Zneužití práva na přístup podle GDPR

Práva podle GDPR slouží ke kontrole nad zpracováním dat

Obecné nařízení o ochraně osobních údajů (GDPR) přiznává dotčeným lidem, subjektům údajů, řadu práv. Kromě práv pasivních, která se promítají do povinností správce (např. postupovat podle principu legality, transparentnosti, korektnosti či přesnosti zpracování), i práva aktivní. Práva, která může subjekt údajů podle své vůle vůči určitému správci uplatnit.

Jedním z fakticky hlavních a v praxi nejčastěji využívaných je právo subjektu údajů na přístup k osobním údajům podle čl. 15 GDPR. Proč je toto právo v praxi tak frekventované? Protože obvykle předchází možnosti uplatnění jiných práv, které GDPR subjektu údajů přiznává, například právu na opravu, na výmaz či na přenositelnost osobních údajů. Pouze pokud subjekt údajů ví, jestli a jaké jeho osobní údaje konkrétní správce zpracovává, může jej vyzvat k opravě či aktualizaci nepřesných nebo zastaralých údajů nebo k výmazu dat, pro jejichž zpracování již správce nemá žádný zákonný důvod.

Co všechno zahrnuje právo na přístup k osobním údajům?

Právo na přístup k osobním údajům podle čl. 15 GDPR fakticky zahrnuje tři práva[1]:

1. Právo na informaci, zda správce osobní údaje daného subjektu údajů zpracovává.
2. Právo na informace o základních parametrech zpracování, jako je účel, právní titul, jaké údaje jsou zpracovávány, komu jsou předávány atd.
3. Právo na přístup ke kopii zpracovávaných osobních dat.

Záleží přitom na subjektu údajů, jak svoji žádost formuluje a zaměří. Může požadovat pouze potvrzení, zda správce jeho údaje zpracovává, stejně jako informace o hlavních parametrech zpracování nebo přístup ke kopii zpracovávaných údajů, ať už jsou v originále zachycena v jakékoliv formě.

Nedůvodné a nepřiměřené žádosti o uplatnění práv

GDPR pamatuje i na situaci, kdy subjekt údajů svá práva vykonává zneužívajícím způsobem. Čl. 12 odst. 5 GDPR uvádí, že pokud jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce za vyřízení žádosti buď vyžadovat poplatek pro náhradu svých nákladů, nebo žádost o uplatnění práv úplně odmítnout.

Reklama

Claude/Gemini/ChatGPT/Copilot – kdy co použít? (online - živé vysílání) - 3.6.2026

3.6.2026 13:003 975 Kč s DPH
3 285 Kč bez DPH

Koupit

Důležité je, že v obou případech je to správce, kdo musí zdůvodnit a doložit, proč podle jeho názoru byla daná žádost zjevně nedůvodná či nepřiměřená. To je ostatně i v souladu s principem doložitelné odpovědnosti správce podle čl. 5 odst. 2 GDPR.

Jak se posuzuje nedůvodnost žádosti?

GDPR bližší vysvětlení nebo výklad pojmu nedůvodnost neobsahuje. V tomto směru nám bohužel nepomůže ani výkladový materiál od Evropského sboru pro ochranu osobních údajů, konkrétně Pokyny 01/2022 k právům subjektů údajů – právo na přístup[2]. Evropské dozorové úřady v této společné metodice výjimku z práva na přístup vykládají opravdu úzce. Tak úzce, že docházejí k závěru, že se v praxi takřka nikdy neuplatní. Dokonce i příklad, který k této části doplnily, se týká situace, kdy by správce žádost o přístup jako nedůvodnou označit neměl.[3]

Skutečně unijní normotvůrce umístil tuto možnost do GDPR zbytečně, protože ji vlastně takřka nikdy nelze uplatnit? Nebo se v praxi může stát, že je žádost o přístup k osobním údajům nedůvodná, a správce ji proto může odmítnout?

Podávání žádostí o přístup jako byznys

Soudní dvůr EU se v aktuálním rozsudku ze dne 19. března 2026, ve věci C-526/24, Brillen Rottler GmbH & Co. KG proti TC, zabývá právě otázkou, kdy lze žádost o přístup k osobním údajům jako zjevně nedůvodnou odmítnout. A dlužno dodat, že zaujal výrazně flexibilnější a realističtější přístup než Evropský sbor pro ochranu osobních údajů.

Jaký je skutkový základ tohoto případu?

V březnu roku 2023 se pan TC (fyzická osoba s bydlištěm v Rakousku) registroval k odběru informačního bulletinu společnosti Brillen Rottler, menší rodinné optiky se sídlem v německém Arnsbergu. Po třinácti dnech od registrace zaslal TC společnosti Brillen Rottler žádost o přístup podle článku 15 GDPR. Jmenovaná společnost jeho žádost odmítla právě s tím, že se jedná o nedůvodné a zneužívající jednání. Pan TC však na své žádosti trval a připojil rovněž žádost o náhradu újmy podle čl. 82 GDPR ve výši 1.000 EUR.

Společnost Brillen Rottler se proti jeho nároku bránila u okresního soudu v Arnsbergu. Ten následně položil Soudnímu dvoru EU předběžné otázky týkající se práv subjektů údajů podle GDPR a podmínek pro přiznání náhrady újmy způsobené nezákonným zpracováním jejich dat.

Daná společnost pro podporu tvrzení o zjevné nedůvodnosti žádosti rovněž uvedla, že z veřejně přístupných údajů vyplývá, že TC systematicky a zneužívajícím způsobem podává žádosti o přístup ke svým osobním údajům pouze s cílem obdržet náhradu újmy za údajné porušení práv. Modus operandi pana TC má spočívat v tom, že se nejprve registruje k odběru informačního bulletinu, poté podá žádost o přístup k osobním údajům, a nakonec podá žádost o náhradu újmy.

Soud: Smyslem práva na přístup je získat informace o zpracování a ověřit jeho zákonnost

Jak tuto situaci vyhodnotil Soudní dvůr Evropské unie?

Soudní dvůr uvedl, že důkaz o zneužití práva na přístup k údajům podle GDPR vyžaduje jak souhrn objektivních okolností, ze kterých lze zneužití dovodit, tak subjektivní znak spočívající v záměru subjektu údajů získat výhodu vyplývající z unijní právní úpravy tím, že uměle vytvoří podmínky vyžadované pro její získání. Pokud jsou oba tyto znaky naplněny, resp. pokud je správce dokáže doložit, může žádost označit jako zjevně nedůvodnou a odmítnout ji vyřídit.

Soud dále konstatoval, že skutečnost o tom, že pan TC systematicky podává žádosti o právo na přístup nikoliv s úmyslem ověřit zákonnost zpracování svých údajů, ale s úmyslem zapříčinit možný protiprávní stav a pak po správci vymáhat náhradu škody, lze jistě při posuzování (ne)důvodnosti žádost zohlednit. I tuto skutečnost však musí správce jednoznačně doložit, například na základě veřejně dostupných informací.

S tímto závěrem Soudní dvůr EU věc vrátil předkládacímu okresnímu soudu v Arnsbergu k ověření relevantních skutečností a rozhodnutí ve věci.

Nedůvodné žádosti o přístup k údajům existují a správci je mohou odmítat!

Soudní dvůr EU v tomto rozsudku jednoznačně potvrdil, že žádost o přístup k osobním údajům podle čl. 15 GDPR, byť jinak formálně naprosto v pořádku, může být zjevně nedůvodnou. To platí zejména za situace, kdy cílem subjektu údajů není získat informace o tom, zda a případně jak a jaké jeho osobní údaje dotyčný správce zpracovává, a pak případně uplatnit další práva, ale uměle navodit situaci, kdy bude moci vymáhat náhradu škody za porušení GDPR. Například proto, že správce neuvede úplně všechny informace o zpracování nebo neposkytne kopii údajů, které zpracovává, nestihne žádost vyřídit v dané lhůtě atd.

Správce, který hodlá žádost jako zjevně nedůvodnou odmítnout, je povinen její nedůvodnost doložit. Může proto ověřit data, která o žadateli má k dispozici nebo která jsou veřejně dostupná. Toto zpracování, pokud bude prováděno v přiměřeném rozsahu, bude zjevně možné opřít o právní titul oprávněného zájmu podle čl. 6 odst. 1 písm. f) GDPR.

Ani z GDPR, ani z komentovaného rozsudku podle mého názoru naopak nevyplývá možnost či dokonce povinnost správce po subjektu údajů obecně vyžadovat odůvodnění žádosti o přístup k osobním údajům.[4] Pokud správce neprokáže opak, má se za to, že žádost o přístup k osobním údajům je přípustná a správce ji musí ve lhůtách stanovených GDPR vyřídit a informace poskytnout. Pokud to však správce doloží, může žádost jako zjevně nedůvodnou zamítnout.

Mgr. František Nonnemann,

autor je konzultantem v oblasti ochrany dat, compliance a řízení rizik

e-mail: nonnemann@volny.cz