E-learning – Otvorené dáta v samospráve

O GDPR  

Je v záujme širokej verejnosti, akademickej obce, podnikateľov ale aj štátu a verejnej správy mať k dispozícii, čo najviac informácií, ktoré umožňujú robiť dobré rozhodnutia, prinášajú inovácie, či nové riešenia. Táto snaha však vytvára prirodzený konflikt – nevieme vytvoriť maximálny prístup k informáciám a zároveň chrániť práva dotknutých osôb na ochranu osobných údajov a súkromia. Práve Všeobecné nariadenie o ochrane údajov (GDPR) nám dáva nástroje, usmernenia a príklady ako tieto hranice nachádzať a uplatňovať.  

GDPR neprinieslo ukončenie spracúvania osobných údajov, ani nebrzdí vývoj inovácií. Naopak Nariadenie podporuje vývoj inovácií prostredníctvom garantovania hraníc a limitov, ktoré je pri tomto vývoji potrebné zachovávať –  tak aby neboli dotknuté práva dotknutých osôb na ochranu osobných údajov.

Prijatie Nariadenia prinieslo viacero zjednodušení a nepresností v komunikácii aj od niektorých predstaviteľov štátu, napríklad že GDPR ukončuje využívanie verejných databáz a zverejňovania údajov. Takýto názor je nepravdivý a v rozpore s oficiálnymi politikami Európskej únie a Slovenskej republiky. Nariadenie totiž má dva základne ciele a to ochrana základných práv a zabezpečenie voľného pohybu údajov. Otvorené dáta sú jedným z prvkov transparentnosti a zodpovednej správy vecí verejných. Ich potenciál a prínos je potrebné v plnej miere využiť. Technické obmedzenia, autorskoprávne nároky ako aj ochrana osobných údajov sú podmienky, ktoré je potrebné splniť pre využívanie otvorených údajov. Otvorené údaje sú stelesnením technickej a právnej slobody využívania údajov moderným spôsobom.

Aby sme rozumeli problematike ochrany osobných údajov, musíme si vysvetliť pojem osobný údaj: 

Osobný údaj ako ho definuje GDPR: „Osobné údaje“ sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby; [3]

Akákoľvek informácia – znamená široké chápanie spracúvaných údajov. Informácie týkajúce sa osôb objektívne (zdravotné výsledky) ale aj subjektívne (Ján Novák je dobrý zamestnanec). Pre vyhodnotenie, či ide o osobný údaj, nie je podstatná pravdivosť informácie. Rovnako definícia pokrýva informácie týkajúce sa osobného alebo rodinného života ako aj informácie v súvislosti so zamestnaním alebo podnikaním. A napokon osobné údaje nerozlišuje ani formát alebo nosič, na ktorom sú uložené.

Týkajú sa fyzickej osoby – znamená, že osobným údajom je informácia týkajú sa fyzickej osoby. Vo väčšine prípadov bude splnenie tejto podmienky zrejmé, napríklad evidencia obyvateľov. Diskutabilnými sú prípady, kedy je spracúvanie súčasťou sledovania iného cieľa, napríklad hodnota predávanej nehnuteľnosti alebo daň za psa. Rozhodnutie vtedy závisí od obsahu, účelu alebo cieľa spracovania údajov. Môže sa vyskytnúť situácia, kedy pre jedného prevádzkovateľa budú údaje považované za osobné údaje a pre iného z hľadiska účelu spracúvania nie. 

Identifikovanej alebo identifikovateľnej fyzickej osoby –  fyzická osoba musí byť určená alebo určiteľná na základe jedného alebo viacerých identifikátorov. Takýmito identifikátormi sú napríklad meno, identifikačné číslo, lokalizačné údaje, online identifikátor, odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby. Treba si uvedomiť, že všetky informácie, ktoré sú na internete sú ľahko dohľadateľné, ak si vieme tieto informácie dohľadať a prepájať, osoba je identifikovateľná.  Na zistenie toho, či je primerane pravdepodobné, že sa prostriedky použijú na identifikáciu fyzickej osoby, by sa mali zohľadniť všetky objektívne faktory, ako sú náklady a čas potrebný na identifikáciu so zreteľom na technológiu dostupnú v čase spracúvania, ako aj na technologický vývoj. 

Aký je vzťah medzi zverejňovaním otvorených dát a ochranou osobných údajov

Otvorené dáta častokrát obsahujú osobný údaj identifikovanej alebo identifikovateľnej dotknutej osoby. Obce a mestá sú v postavení prevádzkovateľa informačného systému a musia zabezpečiť súlad so zákonnými požiadavkami v oblasti ochrany osobných údajov – s GDPR a Zákonom č. 18/2018 Z.z. o ochrane osobných údajov.  

Dosiahnuť súlad so zásadami ochrany osobných údajov je možné za predpokladu kladnej odpovede na týchto 7 otázok:  

1. Je spracúvanie osobných údajov zákonné, spravodlivé a transparentné?

• Zákonné znamená, že existuje odkaz, či už v nariadení alebo v inom právnom predpise, ktoré umožňuje spracovávanie osobných údajov.  Nazývame to aj právny základ.  
• Spravodlivé alebo nevyhnutné (z angl. fair) znamená, že spracovávanie osobných údajov je v súlade s očakávaniami dotknutej osoby a je to potrebné na dosiahnutie definovaného účelu.  
• Transparentnosť hovorí o splnení informačnej povinnosti o tom, k akému spracovávaniu osobných údajov dochádza, v akom rozsahu, aké ďalšie subjekty majú prístup k týmto dátam, na akú dobu a i. (Zásady spracovávania osobných údajov, Privacy Policy)

2. Získali sa osobné údaje na špecifický, výslovný a oprávnený účel?

• Na začiatku spracovania, teda už pri získavaní údajov, musí byť jasne zadefinovaný účel spracovania osobných údajov. Účel musí byť dostatočne určitý, vyslovený, popísaný a oprávnený.   

3. Minimalizácia údajov počas spracúvania je na primeranej, relevantnej a potrebnej úrovni vzhľadom na účel?

• Rozsah spracovávaných osobných údajov musí byť odvodený od účelu spracovávania, čiže, ak nevieme odôvodniť rozsah spracovávaných osobných údajov, nemôžem ich spracovávať. Napríklad, ak potrebujem doručiť poštou zásielku, nepotrebujem dopĺňať informácie o telefónnom čísle, veku adresáta. Postačí mi meno a adresa dotknutej osoby (adresáta pošty).  

5. Sú osobné údaje správne a aktuálne?

• Znamená to, že prevádzkovateľ zabezpečuje aktualizáciu údajov. Dotknutá osoba má právo požiadať o opravu údajov na strane prevádzkovateľa, ak údaje nie sú správne.  

6. Nie sú osobné údaje uchovávané dlhšie ako je potrebné?

• Vo väzbe na účel spracovávania je potrebné zadefinovať aj dobu uchovávania osobných údajov, ktorá je súčasťou plnenia informačnej povinnosti.  

7. Je zabezpečená primeraná bezpečnosť pred neoprávnenou stratou a zverejnením osobných údajov?

• Znamená to, či prevádzkovateľ zabezpečil primeranú bezpečnosť pred únikom, stratou osobných údajov, či pred prístupom  neoprávnených osôb. V období, keď vstúpilo GDPR do platnosti sa množstvo miest a obcí sústreďovalo práve na otázku bezpečnosti súvisiacu s GDPR. V prostredí ochrany osobných údajov je bezpečnosť len jednou z povinných súčastí.  

8. Môže prevádzkovateľ preukázať kladné odpovede na vyššie uvedené otázky?   

• Znamená to, či prevádzkovateľ zdokumentoval prijatie pravidiel na ochranu osobných údajov ako aj ich uplatňovanie. Vie teda preukázať, že má zavedený systém riadenia ochrany osobných údajov.
• Ak áno, spracovávanie osobných údajov je v súlade so zásadami GDPR.

Cieľom týchto otázok je, aby prevádzkovateľ vedel hodnoverne zdokumentovať, že zabezpečil súlad s nariadením GDPR a že vie na všetky tieto otázky odpovedať kladne.

Zásady spracovania osobných údajov:

1. Zákonnosť, spravodlivosť a transparentnosť
2. Obmedzenie účelu 
3. Minimalizácia údajov 
4. Správnosť 
5. Minimalizácia uchovávania
6. Integrita a dôvernosť 
7. Zodpovednosť 

Právny základ pre zverejňovanie otvorených dát

Zverejňovanie otvorených dát mestami a obcami vychádza z viacerých právnych predpisov:

 

[4]

Ak však hovoríme o otvorených údajov musíme si uvedomiť tri fázy, kedy dochádza k spracúvaniu a teda môže takéto spracúvanie podliehať aj posúdeniu podľa GDPR. Po prvé, samotné získavanie údajov obcami a mestami, ktoré zvyčajne bude plnením zákonnej povinnosti alebo úloh vo verejnom záujme. Podobne možno pozerať aj na druhú fázu zverejňovanie datasetov obcami a mestami, tiež budeme právny základ hľadať v zákonných predpisoch. Poslednou fázou je spracúvanie zverejnených údajov treťou osobou, kde stanovenie právneho základy bude zložitejšie.

Pri spracovaní osobných údajov je však rovnako dôležité stanoviť právny základ, pričom GDPR stanovuje viaceré možnosti, pričom splnená musí byť aspoň jedna z nasledujúcich podmienok:

1. dotknutá osoba vyjadrila súhlas;  
2. nevyhnutné na plnenie zmluvy;  
3. nevyhnutné na splnenie zákonnej povinnosti;  
4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby; 
5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;  
6. spracúvanie je nevyhnutné na účely oprávnených záujmov.

Poznámky:

[3] Čl. 4 ods.1 NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[4] Zákonom č. 341/2012 Z. z. z 18. októbra 2012, ktorým sa mení a dopĺňa zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov boli s účinnosťou od 1. decembra 2012 do slovenského právneho poriadku zavedené osobitné ustanovenia o opakovanom použití informácií. Touto novelou došlo k transpozícii smernice č. 2003/98/ES Európskeho parlamentu a Rady zo 17. novembra 2003 o opakovanom použití informácií verejného sektora. Smernica 2003/98/ES bola nahradená novelizovanou smernicou č. 2013/37/EÚ z 26. júna 2013, ktorou sa mení smernica 2003/98/ES o opakovanom použití informácií verejného sektora (smernica 2013/37/EÚ), ktorá sa transponuje do slovenského právneho poriadku novelou infozákona č. 340/2015 Z. z. súčinnosťou od 1. januára 2016.