Své osobní údaje poskytujeme nejrůznějším firmám a organizacím v podstatě denně. Bez skrupulí vyplňujeme do formulářů jméno i adresu, datum narození, pohlaví, či věk. Poněkud opatrnější jsme někde při zadávání rodného čísla, čísla cestovního pasu, občanského nebo řidičského průkazu, případně kreditní karty, ale i ty nakonec většina z nás nakonec vydá, chce-li nakoupit přes internet a získat nějako výhodu či slevu, založit si účet v bance nebo získat půjčku, zajisti si letenky či dovolenou. Zkrátka, poskytování osobních údajů se pro většinu z nás stalo jakousi samozřejmostí a mnohdy ani nepomyslíme na to, jaké důsledky by zneužití těchto údajů mohlo přinést. Proč také, v době sociálních sítí, na nichž leckdo o sobě sděluje i řadu soukromých, nezřídka i intimních informací. Přitom i pouhá fotografie z dovolené, které si právě zaslouženě užíváte na druhém konci světa může být snadno zneužitelnou informací s nepříjemnými následky. Například pro bytaře může být významným signálem toho, že je váš byt zcela osiřelý. Prostřednictví sociálních médií jsou přitom takové informace obvykle sdíleny a čířeny široko daleko.

 

Práva subjektu údajů

Každý evidovaný subjekt má právo prohlédnout si veškerá data, které v souvislosti s jeho osobou organizace či firma uchovává a následně může požadovat jejich vymazání (právo být zapomenut), opravu, pokud jsou data chybná, či nepřesná. V to m není nová právní úprava až tolik inovativní, tato práva zde byla zaručena už stávající právní úpravou chránící osobní údaje, nově však přibylo také právo na přenositelnost údajů, respektive získat data v přenositelné formě.

Na základě tohoto práva tak může subjekt údajů své osobní údaje poskytnuté jednomu správci údajů předat správci jinému, aniž by mu v tom správce bránil. Právo na přenositelnost údajů tak má především usnadnit přechod od jednoho poskytovatele služby ke druhému. A nejde přitom pouze o strukturovaná data poskytnutá prostřednictvím formulářů, ale i o data ve formě běžně používaných, strojově čitelných formátů jakými jsou například textové dokumenty nebo e-maily.

Pokud nyní přemýšlíte, k čemu je to dobré, je třeba si uvědomit, že firmy o svých zákaznících neschraňují jen data vyplněné prostřednictvím registračních formulářů, ale v době pokročilých služeb spravují také data, která si klienti prostřednictvím poskytovaných služeb ukládají nebo přímo vytvářejí pro svou osobní potřebu.

Představte si například banku, která vám ve své aplikaci umožní podrobně analyzovat své výdaje a na jejich základě sestavovat rodinný rozpočet. Po čase aktivního využívání takové služby jste se do jisté máry mohli stát rukojmím vlastních dat. I kdyby vám jiná banka nabídla podobný nástroj, nebo dokonce lepší, fakt, že byste u ní museli začínat se shromažďováním analyzovatelných dat od píky značně omezovala možnost přechodu k novému poskytovateli, v tomto případě k jiné bance. S novými pravidly však přibude i možnost veškeré nashromážděné informace získat ve formě, kterou lze k novému poskytovateli přenést, pokud je to technicky proveditelné.

Obdobně bude možné přenést playlisty oblíbených skladeb či filmů mezi poskytovateli obsahu nebo třeba seznamy oblíbených položek nákupu mezi e-shopy.

Právo na přenositelnost údajů však správci údajů neukládá povinnost, aby údaje uchovával déle, než je pro účel poskytován služby, respektive zpracování nezbytné. Pokud poskytovatel služby a správce dat například záznamy o uživatelem sledovaných filmech neuchovává, nemusí tak činit ani do budoucna. A pokud je uchovává jen po určitou stanovenou dobu, nemusí je po uplynutí této doby dále uchovávat a tedy ani předávat pro účely přenesení k jinému správci.

Stejně tak ovšem nevyplývá povinnost ani novému správce údajů, aby zpracovával a uchovával přenesené údaje nad rámec poskytované sužby. Pokud budou některé přenášené údaje pro zpracování novým úpravcem nadbytečné, neměly by být uchovány ani zpracovány.

Právo na přenositelnost údajů se vztahuje pouze na osobní údaje, které správce zpracovává na základě souhlasu subjektů nebo pro účely plnění smlouvy uzavřené se subjektem údajů. Kromě playlistu tak může subjekt údajů požadovat například také seznam knih, které zakoupil v internetovém knihkupectví, neboť v takovém případě se jedná o zpracování údajů pro účely plnění smlouvy. U zpracování údajů na základě jiného důvodu právo subjektu údajů na přenositelnost nevzniká. Nařízení výslovně stanovuje, že se právo na přenositelnost neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

Správce musí poskytnout osobní údaje subjektu údajů nebo je předat jinému správci bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti o předání údajů anebo maximálně do třech měsíců od podání žádosti a u komplikovanějších žádostí za podmínky, že subjekt údajů bude do jednoho měsíce informován o důvodech odkladu.

Správce nesmí účtovat poplatek za předání osobních údajů, ledaže prokáže zjevnou neodůvodněnost nebo nadbytečnost žádosti subjektu údajů (např. zejména protože se opakují).

 

Jak mají být přenositelné údaje poskytovány

Nad touto závěrečnou otázkou visí zřejmě největší otazník. Nařízení vyžaduje, aby správce poskytl údaje ve strukturovaném, běžně používaném a strojově čitelném formátu, který umožňuje opakované použití a je interoperabilní. Nařízení žádné doporučení ohledně formátu nestanoví. Typ odpovídajícího formátu se bude lišit podle jednotlivých hospodářských odvětví. Skupina WP29 zdůrazňuje, aby správci k poskytovaným údajům připojovali co nejvíce metadat, v reálně dosažitelné rozlišitelnosti zachovávající přesný význam vyměňované informace. Například pdf verze e-mailové schránky nebude považována za dostatečně strukturovaný formát. Údaje z e-mailu by měl správce poskytnout ve formátu, který zachovává veškerá metadata, aby bylo možné opakované použití těchto údajů. Evropská unie apeluje na členy jednotlivých odvětví a obchodních asociací, aby spolupracovali při tvorbě obecně uznávaných standardů interoperability a formátů. V každém případě implementace přenositelnosti údajů bude pro správce údajů znamenat zvýšené finanční i časové náklady, a proto by s implementací měli začít co nejdříve, i přestože nařízení bude účinné až v květnu 2018.