ÚOOÚ - Správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem

Nejvyšší správní soud zamítl kasační stížnost společnosti SMS finance, a.s., proti rozhodnutí Městského soudu v Praze, ve kterém pro nedůvodnost zamítl správní žalobu této společnosti proti rozhodnutí Úřadu pro ochranu osobních údajů. V předmětném rozhodnutí Úřadu bylo společnosti uloženo provést výmaz osobních údajů vztahujících se k osobám, vůči kterým je v postavení správce, a k jejichž zpracování nedoložila adekvátní právní titul. Nejvyšší správní soud ve svém rozsudku potvrdil závěr Úřadu, že společnost je v postavení správce i ve vztahu k osobním údajům, jež pro ni zpracovávají samostatní zprostředkovatelé, neboť určila účel tohoto zpracování.

 
Úřad uložil společnosti SMS finance, a.s., vymazat osobní údaje fyzických osob, k jejichž zpracování nedoložila právní titul podle čl. 6 obecného nařízení. Jednalo se zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti (spolupracovnice poskytující a propagující služby jménem společnosti), která oslovila potenciálního klienta na základě dat, k jejichž získání nebyla společnost schopna doložit řádný právní titul (vázaná zástupkyně se v telefonním rozhovoru se subjektem údajů představila jménem společnosti).  

Společnost SMS finance, a.s., se následně obrátila na Městský soud v Praze. Ve správní žalobě proti rozhodnutí Úřadu společnost uvedla, že se neztotožňuje s právním posouzením Úřadu ve vztahu k tomu, že se v rámci zpracování osobních údajů prováděného jejími vázanými zástupci nachází v postavení správce. Společnost postavila svoji obhajobu na argumentu, že za nesprávně zpracovávané osobní údaje neodpovídá ona, nýbrž její spolupracovníci jako vázaní zástupci, kteří jsou samostatnými podnikatelskými subjekty. Městský soud v Praze se však s tímto názorem neztotožnil a správní žalobu společnosti zamítl.   

Zamítnuta byla také následná kasační stížnost, kterou společnost podala k Nejvyššímu správnímu soudu (dále jen „NSS“). NSS ve svém odůvodnění konstatoval, že i když zpracovatel (v tomto případě ona vázaná zástupkyně) ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost. „Specifikace vztahu, povinností a zodpovědnosti mezi správcem a zpracovatelem bývá důvodem častých nedorozumění, už jen proto, že se ve své podstatě jedná o spolupráci dvou podnikatelských subjektů. Obecné nařízení však za nositele odpovědnosti považuje správce, tedy toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je potom ten, kdo pracuje pro správce,“ shrnul rozhodnutí předseda Úřadu Jiří Kaucký. 

NSS se ztotožnil s posouzením Městského soudu v Praze, že Úřad v daném případě oprávněně považoval společnost SMS finance, a.s., za správce osobních údajů, když uvedl, že: „[…] vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní, zprostředkovatelské služby, musí k tomu mít co zprostředkovávat‘". Jak dále uvedl NSS, vázaná zástupkyně společnosti „[…] v rámci své činnosti zprostředkovávala služby stěžovatele, v rámci čehož docházelo i ke shromažďování osobních údajů potenciálních klientů, které shromažďovala a zpracovávala právě za účelem určeným stěžovatelem.“ 

„NSS tedy uzavřel, že Úřad a Městský soud v Praze dospěly ke správnému závěru, že stěžovatel byl v pozici správce údajů s důsledky z toho plynoucími“, vysvětlil Jiří Kaucký. 

Anonymizované rozhodnutí je k dispozici na stránkách NSS.

V této souvislosti je vhodné připomenout, že oblast vztahů správců a zpracovatelů, včetně popisu jejich rolí a povinností, shrnul Úřad v Základní příručce k ochraně údajů. Více informací k této problematice lze nalézt také ve Stanovisku č. 1/2010 k pojmům „správce“ a „zpracovatel“ mezinárodní Pracovní skupiny WP29, která vykládala evropskou směrnici předcházející obecnému nařízení (nyní tento úkol převzal Evropský sbor pro ochranu osobních údajů).
 


05.11.2021 (autor Redakce)





Související

Pokuta nemocnici - Nejvyšší správní soud potvrdil názor ÚOOÚ

Nejvyšší správní soud (NSS) potvrdil pokutu ve výši 40 000 Kč uloženou Úřadem pro ochranu osobních údajů...

 vydáno 12.04.2022 
Téma: Evidence zpracování / Zákony a GDPR

Úřad pro ochranu osobních údajů zveřejnil svůj kontrolní plán pro rok 2022, zaměří se i na cookies

I letos cílí na nejdůležitější legislativní změny své agendy spojené s aktuálními společenskými potřebami,...

 vydáno 18.03.2022 
Téma: Zákony a GDPR

ÚOOÚ - Mapování používání cloudových služeb veřejnými subjekty

Úřad pro ochranu osobních údajů se ve spolupráci s dalšími evropskými dozorovými úřady zapojil do akce, jež...

 vydáno 16.02.2022 
Téma: Evidence zpracování



Související dotazy
Odpovídá Mgr. Nikola Dohnalová
Obdobně, jako u jiných správců, doporučuji provést revizi interní dokumentace podle požadavků GDPR, nastavení interních procesů pro přístup k údajům...

Odpovídá Mgr. Nikola Dohnalová
S velkou pravděpodobností bude nutné doplnit souhlasy a poučení o zpracování osobních údajů. U aplikací provádějících složitější zpracování, resp....

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, můžete, je to Váš oprávněný zájem - v rámci vyřízení reklamace se bez nich neobejdete a reklamaci vyřídit nemůžete. "Nezbytně dlouhá...



www.helpgdpr.cz
© Copyright 2000 - 2022, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz