Pro případ, kdy dochází k poskytnutí osobních údajů zpracovávaných obchodníkem jiné osobě, by měl obchodník jako tzv. správce osobních údajů plnit o této skutečnosti informační povinnost vůči subjektům údajů. Toto platí nejen pro situace, kdy dochází k poskytnutí osobních údajů jinému správci (jenž bude následně zpracovávat tyto osobní údaje samostatně na vlastní odpovědnost nezávisle na obchodníkovi), ale i pro případy, kdy jsou osobní údaje zpřístupňovány tzv. zpracovateli , tedy osobě, která zpracovává osobní údaje pro obchodníka (kupříkladu hostingové společnosti, softwarové společnosti zajišťující provoz e-shopu pro obchodníka apod.). Jakým způsobem má být tato informační povinnost plněna v praxi, se budeme blíže zabývat v tomto právním oběžníku. Pro vyloučení všech pochybností však raději na úvod zmiňujeme, že této problematice se věnujeme pro ty případy, kdy k poskytnutí osobních údajů dochází uvnitř Evropské unie (a nikoliv do třetí země mimo EU).

Ustanovení čl. 13 odst. 1 písm. e) GDPR stanoví, že „Pokud se osobní údaje …získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace: případné příjemce nebo kategorie příjemců osobních údajů;…“ Toto ustanovení řeší ty případy, kdy jsou osobní údaje získávány přímo od subjektů údajů, kupříkladu zákazníci vyplňují formulář na webové stránce, uživatelé se přihlašují k odběru newsletteru, potencionální zaměstnanci poskytují životopis. Podobně je však řešena i situace, kdy jsou osobní údaje získány obchodníkem od jiného správce. V okamžiku shromažďování osobních údajů by tedy měl obchodník subjekt údajů informovat o tom, komu dalšímu budou jeho osobních údaje předány. Z výše uvedeného se pak také jeví, že tuto informační povinnost by mělo být možné splnit buď uvedením přesné identifikace příjemců osobních údajů, nebo uvedením „kategorie“ těchto příjemců. V tomto druhém případě to znamená kupříkladu obecně uvést, že příjemci osobních údajů budou zasílatelské společnosti či společnost zabývající se přímým marketingem pro obchodníka apod.

Nicméně kromě výše uvedené informační povinnosti obchodníka při shromažďování osobních údajů zakotvuje GDPR také právo subjektu údajů na přístup k osobním údajům (čl. 15 GDPR). Konkrétně ustanovení čl. 15 odst. 1 písm. c) GDPR stanoví, že „Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích…“ Rozsah tohoto práva se stal v nedávné době předmětem výkladu Soudního dvora Evropské unie ve věci C-154/21 RW v Österreichische Post. Podstatou soudního sporu byl požadavek subjektu údajů na získání informací o konkrétní totožnosti příjemců, kterým správce zpřístupňuje osobní údaje subjektu údajů. Správce (Österreichische Post) však přesnou totožnost příjemců nesdělil, nýbrž informoval subjekt údajů pouze o kategoriích takových příjemců. Soud se v této věci přiklonil k přísnějšímu výkladu ve prospěch subjektu údajů, když dovodil, že ustanovení čl. 15 odst. 1 GDPR dává subjektu údajů právo být informován o konkrétních příjemcích osobních údajů, tedy znát skutečnou totožnost takových příjemců (až na určité specifické výjimky, které však soud nijak nevymezil).

V této souvislosti s výše uvedeným rozhodnutím je nutné zmínit, že SDEU se v tomto případě zabýval výkladem pouze ustanovení upravujícím právo na přístup k osobním údajům (čl. 15), tedy rozsahu informací poskytovaných na vyžádání subjektu údajů, a nikoliv interpretací čl. 13 a čl. 14 GDPR ohledně rozsahu „předběžně“ poskytovaných informacích (o jiných příjemcích osobních údajů). S ohledem na výše uvedené se nám jeví, že předběžnou informační povinnost by obchodníci měli mít možnost stále plnit uvedením „pouze“ kategorií příjemců a nikoliv jejich přesným výčtem. Jinak by zmínka o kategoriích příjemců v rámci GDPR nedávala vlastně žádný smysl. Na druhou stranu je však nutné vzpomenout snahu orgánů veřejné moci o stále přísnější výklad ustanovení GDPR.

Josef Aujezdský

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 06/2023 určený členům tohoto spolku.