Súdny dvor EÚ – rozhodnutia vo veciach ochrany osobných údajov v roku 2022

Prostredníctvom nášho ďalšieho článku Vám prinášame prehľad zaujímavých rozhodnutí Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) vo veciach ochrany osobných údajov za rok 2022.

Súdny dvor patrí  k inštitúciám Európskej únie, úlohou ktorého je zabezpečiť dodržiavanie práv pri výklade a uplatňovaní základných zmlúv EÚ, pričom bližšie informácie o jeho fungovaní a jednotlivých typoch konania vrátane ďalších dôležitých informácií nájdete na jeho informačných stránkach.

Prostredníctvom predstavenia zaujímavých rozhodnutí Súdneho dvora vo veciach ochrany osobných údajov poukážeme na častého alebo vo vzťahu k prevencií porušovania ochrany osobných údajov zaujímavé nedostatky v rámci plnenia povinností v oblasti ochrany osobných údajov, resp. na zaujímavé výkladové otázky Nariadenia GDPR, ktoré Súdny dvor v minulom roku priniesol.

Na záver tohto článku prinášame aj predikciu vývoja najdôležitejších trendov v oblasti ochrany osobných údajov v tomto roku.

Súdny dvor: Rozsudok č. C-77/21 zo dňa 20.10.2022 vo veci Digi

Spoločnosť DIGI (resp. jej zložka pôsobiaca v Maďarsku) v apríli 2018 – po technickej poruche, ktorá ovplyvnila fungovanie servera spoločnosti –  vytvorila tzv. „testovaciu databázu“, do ktorej skopírovala osobné údaje približne jednej tretiny svojich zákazníkov. Táto testovacia databáza bola prepojená s internetovou stránkou www.digi.hu, ktorá obsahovala aktualizované údaje dotknutých osôb – odberateľov newslettra – na účely priameho marketingu vrátane údajov správcu systému, ktoré umožňovali prístup k internému rozhraniu stránky.

Dňa 23. 09. 2019 sa spoločnosť DIGI dozvedela o etickom hackerovi, ktorý získal prístup k osobným údajom približne 322 000 fyzických osôb z uvedenej databázy. Získanie predmetných osobných údajov oznámil spoločnosti DIGI etický hacker, ktorý spoločnosti poskytol jeden riadok z testovacej databázy. Na základe uvedeného spoločnosť DIGI zabezpečila nápravu v prelomenom zabezpečení a etickému hackerovi ponúkla odmenu a uzatvorila s ním dohodu o mlčanlivosti. Následne, spoločnosť DIGI zabezpečila výmaz testovacej databázy a 25.09.2019 oznámila príslušnému dozornému orgánu porušenie ochrany osobných údajov.

Príslušný dozorný orgán následne rozhodol o porušení článku 5. ods. 1 písm. b) a e) GDPR nakoľko spoločnosť DIGI:

• po vykonaní testov a oprave chýb testovaciu databázu bezodkladne nevymazala,
• v databáze bolo uchovávané veľké množstvo osobných údajov bez akéhokoľvek (stanoveného) účelu,
• osobné údaje umožňovali identifikáciu dotknutých osôb,

a uložil spoločnosti DIGI pokutu po výške 248 000 eur. Následne spoločnosť DIGI napadla rozhodnutie na vnútroštátnom súde, ktorý sa v danej veci obrátil s prejudiciálnymi otázkami na Súdny dvor GDPR, ktorý rozsudkom rozhodol.

V rámci rozsudku Súdny dvor uviedol nasledujúce najpodstatnejšie skutočnosti:

• zásada obmedzenia účelu spracúvania osobných údajov podľa článku 5 ods. 1 písm. b) GDPR sa má vykladať v tom zmysle, že uvedená zásada nebráni tomu, aby prevádzkovateľ zaznamenával a uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané a uchovávané v inej databáze, ak je takéto ďalšie spracúvanie zlučiteľné s konkrétnymi účelmi, na ktoré boli osobné údaje pôvodne získané, čo treba určiť na základe kritérií uvedených v článku 6 ods. 4 GDPR (t. j. po vykonaní textu zlučiteľnosti),
• zásada minimalizácie účelu spracúvania osobných údajov podľa článku 5 ods. písm. e) GDPR sa má vykladať v tom zmysle, že uvedená zásada bráni tomu, aby prevádzkovateľ uchovával v databáze vytvorenej na účely testovania a opravy chýb osobné údaje, ktoré boli predtým získané na iné účely, a to počas obdobia, ktoré je dlhšie ako obdobie nevyhnutné na vykonanie týchto testov a opravu týchto chýb (t. j. prevádzkovateľ je v takejto databáze oprávnený uchovávať osobné údaje predtým získané na iné účely výlučne iba počas doby nevyhnutnej na vykonanie testov a opravu chýb systému pôvodnej databázy).

Súdny dvor GDPR: Rozsudok č. C-306/21 zo dňa 20.10.2022 vo veci Koalitsia „Demokratichna Bulgaria – Obedinenie“

Predmet tohto sporu sa týkal pokynov na spracúvanie osobných údajov počas volebného procesu (organizácie volieb) v Bulharsku prostredníctvom vyhotovovania videozáznamov (záznam alebo vysielanie v priamom prenose), ktoré vydal príslušný na to určených Bulharský vnútroštátny orgán.

V rámci predmetných pokynov príslušný orgán uvádza, že cieľom takéhoto spracúvania osobných údajov je zabezpečenie transparentnosti, objektivity, legitimity volebného procesu, rovnosť zaobchádzania s jednotlivými účastníkmi vrátane slobody prejavu a práva na informácie. Predmetné pokyny na jeden strane ustanovujú, že média môžu spracúvať v rámci konania volieb osobné údaje prostredníctvom vyhotovovania videozáznamov len pri otvorení volebného dňa, jeho uzatvorení, oznámení výsledkov volieb, ako aj pri losovaní poradových čísiel hlasovacích lístkov. Na strane druhej predmetné pokyny ustanovujú, že žiadny iný účastník volebného procesu (kandidát, politická strana) nemôže spracúvať počas volebného procesu osobné údaje prostredníctvom vyhotovovania videozáznamu (predovšetkým počas sčítavania hlasov) z dôvodu nezlučiteľnosti ich úloh v rámci volebného procesu.

Zákonnosť týchto pokynov ako správneho aktu bola napadnutá na príslušnom súde, následne Najvyšší správny súd Bulharska rozhodol o prerušení konania a na Súdny dvor sa obrátil s prejudiciálnymi otázkami, o ktorých rozsudkom rozhodol.

V rámci rozsudku Súdny dvor uviedol nasledujúce najpodstatnejšie skutočnosti:

• Článok 2 ods. 2 písm. a) GDPR, v zmysle ktorého sa toto nariadenie sa nevzťahuje na spracúvanie osobných údajov v rámci činnosti, ktoré nepatrí do pôsobnosti práva Európskej únie, sa má vykladať v tom zmysle, že z pôsobnosti GDPR nie je vylúčené spracovanie osobných údajov v súvislosti s organizáciou volieb v členskom štáte,
• Článok 6 ods. 1 písm. f) GDPR, ktorý ustanovuje právny základe pre spracúvanie osobných údajov, ktoré je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi a článok 58 GDPR sa má vykladať v tom zmysle, že tieto ustanovenia nebránia tomu, aby príslušné orgány členského štátu prijali všeobecne záväzný správny akt stanovujúci obmedzenie alebo prípadne zákaz nahrávania videozáznamu zo sčítavania hlasov vo volebných miestnostiach počas volieb v tomto členskom štáte.

Súdny dvor: Rozsudok č. C-460/20 zo dňa 08.12.2022 vo veci Google

Tento spor súvisí s uplatnením žiadosti dotknutých osôb v Nemecku vo veci odstránenia odkazov na články (z roku 2015) z internetového prehliadača, súčasťou ktorých boli ich mená a priezviská. Okrem toho pri vyhľadávaní obrázkov v tomto prehliadači Google zobrazoval v zozname výsledkov vyhľadávaní aj fotografie dotknutých osôb.

Dôvodom uplatnenia žiadosti dotknutých osôb na výmaz ich osobných údajov boli nesprávne tvrdenia a hanlivé názory uvedené o týchto osobách v predmetných článkoch. Spoločnosť Google odmietla žiadosti o výmaz osobných údajov vyhovieť, s odvolaním sa na odborný kontext zobrazovaných článkov. Spoločnosť Google taktiež argumentovala, že o nesprávnosti zobrazovaných informácií v týchto článkoch nemala vedomosť.

Dotknuté osoby si v rámci viacerých inštancií uplatnili opravné prostriedky. Spolkový súdny dvor rozhodol o prerušení konania a položil Súdnemu dvoru prejudiciálne otázky, o ktorých Súdny dvor rozsudkom rozhodol.

V rámci rozsudku Súdny dvor uviedol nasledujúce najpodstatnejšie skutočnosti:

• Článok 17 ods. 3 písm. a) GDPR, ktorý ustanovuje výnimku z povinnosti výmazu osobných údajov dotknutých osôb z dôvodu uplatnenia práva na slobodu prejavu a na informácie, sa má vykladať v rámci vyváženia, ktoré treba vykonať medzi právami uvedenými v článkoch 7 a 8 Charty základných práv Európskej únie na jednej strane a právami uvedenými v článku 11 Charty základných práv na druhej strane, na účely preskúmania žiadosti o odstránenie odkazu, ktorá je adresovaná poskytovateľovi vyhľadávača a v ktorej sa žiada, aby sa zo zoznamu výsledkov vyhľadávania odstránil odkaz vedúci k obsahu zahŕňajúcemu tvrdenia, ktoré osoba, ktorá žiadosť podala, považuje za nesprávne, toto odstránenie odkazu nepodlieha podmienke, aby otázka správnosti obsahu, na ktorý je zriadený odkaz, bola vyriešená aspoň predbežne v rámci žaloby podanej touto osobou proti poskytovateľovi obsahu (t. j. uvedené posúdenie by mal primárne vykonať prevádzkovateľ internetového prehliadača,
• Článok 17 ods. 3 písm. a) GDPR, ktorý ustanovuje výnimku z výmazu osobných údajov dotknutých osôb z dôvodu uplatnenia práva na slobodu prejavu a na informácie , sa má vykladať v rámci vyváženia, ktoré treba uskutočniť na jednej strane medzi právami uvedenými v článkoch 7 a 8 Charty základných práv a na druhej strane právami uvedenými v článku 11 Charty základných práv, na účely preskúmania žiadosti o odstránenie odkazu adresovanej poskytovateľovi vyhľadávača, ktorou sa žiada, aby sa z výsledkov vyhľadávania obrázkov, uskutočneného na základe zadania mena fyzickej osoby, odstránili fotografie zobrazené vo forme miniatúr, na ktorých táto osoba figuruje, je potrebné zohľadniť informatívnu hodnotu týchto fotografií bez ohľadu na kontext ich uverejnenia na internetovej stránke, z ktorej sú vyňaté, no s prihliadnutím na všetky textové prvky, ktoré sú priamo pripojené k zobrazeniu týchto fotografií vo výsledkoch vyhľadávania a ktoré sú spôsobilé objasniť informačnú hodnotu týchto fotografií.

Čo priniesol rok 2022 v oblasti ochrany osobných údajov – zhrnutie a predikcia vývoja ochrany osobných údajov v roku 2023

Čo priniesol rok 2022?

V roku 2022 sme zaznamenali prevažne rýchly pokrok a masívne zavádzanie procesov digitalizácie, ktoré so sebou priniesli aj mnoho výziev v oblasti ochrany osobných údajov.

Z globálnej perspektívy priniesol koniec roka (najmä porovnanie Q3 s prvou polovicou roka 2022) značný nárast porušení ochrany osobných údajov, čo potvrdzujú aj niektoré z vyššie uvedených rozhodnutí. Rok 2022 sa v prípade niektorých jurisdikcií niesol v znamení ukladania pomerne vysokých pokút dozornými orgánmi.

V súvislosti s prudkým rozvojom technológií, bola a stále je najväčšou výzvou nielen otázka nastavenia súladu v oblasti ochrany osobných údajov a kybernetickej bezpečnosti, ale aj celkového nastavenia Compliance kultúry v danej spoločnosti alebo organizácií. Je preto potrebné ochranu osobných údajov a celkové compliance procesy v spoločnosti vnímať ako jeden celok, a pristupovať k všetkým ich aspektom s náležitou pozornosťou.

O ďalších pokutách aj v rámci Slovenskej republiky udelených Úradom na ochranu osobných údajov sme hovorili počas GDPR školenia, ktorého záznam nájdete na našom YouTube alebo vo videu nižšie (ak sa video nezobrazuje, je potrebné povoliť cookies alebo ísť na YouTube).

Možné očakávania pre rok 2023

Viacero spoločností  si osvojilo prístup „byť v súlade s regulatórnymi požiadavkami“, ktorý bezpochyby prináša v porovnaní s neštandardnými organizáciami konkurenčnú výhodu – budovanie dôvery zákazníkov a obchodných partnerov, zvyšovanie spokojnosti zákazníkov, zvyšovanie firemnej kultúry. V oblasti ochrany osobných údajov a  súkromia je uvedený prístup spojený s možnosťou napredovania, výskumu, vývoja a zavádzania nových inovácií.

V tomto ohľade bude jednou s výziev pre najbližšie obdobie určite aj zavádzanie procesov s využívaním Umelej Inteligencie (AI) a Strojového Učenia (ML), ktoré na jednej strany bezpochyby prinášajú pre spoločnosti aj pre jednotlivcov nepopierateľné benefity, na strane druhej však v oblasti ochrany osobných údajov a súkromia prinášajú mnohé výzvy a otázky.

V súvislosti s prijatím návrhu Nariadenia Európskeho Parlamentu a Rady o AI, cieľom ktorého je stanovenie požiadaviek na bezpečnosť systémov AI uvádzaných na trh EÚ bude podľa nášho názoru technologický pokrok v nasledujúcom období gradovať.

Návrh stanovuje horizontálny právny rámec pre AI, cieľom je podpora investícií a inovácie, posilnenie správy, riadenia a účinného presadzovania právnych predpisov v oblasti základných práv a bezpečnosti, uľahčenie rozvoja jednotného trhu s aplikáciami AI .

Návrh nariadenia sa riadi prístupom založeným na riziku. Predmetom návrhu je najmä:

• určenie zakázaných praktík v oblasti AI;
• klasifikácia AI systémov ako vysokorizikových systémov;
• stanovenie požiadaviek na vysokorizikové systémy AI;
• povinnosti poskytovateľov a používateľov vysokorizikových systémov AI a iných strán;
• posudzovanie zhody, certifikácia a registrácia;
• povinnosti transparentnosti pre určené systémy AI;
• opatrenia na podporu inovácií;
• orgány dohľadu;
• dôvernosť a sankcie.

Záver

Z načrtnutého predpokladaného vývoja trendov v oblasti spracúvania osobných údajov je zrejmé, že táto oblasť postupuje do čoraz zložitejších technologických riešení. V uvedených prípadoch však netreba zabúdať na dodržiavanie pravidiel spracúvania osobných údajov a požiadavku privacy by design, ktorá by mala byť v rámci vývoja nových systémov zahŕňajúcich spracúvanie osobných údajov fyzických osôb jej imanentnou súčasťou.

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb