Právny portál určený širokej odbornej verejnosti

Online časopis

Elektronické údaje o polohe osoby z pohľadu GDPR

Podľa čl. 4 GDPR sa údaje o polohe výslovne uvádzajú ako faktor, na základe ktorého možno osobu priamo alebo nepriamo identifikovať, a preto sa označujú ako "identifikátor" osobných údajov. Príspevok sa snaží posúdiť, či je ochrana súkromia podporovaná predvolenými nastaveniami o polohe a získaním súhlasu používateľa (schválením všeobecných zmluvných podmienok), alebo či to namiesto toho spôsobuje, že používatelia nevedomky zdieľajú lokalizačné údaje prostredníctvom mobilných zariadení.

Art. 4 GDPR explicitly refers to location data as a factorby which a person can be identified, directly or indirectly, and is therefore referred to as the "identitier" of personal data. The article seeks to assess whetherprivacy is supported by default location settings and user consent (by accepting the general terms of service), or whether users unknowingly share location data via mobile devices.
FUNTA, R.: Elektronické údaje o polohe osoby z pohľadu GDPR; Justičná revue, 72, 2020, č. 8-9, s. 931 - 943.
 
1 Úvod
Ochrana osobných údajov predstavuje problém v súvislosti s aplikáciami pri používaní mobilných zariadení. Ochrana údajov o polohe znamená právo nebyť vystavený neoprávnenému zhromažďovaniu, uchovávaniu, použitiu alebo distribúcii, ako aj spracovaniu takýchto údajov. Koncept ochrany osobných údajov o polohe chráni súčasné alebo minulé informácie o polohe pred použitím na komerčné alebo iné účely. Právo na súkromie používateľov mobilných zariadení možno pritom porušiť rôznymi spôsobmi, napríklad sledovaním internetových návykov, sledovaním zoznamov kontaktov, sledovaním polohy, skúmaním súborov bez vedomia používateľa a zhromažďovaním informácií
1)
vrátane IP adries a ďalších údajov. Určenie polohy mobilného zariadenia sa môže uskutočniť pomocou rôznych metód. Niektoré metódy, napríklad metódy založené na globálnom systéme určovania polohy (GPS), vykonávajú určovanie polohy samostatne v telefóne. Pri iných metódach sa rádiové signály vysielané mobilným zariadením merajú externe, a preto sa môžu niekedy realizovať bez toho, aby o tom používateľ vedel. 1 1Hoci sa v Európe v ostatnej dobe intenzívne diskutovalo o ochrane údajov, právne predpisy o ochrane súkromia,
2)
najmä pokiaľ ide o údaje o polohe zhromažďované prostredníctvom mobilných aplikácií a smartfónov, sa stále vyvíjajú.V tomto článku analyzujeme právny aspekt zhromažďovania, spracovania a ochrany lokalizačných údajov používateľov mobilných zariadení a navrhujeme kroky, ktoré majú vývojári mobilných aplikácií, poskytovatelia mobilných operačných systémov, internetové platformy
3)
a zákonodarcovia podniknúť pre transparentný a zodpovedný systém ochrany údajov.
2 Sú údaje o polohe osobné alebo citlivé?
Zhromažďovaním údajov o polohe môžu vývojári aplikácií ako aj iní odvodiť mnoho typov osobných údajov (nielen o polohe). Ako príklad možno uviesť, že ak osoba pravidelne navštevuje kostol, možno vyvodiť závery o náboženskom vyznaní tejto osoby. Pretože s miestami alebo udalosťami je jedinečne spojených veľa atribútov chránených súkromím, zhromažďovanie údajov, ktoré ukazujú, že osoba často navštevuje dané miesto alebo sa zúčastňuje na konkrétnej udalosti, predstavuje účinný prostriedok na vytvorenie komplexného obrazu jednotlivca. Termín "údaje o polohe" vo všeobecnosti zahŕňa všetky informácie, ktoré sa implicitne alebo explicitne týkajú geografickej alebo geopriestorovej polohy. S cieľom pochopiť úlohu lokalizačných údajov v rôznych právnych rámcoch je dôležité odlišovať medzi prípadmi, keď lokalizačné údaje predstavujú osobné údaje od citlivých údajov (t.j. osobitnú kategóriu osobných údajov). V čl. 4 ods. 1 všeobecného nariadenia o ochrane údajov (GDPR)
4)
sa údaje o mieste výslovne uvádzajú ako faktor, na základe ktorého možno osobu priamo alebo nepriamo identifikovať, a preto sa označujú ako "identifikátor" osobných údajov.
2.1 Osobné údaje o polohe
GDPR sa vzťahuje na akékoľvek spracovanie osobných údajov, ktoré znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo so súbormi osobných údajov, či už automatizovanými prostriedkami alebo nie (čl. 4 GDPR). Údaje sa považujú za osobné, ak sa informácie týkajú identifikovanej alebo identifikovateľnej osoby (čl. 4 ods. 1 GDPR). Na pochopenie úlohy údajov o polohe podľa GDPR je dôležité rozlišovať medzi prípadmi, keď údaje o polohe predstavujú buď osobné údaje alebo citlivé údaje, a to od prípadov, keď sú údaje efektívne anonymizované, a preto sa nepovažujú za osobné údaje. GDPR objasňuje, že údaje o polohe zhromaždené na konkrétny účel by sa mali používať iba na deklarovaný účel. Správca údajov na serveri preto nemôže použiť tieto údaje na reklamné alebo akékoľvek sekundárne účely bez ďalšieho súhlasu dotknutej osoby. Okrem toho čl. 5 písm. c) GDPR stanovuje zásadu minimalizácie údajov, ktorej cieľom je zníženie zberu údajov na najnižšiu možnú úroveň na účely spracovania údajov. Podľa zásady "minimalizácie uchovávania" v čl. 5 písm. e) GDPR sa osobné údaje môžu uchovávať "nie dlhšie, ako je potrebné na účely, na ktoré sa osobné údaje spracúvajú". Navyše, čl. 6 GDPR stanovuje podmienky spracúvania údajov tak, že spracúvanie je povolené iba vtedy, keď je to potrebné zo zákonných dôvodov. Ďalšie konkrétne nástroje na ochranu údajov sú popísané v čl. 25 GDPR: spoločnosti a organizácie by mali prijať primerané technické a organizačné opatrenia, aby zabezpečili, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Prevádzkovatelia spracovateľských operácií sú povinní informovať dotknutú osobu v čase zhromažďovania osobných údajov o zamýšľanom spracovaní. Keďže spracovanie údajov môže negatívne ovplyvniť práva a slobody dotknutých osôb, GDPR stanovuje rôzne práva dotknutých osôb, ktoré im umožňujú obmedziť alebo ovplyvniť takéto činnosti. Týmito právami sú napr. právo na opravu, právo na zabudnutie a právo na obmedzenie spracúvania. Čl. 20 GDPR zaviedol právo dotknutej osoby, právo na prenosnosť údajov, čo predstavuje právo na prenos údajov z jedného dátového systému do druhého.
2.2 Citlivé údaje o polohe
Údaje o polohe nie sú vo všeobecnosti citlivé, ale môžu obsahovať citlivé informácie v spojení s inými informáciami, ktoré majú tendenciu stať sa citlivými podľa GDPR. Spracúvanie osobitných kategórií osobných údajov (čl. 9 GDPR) umožňuje vyvodiť závery o jednotlivcovi, ktoré súvisia s jeho základnými právami a slobodami, a ich spracovanie by pre neho mohlo predstavovať vysoké riziko. Údaje o polohe sú veľmi cenné pre množstvo zainteresovaných strán s rôznymi zámermi a účelmi, od inzerentov po výrobcov automobilov a verejnú dopravu. Napríklad s cieľom vyhnúť sa dopravným zápcham môžu dopravné orgány vyvinúť modely na predpovedanie spôsobu cestovania používateľov v čase a priestore a na pochopenie faktorov, ktoré ovplyvňujú cestovanie. Neobmedzený prístup k zdieľaným údajom však môže viesť k nespravodlivému hromadeniu individuálnych pohybových profilov,
5)
k "identifikácii" správ, pomocou ktorých možno predávať personalizované tovary a služby. Z hľadiska GDPR nie je napríklad jasné, ako by sa údaje týkajúce sa napr. návštev nemocníc mohli legálne spracovávať, pretože by sa podľa čl. 4 kvalifikovali ako "údaje týkajúce sa zdravia" a spadali by pod zákaz v zmysle čl. 9 GDPR. Berúc do úvahy, že napr. mobilita ako služba
6)
by mohla identifikovať citlivé vzorce používateľa; monitorovanie cieľa cesty používateľa prostredníctvom údajov o polohe, ktoré môžu odhaliť rasový alebo etnický pôvod, náboženské alebo filozofické presvedčenie, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálnej orientácie fyzickej osoby by malo byť zakázané podľa čl. 9 GDPR. Toto ustanovenie však zavádza niekoľko výnimiek zo zákazu spracovania osobitných kategórií osobných údajov (napr. súhlas dotknutej osoby). Dotknutá osoba môže výslovne súhlasiť so spracovaním osobitných kategórií osobných údajov na jeden alebo viac stanovených účelov. Takýto akt musí spĺňať nielen všeobecné podmienky platného súhlasu podľa čl. 7 a 8 GDPR, ale musí sa tiež výslovne odvolávať na osobitné kategórie osobných údajov, ktorých sa týka zamýšľané spracovanie.
2.3 Právne odôvodnenie spracovania údajov o polohe
Čl. 6 GDPR stanovuje podmienky zákonného spracovania osobných údajov a opisuje šesť zákonných podmienok, na ktoré sa prevádzkovateľ môže odvolať. Aplikácia jednej z týchto šiestich podmienok sa musí stanoviť pred spracovateľskou činnosťou. Prevádzkovateľ definuje účel a metódu spracúvania osobných údajov nezávisle alebo spolu s ostatnými (čl. 24 GDPR). Spracovateľ spracúva osobné údaje v mene prevádzkovateľa. Prevádzkovateľ musí dotknutým osobám oznámiť akékoľvek spracovanie osobných údajov.
7)
Teto informácie zahŕňajú kontaktné údaje prevádzkovateľa, informácie o účele a zásadách spracovania údajov a informácie o právach dotknutých osôb (čl. 13 GDPR). Poskytovateľ mobilných aplikácií, ktorý je schopný spracovať geolokačné údaje, je prevádzkovateľom v rámci spracovania osobných údajov, ktoré sú výsledkom inštalácie a používania aplikácie, nezávisle od vývojára operačného systému. V zásade sa akékoľvek spracovanie údajov bude považovať za spracovanie údajov. Príklady zahŕňajú zhromažďovanie, zaznamenávanie, organizovanie, štruktúrovanie, ukladanie a vymazávanie údajov.
Pre poskytovateľa mobilných služieb, pokiaľ ide o právny základ pre spracovanie údajov, možno uplatniť čl. 6 ods. 1 písm. a) GDPR (súhlas dotknutej osoby), čl. 6 ods. 1 písm. b) GDPR (plnenie zmluvy) alebo čl. 6 ods. 1 písm. f) GDPR (oprávnený záujem). Súhlas dotknutej osoby sa môže považovať za najjednoduchší spôsob spracúvania údajov o polohe tým, že na jednej strane sa informujú používatelia o spôsobe, rozsahu a možnosti zhromažďovania a spracovania svojich údajov, a na druhej strane sa získasúhlas v zmysle GDPR. Preto vždy, keď je spracovanie lokalizačných údajov založené na súhlase, prevádzkovateľ musí byť schopný preukázať, že dotknutá osoba so spracovaním súhlasila (čl. 7 ods. 1 GDPR). Preto nesie dôkazné bremeno, napríklad, ak dotknutá osoba tvrdí, že neposkytla žiadny platný súhlas. Čl. 4 ods. 11 GDPR definuje súhlas ako "každé slobodne dané, konkrétne, informované a jednoznačné prejavenie vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú." Podľa čl. 7 ods. 3 GDPR prevádzkovateľ musí zabezpečiť, aby dotknutá osoba mohla súhlas odvolať rovnako ľahko ako kedykoľvek predtým. Dotknutá osoba musí byť o takomto práve inform
Pre zobrazenie článku nemáte dostatočné oprávnenia.

Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.

Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).