Podľa čl. 4 GDPR sa údaje o polohe výslovne uvádzajú ako faktor, na základe ktorého možno osobu priamo alebo nepriamo identifikovať, a preto sa označujú ako "identifikátor" osobných údajov. Príspevok sa snaží posúdiť, či je ochrana súkromia podporovaná predvolenými nastaveniami o polohe a získaním súhlasu používateľa (schválením všeobecných zmluvných podmienok), alebo či to namiesto toho spôsobuje, že používatelia nevedomky zdieľajú lokalizačné údaje prostredníctvom mobilných zariadení.
Art. 4 GDPR explicitly refers to location data as a factorby which a person can be identified, directly or indirectly, and is therefore referred to as the "identitier" of personal data. The article seeks to assess whetherprivacy is supported by default location settings and user consent (by accepting the general terms of service), or whether users unknowingly share location data via mobile devices.
FUNTA, R.: Elektronické údaje o polohe osoby z pohľadu GDPR; Justičná revue, 72, 2020, č. 8-9, s. 931 - 943.
1 Úvod
Ochrana osobných údajov predstavuje problém v súvislosti s aplikáciami pri používaní mobilných zariadení. Ochrana údajov o polohe znamená právo nebyť vystavený neoprávnenému zhromažďovaniu, uchovávaniu, použitiu alebo distribúcii, ako aj spracovaniu takýchto údajov. Koncept ochrany osobných údajov o polohe chráni súčasné alebo minulé informácie o polohe pred použitím na komerčné alebo iné účely. Právo na súkromie používateľov mobilných zariadení možno pritom porušiť rôznymi spôsobmi, napríklad sledovaním internetových návykov, sledovaním zoznamov kontaktov, sledovaním polohy, skúmaním súborov bez vedomia používateľa a zhromažďovaním informácií
1)
vrátane IP adries a ďalších údajov. Určenie polohy mobilného zariadenia sa môže uskutočniť pomocou rôznych metód. Niektoré metódy, napríklad metódy založené na globálnom systéme určovania polohy (GPS), vykonávajú určovanie polohy samostatne v telefóne. Pri iných metódach sa rádiové signály vysielané mobilným zariadením merajú externe, a preto sa môžu niekedy realizovať bez toho, aby o tom používateľ vedel. 1 1Hoci sa v Európe v ostatnej dobe intenzívne diskutovalo o ochrane údajov, právne predpisy o ochrane súkromia,
2)
najmä pokiaľ ide o údaje o polohe zhromažďované prostredníctvom mobilných aplikácií a smartfónov, sa stále vyvíjajú.V tomto článku analyzujeme právny aspekt zhromažďovania, spracovania a ochrany lokalizačných údajov používateľov mobilných zariadení a navrhujeme kroky, ktoré majú vývojári mobilných aplikácií, poskytovatelia mobilných operačných systémov, internetové platformy
3)
a zákonodarcovia podniknúť pre transparentný a zodpovedný systém ochrany údajov.
2 Sú údaje o polohe osobné alebo citlivé?
Zhromažďovaním údajov o polohe môžu vývojári aplikácií ako aj iní odvodiť mnoho typov osobných údajov (nielen o polohe). Ako príklad možno uviesť, že ak osoba pravidelne navštevuje kostol, možno vyvodiť závery o náboženskom vyznaní tejto osoby. Pretože s miestami alebo udalosťami je jedinečne spojených veľa atribútov chránených súkromím, zhromažďovanie údajov, ktoré ukazujú, že osoba často navštevuje dané miesto alebo sa zúčastňuje na konkrétnej udalosti, predstavuje účinný prostriedok na vytvorenie komplexného obrazu jednotlivca. Termín "údaje o polohe" vo všeobecnosti zahŕňa všetky informácie, ktoré sa implicitne alebo explicitne týkajú geografickej alebo geopriestorovej polohy. S cieľom pochopiť úlohu lokalizačných údajov v rôznych právnych rámcoch je dôležité odlišovať medzi prípadmi, keď lokalizačné údaje predstavujú osobné údaje od citlivých údajov (t.j. osobitnú kategóriu osobných údajov). V čl. 4 ods. 1 všeobecného nariadenia o ochrane údajov (GDPR)
4)
sa údaje o mieste výslovne uvádzajú ako faktor, na základe ktorého možno osobu priamo alebo nepriamo identifikovať, a preto sa označujú ako "identifikátor" osobných údajov.
2.1 Osobné údaje o polohe
GDPR sa vzťahuje na akékoľvek spracovanie osobných údajov, ktoré znamená akúkoľvek operáciu alebo súbor operácií, ktoré sa vykonávajú s osobnými údajmi alebo so súbormi osobných údajov, či už automatizovanými prostriedkami alebo nie (čl. 4 GDPR). Údaje sa považujú za osobné, ak sa informácie týkajú identifikovanej alebo identifikovateľnej osoby (čl. 4 ods. 1 GDPR). Na pochopenie úlohy údajov o polohe podľa GDPR je dôležité rozlišovať medzi prípadmi, keď údaje o polohe predstavujú buď osobné údaje alebo citlivé údaje, a to od prípadov, keď sú údaje efektívne anonymizované, a preto sa nepovažujú za osobné údaje. GDPR objasňuje, že údaje o polohe zhromaždené na konkrétny účel by sa mali používať iba na deklarovaný účel. Správca údajov na serveri preto nemôže použiť tieto údaje na reklamné alebo akékoľvek sekundárne účely bez ďalšieho súhlasu dotknutej osoby. Okrem toho čl. 5 písm. c) GDPR stanovuje zásadu minimalizácie údajov, ktorej cieľom je zníženie zberu údajov na najnižšiu možnú úroveň na účely spracovania údajov. Podľa zásady "minimalizácie uchovávania" v čl. 5 písm. e) GDPR sa osobné údaje môžu uchovávať "nie dlhšie, ako je potrebné na účely, na ktoré sa osobné údaje spracúvajú". Navyše, čl. 6 GDPR stanovuje podmienky spracúvania údajov tak, že spracúvanie je povolené iba vtedy, keď je to potrebné zo zákonných dôvodov. Ďalšie konkrétne nástroje na ochranu údajov sú popísané v čl. 25 GDPR: spoločnosti a organizácie by mali prijať primerané technické a organizačné opatrenia, aby zabezpečili, že štandardne sa spracúvajú len osobné údaje, ktoré sú nevyhnutné pre každý konkrétny účel spracúvania. Prevádzkovatelia spracovateľských o