Automatické rozhodování a právo na přístup k osobním údajům

Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 16. 5. 2025 13:34 | Přečteno: 79X

Subjekty osobních údajů (tedy konkrétní fyzické osoby, o jejichž osobní údaje se jedná) mají dle Nařízení GDPR jasně definovaný okruh práv, která mohou uplatňovat u správců osobních údajů (tedy u osob, které jejich osobní údaje zpracovávají). Specifická práva pak mají v případech, kdy v rámci zpracování může dojít k intenzivnějšímu zásahu do jejich soukromí, ať už tím, že se zpracování týká citlivých, tedy zvláště choulostivých údajů o fyzické osobě (čl. 9 Nařízení GDPR), anebo může zpracování vést k přijetí rozhodnutí týkajícího se fyzické osoby, které pro ni může být i nepříznivé. Takovým případem je mimo jiné automatizované rozhodování a profilování.

 

Co se rozumí automatizovaným rozhodováním a profilováním

Předpokladem automatizovaného rozhodování a profilování je automatizované zpracování osobních údajů. Tento pojem Nařízení GDPR[1]  přímo nedefinuje, z kontextu a z recitálu Nařízení je však nutno ho chápat jako každé zpracování osobních údajů, které se neděje s ingerencí člověka (opakem automatizovaného zpracování je zpracování manuální, což z podstaty věci znamená například zapisování údajů do databází, manuální vyřizování objednávek apod.). Vzhledem k tomu, že definice samotného zpracování osobních údajů je značně široká – článek čl. 4 odst. 2 Nařízení GDPR pod něj zahrnuje všemožné činnosti jako shromažďování, strukturování, uložení, vyhledání, výmaz i zničení údajů – lze říci, že k automatizovanému zpracování dochází zcela běžně, a dokonce, že většina činností zpracování osobních údajů probíhá automatizovaně.

Pro automatizované zpracování Nařízení GDPR žádný specifický režim ochrany fyzických osob nezavádí – k tomu dochází až v momentu, kdy by na jeho základě mělo dojít k automatizovanému rozhodování nebo profilování, týkajícího se fyzické osoby. Automatizované rozhodování rovněž Nařízení výslovně nedefinuje, z kontextu recitálu Nařízení (zejm. z bodu 71) lze však chápat, že se jedná o proces, kdy jsou ve vztahu k subjektu osobních údajů na základě automatizovaného zpracování jeho údajů přijímány závěry bez jakéhokoliv lidského zásahu – daný bod recitálu výslovně zmiňuje případy jako zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru.

Na druhou stranu „profilování“ Nařízení výslovně definuje, a to jako „formu automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě“, přičemž osobními aspekty jsou míněny například pracovní výkon, ekonomická situace, zdravotní stav, osobní preference, zájmy a další. Zatímco automatizované rozhodování je širší množina, zahrnující veškeré případy, při nichž se automatizovaným způsobem přijímá nějaký závěr ohledně subjektu údajů, profilování je jeho podmnožinou, v rámci níž probíhá automatizované vyhodnocování chování nebo vlastností subjektu údajů, které může následně vést k přijetí rozhodnutí, které se jej týká.

 

Jaká práva automatizované zpracování fyzické osobě zakládá?

S profilováním se lze často setkat například u hodnocení bonity žadatelů o úvěr nebo v internetovém marketingu. Lze se s ním setkat rovněž ve státní správě, například při prvotním rozhodování o žádostech o vízum do některých zemí. Automatizované rozhodování, obzvláště při využití umělé inteligence, dokáže jistě vysoce zefektivnit některé procesy, především ve fázi prvotního hrubého třídění. Jeho negativní stránkou je, že při něm dochází k přijetí rozhodnutí, které má pro danou fyzickou osobu důsledky – například, zda postoupí do dalšího kola rozhodování, anebo nikoliv.

Pokud při automatizovaném rozhodování dochází ke zpracování osobních údajů (což je ve výše uvedených případech standardní, neboť bez vazby na konkrétní identifikovatelnou fyzickou osobu by takové rozhodování nemělo smysl), stanoví Nařízení GDPR subjektu obecné právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se ho obdobným způsobem významně dotýká (čl. 22 odst. 1 Nařízení GDPR). Z tohoto práva jsou pak stanoveny výjimky, a to ve prospěch zpracování, které je nezbytné k uzavření nebo plnění smlouvy mezi správcem a subjektem údajů, dále stanoví-li tak právní předpis, anebo je-li zpracování založeno na výslovném souhlasu subjektu údajů.

Pokud už k automatizovanému rozhodování nebo profilování za výše uvedených podmínek dochází, má fyzická osoba vůči správci osobních údajů právo na poskytnutí informací o tom, že k takovému zpracování osobních údajů dochází, a v této souvislosti na „smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů“ (čl. 15 odst. 1 písm. h) Nařízení GDPR). Jedná se o část informací, na které má subjekt údajů právo v rámci tzv. práva na přístup k osobním údajům dle čl. 15 Nařízení GDPR.

Rozsah práva subjektu údajů na informace vůči správci údajů je obecně vykládán značně široce. Podle bodu 63 recitálu Nařízení GDPR by měl subjekt údajů obdržet informace o tom, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Aby taková informace splnila svůj účel, je zřejmé, že musí být mnohdy značně detailní. V tomtéž bodu však Nařízení GDPR zároveň stanoví limit, podle něhož by právem subjektu údajů na přístup neměla být nepříznivě dotčena práva a svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení.

Hranicí mezi právem subjektu údajů na přístup v případě profilování a právem správce údajů na ochranu jeho obchodního tajemství se nedávno zabýval Soudní dvůr v případu Magistrat der Stadt Wien v. Dun & Bradstreet Austria GmbH[2].

 

Musí správce údajů zpřístupnit algoritmus automatizovaného rozhodování?

Základem sporu bylo odmítnutí uzavření telekomunikační smlouvy ze strany mobilního operátora s klientkou z důvodu její nesolventnosti. Tento závěr operátor přijal na základě automatizované analýzy solventnosti žadatelů, poskytované společností Dun & Bradstreet Austria. Stojí za zmínku, že se mělo jednat o měsíční paušál ve výši 10 EUR. V následném řízení rakouský soud konstatoval, že ze strany uvedené společnosti došlo k porušení práva klientky na ochranu osobních údajů, když jí neposkytla informace o logice prováděného automatizovaného zpracování osobních údajů vedoucího k předmětnému výsledku, a dostatečně takové neposkytnutí neodůvodnila. V následném odvolacím řízení, týkajícím se výkonu rozhodnutí, se rakouský soud obrátil na Soudní dvůr s předběžnou otázkou na výklad práva na přístup k osobním údajům, co se týče rozsahu informací o automatizovaném zpracování a profilování. Jedna z položených otázek se týkala rovněž případu, kdy dané informace tvoří součást obchodního tajemství správce osobních údajů.

Soudní dvůr předně upozornil na svou předchozí judikaturu, poukazující na povinnost správce poskytnout subjektu údajů informace stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků[3] (čl. 12 odst. 1 Nařízení GDPR). Cílem práva na přístup k osobním údajům je poskytnout subjektu možnost ověření, že jsou jeho osobní údaje zpracovávány zákonným způsobem, že jsou přesné, a zajistit subjektu údajů možnost výkonu jeho dalších práv, jako je právo být zapomenut, právo na omezení zpracování, právo na opravu údajů a další (čl. 16 až 21 Nařízení GDPR). Pokud by fyzické osoby, jichž se automatizované rozhodování nebo profilování týká, nebyly z poskytnutých informací schopny pochopit důvody vedoucí k danému rozhodnutí, nemohly by ani účinně uplatnit svá práva, která jim Nařízení skýtá, a nebyly by schopny vyhodnotit potenciální rizika pro svá práva a svobody, která z rozhodnutí mohou vyplývat.

Ve vztahu k automatizovanému rozhodování a profilování je nutno právo na přístup chápat jako právo na jasné a srozumitelné vysvětlení fungování automatizovaného mechanismu, který je použit ke zpracování osobních údajů za účelem získání konkrétního výsledku, jakým může být například solventnostní profil fyzické osoby, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem, který fyzické osobě umožní uplatnit její práva dle Nařízení GDPR. Fyzická osoba by na základě poskytnutých informací měla být schopna pochopit, které z jejích osobních údajů měly pro přijaté automatizované rozhodnutí význam a jaká je jejich váha, a to bez ohledu na to, nakolik komplexní a komplikovaný daný automatizovaný mechanismus je.

Soudní dvůr připomněl, že právo na ochranu osobních údajů není právem absolutním – ve smyslu bodu 4. Recitálu Nařízení GDPR musí být posuzováno v souvislosti se svou funkcí ve společnosti a musí být v rovnováze s dalšími základními právy. Promítnutím této zásady je i výše zmíněný bod 63 recitálu, stanovící ochranu obchodního tajemství nebo duševního vlastnictví správce osobních údajů. V případě konfliktu mezi právem fyzické osoby na informace o zpracování jejích osobních údajů a právy a svobodami jiných osob (včetně správce osobních údajů) je nutno provést balanční test, na základě něhož je v rámci možností nutno zvolit takový rozsah poskytnutých osobních údajů, který zásah do práv a svobod správce minimalizuje a přitom fyzické osobě poskytne informace dostatečné k uplatnění jejích práv.

Ve vztahu správce osobních údajů - fyzická osoba se může ukázat být provedení takového balančního testu nemožným, když správce může tvrdit, že poskytnutí detailních informací o algoritmech použitých při automatizovaném rozhodování by znamenalo vyzrazení jeho obchodního tajemství nebo jinak chráněných informací. V tomto ohledu Soudní dvůr poukázal na svou předchozí judikaturu (zejm. na rozsudek Norra Stockholm Bygg[4]), podle níž v takovém případě může příslušný úřad na ochranu osobních údajů správci nařídit, aby mu dané informace, včetně detailních informací o algoritmech, předložil, a aby úřad s plnou znalostí věci následně vyhodnotil, jaký rozsah informací je nezbytný k naplnění práva fyzické osoby na přístup a zda je jejich poskytnutí v kompletním rozsahu v souladu s principem proporcionality. Na základě tohoto vyhodnocení může úřad na ochranu osobních údajů nařídit správci údajů zpřístupnění detailních informací o použitém algoritmu žádající fyzické osobě, dospěje-li k závěru, že to je nezbytné k řádnému výkonu jejích práv.

 

Závěr

Z toho vyplývá, že je-li vůči správci osobních údajů uplatněno právo na přístup k údajům, které prošly automatizovaným rozhodováním a správce považuje informace o způsobu přijetí rozhodnutí za své obchodní tajemství, může samostatně postupovat pouze tak, že žádosti fyzické osoby v plném rozsahu vyhoví a zpřístupní jí veškeré relevantní informace včetně rozhodovacího algoritmu. Pokud z důvodu obchodního tajemství správce informace v tomto rozsahu zpřístupnit subjektu nechce, musí o tom informovat příslušný úřad na ochranu osobních údajů, tyto informace mu poskytnout a řídit se jeho pokyny. Lze pouze hádat, jak by v našich podmínkách úřad po odborné stránce naložil se zpřístupněným algoritmem a zda by jej dokázal náležitě vyhodnotit s ohledem na zásadu proporcionality. Dospěje-li však správce údajů v prvotní fázi hodnocení požadavku fyzické osoby k závěru, že k jeho splnění by musel zpřístupnit informace tvořící jeho osobní tajemství, nemůže okruh požadovaných informací z vlastní vůle omezit nebo poskytnutí úplně odmítnout, ale musí hodnocení přesunout na příslušný úřad pro ochranu osobních údajů.

Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz

Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.

 

[1] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů

[2] Rozsudek C‑203/22 ze dne 27.2.2025

[3] Např. rozsudek C‑487/21 ze dne 4.5.2023, Österreichische Datenschutzbehörde v. CRIF

[4] Rozsudek C‑268/21 ze dne 2.3.2023, Norra Stockholm Bygg AB v. Per Nycander AB