Kdy návštěva webových stránek vypovídá o sexuální orientaci?
Společnost Meta provozuje řadu sociálních sítí a komunikačních aplikací: Facebook, Instagram, WhatsApp a další. Uživatelská data spojuje do jednoho profilu, přidává k nim další údaje o aktivitě na internetu a výsledný profil využívá k adresnému marketingu.
Soudní dvůr Evropské unie se v této souvislosti zabýval několika otázkami: Je k takovému zpracování osobních údajů potřebný souhlas uživatele, nebo jej lze provádět na základě oprávněného zájmu? Pokud je nutný souhlas, jaké má mít náležitosti? A vypovídá návštěva specifických webových stránek, například online seznamky, o sexuální orientaci uživatele?[1]
Sledování uživatelů Facebooku
Při zřizování uživatelského účtu na některém z webů společnosti Meta musí uživatelé akceptovat smluvní podmínky. To by samo o sobě nebylo nic překvapivého. Součástí těchto smluvních podmínek však byl, u některých služeb stále je, i souhlas s vytvářením komplexního uživatelského profilu. K profilování se využívají data z různých produktů a aplikací provozovaných společností Meta (Facebook, Instagram atd.) a k tomu údaje o návštěvách a aktivitách uživatele i na dalších webových stránkách, které využívají některý z prvků od společnosti Meta, třeba facebookové tlačítko like.
S ohledem na velkou rozšířenost a oblibu nástrojů od Mety hovoříme o vytváření profilů velkého počtu uživatelů internetu. A navíc profilů, které mají k dispozici řadu informací o chování, zálibách, zájmech či preferencích každého uživatele. Zejména v kombinaci různých zdrojů jsou tak vytvářeny detailní profily.
Nabízí se otázka, zda „povinný souhlas“ nemůže s ohledem na postavení společnosti Meta představovat narušení volného trhu. A právě to řešil německý spolkový úřad pro hospodářskou soutěž (Bundeskartellamt). Došel k závěru, že vynucování souhlasu k takto extenzivnímu využívání osobních údajů představuje porušení obecného nařízení o ochraně osobních údajů (GDPR), a tedy i zneužití dominantního postavení společnosti Meta na německém trhu.
Předběžné otázky: Právní titul k profilování a zpracování citlivých údajů?
Společnost Meta rozhodnutí soutěžního úřadu napadla u německého soudu. Ten se obrátil na Soudní dvůr Evropské unie s řadou předběžných otázek. Pro přehlednost je můžeme rozdělit do těchto skupin:
- Může soutěžní úřad s ohledem na svoji věcnou působnost vůbec zkoumat zpracování osobních údajů, resp. dodržování GDPR?
- Jaký může být právní titul k takovému zpracování osobních údajů, které prováděla Meta v posuzovaném případě? Přichází kromě souhlasu v úvahu například zpracování nezbytné pro plnění smlouvy[2] nebo oprávněný zájem[3] provozovatele daných sociálních sítí a webových stránek?
- Vypovídá návštěva uživatele na webové stránce zaměřené například na uživatele s určitou sexuální orientací nebo webové stránky politické strany, zadání údajů do této webové stránky nebo přímo registrace, o jeho citlivých údajích, sexuální orientaci nebo politickém přesvědčení? Jinak řečeno, jedná se o zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR?
Všechny otázky jsou důležité a odpovědi na ně mají významný dopad na praxi.[4] V tomto článku se však zaměříme jen na poslední z nich. Ta má velký dopad nejen na provozovatele webových stránek zaměřených například na uživatele s určitou sexuální orientací, zdravotním stavem nebo politickým či náboženským přesvědčením, ale i na webové stránky obecnější, na kterých se však tato témata či články také vyskytují. A pokud by provozovatel sledoval chováni uživatelů a to, které články či témata například sledují více než ostatní, mohlo by se v kontextu této otázky taky jednat o zpracování zvláštních kategorií osobních údajů.
Shromažďování citlivých údajů představuje zvýšení riziko podle GDPR
Proč je tato otázka důležitá? Protože na zpracování citlivých údajů, resp. zvláštní kategorie osobních údajů, GDPR klade přísnější nároky.
Tím prvním, a v praxi asi nejdůležitějším, je výrazně užší okruh právních titulů pro zpracování těchto dat. GDPR obecně zakazuje zvláštní kategorie osobních údajů zpracovávat. Výjimky ze zákazu jsou vymezeny v čl. 9 GDPR. Na rozdíl od zpracování „běžných“ osobních údajů nelze tato citlivější data zpracovávat, pokud je to nezbytné k plnění smlouvy nebo jednání o smlouvě či na základě oprávněného zájmu správce.
Zvláštní kategorie osobních údajů jsou více chráněny, protože jejich (neoprávněné) zpracování představuje vyšší rizika pro práva a svobody dotčených osob. A tato vyšší rizikovost se projevuje i v řadě dalších povinností správce či zpracovatele osobních údajů, které se právě od rizika pro práva subjektu údajů odvíjejí. Jedná se například o povinnost provádět posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment)[5], rozsah zaváděných bezpečnostních opatření[6], povinnost jmenovat pověřence pro ochranu osobních údajů[7] nebo oznámit porušení zabezpečení osobních údajů (např. jejich únik, neoprávněný přístup nebo neautorizovanou změnu) dozorovému orgánu, Úřadu pro ochranu osobních údajů[8].
Je informace o aktivitě na webových citlivým osobním údajem?
Příslušná předběžná otázka zněla takto: „Jedná se v situaci, kdy uživatel internetu buď pouze zobrazí internetové stránky či aplikace, které mají vztah ke kritériím uvedeným v čl. 9 odst. 1 GDPR, jako například aplikace pro nezávazné seznámení, seznamovací platformy pro homosexuálně orientované osoby, internetové stránky politických stran, internetové stránky týkající se zdraví, nebo tam rovněž zadá data, například při registraci nebo objednávání, a ... podnik, jako je společnost [Meta Platforms Ireland] … shromažďuje údaje o zobrazení internetových stránek a aplikací ze strany uživatele a o tom, jaké údaje tam uživatel zadal, propojuje je s údaji o účtu uživatele na stránkách Facebook.com a využívá je, v případě daného shromažďování nebo propojování nebo využívání o zpracování citlivých údajů ve smyslu uvedeného ustanovení?
Jak na tuto otázku soud odpověděl?
Podle závěru Soudního dvora EU je nutno příslušná ustanovení GDPR vykládat tak, že „v případě, kdy uživatel sociální sítě zobrazí internetové stránky nebo aplikace mající vztah k jedné nebo více kategoriím uvedeným v tomto ustanovení, a případně do nich zadá údaje tím, že se zaregistruje nebo uskuteční on-line objednávky, musí být zpracování osobních údajů provozovatelem této sociální sítě, které spočívá ve shromažďování údajů získaných zobrazením těchto stránek a aplikací a údajů zadaných uživatelem prostřednictvím integrovaných rozhraní, souborů cookies nebo podobných technologií pro ukládání dat, v propojování všech těchto údajů s účtem uživatele na sociální síti a v použití uvedených údajů tímto provozovatelem, považováno za „zpracování zvláštních kategorií osobních údajů“… pokud mohou být v důsledku tohoto zpracování údajů odhaleny informace spadající do jedné z těchto kategorií“.
Důležitá je podle mého názoru formulace „pokud mohou být… odhaleny informace“. Jinak řečeno, Soudní dvůr EU neřekl, že každá takováto návštěva na webových stránkách s určitým zaměřením, dokonce ani registrace na nich, musí vždy a za všech okolností vypovídat o tom, že uživatel má například určitou sexuální orientaci, trpí určitou nemocí, vyznává konkrétní náboženské přesvědčení atd.[9] Důležité je hodnotit konkrétní situaci.
V tomto kontextu považuji za důležité ocitovat i stanovisko generálního advokáta Athanasiose Rantose ze dne 20. září 2022[10]. Generální advokát v bodě 39 svého stanoviska mj. uvedl, že pochybuje, že je relevantní (a vždy možné) rozlišovat mezi na jedné straně pouhým zájmem subjektu údajů o určité informace a na straně druhé příslušností tohoto subjektu k některé ze zvláštních kategorií osobních údajů dle čl. 9 GDPR. A dodal, že podle jeho názoru je nutno odpověď na tuto otázku posuzovat pouze případ od případu a s ohledem na každou z činností tvořících spornou praxi.
Účel a kontext zpracování dat návštěvníků webových stránek
Soudní dvůr Evropské unie řekl, že informace o návštěvě specificky zaměřených webových stránek (např. pro osoby s určitým náboženským přesvědčením) mohou vypovídat o citlivých údajích uživatelů webu. Konkrétní posouzení toho, kdy ke zpracování této rizikovější kategorie dat skutečně dochází, a kdy proto správce musí plnit řadu dalších či přísnějších povinností upravených GDPR, však nechal na praxi. Slovy generální advokáta, tuto otázku je nutno posuzovat případ od případu s ohledem na konkrétní okolnosti každého případu.
Toto posouzení nemusí být zcela jednoduché, zejména představíme-li si dva krajní případy.
Tím prvním je hodnocení zásahu do práv na úrovni jednotlivého uživatele nebo početně omezené skupiny uživatelů, o kterých provozovatel daného webu disponuje i dalšími informacemi. Takovéto fragmentované posuzování na základě dalších informací, kterými u daného uživatele správce údajů disponuje, je v praxi jen obtížně představitelné, pakliže je vůbec realizovatelné.
Druhým krajním případem je pak hodnocení této otázky naopak na úrovni webových stránek jako takových. Ty mohou být jako celek zaměřeny určitým směrem (třeba náboženským, politickým atd.), stejně tak ale mohou přinášet informace či služby zaměřené na různé skupiny lidí s různým přesvědčením, orientací nebo zdravotním stavem. A hodnotit, zda dochází je zpracování citlivých údajů jen na základě zaměření webu či převažujících témat na něm komunikovaných, by nutně bylo příliš obecné a nepřesné.
Podle mého názoru je pro posouzení předmětné otázky vhodné použít kombinaci těchto dvou kritérií:
- Účel zpracování údajů uživatelů webových stránek
- Rozumná míra očekávatelnosti, že aktivita určitých webových stránkách vypovídá o zvláštní kategorii údajů
Proč jsou informace o návštěvě webu zpracovávány?
Pojem účel zpracování osobních údajů je klíčovým bodem celé související právní úpravy. Účelem označujeme cíl, smysl, záměr určité činnosti, pro kterou jsou osobní údaje zpracovávány.[11]
I otázku, zda se při shromažďování a dalším zpracování osobních údajů souvisejících s aktivitou na určité webové stránce může jednat o citlivé údaje, je nutno hodnotit právě s ohledem účel daného zpracování informací. Jinak řečeno, zamýšlí provozovatel webu nebo další subjekt, který osobní údaje zpracovává, hodnotit a analyzovat chování uživatelů z pohledu zvláštních kategorií osobních údajů? Jinými slovy, bude z aktivity uživatelů na webu odvozovat například jejich sexuální orientaci nebo zdravotní stav?
Pokud je účelem shromažďování, analýzy, vyhodnocování a dalších operací s osobními údaji zjišťovat a dále zpracovávat informace o některé ze zvláštních kategorií osobních údajů, pak se jedná o zpracování této kategorie osobních dat ve smyslu čl. 9 GDPR. A správce musí plnit další povinnosti, které mu GDPR při zpracování takto citlivých údajů ukládá.
Jestliže však provozovatel webu nebo jiný subjekt informace o aktivitě na webu z tohoto pohledu, resp. za tímto účelem nevyhodnocuje, o zpracování zvláštní kategorie osobních údajů se jednat nebude. Sledování chování a aktivity uživatelů na webu např. pro hodnocení funkčnosti webu, jeho vylepšování či zabezpečení, tak obecně zpracování citlivých údajů představovat nebude.
Demonstrujme toto rozlišení na příkladu fotografií či videozáznamů. Ty obvykle také zachycují některé zvláštní kategorie osobních údajů. Zejména údaje o etnickém či rasovém původu zachycených osob, někdy zdravotním stavu či náboženském přesvědčení, a v kontextu s dalšími informacemi (místo a čas pořízení) mohou vypovídat třeba i o zdravotním stavu či politickém přesvědčení. Pokud jsou obrazové záznamy či přenos pořizovány a dále využívány za účelem ochrany majetku, života či zdraví lidí, monitorování veřejného prostranství, dopravní situace atd. a citlivé údaje, které na nich mohou být zachyceny, nejsou nijak využívány, o zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR se nejedná. Pokud ovšem někdo tyto záznamy či záběry analyzuje za účelem získat informace třeba o etnickém původu nebo zdravotním stavu zobrazených osob, pak už samozřejmě citlivé údaje zpracovává.[12]
Skutečně mohou informace odhalit sexuální orientaci nebo náboženské přesvědčení?
Druhé z navržených kritérií, rozumnou očekávatelnost, bych použil analogicky k vymezení pojmu osobní údaj. GDPR v úvodním ustanovení č. 26 mj. říká, že při určování, zda je fyzická osoba identifikovatelná, a u konkrétní informace se tak jedná či nejedná o osobní údaj, by se mělo přihlédnout ke všem prostředkům, o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby.[13]
Podle mého názoru je tuto rozumnou míru očekávatelnosti možné využít i pro praktický výklad dalších pojmů, resp. pomoc při řešení dalších otázek spojených s aplikací GDPR.[14] A jednou z nich je právě otázka, zda lze z určité informace, například o návštěvě webové stránky zaměřené na uživatele s určitou sexuální orientací, s vysokou mírou jistoty dovodit informace o sexuální orientaci tohoto návštěvníka. To se bude případ od případ lišit, ať už s ohledem na četnost návštěv, aktivitu na stránce (návštěva stránky, čas setrvání na stránce, zadání údajů, založení uživatelského profilu) či celkové zaměření stránky.
Pro posouzení, zda se jedná o zpracování citlivých údajů, které, jak říká soud a generální advokát, má reflektovat konkrétní okolnosti, je tak účel zpracování nutno hodnotit i s ohledem na to, jestli zpracovávané informace vůbec reálně mohou zahrnovat i zvláštní kategorie osobních údajů. K potvrzení není nutná stoprocentní jistota, postačí právě i rozumná míra očekávatelnosti, že určité chování, např. opakovaná návštěva, založení profilu, objednání se k lékaři s určitou specifikací a jiné aktivní reagování na obsah webu, může vypovídat o citlivých údajích. A pokud jsou tyto údaje dále cíleně, za určitým účelem, zpracovávány, jedná se o zpracování citlivých osobních údajů dle čl. 9 GDPR.
Case-by-case, účel a reálný dopad zpracování dat
Informace o aktivitě na specificky zaměřených webových stránkách, např. na osoby trpící určitou nemocí nebo lidi s konkrétním politickým či náboženským přesvědčením, nemusí automaticky představovat zvláštní kategorii osobních údajů ve smyslu GDPR. Pokud jsou však tyto informace zpracovávány za účelem zvláštní kategorie údajů získat, a lze-li rozumně očekávat, že citlivé údaje budou zpracováním skutečně odhaleny, pak se již o zpracování citlivých údajů v režimu čl. 9 GDPR jedná. Ten, kdo takové zpracování realizuje, musí plnit i další povinnosti, které jsou s takto rizikovým zpracováním spojeny.
Mgr. František Nonnemann,
konzultant v oblasti ochrany osobních údajů, řízení rizik a compliance, člen Výboru Spolku pro ochranu osobních údajů
e-mail: nonnemann@volny.cz
Článek odráží právní a skutkový stav ke dni 19. července 2023.
[1] Rozhodnutí Soudního dvora Evropské unie ze dne 4. července 2023, Meta proti Bundeskartellamt, věc C-252/21. Dostupné zde.
[2] Právní titul dle čl. 6 odst. 1 písm. b) GDPR.
[3] Právní titul upravený v čl. 6 odst. 1 písm. f) GDPR.
[4] Například norský úřad pro ochranu osobních údajů na základě závěru SDEU o náležitostech souhlasu s takovýmto zpracováním, které souhlas „skrytý“ v obchodních podmínkách obvykle nenaplňuje, na 3 měsíce zakázal společnosti Meta využívat k adresnému marketingu profily norských uživatelů. Více k dispozici >>> zde.
[5] Viz čl. 35 GDPR. Kritéria pro rozhodnutí, zda je připravované zpracování hodnoceno jako rizikové, lze nalézt v metodice Úřadu pro ochranu osobních údajů Seznam druhů operací zpracování (ne)podléhajících požadavku na posouzení vlivu na ochranu osobních údajů, dostupné >>> zde.
[6] Čl. 32 GDPR.
[7] Situace, kdy je správce či zpracovatel povinen jmenovat pověřence pro ochranu osobních údajů, jsou vymezeny v čl. 37 odst. 1 GDPR.
[8] Viz čl. 33 GDPR, více rozvedeno v Pokynech Evropského sboru pro ochranu osobních údajů č. 1/2021, Příklady ohlašování případů porušení zabezpečení osobních údajů, dostupné >>> zde.
[9] Tento závěr je vyjádřen nejen ve výroku, odpovědi na danou předběžnou otázku, ale i v odůvodnění tohoto závěru, srov. bod 72 komentovaného rozsudku.
[11] Srov. Nulíček, M. Donát, J. Nonnemann, F. Lichnovský, B. Tomíšek, J. Kovaříková, K. GDPR / Obecné nařízení o ochraně osobních údajů. 2. vydání. Wolters Kluwer, Praha: 2018.
[12] K hodnocení charakteru zpracování s ohledem na jeho kontext a účel srov. např. Uřičař, M., Rámiš, V. a kol. Obecné nařízení o ochraně osobních údajů. Komentář. 1. vydání. Praha: C. H. Beck, 2021, komentář k čl. 9 GDPR.
[13] K tomu srov. rozsudek Tribunálu Soudního dvora EU ze dne 26. dubna 2023, Jednotný výbor pro řešení krizí proti Evropskému inspektorovi ochrany osobních údajů, věc T-557/20.
[14] Viz Nonnemann, F. IP adresa jako osobní údaj. Právní rozhledy č. 3/2017.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz