V prípade ochrany osobnosti hovoríme v prvom rade o občianskoprávnom inštitúte ktorý je upravený ustanoveniami § 11 až 16 Občianskeho zákonníka. Hoci ide síce opomerne zastaranú avdnešnej dobe neaktuálnu úpravu ochrany osobnosti, je táto právna úprava popri príslušnej judikatúre zoblasti ochrany osobnosti jedinou úpravou poskytujúcou rámcový pohľad na tento právny inštitút. Ochrana osobnosti je predovšetkým definovaná ochranou súkromnej sféry jednotlivca a tzv. prejavov osobnej povahy. V zásade hovoríme osubjektívnych prejavoch, charaktere,vlastnostiach, povahe, súkromí ainých vlastnostiach jednotlivca, ktoré sú pre neho charakteristické a definujú jeho jedinečnosť.
Tieto prvky tak predstavujú osobitosti sprevádzané daného jednotlivca, charakterizujú ho a vyčleňujú zdavu. Naproti tomu osobné údaje predstavujú samostatnú kategóriu ktorá je identifikátorom danej osoby. V tomto prípade hovoríme nielen obežných osobných údajoch akými sú napríklad oúdaje uvedené v občianskom preukaze, ale aj všetky informácie ktoré sú spôsobilé identifikovať danú osobu alebo skonkrétnou osobou akýmkoľvek spôsobom súvisia. O tejto skutočnosti vypovedá najmä Článok 4 ods. 1 písm. a) GDPR, ktorý definuje pojem osobne údaje ako: „akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (ďalej len „dotknutá osoba“); identifikovateľná fyzická osoba je osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, lokalizačné údaje, online identifikátor, alebo odkazom na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.“
Osobným údajom teda nie je len bežný údaj v rozsahu rodného čísla alebo bydliska a čísla občianskeho preukazu, ale je ním akákoľvek informácia ktorá s danou osobou súvisí. V tejto súvislosti je potrebné poznamenať, že rozhodovanie o tom či daná informácia má povahu osobného údaju závisí predovšetkým aj od toho, či je možné túto informáciu spojiť skonkrétnou osobou, s ktorou súvisí.
Na základe uvedeného je teda možné konštatovať že oba právne inštitúty ochrana osobnosti aj ochrana osobných údajov spolu bezprostredne súvisia a vytvárajú identitu jednotlivca. Tieto právne inštitúty je však potrebné rozlišovať nakoľko každý z nich sa spravuje samostatnými právnymi nárokmi a ochranou z nich vyplývajúcou. V prípade zásahu do osobnosti jednotlivca občiansky zákonník vo svojich ustanoveniach §13 vymedzuje právne nároky, ktorých sa môže domáhať osoba postihnutá zásahom do svojej osobnosti. Týmito nárokmi sú napríklad právo domáhať sa aby sa upustilo od neoprávnených zásahov do práva na ochranu osobnosti, odstránenie následkov týchto zásahov, primerané zadosťučinenie, alebo náhrada nemajetkovej ujmy v peniazoch za predpokladu že bola v značnej miere znížená dôstojnosť fyzickej osoby alebo jej vážnosť spoločnosti.
Ochrana osobnosti je však sprevádzaná aj možnosťami legálneho zásahu do jej jednotlivých prvkov. Konkrétne ide o prípad tzv. úradnej a spravodajskej licencie.
Naproti tomu je právna úprava ochrany osobných údajov vyplývajúca z GDPR. V zmysle tohto nariadenia sú jednotlivé fyzické osoby, ktorých osobné údaje sú predmetom spracovania, označované pojmom "dotknuté osoby". Týmto ponúka GDPR viacero práv na ochranu osobných údajov. GDPR tieto práva upravuje v samostatnej Kapitole III tohto nariadenia.
Konkrétne ide napríklad o právo na splnenie informačnej povinnosti zo strany prevádzkovateľa osobných údajov, právo na o pravu, vymazanie, obmedzenie alebo namietanie spracovania osobných údajov, právo požadovať kópiu údajov, právo namietať rozhodnutie vyplývajúce z automatizovaného spracovania osobných údajov alebo profilovania alebo právo na náhradu škody za utrpenú majetkovú alebo nemajetkovú ujmu. Tieto pravá dotknutých osôb predstavujú súčasne aj im zodpovedajúce povinnosti prevádzkovateľa osobných údajov voči dotknutej osobe.
Za významné vsúvislosti so ochranou osobnosti a ochranou osobných údajov jednotlivca považujeme najmä právo na vymazanie osobných údajov z informačných systémov alebo akejkoľvek dispozície prevádzkovateľa.
GDPR v tejto súvislosti uvádza, že dotknutá osoba by mala mať právo na opravu osobných údajov, ktoré sa jej týkajú, a „právo nazabudnutie“, ak uchovávanie takýchto údajov porušuje toto nariadenie alebo právo Únie či právo členského štátu vzťahujúce sa na prevádzkovateľa. Dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov.
Uvedené právo je relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu. Dotknutá osoba by mala mať možnosť uplatniť uvedené právo bez ohľadu na skutočnosť, že už nie je dieťa. Ďalšie uchovávanie osobných údajov by však malo byť zákonné v prípadoch, keď je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Aby sa posilnilo „právo nazabudnutie“ v online prostredí, malo by sa rozšíriť právo na vymazanie aj tým, aby prevádzkovateľ, ktorý osobné údaje zverejnil, bol povinný informovať prevádzkovateľov, ktorí takéto osobné údaje spracúvajú, o vymazaní všetkých odkazov na tieto osobné údaje alebo kópií či replík týchto osobných údajov. Pritom by mal uvedený prevádzkovateľ prijať primerané kroky, so zohľadnením dostupnej technológie a prostriedkov, ktoré má prevádzkovateľ k dispozícii, vrátane technických opatrení, aby informoval prevádzkovateľov, ktorí spracúvajú osobné údaje, o žiadosti dotknutej osoby.
Normatívna úprava ustanovujúca právo na zabudnutie je upravená v článku 17 Kapitoly III GDPR.
Nariadenie ustanovuje, že dotknutá osoba má tiež právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú, a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak je splnený niektorý z týchto dôvodov:
- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali;
- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva, podľa článku 6 ods. 1 písm. a) alebo článku 9 ods. 2 písm. a), a ak neexistuje iný právny základ pre spracúvanie;
- dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu podľa článku 21 ods. 2;
- osobné údaje sa spracúvali nezákonne;
- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha;
- osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa článku 8 ods.1.
Súčasne však GDPR v ustanovení článku 17 ods. 3, ustanovuje aj dôvody, pre ktoré nemusí byť právo dotknutej osoby na zabudnutie vykonané.
Právo na výmaz osobných údajov sa neuplatní, pokiaľ je spracúvanie potrebné:
- na uplatnenie práva na slobodu prejavu a na informácie;
- na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
- z dôvodov verejného záujmu voblasti verejného zdravia vsúlade s článkom 9 ods. 2 písm. h) a i), ako aj článkom 9 ods. 3;
- na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely podľa článku 89 ods.1, pokiaľ je pravdepodobné, že právo uvedené v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Ide o to, že dotknutá osoba by mala mať najmä právo na to, aby jej osobné údaje boli vymazané a prestali sa spracúvať, ak osobné údaje už nie sú potrebné v súvislosti s účelmi, na ktoré boli získané alebo inak spracúvané, ak dotknutá osoba odvolala svoj súhlas alebo namieta voči spracúvaniu osobných údajov, ktoré sa jej týkajú, alebo ak spracúvanie jej osobných údajov nie je v súlade s týmto nariadením z iných dôvodov.
Osobitne je toto právo relevantné najmä v situácii, v ktorej dotknutá osoba dala súhlas ako dieťa, a si nebola plne vedomá rizík spojených so spracúvaním, a neskôr chce takéto osobné údaje odstrániť, najmä z internetu.
Uchovávanie týchto údajov je však legálne, ak je potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
V súvislosti so samotnou realizáciou práva na zabudnutie v praxi je potrebné poukázať na rozsudok Súdneho dvora Európskej Únie C-131/12.
V roku 2010 pán Mario Costeja González, podal na španielsku agentúru na ochranu údajov, (AEPD) sťažnosť proti vydavateľovi denníka La Vanguardia Ediciones SL a súčasne aj proti spoločnostiam Google Spain a Google Inc. Pán Costeja González tvrdil, že v prípade, ak používateľ internetu zadá jeho meno do vyhľadávača skupiny Google („Google Search“), zoznam výsledkov zobrazí odkazy na dve stránky denníka La Vanguardia z januára a marca 1998. Tieto stránky sa zaoberajú najmä predajom nehnuteľností na dražbe. V danom prípade išlo o predaj nehnuteľnosti z titulu uplatnenia záložného práva s cieľom vymáhať dlhy pána Costeju Gonzáleza vyplývajúcich zo sociálneho poistenia.
Touto sťažnosťou pán Costeja González žiadal, aby sa vydavateľovi La Vanguardia nariadilo buď vymazať alebo zmeniť uvedené stránky (aby sa na nich už neobjavovali jeho osobné údaje), alebo aby tento využil niektoré nástroje poskytované vyhľadávačmi s cieľom chrániť tieto údaje.
Pán Costeja González súčasne žiadal, aby sa spoločnostiam Google Spain alebo Google Inc. nariadilo vymazať alebo skryť tieto osobné údaje, aby sa už neobjavovali vo výsledkoch vyhľadávania a v odkazoch na La Vanguardia. V tomto kontexte tvrdill, že uplatnenie záložného práva voči nemu je už viacero rokov v plnom rozsahu vysporiadané, a teda že táto informácia už je úplne irelevantná.
V zásade tu hovoríme nielen o ochrane osobných údajov sťažovateľa (dotknutej osoby), ale je to aj praktický prípad kedy osobné údaje bezprostredne identifikujú aj ekonomickú stránku dotknutej osoby, v danom prípade výkon záložného práva a možnú insolventnosť. Ide teda obezprostredné prepojenie samotných osobných údajov s derivátmi, ktoré je možné „odčítať“ od súvislostí, ktoré sú s nimi prepojené.
Vo svojom rozsudku Súdny dvor najskôr konštatuje, že automatickým, neustálym a systematickým preskúmavaním informácií uverejnených na internete poskytovateľ vyhľadávača „zbiera“ takéto údaje.
Súdny dvor sa okrem toho domnieva, že poskytovateľ vyhľadávača „vyhľadáva“, „zaznamenáva“ a „organizuje“ tieto údaje v rámci svojich indexačných programov predtým, než ich „uschováva“ na svojich serveroch a prípadne „odhaľuje“ a „sprístupňuje“ svojim používateľom vo forme zoznamov výsledkov vyhľadávania. Tieto operácie, ktoré sú výslovne a nepodmienečne uvedené v smernici (vtedajšej smernici 96/46/ES dnes už nahradenej Nariadením GDPR) musia byť kvalifikované ako „spracovanie“, pričom je irelevantné, že poskytovateľ vyhľadávača rovnaké operácie uplatňuje bez rozlíšenia aj na iný druh informácií, než sú osobné údaje.
Súdny dvor pripomína, že operácie uvedené v smernici sa musia kvalifikovať ako takéto spracovanie tiež za predpokladu, že sa týkajú výlučne informácií takto už uverejnených v médiách. Všeobecná výnimka z uplatnenia smernice by v takomto prípade smernicu zbavila z veľkej časti jej významu.
Súdny dvor ďalej rozhodol, že poskytovateľ vyhľadávača musí byť považovaný za „kontrolóra (prevádzkovateľa)“ spracovania v zmysle smernice, keďže je to práve on, kto stanovuje ciele a prostriedky tohto spracovania. Súdny dvor v tejto súvislosti zdôrazňuje, že keďže činnosť vyhľadávača doplňuje činnosť editorov webových stránok a môže významne ovplyvniť základné práva na súkromný život a na ochranu osobných údajov, poskytovateľ tohto vyhľadávača musí v rámci svojich zodpovedností, kompetencií a možností zaručiť, že jeho činnosť spĺňa požiadavky smernice. Len týmto spôsobom totiž môžu záruky stanovené smernicou mať plný účinok a účinná a úplná ochrana dotknutých osôb (a najmä ich súkromného života) môže byť skutočne dosiahnutá.
Súdny dvor spresňuje, že dotknutá osoba môže adresovať takéto žiadosti priamo poskytovateľovi vyhľadávača, ktorý musí riadne preskúmať ich dôvodnosť. Pokiaľ prevádzkovateľ spracovania týmto žiadostiam nevyhovie, dotknutá osoba sa môže obrátiť na dozorný orgán alebo súdny orgán, aby uskutočnili nevyhnutné overenia a v nadväznosti na to nariadili tomuto prevádzkovateľovi konkrétne opatrenia.
Súdny dvor teda v závere konštatuje nasledovné: „Ak v nadväznosti na vyhľadávanie uskutočnené na základe zadania mena určitej osoby zoznam výsledkov zobrazí odkaz na webovú stránku, ktorá obsahuje informácie o dotknutej osobe, predmetná osoba sa môže priamo obrátiť na poskytovateľa vyhľadávača alebo v prípade, že ten nevyhovie jej žiadosti, na príslušné orgány, aby za určitých podmienok dosiahla odstránenie tohto odkazu zo zoznamu výsledkov.“
Záverom by sme mohli konštatovať, že právo na zabudnutie nadobudlo spríchodom GDPR oveľa väčší rozmer. Jeho význam je definovaný najmä tým, že samotné GDPR stanovuje toto právo ako výslovný a samostatný inštitút patriaci do tzv. práv dotknutej osoby. Ide teda o normatívnu úpravu tohto inštitútu, ktorá sa vyvinula z aplikačnej praxe, akou je napríklad horeuvedený rozsudok Súdneho dvora Európskej únie.
Samozrejme aj toto právo je potrebné posudzovať na základe ustanovení GDPR, aplikačnej praxe a najmä konkrétneho prípadu. Preto pre spoľahlivejšiu aplikáciu tohto inštitútu Vám odporúčame vždy sa poradiť so skúseným právnikom a poveriť advokáta na jeho vykonanie vo Vašom mene.
