Nařízení představuje světově unikátní kodifikaci ochrany osobních údajů, která však i přes svou podrobnost přináší řadu výkladových úskalí, mimo jiné výklad místní působnosti tohoto předpisu, která je oproti dřívější směrnici významně rozšířena. Výkladu místní působnosti dle čl. 3 Nařízení se doposud věnovala především odborná veřejnost, nicméně v souladu s čl. 70 Nařízení se do této debaty zapojil i Evropský sbor pro ochranu osobních údajů (dále jen „Sbor“) se svými pokyny č. 3/2018[2] (dále jen „Pokyny“) určenými pro veřejnou diskuzi.

Sbor potvrzuje široký dopad Nařízení a podrobně rozpracovává jednotlivé případy, kdy Nařízení dopadá na zpracování. V prvním případě se jedná o zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU, ve druhém pak o zpracování založené na „cílení“ správce nebo zpracovatele na subjekty v EU.

Ve vztahu k prvnímu případu Sbor potvrdil, že:

• Nařízení se uplatní na zpracovatele provádějícího zpracování pro správce mimo EU –Zpracovatel v EU musí splnit povinnost zpracovatele dle Nařízení (včetně uzavření zpracovatelské smlouvy(!), avšak však není povinen zajistit soulad správce s Nařízením.
• Nařízení se použije na správce v EU provádějícího zpracování údajů zákazníků mimo EU – národnost či občanství subjektů údajů tak nerozhoduje.
• Nařízení se naopak neuplatní zpracovatele mimo EU provádějícího zpracování pro správce v EU (jelikož však správce musí uzavřít s takovým zpracovatelem zpracovatelskou smlouvu, Nařízení se uplatní fakticky dle této smlouvy).

Sbor se také věnuje případům, kdy se Nařízení použije na základě mezinárodního práva veřejného. V poslední části pak rozebírá povinnost správců a zpracovatelů jmenovat zástupce v EU. Detailněji budou tyto případy rozebrány níže.   

Prvním případem, kdy zpracování podléhá Nařízení, je případ, kdy se jedná o zpracování v souvislosti s činnostmi provozovny správce nebo zpracovatele v EU dle čl. 3 odst. 1 Nařízení. Toto ustanovení nedopadá pouze na činnost provozovny správce (což platilo před účinností Nařízení), ale nově také na činnost provozovny zpracovatele.

Pokyny Sboru také vyjasnily, že provozovnou správce či zpracovatele v rámci EU nutné chápat jakoukoliv soustavnou činnost subjektu na území členského státu, přičemž se nemusí jednat o pobočku nebo provozovnu v korporátním smyslu. Musí se však jednat o účinný a skutečný výkon činnosti přes trvalá opatření (arrangements). Pro naplnění kritéria provozovny tak postačí, aby byl subjekt na území EU zastoupen jedním zaměstnancem nebo zástupcem. Pouhá dostupnost webových stránek na území EU však není pro naplnění kritéria dostatečná. Výklad provozovny tak zpřesnil režim dle preambule Nařízení a je v souladu s dřívějšími závěry Soudního dvora EU v případě Google Spain[3] a Weltimmo[4] - také správce či zpracovatel ze zemí mimo EU tak může mít provozovnu na území EU. Pokud má správce nebo zpracovatel na území EU provozovnu, je následně nezbytné, aby zpracování probíhalo v rámci činnosti této provozovny. Samotné místo, kde dané zpracování probíhá, není relevantní. Tento vztah může založit například aktivita místní provozovny na území EU, popř. generování příjmů místní provozovnou. Toto je v souladu s dřívějšími závěry Soudního dvora EU v případě Pammer a Alpenhof k nařízení č. 44/2001 (Brusel I)[5]. Pokyny současně zpřesňují, že místo, kde se v takovém případě nachází subjekty údajů, ani jejich národnost nejsou rozhodné.

Vymezení místní působnosti Nařízení se aplikuje jak na správce, tak i na zpracovatele, přičemž oba subjekty je nezbytné pro účely stanovení působnosti Nařízení posuzovat nezávisle. Dosud však nebylo jasné, zda v případě, kdy činnost správce podléhá Nařízení, dopadá Nařízení také na zpracovatele mimo EU. Dle Sboru Nařízení na takového zpracovatele přímo nedopadá, nicméně pokud správce podléhající Nařízení určí zpracovatele nepodléhajícího Nařízení, musí smlouva mezi tímto správcem a zpracovatelem obsahovat záruky dle čl. 28 odst. 3 Nařízení, čímž bude činnost zpracovatele pro tohoto správce fakticky, avšak nepřímo podrobena požadavkům Nařízení.

Současně dosud nebylo zřejmé, zda se uplatní Nařízení na činnost správce mimo EU v případech, kdy pro něj údaje zpracovává zpracovatel v EU. Dle Sboru správce mimo EU v tomto případě Nařízení nepodléhá. Pokud tak bude Nařízení podléhat pouze zpracovatel, musí tento zpracovatel splnit všechny požadavky pro něj vyplývající z Nařízení, včetně uzavření zpracovatelské smlouvy dle čl. 28 odst. 3 Nařízení; správce však pouze z důvodu nominování zpracovatele podléhajícího Nařízení pod působnost Nařízení spadat nebude. Jedná se o první výklad Nařízení, kde WP29/Sbor uvedly, že na správce v tomto případě Nařízení nedopadá (tj. že širší výklad čl. 3 odst. 1 Nařízení se neuplatní) a že uzavření zpracovatelské smlouvy je povinností zpracovatele (a tedy nikoli pouze povinností správce toto zajistit). Zpracovatel však neodpovídá za plnění povinností správce dle Nařízení (které v tomto případě na správce nedopadají).

Pokyny tak poskytují klíčové upřesnění pro správce z EU, kteří spolupracují se zpracovateli mimo EU, popř. pro zpracovatele z EU, kteří poskytují své služby správcům mimo EU.

V případě, že na zpracování nedopadá Nařízení na základě kritéria provozovny popsaného výše, může stále dojít k založení působnosti Nařízení na základě čl. 3 odst. 2 Nařízení, tedy z důvodu cílení na subjekty nacházející se v okamžiku zpracování v EU (nikoli pouze občany zemí EU či osoby s bydlištěm v EU). Činnost správce či zpracovatele zpracovávajícího osobní údaje musí přímo cílit na subjekty údajů vyskytujících se v EU nabídkou služeb a zboží či monitorováním jejich činnosti.

Nabízení služeb a zboží v působnosti Nařízení zahrnuje také nabízení služeb informační společnosti. Nezáleží však na tom, zda zboží nebo služby jsou poskytovány úplatně nebo bezúplatně.

Sbor ve svých Pokynech zpřesnil, jaké aktivity zakládají cílení na subjekty v EU, přičemž dle pokynů toto cílení může být založeno například v následujících případech a jejich kombinacích:

• EU nebo alespoň jeden členský stát jsou jmenovány s odkazem na nabízené zboží a služby;
• správce či zpracovatel poptají u vyhledávače kontextovou reklamu k zajištění přístupu spotřebitelů z EU na jejich stánky, nebo zahájí marketingovou kampaň cílenou na občany členského státu;
• aktivita je mezinárodní povahy, jako například turistické aktivity;
• jsou uvedeny určené adresy nebo telefonní čísla dostupné z členského státu;
• je použita doména státu jiného než státu správce či zpracovatele (doména .eu či doména členského státu);
• jsou uvedeny pokyny k dopravě z členských států do místa, kde je poskytována služba;
• je zmíněna mezinárodní klientela sestávající ze zákazníků z členských států EU, např. uvedením referencí od těchto zákazníků;
• jsou použity jazyky či měny jiné než státu správce či zpracovatele, zejména jazyky či měny členských států;
• je nabízeno doručení zboží do členských států.

Pokud k takovému cílení bude docházet, budou Nařízení podléhat také další činnosti zpracování související s tímto cílením.  

Druhou z činností, která může založit působnost Nařízení, je monitorování chování subjektů údajů v EU. Monitorování v působnosti Nařízení je poměrně široké spektrum činností, které směřuje ke sběru a analýze chování subjektu údajů v případě, že toto chování probíhá na území EU. Monitorováním je myšlen zejména monitoring pohybu na internetu, není ale vyloučen ani monitoring nositelnou elektronikou a chytrými zařízeními. Není vyžadováno cílení monitoringu na subjekty v EU, nicméně ustanovení implikuje, že cílem správce musí být sběr a užití o chování osob v EU. Sbor ve svých Pokynech zpřesnil, jaké aktivity zakládají monitorování subjektů údajů v EU, přičemž jako příklady monitorování uvádí:

• personalizovanou reklamu;
• monitoring polohy (geolokaci) subjektu údajů, zejména za marketingovými účely;
• online sledování pomocí cookies nebo jiných technologií (fingerprinting);
• personalizované analýzy stravování a zdravotního stavu online;
• kamerové záznamy;
• marketingové studie a ostatní studie chování založené na profilech osob;
• monitoring nebo pravidelné zaznamenávání zdravotního stavu osoby.

Spíše pro úplnost se jeví jako vhodné upozornit i na výklad čl. 3 odst. 3 Nařízení, který rozšiřuje působnost Nařízení i na ta zpracování, která jsou založena na základě mezinárodního práva veřejného (zpracování prováděné ambasádami či konzuláty členských států).

Posledním řešeným tématem je povinnost ustanovení zástupce na území EU. Tuto povinnost mají správci a zpracovatelé, kteří nejsou usazeni v EU a přesto na ně dopadá Nařízení (srov. výše). Zástupce jmenovaný na základě písemného pověření zajišťuje na území EU součinnost správce nebo zpracovatele s dozorovými úřady a zabezpečuje výkon práv dotčených subjektů údajů. Nejmenování zástupce je porušením Nařízení se všemi z toho vyplývajícími důsledky.

Zástupce by měl splňovat vedle kritérií kladených na jeho odbornost i jazykové a personální předpoklady zaručující výkon práv ve státě jeho jmenování, a to především s ohledem na komunikaci s příslušným národním dozorovým úřadem, nicméně musí zaručovat svou dostupnost pro subjekty údajů a dozorové úřady z jiných států.

Povinnosti jmenovat zástupce jsou v souladu s čl. 27 odst. 2 zproštěni ti správci a zpracovatelé, kteří jsou orgány veřejné moci nebo zpracovávají příslušné osobní údaje pouze občasně či v malém rozsahu, přičemž kritérium rozsahu by mělo být posouzeno dle počtu subjektu údajů, jejichž osobní údaje jsou zpracovávány.

Přestože lze v Pokynech najít celou řadu oblastí, které by Sbor mohl rozpracovat detailněji (např. co se týče okolností zakládající vztah mezi provozovnou a zpracováním), lze považovat Pokyny za přínosný materiál pro výklad dopadu Nařízení na činnosti zpracování s přesahem mimo hranice Evropské unie.

Především lze kvitovat upřesnění dopadu Nařízení na správce a zpracovatele v případech, kdy jeden z nich Nařízení podléhá a druhý nikoli. Vítané je také upřesnění situací, kdy správci a zpracovatelé ze třetích států musí jmenovat svého zástupce v EU. Nyní je tedy na správcích a zpracovatelích, aby uvedli svá zpracování do souladu s těmito Pokyny.   

Mgr. Michal Nulíček, LLM, CIPP/E,

Partner

Mgr. Bohuslav Lichnovský, CIPP/E,

Associate

[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

[2] European Data Protection Board. Guidelines 3/2018 on the terrestorial scope of the GDPR (Article 3) – Version for public conslutation. [online]. 16. 11. 2018. 23 stran. [cit. 2018-12-10] K dispozici >>> zde. 

[3] Rozhodnutí Soudního dvora EU ve věci C‑131/12, k dispozici >>> zde. 

[4] Rozhodnutí Soudního dvora EU ve věci C‑230/14, k dispozici >>> zde. 

[5] Rozhodnutí Soudního dvora EU ve spojených věcech C‑585/08 a C‑144/09, k dispozici >>> zde. 

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz