Provozovatel webu jako spravce osobních údajů
Provozovatel webu obsahujícího odkaz na externí obsah jako správce osobních údajů
- některé závěry rozsudku Soudního dvora EU (druhého senátu) ze dne 29. července 2019 ve věci C-40/17 (Fashion ID)
Soudní dvůr EU (SDEU) se ve svém rozsudku ze dne 29. července 2019 ve věci C‑40/17 (Fashion ID) (dále jen „Rozsudek“) věnoval několika otázkám ochrany osobních údajů spojených s tlačítky „to se mi líbí“ neboli „like“ společnosti Facebook umístěných na stránkách třetích stran. Jedním ze závěrů je, že provozovatel stránky, na které je začleněn sociální modul „to se mi líbí“ sociální sítě Facebook (dále jen tlačítko „Facebook like“) je správcem osobních údajů s odpovědností za sběr a přenos údajů. Konkrétně jde o vztah společného správcovství se společným správcem Facebook ve smyslu čl. 26 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/EC (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení GDPR“).
V úvodu je vhodné uvést, že předmětné rozhodnutí se věnuje odpovědím na otázky ochrany osobních údajů ve smyslu směrnice Evropského parlamentu a Rady 95/46/EC ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46“), která je použitelná na řešenou věc vzhledem k době rozhodné z hlediska skutkového stavu. Směrnice 95/46 byla sice ode dne 25. května 2018 zrušena a nahrazena nařízením GDPR, nicméně závěry uvedené v tomto článku jsou aplikovatelné také za účinnosti nařízení GDPR, protože nařízení GDPR obsahuje v řešených otázkách obdobnou úpravu, případně úpravu podrobnější, která musela být dříve dovozována právě výkladem s pomocí rozhodovací praxe soudů.
Věcně šlo v řešeném případě o situaci, kdy provozovatel webu (Fashion ID) začlenil na svůj web „Facebook like“ tlačítko. V souvislosti s tímto obsahem třetí strany následně předával osobní údaje všech návštěvníků webu společnosti Facebook Ireland, a to bez ohledu na to, zda si byl uvedený návštěvník vědom této skutečnosti a nezávisle na tom, zda je členem sociální sítě Facebook, či zda klikl na uvedené tlačítko „Facebook like“. Předávání osobních údajů mezi Fashion ID a Facebook Ireland tak probíhalo jednak bez vědomí uživatelů (bez jejich informování) a bez případného souhlasu k takovému předávání osobních údajů.
Obecně je tlačítko „Facebook like“ odkazem na externí obsah. Ve chvíli, kdy prohlížeč návštěvníka otevře takový odkaz, vyžádá si prohlížeč externí obsah, který umístí na určené místo v rámci zobrazení webové stránky. Web za tímto účelem předává vlastníkovi externího obsahu IP adresu počítače návštěvníka a technické informace o prohlížeči, aby server mohl určit, v jakém formátu má externí obsah odeslat.
Z pohledu nařízení GDPR jsou stěžejní odpovědi na otázky 2., 4., 5. a 6. předmětného Rozsudku.
SDEU se v bodech 64 – 85 Rozsudku zabýval odpovědí na otázku 2., zda výše popsaný provozovatel webu, který začlení na svůj web část kódu, v jehož důsledku webový prohlížeč může žádat obsahy třetích osob a za tímto účelem předával třetí osobě osobní údaje, je správcem osobních údajů ve smyslu čl. 2 písm. d) směrnice 95/46, resp. čl. 4 bod 7) nařízení GDPR. SDEU přitom uvedl, že pro operace zpracování osobních údajů, při kterých Fashion ID dokáže společně se společností Facebook Ireland určovat účely a prostředky jsou v souladu s definicí pojmu „zpracování osobních údajů“ uvedenou v čl. 2 písm. b) směrnice 95/46, resp. čl. 4 bod 2) nařízení GDPR sběr a přenos osobních údajů návštěvníků jejích internetových stránek. Naopak s ohledem na uvedené informace, se na první pohled jeví vyloučeno, že Fashion ID určuje účely a prostředky následných operací zpracování osobních údajů, které provádí Facebook Ireland poté, co jsou jí předány, takže Fashion ID nemůže být považována za správce ve vztahu k těmto operacím ve smyslu tohoto čl. 2 písm. d) směrnice 95/46, resp. čl. 4 bod 7) nařízení GDPR.
Obecně lze tedy dovodit, že provozovatele webových stránek, který začlení do uvedených stránek odkaz umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od třetí osoby (poskytovatele odkazovaného obsahu), a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je možné považovat za správce ve smyslu čl. 2 písm. d) směrnice 95/46, stejně jako ve smyslu čl. 4 bod 7) nařízení GDPR. Jeho odpovědnost je nicméně omezená na operace nebo soubor operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky, a sice sběr a přenos dotčených údajů. Konkrétně jde o vztah společného správcovství se společným správcem poskytujícím externí obsah ve smyslu čl. 26 nařízení GDPR, společní správci jsou povinni mezi sebou transparentním ujednáním vymezit své podíly na odpovědnosti za plnění povinností dle nařízení GDPR. Uvedený závěr potvrzují také odpovědi SDEU na další otázky, zejm. otázky 5. a 6. ohledně souhlasu a plnění informační povinnosti.
V rámci odpovědi na otázku 4. se SDEU v bodech 87 – 97 Rozsudku vyjadřuje k oprávněnému zájmu správce jako právnímu důvodu zpracování osobních údajů ve smyslu čl. 7 písm. f) směrnice 95/46, resp. čl. 6 odst. 1 písm. f) nařízení GDPR. Jak ve smyslu směrnice 95/46, tak ve smyslu nařízení GDPR je tento právní důvod použitelný pro oprávněné zájmy správce nebo třetí osoby. Podmínkou úspěšného použití oprávněného zájmu správce jako právního důvodu zpracování osobních údajů je skutečnost, že takové zpracování je nezbytné k uskutečnění oprávněného zájmu správce nebo třetí osoby a zároveň nemají před těmito zájmy přednost zájmy nebo základní práva a svobody subjektů osobních údajů (návštěvníků webových stránek).
V této části Rozsudku chybí pro praxi důležité posouzení, zda se v řešeném případě dle názoru SDEU jedná o takový oprávněný zájem ve smyslu směrnice 95/46, resp. nařízení GDPR, který je legálním a legitimním důvodem zpracování osobních údajů. Tedy zda oprávněný zájem správce převažuje nad zájmy a základními právy a svobodami návštěvníků webových stránek, a zda je prováděné zpracování nezbytné k dosažení takového oprávněného zájmu správce. Takové posouzení by bylo zcela jistě přínosné pro praxi, avšak je nutné učinit ho na základě znalosti podrobných skutkových okolností. Proto takové posouzení přísluší samotnému vrchnímu zemskému soudu Düsseldorf v Německu, který předložil SDEU žádost o posouzení předběžných otázek.
Z rozsudku tedy vyplývá pouze obecný závěr, že v situaci, kdy provozovatel webových stránek začlení do uvedených stránek odkaz umožňující prohlížeči návštěvníka těchto stránek vyžádat si obsah od třetí osoby (poskytovatele odkazovaného obsahu), a za tímto účelem předává tomuto poskytovateli osobní údaje návštěvníka, je nezbytné k tomu, aby byly tyto operace provozovatele i poskytovatele odůvodněné, aby každý z nich sledoval těmito operacemi zpracování oprávněný zájem ve smyslu čl. 7 písm. f) směrnice 95/46, resp. čl. 6 odst. 1 písm. f) nařízení GDPR.
V odpovědi na otázky 5. a 6. se SDEU vyjadřuje v bodech 98 – 106 Rozsudku k problematice souhlasu jako důvodu zpracování osobních údajů a plnění informační povinnosti v případě společného správcovství provozovatele webových stránek a poskytovatele externího obsahu. Pokud jde o souhlas uvedený v čl. 2 písm. h) a čl. 7 písm. a) směrnice 95/46, resp. čl. 6 odst. 1 písm. a) a čl. 7 nařízení GDPR, je zřejmé, že tento musí být poskytnut před sběrem a přenosem údajů subjektu údajů. Za těchto podmínek přísluší provozovateli internetových stránek, a nikoliv poskytovateli externího obsahu, aby získal tento souhlas, jelikož k procesu zpracování osobních údajů dochází v důsledku prohlédnutí těchto webových stránek návštěvníkem.
Co se týče informační povinnosti ve smyslu čl. 10 směrnice 95/46, resp. čl. 12, 13 a 14 nařízení GDPR, ze znění těchto ustanovení vyplývá, že správce nebo jeho zástupce musí poskytnout osobě, od které získává údaje, alespoň informace uvedené v tomto ustanovení. Informace přitom podle všeho musí být správcem poskytnuta okamžitě, a sice v okamžiku sběru údajů. Z toho vyplývá, že v takové situaci, jako je situace dotčená v původním řízení, informační povinnost stanovená v článku 10 směrnice 95/46, resp. v čl. 13 nařízení GDPR, leží rovněž na provozovateli webových stránek, přičemž informace, kterou musí poskytnout subjektu údajů, se nicméně musí týkat jen operace nebo souboru operací zpracování osobních údajů, u nichž tento provozovatel skutečně určuje účely a prostředky.
Článek 2 písm. h) a čl. 7 písm. a) směrnice 95/46, , resp. čl. 6 odst. 1 písm. a) a čl. 7 nařízení GDPR, musí být vykládány v tom smyslu, že v takové situaci, kdy provozovatel webových stránek začlení do uvedených stránek odkaz umožňující prohlížeči návštěvníka těchto stránek vyžádat si externí obsah od poskytovatele takového obsahu, a za tímto účelem předává tomuto poskytovateli osobní údaje uvedeného návštěvníka, musí tento provozovatel získat souhlas ve smyslu těchto ustanovení, pouze pokud jde o operace nebo soubor operací zpracování osobních údajů, u nichž uvedený provozovatel skutečně určuje účely a prostředky. A dále článek 10 této směrnice, resp. čl. 13 nařízení GDRP, musí být vykládán v tom smyslu, že v takové situaci informační povinnost stanovená tímto ustanovením leží rovněž na uvedeném provozovateli, přičemž informace, kterou musí tento provozovatel poskytnout subjektu údajů, se nicméně musí týkat jen operace nebo souboru operací zpracování osobních údajů, u nichž skutečně určuje účely a prostředky.
Mgr. Eva Slováková, advokátní koncipient
MT Legal s.r.o., advokátní kancelář