této povinnosti osvětlit.

Kromě povinnosti informovat jiné správce o žádosti subjektu údajů pro zveřejněné osobní údaje obsahuje Nařízení také obecnou povinnost správce informovat v případě provedení výmazu dle čl. 17 odst. 1 Nařízení jednotlivé příjemce, kterým osobní údaje poskytl. Více k této povinnosti v komentáři k čl. 19 Nařízení v části I.

Z publikace Michal Nulíček, Josef Donát, František Nonnemann, Bohuslav Lichnovský, Jan Tomíšek: GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář.

Koupit lze ZDE.

 



[1] Rozsudek SDEU ze dne 9. března 2017 Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce proti Salvatore Mannimu, věc C-398/15.

[2] Bod 65 odůvodnění Nařízení.

[3] Rozsudek SDEU ze dne 20. května 2003 Österreichischer Rundfunk a další, spojené věci C-465/00, C-38/01 a C-139/01.

[4] Již zde je však vhodné upozornit, že se nejedná o povinnost zajistit jejich výmaz u jiných správců, nýbrž pouze o povinnost informovat.