Obecné nařízení o ochraně osobních údajů (GDPR). Data a soukromí v digitálním světě. Komentář.


autor: Jana Pattynová, Lenka Suchánková, Jiří Černý a kolektiv
publikováno: 18.07.2018

LENKA SUCHÁNKOVÁ

Článek 21 upravuje právo subjektu údajů vznést námitku proti zpracování jeho údajů. GDPR rozlišuje tři typy práva vznést námitku, která jsou vždy vázána ke zpracování založenému na konkrétním právním základě:

- Právo vznést námitku proti zpracování, které je nezbytné buď pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, nebo zpracování založené na oprávněných zájmech správce nebo třetí strany (čl. 21 odst. 1 GDPR);

- Právo vznést námitku proti zpracování pro účely přímého marketingu včetně profilování (čl. 21 odst. 2 a 3 GDPR);

- Právo vznést námitku proti zpracování pro účely vědeckého či historického výzkumu nebo pro statistické účely (čl. 21 odst. 6 GDPR).

Subjekt osobních údajů v případě námitky proti zpracování osobních údajů podle odst. 1 a odst. 6 tohoto článku tuto námitku vznáší z důvodů týkajících se jeho konkrétní situace. To znamená, že na straně subjektu se vyskytují okolnosti, na základě kterých má zájem na tom, aby jeho údaje nebyly dál zpracovávány. Správce při posuzování námitky pak prokazuje její případnou nedůvodnost, resp. musí prokázat, že jej k dalšímu zpracování opravňují závažné oprávněné důvody, které převažují nad zájmem subjektu, či veřejným zájmem (viz dále). Naopak v případě vznesení námitky proti zpracování osobních údajů pro účely marketingu nehraje roli konkrétní situace subjektu údajů, jedná se o absolutní právo namítat zpracování i bez uvedení důvodů, a pokud jej subjekt údajů uplatní, další zpracování je znemožněno.

Právo subjektu na námitku upravovala i směrnice 95/46/ES ve svém článku 14, který obdobně opravňoval subjekty vznést kdykoli „z vážných a legitimních důvodů souvisejících s jeho osobní situací námitku proti zpracování osobních údajů, které se ho týkají“, a to minimálně v případech zpracování prováděného na základě oprávněného zájmu správce a zpracování ve veřejném zájmu nebo při výkonu veřejné moci. Článek 14 směrnice dále opravňoval i bez specifikace důvodů a bezplatně vznést námitku proti zpracování pro účely přímého marketingu. V prvním zmiňovaném případě však směrnice 95/46/ES členským státům umožňovala, aby se od tohoto ustanovení ve své vnitrostátní právní úpravě odchýlily. Zákon o ochraně osobních údajů právo na námitku neimplementoval ve znění směrnice, zakotvil ale v § 21 právo subjektu údajů požádat správce nebo zpracovatele o vysvětlení, pokud má jakékoli pochybnosti o zákonnosti, legitimitě nebo přesnosti zpracování jeho údajů. Na rozdíl od čl. 14 směrnice jde o jakousi obecnou námitku, která není vázáná na důvody týkající se konkrétní situace subjektu údajů ani na případy zpracování založené na oprávněném zájmu správce či zpracování prováděné ve veřejném zájmu nebo při výkonu veřejné moci. Právo namítat zpracování údajů pro účely přímého marketingu bylo promítnuto do § 5 odst. 5 ZOOÚ do možnosti vyjádřit nesouhlas (tzv. opt-out) se zpracováním jména, příjmení a adresy za účelem nabízení obchodu nebo služeb.

Právo vznést námitku proti zpracování pro účely vědeckého či historického výzkumu nebo pro statistické účely směrnice neupravovala, jedná se o novinku představenou GDPR.

Jen pro úplnost je třeba uvést, že právo na námitky se neuplatní u zpracování založeného na souhlasu (např. v případech, kdy správce zpracovává osobní údaje subjektu údajů pro účely přímého marketingu nikoli z titulu svého oprávněného zájmu, ale na základě subjektem uděleného výslovného souhlasu), protože v takovém případě subjekt údajů disponuje právem svůj souhlas kdykoli odvolat a zamezit dalšímu zpracování tímto způsobem.

Námitkový proces podle GDPR zahrnuje následující kroky:

a) Poskytnutí informace o možnosti vznést námitky

Subjekt údajů musí být informován o právu vznést námitky proti zpracování svých osobních údajů. Pokud správce získává osobní údaje přímo od subjektu údajů, musí tuto informační povinnost splnit, v souladu s čl. 13 odst. 2 písm. b) GDPR, už v okamžiku jejich získání, pokud je to nezbytné pro zajištění spravedlivého a transparentního zpracování (viz ale dále komentář k odst. 4). Pokud osobní údaje byly získány jinak než od subjektu údajů, správce musí informační povinnost splnit:

[čl. 14 odst. 2 písm. c) a odst. 3 GDPR].

Pro zpracování údajů pro účely vědeckého nebo historického výzkumu nebo pro statistické účely výše uvedené neplatí, uplatní se zde výjimka z informační povinnosti správce uvedená v čl. 14 odst. 5 písm. b) (viz komentář k odst. 6).

Informace o možnosti vznést námitky by v souladu s čl. 12 odst. 1 GDPR měla být subjektu údajů poskytnuta stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků.

b) Vznesení námitky subjektem údajů

Vznese-li subjekt údajů námitku podle čl. 21 odst. 1 GDPR, měl by zároveň uvést relevantní okolnosti své konkrétní situace, kterými svou námitku odůvodní, jinak riskuje, že námitka bude správcem odmítnuta. Jakmile vznese odůvodněnou námitku, dochází v souladu s ustanovením čl. 18 odst. 1 písm. d) k omezení zpracování, dokud nebude ověřeno, čí oprávněné důvody (tj. na straně správce nebo na straně subjektu údajů) v konkrétním případě převažují.

V případě námitky vznesené proti zpracování osobních údajů pro účely vědeckého nebo historického výzkumu podle čl. 21 odst. 6 GDPR by subjekt údajů rovněž měl uvést okolnosti své konkrétní situace. Nicméně v těchto případech GDPR nepožaduje, aby správce zpracování pozastavil do doby, než vyhodnotí, zda převažují důvody na straně správce, tj. zda zpracování je nezbytné pro splnění úkolu prováděného z důvodu veřejného zájmu, nebo zda je námitka oprávněná.

Vznese-li subjekt údajů námitku podle čl. 21 odst. 2 GDPR (tj. proti přímému marketingu), nemusí dokládat okolnosti týkající se jeho konkrétní situace.

c) Vypořádání se s námitkou ze strany správce

V případě námitky podané podle čl. 21 odst. 1 správce po vyhodnocení námitek a provedení balančního testu buď:

Je‑li námitka podaná podle čl. 21 odst. 6, správce:

Podá‑li subjekt údajů námitku podle čl. 21 odst. 2, nemá správce jinou možnost než přestat pro účely přímého marketingu údaje zpracovávat, a to ihned, jakmile námitku obdrží.

Bez ohledu na výše uvedené však, s ohledem na čl. 12 odst. 5 písm. b) GDPR, může správce námitku, tak jako jiné žádosti subjektů údajů, odmítnout, pokud je zjevně nedůvodná nebo nepřiměřená, tedy jedná-li zjevně o šikanózní výkon práv. Takovouto zjevnou nedůvodnost nebo nepřiměřenost námitky by musel správce doložit. V praxi si však lze jen stěží představit případ, kdy by např. námitka proti zpracování osobních údajů pro účely přímého marketingu mohla být vyhodnocena jako nepřiměřená, vzhledem k absolutní povaze práva namítat užití osobních údajů pro tyto účely.

Právo na námitky podle tohoto článku může být omezeno v souladu s čl. 23 GDPR.

K odst. 1

Ustanovení odstavce 1 vychází z toho, že zpracování, které subjekt údajů namítá, je samo o sobě zákonné. Zpracování je řádně podloženo, protože je buď nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, nebo je nezbytné pro účely oprávněných zájmů správce či třetí strany (přičemž v tomto posledním případě test proporcionality mezi zájmy správce (třetí strany) a subjektu údajů dopadl ve prospěch správce, resp. dané třetí strany). Existuje tedy dostatečný právní titul pro zpracování, avšak subjekt údajů je přesto oprávněn takové zpracování namítat a dosáhnout jeho ukončení na základě nastalých nových okolností, které mají vliv na původní test proporcionality. V důsledku nových skutečností týkajících se konkrétní situace subjektu údajů, které mohou spočívat např. v rodinných okolnostech, osobnostních právech nebo profesím zájmu na důvěrnosti jeho údajů, nově převáží zájmy nebo práva subjektu údajů nad původními zájmy správce (třetích stran), na nichž bylo zpracování založeno.

Na rozdíl od obdobného ustanovení směrnice 95/46/ES [čl. 14 písm. a)], které pro úspěch námitky vyžadovalo, aby subjekt údajů prokázal existenci „vážných a legitimních důvodů souvisejících s jeho osobní situací“, v případě čl. 21 odst. 1 subjekt údajů nemusí obhajovat vážnost a legitimitu jím uvedených důvodů. Důkazní břemeno se přenáší na správce, který musí prokázat závažné oprávněné důvody (převažující nad zájmy, právy a svobodami subjektu údajů) pro to, aby mohl pokračovat v dalším zpracování, nebo musí prokázat, že zpracování slouží pro určení, výkon nebo obhajobu právních nároků.

K odst. 2 a 3

Právo subjektu údajů namítat zapracování osobních údajů pro účely přímého marketingu je, jak již bylo uvedeno výše, právem absolutním, tedy má za následek vždy okamžité ukončení zpracování a v souladu s čl. 17 odst. 1 písm. c) i výmaz. GDPR pojem přímý marketing nijak nedefinuje. Nedefinovala jej ani směrnice 95/46/ES, nicméně bod 30 odůvodnění směrnice zpracování pro účely marketingu popisoval následujícím způsobem: „Členské státy mohou rovněž upřesnit podmínky, za kterých je možno sdělovat třetí osobě osobní údaje pro účely marketingu, ať už prováděného komerčně nebo charitativními organizacemi nebo jinými sdruženími či nadacemi, například politické povahy, při dodržení ustanovení umožňujících subjektu údajů vznést námitku proti zpracování údajů, které se ho týkají, aniž by mu vznikly náklady a aniž by musel uvádět důvody“. Dle WP29 se tak například čl. 13 směrnice ePrivacy vztahuje na jakoukoli podporu prodeje, a zahrnuje i přímý marketing prováděný charitativními a politickými organizacemi (např. peněžní sbírky).

Pojem přímý marketing vymezuje kodex chování Federace evropského přímého a interaktivního marketingu (FEDMA) pro používání osobních údajů v přímém marketingu, schválený WP29 v červnu 2003 (jeho příloha vztahující se na online komunikace byla schválená WP29 v červenci 2010), a to jako „sdílení jakýmikoli prostředky (včetně pošty, faxu, telefonu, online služeb atd.) jakéhokoli reklamního nebo marketingového materiálu, uskutečňované buď samotným provozovatelem přímého marketingu anebo z jeho popudu a adresované konkrétním osobám.“ Provozovatelem přímého marketingu (direct marketer) může dle kodexu FEDMA být jakákoli fyzická nebo právnická osoba, včetně charitativních organizací nebo politických stran. On‑line marketing je definován jako prvek elektronického obchodu zahrnující využití internetu k propagaci a prodeji zboží a služeb, přičemž přímým marketingem v online prostředí je jakákoli marketingová činnost cílená na jednotlivce, adresovaná jednou osobou konkrétní jiné osobě (one-to-one).

V návaznosti na přijetí GDPR FEDMA na svých webových stránkách uvádí, že tento kodex bude aktualizovat a bude usilovat o jeho schválení evropskými orgány. Aktualizace pravidel týkajících se zejména on‑line marketingu bude zřejmě nutná také s ohledem na přijetí nařízení ePrivacy.

Odstavec 2 zdůrazňuje, že právo subjektu údajů na námitku proti zpracování osobních údajů, které se ho týkají, pro přímý marketing, zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Zařazení zmínky o profilování do tohoto ustanovení (byť profilování je dále samostatně řešeno v čl. 22) ilustruje, jaký význam GDPR přikládá tomuto institutu, jehož obliba jakožto marketingového nástroje roste. Nicméně v kontextu ustanovení odstavce 2 čl. 21 se odkaz na profilování jeví jako nadbytečný vzhledem k tomu, že profilování je jen jednou z forem zpracování osobních údajů a právo vznést námitku proti takovému zpracování by měl subjekt údajů i bez tohoto výslovného odkazu, pokud by profilování bylo prováděno pro účely přímého marketingu.

Uplatnění námitky by mělo být pro subjekt údajů bezplatné. Ačkoliv samotný čl. 21 toto v odst. 2 ani 3 výslovně nestanoví (na rozdíl od ekvivalentního ustanovení čl. 14 písm. b) směrnice 95/46/ES), vyplývá to jednak z bodu 70 odůvodnění, jednak je tento požadavek výslovně uveden v čl. 12 odst. 5.

K odst. 4

Ustanovení odstavce 4 upravuje informační povinnost správce vůči subjektu údajů o jeho právu vznést námitky. Podle tohoto ustanovení by měl být na právo vznést námitky podle odstavce 1 a 2 (nevztahuje se tedy na odstavec 6, viz dále komentář k tomuto odstavci) výslovně upozorněn, a to nejpozději v okamžiku první komunikace se subjektem údajů. Jak bylo zmíněno v úvodu, časový rámec pro poskytnutí informací subjektu údajů se odvíjí od toho, zda osobní údaje jsou získány od subjektu údajů nebo z jiných zdrojů. V prvém případě je správce povinen informace poskytnout již v okamžiku získání údajů. Pokud tedy kontaktní údaje subjektu údajů správce získal přímo od subjektu údajů (např. v souvislosti s plněním smlouvy) a zamýšlí je (a tento úmysl má již v době jejich získání) využívat pro účely přímého marketingu, v souladu s ustanovením čl. 13 odst. 2 písm. b) by měl subjekt údajů informovat o právu vznést námitku již v okamžiku získání jeho osobních údajů. Otázkou je, zda lze komentované ustanovení, které časový okamžik informační povinnosti posouvá až na okamžik první komunikace se subjektem, považovat za speciální ustanovení k obecné informační povinnosti dle čl. 13 a 14. Vzhledem k absenci přesné definice pojmu „komunikace“ v textu GDPR lze argumentovat, že pojem „komunikace“ je nutno vykládat jako jakýkoli kontakt mezi správcem a subjektem údajů. V takovém případě by tak informace musela být správcem poskytnuta při prvním kontaktu se subjektem údajů a časový rámec poskytnutí informace o právu vznést námitku by tak byl totožný s časovým rámcem obecné informační povinnosti dle čl. 13. Pokud by však byl pojem „komunikace“ vykládán jako první zpráva adresovaná správcem subjektu údajů, bude komentované ustanovení skutečně představovat zvláštní ustanovení k obecné informační povinnosti dle čl. 13. S ohledem na výkladové nejasnosti je vhodné doporučit, aby byl subjekt údajů o právu vznést námitku informován v režimu dle čl. 13, tedy v okamžiku získání osobních údajů subjektu údajů.

Zároveň toto ustanovení klade důraz na oddělení informace o právu vznést námitky od jakýchkoliv jiných informací. Lze tak například dovodit, že informace o možnosti vznést námitku uvedená bez grafického oddělení mezi ostatními právy subjektu údajů v textu dokumentu popisujícího nakládání s osobními údaji zákazníka na webu e-shopu nebude dostatečná; stejně tak zmínka o možnosti podat námitku v zápatí e-mailu adresovanému subjektu údajů by mohla být považována za problematickou.

K odst. 5

Právo vznést námitky může subjekt údajů i automatizovanými prostředky pomocí technických specifikací. Aktivaci těchto prostředků např. v internetovém prohlížeči by měl správce respektovat jako námitku zpracování, minimálně v případech zpracování osobních údajů pro účely přímého marketingu, které nevyžadují, aby subjekt údajů svou námitku jakkoli zdůvodňoval. Typickým příkladem námitky vznesené automatizovanými prostředky je nastavení prohlížeče v tzv. Do Not Track standardu, které spočívá v tom, že při aktivaci tohoto prvku v prohlížeči uživatele je přidána do odeslaných požadavků tzv. DNT hlavička. Všechny obvyklé webové prohlížeče (Internet Explorer, Google Chrome, Mozilla Firefox, Safari) tuto funkci podporují, dle dostupných zdrojů je však v současné době jen málo správců, kteří DNT preferenci skutečně respektují – například Pinterest, Reddit nebo Medium.

K odst. 6

Úspěšnost obrany správce proti námitce subjektu tkví na rozdíl od dvou předcházejících případů (odst. 1, odst. 2) v tom, zda je zpracování pro účely vědecké, historické a statistické nezbytné pro splnění úkolu prováděného z důvodu veřejného zájmu. Bude důležité zohlednit jak konkrétní situaci subjektu, který námitku vznesl, tak charakter veřejného účelu, pro který je zpracování prováděno, a patrně i možnost tohoto účelu dosáhnout i v případě vyhovění námitce. Tedy správce musí důkladně posoudit, zda je zpracování konkrétního osobního údaje nebo sady údajů konkrétního subjektu pro daný účel opravdu nezbytné (břemeno důkazní nese správce), tedy zda neuvedení konkrétních údajů dané osoby bude mít nějaký relevantní dopad na závěr konkrétního výzkumu nebo konkrétní statistiky a zda např. stejného účelu nelze dosáhnout zpracováním údajů anonymizovaných nebo alespoň pseudonymizovaných.

V případě zpracování osobních údajů subjektu údajů pro účely vědeckého či historického výzkumu nebo pro statistické účely se uplatní výjimka z informační povinnosti správce vůči subjektu údajů uvedená v čl. 14 odst. 5 písm. b), který dovozuje, že v těchto případech poskytnutí informací subjektů není možné nebo by vyžadovalo nepřiměřené úsilí. Nicméně i v případech zpracování osobních údajů pro účely vědecké, historické a statistické platí, že musí být vždy poskytnuty záruky uvedené v čl. 89 odst. 1 (vhodná technická a organizační opatření, minimalizace údajů a pseudonymizace tam, kde je to možné) a že správce musí přijmout vhodná opatření na ochranu subjektu údajů, včetně zpřístupnění daných informací veřejnosti, tedy zpravidla na svých webových stránkách.

GDPR v čl. 89 odst. 2 umožňuje mimo jiné členským státům ve svém vnitrostátním právním řádu stanovit odchylky od práva na námitky dle čl. 21 v případě zpracování osobních údajů pro vědecké, historické a statistické účely. Návrh adaptačního zákona však této možnosti nevyužil.

Související literatura:

VOIGT, P., VON DEM BUSSCHE, A. The EU general data protection regulation (GDPR). New York, NY: Springer Berlin Heidelberg, 2017.

GIERSCHMANN, S., SCHLENDER, K., STENTZEL R., VEIL, W. Kommentar Daten­schutz-Grundverordnung. Köln: Bundesanzeiger Verlag, 2018

NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B., TOMÍŠEK, J. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. Praha: Wolters Kluwer ČR, 2017.

Názory a rozhodovací praxe ÚOOÚ:

ÚOOÚ. Práva subjektu údajů, vytvořeno/změněno: 27. 10. 2017

Stanoviska WP29:

WP174, Opinion 4/2010 on the European code of conduct of FEDMA for the use of personal data in direct marketing, adopted on 13 July 2010

WP90, Opinion 5/2004 on unsolicited communications for marketing purposes under Article 13 of Directive 2002/58/EC, adopted on 27 February 2004

Další dokumenty:

Federation of European Direct Marketing. EUROPEAN CODE OF PRACTICE FOR THE USE OF PERSONAL DATA IN DIRECT MARKETING.

Federation of European Direct Marketing. European Code of Practice for the Use of Personal Data

Federation of European Direct Marketing. European Code of Practice for the Use of Personal Data – Electronic Communications Annex 

 

Ukázka z knihy Obecné nařízení o ochraně osobních údajů (GDPR). Data a soukromí v digitálním světě. Komentář. (488 stran, vázaná, 978-80-7502-288-2; 2018), kterou lze zakoupit v nakladatelství Leges.