Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Je provozovatel online platformy správce nebo zpracovatel osobních údajů?

Je provozovatel online platformy správce nebo zpracovatel osobních údajů?

  • Datum: 20.02.2025
  • Autor: Vladan Rámiš

Generální advokát Soudního dvora EU se pokusil vyjasnit vztah GDPR a tzv. safe harbour principu u zprostředkovatelských služeb. Jak to dopadlo?

Generální advokát Soudního dvora Evropské unie (SDEU) Maciej Szpunar v případě C-492/23, X proti Russmedia Digital SLR zabýval vztahem obecného nařízení o ochraně osobních údajů(GDPR) a směrnice eCommerce. Konkrétně šlo o podmíněné zproštění odpovědnosti poskytovatelů hostingových služeb, tzv. beneficum safe harbour, podle čl. 14 a 15 směrnice eCommerce. Generální advokát se rovněž zabýval postavení poskytovatelů hostingových služeb a uživatelů jejich služeb podle GDPR.

Úprava ve směrnici eCommerce již byla v mezidobí nahrazena pravidly v Digital Services Act (nařízení 2022/2065/EU). Sám generální advokát upozornil, že DSA otevírá i jiné možnosti výkladu a ve svém stanovisku se soustředil zejména na výklad eCommerce směrnice. Nicméně osobně nepovažuji odlišnosti mezi příslušnými částmi DSA a eCommerce za natolik zásadní, aby umožnily přijmout zcela jiný výklad. Komentované stanovisko tak má přímý dopad i na výklad DSA a jeho vztah k GDPR.

Generální advokát každopádně ve svém stanovisku dospěl k celé řadě zajímavých závěrů, které mohou mít značný vliv na dosavadní praxi v oblasti hostingových služeb na internetu. Týká se to zejména hostingových služeb, které obsah poskytnutý jejich uživateli uveřejňují. Tyto závěry se přitom podle mého názoru dají aplikovat na veškeré typově podobné služby, tzn. sociální sítě či diskuze pod články v rámci internetových médií.

Safe Harbour v online službách

Čl. 14 směrnice eCommerce (a následně čl. 6 DSA) obsahují tzv. podmíněné zproštění odpovědnosti poskytovatele hostingových služeb, což je součást obecnějšího zproštění odpovědnosti v rámci zprostředkovatelských služeb. Poskytovatel hostingových služeb je zproštěn odpovědnosti za obsah generovaný uživateli jeho služby (safe harbour), pokud jsou splněny tyto podmínky (citováno ze směrnice eCommerce):

a) (poskytovatel) nebyl účinně seznámen s protiprávní činností nebo informací a ani s ohledem na nárok na náhradu škody si není vědom skutečností nebo okolností, z nichž by byla zjevná protiprávní činnost nebo informace, nebo

b) jakmile se o tomto (poskytovatel) dozvěděl, jednal s cílem odstranit tyto informace nebo k nim znemožnit přístup.

Vztah směrnice eCommerce a GDPR, kterým se generální advokát zabýval, není legislativně příliš vyjasněn. Čl. 1 odst. 5 směrnice eCommerce stanoví, že tato  se nevztahuje na [...] otázky týkající se služeb informační společnosti upravené v GDPR (podobnou úpravu obsahuje čl. 2 odst. 4 písm. g) DSA, který stanoví, že pravidla GDPR nejsou dotčena), zatímco čl. 2 odst. 4 GDPR uvádí, že tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů hostingových služeb uvedená v článcích 12 až 15 uvedené směrnice. SDEU se sice několikrát vyjadřoval k odpovědnosti poskytovatelů zprostředkovatelských a specificky hostingových služeb, ale často se jednalo o případy projednávané před účinností GDPR a navíc řešily spíše dílčí otázky, zejména v kontextu porušování autorského práva.

Do řešení otázky odpovědnosti poskytovatelů služeb se také vložil – dle mého názoru poněkud nešťastně – i Evropský soud pro lidská práva, a to zejména v případech Delfi, s určitou korekcí ve věci Høiness proti Norsku a dále v rozsudku Sanchez proti Francii.

Původní předmět sporu

Generální advokát Maciej Szpunar se vyjadřoval k tomuto skutkovému stavu:

Russmedia Digital SRL je rumunská společnost, která je provozovatelem on-line tržiště www.publi24.ro. Na něm mohou být bezplatně nebo za úplatu zveřejňovány inzeráty týkající se zejména prodeje zboží nebo poskytování služeb z různých lokalit v Rumunsku.

V srpnu 2018 zveřejnila na tomto on-line tržišti neidentifikovaná osoba inzerát, jehož obsah byl znevažující a urážlivý vůči navrhovatelce v původním řízení, neboť v něm bylo uvedeno, že nabízí sexuální služby. Inzerát obsahoval fotografie navrhovatelky v původním řízení, použité bez jejího souhlasu z účtu, který měla legálně na sociální síti, jakož i její telefonní číslo. Totožnost osoby, která tento inzerát na dané on-line tržiště vložila, nebyla před jeho zveřejněním ověřena. Když byla společnost Russmedia kontaktována navrhovatelkou, inzerát ze svého on-line tržiště o necelou hodinu později odstranila. Tentýž inzerát však byl s uvedením původního zdroje umístěn on-line na jiných internetových stránkách s reklamním obsahem, na nichž je stále přístupný.

Vzhledem k tomu, že navrhovatelka v původním řízení měla za to, že sporný inzerát porušuje její práva, podala proti společnosti Russmedia žalobu mj. pro porušení GDPR. Generální advokát tedy před sebou měl nelehkou úlohu vyložit rozhraní mezi eCommerce a GDPR.

Předběžné otázky

Soudnímu dvoru EU byly položeny čtyři předběžné otázky:

  • Uplatní se články 12 až 14 [směrnice 2000/31] také na poskytovatele informačních služeb typu úložiště-hosting, který zpřístupňuje uživatelům stránky, na nichž lze vkládat bezplatnou nebo placenou inzerci, a který tvrdí, že jeho úloha při zveřejňování inzerátů uživatelů je čistě technická (zpřístupnění platformy), avšak který prostřednictvím všeobecných podmínek používání stránek uvádí, že si nenárokuje vlastnické právo k poskytnutému nebo vloženému, nahranému nebo přenesenému obsahu, nicméně si ponechává právo obsah používat, včetně práva jej kopírovat, šířit, přenášet, zveřejňovat, reprodukovat, upravovat, překládat, předávat partnerům a kdykoli jej odstranit, a to i bez udání důvodu?

  • Je podle výkladu čl. 2 odst. 4, čl. 4 bodů 7 a 11, čl. 5 odst. 1 písm. f), čl. 6 odst. 1 písm. a), článků 7, 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen před zveřejněním inzerátu ověřit, zda existuje vztah mezi osobou vkládající inzerát a vlastníkem osobních údajů, jehož se inzerát týká?

  • Je podle výkladu čl. 2 odst. 4, čl. 4 bodů 7 a 11, čl. 5 odst. 1 písm. f), čl. 6 odst. 1 písm. a), článků 7, 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen předem ověřit obsah inzerátů zasílaných uživateli, aby vyloučil ty, které jsou případně protiprávní povahy nebo které se mohou dotknout soukromého a rodinného života osoby?

  • Je podle výkladu čl. 5 odst. 1 písm. b) a f), článků 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen použít taková bezpečnostní opatření, aby zabránil nebo omezil reprodukci a další šíření obsahu inzerátů, které jsou jeho prostřednictvím zveřejněny?“

Je poskytovatel hostingových služeb správcem nebo zpracovatelem?

K jakým závěrům generální advokát ve svém stanovisku pro SDEU dospěl?  

Povinnost ověřovat totožnost uživatelů

Poskytovatel hostingových služeb je podle komentovaného stanoviska povinen ověřovat totožnost uživatelů svých služeb, pokud hrozí riziko, že tito uživatelé mohou zveřejnit obsah, který zasáhne do práv dalších osob. Generální advokát neupřesnil, jak si takové ověřování totožnosti představuje. Pouhá registrace ale zjevně nestačí, protože ta v tomto případě byla podmínkou uveřejnění inzerátu, tzn. byla ze strany Russmedia provedena.

Zdá se, že generální advokát netrvá na podrobném ověřování totožnosti, postačí mu ověření dalšího kontaktního údaje (např. telefonního čísla), což vyplývá z bodu 135 jeho stanoviska. Svůj závěr odůvodnil tím, že pokud se jedná o samotnou registraci uživatelů, pak poskytovatel zprostředkovatelské služby jedná bez diskuze jako správce osobních údajů, a proto mu z čl. 24 a 25 GDPR vyplývá povinnost ověřit totožnost uživatele služeb.

Povinnost uvádět skutečnou identitu při registraci ovšem podle generálního advokáta neznamená povinnost poskytovatele hostingových služeb zveřejňovat tuto reálnou identitu v rámci služby.

Povinnost ověřování totožnosti uživatelů je zásadní změnou, protože tato povinnost nevyplývá ani ze směrnice eCommerce ani z DSA.

Postavení poskytovatele služby z pohledu GDPR

Pokud se jedná o obsah generovaný uživateli (zde inzerát na online tržišti, ale může se pravděpodobně jednat i o tweet na síti X, post na Facebooku apod.), tak pokud poskytovatel služby bude vystupovat neutrálně (např. nebude excesivně napomáhat s optimalizací inzerátu), pak bude podle generálního advokáta zpracovatelem těchto osobních údajů, nikoliv správcem. Generální advokát to odůvodnil tím, že „Provozovatel on-line tržiště, jako je společnost Russmedia, tak patrně neovlivňuje pro vlastní potřeby rozhodnutí o určení účelu a prostředků zpracování osobních údajů případně obsažených v inzerátech vložených na toto on-line tržiště. Pokud se tento provozovatel podílí na zpracování těchto údajů, jedná jako zpracovatel, jménem inzerujícího uživatele a na jeho odpovědnost. Za těchto okolností musí být uživatelé služeb hostingu kvalifikováni jako „správci“ ve smyslu GDPR“.

Obdobné argumenty, jako použil generální advokát pro svoji argumentaci ve prospěch postavení poskytovatele hostingových služeb jako zpracovatele, lze vznést i ve prospěch toho, že poskytovatel zprostředkovatelské služby je i v tomto případě správcem osobních údajů. Ani uživatel totiž např. výlučně neurčuje účel zpracování osobních údajů, na jeho určení se ve skutečnosti významně podílí i poskytovatel hostingových služeb, který nastavuje fungování své služby.

Generální advokát s posouzením poskytovatele hostingových služeb jako správce spojuje mj. i ten důsledek, že nemůže využít beneficia safe harbour podle čl. 14 směrnice eCommerce, protože spojuje kvalifikaci jeho postavení jako správce s tím, že již natolik ovlivňuje zpracování, že přestává být neutrálním. Z toho plyne, že by nemohl být podmíněně zproštěn odpovědnosti za obsah vložený uživateli. Pro úplnost je ovšem třeba uvést, že čl. 2 odst. 4 GDPR neomezuje svůj dopad pouze na zpracovatele osobních údajů, takže ani zde  postavení poskytovatele služeb z hlediska GDPR není pro použití tohoto článku relevantní.

Povinnost ověřovat inzeráty v případě, kdy je poskytovatel správcem

Třetím zásadním závěrem generálního advokát je, že pokud poskytovatel hostingových služeb bude vystupovat jako správce (či společný správce, jak stanovisko naznačuje) údajů vložených do jeho služby uživateli (např. je bude využívat pro další své služby apod.), bude povinen ověřovat, zda uživatel, který tento obsah do služby vložil, disponuje dostatečným právním základem zpracování, zejména souhlasem. Poskytovatel také bude muset kontrolovat všechny inzeráty do služby vložené, zda neobsahují osobní údaje.

Pokračování článku naleznete na doméně GDPR.cz.

Štítky
GDPRDataDigitalizaceRegulace

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (56)Data (24)BPMN (1)Program Manager (4)Compliance (84)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (44)Axelos (6)AI (22)ISO (16)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (132)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (15)Whistleblowing Officer (9)DORA (15)AI (3)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (21)Tisková zpráva (3)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (30)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (13)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (44)Pokuta (19)Hospodářská soutěž (1)eGovernment (1)Regulace (30)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play