V prosinci loňského roku vydal Soudní dvůr Evropské unie (dále jen „SDEU“) několik významných rozhodnutí týkajících se odpovědnosti za porušení ochrany osobních údajů podle Obecného nařízení o ochraně osobních údajů (GDPR). Jedním z nejvýznamnějších rozhodnutí byl rozsudek SDEU, č.j. ve věci C-683/21, ze dne 5. prosince 2023, který se zabýval odpovědností správce za zpracování osobních údajů prováděné zpracovatelem a možnými následky, pokud by došlo k úniku těchto dat.
Tento případ se týkal Národního střediska veřejného zdraví v Litvě, které bylo pokutováno částkou 12 000 EUR za porušení GDPR v souvislosti s vývojem mobilní aplikace pro registraci a sledování osob, které přišly do kontaktu s Covidem-19. Aplikaci pro středisko vyvinula soukromá společnost, což vedlo k otázce, kdo nese odpovědnost za případná porušení ochrany osobních údajů.
SDEU ve svém rozhodnutí potvrdil, že správce je odpovědný za každé zpracování osobních údajů, které provádí on sám, ale i za zpracování, které je prováděno pro něj, tedy na jeho pokyn. Správci tak může být uložena pokuta podle čl. 83 GDPR i v případě, že zpracovatel jedná v rozporu s ním. Toto rozhodnutí zdůrazňuje důležitost pečlivého výběru a kontroly zpracovatelů ze strany správců.
Nicméně, SDEU také objasnil, že odpovědnost správce za zpracování zpracovatelem má své hranice. Pokud zpracovatel zpracovává osobní údaje pro vlastní účely nebo způsobem neslučitelným s pokyny správce, správce za takové zpracování již nenese odpovědnost. V těchto případech je zpracovatel považován za samostatného správce a za porušení GDPR odpovídá sám.
Dalším klíčovým aspektem tohoto rozsudku bylo vyjasnění pojmu nehmotné újmy a povahy sankcí za porušení GDPR. Soud zdůraznil, že sankce musí být účinné, přiměřené a odrazující, přičemž nehmotná újma způsobená porušením ochrany osobních údajů musí být také náležitě zohledněna. To zahrnuje nejen finanční ztráty, ale i újmu na soukromí a osobních právech jednotlivců.
Tento rozsudek má široký dopad na správce a zpracovatele osobních údajů v celé Evropské unii. Zdůrazňuje důležitost dodržování přísných standardů ochrany osobních údajů a pečlivého monitoringu zpracování osobních údajů. Správci musí zajistit, aby jejich zpracovatelé plně dodržovali GDPR, a zpracovatelé si musí být vědomi své odpovědnosti při zpracování osobních údajů, jelikož jsou téže odpovědni za jeho dodržování.
Pro organizace to znamená potřebu zvýšené pozornosti při uzavírání smluv se zpracovateli, důsledného monitoringu jejich činností a pravidelného hodnocení rizik spojených se zpracováním osobních údajů. Rozsudek SDEU tak posiluje ochranu práv jednotlivců a zajišťuje, že porušení ochrany osobních údajů bude přísně postihováno, což přispívá k celkové důvěře veřejnosti v systémy ochrany osobních údajů v EU.
Autor: Mgr. Wanda Vardanová
