GDPR - 2. díl: Územní a věcná působnost aneb na jaké subjekty se GDPR vztahuje?
Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 15. 11. 2017 12:07 | Přečteno: 5370XV minulém článku nazvaném „GDPR – nová úprava nakládání s osobními údaji“ jsme si nastínili ty nejdůležitější změny, které přináší nařízení Evropského Parlamentu a Rady č. 2016/679 - obecné nařízení o ochraně osobních údajů (dále „Nařízení”) neboli „GDPR“ (jako „General Data Protection Regulation“). V tomto článku se začneme zabývat konkrétními aspekty, kterých se Nařízení dotýká, v nichž přináší změny oproti dosavadní právní úpravě vycházející ze Směrnice č. 95/46/ES o ochraně osobních údajů (dále „Směrnice“), a které budou muset (nejen) podnikatelé vzít při jeho implementaci v potaz.
Nejdříve považujeme za nutné vysvětlit, jaká je působnost Nařízení a na jaké subjekty tedy Nařízení dopadá – jak z hlediska věcného, tak i z hlediska teritoriálního (přičemž „subjekty“ v tomto případě nemáme na mysli „subjekty údajů“, tedy fyzické osoby jejichž osobní údaje jsou chráněny, ale jakékoli osoby, které mohou být kvalifikovány jako správci nebo zpracovatelé osobních údajů, a kterým tedy Nařízení ukládá povinnosti).
Věcná působnost určuje, na které činnosti v rámci zpracování osobních údajů se Nařízení vztahuje. Teritoriální (místní) působnost určuje, na jakém území je Nařízení aplikovatelné a vymahatelné. Zatímco z hlediska věcné působnosti žádná razantní změna oproti dosavadní právní úpravě vycházející ze Směrnice nenastala, v místní působnosti se koná hotová revoluce.
I.Věcná působnost
Nařízení vymezuje věcnou působnost v čl. 2, podle něhož se použije na:
a) zcela nebo částečně automatizované zpracování osobních údajů,
b) neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
Automatizované zpracování
V této souvislosti si připomeňme, že Nařízení pojem „zpracování“ osobních údajů definuje obdobně široce jako dosavadní Směrnice - lze jím tedy rozumět prakticky jakoukoli operaci záměrně prováděnou s osobními údaji, včetně jejich shromažďování, ukládání na datové nebo fyzické nosiče, seřazení podle nějakého kritéria, zpřístupnění třetí osobě, jejich výmaz apod. Z výše uvedeného vymezení věcné působnosti lze dovodit, že Nařízení se vztahuje primárně na jakékoli zpracování osobních údajů prováděné automatizovanými prostředky - tedy na jejich ukládání do jakýchkoli elektronických databází, nebo na provádění výpočetních operací s daty zahrnujícími osobní údaje prostřednictvím elektronických zařízení, schopných data jakkoli prohledat, setřídit, exportovat apod. Pokud tedy podnikatel ukládá osobní údaje svých zákazníků do elektronické databáze, uložené na nějakém lokálním nebo síťovém zařízení (včetně cloudového úložiště), provádí automatizované zpracování osobních údajů, které je Nařízením regulováno.
Neautomatizované zpracování
Pokud se jedná o neautomatizované zpracování, na to Nařízení dopadá pouze v případě, že jsou takto zpracovávané údaje obsaženy v tzv. evidenci nebo do ní mají být zařazeny. „Evidence“ je regulovaným pojmem, který Nařízení definuje jako „jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska“. Jakákoli databáze obsahující osobní údaje, v níž mohou být konkrétní údaje vyhledány podle určitého kritéria (např. umožňující hledání podle jména, telefonního čísla, identifikačního čísla apod.) je považována za evidenci, a na její vedení se tudíž Nařízení vztahuje (pochopitelně pod podmínkou, že obsahuje nějaké osobní údaje). Za příklad databáze, která není ve smyslu této definice považována za evidenci, je uváděna krabice s dokumenty, uspořádanými pouze chronologicky podle jednotlivých let – taková krabice neumožňuje dohledání konkrétních informací, byť by obsahovaly osobní údaje, a na její uchovávání (ano, i to je „zpracováním“ ve smyslu výše uvedené definice!) nebude Nařízení dopadat. Pokud by však dokumenty v krabici byly uspořádány tak, aby umožňovaly dohledání osobních údajů podle abecedy, věku nebo různých dalších kritérií, pak už by se jednalo o evidenci (byť nevedenou automatizovanými prostředky), a Nařízení by na uchovávání takové krabice dopadalo.
Výluky z věcné působnosti – na jaké zpracování se Nařízení nevztahuje
Dosavadní Směrnice definuje věcnou působnost obdobně, pouze namísto „evidence“ hovoří o „rejstříku“. V rozsahu obdobném Směrnici rovněž Nařízení vymezuje i výluky z jeho aplikace. Z jeho působnosti je tak výslovně vyloučeno zpracování osobních údajů prováděné mj. při výkonu činností nespadajících do oblasti působnosti unijního práva, zpracování údajů samotnými orgány a institucemi EU upravené samostatným nařízením, dále zpracování prováděné fyzickými osobami výlučně při výkonu osobních či domácích činností, nebo zpracování prováděné orgány činnými v trestním řízení při odhalování a vyšetřování trestné činnosti. Nejširší výlukou bude pochopitelně právě výluka pro fyzické osoby vykonávajících osobní činnosti – preambule Nařízení tuto výluku upřesňuje tak, že se má jednat o zpracování bez souvislosti s profesní nebo obchodní činností, probíhající například při korespondenci a vedení adresářů nebo při využívání sociálních sítí a internetu v souvislosti s těmito činnostmi.
Aplikace věcné působnosti by tedy neměla činit žádné zásadní problémy. Zejména s ohledem na všeobjímající definici pojmu „zpracování“ osobních údajů se nemusíme obávat, že by najednou bylo Nařízení aplikováno na činnosti, které na které se dosavadní Směrnice pojmově neaplikovala. Je však nutno si uvědomit, že Nařízení rozhodně nedopadá pouze na podnikatele nebo pouze na právnické osoby – i podnikající fyzické osoby, anebo nepodnikatelské subjekty, počínaje státem přes samosprávné celky až po neziskové a příspěvkové organizace budou rovněž provádět zpracování osobních údajů, budou považovány za správce nebo zpracovatele osobních údajů a budou tedy nuceny se Nařízením řídit.
II.Místní působnost
Rozsáhlé změny nastanou s účinností Nařízení v tom, na jaké správce nebo zpracovatele osobních údajů bude aplikováno z hlediska teritoriálního. Předně se Nařízení vztahuje na zpracování osobních údajů související s činnostmi provozovny správce nebo zpracovatele v EU. Pojem „provozovna“, v anglickém znění Směrnice i Nařízení uváděn jako „establishment“, byl již dříve vykládán judikaturou Soudního dvora EU (vydanou ještě podle Směrnice), podle níž je tento pojem nutno vykládat co nejvíce široce a flexibilně. Provozovna podle této judikatury zahrnuje jakoukoliv efektivní a skutečnou činnost, i minimální, vykonávanou prostřednictvím stálého zařízení – k tomu postačuje například výkon činnosti jedním obchodním zástupcem v dané zemi, korespondenční adresa nebo existence bankovního účtu pro přijímání plateb. V žádném případě tedy nelze působnost Nařízení vyvozovat pouze ze zapsaného sídla společnosti, místa podnikání fyzické osoby nebo zapsané adresy organizační složky. Na jakýkoliv subjekt, vykazující známky umístění reálné provozovny na území EU a v souvislosti s touto provozovnou zpracovávající osobní údaje, bude Nařízení dopadat.
Kritérium místní působnosti budou pochopitelně splňovat veškeré státní instituce, organizační složky státu i samosprávné celky – v případě, že na ně nebude dopadat některá z výše uvedených výluk (zejm. výluka vztahující se k odhalování trestné činnosti), pak budou všechny státní instituce i orgány územní samosprávy nuceny Nařízení implementovat.
Základním kritériem pro posouzení místní působnosti tedy bude existence provozovny a zpracovávání osobních údajů v souvislosti s touto provozovnou. Vedle toho však Nařízení zavádí další kritéria, podle nichž lze Nařízení aplikovat i na správce či zpracovatele, kteří na území Evropské Unie žádnou provozovnu nemají. Pokud takový správce nebo zpracovatel zpracovává osobních údaje osob nacházející v Evropské Unii, Nařízení se na takové zpracování vztahuje v případě, že:
- takové zpracování souvisí s nabídkou zboží nebo služeb těmto subjektům údajů (tedy fyzickým osobám) v Unii, bez ohledu na to, zda je od nich požadována platba, nebo
- zpracování souvisí s monitorováním chování osob, pokud k němu dochází v rámci EU.
Nabízení zboží osobám v EU
Ke splnění kritéria nabízení zboží subjektům údajů nepostačuje například existence pouhých internetových stránek, přístupných z území EU. Z činnosti správce musí vyplývat, že jeho aktivity skutečně cílí na osoby nacházející se v EU. Cílením na osoby nacházející se v EU se již v minulosti (ve vztahu ke Směrnici) zabýval Soudní dvůr EU, když uvedl, že takový vztah lze dovodit nejen v případech např. lokalizace internetových stránek do jazyka některé ze zemí v EU nebo nabízením možnosti úhrady kupní ceny v měně některé ze zemí EU, ale může jej indikovat rovněž užití placených nástrojů poskytovaných vyhledávači usnadňujících vyhledání stránek osobám z EU, užití některé evropské národní domény nejvyšší úrovně (.cz, .eu apod.), telefonního kontaktu s evropskou předvolbou, nebo třeba jen užití referencí odkazujících na subjekty sídlící v EU. Z těchto ukazatelů, případně z kombinace vícero z nich, lze tudíž dovozovat záměr daného správce osobních údajů cílit svou nabídku na osoby nacházející se v EU, a aplikovat na něj Nařízení, byť v EU nemá sídlo, zástupce, ani k ní nemá žádný jiný vztah.
Monitoring chování osob
Druhý případ – tedy souvislost s monitoringem chování subjektů údajů, pokud k němu dochází v EU, dává Nařízení ještě větší dosah. Je jisté, že toto rozšíření působnosti Nařízení se vztahuje primárně na technologické organizace provádějící sběr dat o uživatelích internetu pomocí nejrůznějších technologií (od cookies až po sofistikovanější metody), a souvisí s razantním postupem institucí EU namířeným proti globálním technologickým firmám jako Google, Microsoft apod. (nejen v oblasti ochrany osobních údajů, důkazem čehož je známý rozsudek Soudního dvora z roku 2014 ohledně „práva být zapomenut“, ale rovněž v oblasti hospodářské soutěže, jak je vidět z nedávné pokuty udělené Evropskou komisí společnosti Google za zkreslování výsledků vyhledávání). Monitoring zahrnuje sledování uživatelů při jejich on-line aktivitách za účelem zjišťování jejich preferencí, chování a postojů, což regulovala i dosavadní Směrnice, tato však k působnosti vyžadovala, aby k takovému zpracování osobních údajů docházelo v souvislosti s činností „provozovny“ (viz výše) správce na území EU, nebo aby správce ke zpracování údajů využíval alespoň vybavení umístěné na území EU. Nyní však k aplikaci Nařízení postačuje, aby docházelo k monitorování on-line chování subjektů osobních údajů, aniž by správce měl v EU zřízenu jakoukoli provozovnu ve výše uvedeném smyslu. Takoví správci mají povinnost jmenovat v EU svého zástupce pro zpracování osobních údajů, který musí být usazen v některé z členských zemí, v nichž se nachází osoby, jejichž chování je monitorováno.
Zůstává pochopitelně otázkou, jaká bude reálná vymahatelnost Nařízení vůči takovým správcům, kteří se žádným způsobem nenacházejí v dosahu působnosti příslušných orgánů EU. Minimálně tím však bude vytvářen vysoký tlak na všechny subjekty z EU, které s těmito správci navazují spolupráci zahrnující zpracování, případně i předávání osobních údajů, aby tyto non-EU subjekty smluvně zavázali k dodržování Nařízení, a sami se tak vyhnuli možným sankcím za porušování Nařízení.
Závěr
Jak je patrné, Nařízení budou podřízeny všechny subjekty sídlící v EU, pokud na ně nedopadá některá z výluk z věcné působnosti Nařízení. Vedle toho však budou muset dopady Nařízení zvažovat i všichni další správci či zpracovatelé, zpracovávající ve výše uvedeném smyslu osobní údaje subjektů nacházejících se v EU za účelem nabídky zboží nebo služeb nebo monitoringu jejich chování, a to i tehdy, kdy v EU nemají žádné sídlo, reálnou provozovnu nebo nevykazují jakýkoli znak, z něhož by podle dosavadních přístupů mohla být existence provozovny dovozována. Teprve praxe ukáže, nakolik bude EU schopna Nařízení vůči takovým subjektům přímo vymáhat.
Tento článek vyšel v časopise IT Systems č. 9/2017 v rámci seriálu "GDPR od A do Z".
Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz
Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.