• Josef Bátrla

Jak zpracovávat open data s ohledem na GDPR

Co jsou to open data a na co si dát pozor při jejich zpracování? Mohou otevřená data obsahovat osobní údaje? A jak na tuto oblast dopadla novela informačního zákona, která vstoupila v účinnost 24. července?


V předchozím článku jsme se věnovali zpracování osobních údajů z veřejných zdrojů a zároveň jsme slíbili, že tentokrát se podíváme na zpracování osobních údajů v rámci takzvaných open dat neboli otevřených dat. Ta si naši pozornost bezesporu zaslouží, neboť 24. července 2021 vstoupila v účinnost novela zákona č. 106/1999 Sb., která se této problematiky (včetně zpracování osobních údajů) týká. Na co všechno si dát pozor a na základě jakého titulu lze open data zpracovávat?


Co jsou to otevřená data


Samotnou definici open dat nalezneme v zákoně č. 106/1999 Sb., o svobodném přístupu k informacím (dále jen „zákon“), a to konkrétně v § 3 odst. 11 aktuálního znění. Možné významové odchylky v předchozích úpravách v tuto chvíli nehrají roli, nemá proto smysl se věnovat předchozí úpravě.

Open data najdete v Národním katalogu otevřených dat

Za otevřená data se považují takové informace, které jsou zveřejňované způsobem, jenž umožňuje dálkový přístup k nim, a to v otevřeném a strojově čitelném formátu, jejichž způsob ani účel následného využití není omezen a které jsou evidovány v Národním katalogu otevřených dat.


Pro úplnost definice je vhodné zmínit, že za otevřený formát je považován takový, který není závislý na konkrétním technickém ani programovém vybavení a je zpřístupněn bez jakéhokoliv omezení, jež by využití informací obsažených v datovém souboru znemožňovalo. Strojově čitelný formát je zase takový, který umožňuje programovému vybavení snadno nalézt, rozpoznat a získat z tohoto datového souboru konkrétní informace, včetně jednotlivých údajů a jejich vnitřní struktury.

Jednoduše řečeno, otevřená data jsou takové informace, k nimž lze bez omezení a velmi snadno přistupovat a s nimiž lze dále pracovat. Tato definice pro účely tohoto článku bohatě stačí, a pokud bychom chtěli příklad, můžeme nahlédnout do Národního katalogu otevřených dat, který je dostupný zde. Nalezneme zde datové sady jako jízdní řády, seznam datových schránek a další.


Stará právní úprava


Do 24. července 2021 (respektive 23. července) bychom těžiště právní úpravy open dat nalezli v několika ustanoveních zákona a taktéž v nařízení vlády č. 425/2016 Sb., o seznamu informací zveřejňovaných jako otevřená data.

Zákon totiž v rámci § 4b odst. 2 (zjednodušeně řečeno) vymezil pravidla povinným osobám a zároveň v ustanovení § 21 odst. 3 zmocnil vládu, aby nařízením stanovila seznam informací zveřejňovaných jako otevřená data. A právě v § 4b odst. 2 zákona se objevila nenápadná zmínka o zpracování osobních údajů. Předmětné ustanovení totiž obsahovalo jako poslední větu odstavce normu ve formě vyvratitelné domněnky, a sice: „Má se za to, že před dalším zpracováním otevřených dat nemají přednost oprávněné zájmy nebo práva a svobody subjektu údajů vyžadující ochranu osobních údajů.“


Tato úprava je však již minulostí, neboť obě zmíněná ustanovení fakticky zanikla (nikoliv však samotné nařízení vlády, k tomu viz dále).


Nová právní úprava

Jak bylo zmíněno, některá ustanovení (včetně zmocňujícího ustanovení pro vydávání nařízení vlády, které bylo zrušeno) byla upravena. Aktuální těžiště právní úpravy proto nalezneme v § 5a zákona a zní následovně:

  1. Povinné subjekty, které na základě zákona vedou a spravují registry, evidence, seznamy nebo rejstříky obsahující informace, které jsou na základě zákona každému přístupné (dále jen „registr“), jsou povinny tyto informace zveřejňovat v přehledné formě způsobem umožňujícím i dálkový přístup.

  2. Povinné subjekty zveřejňují informace obsažené v registrech, s výjimkou dokumentů ze sbírky listin, jsou-li součástí registru, rovněž jako otevřená data. Podle věty první se nezveřejní jméno a příjmení, datum narození s výjimkou roku narození, rodné číslo a adresa místa trvalého pobytu nebo bydliště s výjimkou názvu obce; to neplatí, jsou-li tyto údaje uvedeny v registrech v souvislosti s podnikáním nebo jinou obdobnou výdělečnou činností nebo v souvislosti s členstvím fyzické osoby ve statutárním nebo jiném orgánu právnické osoby nebo s výkonem funkce statutárního orgánu nebo v souvislosti s postavením skutečného majitele podle zákona upravujícího evidenci skutečných majitelů.

Cílem tohoto článku není právní rozbor předmětné legislativní změny, nicméně lze si povšimnout minimálně toho, že nově již nebude nutno aktualizovat seznam v nařízení vlády (to již ani nelze, neboť chybí zmocňovací ustanovení), ale tato povinnost je uložena všem výše zmíněným povinným osobám.


Co však stojí za povšimnutí, jsou dvě základní změny – nově totiž zákon neobsahuje část týkající se vyvratitelné domněnky oprávněného zájmu a taktéž anonymizace, respektive pseudonymizace v ustanovení § 5a odst. 2 zákona.


Nad rámec lze s politováním konstatovat, že zatímco zákon byl již změněn, předmětné nařízení vlády zrušeno nebylo. Tento dokument se tak nachází s trochou nadsázky ve vakuu, neboť ačkoliv formálně nepozbyl platnosti, již k němu nelze přihlížet.


Otevřená data a GDPR


Předchozí právní úprava obsahovala pravidlo vyvratitelné domněnky, že oprávněné zájmy subjektů údajů nemají přednost před dalším zpracováním open dat (tedy základní podmínky použitelnosti oprávněného zájmu jako takového). Bude nám toto ustanovení chybět?


Prakticky vůbec. Samotné ustanovení v sobě neneslo větší logiku, neboť stále platí zásada odpovědnosti správce, která zahrnuje schopnost (respektive povinnost) správce doložit zákonnost daného zpracování. Stanovení vyvratitelné domněnky tak prakticky nezbavovalo správce povinnosti posoudit oprávněnost a nezbytnost jeho zájmu. Absence tohoto ustanovení tak vlastně stejně jako jeho dřívější existence nemá na zpracování osobních údajů vliv.

Správce musí vždy doložit zákonnost zpracování

Co však může mít okrajový vliv, je nové stanovení povinnosti v § 5a odst. 2 zákona, které ze zveřejnění vylučuje údaje, jako je „jméno a příjmení, datum narození s výjimkou roku narození, rodné číslo a adresa trvalého pobytu nebo bydliště s výjimkou názvu obce“. Od tohoto kroku si zákonodárce slibuje zajištění ochrany práv a zájmů subjektů údajů, nicméně stanovuje z něj výjimku, a to pro případ, kdy jsou tyto údaje uvedeny v registrech v souvislosti s podnikáním nebo jinou obdobnou výdělečnou činností či v souvislosti s členstvím fyzické osoby ve statutárním nebo jiném orgánu právnické osoby nebo s výkonem funkce statutárního orgánu nebo v souvislosti s postavením skutečného majitele podle zákona upravujícího evidenci skutečných majitelů.


Ačkoliv by se to tak na první pohled mohlo zdát, předmětné ustanovení není možno chápat tak, že otevřená data z povahy věci neobsahují žádné osobní údaje, a tudíž další práce s takovými daty nebude zpracováním osobních údajů – cílem je spíše vyvážit ekonomickou výhodnost dalšího zpracování předmětných dat a možný zásah do soukromí, neboť otevřená data stále mohou obsahovat osobní údaje.


Využití open dat v praxi


Z předchozího článku víme, že oproti informacím z veřejných rejstříků jsou open data přímo určena k dalšímu zpracování. Není pravdou, že kvůli novelizaci daného zákona nemůže pojmově docházet ke zpracování osobních údajů a zároveň že by kvůli odstranění presumpce oprávněného zájmu dané zpracování nebylo vůbec možné.


V daném případě se totiž předpokládá, že k takovým činnostem bude docházet, je však nutno dbát zvýšené pozornosti i na ostatní povinnosti podle GDPR, jako je poskytování informací a umožnění výkonu práv subjektů údajů.


Open data slouží jako skvělý nástroj pro podnikání v rámci digitálních služeb. Díky nim máte přístup k rozličným datovým sadám a můžete je prakticky neomezeně využívat v rámci vaší podnikatelské činnosti. To však neznamená, že byste neměli dbát na ochranu osobních údajů, neboť to, že jsou data otevřená, ještě neznamená, že na vás nedopadají ostatní povinnosti týkající se ochrany soukromí. Ať už sami používáte otevřená data v rámci vlastního podnikání, či využíváte službu třetí strany, která je na základě zpracování takových dat založena, dejte si pozor na to, zda dodržujete všechna pravidla ochrany osobních údajů.


Článek byl publikován v Elektronickém zpravodaji pro pověřence