Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

Doporučení CM/Rec (2010) 13 Výboru ministrů členským státům o ochraně osob s ohledem na automatizované zpracování osobních údajů - archiv dokumentů

 
 
 
(Schváleno Výborem ministrů 23. listopadu 2010 na 1099. zasedání ministerských zástupců)

Výbor ministrů,

maje na zřeteli, že cílem Rady Evropy je dosažení větší jednoty mezi jejími členy;

bera na vědomí, že informační a komunikační technologie (IT) umožňují shromažďování a zpracování velkého množství dat, včetně osobních údajů v soukromém i veřejném sektoru; bera na vědomí, že IT mají široké spektrum využití, včetně služeb obecně přijímaných a ceněných společností, spotřebiteli i v hospodářské oblasti; a současně vědom si toho, že neustálý rozvoj v technologii spojů přináší nové problémy při shromažďování a dalším zpracování dat;

bera na vědomí, že ke shromažďování a zpracování může docházet v různých situacích a pro různé účely a může se týkat různých druhů dat, jako například údajů cestovních, informací o internetovém vyhledávání uživatele, o nákupních zvycích spotřebitele, o aktivitách, životním stylu a o chování uživatelů telekomunikačních zařízení, včetně geolokalizačních dat, stejně jako mohou být shromažďovány údaje pocházející ze sociálních sítí, kamerových systémů, systémů využívajících biometriku a radiofrekvenční identifikaci (RFID), které předznamenávají příchod „internetu věcí“;

bera na vědomí, že je žádoucí hodnotit rozdílné situace a účely odlišným způsobem;

bera na vědomí, že takto shromážděné údaje se zpracovávají počítačově, porovnávají a statisticky vyhodnocují s cílem vytvořit profily, které díky porovnání údajů několika jednotlivců mohou mnoha způsoby sloužit nejrůznějším účelům a pro různé využití; bera na vědomí, že rozvoj IT umožňuje provedení těchto úkonů při poměrně nízkých nákladech;

maje na zřeteli, že tímto propojováním velkého počtu individuálních, i když anonymních, poznatků může mít technika profilování dopad na příslušné osoby tím, že je zařazuje, často bez jejich vědomí, do předem definovaných kategorií;

maje na zřeteli, že profily přiřazené subjektu údajů umožňují generovat nové osobní údaje, jež ale nejsou těmi, které subjekt údajů správci sdělil, nebo o nichž mohl odůvodněně předpokládat, že budou správci známy;

maje na zřeteli, že nedostatek transparentnosti, či dokonce „neviditelnost“ profilování, a nedostatek přesnosti, který může vyplývat z automatického užívání přednastavených vyhodnocovacích pravidel, mohou představovat vážná rizika pro práva a svobody jednotlivce;

maje zejména na zřeteli, že ochrana základních práv, především práva na soukromí a ochranu osobních údajů, zahrnuje různé a samostatné oblasti života, v nichž každý jednotlivec (subjekt údajů) může kontrolovat, jakým způsobem je nakládáno s jeho identitou;

maje na zřeteli, že profilování může být v legitimním zájmu jak osoby, která ho využívá, tak i osoby, které se týká, například tím, že vede k lepší segmentaci trhu, umožňuje analýzu rizik a podvodů, nebo přizpůsobuje nabídku poptávce poskytováním lepších služeb; maje také na zřeteli, že profilování tak může přinášet prospěch uživatelům, ekonomice i celé společnosti;

maje však také na zřeteli, že profilování může v důsledku znamenat neoprávněné zamezení přístupu jednotlivce (subjektu údajů) k určitému zboží nebo službám, a tím k porušení zásady nediskriminace;

maje dále na zřeteli, že techniky profilování, které zdůrazňují vzájemný vztah mezi citlivými údaji ve smyslu článku 6 Úmluvy Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (ETS č. 108, dále jen „Úmluva č. 108“) a jinými osobními údaji, mohou umožnit vygenerování nových citlivých údajů týkajících se identifikované nebo identifikovatelné osoby; maje dále na zřeteli, že takové profilování může vystavit jednotlivce velmi vysokému riziku diskriminace a útoků na jeho osobní práva a důstojnost;

maje na zřeteli, že profilování dětí může pro ně mít závažné důsledky během jejich dalšího života, a vzhledem k tomu, že samy nejsou schopny poskytnout svobodný, vědomý a informovaný souhlas ve věci shromažďování svých osobních údajů pro účely profilování, jsou pro ochranu dětí nutná specifická a odpovídající opatření učiněná v jejich nejlepším zájmu a se zřetelem na rozvoj dětské osobnosti v souladu s Úmluvou o právech dítěte Organizace spojených národů;

maje na zřeteli, že používání profilů, i zákonným způsobem, by bez preventivních a specifických ochranných opatření mohlo vážně poškodit lidskou důstojnost, stejně jako další základní práva a svobody, včetně práv ekonomických a sociálních;

přesvědčeni, že je proto nezbytné regulovat profilování s ohledem na ochranu osobních údajů, aby byla chráněna základní práva a svobody jednotlivců, zejména právo na soukromí, a zabránilo se diskriminaci na základě pohlaví, rasového a etnického původu, náboženství nebo jiného přesvědčení, zdravotního postižení, věku nebo sexuální orientace;

připomínaje v tomto ohledu všeobecné zásady o ochraně údajů v Úmluvě č. 108;

připomínaje, že každá osoba má mít právo na přístup k údajům, které se jí týkají, a maje na zřeteli, že každá osoba by měla znát metodu užitou při profilování; přičemž by toto právo nemělo mít dopad na práva a svobody ostatních, a zejména by nemělo nepříznivě ovlivnit obchodní tajemství, duševní vlastnictví nebo autorské právo chránící příslušný software;

připomínaje nezbytnost shody s již existujícími zásadami stanovenými v dalších souvisejících doporučeních Rady Evropy, především v Doporučení Rec(2002)9 o ochraně osobních údajů shromažďovaných a zpracovávaných pro účely pojištění a Doporučením Rec(97)18 o ochraně osobních údajů shromažďovaných a zpracovávaných pro statistické účely;

s ohledem na Úmluvu Rady Evropy o počítačové kriminalitě (ETS No. 185 – Budapešťská úmluva), která obsahuje nařízení o uchovávání, shromažďování a výměně dat, jež obsahuje podmínky a záruky přijaté v zájmu odpovídající ochrany lidských práv a svobod; s ohledem na článek 8 Evropské úmluvy o lidských právech (ETS No. 5), jak byl vyložen Evropským soudem pro lidská práva, a na nová rizika vytvořená užíváním informačních a komunikačních technologií;

maje na zřeteli, že ochrana lidské důstojnosti a dalších základních práv a svobod v kontextu profilování může být účinná pouze a jen tehdy, pokud všechny zainteresované strany společně přispějí ke korektnímu a zákonnému profilování jednotlivců;

s ohledem na to, že mobilita jednotlivců, globalizace trhů a využívání nových technologií vyvolávají potřebu přeshraniční výměny informací, a to i v oblasti profilování, a vyžadují srovnatelnou ochranu údajů ve všech členských státech Rady Evropy,

doporučuje, aby vlády členských států:

  • Použily dodatek tohoto doporučení při shromažďování a zpracovávání osobních údajů použitých v kontextu profilování a zejména přijaly taková opatření, která zajistí, aby se zásady stanovené v dodatku k tomuto doporučení promítly do jejich zákonů a praxe;

  • Zajistily šíření zásad stanovených v dodatku k tomuto doporučení mezi osobami, správními orgány a veřejnými nebo soukromými institucemi, především těmi, které se podílejí na profilování a používají je, například tvůrci a dodavatelé softwaru, tvůrci profilů, poskytovatelé elektronických komunikačních služeb a poskytovatelé služeb informační společnosti, jakož i mezi orgány odpovědnými za ochranu dat a mezi normalizačními institucemi,

  • Vybízely tyto osoby, správní orgány a veřejné nebo soukromé instituce k zavádění a podpoře samoregulačních mechanismů jako jsou kodexy chování zajišťující respekt k ochraně soukromí a dat, a k zavádění technologií popsaných v dodatku k tomuto doporučení.

Dodatek k Doporučení č. CM/Rec(2010)13

1. Definice

Pro účely tohoto doporučení:

a) „Osobním údajem“ se rozumí jakákoli informace vztahující se k určenému nebo určitelnému jednotlivci („subjektu údajů“). Jednotlivec není považován za „identifikovatelného“, pokud zjištění jeho totožnosti vyžaduje nepřiměřené množství času nebo úsilí.

b) „Citlivým údajem“ se rozumí osobní údaj vypovídající o rasovém původu, politických názorech, náboženském nebo jiném přesvědčení, jakož i osobní údaje týkající se zdraví, sexuálního života nebo odsouzení za trestný čin, stejně jako další údaje definované vnitrostátním právem jako citlivé.

c) „Zpracováním“ se rozumí jakákoli operace nebo soustava operací vykonávaných částečně nebo zcela pomocí automatizovaných procesů a prováděných s osobními údaji, jako například ukládání, uchovávání, úprava nebo změna, vyjímání, nahlížení, používání, sdělování, porovnávání nebo propojování, stejně jako vymazávání nebo likvidace.

d) „Profilem“ se odkazuje na soubor údajů charakterizující určitou kategorii osob s úmyslem tuto kategorii vztahovat na jednotlivce.

e) „Profilováním“ se rozumí technika automatizovaného zpracování údajů, která spočívá v použití „profilu“ na jednotlivce, zejména za účelem činit o dané osobě rozhodnutí nebo analyzovat či předvídat její osobní preference, chování nebo postoje.

f) „Službou informační společnosti“ se rozumí jakákoliv služba poskytovaná na dálku elektronickými prostředky, a to zpravidla za úplatu.

g) „Správcem“ se rozumí fyzická nebo právnická osoba, správní orgán, agentura nebo jakýkoli jiný subjekt, který sám nebo ve spolupráci s jinými určuje účely a prostředky používané při shromažďování a zpracovávání osobních údajů.

h) „Zpracovatelem“ se rozumí fyzická nebo právnická osoba, správní orgán, agentura nebo jakýkoli jiný subjekt, který zpracovává osobní údaje jménem správce.

2. Obecné zásady

2.1. Při shromažďování a zpracovávání osobních údajů podle tohoto doporučení musí být zaručeno dodržování základních práv a svobod, zejména práva na soukromí a zásady nediskriminace.

2.2. Členské státy by měly podporovat navrhování a zavádění postupů a systémů v souladu s ochranou soukromí a dat již ve fázi plánování, zejména cestou technologií zvyšujících ochranu soukromí. Také by měly přijmout odpovídající opatření proti vývoji a využití technologií určených plně nebo částečně k nezákonnému obcházení technických opatření pro ochranu soukromí.

3. Podmínky shromažďování a zpracovávání osobních údajů v souvislosti s profilováním

A. Zákonnost

3.1. Shromažďování a zpracovávání osobních údajů v kontextu profilování by mělo být korektní, zákonné a přiměřené, za konkrétním a legitimním účelem.

3.2. Osobní údaje použité v kontextu profilování by měly být přiměřené, měly by se týkat účelů stanovených pro jejich shromažďování a zpracování a tyto účely by neměly překračovat.

3.3. Osobní údaje použité v kontextu profilování by měly být uchovávány ve formě, která neumožňuje identifikaci subjektů údajů po dobu delší, než je nutné pro účely, pro které jsou údaje shromažďovány a zpracovávány.

3.4. Shromažďování a zpracovávání osobních údajů v kontextu profilování může být prováděno pouze:

a) pokud je upraveno zákonem; nebo

b) pokud je povoleno zákonem a

- subjekt údajů nebo jeho zákonný zástupce poskytl svobodný, konkrétní a informovaný souhlas;

- je nutné pro plnění smlouvy, u které je subjekt údajů smluvní stranou, nebo pro zavedení předsmluvních opatření učiněných na žádost subjektu údajů;

- je nutné pro plnění úkolů konaných ve veřejném zájmu nebo při výkonu úředních pravomocí udělených správci nebo třetí straně, které jsou osobní údaje zpřístupňovány;

- je nutné pro účely legitimních zájmů správce nebo třetí strany nebo stran, kterým jsou profily nebo údaje poskytovány, kromě případů, kdy jsou těmto zájmům nadřazena základní práva a svobody subjektů údajů;

- je v životním zájmu subjektu údajů.

3.5. Shromažďování a zpracovávání osobních údajů v souvislosti s profilováním osob, které nemohou samy vyjádřit svůj svobodný, konkrétní a informovaný souhlas, by mělo být zakázáno, kromě případů, kdy je to v oprávněném zájmu subjektu údajů, nebo pokud je zde nadřazený veřejný zájem, pod podmínkou, že zákon stanoví příslušná ochranná opatření.

3.6. Je-li požadován souhlas, je povinností správce prokázat, že subjekt údajů souhlasil s profilováním a to v souladu se zásadami informovaného souhlasu definovaného v části 4.

3.7. V nejvyšší možné míře a nevyžaduje-li požadovaná služba znalost totožnosti subjektu údajů, by měl mít každý přístup k informacím o zboží nebo službách nebo přímo k tomuto zboží a službám, aniž by musel sdělovat osobní údaje poskytovateli tohoto zboží nebo těchto služeb. Aby byl zajištěn svobodný, konkrétní a informovaný souhlas s profilováním, měli by poskytovatelé služeb informační společnosti zajistit standardní neprofilovaný přístup k informacím o svých službách.

3.8. V kontextu s profilováním by šíření a využití softwaru zaměřeného na pozorování nebo monitorování toho, jaké je využití příslušného terminálu nebo elektronické komunikační sítě, mělo být povoleno bez vědomí subjektu údajů pouze v případě, kdy to výslovně upravuje vnitrostátní právo a za příslušných ochranných opatření.

B. Kvalita údajů

3.9. Správce by měl učinit vhodná opatření, aby napravil faktory způsobující nepřesnost údajů a omezil riziko chyb způsobených profilováním.

3.10. Správce by měl pravidelně a v přiměřeném časovém úseku hodnotit jak kvalitu dat, tak důsledky z těchto dat vyvozované.

C. Citlivé údaje

3.11. Shromažďování a zpracovávání citlivých údajů v souvislosti s profilováním je zakázáno kromě případů, kdy jsou tyto údaje nutné pro zákonné a konkrétní účely zpracování, a pokud vnitrostátní právo poskytuje odpovídající ochranná opatření. Je-li vyžadován souhlas, mělo by být explicitně uvedeno, zda se zpracování týká i citlivých údajů.

4. Informace

4.1. V případě, že jsou v kontextu profilování shromažďovány osobní údaje, správce by měl subjektům údajů poskytnout následující informace:

a) o skutečnosti, že jejich údaje budou použity v souvislosti s profilováním;

b) o účelu, pro který je profilování prováděno;

c) o kategoriích použitých osobních údajů;

d) o totožnosti správce a, v případě nutnosti, jeho zástupce;

e) o existenci odpovídajících ochranných opatření;

f) o potřebném zajištění korektního profilování, jako například:

- o kategoriích osob nebo orgánů, kterým mohou být osobní údaje sděleny a za jakým účelem;

- o možnosti subjektů údajů odmítnout v určitých případech poskytnutí souhlasu, nebo o možnosti jeho odvolání, i o důsledcích odvolání;

- o podmínkách pro uplatňování práva na přístup, námitku nebo opravu, jakož i o právu podat stížnost odpovědným orgánům;

- o osobách nebo orgánech, od nichž budou osobní údaje získávány;

- o tom, zda je odpověď na otázku týkající se osobních údajů povinná nebo dobrovolná a jaký je důsledek toho, když nebude poskytnuta;

- o době uchovávání údajů;

- o předpokládaném důsledku přiřazení profilu subjektu údajů.

4.2. V případě, že bude probíhat sběr osobních údajů od subjektu osobních údajů, správce mu poskytne informace v souladu s výčtem uvedeným pod 4.1, nejpozději však v době, kdy probíhá sběr osobních údajů.

4.3. V případě, že sběr osobních údajů neprobíhá od subjektů osobních údajů, správce poskytne subjektům údajů informaci ve výčtu pod 4.1 ve chvíli, kdy jsou údaje zaznamenány nebo pokud má dojít ke sdělení osobních údajů třetí straně, nejpozději v okamžiku, kdy jsou osobní údaje třetí straně poprvé sděleny.

4.4. V případě, kdy jsou osobní údaje shromažďovány bez úmyslu použít profilovací metody, ale později jsou zpracovávány v kontextu profilování, správce by tehdy měl také poskytnout informace uvedené pod 4.1.

4.5. Ustanovení informovat subjekty údajů podle zásad 4.2, 4.3 a 4.4 neplatí, pokud:

a) byl subjekt údajů již informován;

b) se ukáže jako nemožné dané informace poskytnout nebo by to vyžadovalo nepřiměřené úsilí;

c) zpracování nebo sdělení osobních údajů pro profilování výslovně upravuje vnitrostátní právo.

V případech spadajících pod body b) a c) by měla být zavedena odpovídající ochranná opatření.

4.6. Informace poskytnuté subjektu údajů by měly být přiměřené a přizpůsobené okolnostem.

5. Práva subjektů údajů

5.1. Subjekt údajů, který je nebo byl předmětem profilování, by měl mít nárok obdržet na svoji žádost od správce v přiměřené době a ve srozumitelné formě informace týkající se:

a) jeho osobních údajů;

b) metody, která tvoří základ zpracování jeho osobních údajů a byla použita k přiřazení profilu, a to minimálně v tom případě, kdy došlo k automatizovanému rozhodnutí;

c) účelů, za jakými bylo profilování provedeno a o kategorii osob nebo orgánů, kterým mohou být údaje sděleny.

5.2. Subjekty údajů by měly mít nárok na opravu, výmaz nebo blokování svých osobních údajů v případě, kdy profilování bylo v průběhu zpracování osobních údajů provedeno v rozporu s vnitrostátním právem, které provádí zásady tohoto doporučení.

5.3. Pokud právo neupravuje profilování v kontextu zpracování osobních údajů, subjekt údajů by měl mít právo námitky proti použití svých osobních údajů k profilování ze závažného legitimního důvodu souvisejícího s jeho situací. V případě důvodné námitky by k profilování nemělo být použito osobních údajů daného subjektu údajů. Je-li účelem zpracování přímý marketing, nemusí subjekt údajů uvádět žádné zdůvodnění.

5.4. Pokud existují důvody pro omezení práv, které odpovídají ustanovením uvedeným v článku 6, mělo by takové rozhodnutí být oznámeno subjektu údajů jakýmikoli záznam umožňujícími prostředky s odkazem na právní a věcné důvody takového omezení.

5.5. V případě, kdy je osoba předmětem rozhodnutí, které má pro ni právní důsledky nebo se jí citelně dotýká, a to výhradně na základě profilování, měla by mít možnost podat proti takovému rozhodnutí námitku, pokud neplatí, že:

a) věc upravuje zákon, který stanovuje opatření na ochranu legitimních zájmů subjektů údajů, a to zejména tím, že jim umožňuje vyjádřit vlastní názor;

b) rozhodnutí bylo učiněno během plnění smlouvy, kde subjekt údajů je smluvní stranou nebo z důvodu plnění předsmluvních opatření přijatých na žádost subjektu údajů, kdy tato opatření chrání legitimní zájmy subjektu údajů.

6. Výjimky a omezení

V případech, kdy je to v demokratické společnosti nutné z důvodů státní bezpečnosti, veřejné bezpečnosti, měnových zájmů státu, předcházení a potlačování trestných činů nebo ochrany subjektu údajů či práv a svobod ostatních, nemusejí členské státy použít ustanovení obsažená v části 3, 4 a 5 tohoto doporučení, pokud to upravuje zákon.

7. Opravné prostředky

Vnitrostátní právo by mělo poskytovat odpovídající postihy a opravné prostředky pro případ porušení vnitrostátního práva provádějícího zásady tohoto doporučení.

8. Bezpečnost údajů

8.1. K zajištění ochrany osobních údajů zpracovávaných v souladu s vnitrostátním právem provádějícím zásady tohoto doporučení by měla být přijata vhodná technická a organizační opatření, aby osobní údaje byly chráněny před náhodným nebo nezákonným zničením a náhodnou ztrátou, stejně jako neoprávněným přístupem, pozměňováním, sdělováním nebo jakoukoli jinou formou nezákonného zpracování.

Tato opatření mají zajišťovat vlastní standardy bezpečnosti dat s ohledem na současný stav technického rozvoje, a také se zřetelem na citlivou povahu osobních údajů sbíraných a dále zpracovávaných v souvislosti s profilováním a měla by rovněž zabezpečit vyhodnocení možných rizik. Pravidelně a v přiměřených intervalech by měla být podrobena revizi.

8.2. Správci by měli v souladu s vnitrostátním právem stanovit odpovídající vnitřní předpisy s patřičným ohledem na příslušné zásady tohoto doporučení.

8.3. Správci by v případě potřeby měli jmenovat nezávislou osobu odpovědnou za bezpečnost informačních systémů a ochranu dat, kvalifikovanou k poskytování rad v těchto záležitostech.

8.4. Správci by měli vybrat zpracovatele, kteří nabízejí odpovídající ochranná opatření s ohledem na technický a organizační aspekt chystaného zpracování, a měli by zajistit, že tato ochranná opatření budou dodržována a zejména, že bude zpracování v souladu s jejich pokyny.

8.5. Měla by být zavedena vhodná opatření, která by chránila před jakoukoli možností, že by anonymní a agregované statistické údaje použité při profilování vedly ke zpětné identifikaci subjektů údajů.

9. Orgány dozoru

9.1. Členské státy by měly pověřit jeden nebo více nezávislých orgánů k zajištění souladu s vnitrostátním právem provádějícím zásady tohoto doporučení, které budou mít v tomto ohledu potřebné pravomoci vyšetřovat a zasahovat, zejména pravomoc projednávat stížnosti podané jednotlivými osobami.

9.2. Navíc mohou členské státy v případech zpracování, které využívá profilování a představuje zvláštní rizika z hlediska ochrany soukromí a osobních údajů usoudit, že buď:

a) správci musí uvědomit orgán dozoru před zahájením zpracování, nebo že

b) toto zpracování je předmětem předběžné kontroly ze strany orgánu dozoru.

9.3. Výše uvedené orgány dozoru by měly informovat veřejnost o uplatňování legislativy zavádějící zásady vytyčené tímto doporučením.


Poznámka:

1 Při schvalování tohoto doporučení si zástupce Spojeného království v souladu s článkem 10.2.c Jednacích pravidel pro zasedání ministerských zástupců vyhradil právo své vlády tomuto doporučení buď vyhovět, nebo nevyhovět.

 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Zahraničí > Rada Evropy > Dokumenty > Doporučení CM/Rec (2010) 13 Výboru ministrů členským státům o ochraně osob s ohledem na automatizované zpracování osobních údajů

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém