Když ve čtvrtek 1. října 2015 vydal Soudní dvůr EU rozsudek Weltimmo (C-230/14), málokdo si před
víkendem připouštěl, jak málo času může v následujícím týdnu zbýt na
rozpravy nad tímto rozhodnutím třetího senátu. Avšak příští úterý přineslo rozhodnutí
ve věci Schrems proti Data Protection
Commissioner o zrušení rozhodnutí Komise 2000/520/ES o odpovídající ochraně
poskytované podle zásad „bezpečného přístavu“ (C-362/14), doprovázené
pozdvižením ve světě ochrany osobních údajů, a rozsudek Weltimmo nezaslouženě zapadl. Formuluje však konkrétní pravidla,
jež mohou být záhy aplikována v dalších obdobných případech, a sluší se mu
proto věnovat více pozornosti.
Na začátku celého případu stojí vcelku obvyklý model
nakládání s osobními údaji v Evropské unii: Weltimmo s. r. o.,
společnost se sídlem na Slovensku, spravovala web pro inzerci nemovitostí
nacházejících se v Maďarsku. Na základě toho slovenská společnost pak
zpracovávala osobní údaje inzerentů, převážně Maďarů. Po uplynutí měsíční
bezplatné inzertní doby řada uživatelů žádala o stažení inzerátu a zároveň o
vymazání svých osobních údajů. Společnost Weltimmo nejenže odmítala vyhovět
žádostem o vymazání osobních údajů, ale také vystavovala faktury za další
měsíce užívání inzertních služeb a poté případně předávala osobní údaje
neplatících uživatelů společnostem vymáhajícím pohledávky. Stížnosti uživatelů
serveru maďarskému úřadu pro ochranu údajů a informační svobodu (Nemzeti
Adatvédelmi és Információszabadság Hatóság) na sebe nenechaly dlouho čekat a
vyústily v udělení pokuty ve výši přibližně 32 tisíc eur. Maďarský úřad v odůvodnění
shledal, že je k rozhodnutí ve věci příslušný, neboť ke shromažďování
osobních údajů uživatelů došlo na území Maďarska a toto shromažďování
představuje zpracování osobních údajů fyzických osob. Maďarský nejvyšší soud,
který rozhodoval ve druhém stupni o opravných prostředcích společnosti Weltimmo,
měl pochybnosti o určení rozhodného práva i o rozsahu pravomocí maďarského
úřadu vůči společnosti se sídlem v jiném členském státě. Předběžné otázky kasačního
soudu směřovaly především na určení stupně intenzity, kterého musí dosáhnout
aktivity správce osobních údajů usazeného v jiném členském státě vyvíjené
na maďarském území k tomu, aby se uplatnilo maďarské právo a aby maďarský úřad
na ochranu osobních údajů mohl vykonávat své pravomoci.
Případ Weltimmo
byl pro Soudní dvůr EU příležitostí, aby o další aspekty rozšířil výklad
směrnice 95/46 podaný ve věci Google
Spain (C-131/12). Generální advokát Cruz Villalón ve svém stanovisku vyzdvihl
význam článku 4 odst. 1 písm. a) směrnice, který „má dvojí funkci“: umožňuje
uplatňovat unijní předpisy na ochranu osobních údajů prostřednictvím práva
členského státu, pokud je zpracování údajů prováděno výlučně v rámci činnosti
provozovny, která se nachází na území daného státu (tím spíš pak, pokud je zpracování
údajů „v pravém slova smyslu“ prováděno ve třetím státě), zároveň ale působí
jako kolizní norma mezi právními úpravami jednotlivých členských států.
Soudní dvůr EU opět posílil auru všeprostupujícího dobra,
kterou již dlouho okolo směrnice 95/46 dokresluje za zvuku mantry o „zajištění
účinné a úplné ochrany základních práv a svobod fyzických osob, zejména práva
na soukromí“.[1] V návaznosti
na stanovisko generálního advokáta poskytl návod, jaká kritéria zohlednit při
použití kolizní normy obsažené v článku 4 odst. 1 písm. a) směrnice, a
konstatoval, že s cílem zamezit obcházení vnitrostátních předpisů na
ochranu osobních údajů je třeba vyloučit formalistický přístup k chápání
pojmu „provozovna“ a je třeba pojem usazení vykládat flexibilně. Soudní dvůr EU
blíže uvedl, že pro určení rozhodného práva i založení oprávnění vnitrostátních
orgánů jednat je relevantní míra stability a skutečný charakter činnosti.
V konkrétním případě zejména vyzdvihl, že web provozovaný společností
Weltimmo cílil na nemovitosti nacházející se v Maďarsku, obsah byl v maďarském
jazyce, a navíc byl zpoplatněn. Dále Soudní dvůr EU nepominul ani skutečnost, že
společnost Weltimmo měla v Maďarsku stálého zástupce a udržovala zde
bankovní účet pro vymáhání pohledávek a poštovní schránku pro běžný obchodní
styk. Naopak za irelevantní v tomto kontextu označil otázku státní
příslušnosti subjektů osobních údajů.
Soudní dvůr EU tak rozsudkem Weltimmo vyplnil další mezeru ve vymahatelnosti evropského práva
na ochranu osobních údajů. Potěšující je, že přiostřil hroty per národních
úřadů na ochranu osobních údajů, které často tápaly, když měly řešit případy
zběsilých sběrů a prodejů osobních údajů napříč Evropskou unií. Poněkud nepatřičně
však tento čerstvý nástroj pro přeshraniční aplikaci národního práva na ochranu
osobních údajů působí v kontextu tři roky přepracovávaného nového
evropského rámce ochrany osobních údajů, který byl 15. prosince 2015 konečně odsouhlasen
v rámci tzv. trialogu a potvrzen COREPER o tři dny později. Hlavní
stavební kámen nového legislativního rámce, obecné nařízení o ochraně osobních
údajů, v mnoha ohledech sjednocuje pravidla ochrany osobních údajů napříč
Evropskou unií a počítá s pravidlem diametrálně odlišným od toho, které
bylo zakotveno v rozsudku Weltimmo
- principem jednotného odbavení (one-stop-shop). Princip one-stop-shop by měl
umožnit správcům a zpracovatelům osobních údajů usazeným v EU jednat pouze
s jedním úřadem na ochranu osobních údajů a všechny případné povinnosti
plnit pouze ve vztahu k tomuto úřadu. Nový evropský legislativní rámec ochrany osobních údajů by měl nabýt účinnosti v první polovině roku 2018.
Je tak dobře možné, že v evropském
právu ochrany osobních údajů budeme v důsledku rozsudku Weltimmo v příštích
dvou letech svědky nekoncepční přeshraniční hypertrofie národních právních
řádů, kterou zastaví až opačný extrém – jednotný panevropský rámec, který smaže
rozdíly mezi národními úpravami a v podstatě i hranice evropské ochrany osobních
údajů jako takové.
Příště: Max Schrems, Facebook a nebezpečný přístav
Zásadním pojmem je v tomto kontextu dle směrnice "provozovna" ("establishment"). Tu soud definoval pomocí bodu 19 odůvodnění směrnice skrze pojem "stálé zařízení" ("stable arrangement"). Lze říct něco víc k tomuto pojmu? Musí být omezen v kontextu bodu 19? Ten říká, že nezáleží na právní formě provozovny... "whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect".
OdpovědětVymazatPodle mne je jednoznačně pozitivní, že SDEU řekl, že není možné se takto schovávat v zahraničí.
OdpovědětVymazat"Stable arrangement" je doopravdy nástroj pro flexibilní výklad pojmu "provozovna": z rozsudku Weltimmo vyplývá, že přítomnost jednoho stálého zástupce může za určitých okolností postačovat k existenci stálého zařízení, pokud "tento zástupce jedná s dostatečnou mírou stability, s pomocí prostředků nezbytných k poskytování předmětných konkrétních služeb v dotyčném členském státě" (bod 30).
OdpovědětVymazatSnad jen na okraj k tomuto tématu - v návaznosti na čerstvé zkušenosti s praxí Úřadu pro ochranu údajů s registrací správců osobních údajů jsem zkoumala, zda ÚOOÚ registruje i "pobočky" - registrovaných je ke dnešnímu dni 137 organizačních složek a 20 odštěpných závodů. Čistě formálně zápisy poboček z pohledu procesní způsobilosti ve správním řízení o registraci považuji za problematické, jinak však tyto případy mohou sloužit jako důkaz formalizujícího se flexibilního výkladu...
Považovat praxi ÚOOÚ za důkaz čehokoli bych považoval za hodně odvážné. Tento úřad je bohužel nechvalně známý totální nekonzistencí své správní praxe, za což byl po zásluze pokárán Nejvyšším správním soudem v rozsudku "Ryneš". Snad nová paní předsedkyně tento neblahý stav změní.
OdpovědětVymazatKdyž měli (ještě za starého předsedy) příležitost flexibilní výklad uplatnit v praxi v případu tzv. CERDu, což je čistě tuzemský projekt nechvalně známého Jiřího Jehličky, zaměřený na tuzemské fyzické osoby, stačilo jeho ukrytí za skořápkou americké CERD SYSTEM LLC. (či jak se zrovna jmenuje) k tomu, aby od něj dal ÚOOÚ "ruce pryč".