úterý 19. ledna 2016

Weltimmo: osmadvacet zastávek na cestě k jediné

Když ve čtvrtek 1. října 2015 vydal Soudní dvůr EU rozsudek Weltimmo (C-230/14), málokdo si před víkendem připouštěl, jak málo času může v následujícím týdnu zbýt na rozpravy nad tímto rozhodnutím třetího senátu. Avšak příští úterý přineslo rozhodnutí ve věci Schrems proti Data Protection Commissioner o zrušení rozhodnutí Komise 2000/520/ES o odpovídající ochraně poskytované podle zásad „bezpečného přístavu“ (C-362/14), doprovázené pozdvižením ve světě ochrany osobních údajů, a rozsudek Weltimmo nezaslouženě zapadl. Formuluje však konkrétní pravidla, jež mohou být záhy aplikována v dalších obdobných případech, a sluší se mu proto věnovat více pozornosti.


Na začátku celého případu stojí vcelku obvyklý model nakládání s osobními údaji v Evropské unii: Weltimmo s. r. o., společnost se sídlem na Slovensku, spravovala web pro inzerci nemovitostí nacházejících se v Maďarsku. Na základě toho slovenská společnost pak zpracovávala osobní údaje inzerentů, převážně Maďarů. Po uplynutí měsíční bezplatné inzertní doby řada uživatelů žádala o stažení inzerátu a zároveň o vymazání svých osobních údajů. Společnost Weltimmo nejenže odmítala vyhovět žádostem o vymazání osobních údajů, ale také vystavovala faktury za další měsíce užívání inzertních služeb a poté případně předávala osobní údaje neplatících uživatelů společnostem vymáhajícím pohledávky. Stížnosti uživatelů serveru maďarskému úřadu pro ochranu údajů a informační svobodu (Nemzeti Adatvédelmi és Információszabadság Hatóság) na sebe nenechaly dlouho čekat a vyústily v udělení pokuty ve výši přibližně 32 tisíc eur. Maďarský úřad v odůvodnění shledal, že je k rozhodnutí ve věci příslušný, neboť ke shromažďování osobních údajů uživatelů došlo na území Maďarska a toto shromažďování představuje zpracování osobních údajů fyzických osob. Maďarský nejvyšší soud, který rozhodoval ve druhém stupni o opravných prostředcích společnosti Weltimmo, měl pochybnosti o určení rozhodného práva i o rozsahu pravomocí maďarského úřadu vůči společnosti se sídlem v jiném členském státě. Předběžné otázky kasačního soudu směřovaly především na určení stupně intenzity, kterého musí dosáhnout aktivity správce osobních údajů usazeného v jiném členském státě vyvíjené na maďarském území k tomu, aby se uplatnilo maďarské právo a aby maďarský úřad na ochranu osobních údajů mohl vykonávat své pravomoci.

Případ Weltimmo byl pro Soudní dvůr EU příležitostí, aby o další aspekty rozšířil výklad směrnice 95/46 podaný ve věci Google Spain (C-131/12). Generální advokát Cruz Villalón ve svém stanovisku vyzdvihl význam článku 4 odst. 1 písm. a) směrnice, který „má dvojí funkci“: umožňuje uplatňovat unijní předpisy na ochranu osobních údajů prostřednictvím práva členského státu, pokud je zpracování údajů prováděno výlučně v rámci činnosti provozovny, která se nachází na území daného státu (tím spíš pak, pokud je zpracování údajů „v pravém slova smyslu“ prováděno ve třetím státě), zároveň ale působí jako kolizní norma mezi právními úpravami jednotlivých členských států.

Soudní dvůr EU opět posílil auru všeprostupujícího dobra, kterou již dlouho okolo směrnice 95/46 dokresluje za zvuku mantry o „zajištění účinné a úplné ochrany základních práv a svobod fyzických osob, zejména práva na soukromí“.[1] V návaznosti na stanovisko generálního advokáta poskytl návod, jaká kritéria zohlednit při použití kolizní normy obsažené v článku 4 odst. 1 písm. a) směrnice, a konstatoval, že s cílem zamezit obcházení vnitrostátních předpisů na ochranu osobních údajů je třeba vyloučit formalistický přístup k chápání pojmu „provozovna“ a je třeba pojem usazení vykládat flexibilně. Soudní dvůr EU blíže uvedl, že pro určení rozhodného práva i založení oprávnění vnitrostátních orgánů jednat je relevantní míra stability a skutečný charakter činnosti. V konkrétním případě zejména vyzdvihl, že web provozovaný společností Weltimmo cílil na nemovitosti nacházející se v Maďarsku, obsah byl v  maďarském jazyce, a navíc byl zpoplatněn. Dále Soudní dvůr EU nepominul ani skutečnost, že společnost Weltimmo měla v Maďarsku stálého zástupce a udržovala zde bankovní účet pro vymáhání pohledávek a poštovní schránku pro běžný obchodní styk. Naopak za irelevantní v tomto kontextu označil otázku státní příslušnosti subjektů osobních údajů.

Soudní dvůr EU tak rozsudkem Weltimmo vyplnil další mezeru ve vymahatelnosti evropského práva na ochranu osobních údajů. Potěšující je, že přiostřil hroty per národních úřadů na ochranu osobních údajů, které často tápaly, když měly řešit případy zběsilých sběrů a prodejů osobních údajů napříč Evropskou unií. Poněkud nepatřičně však tento čerstvý nástroj pro přeshraniční aplikaci národního práva na ochranu osobních údajů působí v kontextu tři roky přepracovávaného nového evropského rámce ochrany osobních údajů, který byl 15. prosince 2015 konečně odsouhlasen v rámci tzv. trialogu a potvrzen COREPER o tři dny později. Hlavní stavební kámen nového legislativního rámce, obecné nařízení o ochraně osobních údajů, v mnoha ohledech sjednocuje pravidla ochrany osobních údajů napříč Evropskou unií a počítá s pravidlem diametrálně odlišným od toho, které bylo zakotveno v rozsudku Weltimmo - principem jednotného odbavení (one-stop-shop). Princip one-stop-shop by měl umožnit správcům a zpracovatelům osobních údajů usazeným v EU jednat pouze s jedním úřadem na ochranu osobních údajů a všechny případné povinnosti plnit pouze ve vztahu k tomuto úřadu. Nový evropský legislativní rámec ochrany osobních údajů by měl nabýt účinnosti v první polovině roku 2018.

Je tak dobře možné, že v evropském právu ochrany osobních údajů budeme v důsledku rozsudku Weltimmo v příštích dvou letech svědky nekoncepční přeshraniční hypertrofie národních právních řádů, kterou zastaví až opačný extrém – jednotný panevropský rámec, který smaže rozdíly mezi národními úpravami a v podstatě i hranice evropské ochrany osobních údajů jako takové.


Příště: Max Schrems, Facebook a nebezpečný přístav




[1] Google Spain a Google(C-131/12), bod 53

Žádné komentáře: