• Josef Bátrla

Citlivé osobní údaje zpracováváte častěji, než si myslíte

Opravdu víte, co všechno spadá do zvláštní kategorie osobních údajů? SDEU nedávno potvrdil, že definice citlivých osobních údajů je mnohonásobně širší, než si mnozí myslí. Jak nový výklad dopadne na zpracování osobních údajů pro marketingové účely?


Dodržovat podmínky zpracování osobních údajů v GDPR nebývá vždy úplně jednoduché. Náročnější než zpracování osobních údajů je snad jen zpracování cit­livých osobních údajů. V kombinaci s marketingem to může být učiněná noční můra. Důvod spočívá samozřejmě v tom, že zpracování zvláštních kategorií osobních údajů podléhá speci­fické úpravě, která stanovuje dodatečné podmínky, jejichž splnění je nutné pro zpracování těchto údajů.

Mnohdy však správci osobních údajů zpracovávají zvláštní kategorie osobních údajů a nevědí o tom. Jak moc široké je pojetí zvláštních kate­gorií osobních údajů, si ukážeme na nedávném rozhodnutí Soudního dvora Evropské unie. Soudní dvůr se v rozhodnutí ve věci C-184/20 věnoval právě tomu, zda lze za citlivé osobní úda­je považovat i takové údaje, které citlivé nejsou, ale dá se z nich takový údaj odvodit.


O co v daném sporu šlo?

Předmětný spor se odehrál v Litvě (pro účely tohoto článku celý proces velmi zjednodušíme). Tamní legislativa řešící střet zájmů ukládá některým vyšším úředníkům či osobám v obdobném postavení předložit své pro­ hlášení o soukromých zájmech. Cílem je předcházet korupci, k čemuž má sloužit právě prohlášení, kde dotčená osoba uvede různé informace, které se týkají rodinného života, ale i přijatých darů a podobně. Toto prohlášení se pak v rámci veřejnoprávní kontroly zveřejní na internetových stránkách, kde je každému dostupné.


To se však nezamlouvalo jednomu řediteli litevské veřejnoprávní organizace na ochranu životního prostředí, která je příjemcem veřejných prostředků. Ředitel se však necítil povinnou osobou a uvedl, že pokud by měl prohlášení zveřejnit, bylo by to v rozporu s ochranou osob­ních údajů, neboť by zveřejnění takových osobních údajů zasahovalo do jeho práva na respektování soukromého života a taktéž i do práv ostatních osob, které by byl povinen ve svém prohlášení uvést. Takové informace, včetně označení manželky/manžela, partnerky/partnera a podobně, bylo totiž povinné do prohlášení zahrnout.


Co na to říká SDEU?

Celý spor došel až před litevský soud, který SDEU položil otázku, jak vlastně vykládat ustanovení čl. 9 GDPR, které se týká zvláštních kategorií osobních údajů. V rámci dotazu se uvádí, že „osobní údaje obsažené v prohlášení o soukromých zájmech mohou odhalovat informace o soukromém životě osoby povinné předložit prohlášení a její/ho manžela/manželky, druha/družky či partnera/partnerky, jakož i jejich dětí, takže jejich zveřejnění může porušit právo dotyčných osob na respektování jejich soukromého života. Tyto údaje by totiž mohly odhalit zvláště citlivé informace, jako například skutečnost, že dotyčná osoba žije v nesezdaném soužití nebo s osobou stejného pohlaví, jejichž zveřejnění by mohlo způsobit značné nepříjemnosti v soukromém životě těchto osob. Údaje o přijatých darech a transakcích uskutečněných osobou povinnou předložit prohlášení a jejím manželem/její manželkou, druhem/družkou či partnerem/partnerkou rovněž odhalují určité podrobnosti o jejich soukromém životě. Údaje o blízkých osobách nebo známých osoby povinné předložit prohlášení, které mohou být příčinou střetu zájmů, kromě toho odhalují informace o rodině osoby povinné předložit prohlášení a o jejích osobních vztazích.“

SDEU se zaměřil na klíčovou otázku, která se týkala hlavně zveřej­nění daného prohlášení, a rekapituloval to, co je nám již důvěrně známé. Definici zpracování osobních údajů, zvláštních kategorií osobních údajů, jakož i povinnosti při zpracování (zejména dodržování zásad, splnění podmínky právního titulu a taktéž splnění dodatečné podmínky dle čl. 9 GDPR) bychom měli znát důkladně. V tomto duchu však SDEU připomněl, že abychom se při zpracování osobních údajů mohli obecně opřít o nezbytnost pro splnění právní povinnosti, je nutné, aby takový zákon splňoval podmínky čl. 6 odst. 3 GDPR. Jmenovitě to, že takový účel musí skutečně odpovídat cíli veřejného zájmu a musí být přiměřený sledovanému legitimnímu cíli.


V rámci daného případu SDEU pojednal o tom, že povaha daného prohlášení, jež je předmětem předběžné otázky, jistě sleduje cíle transparentní správy věcí veřejných. Předmětný nástroj má totiž sloužit jako záruka nestrannosti rozhodování a předcházení střetu zájmů. Obecně tak SDEU uvedl, že boj proti korupci a předcházení střetu zájmů určitě je ve veřejném zájmu a potažmo legitimní. Ke stejnému závěru dospěl SDEU i co se týče schopnosti prohlášení přispět k deklarovaným cílům. Zde SDEU shrnul, že zveřejnění určitých informací o osobě, která má rozhodovací pravomoc, může přispět k odhalení existence případných střetů zájmů, což samo o sobě motivuje tyto osoby se takovému jednání vyvarovat.


Zjednodušeně řečeno je tak pro nás klíčová jediná otázka, kterou se SDEU zabýval – může zveřejnění jmenovitých údajů o manželce/manželovi, družce/druhovi, partnerce/partnerovi přispět ke sledovanému cíli? Zde SDEU stejně jako generální advokát uvedl, že v souladu se zásadou minimalizace by postačovalo, kdyby se pro účely zveřejnění uváděl pouze obecný pojem manžel/ka, druh/družka nebo případně partner/ka současně s příslušným označením zájmů, které uvedené osoby mají v souvislosti se svou činností. Co se týče povahy osobních údajů, SDEU uvedl následující: „Zveřejnění jmenovitých údajů o manželovi/manželce, partnerovi/partnerce či druhovi/družce osoby povinné předložit prohlášení nebo o osobách jí blízkých a známých na internetu, které mohou vést ke střetu zájmů, (…) může odhalit informace o některých citlivých aspektech soukromého života subjektů údajů, včetně například jejich sexuální orientace.“ To se týká nejen osob v rozhodovací pozici, ale právě i jejich partnerů, kteří mají ve vztahu k předcházení korupci a střetu zájmů úplně odlišnou pozici. Jejich údaje jsou pak volně přístupné na internetu po neomezenou dobu a pro neomezený počet lidí.


Definice zvláštních kategorií osobních údajů

SDEU se věnoval ve druhé předběžné otázce tomu, zda údaj o našem partnerovi/partnerce je údajem, který spadá pod zvláštní kategorie osobních údajů. Respektive slovy SDEU, „zda údaje, z nichž lze myšlenkovou asociací nebo dedukcí zjistit sexuální orientaci, spadají do zvláštní kategorie osobních údajů ve smyslu čl. 9 odst. 1 GDPR“.


Čl. 9 odst. 1 GDPR totiž zní takto: „Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.“


Z této definice SDEU vyvozuje, že předmětný zákaz se nevztahuje pouze na samotné údaje o sexuální orientaci, ale i na údaje, které nepří­mo umožňují na základě myšlenkového pochodu spočívajícího v dedukci nebo spojení souvislostí odhalit informace předmětné povahy. V tomto se však SDEU neshoduje s názorem generálního advokáta, který ve svém vyjádření uvedl, že mezi zpracováním a dotčenými osobními údaji by měla být přímější a bezprostřednější vazba z hlediska jejich vnitřní podstaty.


Dle SDEU by však takový výklad vedl k rozlišování v závislosti na druhu citlivých údajů a nebyl by v souladu s cíli GDPR. Zjednodušeně řečeno, SDEU se přiklání k širokému výkladu pojmu citlivé údaje s následujícím závěrem: „Tato ustanovení proto nemohou být vykládána v tom smyslu, že zpracování osobních údajů, které může nepřímo vést k odhalení citlivých údajů o fyzické osobě, je vyňato z režimu zvýšené ochrany stanoveného uvedenými ustanoveními, jinak by byl narušen užitečný účinek tohoto režimu a ochrana základních práv a svobod fyzických osob, kterou má tento režim zajistit. S ohledem na výše uvedené je třeba na druhou otázku odpovědět tak, že čl. 8 odst. 1 směrnice 95/46 a čl. 9 odst. 1 GDPR musí být vykládány v tom smyslu, že zveřejnění osobních údajů na internetových stránkách orgánu veřejné moci pověřeného shromažďováním a kontrolou obsahu prohlášení o soukromých zájmech, kterým může dojít k nepřímému odhalení sexuální orientace fyzické osoby, představuje zpracování zvláštních kategorií osobních údajů ve smyslu těchto ustanovení.“


Jaké to má pro nás důsledky?

Široké pojetí definice zvláštních kategorií osobních údajů znamená možný problém pro mnohé správce, který spočívá v tom, že s některými citlivými údaji (ať už nevědomky, nebo naschvál) pracují jako s obyčejnými kategoriemi osobních údajů. To může být poměrně zásadní problém právě ve vztahu například k marketingu, kde se spoléhají na oprávněný zájem – ten však pro splnění podmínek v rámci čl. 9 GDPR nestačí.


Pokud tedy například e-shop, který prodává zdravotní pomůcky či prostředky, používá osobní údaje pro účely marketingu, měl by pečlivě posoudit, zda z daných osobních údajů není možno odvodit některý z osobních údajů spadající do zvláštní kategorie – zejména tedy údaje o zdravotním stavu. Je totiž klidně možné, že na základě opakovaných nákupů je schopen vytvořit profil, prostřednictvím kterého může doporučovat zákazníkovi další sortiment týkající se jeho předchozích nákupů – v případě údajů o zdravotním stavu si však například v rámci e-mailové komunikace nevystačí se zákaznickou výjimkou, neboť ta sama o sobě neumožňuje zpracovávat údaje o zdravotním stavu. V tomto případě se tak nejspíš nevyhne souhlasu.


Takových případů může být mnoho, a je proto na místě provést revizi a zkontrolovat, zda se široká definice citlivých osobních údajů nevztahuje na některé z vašich operací.


Článek byl publikován v Elektronickém zpravodaji pro pověřence.