GDPR Nariadenie

1. 8. 2023

Súdny dvor EÚ – výber z rozhodnutí vo veciach ochrany osobných údajov v Q2 roku 2023

Súdny dvor EÚ – výber z rozhodnutí vo veciach ochrany osobných údajov v Q2 roku 2023

Prostredníctvom nášho ďalšieho článku Vám prinášame opäť prinášame prehľad zaujímavých rozhodnutí Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) vo veciach ochrany osobných údajov za obdobie prvého štvrťroka 2023. Rozsudok GDPR bol zverejnený vo viacerých sporoch.

Súdny dvor patrí  k inštitúciám Európskej únie, úlohou ktorého je zabezpečiť dodržiavanie práv pri výklade a uplatňovaní základných zmlúv EÚ, pričom bližšie informácie o jeho fungovaní a jednotlivých typoch konania vrátane ďalších dôležitých informácií nájdete na jeho informačných stránkach.

Prostredníctvom predstavenia zaujímavých rozhodnutí Súdneho dvora vo veciach ochrany osobných údajov poukážeme na časté alebo vo vzťahu k prevencií porušovania ochrany osobných údajov zaujímavé nedostatky v rámci plnenia povinností v oblasti ochrany osobných údajov, resp. na zaujímavé výkladové otázky Nariadenia GDPR, ktoré Súdny dvor EÚ v sledovanom období priniesol.  

Zakladá samotné porušenie GDPR právo na náhradu nemajetkovej ujmy?

Rozsudok Súdneho dvora č. C-300/21 z 04.05.2023 vo veci Österreichische Post AG

Spoločnosť Österreichische Post AG od roku 2017 (ďalej len „prevádzkovateľ) zhromažďovala informácie o politických preferenciách rakúskych občanov a to pomocou algoritmu zohľadňujúci rôzne sociálne a demografické kritériá, prevádzkovateľ určiť tzv. adresy cieľových skupín, ktoré boli prevádzkovateľom odovzdané rôznych organizáciám za účelom cieleného zasielania reklamných zásielok.

V rámci svojej činnosti prevádzkovateľ spracúval osobné údaje, z ktorých do značnej miery bolo možné odvodiť preferencie k určitej politickej strane a to na základe spracúvania osobných údajov o údajných politických názoroch.  Dotknutý občan (ďalej len „sťažovateľ“) namietal, že na daný účel prevádzkovateľovi neudelil súhlas so spracúvaním osobných údajov, na základe čoho si na príslušných rakúskych súdoch uplatňoval nárok na náhradu nemajetkovej ujmy vo výške 1000 eur, ktorú údaje sťažovateľ utrpel. 

Predmetnou vecou sa zaoberal Krajinský súd, Vyšší Krajinský súdu a Najvyšší súd, ktorý Súdnemu dvoru položil prejudiciálne otázky týkajúce sa priznania práva na náhradu škody.

Rozsudok GDPR – Súdny dvor EÚ uviedol nasledujúce najpodstatnejšie skutočnosti:

  • čl. 82 ods. 1 písm. c) GDPR sa má vykladať v tom zmysle, že samotné porušenie GDPR nestačí na priznanie práva na náhradu škody,
  • čl. 82 ods.1 GDPR treba vykladať v tom zmysle, že bráni vnútroštátnej norme alebo praxi, ktorá podmieňuje náhradu nemajetkovej ujmy v zmysle tohto ustanovenia tým, že ujma spôsobená dotknutej osobe musí dosiahnuť určitý stupeň závažnosti, a
  • na účely určenia výšky náhrady škody, splatnej na základe práva na náhradu škody podľa vyššie uvedeného článku, musia vnútroštátne súdy uplatniť rôzne vnútroštátne pravidlá každého členského štátu týkajúce sa rozsahu peňažnej náhrady a škody, a to pri dodržiavaní zásad ekvivalencie a efektivity vrátane ďalších zásad práva Únie.

Aké informácie je prevádzkovateľ povinný poskytnúť dotknutej osobe v prípade žiadosti o kópiu údajov?

Rozsudok Súdneho dvora č. C-487/21 z  04.05.2023 vo veci Österreichische Datenschutzbehörde a CRIF

Spoločnosť CRIF GmBH (ďalej len „prevádzkovateľ“) je poradenskou agentúrou, ktorá na základe žiadosti svojich klientov poskytuje informácie o platobnej schopnosti tretích osôb. Prevádzkovateľ na daný účel spracúval aj osobné údaje dotknutej osoby (ďalej len „sťažovateľ“), ktorý sa v decembri 2018 uplatnil právo na prístup k osobným údajom podľa článku 15 GDPR vrátane žiadosti o poskytnutie kópie dokumentov, a to konkrétne elektronickej pošty a výňatkov z databáz obsahujúcich jeho osobné údaje v bežnom strojovom formáte.

Na základe predmetnej žiadosti sťažovateľ od prevádzkovateľa obdržal súhrnný zoznam osobných údajov, ktoré o ňom prevádzkovateľ spracúval. Sťažovateľ podal príslušnému dozornému orgánu podnet, ktorým namietal postup prevádzkovateľa, nakoľko sa domnieval, že mu mali byť zaslané kópie všetkých dokumentov, ktoré obsahujú jeho osobné údaje, vrátane e-mailov a výňatkov z databáz. Príslušný dozorný orgán sťažnosť zamietol, avšak sťažovateľ sa vo veci samej obrátil na príslušný vnútroštátny súd v Rakúsku, ktorý prerušil konanie a položil Súdnemu dvoru príslušné prejudiciálne otázky.

V rámci rozsudku Súdny dvor EÚ uviedol nasledujúce najpodstatnejšie skutočnosti:

  • čl. 15 ods. 3 prvá veta GDPR sa má vykladať v tom zmysle, že právo na získanie kópie osobných údajov, ktoré sú predmetom spracúvania od prevádzkovateľa znamená, že dotknutej osobe sa musí poskytnúť verná a zrozumiteľná rozmnoženina všetkých týchto údajov,
  • toto právo predpokladá aj právo na získanie kópie výňatkov z dokumentov, prípade aj celých dokumentov alebo výňatkov z databáz, ktoré okrem iného obsahujú uvedené údaje, ak je poskytnutie takej kópie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatniť práva podľa GDPR, s prihliadnutím na práva a slobody iných,
  • pojem informácie, ktorý obsahuje, sa vzťahuje výlučne na osobné údaje, ktorých kópiu musí prevádzkovateľ poskytnúť.

Ktoré ustanovenia GDPR majú vplyv na zákonnosť spracúvania osobných údajov?

Rozsudok Súdneho dvora č. C-60/22 z 04.05.2023 vo veci Bundesrepublik Deutschland

Dňa 07.05.2019 si žalobca podal žiadosť o medzinárodnú ochranu na Spolkovom úrade v Nemecku, ktorý ju zamietol. Spolkový úrad v rámci rozhodovania vo veci samej vychádzal z elektronického spisu MARIS (ďalej len „MARIS“), ktorý obsahuje aj osobné údaje týkajúce sa žalobcu. MARIS bol zaslaný tomuto súdu v rámci spoločného konania podľa čl. 26 GDPR prostredníctvom elektronickej súdnej a administratívnej schránky, ktorý spravuje príslušný orgán verejnej moci.

Žalobca podal proti spornému rozhodnutiu žalobu na Správny súd Wiesbaden v Nemecku (ďalej len „príslušný súd“), ktorý ako príslušný súd v danej veci vyjadril pochybnosti o tom či vedenie MARIS vypracovaného Spolkovým úradom a zaslanie tohto spisu prostredníctvom elektronickej schránky je súladné s GDPR. V nadväznosti na uvedené príslušný súd predložil Súdnemu dvoru návrh na začatie prejudiciálneho konania.

V rámci rozsudku Súdny dvor EÚ uviedol nasledujúce najpodstatnejšie skutočnosti:

  • čl. 17 ods. 1 písm. d) a čl. 18 ods. 1 písm.  b) GDPR sa má vykladať v tom zmysle, že nesplnenie povinnosti prevádzkovateľom podľa č. 26 a 30 GDPR týkajúce sa uzatvorenia dohody o spoločnej zodpovednosti za spracúvanie a vedenie záznamov spracovateľských činností, nie je nezákonným spracúvaním osobných údajov, na základe ktorého má dotknutá osoba právo na výmaz alebo obmedzenie spracúvania,
  • nesplnenie tejto povinnosti nepredstavuje porušenie zásady zodpovednosti zo strany prevádzkovateľa podľa čl. 5 ods. 2 GDPR v spojení s čl. 5 ods. 1 písm. a) a čl. 6 ods. 1 prvým pod odsekom GDPR,
  • právo Únie sa má vykladať v tom zmysle, že ak si prevádzkovateľ nesplnil povinnosti podľa čl. 26 alebo 30 GDPR, zákonnosť zohľadnenia takýchto osobných údajov vnútroštátnym súdom nepodlieha súhlasu dotknutej osoby (príslušný súd pri výkone verejnej moci nespracúva osobné údaje dotknutých osôb na právnom základe súhlas ale podľa čl. 6 ods.  1 písm. e) GDPR).

Má dotknutá osoba právo získať informácie ohľadom dátumov a dôvodov spracúvania osobných údajov, ktoré sa jej/jeho týkajú?

Rozsudok GDPR Súdneho dvora č. C-579/21 z  22.06.2023 vo veci Pankki S

Žalobca (zamestnanec a zároveň klient banky) sa v roku 2014 dozvedel, že sa s jeho osobnými údajmi v určitom období oboznamovali iní zamestnanci banky. V auguste 2018 žalobca požiadal banku o poskytnutí informácií o totožnosti osôb, ktoré sa oboznámili s jeho osobnými údajmi, vrátane dátumoch a účeloch spracúvania jeho osobných údajov.

Banka v odpovedi na žiadosť odmietla poskytnúť informáciu o totožnosti zamestnancov, ktorí spracúvali osobné údaje žalobcu, nakoľko neposkytnutím týchto údajov zabezpečila ochranu ich osobných údajov. Banka však doplnila, že sa jedná o zamestnancov oddelenia interného auditu, ktorí sa oboznamovali s týmito osobnými údajmi a to za účelom verifikácie osoby žalobcu (nakoľko klientom banky bola aj iná osoba s rovnakým priezviskom) a vylúčenia podozrenia konfliktu záujmov.

Následne sa žalobca obrátil na fínsky dozorný orgán, ktorý banke nariadil žalobcovi poskytnúť všetky požadované podklady a informácie. Banka nariadeniu nevyhovela, na základe čoho ďalej príslušný Správny súd vo Fínsku položil Súdnemu dvoru v danej veci prejudiciálne otázky.

V rámci rozsudku Súdny dvor EÚ uviedol nasledujúce najpodstatnejšie skutočnosti:

  • čl. 15 GDPR, ktoré nadobudlo účinnosť od 25.05.2018 sa uplatňuje na žiadosť o prístup k informáciám uvedeným v tomto ustanovení v prípade, keď sa spracovateľské operácie týkajúce sa tejto žiadosti uskutočnili pred dňom nadobudnutia účinnosti GDPR,
  • čl. 15 ods. 1 GDPR sa má vykladať v tom zmysle, že  údaje týkajúce sa dátumov a účelov týchto operácií, predstavujú informácie, ktoré má táto osoba právo získať od prevádzkovateľa. Uvedené ustanovenie naopak takéto právo nezakotvuje, pokiaľ ide o informácie týkajúce sa totožnosti zamestnancov uvedeného prevádzkovateľa, ktorí vykonali tieto operácie pod jeho dohľadom a v súlade s jeho pokynmi, okrem prípadu, keď sú tieto informácie nevyhnutné na to, aby sa dotknutej osobe umožnilo účinne uplatniť práva, ktoré jej priznáva toto nariadenie, a pod podmienkou, že sa zohľadnia práva a slobody týchto zamestnancov,
  • čl. 15 GDPR sa má vykladať v tom zmysle, že okolnosť, že prevádzkovateľ vykonáva bankovú činnosť v rámci regulovanej činnosti a že osoba, ktorej osobné údaje boli spracúvané je v postavení klienta prevádzkovateľa, bola tiež u tohto prevádzkovateľa zamestnaná, v zásade nemá vplyv na rozsah práva, ktoré má táto osoba podľa tohto ustanovenia.

gdpr-poradenstvo-securion

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.