Přehled k problematice ochrany osobních údajů 01/24
V následujícím přehledu si Vás dovolujeme seznámit s nedávnými rozhodnutími Úřadu pro ochranu osobních údajů (ÚOOÚ), závěry jím provedených kontrol a s dalšími novinkami v oblasti ochrany osobních údajů. O dalších informacích z oblasti právní úpravy ochrany osobních údajů Vás budeme informovat v dalším vydání tohoto přehledu nebo v přehledu právních aktualit.
Z dozorové a rozhodovací činnosti ÚOOÚ
- Pokuta ve výši 351 milionů Kč
Nedávným rozhodnutím ÚOOÚ uložil pokutu ve výši 351 milionů Kč společnosti Avast Software s.r.o., za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu a jeho rozšíření internetových prohlížečů společnosti Jumpshot, INC.
Té předávala pseudonymizovanou historii prohlížení internetů navázanou na jedinečný identifikátor, která data dále zpřístupňovala marketérům, kterým umožňovala přístup k on-line chování spotřebitelů.
Uživatelé tak byli společností Avast mylně informovaní o předávání anonymních údajů za účelem analýzy trendů.
Navíc bylo prokázané, že předávané údaje nebyly minimálně v části anonymizované, a že účelem zpracování těchto údajů nebylo pouze deklarované vytváření statistických analýz, jak společnost uváděla.
- Obecní kamerový systém
Jistá obec si nechala nainstalovat kamerový systém monitorující veřejná prostranství. Šlo o více než 40 kamer a některé byly vybavené funkcí rozpoznávání registračních značek vozidel a obličeje řidiče.
ÚOOÚ ve věci zahájil řízení o uložení opatření k odstranění nedostatků a nařídil obci ukončit provoz kamerového systému, protože obec jako správce neměla žádný právní důvod pro zpracování osobních údajů podle čl. 6 obecného nařízení o ochraně osobních údajů (dále jen „GDPR“).
ÚOOÚ v té souvislosti upozornil na to, že obec nemůže bez konkrétního zákonného zmocnění zpracovávat osobní údaje prostřednictvím kamerového systému za účelem monitorování veřejného pořádku.
Toto oprávnění podle zákona náleží obecní policii, a ne obci samotné.
Obec, která nemá zřízenou obecní policii, může zpracovávat osobní údaje prostřednictvím kamerového systému za podmínek jako běžný správce osobních údajů, např. za účelem ochrany svého majetku.
Ovšem za podmínky, že takové zpracování bude splňovat kritéria podle GDPR.
- Rozesílání nabídek k odkupu pohledávek
ÚOOÚ provedl kontrolu společnosti zabývající se odkupem pohledávek, která za tímto účelem hromadně oslovovala věřitele s nabídkou o odkupu právě jejich pohledávek.
ÚOOÚ po provedené kontrole uzavřel, že společnost zpracovávala osobní údaje věřitelů v rozsahu: jméno, příjmení, adresa bydliště, datum narození, výše pohledávky a specifikace jejího právního titulu. A to bez právního důvodu a o zpracování dotčené subjekty údajů (věřitele) neinformovala v rozporu s čl. 14 GDPR.
Tím se dopustila přestupku podle zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ“) a ÚOOÚ jí za to uložil pokutu.
ÚOOÚ nesouhlasil s argumentací společnosti o tom, že údaje zpracovávala kvůli oprávněnému zájmu, protože po provedení tzv. balančního testu dospěl k závěru, že v daném případě převažuje ochrana osobních údajů nad zájmem společnosti jako správce.
Zejména při tom poukázal na to, že mezi společností a jednotlivými věřiteli neexistoval žádný předchozí nebo existující vztah, proto věřitelé nemohli vůbec očekávat, že společnost jejich údaje zpracovává.
ÚOOÚ shrnul, že byť zpracování osobních údajů za účelem marketingu je možné opřít o právní důvod spočívající v oprávněném zájmu správce, může tak učinit pouze v případě, kdy tento oprávněný zájem převažuje nad právy a zájmy subjektů údajů.
- Obchodní sdělení zasílaná poštou
Značnou část agendy ÚOOÚ tvoří vyřizování stížností na nevyžádaná obchodní sdělení, jak uvádí ve své výroční zprávě za rok 2023.
Jak jsme uváděli, v těchto případech může docházet ke zpracování osobních údajů z důvodu oprávněného zájmu správce, ale pouze za předpokladu, že tento zájem převažuje nad zájmem subjektu údajů na ochranu jeho osobních údajů.
Oprávněný zájem se podle ÚOOÚ v případě obchodních sdělení odvíjí primárně od toho, zda subjekt údajů může s ohledem na předmět činnosti správce marketingovou nabídku důvodně očekávat.
- ÚOOÚ poukazuje na to, že společnosti, které zasílají obchodní sdělení, často nereagují náležitě na žádosti subjektů údajů o přístup k osobním údajů, vznesení námitky či žádost o výmaz osobních údajů;
- ÚOOÚ v podobných případech zpravidla upozorní správce na jeho pochybení a k uplatnění dalších dozorových pravomocí přistoupí až když správce své postupy neupraví.
V této souvislosti ÚOOÚ dále poukazuje na velice časté nabídky na odkup nebo prodej nemovitých věcí, které různé společnosti adresují jejich vlastníkům na základě toho, že zjistí jejich údaje z katastru nemovitostí.
ÚOOÚ dodává, že v těchto případech není oprávněný vykládat zákon č. 256/2013 Sb., o katastru nemovitostí, který umožňuje údaje o vlastnících nemovitostí zjistit i pomocí dálkového přístupu.
Odkazuje k tomu na rozhodovací praxi katastrálních úřadů, která se ustálila na závěru, že cílené oslovování konkrétních vlastníků nemovitých věcí s určitou nabídkou je v rozsahu využití údajů pro hospodářské účely, a není v rozporu s katastrálním zákonem.
ÚOOÚ v souvislosti s tímto druhem nabídek může posuzovat nanejvýš to, jestli správci plní řádně informační povinnosti a reagují na žádosti subjektů údajů.
- Zpracování osobních údajů SVJ či bytovým družstvem
ÚOOÚ ve své výroční zprávě za rok 2023 poukazuje na to, že často řeší stížnosti na zpracování osobních údajů společenstvími vlastníků jednotek či bytovými družstvy.
ÚOOÚ nejčastěji vyřizuje problematiku, kdy:
- subjekty členy SVJ/BD neinformují o zpracování údajů v souladu s GDPR;
- nevyřizují příslušným způsobem jejich žádosti o výkon práv podle GDPR
- často zveřejňují jejich údaje na domovní nástěnce či v elektronických systémech přístupných ostatním členům SVJ/BD bez právního důvodu.
ÚOOÚ uvádí, že v těchto případech považuje za prospěšnější správce upozornit na jeho pochybení a vysvětlení jeho povinností podle GDPR. Toto zpravidla postačuje k zjednání nápravy a nápravě pochybení.
Z konzultační činnosti ÚOOÚ
- Dotazníky spokojenosti s doručením zásilky
ÚOOÚ byl požádán o konzultaci k častému jevu, kdy si zákazník zpravidla objedná na internetu zboží spolu s jeho doručením.
Smlouvu tedy uzavře s provozovatelem e-shopu. Následně mu však doručovací služba zašle e-mail s žádostí o vyplnění dotazníku spokojenosti s doručováním.
ÚOOÚ uvádí, že zákazník v tomto případě vstupuje do právního vztahu (uzavírá smlouvu) pouze s provozovatelem e-shopu (prodejcem), a ne s dodavatelem zboží, který je doručuje na základě smlouvy s prodejcem.
V tomto případě proto provozovatelé doručovací služby nezpracovávají osobní údaje zákazníka ani z titulu plnění smlouvy, ani z titulu oprávněného zájmu.
Dotazníky spokojenosti by tak mohli zasílat pouze s předchozím souhlasem adresátů.
- Smluvní pokuta ve zpracovatelské smlouvě
V případě, kdy správce předává osobní údaje zpracovateli, např. externímu dodavateli některých služeb poskytovaných správcem jeho zákazníkům, vyžaduje čl. 28 GDPR, aby spolu správce a zpracovatel měli uzavřenou smlouvu o zpracování osobních údajů.
ÚOOÚ požádali o konzultaci, zda pro případ porušení povinností podle takové smlouvy je možné v ní sjednat smluvní pokutu. ÚOOÚ dospěl k závěru, že ano.
Poukázal při tom na to, že z čl. 28 GDPR plyne pouze demonstrativní výčet povinností, které je zpracovatel povinný dodržovat, a není nikde zakázáno zajistit jejich plnění sjednáním smluvní pokuty.
Odkázal také na to, že smlouva o zpracování osobních údajů se podpůrně řídí zákonem č. 89/2012 Sb., a občanským zákoníkem, který upravuje právě i sjednávání smluvní pokuty.
- Výklad zákona o ochraně oznamovatelů v kontextu GDPR
ÚOOÚ poukazuje na to, že nově přijatá úprava tzv. whistleblowingu obsažená v zákoně č. 171/2023 Sb., o ochraně oznamovatelů, vyžaduje, aby se povinný subjekt při vyřizování oznámení mohl seznámit s jeho zněním.
Při tom mu však není možné poskytnout informace, které by mohly zmařit nebo ohrozit účel podávání oznámení. Pouze, kdyby k tomu oznamovatel dal souhlas nebo šlo poskytnutí údajů orgánům veřejné moci.
Pokud v těchto případech dojde k odepření sdělení těchto údajů, posuzuje to ÚOOÚ jako omezení práva subjektu údajů a vyžaduje, aby mu tento krok byl oznámen v souladu s § 11 odst. 2 ZZOÚ.
- Zpracování biometrických údajů za účelem provozování docházkového systému
ÚOOÚ se zabýval problematikou docházkového systému fungujícího na základě přiložení a skenu otisku prstu vstupujícího zaměstnance.
Podotkl, že v daném případě jde o zpracování biometrických údajů, tedy zvláštní kategorie osobních údajů, kterou je podle GDPR zakázáno zpracovávat. Tedy pokud na případ nedopadá některá z výjimek podle čl. 9 odst. 2 GDPR.
Zaměstnavatel argumentoval tím, že mu zaměstnanci s provozováním docházkového systému a skenu otisku prstu dali předem souhlas.
ÚOOÚ však uvedl, že v daném případě lze mít pochybnosti o tom, jestli byl souhlas za daných okolností udělen svobodně s ohledem na to, že zaměstnanci jsou ve vztahu ke svému zaměstnavateli slabší stranou.
Z těchto a dalších důvodů ÚOOÚ uzavřel, že český právní řád v současnosti neumožňuje provozovat docházkový systém založený na používání biometrických údajů.
Z judikatury
- Odpovědnost za šíření obchodních sdělení nese rozesílatel i objednatel
V rozsudku ze dne 16. 3. 2023, č. j. 6 As 18/2022-43, Nejvyšší správní soud (NSS) vyložil, že odpovědnost za šíření obchodních sdělení nese kromě samotného rozesílatele i ten, kdo takovou rozesílku u něho ve svůj prospěch inicioval.
Tedy objednal nebo využil affiliate partnerů či nástrojů lead marketingu.
NSS upozornil na to, že odpovědnost je v tomto případě objektivní, tedy vzniká nehledě na zavinění.
Potvrdil tak rozhodnutí ÚOOÚ o uložení pokuty ve výši 1 400 000 Kč za přestupky podle zákona č. 480/2004 Sb., o některých službách informační společnosti. U té se stěžovatelka dopustila toho, že z různých e-mailových adres svých affiliate partnerů šířila obchodní sdělení.
V nich neuváděla totožnost odesílatele ani jméno, na základě kterého se komunikace uskutečňuje. Nezanechala ani platnou adresu, na kterou by adresát mohl přímo zaslat informaci, že si další zasílání obchodních sdělení nepřeje.
NSS k tomu dodal, že je důležité, aby si šiřitelé obchodních sdělení, ať už jde o zadavatele (objednatele) či faktické rozesílatele, dostatečně ověřili, zda adresáti obchodních sdělení udělili pro takové rozesílání souhlas. Resp. že rozesílka v obecné rovině probíhá zákonným způsobem.
- Oprávněnost evidence a uchovávání lokalizačních údajů ze strany operátorů služby elektronických komunikací (tzv. data retention)
Nejvyšší soud (NS) v rozsudku ze dne 27. 3. 2024, sp. zn. 30 Cdo 3909/2023, rozhodl, že Česká republika umožňuje v důsledku špatně provedené transpozice evropské směrnice v rozporu s unijním právem shromažďování metadat o komunikaci uživatelů internetu a mobilních telefonů a jejich uchovávání po dobu 6 měsíců.
NS podotkl, že v takovém případě prokázaného porušení evropského práva, není vyloučený vznik nároku na náhradu nemajetkové újmy.
NS dále uvedl, že v případě zásahu do základního práva na respektování soukromí a na ochranu osobních údajů je už samotná obava z jejich zneužití způsobilá představovat nemajetkovou újmu.
Pro závěr ohledně jejího vzniku tak zpravidla bude stačit, že se pocit zásahu do morální integrity dotčené osoby, vzhledem ke konkrétním okolnostem případu a k postavení této osoby, nejeví nepravděpodobným.
Dokazování by se mělo soustředit na postavení poškozeného a objektivních faktorů, které zapříčiňují, že má důvod cítit se ukládáním provozních a lokalizačních údajů (a teoretickou možností jejich zneužití) dotčený.