Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem

  1. Úvod
  2. Novinky
  3. Vše
  4. Článek
Datum zveřejnění
Zpět na seznam

Nejvyšší správní soud zamítl kasační stížnost společnosti SMS finance, a.s., proti rozhodnutí Městského soudu v Praze, ve kterém pro nedůvodnost zamítl správní žalobu této společnosti proti rozhodnutí Úřadu pro ochranu osobních údajů. V předmětném rozhodnutí Úřadu bylo společnosti uloženo provést výmaz osobních údajů vztahujících se k osobám, vůči kterým je v postavení správce, a k jejichž zpracování nedoložila adekvátní právní titul. Nejvyšší správní soud ve svém rozsudku potvrdil závěr Úřadu, že společnost je v postavení správce i ve vztahu k osobním údajům, jež pro ni zpracovávají samostatní zprostředkovatelé, neboť určila účel tohoto zpracování.

Úřad uložil společnosti SMS finance, a.s., vymazat osobní údaje fyzických osob, k jejichž zpracování nedoložila právní titul podle čl. 6 obecného nařízení. Jednalo se zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti (spolupracovnice poskytující a propagující služby jménem společnosti), která oslovila potenciálního klienta na základě dat, k jejichž získání nebyla společnost schopna doložit řádný právní titul (vázaná zástupkyně se v telefonním rozhovoru se subjektem údajů představila jménem společnosti).  

Společnost SMS finance, a.s., se následně obrátila na Městský soud v Praze. Ve správní žalobě proti rozhodnutí Úřadu společnost uvedla, že se neztotožňuje s právním posouzením Úřadu ve vztahu k tomu, že se v rámci zpracování osobních údajů prováděného jejími vázanými zástupci nachází v postavení správce. Společnost postavila svoji obhajobu na argumentu, že za nesprávně zpracovávané osobní údaje neodpovídá ona, nýbrž její spolupracovníci jako vázaní zástupci, kteří jsou samostatnými podnikatelskými subjekty. Městský soud v Praze se však s tímto názorem neztotožnil a správní žalobu společnosti zamítl.  

Zamítnuta byla také následná kasační stížnost, kterou společnost podala k Nejvyššímu správnímu soudu (dále jen „NSS“). NSS ve svém odůvodnění konstatoval, že i když zpracovatel (v tomto případě ona vázaná zástupkyně) ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost. „Specifikace vztahu, povinností a zodpovědnosti mezi správcem a zpracovatelem bývá důvodem častých nedorozumění, už jen proto, že se ve své podstatě jedná o spolupráci dvou podnikatelských subjektů. Obecné nařízení však za nositele odpovědnosti považuje správce, tedy toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je potom ten, kdo pracuje pro správce,“ shrnul rozhodnutí předseda Úřadu Jiří Kaucký.

NSS se ztotožnil s posouzením Městského soudu v Praze, že Úřad v daném případě oprávněně považoval společnost SMS finance, a.s., za správce osobních údajů, když uvedl, že: „[…] vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny ‚jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní, zprostředkovatelské služby, musí k tomu mít ‚co zprostředkovávat‘". Jak dále uvedl NSS, vázaná zástupkyně společnosti „[…] v rámci své činnosti zprostředkovávala služby stěžovatele, v rámci čehož docházelo i ke shromažďování osobních údajů potenciálních klientů, které shromažďovala a zpracovávala právě za účelem určeným stěžovatelem.“

„NSS tedy uzavřel, že Úřad a Městský soud v Praze dospěly ke správnému závěru, že stěžovatel byl v pozici správce údajů s důsledky z toho plynoucími“, vysvětlil Jiří Kaucký.

Anonymizované rozhodnutí je k dispozici na stránkách NSS.

V této souvislosti je vhodné připomenout, že oblast vztahů správců a zpracovatelů, včetně popisu jejich rolí a povinností, shrnul Úřad v Základní příručce k ochraně údajů. Více informací naleznete také v aktuálních, zatím pouze v angličtině dostupných Guidelines 07/2020 on the concepts of controller and processor in the GDPR Evropského sboru pro ochranu osobních údajů. Posledním českým překladem této problematiky je Stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ mezinárodní Pracovní skupiny WP29, která vykládala evropskou směrnici předcházející obecnému nařízení (nyní tento úkol převzal právě Evropský sbor pro ochranu osobních údajů).