K odpovědnosti společných správců

SDEU pak na otázku odpověděl kladně, tedy že správce fanouškovské stránky je společně se společností Facebook Ireland správcem ve smyslu čl. 2 písm. d) směrnice 95/46. Soud zde navázal na svou interpretaci pojmu „správce“ prezentovanou již v rozsudku Google Spain a Google (C-131/12). „Správce“ se má podle soudu vykládat široce, tak, aby zajistil účinnou ochranu subjektů údajů a jejich práva na soukromí.

Ve věci Jehovan todistajat (C‑25/17) pak soud posuzoval zpracování osobních údajů náboženskou společností (Svědci Jehovovi působící ve Finsku) a jejími zvěstovateli. V rámci širokého výkladu pojmu správce i v tomto případě soud dospěl k závěru, že náboženská společnost a její zvěstovatelé mají při zpracování osobních údajů při podomní kazatelské činnosti postavení (společných) správců. Podle soudu je pro naplnění společného určení účelu a prostředků zpracování dostačující, že náboženská společnost kazatelskou činnost organizuje, koordinuje a podporuje, není potřebné, aby měla přístup k údajům, nebo jednotlivé kazatele instruovala písemně.

Při aplikaci výše popsaného výkladu SDEU na čl. 26 GDPR lze uzavřít, že „společné určení“ účelu a prostředků má být vykládáno extenzivně.

S určením postavení subjektu jako (společného) správce však souvisí ještě jedna zásadní otázka – odpovědnost za případné porušení povinností stanovených právními předpisy na ochranu osobních údajů. Na jedné straně za jejich porušení může být správci uložena správní pokuta v nezanedbatelné výši. Na straně druhé pak je správce zapojený do zpracování odpovědný za újmu způsobenou zpracováním, které tyto právní předpisy porušuje.

V rozsudku ve věci Wirtschaftsakademie Schleswig-Holstein soud v bodě 43 uvádí, že „z existence společné odpovědnosti nelze nezbytně dovozovat, že by jednotliví provozovatelé…měli nést stejný podíl odpovědnosti. Naopak, tito provozovatelé mohou být zapojeni v různých fázích tohoto zpracování a v různé míře, takže míru odpovědnosti každého z nich je třeba hodnotit s přihlédnutím ke všem relevantním okolnostem projednávané věci.“ Soud bohužel tuto svou úvahu blíže nerozvedl, takže není jasné, co všechno může z hlediska rozhodování soudu, resp. dozorových orgánů představovat relevantní okolnost. Tento svůj závěr soud zdůraznil i ve věci Jehovan todistajat, ale ani zde nešel ve své argumentaci dále.

Článek 26 GDPR stanoví, že společní správci si mají mezi sebou transparentním ujednáním vymezit své podíly na odpovědnosti za plnění povinností podle GDPR, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace uvedené v článcích 13 a 14, pokud tuto odpovědnost správců nestanoví právo Unie nebo členského státu, které se na správce vztahuje. Správci při tom náležitě zohlední své úlohy a vztahy vůči subjektům údajů a subjekty údajů o podstatných prvcích ujednání informují.

Z čl. 83 GDPR vyplývá, že při rozhodování o uložení správní pokuty se přihlíží k okolnostem každého případu, kdy tyto podrobněji specifikuje v odst. 2 písm. a) – k). Byť podíl jednotlivých povinných subjektů na zpracování není mezi nimi výslovně popsán, lze uvažovat o jejich podřazení pod „jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.“

Ve vztahu k odpovědnosti za újmu nařízení výslovně uvádí, že každý správce odpovídá za celou újmu tak, aby byla zajištěna náležitá ochrana subjektu údajů. Dále pak uvádí, že správce, který poskytl celkovou náhradu, má právo po ostatních odpovědných subjektech zapojených do téhož zpracování žádat vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti. Jinými slovy, společní správci (a případně zpracovatelé) odpovídají vůči poškozenému společně a nerozdílně.

GDPR tedy předpokládá, že odpovědnost bude vycházet z rozdělení úloh a vztahu k subjektům údajů. Tento požadavek není nikterak nelogický, jeden ze správců může být se subjekty údajů v bezprostředním kontaktu, naopak další ze správců bude např. pouze poskytovat část služeb, které zahrnují zpracování v rámci celkového balíčku apod. Na druhé straně však čl. 26 odst. 3 uvádí, že bez ohledu na podmínky ujednání mezi správci může subjekt údajů vykonávat svá práva u každého ze správců i vůči každému z nich.

Koncepce článku 26 GDPR jasně vychází z předpokladu, že jednotlivé subjekty budou mít vědomí o tom, že jsou společnými správci a že na základě této vědomosti si mezi sebou vymezí úkoly a odpovědnost. Bohužel praxe ukazuje, že povinné osoby mají problém vyhodnotit, v jakém postavení se nacházejí i ve vztahu ke zpracování, které provádějí sami. Určení toho, v jakém vzájemném postavení se při zapojení dalších subjektů ve vztahu ke konkrétnímu zpracování osobních údajů nacházejí, je pak úkolem ještě náročnějším. Povinné osoby zejména řeší, zda je jeden z nich zpracovatelem druhého, tedy osobou, která zpracovává osobní údaje pro správce (dle jeho pokynů). Vztah mezi jednotlivými subjekty, které se na zpracování podílejí, však může být různorodý, např. jde o vztah správce – správce, správce – zpracovatel, vztah společných správců, případně o vztah správce a osoby pověřené zpracováním v rámci činnosti správce, typicky zaměstnancem. Široký výklad společného správcovství v tomto směru nebude v praxi nijak nápomocný, spíše naopak.

Z hlediska odpovědnosti však rozdělení úloh může mít pro jednotlivé správce mimořádný význam, a to jak odpovědnosti veřejnoprávní, tak odpovědnosti soukromoprávní. Článek 82 GDPR mimo jiného stanoví i to, že správce (nebo zpracovatel) jsou odpovědnosti za újmu zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla. GDPR tedy upravuje specifický liberační důvod pro zproštění odpovědnosti za újmu.

Otázku vztahu širokého výkladu institutu společných správců a následné odpovědnosti otevřel ve svém nedávném stanovisku k případu Fashion ID generální advokát Michal Bobek (Stanovisko generálního advokáta přednesené dne 19. prosince 2018 ve věci Fashion ID, C-40/17). V posuzovaném sporu je hlavní otázkou, zda společnost Fashion ID GmbH & Co. KG může být považovaná za společného správce se společností Facebook Ireland Limited, když na své webové stránky umístila zásuvný modul Facebooku „Like Box“. Zásuvný modul při vstupu uživatele na webové stránky Fashion ID odešle jeho IP adresu a název prohlížeče Facebooku, a to bez ohledu na to, zda uživatel na „Like Box“ aktivně klikne, nebo zda má uživatelský účet na Facebooku.

Generální advokát zohledňuje výše shrnutou judikaturu a uzavírá, že z tohoto hlediska lze považovat Fashion ID za společného správce se společností Facebook Ireland Limited. Současně otevírá otázky, které SDEU zatím neotevřel, a to právě dopady široké definice na okruh spoluodpovědných subjektů a následné vymezení jejich odpovědnosti. Jak uvádí v bodě 75 „Problém spočívá v tom, že vymezení rozsahu odpovědnosti z široké definice správce nevyplývá“. Bobek poukazuje i na praktický problém širokého výkladu SDEU, konkrétně na závěr, že není potřebné, aby každý ze správců měl přístup k osobním údajům. Takový správce sice nese odpovědnost za zpracování, ale fakticky nemůže poskytnout přístup k osobním údajům žádnému subjektu údajů.

Byť se stanovisko týká výkladu směrnice 95/46, generální advokát správně poukazuje na to, že výklad bude mít dopad i na aplikaci článku 26 GDPR. Upozorňuje zejména na odst. 3, který směřuje k solidární odpovědnosti společných správců a v podstatě vylučuje závěr o tom, že správci nemusí odpovídat stejně.

Řešení spatřuje ve výkladu pojmu „zpracování“, které se soustředí na fáze zpracování, resp. úkony nebo soubory úkonů s osobními údaji (GDPR v českém znění pracuje s pojmem „operace zpracování). Podle něj by správa měla být posuzovaná ve vztahu ke konkrétním úkonům zapracování, nikoliv ke zpracování celkovému (ke všem úkonům zpracování plošně). Ve vztahu k odpovědnosti společných správců pak v bodě 101 stanoviska konstatuje, že „…povinnosti a případná odpovědnost společných správců měly vycházet z kombinace těchto dvou definic. Pokud jde o určitý úkon zpracování, (společný) správce je odpovědný za takový úkon nebo soubor úkonů, u nichž sdílí nebo spoluurčuje účely a prostředky. Naproti tomu taková osoba nemůže být považována za odpovědnou za předcházející fáze ani za následné fáze celého řetězce zpracování, ve vztahu, k nimž nemohla určit účel ani prostředky zpracování.“

V tomto směru lze s generálním advokátem souhlasit. Důsledky širokého výkladu by bez jeho dalšího upřesnění mohly směřovat k tomu, že by jednotlivé povinné subjekty nesly odpovědnost za jinou osobu, resp. za její jednání, které nemohou ovlivnit.

Ochrana osobních údajů a soukromí obecně je důležitou součástí, až nezbytností, pokroku v oblasti informačních technologií. Nelze však skrze ni zakládat bezbřehý soubor povinností, které ve svém důsledku nebudou přínosné ani pro samotné subjekty údajů. Zůstává doufat, že alespoň některé z připomínek generálního advokáta Bobka SDEU v očekáváném rozsudku vypořádá tak, aby přinesl jasná vodítka pro výklad článku 26 GDPR a navazující odpovědnost společných správců.


Mgr. Ivana Nemčeková,
advokátní koncipientka


NIELSEN MEINL, advokátní kancelář, s. r. o.

Žatecká 55/14
110 00  Praha 1

Tel.:    +420 270 004 935
Fax:    +420 270 004 939
e-mail:    praha@nielsenmeinl.com


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz