Vysoký počet GDPR stížností nemůže být důvodem pro nečinnost úřadu

Případ začal, když rakouský úřad na ochranu údajů (ADPA) odmítl stížnost proto, že dotyčný stěžovatel podal mezi lety 2018 a 2020 celkem 77 stížností a úřad také často kontaktoval telefonicky. ADPA navrhl limit dvou stížností na osobu za měsíc. Rakouský soud však 22. prosince 2022 toto rozhodnutí zrušil a konstatoval, že samotná frekvence stížností nestačí k tomu, aby byly označeny za „zjevně nadměrné“ ve smyslu GDPR. 

Rozhodnutí Soudního dvora Evropské unie (SDEU) toto stanovisko posílilo. Unijní soud uvedl, že stížnosti mohou být klasifikovány jako nadměrné pouze v případě, že jsou „zjevně obtěžující nebo zneužívající povahy“ a že „zneužívající úmysl“ musí být prokázán. Rozhodnutí SDEU dále uvádí: „Žádosti nemohou být klasifikovány jako ‚nadměrné‘ ve smyslu této úpravy pouze na základě jejich počtu v daném období.“ Podle SDEU by uvalení omezení pouze na základě objemu stížností ohrozilo práva jednotlivců podle GDPR a oslabilo prosazování právních předpisů o ochraně osobních údajů.

Související ustanovení GDPR a rakouského práva

Podle § 24 rakouského zákona o ochraně osobních údajů mohou dotčené osoby podávat stížnosti k rakouskému dozorovému úřadu. Pokud jsou stížnosti odůvodněné, musí správci údajů splnit požadavky dotčené osoby na přístup k údajům, opravy nebo výmaz. Rakouské soudy mají pravomoc přezkoumávat rozhodnutí dozorového úřadu, čímž zajišťují dodržování principů GDPR. 

Článek 57 odst. 4 GDPR uvádí, že dozorový úřad může účtovat přiměřený poplatek nebo odmítnout jednat o žádostech, které jsou „zjevně neopodstatněné nebo nadměrné“, zejména pokud jsou opakované. Dozorové úřady však musí prokázat, že žádost je zjevně nadměrná nebo neopodstatněná. Článek 77 odst. 1 GDPR potvrzuje, že každá dotčená osoba má právo podat stížnost u dozorového orgánu, pokud se domnívá, že její osobní údaje byly zpracovány v rozporu s GDPR. 

Jaké otázky Soudní dvůr EU řešil?

Ve svém rozhodnutí SDEU objasnil výklad klíčových ustanovení GDPR.

První otázka se týkala toho, zda by měl být článek 57 odst. 4 GDPR vykládán tak, že pojem „žádost“ v tomto ustanovení zahrnuje „stížnosti“, které jsou uvedeny v článcích 57 odst. 1 písm. f) a čl. 77 odst. 1 GDPR. 

Soud vysvětlil, že vymezení pojmu „žádost“ vyžaduje zkoumání slovní formulace, kontextu a cílů GDPR. Podle SDEU článek 57 odst. 1 písm. f) GDPR zavazuje dozorové úřady, aby se zabývaly stížnostmi podanými dotčenými osobami, zatímco článek 57 odst. 4 umožňuje účtovat přiměřené poplatky nebo odmítnout jednat pouze v případě, že žádosti jsou „zjevně neopodstatněné nebo nadměrné“. Soud poznamenal, že běžný význam pojmu „žádost“ je široký a zahrnuje jakoukoliv aktivitu, která má za cíl dosáhnout určitého jednání úřadu. Soud dále konstatoval, že tento termín zahrnuje i stížnosti dotčených osob. 

Tento výklad SDEU odůvodnil i kontextovým výkladem. Článek 57 GDPR popisuje úkoly dozorových orgánů, včetně zpracování stížností, a stanoví, že tyto úkoly jsou obvykle bezplatné. Soud zdůraznil, že článek 57 odst. 4 představuje výjimku z principu bezplatnosti a musí být vykládán úzce, aby se použil pouze ve výjimečných případech.

SDEU zdůraznil, že cílem GDPR je zajistit vysokou úroveň ochrany osobních údajů a posílit práva subjektů údajů. Možnost dozorového úřadu řešit zjevně nadměrné nebo neopodstatněné stížnosti tento cíl podporuje, ale omezení nesmí bránit legitimnímu přístupu k nápravě protiprávního stavu.

Kolik stížností už je moc? 

Druhá otázka se týkala toho, zda mohou být stížnosti považovány za nadměrné pouze na základě jejich vysoké frekvence. SDEU objasnil, že žádosti nelze považovat za nadměrné pouze kvůli jejich počtu. K tomu, aby byly stížnosti označeny za nadměrné podle GDPR, musí být prokázán „zneužívající úmysl“ stěžovatele. Zneužívající úmysl existuje, když jsou stížnosti podávány bez skutečné potřeby chránit práva, ale spíše s cílem narušit fungování dozorového orgánu.

V reakci na třetí otázku SDEU vyložil, jaké jsou pravomoci dozorových orgánů při nakládání s nadměrnými stížnostmi. Dozorový úřad není automaticky povinen nepřiměřené stížnosti odmítnout. Místo toho má úřad možnost účtovat poplatek na základě administrativních nákladů, které mu s jejich vyřízením vzniknou. To může sloužit jako odstrašující opatření proti dalším nadměrným stížnostem. Pokud tento poplatek nebude považován za dostatečný, může úřad přistoupit k odmítnutí jednat. SDEU zdůraznil, že každé takové rozhodnutí musí být vhodné, nezbytné a přiměřené okolnostem a zohledňovat všechny relevantní faktory. 

Dopad rozsudku na vymáhání GDPR

Toto rozhodnutí je považováno za vítězství pro organizace na ochranu soukromí. NOYB označil rozhodnutí za silnou ránu rakouskému úřadu. NOYB uvedl, že tento rozsudek jasně potvrzuje, že každý jednotlivec má právo domáhat se nápravy každého porušení GDPR, pokud nejsou jeho stížnosti skutečně zneužívající.

Tento případ poukazuje na širší problém, který se týká všech členských států EU, nejen Rakouska. Ochránci soukromí dlouho tvrdili, že omezování počtu stížností by oslabilo účinnost prosazování GDPR, které závisí na účasti občanů při hlášení potenciálních porušení jejich práv.

Když byl rakouský dozorový úřad dotázán na předchozí stížnosti odmítnuté na základě jejich frekvence, odkazoval na své výroční zprávy. Tyto zprávy však neuvádějí důvody pro odmítnutí stížností, statistiky však ukazují, že pouze 1–2 % prošetřených stížností končí pokutami. 

Posílení práv na ochranu osobních údajů

Rozhodnutí SDEU potvrzuje, že jedním ze základních cílů GDPR je umožnit dotčeným osobám aktivní ochranu jejich práv při zpracování osobních údajů, včetně práva na stížnost k dozorovému úřadu. Tím, že rozsudek vylučuje arbitrární omezení stížností, posiluje schopnost jednotlivců přivést správce či zpracovatele údajů k odpovědnosti za porušení ochrany údajů. Toto rozhodnutí pravděpodobně ovlivní způsob, jakým dozorové úřady v celé Evropě řeší podobné případy, a mohlo by vést k přísnějšímu prosazování právních předpisů o ochraně soukromí.

Článek je publikován také na doméně GDPR.cz