Nová judikatura Evropského soudu o odpovědnosti zpracování osobních údajů

23. ledna 2024

Aktuální judikatura Soudního dvora EU k odpovědnosti za zpracování osobních údajů

Soudní dvůr Evropské unie (SDEU) vydal v prosinci loňského roku několik zajímavých rozhodnutí, které se týkaly odpovědnosti za porušení ochrany osobních údajů a ukládání sankcí. Soud rozhodoval o povaze odpovědnosti za porušení GDPR, odpovědnosti za činnosti zpracovatele a za data breach, o pojmu nehmotná újma a o povaze sankcí.

Odpovědnost správce za zpracování osobních údajů zpracovatelem

(Rozsudek SDEU ze dne 5. prosince 2023, C‑683/21)

Národní středisko veřejného zdraví spadající pod litevské ministerstvo zdravotnictví napadlo pokutu ve výši 12 000 EUR, která mu byla uložena v souvislosti s vytvořením mobilní aplikace pro registraci a sledování osob, které přišly do kontaktu s Covidem-19. Aplikaci pro středisko vyvinula soukromá společnost.

SDEU svým rozsudkem potvrdil, že správce je odpovědný nejen za každé zpracování osobních údajů, které provádí on sám, ale i za zpracování, které je prováděno pro něj zpracovatelem. Správci může být uložena pokuta podle čl. 83 GDPR i v případě, že zpracovatel zpracovává osobní údaje v rozporu s GDPR.

Odpovědnost správce za zpracování zpracovatelem se podle soudu nemůže vztahovat na situaci, kdy zpracovatel osobní údaje zpracoval pro vlastní účely nebo kdy tyto údaje zpracoval způsobem neslučitelným s rámcem nebo postupy stanovenými správcem. Dále není správce za zpracování zpracovatelem odpovědný, pokud nelze mít důvodně za to, že by s takovým zpracováním osobních údajů správce souhlasil. V takových případech by byl zpracovatel považován za samostatného správce a za porušení GDPR by byl z této pozice odpovědný.

Odpovědnost právnické osoby za zaviněné porušení GDPR a výpočet pokuty

(Rozsudek SDEU ze dne 5. prosince 2023, C‑807/21)

Realitní společnost Deutsche Wohnen zpracovávala spolu se svými dceřiným společnostmi, které jsou společnostmi servisními, osobní údaje nájemců bytů a komerčních prostor. Dozorový úřad při kontrole zjistil, že není možné ověřit nezbytnost takého zpracování.

Předkládací soud se v předběžné otázce ptal, zda je možné uložit správní pokutu právnické osobě, aniž bylo porušení GDPR předtím přičteno určité fyzické osobě. SDEU uvedl ve svém rozsudku, že z žádného ustanovení GDPR nelze dovodit, že by podmínkou uložení správní pokuty právnické osobě jakožto správci bylo dřívější konstatování, že se tohoto porušení dopustila určitá fyzická osoba. Požadavek k identifikaci fyzické osoby by byl v rozporu s GDPR, neboť by oslabil účinnost a odrazující účinek pokut. Pokud lze právnické osoby považovat za správce, musí být možné jim v případě porušení GDPR přímo uložit správní pokuty podle čl. 83 GDPR, které stanoví obecné podmínky pro ukládání pokut.

SDEU dále s odkazem na čl. 101 a 102 SFEU uvedl, že pojem podnik označuje jakoukoliv entitu, která vykonává hospodářskou činnost, nezávisle na právním postavení této entity a způsobu jejího financování. Pojem podnik označuje hospodářskou jednotku, i když je z právního hlediska tato hospodářská jednotka složena z několika fyzických nebo právnických osob. Tato hospodářská jednotka je tvořena jednotnou organizací osobních, hmotných a nehmotných prvků, která dlouhodobě sleduje určitý hospodářský cíl. Pro výpočet pokut podle čl. 83 GDPR je pojem podnik relevantní, neboť ho toto ustanovení uvádí v odstavci 4 a 6 jako entitu, z jejíhož obratu se pokuta vypočítává.

V tomto judikátu SDEU řešil i otázku existence zavinění. Podle tohoto soudu, dozorový úřad může správci uložit pokutu za porušení GDPR pouze, pokud k tomuto poručení došlo zaviněným jednáním správce úmyslně nebo z nedbalosti. Jedná se tedy o odpovědnost subjektivní, tedy odpovědnosti za zaviněné jednání. Opakem subjektivní odpovědnosti je odpovědnost objektivní neboli odpovědnost bez zavinění. Soud vyšel z čl. 83 odst. 2 GDPR, který uvádí okolnosti, které má dozorový úřad zohlednit při ukládání správních pokut správci. Je jí mimo jiné i skutečnost, zda k porušení došlo úmyslně nebo z nedbalosti. Naproti tomu žádná z okolností uvedených v daném ustanovení neodkazuje na možnost založit odpovědnost správce při neexistenci zavinění z jeho strany. Zaviněné porušení GDPR tak představuje podmínku pro uložení pokuty správci.

Odpovědnost za data breach

(Rozsudek SDEU ze dne 14. prosince 2023, C‑340/21)

Nacionalna agencia za prichodite (NAP) je orgánem, který je podřízen bulharskému ministrovi financí. V rámci svých úkolů spočívajících mimo jiné v identifikaci, zajištění a vymáhání veřejných pohledávek je správcem osobních údajů. V důsledku kybernetického útoku došlo k neoprávněnému přístupu do informačního systému NAP a následně byly na internetu zveřejněny osobní údaje obsažené v tomto systému. Porušení zabezpečení se dotklo více než 6 milionu lidí.

Otázku, kterou SDEU řešil, bylo, zda data breach znamená, že správce nepřijal vhodná technická a organizační opatření. Soud v rozsudku uvádí, že samotná skutečnost, že došlo k neoprávněnému poskytnutí nebo zpřístupnění osobních údajů nepostačuje k tomu, aby bylo možné mít za to, že technická a organizační opatření zavedená správcem nejsou „vhodná“ ve smyslu čl. 24 a 32 GDPR.

Správce má povinnost zavést vhodná a účinná opatření a musí být schopen doložit, že činnosti zpracování jsou v souladu s GDPR, včetně účinnosti opatření, která by měla zohledňovat kritéria související s charakteristikami dotyčného zpracování a s jím představovaným rizikem. Riziko musí být hodnoceno na základě objektivního posouzení. Vhodnost technických a organizačních opatření zavedených správcem musí být vnitrostátními soudy posuzována konkrétně se zohledněním rizik spojených s konkrétním zpracováním. Při zvážení vhodnosti opatření je třeba posoudit, zda povaha, obsah a provádění těchto opatření odpovídají rizikům. Důkazní břemeno vhodnosti opatření nese správce. Správce je zproštěn odpovědnosti, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

Správce je podle čl. 82 odst. 3 GDPR zproštěn odpovědnosti za majetkovou a nemajetkovou újmu, pokud prokáže, že nenese za data breach žádným způsobem odpovědnost. V případě porušení zabezpečení osobních údajů třetí stranou se tak správce může zprostit odpovědnosti na základě čl. 82 odst. 3 GDPR tím, že prokáže, že neexistuje příčinná souvislost mezi případným porušením povinnosti ochrany údajů a újmou způsobenou fyzické osobě. Jinými slovy, správce nemůže být zproštěn své povinnosti nahradit újmu pouze na základě skutečnosti, že tato újma byla způsobena neoprávněným poskytnutím nebo zpřístupněním osobních údajů. Správce musí prokázat, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.

Obava z možného zneužití osobních údajů, kterou má subjekt údajů v důsledku porušení GDPR, může sama o sobě představovat nehmotnou újmu ve smyslu čl. 82 odst. 1 GDPR. Její opodstatněnost musí prokázat vnitrostátní soud.

Sankční funkce náhrady škody

(Rozsudek SDEU ze dne 21. prosince 2023, C‑667/21)

Pojišťovna požádala MDK Nordrhein, poskytovatele zdravotních služeb, aby pro ni vypracoval posudek o pracovní neschopnosti zaměstnance IT stejného poskytovatele. Lékař působící v MDK Nordrhein vypracoval posudek, přičemž vycházel zejména z informací od ošetřujícího lékaře zaměstnance. Tento zaměstnanec kontaktoval jednu ze svých kolegyň z IT oddělení a požádal ji, aby pořídila a zaslala mu fotografie znaleckého posudku uloženého v digitálním archivu. Zaměstnanec požadoval po svém zaměstnavateli finanční náhradu, neboť tento nezákonně zpracovával údaje o jeho zdravotním stavu.

Soud ve svém rozsudku připomněl, že čl. 82 GDPR nemá sankční ani odrazující, ale kompenzační funkci. Naopak čl. 83 a 84 GDPR mají v zásadě sankční účel, neboť umožňují uložit správní pokuty i jiné sankce. Právo na náhradu újmy podle čl. 82 odst. 1 GDPR plní kompenzační funkci, což znamená, že peněžitá náhrada přiznaná na základě tohoto ustanovení musí umožnit plnou náhradu újmy, která vznikla v důsledku porušení GDPR. Zároveň toto ustanovení nevyžaduje, aby byl při stanovení výše náhrady újmy přiznané jako náhrada nehmotné újmy zohledněn stupeň závažnosti zavinění.

Náhrada nemajetkové újmy

(Rozsudek SDEU ze dne 14. prosince 2023 C‑456/22)

Obec Ummendorf zveřejnila na internetu bez souhlasu žalobců program jednání schůze obecního zastupitelstva, v němž byla několikrát uvedena jména žalobců. Obec dále uveřejnila rozsudek, který obsahoval jména a bydliště žalobců. Tyto dokumenty byly přístupné na úvodní webové stránce obce jen několik málo dnů. Žalobci i tak požadovali po obci náhradu nemajetkové újmy.

Soud zopakoval, že kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má podle čl. 82 GDPR právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. GDPR neuvádí žádnou minimální hodnotu (prahovou hodnotu de minimis), kterou musí újma představovat. To, že je újma minimální nebrání podle SDEU nároku na náhradu nehmotné újmy. Ten, kdo tvrdí, že takovou újmu utrpěl, musí ji být schopen i prokázat.

Právo v digitálním světě

Název cookie	Typ a funkce	Zdroj	Doba uložení
SERVERID	Nezbytně nutná cookie - Zajišťuje, aby uživatel během konkrétního návštěvy/sezení používal tentýž server. Cookie nastavuje poskytovatel infrastruktury a jedná se funkční nezbytně nutný prvek.	PRK Partners	Session
CMS-{ID}-FE	Nezbytně nutná cookie - ukládá unikátní identifikátor pro danou session na webu	PRK Partners	Session
CMS-{ID}-FE-language	Nezbytně nutná cookie - ukládá unikátní identifikátor pro zvolený jazyk webu	PRK Partners	1 den
CMS-{ID}-FE-cookies_allow_ac	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem analytických údajů o jeho pohybu na webu.	PRK Partners	5 let
CMS-{ID}-FE-cookies_allow_mc	Nezbytně nutná cookie - ukládá nastavení souhlasu návštěvníka se sběrem údajů pro marketingové účely.	PRK Partners	5 let
CMS-{ID}-FE-cookies_notification	Nezbytně nutná cookie - ukládá informaci, zda byla již v minulosti potvrzena cookie lišta	PRK Partners	5 let

Název cookie	Typ a funkce	Zdroj	Doba uložení
_ga	Analytická cookie - Cookie slouží k rozlišení jedinečných uživatelů přiřazením náhodně vygenerovaného čísla jako identifikátoru. Je zahrnuta do každé žádosti o stránku na webu a používá se k výpočtu údajů o návštěvnících, relacích a kampaních pro analytické přehledy stránek.	Google	2 roky
_gat	Analytická cookie - Soubor cookie _gat se používá k omezení požadavků na analytiku k omezení požadavků odesílaných z vašeho prohlížeče do služeb Google. Soubory cookie mají několik omezení, která mohou způsobit nadměrné vykazování počtu uživatelů	Google	1 den
_gid	Analytická cookie - Registruje jedinečný identifikátor, který se používá ke generování statistických údajů o tom, jak návštěvník web používá	Google	1 den
_hjIncludedInSample	Analytická cookie - Slouží k webové analýze nástrojem HotJar, identifikuje návštěvníka během relace	HotJar	Session
_hjid	Analytická cookie - Ukládá unikátní identifikátor návštěvníka webu.	HotJar	1 rok
_dc_gtm_UA-*	Analytická cookie - Uplatňuje se, pokud jsou Google Analytics vložené přes Google Tag Manager. Má stejnou funkci jako _gat.	Google	Session

Název cookie	Typ a funkce	Zdroj	Doba uložení
_fbp	Marketingová cookie - Slouží k trackování návštěv napříč webovými stránkami	Facebook	3 měsíce
_gcl_au	Marketingová cookie - Zjišťování reklamní efektivity v rámci webů, které uživatel navštěvuje	Google Adsense	3 měsíce
NID	Marketingová cookie - Ukládá jedinečný identifikátor, který identifikuje vracejícího se uživatele a je využito pro cílení reklamy	Google	6 měsíců