Pověřenec pro ochranu osobních údajů a internetové obchody

V rámci komunikace s internetovými obchodníky jsme zaznamenali řadu dotazů souvisejících s problematikou tzv. pověřence pro ochranu osobních údajů dle čl. 37 Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“). Konkrétně, zdali nařízení stanoví pro provozovatele internetových obchodů povinnost takového pověřence jmenovat či nikoliv. Této problematice je tak věnován tento právní oběžník.

Ustanovení čl. 37 odst. 1 nařízení uvádí tři případy, kdy je správce či zpracovatel osobních údajů povinen pověřence jmenovat, přičemž dva z těchto případů nebudou na běžné internetové obchody dopadat. Jedná se zpracování osobních údajů orgány veřejné moci a o zpracování zvláštní kategorie osobních údajů (tzv. citlivých osobních údajů podle současné terminologie). V oblasti internetových obchodů tak připadá v úvahu pouze situace podle ustanovení čl. 37 odst. 1 písm. b) nařízení. To stanoví, že „správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů…“ Je tedy zřejmé, že případná povinnost jmenovat pověřence by se odvíjela primárně od charakteru aktivit konkrétního obchodníka (sledování chování uživatele internetu).

K interpretaci ustanovení čl. 37 odst. 1 písm. b) nařízení je nutné na úvod uvést, že samotné nařízení se zabývá problematikou zpracování osobních údajů a nikoliv těch údajů, na základě kterých nelze identifikovat konkrétní fyzickou osobu či těch údajů, které se nevztahují ke konkrétní již identifikované fyzické osobě. To znamená, že pokud při aktivitách internetového obchodníka nedochází ke sledování identifikované fyzické osoby (obchodníkovi jsou známy pouze obecné vlastnosti uživatele), regulace daná nařízením na toto jednání obchodníka vůbec nedopadá. Nicméně pokud obchodník provádí sledování konkrétně identifikovaných fyzických osob (kupříkladu dochází ke slučováním obecných informací poskytnutých mediálním serverem s informacemi v uživatelském účtu zákazníka), bude nutné se výkladem čl. 37 odst. 1 písm. b) nařízení zabývat podrobněji.

I vzhledem k tomu, že obsah nařízení neobsahuje další vodítka pro zodpovězení otázky, zdali je nutné pověřence jmenovat, pracovní skupina 29 vydala k této problematice stanovisko , ze kterého je možné vybrat následující informace. První řešenou otázkou je výklad pojmu „hlavní činnost“. V našem případě konkrétně, zdali lze činnost obchodníka spočívající ve sledování chování uživatelů považovat za hlavní činnost obchodníka, kterou je prodej zboží, či za činnost, která je neoddělitelná od hlavní činnosti obchodníka. Odpověď na tuto otázku nebude jednoduchá. Pracovní skupina uvádí, že „hlavní činnosti by však neměly být interpretovány způsobem vydělujícím aktivity, při nichž zpracování dat tvoří nedílnou součást činnosti správce nebo zpracovatele. Například, hlavní činnost nemocnice je poskytovat zdravotní péči. Nemocnice však nemůže poskytovat zdravotní péči bezpečně a účinně bez zpracování zdravotních dat, jako jsou zdravotní záznamy o pacientovi.“

Další otázkou bude, zdali lze sledování uživatelů prováděné obchodníkem považovat za rozsáhlé monitorování. Pracovní skupina 29 doporučuje vzít při určování rozsáhlosti monitorování v úvahu následující faktory: počet dotčených subjektů údajů, objem dat a/nebo rozsah různých datových položek, doba trvání nebo nepřetržitost zpracování a územní rozsah zpracování. Pracovní skupina 29 uvádí mezi příklady rozsáhlého zpracování také „zpracování osobních údajů vyhledávačem pro potřeby behaviorální reklamy“. Nicméně v této souvislosti je nutné poznamenat, že sledování prováděné obchodníkem se ve svém rozsahu liší od sledování prováděného provozovateli vyhledávačů, mediálních serverů či sociálních sítí. Zřejmě s výjimkou největších koncernů provádí obchodníci sledování uživatelů nejčastěji pouze na svých webových stránkách, přičemž další informace čerpají od třetích osob. Poslední částí hypotézy ustanovení čl. 37 odst. 1 písm. b) nařízení, kterou je nutné ve vztahu k monitorování subjektů údajů vyložit, tvoří slovní spojení „pravidelné a systematické“. Zde zřejmě dojdeme k závěru, že pokud se obchodník při své podnikatelské činnosti zabývá monitorováním uživatelů jeho webových stránek, bude tak činit pravidelně a systematicky.

Z výše uvedeného tak vyplývá, že na otázku, zdali je internetový obchodník povinen jmenovat od 28/5/2018 pověřence pro ochranu osobních údajů, neexistuje v tuto chvíli bohužel jednoznačná obecná odpověď. V řadě případů tato povinnost na obchodníka nedopadne, a to konkrétně v případech, kdy sledování uživatelů vůbec neprovádí či pokud nejsou obchodníkem sledováni identifikovaní uživatelé. Nicméně pokud jsou obchodníkem sledování identifikovaní uživatelé (fyzické osoby), může dle našeho názoru docházet přinejmenším ke sporným situacím. Pro náležité vyjasnění této problematiky bude nutné vyčkat až na další výkladová stanoviska příslušných orgánů.

Pro úplnost na závěr doplňujeme, že nařízení pochopitelně umožňuje každému správci či zpracovateli dobrovolné jmenování pověřence pro ochranu osobních údajů.

Josef Aujezdský, advokát

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 7/2017 určený členům tohoto spolku.

16.05.2019
autor: Josef Aujezdský