ÚOOÚ udělil nejvyšší pokutu v historii GDPR v Česku. Společnost Avast má zaplatit 351 milionů korun za porušení ochrany osobních údajů. Jak přísně hodnotí ÚOOÚ povinnost anonymizace osobních údajů? A které argumenty Avastu smetl Úřad ze stolu?
Komukoliv, kdo se pohybuje v oblasti ochrany osobních údajů, nota bene IT, určitě neuniklo, že společnost Avast obdržela od ÚOOÚ v České republice naprosto bezprecedentní pokutu ve výši 351 milionů korun, a to za prodej osobních údajů svých uživatelů prostřednictvím jedné z dceřiných společností.
Tato pokuta byla v rámci rozkladového řízení potvrzena ze strany předsedy ÚOOÚ, který se se závěry svého úřadu prakticky plně ztotožnil. Už jen kvůli výši pokuty by tak předmětná věc neměla uniknout naší pozornosti. Kdo by si chtěl pročíst obě rozhodnutí, musí si na to vyčlenit poměrně hodně času, neboť prvostupňové rozhodnutí má 26 stran (ke stažení zde) a druhostupňové dokonce 57 stran (ke stažení zde).
Cílem tohoto článku je zaměřit se na některé základní aspekty rozhodnutí. Pochopitelně nelze do několika řádků shrnout okolo 80 zhusta popsaných stran argumentační bitvy mezi ÚOOÚ a pokutovanou osobou, ale pokusíme se vysvětlit to nejdůležitější.
Anonymizace, či pseudonymizace?
Pokud bychom měli velmi stručně objasnit podstatu celého sporu, postačila by k tomu jednoduchá otázka: Byly údaje, které měl Avast prostřednictvím své dceřiné společnosti ve skutečnosti prodávat, anonymizované, či pouze pseudonymizované?
Zatímco Avast byl prakticky přesvědčený o tom, že se mělo jednat o anonymizované údaje, ÚOOÚ ve svém rozhodnutí vyhodnotil, že předávané osobní údaje umožňovaly zpětnou identifikaci předmětných osob, a proto udělil pokutu ve smyslu § 62 odst.1 písm. a) zákona o zpracování osobních údajů, tedy za porušení některých z povinností čl. 8, 11, 25 až 39, 42 až 49 nařízení GDPR, a taktéž ve smyslu § 62 odst. 1 písm. a) zákona o zpracování osobních údajů, konkrétně za porušení některých zásad údajů podle čl. 5 až 7 nebo 9 nařízení GDPR.
Co se týče skutkových okolností, ÚOOÚ vyměřil předmětnou sankci za skutek, který měl probíhat v rozmezí dvou měsíců. Dle upraveného výroku v rámci rozhodnutí se měl týkat pseudonymizovaných údajů o historii prohlížení internetu, vztahujících se řádově ke 100 milionům uživatelů. Konkrétně šlo o uživatele antivirového programu, respektive jeho doplňků, což ÚOOÚ považoval obecně za přitěžující okolnost. Takoví uživatelé totiž užíváním předmětného softwaru sledovali co největší ochranu svých osobních údajů, přičemž dle ÚOOÚ jejich pohoršení svědčí o tom, že o předávání/prodávání svých údajů úplně nevěděli.
Argumentace obviněné strany
Obviněná společnost ve svých podáních vytyčila několik bodů, na základě kterých chtěla s ÚOOÚ svést právní bitvu s cílem zrušit prvostupňové rozhodnutí, v němž dle jejích slov ÚOOÚ postupoval v rozporu se zákonem.
Samotnou argumentaci můžeme rozdělit na dvě části – procesní, kde dle Avastu ÚOOÚ zatížil předmětné řízení a rozhodnutí vadami svého postupu, a hmotněprávní, kdy dle Avastu ÚOOÚ nevyložil nařízení GDPR a související pravidla správně.
Procesní argumentace
V rámci procesní argumentace Avast napadl některé dílčí kroky ÚOOÚ týkající se kontrolního i následujícího postupu, ale i vymezení samotného skutku. Samotné rozhodnutí ÚOOÚ napadl Avast s tím, že nedostatečně vymezuje předmětnou věc. Avast zjednodušeně řečeno údajně nevěděl, proti čemu se má bránit a jak uplatnit své právo na obhajobu. Lehce úsměvná je pak argumentace Avastu, že „se ze strany správního orgánu prvního stup ně jednalo o tzv. vyšetřovací rybářskou výpravu“. Předseda ÚOOÚ se s daným argumentem vypořádal v několika rovinách s poukazem na aktivitu Avastu i veškerý obsah spisu, ze kterého nevyplývá, že by Avast neměl možnost řádně uplatnit svoji obhajobu jako takovou.
Velká část procesní argumentace se však týkala i mezinárodní procedury – Avast nebyl přítomen u kooperačního řízení dozorových orgánů napříč EU, a argumentoval tak v duchu „o nás bez nás“. Předseda ÚOOÚ se však domnívá, že předmětný proces není řízením per se, v němž by měl Avast možnost svá práva uplatňovat, a odmítl tak premisu, že by měl povinnost Avast do této procedury více zapojit, popřípadě informovat o související komunikaci mezi dozorovými orgány, kterou Avastu odmítl zpřístupnit (a částečně pak zpřístupnil v rámci kontrolního řízení, dle slov ÚOOÚ spíše nadbytečně, to je však na delší pojednání).
Další z procesních argumentů se týkal legitimního očekávání. Před tímto řízením, jehož vyústěním byla předmětná pokuta, totiž ÚOOÚ údajně provedl ve společnosti Avast kontrolu, která byla ukončena sdělením, že inspektor ze strany ÚOOÚ neshledává prostor pro zahájení dalšího řízení. Avast se tak domnívá, že následné řízení, v němž mu byla uložena pokuta, zásadně zasahuje do jeho práv, protože mu bylo sděleno, že k tomu nedojde. Problém byl však v tom, že předmětná kontrola se týkala podnětu nizozemského úřadu a povaha anonymizovaných/pseudonymizovaných údajů nebyla v rámci ní vůbec řešena. Předseda tak tuto námitku odmítl s tím, že obě řízení sledují jiný účel, a legitimní očekávání tak u obviněné strany nastat nemohla.
Hmotněprávní argumentace
Oblast hmotného práva zahrnuje nejširší výměnu argumentace. Zahrnuje totiž diskuzi o povaze předmětných dat, která měla být ze strany Avastu poskytována, a sice diskuzi o tom, zda se jedná o pseudonymizované údaje, či anonymizované údaje. Avast totiž předával data v podobě, jež podle něj neumožňovala zpětnou identifikaci, s čímž se ÚOOÚ neztotožnil. Pro případné detaily je skutečně nutné nahlédnout do předmětného rozhodnutí, jelikož obsahuje relativně podrobný popis anonymizace, včetně nahrazování jednotlivých identifikátorů (GUID, JID a podobně), a taktéž se zabývat otázkou, jak široká je vlastně definice osobních údajů ve vztahu k možné budoucí identifikaci subjektu údajů.
ÚOOÚ se v tomto bodě přiklání k dosavadní judikatuře (již známe zejména z případu Breyer) a celkem lapidárně shrnuje, že proces anonymizace je nesmírně těžký postup, který ne nutně vždy vede k zamýšlenému účinku. V tomto duchu tak ÚOOÚ shrnuje, že není rozhodující, zda lze z „anonymizovaných údajů“ zpětně zrekonstruovat všechny subjekty údajů, stačí, že lze zrekonstruovat jenom jejich zlomek. Což byl podle ÚOOÚ tento případ, jelikož dceřiná společnost propagovala prodej předmětných datasetů se sdělením, že „kupující“ mohou předmětná data spojit i s jinými databázemi a díky tomu lépe využívat marketingové trendy, jež mají vyplývat z částečně redigované historie procházení webu jednotlivými uživateli.
O pseudonymizaci se jedná, i když lze zpětně identifikovat jen zlomek subjektů
Předmětné rozhodnutí je v tomto bodě poměrně přínosné, neboť diskuze nad objektivním pojetím definice osobních údajů jsou poměrně časté. ÚOOÚ tak doplňuje důležité body, například že veškeré informace nezbytné k identifikaci nemusejí být v rukou jednoho správce, popřípadě že smluvní závazek dceřiné společnosti neprovádět zpětnou identifikaci není zdaleka dostačující. Lehce úsměvným momentem (spíše bez právní relevance) je skutečnost, že ÚOOÚ v rámci řízení použil i informace ze sociálních sítí, kde obviněná společnost sdílela například příspěvek ve znění: „Ačkoli to zní znepokojivě, je velmi snadné identifikovat Vás v ano nymizovaném souboru dat. Nová studie zjistila, že k deanonymizaci dat a jejich vystopování zpět k Vám není třeba mno ho.“, přičemž odkazovala na článek Pardon, Vaše anonymizované údaje pravdě podobně nejsou anonymní. V okamžiku, kdy se snažíte prokázat, že váš proces anonymizace je naprosto neprůstřelný, vám takový příspěvek (jejž obviněná osoba sama smazala) moc nepomáhá.
Pojďme se ale podívat na to nejdůležitější, a to je právě právní titul. Poměrně zajímavou argumentaci totiž Avast zvolil pro případ, že by se skutečně jednalo o pseudonymizované, nikoliv anonymizované údaje. Zde je třeba znovu zdůraznit, že pseudonymizované údaje jsou stále osobními údaji a jako s takovými je nutné s nimi nakládat, nevyjímaje povinnosti získat právní titul či poskytnout informace. Avast v tomto případě přišel s tezí, že pokud by ÚOOÚ měl vyhodnotit, že se skutečně jedná o osobní údaje, dle jeho názoru je zpřístupnění takových údajů v souladu se slučitelností účelů dle čl. 6 odst. 4 GDPR, alternativně by takové zpracování probíhalo na základě oprávněného zájmu správce.
A právě zde předseda ÚOOÚ upozornil na poměrně zásadní věc – v rámci zpracování osobních údajů platí, že máme v zásadě jen jeden pokus. Není tedy přípustné definovat právní titul na základě hypotetických podmínek, neboť by to znamenalo, že se tak trochu doznáváme k tomu, že sami nevíme (nechceme vědět), jakým způsobem předmětné zpracování řešíme. Tím spíše se jedná o porušení zásady transparentnosti, pokud nejsme schopni v rámci vlastní dokumentace popsat, zda je zpracování anonymní, nebo zda probíhá na základě nějakého právního titulu. Zjednodušeně řečeno, argumentovat oprávněným zájmem, který jsme však ani neposoudili, není taktika, jež by u ÚOOÚ obstála.
Přitěžující a polehčující okolnosti
Závěr dokumentu je věnován argumentaci, jež se týká kritérií pro stanovení sankcí, konkrétně polehčujícím okolnostem, ke kterým měl ÚOOÚ dle Avastu přihlédnout, ale nepřihlédl. Například k faktu, že Avast dosud nebyl trestán, ÚOOÚ nepřihlédl s tím, že absence předchozího porušení není polehčující okolností, naopak recidiva by měla být okolností přitěžující. Stejně tak se ÚOOÚ vypořádal s námitkou, že nedocházelo ke zpracování osobních údajů citlivého charakteru, tedy zvláštní kategorie osobních údajů.
Jako lichý se pak zdál být i argument, že předmětné řízení bylo poměrně dlouhé a ÚOOÚ by měl zohlednit skutečnost, že předmětná sankce je ukládána po značném časovém odstupu, čímž zcela určitě postrádá nápravný a motivační efekt, nota bene v situaci, kdy obviněná společnost sama podnikla kroky vedoucí ke zrušení předmětné dceřiné společnosti. Předseda ÚOOÚ však tuto námitku neakceptoval s tím, že sama obviněná strana se svými žádostmi o prodloužení lhůt, žádostmi o nařízení ústních jednání, ale také neposkytnutím součinnosti (ÚOOÚ si například vyžádal některé dokumenty, jež Avast odmítl předložit) poměrně zásadně zasadila o to, aby předmětné řízení prodloužila.
Jako zajímavou až humornou můžeme hodnotit odpověď předsedy ÚOOÚ na námitku Avastu, že GDPR bylo v době jeho pochybení (rok 2019) poměrně nové a ne všechna výkladová stanoviska byla dostupná. ÚOOÚ k tomu uvedl následující: „Odvolacímu orgánu na tomto místě nezbývá než vyjádřit jistou míru podivu, či dokonce znepoko jení z možné činnosti obviněné předchá zející použitelnosti nařízení […].“ Jak totiž předseda uvedl, otázka anonymizace dat, nezbytnosti získání právního titulu, ale ani poskytování informací není nic nového, co by neplatilo i před GDPR (předmětné povinnosti upravoval zákon o ochraně osobních údajů z roku 2000).
Co si z případu odnést?
Rozhodnutím v předmětném případu se ÚOOÚ zařadil mezi evropské dozorové orgány, které v případě porušení pravidel ochrany osobních údajů nemají problém sáhnout po vysokých sankcích. V tuto chvíli můžeme téměř s jistotou říci, že předmětné rozhodnutí bude podrobeno soudnímu přezkumu. Do této doby jsme však dostali poměrně jednoznačný pohled na to, co si ÚOOÚ o dané problematice myslí a jak hodlá v podobných věcech postupovat. Jak prvostupňové, tak druhostupňové rozhodnutí obsahují poměrně zajímavé pasáže, které upřesňují, jak ÚOOÚ některá ustanovení vykládá. I když cílem tohoto článku nebyl podrobný rozbor celé věci, což s ohledem na její rozsah není možné, věříme, že si z něj čtenář odnese přinejmenším zájem si předmětná rozhodnutí pročíst.
Yorumlar