Utorok, 19. marec 2024 | meniny má Jozef , zajtra Víťazoslav
Predplatné
Utorok, 19. marec 2024 | meniny má Jozef , zajtra Víťazoslav
TlačPoštaZväčšiZmenši

Ako GDPR navštívila Jehovových svedkov

Daniela Čičkánová • 4.8. 2018, 13:22

Dňa 10.07.2018vydal Súdny dvor EÚ[1]ďalší zo série tohtoročných rozsudkov vo veciach ochrany osobných údajov,a to rozsudok vo veci C‑25/17 (ďalej ako „Rozsudok“), v ktorej boli účastníkmi vnútroštátneho konania Tietosuojavaltuutettu, t.j. Splnomocnenec na ochranu údajov Fínskej republiky a Jehovan todistajat us – uskonnollinen yhdyskunta (náboženská spoločnosť Jehovovi svedkovia, ďalej ako „Jehovovi svedkovia“). Rozsudok sa zaoberal vzťahom podomovej evanjelizačnej činnosti spoločnosti Jehovovi svedkovia a právom navštevovaných osôb na ochranu osobných údajov. Účelom tohto článku je stručné vysvetlenie záverov vyplývajúcich z daného súdneho konania.

 

Právnym základom posúdenia nebolo priamo nariadenie GDPR,[2] ale ním zrušená Smernica na ochranu osobných údajov[3]. Závery Súdneho dvora EÚ sú však aplikovateľné na ochranu osobných údajov aj počas účinnosti GDPR, pričom odôvodnenie sa nachádza nižšie v texte pri analýze konkrétnych pojmov.

Skutkový stav

Podstata vnútroštátneho konania spočívala v tom, že Komisia pre ochranu údajov Fínskej republiky (Tietosuojalautakunta) zakázala spoločnosti Jehovovi svedkovia spracúvať, a teda aj zbierať osobné údaje v rámci podomovej evanjelizačnej činnosti, pokiaľ nesplnia zákonné podmienky na spracovanie osobných údajov platné pre štandardných prevádzkovateľov[4] osobných údajov. Jehovovi svedkovia sa proti rozhodnutiu úspešne bránili na Správnom súde v Helsinkách, avšak v konaní na Najvyššom správnom súde vznikli o záveroch vyplývajúcich z prvostupňového konania pochybnosti. Predmetný súd považoval za nejasné, v akom vzťahu sú právo na ochranu súkromia spolu s právom na ochranu osobných údajov a  sloboda náboženského vyznania a združovania.

Skutkové okolnosti, ktoré boli relevantné pre vydanie Rozsudku, je možné zhrnúť nasledovne:

  • členovia spoločnosti Jehovovi svedkovia robili pri svojej podomovej evanjelizačnej činnosti poznámky o stretnutiach s osobami, ktoré navštevovali bez toho, aby ich predtým oni alebo spoločnosť poznali alebo bez toho, aby boli pozvaní, pričom zvyčajne zaznamenávali meno a adresu navštívených osôb, informácie týkajúce sa ich náboženského vyznania a ich rodinnej situácie, resp. ďalší obsah realizovaných rozhovorov;[5]
  • zhromaždené osobné údaje ukladali do záznamu, ktorý slúžil na ich vyhľadanie pri prípadnej ďalšej návšteve bez toho, aby o tom boli dotknuté osoby informované a dali k tomu súhlas;
  • spoločnosť Jehovovi svedkovia poskytla svojim členom usmernenia o tom, ako si robiť takéto záznamy najmenej v jednom zo svojich časopisov;
  • spoločnosť Jehovovi svedkovia organizovala a koordinovala podomovú evanjelizačnú činnosť tak, že mapovala zóny a prerozdeľovala medzi členov zabezpečujúcich evanjelizáciu sektory viedla záznamy uvádzajúce počet distribuovaných publikácií jednotlivými evanjelizátormi;
  • farnosti spoločnosti viedli „zoznam zákazu“, t.j. zoznam osôb, ktoré si nepriali ďalšie návštevy, vypracovaný na základe poznámok členov vykonávajúcich podomovú evanjelizačnú činnosť;
  • spoločnosť Jehovovi svedkovia dala v minulosti svojim členom formuláre na účely zberu osobných údajov počas ich evanjelizačnej činnosti, hoci na základe odporúčania Splnomocnenca pre ochranu údajov prestali byť používané;
  • záznamy evanjelizátorov boli osobnej neformálnej povahy a spoločnosť Jehovovi svedkovia zber údajov priamo nevyžadovala a v prípade, že k takému zberu došlo, zvyčajne nepoznalaobsah vyhotovených záznamov;
  • spoločnosť Jehovovi svedkovia mala možnosť stanovovať spôsoby spracovania údajov a zakázať alebo obmedziť uvedené spracovanie a vopred určila účely a prostriedky tohto spracovania, keď vydala usmernenia týkajúce sa zberu.

Za účelom zodpovedania položených prejudiciálnych otázok sa Súdny dvor EÚ zaoberal najmä výkladom výnimiek z vecnej pôsobnosti Smernice na ochranu osobných údajov a pojmami registračný systém a prevádzkovateľ. Zistenia predmetného súdu sú uvedené nižšie v texte.

Výnimky z vecnej pôsobnosti Smernice na ochranu osobných údajov a GDPR

V súlade s ustáleným interpretačným pravidlom vykladá Súdny dvor EÚ výnimky z pravidiel vždy reštriktívne,[6]a to aj v oblasti ochrany osobných údajov. Smernica na ochranu osobných údajov ustanovovala dve výnimky zo svojej pôsobnosti v článku 3 ods. 2. Prvá výnimka sa vzťahovala na činnosti vyňaté z pôsobnosti Európskej únie (napr. bezpečnosť štátu) a druhá výnimka na fyzické osoby spracúvajúce osobné údaje na osobné alebo domáce účely.[7]Tieto výnimky sú naďalej platné aj podľa článku 2 ods. 2 GDPR.[8]

Výnimke zaoberajúcej sa činnosťami vyhradenými štátu a štátnym orgánom neboli v danom konaní relevantné, keďže v súlade s ods. 39 Rozsudku činnosť členov spoločnosti Jehovovi svedkovia súvisela výhradne s náboženskou činnosťou jednotlivcov, takže sa na ňu daná výnimka nemohla aplikovať. Výklad výnimky spracovania osobných údajov v priebehu výlučne osobných alebo domácich činností bol zaujímavejší aj z praktického hľadiska, keďže práve táto výnimka vyvoláva množstvo pochybností o rozsahu činností, na ktoré je možné ju uplatniť.

GDPR uvádza, že osobná alebo domáca činnosť je taká činnosť, ktorá nesúvisí s „profesijnou alebo komerčnou činnosťou“. Ako príklady uvádza uchovávanie adries alebo osobnej korešpondencie, využívanie sociálnych sietí a obdobné činnosti vykonávané v kybernetickom priestore.[9]

Súdny dvor EÚ už v minulosti[10] uviedol, že pojmy „osobné alebo domáce“ sa vzťahujú na "činnosť osoby, ktorá spracúva osobné údaje, a nie na osobu, ktorej údaje sa spracúvajú“.[11] V danom prípade sa uvedená výnimka nevzťahovala na kamerový systém, ktorý zachytával nielen súkromný pozemok prevádzkovateľa tohto systému, ale čiastočne aj verejné priestranstvo, ktoré nemohlo patriť do jeho súkromnej sféry.

Pri posudzovaní, či spracúvanie osobných údajov patrí do osobnej alebo domácej činnosti je tak v súlade s Rozsudkom potrebné analyzovať, či patria výlučne do oblasti súkromného alebo rodinného života jednotlivca. Do tejto oblasti nepatria aktivity, pri ktorých sú osobné údaje spracúvané s úmyslom, že môžu byť čo i len čiastočne poskytnuté neurčitému počtu osôb alebo zahŕňajú aj verejné priestranstvo.

Vyššie uvedené závery už boli známe z predchádzajúcej rozhodovacej činnosti Súdneho dvora EÚ. Napriek uvedenému bola ich aplikácia na podomovú evanjelizačnú činnosť, ktorej účelom bolo šíriť vieru spoločnosti Jehovovisvedkovia, medzi vnútroštátnymi súdmi sporná. Súdny dvor EÚ však jednoznačne uviedol, že keďže adresátmi evanjelizačnej činnosti sú osoby nepatriace do rodinného či osobného kruhu evanjelizátorov, nemôže sem patriť ani toto ich konanie.

Dôležitým faktorom pri rozhodovaní o povahe evanjelizačnej činnosti spoločnosti Jehovovi svedkoviavo vzťahu k ochrane osobných údajov bol aj fakt, že spoločenstvo získavalo niektoré údaje o osobách, ktoré si nepriali ďalšie návštevy. Z uvedeného vyplýva, že tieto osobné údaje boli dostupné neurčitému počtu osôb.

V závere tejto časti je potrebné uviesť, že Súdny dvor EÚ, rešpektujúc predchádzajúce závery Európskeho súdu pre ľudské práva,[12]uznal, že právo na slobodu myslenia, svedomia a náboženského vyznania[13] zahŕňa aj podomovú evanjelizačnú činnosť zameranú na presviedčanie iných osôb. Právo na vyjadrenie či šírenie viery však bez ďalšieho neznamená, že by takáto činnosť mala byť privilegovaná a vyňatá spod legislatívy zameranej na ochranu osobných údajov, ak sa neodohráva v súkromnej sfére evanjelizátorov. Právo na súkromie v spojení s právom na ochranu osobných údajov totiž rovnako patrí medzi základné práva a slobody fyzických osôb.[14] V predmetnom prípade naviac neboli poskytnuté také argumenty, v dôsledku ktorých by sa javilo, že tieto práva navzájom kolidujú.

Z vyššie uvedených úvah tak vyplynul záver, podľa ktorého „zber osobných údajov členmi náboženskej spoločnosti v súvislosti s podomovou evanjelizačnou činnosťou a následné spracovanie týchto údajov nepredstavujú...spracovanie osobných údajov  fyzickými osobami v priebehu výlučne osobných alebo domácich činností“.[15]

Výklad pojmu "Informačný systém osobných údajov"

Pojem „registračný systém osobných údajov“ bol uvedený v Smernici na ochranu osobných údajov v článku 2 písm. c)[16] a v značnej miere zodpovedá aktuálne často diskutovanému termínu „informačný systém“[17] uvedenému v článku 4 ods. 6 GDPR. V anglickej verzii termín zostáva nezmenený a podľa Smernice na ochranu osobných údajov aj GDPR je označovaný ako „filing system“.Ďalej v tomto texte bude používaný novší preklad podľa GDPR.

Porozumenie pojmu „informačný systém“ patrí medzi prvé úlohy, s ktorými sa je potrebné vysporiadať pri vzdelávaní sa v oblasti ochrany osobných údajov, a to z toho dôvodu, že pokiaľ je predmetom diskusie manuálne spracovanie osobných údajov, je rozhodujúci pri určení, či sa na danú aktivitu GDPR vzťahuje, a teda či patrí do jeho vecnej pôsobnosti.[18]

Rozsudok prispel k pochopeniu významu a obsahu daného systému, keďže sa v ňom uvádza, že „zahŕňa súbor osobných údajov zozbieraných v rámci podomovej evanjelizačnej činnosti, ktorý obsahuje mená a adresy, ako aj ďalšie informácie týkajúce sa navštívených osôb, ak sú tieto údaje štruktúrované podľa určených kritérií, ktoré v praxi umožňujú ich jednoduché vyhľadanie na neskoršie použitie“.[19] Súčasne objasnil, že súbor osobných údajov patrí pod daný pojem aj v prípade, ak neobsahuje „špecifické záznamy, registre alebo iné vyhľadávacie systémy“.[20]

Predmetný termín je potrebné vykladať extenzívne, t.j. „tak, že sa vzťahuje navšetkyštruktúrované zostavy osobných údajov“.[21] Príčinou potreby rozširujúceho výkladu je snaha zabezpečiť, aby ochrana osobných údajov nezávisela od techniky alebo metódy, ktorá je na spracúvanie využívaná a nebolo možné ju jednoducho obísť.

Obsah informačného systému musí byť usporiadaný, t.j. štruktúrovaný podľa určených kritérií tak, aby zabezpečil jednoduchý prístup k osobným údajom dotknutej osoby, resp. vyhľadávanie v nich. Konkrétny spôsob organizácie systému a jeho formynebol v Smernici na ochranu osobných údajov definovaný a nie je bližšie vysvetlený ani v GDPR.

Práve v prípade podomovej evanjelizačnej činnosti sa ako účel zberu osobných údajov evanjelizátormi javilo uľahčenie organizácie ďalších návštev dotknutých osôb. Zároveň boli osobné údaje spracúvané aj na vytvorenie zoznamov osôb neželajúcich si ďalšie návštevy členov spoločnosti Jehovovi svedkovia. Účelom spracúvania tak bolo jednoduché vyhľadanie informácií o konkrétnych osobách. Súdny dvor EÚ z tohto skutkového stavu vyvodil, že údaje boli „štruktúrované podľa kritérií v závislosti od cieľa sledovaného týmto zberom, ktorým je pripraviť ďalšie návštevy a spravovať zoznamy osôb, ktoré už nechcú byť navštívené“.[22]

Detaily konkrétneho prípadu ponechal Súdny dvor EÚ na posúdenie vnútroštátnym súdom. Ako však zdôraznil, presné kritériá ani forma zberu osobných údajov nie sú smerodajné pre určenie existencie alebo neexistencie informačného systému. Podstatná je praktická stránka využitia zhromaždených informácií, a teda či takáto organizácia údajovumožňuje jednoduché vyhľadávanie údajov o určitej navštívenej osobe“ v prípade potreby ich neskoršieho použitia.[23]

Výklad pojmu "prevádzkovateľ"

Rozsudok prispel aj k výkladu termínu „prevádzkovateľ“, ktorý je identický podľa Smernicena ochranu osobných údajov[24] aj podľa GDPR.[25] Súdny dvor EÚ tentokrát predmetný pojem analyzoval v kontexte práva na slobodu myslenia, svedomia a náboženského vyznania.

V súlade s vyššie uvedeným zhromažďovali evanjelizátori osobné údaje navštívených osôb dobrovoľne a spoločnosť Jehovovi svedkovia k nim nemala vždy prístup. Členovia navštevujúci dotknuté osoby sami rozhodovali, či a v akom rozsahu osobné údaje spracujú. Zároveň však bolo preukázané, že spoločenstvo do značnej miery priebeh podomovej evanjelizácie organizovalo a podporovalo, t.j. napríklad rozdeľovaním geografických oblastí návštev. Farnosti taktiež vypracúvali zoznamy o osobách, ktoré si nepriali byť navštevované, práve na základe osobných údajov získaných z podomovej evanjelizačnej činnosti. Bolo teda otázne, kto mal v prípade, ak by skutočne boli osobné údaje spracúvané podľa európskej legislatívy, niesť za spracúvanie údajov zodpovednosť a do akej miery.

V súlade s právnym posúdením Súdneho dvora EÚ náboženská spoločnosť môže byť spoločne s jej členmi vykonávajúcimi podomovú evanjelizačnú činnosť považovaná za prevádzkovateľa aj vo vzťahu k osobným údajom spracúvaným týmito členmi, ak túto činnosť „organizuje, koordinuje a podporuje, pričom nie je potrebné, aby uvedená spoločnosť mala prístup k údajom, alebo sa muselo preukázať, že dala svojim členom písomné usmernenia alebo pokyny v súvislosti s týmto spracovaním“.[26]

Skutočnosť, že nie je potrebné preukazovať existenciu písomných usmernení či pokynov je z praktického hľadiska mimoriadne významná. Predmetný  záver odôvodnil Súdny dvor EÚ účelom širokej definície pojmu „prevádzkovateľ“ spojeným s účelom ochrany osobných údajov vo všeobecnosti, ktorým je účinná a plnohodnotná ochrana práv dotknutých osôb. GDPR ani Smernica na ochranu osobných údajov ako náležitosť určenia účelov a prostriedkov spracúvania neuvádzajú potrebu existencie písomných usmernení či priamych pokynov zo strany jedného subjektu, v tomto prípade náboženskej spoločnosti, ku ďalším, v tomto prípade jednotlivým evanjelizátorom. GDPR v článku 4 ods. 7 len konkretizuje, že pri identifikácii prevádzkovateľa je podstatné, či daný subjekt ovplyvňuje alebo sa podieľa na určovaní účelov a prostriedkov spracúvania osobných údajov. 

Rovnako nie je relevantné, či má každý zo subjektov prístup k spracúvaným osobným údajom. Uvedená úvaha už bola predmetom rozhodovacej činnosti Súdneho dvora EÚ v prípade, kedy určil, že správcovia fanúšikovských stránok zriadených na sociálnej sieti spoločnosti Facebook sú prevádzkovateľmi v zmysle Smernicena ochranu osobných údajov, aj keď majú prístup k zozbieraným osobným údajom len v anonymizovanej podobe, keďže daný zber prostredníctvom cookies umožňujú a podporujú ich šírenie.[27]

V danom prípade sa z dostupných informácií javilo ako pravdepodobné, že účel spracúvania osobných údajov získavaných pri podomovej evanjelizačnej činnosti je priamo určovaný cieľom spoločnosti Jehovovi svedkovia. Predmetná spoločnosť sa tak podľa dostupných informácií zúčastňovala na určení účelov a prostriedkov spracúvania osobných údajov. Zásada organizačnej autonómie náboženských spoločenstiev[28] nie je ochranou osobných údajov obmedzovaná či inak ovplyvňovaná,keďže „Povinnosť každej osoby dodržiavať pravidlá práva Únie týkajúce sa ochrany osobných údajov totiž nemožno považovať za zásah do organizačnej autonómie uvedených spoločenstiev.[29]

Spoločná zodpovednosť za spracovanie osobných údajov však nemusí byť v rovnakom pomere. Rôzni prevádzkovatelia môžu byť zapojení do spracovania osobných údajov „v rôznych fázach a stupňoch“,[30] čo ovplyvňuje aj mieru zodpovednosti každého z nich.[31]

Z praktického hľadiska predmetný Rozsudok prispel k pochopeniu ochrany osobných údajov a nariadenia GDPR, ktoré ustanovuje množstvo povinností často pomerne všeobecným spôsobom. Z tohto dôvodu je potrebné dúfať, že v nasledujúcich mesiacoch bude rozhodnuté vo viacerých konaniach z tejto právnej oblasti.

JUDr. Daniela Čičkánová, PhD., LL.M., advokátka
V4 Legal, s.r.o.,
www.v4legal.sk

 



[1]Súdny dvor Európskej únie

[2]Nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

[3]Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov

[4]GDPR v článku 4 ods. 7 zhodne so Smernicou o ochrane osobných údajov definuje prevádzkovateľa ako fyzickú alebo právnickú osobu, orgán verejnej moci, agentúru alebo iný subjekt, ktorý sám alebo spoločne s inými určí účely a prostriedky spracúvania osobných údajov; v prípade, že sa účely a prostriedky tohto spracúvania stanovujú v práve Európskej únie alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve Európskej únie alebo v práve členského štátu.

[5]Nad rozsah Rozsudku je potrebné uviesť, že z dostupných informácií vyplýva, že členovia spoločnosti spracúvali osobitnú kategóriu osobných údajov podľa článku 9 GDPR, a to konkrétne osobné údaje odhaľujúce náboženské presvedčenie navštívených osôb.

[6] Napríklad Storme, M. E.: The foundations of PrivateLaw in a Multi-Level Structure: Balancing, Distribution of LawmakingPower and OtherConstitutionalIssues, dostupné on line prostredníctvom: https://www.law.kuleuven.be/personal/mstorme/FiesoleFoundations.pdf, s. 4, ale v súlade s odkazmi v ods. 37 Rozsudku rovnako aj rozsudok zo dňa 11.12.2014 vo veci Rynešproti Úradu na ochranu osobných údajov Českej republiky, č. k. C‑212/13, ods. 29 a rozsudok zo dňa 27.09.2017 vo veci Puškár proti Finančnému riaditeľstvu Slovenskej republiky a Kriminálnemu úradu finančnej správy, č. k. C‑73/16, ods. 38.

[7]Táto smernica sa neuplatňuje na spracovanie osobných údajov … fyzickou osobou v priebehu osobnej činnosti, alebo činnosti týkajúcej sa domácnosti.

[8]Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov … fyzickou osobou v rámci výlučne osobnej alebo domácej činnosti.

[9] Recitál č. 18

[10] Rozsudok zo dňa 11.12.2014 vo veci Rynešproti Úradu na ochranu osobných údajov Českej republiky, č. k. C‑212/13, ods. 31 a 33

[11] Ods. 41 Rozsudku

[12] Ako sa uvádza v ods. 48 Rozsudku, napr. rozsudok zo dňa 25.05.1993 vo veci Kokkinakis proti Grécku, § 31 a rozsudok zo dňa 08.11.2007 vo veci Perry proti Lotyšsku, § 52

[13] Článok 10 ods. 1 Charty základných práv Európskej únie

[14] Ods. 35 Rozsudku, v ktorom odkázal aj na rozsudky zo dňa 13.05.2014 vo veci Google Spain a Google, č. k. C‑131/12, ods. 66 a rozsudok zo dňa 05.06.2018 vo veci WirtschaftsakademieSchleswig‑Holstein, č. k. C‑210/16, ods. 26

[15] Ods. 51 Rozsudku

[16] "Registračný systém osobných údajov znamená akúkoľvek štruktúrovanú zostavu osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, či už centralizované, decentralizované, alebo rozptýlené na funkčnej alebo geografickej báze.

[17]Informačný systém je akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.

[18] Článok 2 ods. 1 GDPR, citujem: „Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“

[19] Ods. 62 Rozsudku

[20] Ods. 62 Rozsudku

[21] Ods. 56 Rozsudku

[22] Ods. 60 Rozsudku

[23] Ods. 61 Rozsudku

[24] Článok 2 písm. d) Smernice

[25] Článok 4 ods. 7 GDPR

[26] Ods. 75 Rozsudku

[27] Rozsudok zo dňa 05.06.2018 vo veci Wirtschaftsakademie Schleswig‑Holstein, č. k. C‑210/16, ods. 38

[28] Článok 17 Zmluvy o fungovaní Európskej únie

[29] Ods. 74 Rozsudku

[30] Ods. 66 Rozsudku

[31] Rovnako rozsudok Súdneho dvora Európskej únie zo dňa 05.06.2018 vo veci C‑210/16 súvisiacej s konaním: UnabhängigesLandeszentrumfürDatenschutzSchleswig‑Holstein proti WirtschaftsakademieSchleswig‑HolsteinGmbH.

Ilustračné foto: pixabay.com

Ohodnoťte článok
Hlasovalo: 1660

Nový príspevok

PoUtStŠtPiSoNe
: