Zpracování údajů na internetu

GDPR přiznává v čl. 15 každé osobě dotčené zpracováním jejích údajů (subjektu údajů) právo na přístup k určitým informacím o zpracování. Jedná se zejména o sdělení účelu zpracování osobních údajů, kategoriích osobních údajích, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji, příjemci, případně kategoriích příjemců.

V případě pochyb o způsobu a rozsahu zpracování, zdrojích údajů apod. tímto GDPR dává možnost zjistit, zdali jsou o vás osobní údaje zpracovávány, resp. ověřit konkrétní parametry zpracování tak, abyste mohli zvážit další kroky a případně požadovat nápravu.

Požádáte-li správce o takové informace týkající se zpracování Vašich osobních údajů, je správce povinen Vám je  bez zbytečného odkladu sdělit, resp. nejpozději do jednoho měsíce. Ve výjimečných případech to mohou být až tři měsíce.

Informace správce poskytuje bezplatně, kromě případů, kdy je odlišný postup možný na základě zákonného zmocnění.

V případě, že neobdržíte do 30 dnů na Vaši žádost od správce informaci o zpracování Vašich osobních údajů, resp. informaci o prodloužení vyřízení žádosti s důvody, můžete na tuto skutečnost Úřad upozornit. V takovém případě je nutné doložit všechny relevantní informace a dokumenty o jednání se správcem (tj. i text žádosti o informaci o zpracování Vašich osobních údajů atd., např. pokud byla žádost o informace zaslána poštovní zásilkou, doporučuje se doložit i doručenku.).

Na některé zvláštní situace a postupy (např. bezpečnostní agendy, či postup Policie ČR) se povinnost dle čl. 15 GDPR nevztahuje.

GDPR obsahuje širokou paletu práv subjektu údajů, která může subjekt údajů v konkrétních případech využít.

Právo na přístup k osobním údajům

Základním aktivním právem je právo na přístup k osobním údajům, upravené v čl. 15 GDPR. K tomuto právu se Úřad vyjádřil zde.

Toto právo je vhodné uplatnit v případech, kdy chcete zjistit, zdali správce o Vás zpracovává osobní údaje a chce získat i informace o takovém zpracování.

Právo na opravu nepřesných osobních údajů

Subjekt údajů dále může správce požádat o opravu nepřesných osobních údajů (typicky např. v kontaktních údajích, změně příjmení atd.). Nejvhodnější je požádat o opravu nepřesných osobních údajů písemně.

Právo na námitku

Pokud jsou osobní údaje zpracovávány na základě právních důvodů plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, či jako nezbytné pro účely oprávněných zájmů správce či třetí strany, může subjekt údajů proti takovému zpracování vznést námitku. Správce se následně musí vznesenou námitkou adekvátně zabývat a dané zpracování posoudit. Neznamená to však, že po vznesení námitky musí zpracování ukončit. Zpracování ukončí pouze tehdy, pokud řádně dané zpracování neodůvodní, v opačném případě sdělí subjektu údajů důvody pro zpracování.

Pokud subjekt údajů podá námitku proti zpracování osobních údajů pro účely přímého marketingu, je vždy správce povinen takové námitce vyhovět.

Velmi aktuálním pojmem je v dnešní době virtuální identita. Tu má, v menší či větší míře každý, kdo se pohybuje v internetovém světě. Její součástí jsou informace, které na sebe na internetu prozradil, tedy zpravidla třeba ve vyhledavačích, sociálních sítích, diskuzích apod. Společnosti, které takové platformy provozují, se tak prakticky stávají zpracovateli obrovského množství osobních údajů. Jaká pravidla nastavilo GDPR, aby byla data miliónů lidí pod adekvátní ochranou?

Pro poskytnutí zmiňovaných služeb by společnosti, které je provozují, měly jasně a srozumitelně definovat pravidla používání a informovat uživatele o zpracování osobních údajů.

Z nových pravidel ochrany údajů, které přineslo od května 2018 obecné nařízení, vyplývá, že když dochází ke zpracovávání osobních údajů na základě souhlasu, musí se tento souhlas zakládat na informovaném rozhodnutí a musí dojít k jeho zjevnému vyjádření. V praxi toto pravidlo představují výzvy k prostudování všeobecných podmínek a nastavení ochrany osobních údajů. Jediné, co musí uživatel udělat, je zaškrtnout příslušné políčko, pokud s podmínkami souhlasí.

Bohužel, prakticky si tyto podmínky opravdu prostuduje jen málokdo, což je velikou chybou. Protože jen jejich pečlivým přečtením se uživatel následně může lépe vyvarovat poskytnutí osobních údajů subjektu, jenž by s osobními údaji nakládal předem neodsouhlaseným způsobem.

V této souvislosti přinesla nepříliš lichotivé výsledky anketa Evropské komise, které se zúčastnilo 27 tisíc Evropanů. Mimo jiné z ní vyplývá, že většina lidí si nastavení ochrany svého soukromí ani nepokouší změnit – buď z důvěry, že sociální síť má ochranu soukromí přednastavenu přiměřeně, nebo třeba vinou skutečnosti, že si nastavení sami změnit neumí.

Další výsledky výzkumů, informace, ale i soupis práv v rámci obecného nařízení o ochraně osobních údajů, naleznete v letáku Evropské komise Mějte pod kontrolou svou virtuální identitu.

Veřejnost údajů neznamená možnost jejich dalšího bezmezného zpracování. Pro zpracování zveřejněných osobních údajů platí shodná pravidla jako pro jiná zpracování, správce tedy musí mít právní důvod, dodržet základní zásady zpracování (mezi jinými korektnost, transparentnost a přesnost) a plnit další povinnosti stanovené obecným nařízením (např. informační povinnost v souladu s čl. 14 obecného nařízení).  Správce musí být především schopen vysvětlit důvod zpracování podle čl. 6 GDPR, ve většině případů to znamená, že musí být schopen obhájit svůj oprávněný zájem podle čl. 6 odst. 1 písm. f) a doložit, že tento zájem má přednost před ochranou osobních údajů, resp. zveřejňováním správce nezasahuje nepřiměřeným způsobem do soukromí dotčených osob.

Proti zpracování prováděnému správcem na základě výše uvedeného právního titulu, tj. proti zveřejňování údajů, resp. proti způsobu zveřejňování, má subjekt údajů právo uplatnit námitku podle článku 21 obecného nařízení. Správce je pak povinen zpracování ukončit, neprokáže-li závažné oprávněné důvody pro další zpracování.

V případě, že nesouhlasíte se zveřejňováním Vašich osobních údajů v některém ze soukromých rejstříků, obraťte se nejprve na jeho provozovatele a uplatněte vůči němu námitku proti zpracování Vašich osobních údajů. Pokud správce námitce v přiměřené lhůtě (zpravidla 30 dnů) nevyhoví nebo na tuto námitku nereaguje, obraťte se na Úřad. Ve stížnostním formuláři doložte uplatněnou námitku a odpověď správce, případně informaci, že správce nereagoval.

Správce je oprávněn od Vás požadovat poskytnutí dodatečných informací, má-li důvodné pochybnosti o totožnosti fyzické osoby uplatňující práva. Nemůže však vyřízení Vašich námitek podmiňovat vyžadováním žádostí s úředně ověřeným podpisem či doložením občanského průkazu. V takovém případě nedůvodně zatěžuje subjekty údajů. Námitka proti zpracování osobních údajů v soukromých rejstřících na internetu tedy nemusí obsahovat ověřený podpis či kopii občanského průkazu.

Jaké jsou možnosti obrany v případě, kdy třetí osoba bez Vašeho svolení či vědomí zveřejní na internetu Vaše soukromé fotografie či videozáznamy, které jsou citlivého charakteru?

1. Pokud dojde k neoprávněnému zveřejnění Vašich soukromých fotografií či video záznamů citlivého charakteru na internetu, které Vás mohou poškodit, obraťte se na Policii ČR či státní zastupitelství s trestním oznámením. V úvahu připadá několik trestných činů, jejichž skutkové podstaty by mohly být takovým jednáním naplněny. Jde zejména o trestný čin poškození cizích práv, definovaný v § 181 zákona č. 40/2009 Sb., trestní zákoník. Trestní oznámení učiňte tak i v případě, pokud neznáte původce poškozujícího jednání, neboť policie disponuje pravomocemi, které umožňují identifikovat pachatele a další osoby odpovědné za zveřejňování a šíření nahrávek i v prostředí internetových sítí.
2. Dále kontaktujte provozovatele internetových stránek, na kterých se Vaše snímky objevily, a požádejte jej o vyjádření k odpovědnosti za vložený obsah (tj. nahrávky, která se Vás týká). Dle § 5 odst. 1 zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů, poskytovatel služby, jež spočívá v ukládání informací poskytnutých uživatelem, odpovídá za obsah informací uložených na žádost uživatele v těchto případech:
   1. mohl-li vzhledem k předmětu své činnosti a okolnostem a povaze případu vědět, že obsah ukládaných informací nebo jednání uživatele jsou protiprávní, nebo dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných informací nebo
   2. protiprávním jednání uživatele a neprodleně neučinil veškeré kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění takovýchto informací. Na základě Vašeho upozornění a doložení protiprávnosti zveřejnění citlivých snímků by měl provozovatel stránek znemožnit přístup ke snímkům, a odstranit je.
3. Pokud jsou nahrávky šířeny s dalšími údaji, pod nimiž je lze na internetu snadno vyhledat a spojit s Vaší osobou, můžete zaslat žádost provozovatelům internetových vyhledávačů o odstranění výsledků vyhledávání vztahující se k protiprávně zveřejněným citlivým snímkům. Vyřízení Vaší žádosti podléhá přezkumu Úřadu pro ochranu osobních údajů. Více informací ohledně využití tohoto práva „být zapomenut“ naleznete v pdf souboru.
   Výzvu k odstranění výsledků vyhledávání můžete uplatnit také u zahraničních provozovatelů vyhledávačů a obdobných služeb, bez ohledu na to, zda deklarují vázanost českou právní úpravou a pravidly výše uvedeného zákona o službách informační společnosti nebo zákona o ochraně osobních údajů.
4. Neoprávněné zpřístupnění soukromých snímků, zejména citlivého charakteru, představuje pro fyzickou osobu značný zásah do jejího soukromí a ochrany osobnosti, lze se proti tomu, kdo snímky zveřejnil bránit soukromoprávní cestou, v rámci ochrany osobnosti podle zákona č. 89/2012 Sb., občanský zákoník. Můžete se tak domáhat, aby původce odstranil nebo zamezil zveřejňování snímků, jež jsou pro Vás jako dotčenou osobu citlivé. V daném případě se lze obrátit na soud s návrhem, aby přikázal zdržet se určitého jednání a případně i požadovat další přiměřené zadostiučinění.

Google

Obecně je postup pro odstranění informací z vyhledávače Google uveden na suportu googlu.

V návaznosti na rozhodnutí SDEU ve věci Google Spain umožňuje společnost Google  odstranění informací z vyhledávání na základě evropských předpisů o ochraně údajů. Žadatel o odstranění musí prokázat svoji identitu, označit webové stránky, které uvádí jméno dotčené osoby a popsat situaci, v níž dochází k porušení ochrany osobních údajů. Odkaz na informace a formulář.

Další nabízený postup se vztahuje na případy, kdy se ve vyhledávači Google objevují zneužitelné údaje (např. číslo bankovního účtu nebo obrázek vlastnoručního podpisu). V těchto případech Google řeší, zda zveřejnění údajů představuje značné riziko krádeže identity, finančního podvodu nebo jiné újmy. V případě, že je zde takové riziko, je možné požádat o toto odstranění na stránce pro odstranění informací z Googlu.

Požádat o odstranění z výsledků vyhledávání lze také v případě, že žadatel o odstranění není vlastníkem internetových stránek, na kterých je informace obsažená, a obsah na zdrojové webové stránce již neexistuje. K tomu je nutné mít založený účet na gmailu a dále použít nástroj odstranění zastaralého obsahu.

Dále je možné dočasně skrýt informace z vyhledávače Google vyplněním žádosti o odstranění adresy URL.

Jiný postup se vztahuje přímo na vybrané služby společnosti Google (např. Youtube nebo Google Play). K žádosti o odstranění informací z internetu je nutné použít nástroj pro odstraňování problémů s odebíráním obsahu, ve kterém je u jednotlivých služeb popsán postup nahlášení problémů.

Google Maps (Street View)

V případě, že byl obsah přidaný společností Google, je možné použít nástroj nahlášení problému https://support.google.com/maps/answer/3093484?hl=cs k dodatečnému rozmazání tváře nebo jiných poznávacích znamení (např. poznávací číslo vozidla). Požádat o rozmazání fotky nebo fotku nahlásit je možné také v případě, že obsahuje vaši tvář, váš domov či jiné identifikující informace bez vašeho souhlasu, a dále cokoli, co porušuje zásady přijímání snímků na Mapách Google a zásady ochrany soukromí.

Obecně uvedeny podmínky ochrany soukromí při přidávání fotografií na Mapy Google.

Mapy.cz

Pravidla pro přidávání fotografií na internetovou stránku Mapy.cz. Části fotografií zachycující  osoby, SPZ a další poznávací znamení musí být rozmazány. Porušení výše uvedených pravidel pro přidávání fotografií je možné nahlásit na stránce nápověda seznamu.

Facebook

V případě, kdy se profil osoby, který je vedený na Facebooku, zobrazuje v internetových prohlížečích, je možné toto zobrazení skrýt pomocí nástroje nastavení veřejného vyhledávání, ve kterém je uveden příslušný postup pro zamezení odkazování internetových vyhledavačů na konkrétní profil.

Obecné nastavení soukromí a možnosti zveřejnění uživatelů Facebooku jsou upraveny prostřednictvím nástroje pro soukromí. V tomto nastavení je především možné kontrolovat veřejnost přidávaných příspěvků, možnosti označení a ochrana osobních údajů.

Platforma X (dříve Twitter)

V sekci zabezpečení a soukromí je možné kontrolovat označování na fotkách a příspěvcích, objevitelnost dle telefonního čísla či e-mailové adresy a dále možnost zobrazování reklam v daných příspěvcích.

Úřad pro ochranu osobních údajů a Sdružení pro internetový rozvoj vydávají toto společné doporučení k postupu při realizaci „práva být zapomenut“ při činnosti internetových vyhledávačů. Toto doporučení je vydáváno v reakci na rozhodnutí Soudního dvora EU C-131/12 ve věci Google Spain SL a Google Inc. proti Agencia Española de Protección de Datos (AEPD) a Mario Costeja González. Více se dovíte v pdf souboru o velikosti 259.48 kB.