Ochrana osobních údajů v kontextu poskytování digitálních dat spotřebitelům

Autor analyzuje ochranu osobních údajů při poskytování digitálních dat spotřebitelům, primárně komparací Obecného nařízení o ochraně osobních údajů, směrnice 2019/770 ze dne 20. května 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb, směrnice 2019/771 ze dne 20. 5. 2019 o některých aspektech smluv o prodeji zboží a návrhu novely občanského zákoníku, který implementuje uvedené směrnice do českého právního řádu.

ŠR
interní doktorand na katedře občanského práva hmotného MUNI
Aktualizované instrumenty pro předávání osobních údajů do zemí mimo EU
Foto: Fotolia

Komparací právní úpravy bylo zjištěno, jakým způsobem na sebe jednotlivé předpisy reagují a jaká je jejich terminologická provázanost. Autor se dále věnuje problémům, které při interakci jednotlivých předpisů vznikají. Zde dochází k závěru, že, byť je vztah právních norem ochrany osobních údajů a norem soukromoprávních dobře a konkrétně vytyčen, vzniklo v rámci úpravy několik praktických problémů, které nelze vyřešit prostou interpretací. Konkrétně smlouvy, kde je jednou ze stran nezletilý a instituty následného odmítnutí plnění a práva na výmaz mají v kontextu obou úprav vážné nedostatky. Autor se rovněž zamýšlí nad hypotetickými důsledky striktní a důsledné aplikace nové úpravy na praxi trhu. Autor dospívá k závěru, že mezi ochranou osobních údajů a soukromoprávní úpravou poskytování dat spotřebitelům existuje hodnotová mezera, která má potenciál vytvářet praktické problémy, se kterými bude třeba se nějak vypořádat.

Ochrana osobních údajů a nová právní úprava digitálního trhu

Ochrana osobních údajů není v právu ani ve společnosti novým fenoménem. První moderní právní akt ochrany osobních údajů vznikl, podobně jako mnoho progresivních legislativních aktů, ve Švédském království již v roce 1973.[1] Do podvědomí širokého okruhu spotřebitelů ovšem koncepce ochrany osobních údajů začala skutečně pronikat až s účinností Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, populárně známého jako GDPR. To stanovilo pro členské státy Evropské unie konkrétní univerzální pravidla zpracování osobních údajů, stejně jako povinnost zpracovatelů si od subjektu, jehož údaje jsou zpracovávány, vyžádat jasný a explicitní souhlas, pokud ke zpracování jeho osobních údajů neexistuje jiný zákonem předvídaný důvod. Sekundárním přínosem GDPR byl právě fakt, že se díky němu právo na ochranu osobních údajů zapsalo do povědomí laických adresátů práva, kteří si uvědomili, že mají právo na to, aby jejich osobní údaje nebyly svévolně vyžadovány, zpracovávány a obchodovány jinými osobami. Díky účinnosti GDPR se problematice ochrany osobních údajů v soukromoprávní sféře začala hlouběji věnovat i literatura.

Zpracování osobních údajů se v moderním digitalizovaném světě zcela vyhnout nelze.[2] Každá transakce provedená v digitálním prostředí má tzv. osobnostní deficit, tedy že subjekty uzavírající smlouvu komunikují spolu na dálku, a tedy si nejsou zcela jisty totožností druhé strany, kterou je třeba ověřit.[3] Nejekonomičtějším způsobem, jak se tohoto v praxi dosahuje, je právě poskytnutí osobních údajů spotřebitelem a jejich následné zpracování obchodníkem. Osobní údaje tedy plní v obchodním styku, jehož předmětem plnění jsou digitální data, roli nástroje kontraktace. Není to ovšem jediná role, kterou plní.

Nedlouho po účinnosti GDPR byla po dlouhém politicko-legislativním procesu schválena nová evropská právní regulace poskytování digitálních dat spotřebitelům, tvořená dvěma sekundárními právními akty: směrnicí Evropského parlamentu a Rady (EU) 2019/770 ze dne 20. května 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb (dál jen "směrnice 770") a Směrnici Evropského parlamentu a Rady EU 2019/771 ze dne 20. 5. 2019 o některých aspektech smluv o prodeji zboží (dál jen "směrnice 771"). Směrnice 770 upravuje poskytování digitálního obsahu a služeb, což jsou ve své podstatě data vytvořená a uchovaná v digitální podobě[4] a nehmotné věci. Oproti tomu směrnice 771 upravuje koupi a prodej zboží s digitálními prvky, což jsou hmotné věci, jejichž integrální součástí je digitální obsah nebo digitální služba [čl. 2 odst. 5 písm. b) směrnice 771].

S platností směrnic byl právem vytvořen nový koncept, a sice že spotřebitel místo zaplacení ceny za poskytnutá data poskytne obchodníkovi přístup k datům svým, přičemž velká část těchto dat jsou osobní údaje, které může obchodník následně shromažďovat a zpracovávat a jejichž prodejem následně dosahuje zisku. Tato alternativa ke standardnímu peněžnímu modelu transakcí je již v praxi hojně využívána,[5] nicméně právní řád neměl pro tento model až do platnosti směrnic žádnou speciální úpravu, vyjma právě ustanovení GDPR. Nabízí se pak stěžejní právněteoretická i praktická otázka, jakým způsobem je nová koncepce "platby osobními údaji" provázána s již existující úpravou ochrany osobních údajů, zejména s GDPR.

V současné době je již právní úprava GDPR, účinná od roku 2018, obstojně zažitá v právní praxi České republiky. Proces implementace shora uvedených směrnic právě probíhá a s největší pravděpodobností bude mít podobu novely Občanského zákoníku. Návrh novely zákona je ve fázi projednávání v poslanecké sněmovně, prozatím nebyl ale ani v prvním čtení.[6] Jedná se tedy o vysoce aktuální téma jak pro legislativu, tak pro odbornou veřejnost, neboť nový koncept osobních údajů jako obchodovatelné komodity zásadně změní chápání významné části závazkového práva. Článkem se tak může inspirovat zákonodárce při inkorporaci směrnice 770, stejně jako praxe během procesu porozumění novým normám a odborná veřejnost při vytváření nové právní teorie.

Cílem tohoto článku je analyzovat vztah právní úpravy poskytování digitálního obsahu a digitálních služeb a ochrany osobních údajů. V návaznosti na to budou analyzovány praktické problémy, které mohou při poskytování dat spotřebitelům z pohledu ochrany osobních údajů nastat, se závěrem v podobě polemiky de lege ferenda.

Právní rámec poskytování digitálních dat spotřebitelům, ochrany osobních údajů, a styčné body těchto odvětví

Pro pochopení vztahu mezi směrnicemi 770 a 771 a GDPR je nutné analyzovat provázanost těchto aktů ve vztahu k teorii i korelaci jednotlivých ustanovení.

Směrnice 771 vůbec s pojmem osobní údaje nepracuje ani jinak nenavazuje na regulaci jejich ochrany. To je, vzhledem k povaze předmětu její úpravy, přirozené; směrnice 771 upravuje koupi a prodej zboží s digitálními prvky, tedy hmotných věcí, jejichž neoddělitelnou součástí jsou digitální data. Za koupi této věci spotřebitelé, alespoň prozatím, platí výhradně penězi. To samozřejmě neznamená, že by pomocí zboží s digitálními prvky, jako jsou například smartphony, obchodníci neshromažďovali osobní údaje uživatelů. Nicméně tyto osobní údaje nejsou primární hodnotou, kterou obchodník získá od spotřebitele oproti koupi zboží samotného; spotřebitel za zboží vždy zaplatí kupní cenu. V praxi rovněž není zboží s digitálními prvky, které by obchodníci prodávali pouze za sběr osobních údajů spotřebitele.[7] Pokud aplikace ve spotřebitelově smartphonu o něm shromažďuje osobní údaje za účelem zisku, jedná se právně o samostatný právní vztah, který je poskytnutím digitálního obsahu podle směrnice 770. Tento právní názor není v souladu s názory Německého Internetového institutu,[8] nicméně jejich analýza nezohledňuje rozdělení poskytovaných dat do tří kategorií stanovených směrnicemi 770 a 771 a zároveň nezohledňuje aspekty smluvní praxe. Další analýza v článku se tedy bude věnovat výhradně úpravě vyplývající ze směrnice 770, která je s úpravou ochrany osobních údajů obsahově výrazně více provázána.

Ze systematiky směrnice 770 je patrné, že evropský zákonodárce zamýšlel navázat na předchozí úpravu digitálních dat, včetně úpravy ochrany osobních údajů. Toto vyplývá nejvíce z faktu, že směrnice 770 ohledně definice osobních údajů přímo odkazuje na GDPR, místo toho, aby obsahovala vlastní definiční ustanovení (čl. 2 odst. 8 směrnice 770). Dokonce GDPR výslovně zmiňuje v recitálu.[9] GDPR definuje osobní údaje jako "veškeré informace o identifikované nebo identifikovatelné fyzické osobě" (čl. 4 odst. 1 GDPR). Tato definice v sobě zahrnuje pojmové znaky osobních údajů. Jedná se o veškeré informace, tedy není důležitý jejich faktický obsah nebo technická forma. Tyto informace se musí přímo týkat fyzické osoby, která je pomocí těchto údajůidentifikovaná nebo identifikovatelná. Identifikovatelná fyzická osoba je osobou, kterou lze přímo i nepřímo identifikovat na základě identifikátorů jako je jméno, identifikační číslo, lokační údaje nebo jeden či více zvláštních prvků identity fyzické osoby.

Vzhledem k tomu, že jsou zákonné definice vymezeny velmi obecně, lze prakticky veškerá data zpřístupněná obchodníkovi spotřebitelem klasifikovat jako osobní údaje. Ne všechna data poskytnutá spotřebitelem jsou na první pohled osobními údaji podle GDPR, nicméně při praktické analýze je jimi valná většina, zejména s ohledem na množství údajů, které obchodník od jednoho spotřebitele obvykle shromažďuje: poloha, registrační údaje, dokonce historie používání programu jsou způsobilé identifikovat osobu, zejména pokud se těchto informací sejde více najednou.[10] Maštalka definuje osobní údaj jako sdělení pojednávající o určité skutečnosti, jejímž předmětem je určitá fyzická osoba,[11] a tuto definici data poskytnutá spotřebitelem nepochybně splňují. Moderní technologie navíc rozšiřují okruh údajů, které naplňují pojem soukromí, za určitých okolností stačí jen IP adresa.[12]

Potřeba stanovit univerzální pravidla pro zpracování osobních údajů vyplynula primárně z praxe, na kterou GDPR v době svého vzniku reagovalo.[13] Věcná působnost GDPR zahrnuje jak automatizované, tak ruční zpracování osobních údajů. Není přitom rozhodný množstevní ani časový rozsah zpracování, ani jeho způsob - nařízení explicitně stanoví, že ochrana osobních údajů je technologicky neutrální.[14] GDPR je, jakožto Nařízení Evropského parlamentu a Rady, přímo použitelné, tedy jeho ustanovení platí všeobecně pro všechny členské státy EU. GDPR je všeobjímajícím univerzálním předpisem, který připouští ze své působnosti jen minimum výjimek a i ty je třeba dle ustálené judikatury ESD vykládat restriktivně.[15] Žádná z těchto výjimek se neuplatní na poskytování osobních údajů vůči digitálnímu obsahu nebo službám.

Směrnice 770 se vztahuje na veškeré smlouvy, na jejichž základě spotřebitel poskytne nebo se zaváže poskytnout obchodníkovi osobní údaje.[16] To platí v případech, kdy spotřebitel poskytne osobní údaje aktivně, stejně jako pasivně - tedy pouze umožní jejich sběr. Jedná se například o situaci, kdy spotřebitel založí účet na sociální síti, kde uvede své jméno, věk a e-mailovou adresu, které jsou poté zpracovány a použity obchodníkem pro cílenou reklamu. Rovněž reguluje případy, kdy spotřebitel dá souhlas k tomu, aby obchodník dosahoval zisku zpracováváním materiálů představujících osobní údaje, jako např. fotografie nebo recenze nahrané spotřebitelem. Souhlas se zpracováním musí být výslovný, konkrétní a informovaný, jak judikoval Tribunál.[17] To ovšem neznamená, že souhlas nemůže být ve formulářové podobě, například prostého kliknutí v programu, které je v praxi nejčastější.

GDPR pracuje v kontextu ochrany osobních údajů s pojmy správce a zpracovatel. Správce je osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení (čl. 4 odst. 7 GDPR). Zpracovatel je pak osoba nebo jiný subjekt, který zpracovává osobní údaje pro správce (čl. 4 odst. 8 GDPR). Směrnice 770 s těmito termíny neoperuje. Zato stanoví velmi obecnou a širokou kategorii tzv. obchodníků jako osob, které jednají vsouvislosti se smlouvami o poskytování digitálního obsahu a služeb za účelem, který lze považovat za obchodní činnost, podnikání, řemeslo nebo povolání. Toto platí i v případě, že za tuto osobu jedná jiná osoba v zastoupení (čl. 2 odst. 5 směrnice 770). Jinými slovy, obchodníci podle směrnice jsou poskytovatelé digitálního obsahu a služeb spotřebitelům nehledě na vnější okolnosti. V praxi se jedná v drtivé většině případů o právnické osoby. V kontextu poskytování digitálního obsahu a služeb spotřebitelům, což je záležitost čistě práva soukromého, splývají zpracovatel, správce a obchodník do jedné osoby, která zastává všechny tyto role. Vedle toho jsou subjekt zpracování podle GDPR a spotřebitel podle směrnice 770 rovněž toutéž osobou. Za zmínku stojí, že novela Občanského zákoníku, která inkorporuje normy směrnice 770 do českého právního řádu, se terminologicky vrátila k pojmům poskytovatel a uživatel. 18) Tyto pojmy, byť specifičtější pro odvětví informačních technologií, ovšem nevyjadřují dostatečně fakt, že regulace směrnice 770 se vztahuje pouze na spotřebitelské právní vztahy. V konečném důsledku, při současném zohlednění systematiky o. z., by mohla některá ustanovení novely dopadnout i na vztahy B2B. Případná analýza novely v tomto směru by byla hodna dalšího zkoumání.

Na základě faktů uvedených v této kapitole je zjevné, že na poskytování dat, která jsou osobními údaji spotřebitelem obchodníkovi zpřístupněna či poskytována, se normy GDPR uplatní v plném rozsahu. Vzhledem k povaze GDPR jako veřejnoprávního předpisu je aplikace jeho norem nezávislá na aplikaci práva soukromého. Subjekty operující s osobními údaji při poskytování digitálního obsahu a služeb musí ctít požadavky práva ochrany osobních údajů, nehledě na vlastní zájmy nebo ustanovení soukromoprávních předpisů.

Článek byl publikován v časopise Právník č. 9/2021.


[1] DEAKIN, A. GDPR Timeline: A History of Data Protection. In: vutu.re. [online]. Červenec 2017 [cit. 2020-01-23].

[2] MATES, P. - VALOUŠEK, M. - FIALOVÁ, E. a kol. Ochrana osobnosti, soukromí a osobních údajů. Praha: Leges, 2019, s. 33.

[3] MAŠTALKA, J. Osobní údaje, právo a my. Praha: C. H. Beck, 2008, s. 11.

[4] PRAŽÁK, Z. a kol. Závazky z právních jednání podle občanského zákoníku. Komentář k § 1721-2893 OZ. Praha: Leges, 2017, s 160.

[5] K tomuto závěru dospěl autor při svém předchozím výzkumu. Srov. RICHTER, Š. Mobilní aplikace ve smluvním právu. In: Dopady digitalizace do oblasti soukromého práva. Brno: Masarykova univerzita, 2019, s. 55-70, s. 15.

[6] ÚŘAD VLÁDY ČESKÉ REPUBLIKY. Návrh zákona, kterým se mění zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů. Dostupné z: Elektronická knihovna legislativního procesu (VeKLEP) [právní informační systém].

[7] Tuto informaci autor zjistil analýzou smluvní praxe poskytování digitálních dat, v rámci projektu specifického výzkumu Grantové agentury Masarykovy univerzity s názvem Výzkum smluvní praxe poskytování digitálních dat spotřebitelům, MUNI/A/1296/2020.

[8] METZGER, A. - EFRONI, Z. - MISCHAU, L. - METZGER, L. Data-Related Aspects of the Digital Content Directive. Journal of Intellectual Property, Information Technology and E-Commerce Law [online]. 29. 5. 2018. [cit. 2020-01-15], s. 101.

[9] Recitál 37 Směrnice Evropského parlamentu a Rady EU 2019/770 ze dne 20. 5. 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb.

[10] MATES, P. - VALOUŠEK, M. - FIALOVÁ, E. a kol. Ochrana osobnosti, soukromí a osobních údajů, s. 85.

[11] MAŠTALKA, J. Osobní údaje, právo a my. Praha: C. H. Beck, 2008, s. 5.

[12] MATES, P. - VALOUŠEK, M. - FIALOVÁ, E. a kol. Ochrana osobnosti, soukromí a osobních údajů, s. 34.

[13] DVOŘÁKOVÁ, H. - POKORNÁ, A. Ochrana osobních údajů v kontextu judikatury Soudního dvora EU, výkladových pokynů a stanovisek. Praha: Wolters Kluwer, 2020, s. 5.

[14] Recitál 15 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob vsouvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

[15] Srov. Rozsudek SDEU ze dne 10. července 2018. č. j. C-25/17 (Jehovan Todistajat) a Rozsudek SDEU ze dne 14. prosince 2014. č. j. C-212/13 (Ryneš).

[16] Recitál 24 Směrnice Evropského parlamentu a Rady EU 2019/770 ze dne 20. 5. 2019 o některých aspektech smluv o poskytování digitálního obsahu a digitálních služeb.

[17] Rozsudek Tribunálu ze dne 3. prosince. 2015. č. j. T 343/13 (CN proti Evr. Parlamentu)

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články