6. 2. 2019
ID: 108827upozornění pro uživatele

K odpovědnosti společných správců

Zdroj: shutterstock.com

Obecné nařízení o ochraně osobních údajů (GDPR) vneslo do českého právního řádu nový právní institut společných správců. Článek 26 GDPR, který ho upravuje, uvádí, že společnými správci jsou všechny subjekty, které společně stanoví účely a prostředky zpracování. Ačkoliv tento institut existuje v evropském právu již řadu let, český právní řád s ním zatím nepracoval. Český zákonodárce při implementaci směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, nevyužil možnost rozšířit definici správce tak, že by zahrnovala více subjektů.

NIELSEN MEINL, advokátní kancelář, s. r. o.

Stávající český zákon o ochraně osobních údajů (ZOOÚ) definuje ve svém ust. § 4 odst. 1 písm. j) správce jako „každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj“. Z definice jasně vyplývá, že správcem je podle ZOOÚ vždy jeden konkrétní subjekt, který samostatně odpovídá za dodržování zákonem stanovených povinností při zpracovaní osobních údajů.

Od účinnosti GDPR je i u nás třeba podrobněji zkoumat situace, kdy se na zpracování osobních údajů podílí více subjektů. Definičním znakem společných správců ve smyslu čl. 26 odst. 1 GDPR je společné určení účelů a prostředků zpracování. Co všechno může představovat „společné určení“ nařízení blíže nespecifikuje. Odpovědi na výkladové a aplikační nejasnosti by mohla přinést nejnovější judikatura Soudního dvora Evropské unie (SDEU) k pojmu „správce“ zakotveného v čl. 2 písm. d) směrnice 95/46, který je v ní definován jako „fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jakýkoli jiný subjekt, který sám nebo společně s jinými určuje účel a prostředky zpracování osobních údajů“.

Jak bude přiblíženo níže, výklad tohoto pojmu je relevantní nejen z hlediska eurokonformního výkladu jednání dle ZOOÚ, který bude zanedlouho nahrazen novým zákonem o zpracování osobních údajů, ale především z hlediska přímé aplikace příslušných ustanovení GDPR na evropské i národní úrovni.

Ve věci Wirtschaftsakademie Schleswig-Holstein (C‑210/16) SDEU posuzoval, zda je možné založit odpovědnost subjektu za zpracování osobních údajů, který si vytvořil fanouškovskou stránku na sociální síti Facebook, aby tímto způsobem propagoval svoji nabídku. Soud se podrobněji zabýval otázkou, zda a v jakém rozsahu se správce fanouškovské stránky na Facebooku podílí na určování účelu a prostředků zpracování. Facebook má, jako většina velkých poskytovatelů internetových služeb, podmínky poskytování služeb nadefinované ve svých obchodních podmínkách, které druhá strana přijme jako adhezní smlouvu. Prostor pro jakékoliv sjednávaní je zde vyloučen.

Skutečnosti, které vyzdvihl SDEU jako zásadní, jsou následující:

  • použití sociální sítě jako Facebook samo o sobě odpovědnost uživatele Facebooku (ve vztahu ke zpracování osobních údajů) nezakládá;
  • správce fanouškovské stránky však vytvořením své stránky umožňuje ukládání cookies Facebooku na zařízení návštěvníka takové stránky;
  • v rámci vytvoření fanouškovské stránky správce nastaví cílovou skupinu uživatelů, cílů řízení a propagace, které ovlivňují zpracování osobních údajů ze strany společnosti Facebook při vytváření statistických údajů, čímž přispívá ke zpracování osobních údajů návštěvníků své stránky;
  • správce fanouškovské stránky má možnost od Facebooku získat informace o nákupních preferencích, demografické údaje a další informace o návštěvnících stránky, relevantních pro zaměření jeho nabídky, byť tyto jsou mu zpřístupněny jako anonymizované údaje;
  • směrnice 95/46 nevyžaduje, aby měla každá z osob odpovědných za zpracování přístup k dotčeným osobním údajům.

SDEU pak na otázku odpověděl kladně, tedy že správce fanouškovské stránky je společně se společností Facebook Ireland správcem ve smyslu čl. 2 písm. d) směrnice 95/46. Soud zde navázal na svou interpretaci pojmu „správce“ prezentovanou již v rozsudku Google Spain a Google (C-131/12). „Správce“ se má podle soudu vykládat široce, tak, aby zajistil účinnou ochranu subjektů údajů a jejich práva na soukromí.

Ve věci Jehovan todistajat (C‑25/17) pak soud posuzoval zpracování osobních údajů náboženskou společností (Svědci Jehovovi působící ve Finsku) a jejími zvěstovateli. V rámci širokého výkladu pojmu správce i v tomto případě soud dospěl k závěru, že náboženská společnost a její zvěstovatelé mají při zpracování osobních údajů při podomní kazatelské činnosti postavení (společných) správců. Podle soudu je pro naplnění společného určení účelu a prostředků zpracování dostačující, že náboženská společnost kazatelskou činnost organizuje, koordinuje a podporuje, není potřebné, aby měla přístup k údajům, nebo jednotlivé kazatele instruovala písemně.

Při aplikaci výše popsaného výkladu SDEU na čl. 26 GDPR lze uzavřít, že „společné určení“ účelu a prostředků má být vykládáno extenzivně.

S určením postavení subjektu jako (společného) správce však souvisí ještě jedna zásadní otázka – odpovědnost za případné porušení povinností stanovených právními předpisy na ochranu osobních údajů. Na jedné straně za jejich porušení může být správci uložena správní pokuta v nezanedbatelné výši. Na straně druhé pak je správce zapojený do zpracování odpovědný za újmu způsobenou zpracováním, které tyto právní předpisy porušuje.

V rozsudku ve věci Wirtschaftsakademie Schleswig-Holstein soud v bodě 43 uvádí, že „z existence společné odpovědnosti nelze nezbytně dovozovat, že by jednotliví provozovatelé…měli nést stejný podíl odpovědnosti. Naopak, tito provozovatelé mohou být zapojeni v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci.“ Soud bohužel tuto svou úvahu blíže nerozvedl, takže není jasné, co všechno může z hlediska rozhodování soudu, resp. dozorových orgánů představovat relevantní okolnost. Tento svůj závěr soud zdůraznil i ve věci Jehovan todistajat, ale ani zde nešel ve své argumentaci dále.

Článek 26 GDPR stanoví, že společní správci si mají mezi sebou transparentním ujednáním vymezit své podíly na odpovědnosti za plnění povinností podle GDPR, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. Správci při tom náležitě zohlední své úlohy a vztahy vůči subjektům údajů a subjekty údajů o podstatných prvcích ujednání informují.

Z čl. 83 GDPR vyplývá, že při rozhodování o uložení správní pokuty se přihlíží k okolnostem každého případu, kdy tyto podrobněji specifikuje v odst. 2 písm. a) – k). Byť podíl jednotlivých povinných subjektů na zpracování není mezi nimi výslovně popsán, lze uvažovat o jejich podřazení pod „jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.“

Ve vztahu k odpovědnosti za újmu nařízení výslovně uvádí, že každý správce odpovídá za celou újmu tak, aby byla zajištěna náležitá ochrana subjektu údajů. Dále pak uvádí, že správce, který poskytl celkovou náhradu, má právo po ostatních odpovědných subjektech zapojených do téhož zpracování žádat vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti. Jinými slovy, společní správci (a případně zpracovatelé) odpovídají vůči poškozenému společně a nerozdílně.

GDPR tedy předpokládá, že odpovědnost bude vycházet z rozdělení úloh a vztahu k subjektům údajů. Tento požadavek není nikterak nelogický, jeden ze správců může být se subjekty údajů v bezprostředním kontaktu, naopak další ze správců bude např. pouze poskytovat část služeb, které zahrnují zpracování v rámci celkového balíčku apod. Na druhé straně však čl. 26 odst. 3 uvádí, že bez ohledu na podmínky ujednání mezi správci může subjekt údajů vykonávat svá práva u každého ze správců i vůči každému z nich.

Koncepce článku 26 GDPR jasně vychází z předpokladu, že jednotlivé subjekty budou mít vědomí o tom, že jsou společnými správci a že na základě této vědomosti si mezi sebou vymezí úkoly a odpovědnost. Bohužel praxe ukazuje, že povinné osoby mají problém vyhodnotit, v jakém postavení se nacházejí i ve vztahu ke zpracování, které provádějí sami. Určení toho, v jakém vzájemném postavení se při zapojení dalších subjektů ve vztahu ke konkrétnímu zpracování osobních údajů nacházejí, je pak úkolem ještě náročnějším. Povinné osoby zejména řeší, zda je jeden z nich zpracovatelem druhého, tedy osobou, která zpracovává osobní údaje pro správce (dle jeho pokynů). Vztah mezi jednotlivými subjekty, které se na zpracování podílejí, však může být různorodý, např. jde o vztah správce – správce, správce – zpracovatel, vztah společných správců, případně o vztah správce a osoby pověřené zpracováním v rámci činnosti správce, typicky zaměstnancem. Široký výklad společného správcovství v tomto směru nebude v praxi nijak nápomocný, spíše naopak.

Z hlediska odpovědnosti však rozdělení úloh může mít pro jednotlivé správce mimořádný význam, a to jak odpovědnosti veřejnoprávní, tak odpovědnosti soukromoprávní. Článek 82 GDPR mimo jiného stanoví i to, že správce (nebo zpracovatel) jsou odpovědnosti za újmu zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla. GDPR tedy upravuje specifický liberační důvod pro zproštění odpovědnosti za újmu.

Otázku vztahu širokého výkladu institutu společných správců a následné odpovědnosti otevřel ve svém nedávném stanovisku k případu Fashion ID generální advokát Michal Bobek (Stanovisko generálního advokáta přednesené dne 19. prosince 2018 ve věci Fashion ID, C-40/17). V posuzovaném sporu je hlavní otázkou, zda společnost Fashion ID GmbH & Co. KG může být považovaná za společného správce se společností Facebook Ireland Limited, když na své webové stránky umístila zásuvný modul Facebooku „Like Box“. Zásuvný modul při vstupu uživatele na webové stránky Fashion ID odešle jeho IP adresu a název prohlížeče Facebooku, a to bez ohledu na to, zda uživatel na „Like Box“ aktivně klikne, nebo zda má uživatelský účet na Facebooku.

Generální advokát zohledňuje výše shrnutou judikaturu a uzavírá, že z tohoto hlediska lze považovat Fashion ID za společného správce se společností Facebook Ireland Limited. Současně otevírá otázky, které SDEU zatím neotevřel, a to právě dopady široké definice na okruh spoluodpovědných subjektů a následné vymezení jejich odpovědnosti. Jak uvádí v bodě 75 „Problém spočívá v tom, že vymezení rozsahu odpovědnosti z široké definice správce nevyplývá“. Bobek poukazuje i na praktický problém širokého výkladu SDEU, konkrétně na závěr, že není potřebné, aby každý ze správců měl přístup k osobním údajům. Takový správce sice nese odpovědnost za zpracování, ale fakticky nemůže poskytnout přístup k osobním údajům žádnému subjektu údajů.

Byť se stanovisko týká výkladu směrnice 95/46, generální advokát správně poukazuje na to, že výklad bude mít dopad i na aplikaci článku 26 GDPR. Upozorňuje zejména na odst. 3, který směřuje k solidární odpovědnosti společných správců a v podstatě vylučuje závěr o tom, že správci nemusí odpovídat stejně.

Řešení spatřuje ve výkladu pojmu „zpracování“, které se soustředí na fáze zpracování, resp. úkony nebo soubory úkonů s osobními údaji (GDPR v českém znění pracuje s pojmem „operace zpracování). Podle něj by správa měla být posuzovaná ve vztahu ke konkrétním úkonům zapracování, nikoliv ke zpracování celkovému (ke všem úkonům zpracování plošně). Ve vztahu k odpovědnosti společných správců pak v bodě 101 stanoviska konstatuje, že „…povinnosti a případná odpovědnost společných správců měly vycházet z kombinace těchto dvou definic. Pokud jde o určitý úkon zpracování, (společný) správce je odpovědný za takový úkon nebo soubor úkonů, u nichž sdílí nebo spoluurčuje účely a prostředky. Naproti tomu taková osoba nemůže být považována za odpovědnou za předcházející fáze ani za následné fáze celého řetězce zpracování, ve vztahu, k nimž nemohla určit účel ani prostředky zpracování.

V tomto směru lze s generálním advokátem souhlasit. Důsledky širokého výkladu by bez jeho dalšího upřesnění mohly směřovat k tomu, že by jednotlivé povinné subjekty nesly odpovědnost za jinou osobu, resp. za její jednání, které nemohou ovlivnit.

Ochrana osobních údajů a soukromí obecně je důležitou součástí, až nezbytností, pokroku v oblasti informačních technologií. Nelze však skrze ni zakládat bezbřehý soubor povinností, které ve svém důsledku nebudou přínosné ani pro samotné subjekty údajů. Zůstává doufat, že alespoň některé z připomínek generálního advokáta Bobka SDEU v očekáváném rozsudku vypořádá tak, aby přinesl jasná vodítka pro výklad článku 26 GDPR a navazující odpovědnost společných správců.

Nemčeková
Mgr. Ivana Nemčeková,
advokátní koncipientka


NIELSEN MEINL, advokátní kancelář, s. r. o.

Žatecká 55/14
110 00  Praha 1

Tel.:    +420 270 004 935
Fax:    +420 270 004 939
e-mail:    praha@nielsenmeinl.com


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz