Avšak zákonodárci některých členských států, nevyjímaje slovenského, neměli zájem tento, na jedné straně „flexibilní“, na straně druhé z hlediska implementace „náročnější“ právní základ, transponovat do národní legislativy. A to dokonce i přesto, že Soudní dvůr EU v roce 2011 přiznal ustanovení Směrnice o oprávněném zájmu přímý účinek (případy ASNEF a FECEMD), transpozice by si tedy vyžadovala minimální míru legislativní rozpravy.
Základním předpokladem pro použití oprávněného zájmu jako právního základu pro účely zákonného zpracování osobních údajů je skutečnost, že správce (resp. třetí strana) sleduje svůj oprávněný (legitimní) zájem na takovém zpracovaní, pokud nad tímto zájmem nepřevažují zájmy anebo základní práva a svobody subjektu údajů. Praxe navazující ještě na Směrnici, doporučení WP29 a dozorových orgánů členských států EU, ustálily, že oprávněný zájem se prokazuje především záznamem o již provedeném testu proporcionality (balančním testem). Znění GDPR upravující předmětný právní základ nepřineslo žádnou zásadní změnu oproti znění předtím účinné Směrnice, zejména s ohledem na formu, v jaké má být test proporcionality proveden. Co je však z doslovného znění zřejmé, Směrnice a v současnosti ani GDPR, neukládají správci povinnost vyhotovit test proporcionality (případně jeho záznam) v písemné formě. Samozřejmě, s ohledem na základní zásadu odpovědnosti (čl. 5 odst. 2 GDPR) ve spojení s prapodstatou teorie důkazního břemene, pokud nemáte všechno „na papíře“, standardně vás nemine právní domněnka, že test proporcionality nebyl proveden.
Zde si připomeňme ještě stále aktuální téma „zaručených vzorů“ dokumentů a formulářů, které vám zajistí ochranu osobních údajů v rámci vaší společnosti. Téma rezonovalo zejména před účinností GDPR, kdy se správci a zpracovatelé spokojili se zakoupeným „vzorkovníkem“ formulářů a bezpečnostních projektů, které ihned po doplnění hlavičky zapadly prachem ve skříni a pokud těmto společnostem nezaklepal na dveře tým kontrolorů, zákonné požadavky bezpečnosti ochrany osobních údajů měly za splněné. Tyto papíry však buď nesplňovaly základní zákonné požadavky anebo nereflektovaly tok údajů ve společnosti, ve většině případů to byly obě tyto varianty.
Dokumentace v listinné podobě je nadále samozřejmostí, ale pokud není zohledněna v každodenním živote správce anebo zpracovatele, účinnost zabezpečení ochrany zůstává výlučně v rovině formální, nikoli však reálné. Na reálné ochraně osobních údajů je založeno celé jádro GDPR a příslušná praxe dozorových orgánů. Do detailu cizelovaný záznam z testu proporcionality je určitě chvályhodný, legislativu však přece jen primárně zajímá výsledek.
Test proporcionality jako takový není novátorstvím ochrany osobních údajů, ale i doménou ústavního práva, například pokud jde o kolizi dvou rovnocenných (relativních) základních práv. I v rámci zpracování na základě oprávněného zájmu dochází ke kolizi dvou protichůdných zájmů, v konečném důsledku však není rozhodný papír, ale to, co z papíru vzejde, tj. ochrana základních práv a svobod jednotlivce. Stejně to, v rámci GDPR, na reálné ochraně soukromí fyzických osob jako základního práva, začíná a také končí. Nejde však vždy o kolizi základních práv, proto pro určité rozlišení někteří v praxi tento test nazývají „balančním.“
V diskutovaném tématu je možné vyzdvihnout nedávné rozhodnutí předsedkyně Úřadu na ochranu osobních údajů Slovenské republiky („Úřad“) o rozkladu, kterým potvrdila tezi priority reálné ochrany, před ochranou formální. Písemný důkaz o provedení testu proporcionality ve vztahu k (standardnímu) kamerovému systému sice byl v rámci kontroly doložený až ex post, správce však přijal právě zejména to B, které vyplývá z jádra GDPR. Podle předmětného rozhodnutí:
„De facto zásada odpovědnosti v sobě a priori zahrnuje převzetí odpovědnosti za to, co správce uskutečňuje s osobními údaji. Tyto úkony prokazuje postupnými kroky, které vykonal na ochranu práv subjektů údajů. Zásada odpovědnosti tedy poskytuje příležitost správcům ukázat a dokázat, v jaké míře si soukromí subjektů údajů cení (Recitál 39, 74 Nařízení). Jelikož z Nařízení/zákona žádným způsobem nevyplývá povinnost kontrolované osoby prokazovat soulad s Nařízením jen v písemné podobě, a tedy ani povinnost mít v písemné formě vypracován test proporcionality ve smyslu čl. 6 odst. 1 písm. f) Nařízení, dozorový orgán je povinný postupovat ve smyslu základních zásad správního řízení, zejména podle § 32 odst. 2 správního řádu, za dodržení čl. 2 odst. 3 ústavního zákona č. 460/1992 Zb. Ústava Slovenské republiky (Každý může konat, co není zákonem zakázané, a nikdo nemůže být nucen konat to, co zákon neukládá).“
Z pohledu procesu dokazování a náležitého zjišťování skutkového stavu ve správním řízení mnozí jistě v praxi ocení i následující pasáž odůvodnění rozhodnutí:
„Navíc je předsedkyně toho názoru, že dozorový orgán nemá při prokazování souladu s Nařízením postupovat příliš formalisticky ve vztahu ke správcům a žádat od nich vždy a jen doložení písemné formy testu proporcionality, ale je povinen umožnit správci i jiným způsobem tento soulad prokazovat. Například v zahájeném řízení podle správního řádu může správce jako účastník řízení přenést obsah provedeného testu proporcionality do zápisu podle § 22 správního řádu anebo během výkonu/v průběhu kontroly takto může učinit nadiktováním do úředního záznamu, který bude tvořit přílohu věci. Je následně povinností dozorového orgánu zhodnotit obsah provedeného úkonu, zda splňuje všechny atributy testu proporcionality.“
Proti předmětnému rozhodnutí nebyla podaná správní žaloba, takže zatím správní úvaha Úřadu nebyla konfrontovaná s právním názorem soudu. Citované úvaze Úřadu (předsedkyně) není co vytknout, protože skutečně vychází z ratio legis základních zásad GDPR s vazbami na ústavněprávní principy. Odpovědnost správce je alfou a omegou regulace ochrany dat, přičemž nelze upřít práva ani samotnému správci, které by při neúměrném formalistickém přístupu byly porušené v rovině jiných zásad. Pokud se podle judikatury ústavního soudu mají dokonce obecné soudy odchýlit i od doslovného znění zákona (pokud by to odporovalo účelu zákona anebo principům), určitě nelze požadovat od soukromého subjektu, aby si svoji povinnost splnil v písemné formě, pokud to normativní znění GDPR nevyžaduje a nevyžadovalo to ani znění předtím účinné Směrnice.
Zároveň si upřímně přiznejme, jak se v praxi dělají testy proporcionality. U většiny účelů zpracovaní je ještě předtím, než se vůbec začne test připravovat, předem zřejmé, jaký bude výsledek. Nikdo přeci nesepíše test proporcionality tak, aby ve finále zhodnotil, že oprávněný zájem na daném zpracování nakonec není dán. Ještě i původní stanovisko WP29 č. 6/2014 uvádí nejběžnější situace, při kterých zájem správce převáží nad zájmy a právy subjektů údajů. Testy proporcionality začínají mít skutečný význam tehdy, pokud má jít o velmi specifické anebo nestandardní zpracovatelské operace a každý odpovědný poradce v oblasti ochrany osobních údajů si sepíše všechna rizika a okolnosti zpracování, aby si v určité formě checklistu prošel jednotlivá východiska zpracování a vliv na ochranu subjektů údajů. Smyslem GDPR (a v návaznosti i na výše citované rozhodnutí, očividně ani zájmem Úřadu) není „trápit“ správce ve vztahu k standardním informačním systémům založených na základě oprávněného zájmu, jako jsou běžný (řádně označený) kamerový systém v obchodních prostorách, zpracování kontaktních údajů zástupců svých odběratelů/dodavatelů, přímý marketing ve vztahu k aktuálním zákazníkům, uplatňování právních nároků, vnitropodnikové zabezpečení aktiv anebo jiné zpracovatelské operace vyplývající ze zákona (pokud z formálních důvodů nemůže být zákonné ustanovení aplikované jako relevantní právní základ).
Tak jak uvádí i recitál 47 GDPR, je třeba zohlednit přiměřené (legitimní) očekávání subjektů údajů na základě jejich vztahu ke správci, přičemž zájmy a základní práva subjektu údajů by mohly převážit nad zájmy správce údajů zejména tehdy, jestliže se osobní údaje zpracovávají za okolností, kdy subjekty údajů přiměřeně neočekávají další zpracování. To znamená, že čím specifičtější a nestandardnější účel zpracování, anebo čím citlivější povaha zpracovaných údajů, tím by měl být test proporcionality důslednější a přesvědčivější, především ve vztahu k opatřením reálně zavedených v návaznosti na osobitost tohoto zpracování a na důsledky, které mají anebo by mohly představovat pro subjekty (vliv).
Ze strany Evropského výboru pro ochranu údajů a ani dozorových orgánů zatím není vůle upustit od provádění testů proporcionality při univerzálně standardních informačních systémech, avšak ve smyslu striktního pozitivismu neexistuje prostor právě na to, aby taková výjimka mohla být v blízké budoucnosti v praxi zavedená. V jiné rovině si je třeba uvědomit i skutečnost, že GDPR žádný test proporcionality ani jiný „papír“ nezmiňuje, zmiňuje pouze splnění podmínky převažujícího oprávněného zájmu správce (anebo třetí strany) nad zájmy, právy a svobodami jednotlivce. Proto je určitě na místě zastat i názor, že bez ohledu na zásadu odpovědnosti (čl. 5 odst. 2 GDPR) by měl dozorový orgán především zkoumat, jestli kontrolovaný subjekt skutečně má anebo nemá oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR a „papír“ by měl představovat klíčový prostředek až při důvodných pochybnostech, pokud jde například o nestandardní účel zpracování anebo je zanedbaná ochrana osobních údajů. Následně v takových případech test proporcionality splní svůj účel a bude podroben kontrole, zda takto určený účel, prostředky a průběh zpracování plně odpovídají oprávněnému zájmu, který má převažovat nad zájmy subjektů údajů.
Tento článek samozřejmě nemá sloužit tomu, aby degradoval potřebnou formální dokumentaci, ale poukazuje na to, že právě striktně formalistický přístup při uplatňovaní GDPR konstruuje GDPR na pověstného „strašáka“. Skutečným kamenem úrazu není absence záznamu v šuplících správců, ale nedostatečná reálná ochrana práv subjektů údajů, přičemž jediný, kdo s konečnou platností vyřeší dilema, zda se při ochraně osobních údajů bude uplatňovat přísně formalistický anebo pragmatický přístup, bude pravděpodobně až samotný soud.
Diskuze k článku ()