V online prostředí je poměrně běžné, že uživatelé za řadu služeb, které jsou jim nabízeny bezplatně, tedy bez finančního protiplnění, nebo které tak alespoň na průměrného uživatele působí, fakticky platí svými osobními údaji. Výměnou za možnost „zdarma“ užívat sociální síť nebo e-mailovu schránku tak poskytovatel těchto služeb využívá informace o chování uživatele pro vylepšování svého produktu, pro přípravu nových produktů, zobrazuje mu individualizovanou reklamu nebo monetizuje uživatelem vytvořený obsah.

Související zpracování osobních údajů samozřejmě podléhá obecnému nařízení o ochraně osobních údajů (GDPR) a další příslušné legislativě. Mezi klíčové principy pro zpracování osobních údajů patří zásada účelového omezení a zásada zákonnosti zpracování. Jinak řečeno, provozovatel takovéto online služby musí pro toto zpracování určit jednoznačný účel a k němu příslušný právní titul. Mezi v praxi nejčastěji využívané právní tituly či právní důvody pro zpracování osobních údajů patří zpracování nezbytné pro plnění právní povinnosti, zpracování nezbytné pro ochranu oprávněných zájmů toho, kdo zpracování provádí, nebo dalšího subjektu, souhlas dotčené osoby a zpracování nezbytné pro plnění smlouvy uzavřené s danou osobou.

V okamžiku, kdy jsou osobní údaje fakticky využívány jako protiplnění za služby poskytnuté provozovatelem určité online služby, nabízel by se právě poslední z uvedených právních titulů, tedy zpracování nezbytné pro plnění smlouvy. S tímto přístupem však dosud explicitně nepracovalo ani právo, ani praxe, ani výklad evropských dozorových úřadů pro ochranu osobních údajů. Uvedené zpracování tak bývá nejčastěji založeno na souhlasu uživatele nebo na oprávněném zájmu poskytovatele služby.

Právní úprava však v této otázce doznala a dozná poměrně důležitých změn. Na úrovni Evropské unie byla v loňském roce přijata nová směrnice týkající se poskytování digitálního obsahu a digitálních služeb a rovněž nová úprava v oblasti ochrany spotřebitele. Evropský normotvůrce v obou těchto nových předpisech pracuje s tím, že i vztah, kdy spotřebitel za určitou službu fakticky platí osobními údaji, musí být považována za smluvní vztah se spotřebitelem se všemi důsledky, které z dané oblasti práva (poskytování digitálních služeb, ochrana spotřebitele) vyplývají.

Na české úrovni je pak v legislativním procesu novela občanského zákoníku transponující první z uvedených směrnic, tedy směrnici o poskytování digitálního obsahu a digitálních služeb. Návrh Ministerstva spravedlnosti předložený do vlády po připomínkovém řízení říká fakticky totéž, tedy že za digitální služby mohou být jako protihodnota nabídnuty právě osobní údaje uživatele.

Jaký budou mít tyto legislativní změny, ať již realizované na úrovni EU, nebo připravované v rámci ČR, dopad na praxi?

Cílem směrnice o poskytování digitálního obsahu a digitálních služeb¹ je podpořit přeshraniční online nakupování v rámci EU․ Bude harmonizovat některé požadavky na smlouvy o poskytování digitálního obsahu nebo digitálních služeb uzavíraných se spotřebiteli, týkající se zejména souladu obsahu či služby se smlouvou, možností ochrany spotřebitele a prostředků nápravy v případě nesouladu poskytnutého obsahu či služby se smlouvou, a úprav digitálního obsahu nebo digitální služby. Členské státy jsou povinny směrnici do svých právních řádů transponovat nejpozději do 1. 7. 2021 s tím, že transpoziční předpisy musí být účinné od 1. 1. 2022.²

K uvedené směrnici pro úplnost dodejme, že digitálním obsahem rozumí jakákoliv data, která jsou vytvořena a poskytována v digitální podobě, tedy programy a aplikace, audiosoubory, elektronické knihy atd.³ Digitální službu potom chápe jako službu, která uživateli, spotřebiteli, umožňuje vytvářet, zpracovávat nebo uchovávat data v digitální podobě nebo k nim mít přístup, a také službu umožňující sdílení dat nahraných nebo vytvořených spotřebitelem.⁴ Jedná se tedy o nástroje a technologie ke sdílení videa, audiozáznamů, zpracování textu nebo her nabízených např. v prostředí cloud computingu či sociálních médií.

S ohledem na téma tohoto příspěvku je klíčový čl. 3 odst. 1 směrnice 2019/770, který vymezuje její působnost. Činí tak následujícím způsobem:

„Tato směrnice se použije na každou smlouvu, na jejímž základě obchodník poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel platí nebo se zavazuje platit cenu. Tato směrnice se použije rovněž tehdy, pokud obchodník poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout obchodníkovi své osobní údaje, s výjimkou případů, v nichž obchodník osobní údaje poskytnuté spotřebitelem zpracovává výlučně pro účely poskytování digitálního obsahu nebo digitální služby v souladu s touto směrnicí nebo pro účely toho, aby dodržel zákonné požadavky, jež se na něho vztahují, přičemž obchodník tyto údaje nezpracovává k žádným jiným účelům.“

Související recitál č. 24 k tomu vysvětluje, že

„digitální obsah nebo digitální služby se často poskytují také v případech, kdy spotřebitel za ně neplatí, nýbrž poskytuje obchodníkovi osobní údaje. Takové obchodní modely se již používají v různých formách na velké části trhu. Ačkoli tato směrnice plně uznává, že ochrana osobních údajů je jedním ze základních práv a osobní údaje tudíž nemohou být považovány za komoditu, měla by zajistit, aby spotřebitelé měli v souvislosti s těmito obchodními modely právo na smluvní prostředky nápravy. Tato směrnice by se proto měla vztahovat na smlouvy, na jejichž základě poskytovatel poskytuje nebo se zavazuje poskytovat digitální obsah nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout osobní údaje. Osobní údaje by mělo být možné poskytnout obchodníkovi buď v okamžiku uzavření smlouvy, nebo později, např. v okamžiku, kdy spotřebitel dává obchodníkovi souhlas s použitím osobních údajů, které by si spotřebitel mohl nahrát nebo vytvořit pomocí digitálního obsahu nebo digitální služby.“

Recitál č. 26 upřesňuje, že směrnice 2019/770 naopak není aplikována v případech, kdy obchodník osobní údaje spotřebitele využívá pouze pro účel poskytování daného digitálního obsahu či digitální služby nebo pro splnění svých zákonných povinností, stejně tak, pokud obchodník pouze shromažďuje metadata, jako jsou informace týkající se zařízení spotřebitele nebo historie prohlížení. Jinak řečeno, pokud je daná služba zdarma a osobní údaje jsou obchodníkem zpracovávány jen pro skutečně nezbytné účely, např. pro plnění smlouvy, zajištění funkčnosti poskytované služby či plnění jeho právních povinností, ochranářská ustanovení směrnice nebudou aplikována. Pokud však obchodník tyto osobní údaje, ať už získané v okamžiku uzavírání smlouvy, nebo kdykoliv poté v průběhu smluvního vztahu, použije nebo hodlá použít k jiným účelům, např. pro zmíněné vylepšování nabízeného produktu či k monetizaci dat, směrnice se na jeho činnost uplatní.

Na úrovni EU dochází rovněž k poměrně rozsáhlé novelizaci právní úpravy ochrany spotřebitele, a to prostřednictvím směrnice 2019/2161.⁵

Tato novelizační směrnice upravuje řadu dalších unijních právních předpisů. Dochází tak zejména k posílení či zvýšení sankcí za porušení některých povinností v oblasti ochrany spotřebitele, v některých případech až do výše 4 % ročního obratu prodávajícího nebo poskytovatele služby, k úpravě tzv. dvojí kvality zboží, poskytování informací spotřebiteli v online prostředí atd. Členské státy jsou povinny uvedené změny transponovat do 28. 11. 2021 s účinností od 28. 5. 2022.

Jednou ze změn je i doplnění nového čl. 3 odst. 1 písm. a) do směrnice o právech spotřebitelů.⁶ Novelizovaná směrnice o právech spotřebitelů pak upravuje zejména informační povinnost obchodníka vůči spotřebiteli při smlouvách uzavíraných v klasických prodejnách, na dálku i při smlouvách uzavřených mimo obchodní prostory, právo odstoupit od smlouvy i některá další práva spotřebitele.

Novelizovaný čl. 3 odst. 1 písm. a) této směrnice zní velmi podobně jako výše cit. ustanovení směrnice 2019/770, a to následovně:

„Tato směrnice se použije rovněž v případech, kdy obchodník poskytuje nebo se zavazuje poskytovat digitální obsah, který není poskytnut na hmotném nosiči, nebo digitální službu spotřebiteli a spotřebitel poskytne nebo se zavazuje poskytnout obchodníkovi své osobní údaje, s výjimkou případů, v nichž obchodník osobní údaje poskytnuté spotřebitelem zpracovává výlučně pro účely poskytování digitálního obsahu, který není poskytnut na hmotném nosiči, nebo digitální služby v souladu s touto směrnicí nebo pro účely toho, aby dodržel zákonné požadavky, jež se na něho vztahují, přičemž obchodník tyto údaje nezpracovává k žádným jiným účelům.“

Veškerá ustanovení této směrnice sloužící k ochraně spotřebitele. Právo odstoupit od smlouvy, povinnosti obchodníka týkající se poskytování informací spotřebiteli atd., se tak rovněž budou aplikovat nejen na klasické smlouvy, kdy spotřebitel za poskytované služby platí penězi, ale i v případě, kdy podnikatel poskytuje službu „bezplatně“ a spotřebitel jako protiplnění poskytuje své osobní údaje.

Důvody, proč tak evropský normotvůrce učinil, můžeme najít např. v odůvodnění novelizační směrnice 2019/2161, ve kterém Komise mj. uvádí, že

„návrh rozšiřuje oblast působnosti směrnice 2011/83/EU i na digitální služby, za které spotřebitelé neplatí penězi, ale poskytují osobní údaje, např.: ukládání dat v cloudu, sociální média a e-mailové účty. Vzhledem k rostoucí ekonomické hodnotě osobních údajů nelze tyto služby považovat jednoduše za ‚bezplatné‘. Spotřebitelé by tedy měli mít stejné právo na předsmluvní informace i právo odstoupit od smlouvy do 14 dnů od jejího uzavření bez ohledu na to, zda za službu zaplatí penězi nebo poskytnou osobní údaje.“

Velmi obdobnou dikci používají i recitály č. 31–35 ke směrnici 2019/2162. Rovněž upřesňují, stejně jako u směrnice 2019/770, že tato norma, tedy rozšíření působnosti směrnice 2011/83 na další vztah, kdy spotřebitel za poskytnutou službu poskytuje své osobní údaje, se neuplatní, pokud je související poskytnutí a zpracování osobních údajů spotřebitele výlučně pro účely poskytování digitálního obsahu nebo digitální služby, za účelem plnění právních požadavků, které se na obchodníka vztahují, ani za situace, kdy obchodník pouze shromažďuje metadata, jako jsou informace týkající se zařízení spotřebitele nebo historie jeho aktivity na internetu, či tehdy, pokud mu pouze zobrazuje reklamu.

Jedním z deklarovaných cílů EU je posilovat jednotný trh, a to včetně přeshraničního poskytování online služeb. Tohoto cíle se snaží dosáhnout mj. posilováním práv uživatelů, spotřebitelů, aby byla posílena jejich důvěra pro využívání služeb nabízených poskytovateli z jiných členských států.

Jak bylo již výše uvedeno, zejména v online prostředí je běžnou praxí, že uživatel za některou službu, např. profil na sociální síti, e-mailovou adresu, osobní úložiště v cloudu atd., neplatí penězi, ale fakticky svými osobními údaji; poskytovateli dané služby umožní, aby jeho osobní údaje využíval ve svůj prospěch nad rámec poskytování vyžádané služby. Aby poskytovatelé těchto služeb nebyli vyjmuti z regulace, resp. aby nemohli argumentovat tím, že s uživatelem neuzavírají žádnou smlouvu, protože uživatel za jejich služby neplatí, takže se na ně např. předpisy pro ochranu spotřebitele neuplatní, unijní zákonodárce v loňském roce ve dvou významných oblastech (poskytování digitálního obsahu a právě ochrana spotřebitele) výslovně upravil, že příslušná práva a povinnosti se uplatní právě i tehdy, pokud je daná služba poskytována výměnou za osobní údaje koncového uživatele.

Na jedné straně tak došlo k legislativnímu upřesnění, že příslušné předpisy se vztahují i na služby poskytované bez finančního protiplnění. Z opačného úhlu pohledu však bylo rovněž potvrzeno, že i v takovém případě se fakticky jedná o smluvní vztah, v jehož rámci jedna strana, podnikatel, poskytuje zboží či službu, a druhá strana, spotřebitel, za toto zboží či službu poskytuje své osobní údaje, které podnikatel využívá za účely jdoucími nad rámec pouhého plnění smlouvy či plnění jeho právních povinností.

A pravě uvedený důsledek vyvolal v rámci legislativního procesu na unijní úrovni poměrně ostrou reakci. Evropský inspektor ochrany osobních údajů, který je nezávislým orgánem EU dozorujícím zpracování osobních údajů unijními orgány a podílejícím se rovněž na legislativním procesu,⁷ tento přístup podrobil silné kritice ve stanovisku⁸ k návrhu směrnice 2019/770. Evropský inspektor principiálně odmítá označení osobních údajů za možné protiplnění a poněkud expresivně uvádí, že jistě může existovat trh pro osobní údaje, stejně jako existuje trh pro lidské orgány, ale nelze akceptovat monetizaci základních lidských práv, jako je právo na ochranu soukromí. V této souvislosti Evropský inspektor kritizuje, a to velmi komplexně, především pojem „protiplnění“, který byl v původním návrhu směrnice 2019/770 použit, a zdůrazňuje několik dalších základních principů ochrany dat. Mezi nimi uveďme především samotnou širokou definici pojmu osobní údaj, kterým není jenom informace přímo poskytnutá dotčenou fyzickou osobou, ale i informace odvozená např. od jejího chování či jednání, pokud je spojitelná s touto konkrétní osobou,⁹ účelové omezení,¹⁰ tedy podmínky pro použití osobních údajů za jiným účelem, než ke kterému byly původně shromážděny, princip zákonnosti zpracování¹¹ či práva dotčených osob, subjektů údajů.¹²

Je pravdou, že konečné znění směrnice 2019/770 používá odlišnou terminologii a osobní údaje již nejsou výslovně označovány jako protiplnění za služby poskytnuté obchodníkem. Stejně je v této směrnici zdůrazněno, že osobní údaje nejsou komoditou,¹³ ačkoliv v novelizační směrnici 2019/2161 toto konstatováno již není. Stejně tak první z uvedených směrnic odkazuje na principy zákonnosti zpracování osobních údajů, jeho transparentnosti, zajištění práv dotčených osob atd., zatímco druhá z nich už se toliko omezuje na odkaz na GDPR, které je nutno při zpracování osobních údajů uplatnit.

Ministerstvo spravedlnosti předložilo dne 5. 9. 2019 do mezirezortního připomínkového řízení návrh novelizace občanského zákoníku, která má transponovat právě směrnici 2019/770 a zároveň směrnici o některých aspektech smluv o prodeji zboží.¹⁴ Připomínkové řízení již bylo ukončeno a návrh novelizace byl v prosinci 2019 předložen do vlády.¹⁵

V rámci dané novelizace Ministerstvo spravedlnosti navrhuje vložit do občanského zákoníku zvláštní ustanovení o poskytování digitálního obsahu spotřebiteli. Jedná se, obdobně jako v příslušné směrnici, o posílení práv spotřebitele při poskytování digitálního obsahu, zejména co se týče jeho kvality, vlastností, funkčnosti, právo spotřebitele na odstranění vad, odstoupení od smlouvy atd. Dle navrhovaného § 2389g odst. 2 se tato ustanovení o poskytování digitálního obsahu použijí také v případě, že uživatel poskytovateli poskytuje nebo se zavazuje poskytnout své osobní údaje, ledaže je poskytovatel zpracovává pouze pro účely poskytnutí digitálního obsahu nebo pouze ke splnění svých zákonných povinností.

Ač uvedené ustanovení výslovně nehovoří o smlouvě, jejíž součástí je z jedné strany poskytnutí digitálního obsahu či služby a z druhé strany poskytnutí osobních údajů uživatele, jak to činí směrnice 2019/770, jedná se o transpozici jejího výše cit. čl. 3 odst. 1, jehož cílem je rozšířit práva uživatelů právě i v této situaci. To ostatně vyplývá i z důvodové zprávy, ve které je k navrženému ustanovení mj. uvedeno:

„Směrnice 2019/770 se obecně vztahuje na úplatné závazky, z nichž je spotřebitel povinen zaplatit cenu (v penězích). Úplata může být poskytnuta i formou poukázky nebo kupónu, které vyjadřují také peněžitou hodnotu. V praxi existují obchodní modely, v nichž je digitální obsah poskytován výměnou za osobní údaje spotřebitele. Nová pravidla by tedy měla dopadat také na tyto smlouvy… Za odměnu nejsou osobní údaje považovány, jestliže je poskytovatel shromažďuje pouze pro účely poskytování dané služby nebo pro splnění svých zákonných povinností.“

Nově navrhovaný § 2389g odst. 2 ObčZ tedy nehovoří o plnění či protiplnění ani o smlouvě, nicméně z důvodové zprávy je podle mého soudu záměr, či spíše přístup, předkladatele jednoznačný. Stručně řečeno: Osobní údaje v online prostředí mohou sloužit jako platidlo, odměna za poskytované služby. Z tohoto důvodu mají být některá opatření týkající se ochrany spotřebitele rozšířena i na takovéto vztahy, kdy spotřebitel svými osobními údaji fakticky platí.

Za povšimnutí v rámci dosavadního průběhu legislativního procesu stojí i skutečnost, že Úřad pro ochranu osobních údajů („Úřad“) v připomínkách nebyl tak razantní jako Evropský inspektor ochrany osobních údajů. Úřad uplatnil připomínky týkající se právě navrhovaného § 2389g odst. 2 ObčZ a související části důvodové zprávy. K původně navrhovanému textu

(„Zaplacením kupní ceny se rozumí také poskytnutí osobních údajů kupujícího, ledaže je prodávající zpracovává pouze pro účely poskytnutí digitálního obsahu nebo pouze ke splnění svých zákonných povinností.“)

Úřad uvedl, že se mu v porovnání se směrnicí jeví nejasný, a navrhl novou textaci, kterou předkladatel přijal. Jedná se tedy o výše uvedenou verzi předloženou do vlády.

Související připomínka Úřadu směřovala k tomu, že v důvodové zprávě, resp. v rámci jejího posouzení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů, není tato část vůbec hodnocena. I v této části předkladatel připomínce vyhověl a posouzení dopadu doplnil. Dopady navrhované novelizace do ochrany soukromí a ochrany osobních údajů předkladatel rozdělil na přímé a nepřímé. Žádné nové přímé dopady neidentifikoval, neboť navrhovaná novela podle jeho názoru nepřináší žádná nová práva či povinnosti ve vztahu k ochraně soukromí a osobních údajů. V části věnované nepřímým dopadům předkladatel hovoří mj. o situaci, kdy jsou osobní údaje používány jako protiplnění za poskytnutou službu. Uvádí k tomu pouze tolik:

„Další rizika mohou vznikat v situaci, kdy jsou osobní údaje poskytovány jako protiplnění za poskytnutí digitálního obsahu či digitální služby (§ 2389g odst. 2). Může zejména dojít ke zneužití poskytnutých osobních údajů k jiným účelům než vymezeným ve smlouvě. Toto riziko by měly minimalizovat předně GDPR s jeho mechanismy a sankce stanovené vnitrostátním právem za porušení povinností. Subjekt údajů může rovněž využít soudní ochranu v občanském soudním řízení. Subjekt údajů by také např. cenu svých osobních údajů mohl špatně vyhodnotit, v důsledku čehož nedostane adekvátní protihodnotu. Zde by ovšem měla být především respektována smluvní volnost – až na některé krajní situace (např. lichva, neúměrné zkrácení).“

Pokud bude navržená novelizace s tímto zdůvodněním přijata, přičemž komentovaný normativní text odpovídá směrnici 2019/770, bude i české právo zjevně považovat osobní údaje za komoditu, se kterou lze de facto platit, kterou lze využít jako protiplnění v rámci smluvního vztahu s poskytovatelem určité služby či zboží. Jediná rizika cit. předkládací zpráva spatřuje v tom, že osobní údaje poskytnuté jako protiplnění budou využity v rozporu se smlouvou, a dále v tom, že spotřebitel pod tlakem svolí k využití svých údajů ve zjevném nepoměru s poskytovanou službou. Jinak řečeno, předkladatel říká, že osobní údaje mohou být platidlem jako cokoliv dalšího s tím specifikem, že způsob jejich využití poskytovatelem služby by měl být vymezen v příslušné smlouvě. Faktická cena osobních údajů je dle předkládací zprávy zcela na zvážení jejich nositele, subjektu údajů, který jimi může platit i za poměrně bagatelní služby. Jediným korektivem v tomto směru je tak postup, který by bylo možné označit za lichvu,¹⁶ neúměrné zkrácení subjektu údajů nebo jiné protiprávní jednání či jednání v rozporu s dobrými mravy.

Obě shora cit. evropské směrnice hovoří jasně a výslovně upravují existenci a důsledky uzavření smluv, kdy jedna strana poskytuje plnění, ať už ve formě digitálního obsahu či jiné, a druhá strana, fyzická osoba, spotřebitel, na oplátku poskytuje své osobní údaje ke zpracování nad rámec pouhého plnění smlouvy.

Abychom si danou změnu popsali konkrétněji: V tuto chvíli je v praxi nejobvyklejší postup takový, že poskytovatel některé digitální služby, která je poskytována bez přímého finančního protiplnění, např. e-mailové schránky nebo internetového vyhledávače, uvádí, že zpracování osobních údajů nad rámec poskytování dané služby, např. za účelem vylepšování produktu, k vývoji nových služeb, k měření návštěvnosti či přímému marketingu, probíhá na základě souhlasu uživatele nebo na základě oprávněného zájmu poskytovatele dané služby. Pro ilustraci lze odkázat na Rozsah zásad ochrany osobních údajů společnosti Seznam.cz¹⁷ nebo na Zásady ochrany soukromí Google.¹⁸

Oba uvedené přístupy, resp. oba právní důvody pro zpracování osobních údajů, nejsou v praxi pro poskytovatele služby, správce údajů, zcela bezpečné, resp. nesou s sebou jistá rizika a omezení.

Souhlas musí proto, aby splňoval požadavky GDPR na dostatečný právní titul ke zpracování osobních údajů, být jednoznačným, informovaným a vědomým úkonem.¹⁹ Subjekt údajů si musí být vědom, s jakým zpracováním osobních údajů souhlasí, tedy za jakým účelem a kým budou jeho údaje zpracovávány. Souhlas musí vyjádřit aktivně, např. zaškrtnutím checkboxu, nemůže jej vyjádřit pasivně, tedy tím, že nevyjádří nesouhlas, nebo jej vyjádřit mlčky tím, že akceptuje obchodní podmínky, jichž je takový souhlas součástí. Pro doložení významu, jaký je v náležitostech souhlasu a plnění informační povinnosti spatřován, lze odkázat na případ společnosti Google. Té byla ve Francii již v lednu 2019 od tamního Úřadu pro ochranu osobních údajů uložena pokuta 50 mil. EUR právě za komplikované a netransparentní nastavení pro získávání souhlasu uživatelů se zpracováním jejich osobních údajů a pro plnění informační povinnosti.²⁰

Každý subjekt údajů může udělený souhlas kdykoliv odvolat a neměl by za to být nijak postihován, např. ve formě odepření dané služby „zdarma“. Jinými slovy, souhlas se zpracováním osobních údajů se těžko získává a snadno ztrácí. Opření zpracování osobních údajů o tento právní titul je tak vždy poněkud nejisté a správce nemá příliš pevnou pozici.

Právní důvod oprávněného zájmu ke zpracování osobních údajů lze uplatnit tehdy, pokud zájmy správce či dalšího subjektu na zpracování osobních údajů převáží zájmy nebo základní práva a svobody dotčených osob. Správce osobních údajů, v našem případě poskytovatel služby, má jistě legitimní zájem na tom, aby své produkty vylepšoval, aby vyvíjel nové služby a aby svým uživatelům zobrazoval či zasílal marketingové nabídky. Před tím, než zpracování osobních údajů uživatelů za těmito účely zahájí, však musí posoudit, zda s ohledem na specifika daného zpracování, rozsah a kategorie zpracovávaných údajů, možné dopady do práv dotčených osob, atd. jeho oprávněný zájem na zpracování převáží. I pokud tomu tak obecně bude, každý jednotlivý subjekt údajů má právo podat proti takovémuto zpracování námitku dle čl. 21 GDPR. Pokud je účelem daného zpracování přímý marketing, je správce povinen je bez dalšího zastavit. Jestliže se jedná o zpracování za jinými účely, např. vylepšování služby nebo měření návštěvnosti, je správce povinen individuálně přezkoumat případ konkrétní osoby a potvrdit či vyvrátit, zda i v jejím případě oprávněný zájem na zpracování převáží. V porovnání se souhlasem se zpracováním osobních údajů se jedná o právní titul o poznání silnější, správce jej jednostranně deklaruje na počátku zpracování a nemusí spoléhat na aktivitu, svolení dotčené osoby. Ani oprávněný zájem však z podstaty věci není všeobjímající právní titul, který lze aplikovat bez dalšího na všechny uživatele některé ze služeb.²¹

S ohledem na výše popsanou novou unijní právní úpravu a připravovanou transpozici směrnice 2019/770 se nabízí i další z právních titulů: zpracování nezbytné pro plnění smlouvy se subjektem údajů.²² Dle jednoznačně vyjádřeného názoru evropského normotvůrce existují smlouvy, při kterých koncový uživatel, spotřebitel, poskytuje druhé straně své osobní údaje k jejich využití nad rámec plnění smlouvy, tedy zjevně jako svého druhu protiplnění. Návrh českého zákona tuto konstrukci přejímá a v předkládací zprávě jde předkladatel v důsledku ještě dále, když uvádí, že osobní údaje jsou v takovém případě protiplněním, mají svoji cenu, ale je v zásadě na úvaze subjektu údajů, jak jejich cenu subjektivně vyhodnotí a za jaké plnění své osobní údaje poskytne.

Pokud bychom tento přístup domysleli do důsledků, bylo by přípustné, aby poskytovatel služby ve smlouvě s uživatelem ujednal, že uživateli poskytuje určitou službu (např. profil na sociální síti nebo herní aplikaci, abychom pro větší ilustrativnost zůstali v online světě) a uživatel na oplátku poskytuje své identifikační údaje, kontaktní údaje, sociodemografické údaje (věk, místo bydliště, kategorii příjmu, dosažené vzdělání, rodinný stav) a veškeré další osobní údaje, které poskytovatel při provozu dané služby o uživateli získá, aby je zpracovával za účelem vylepšování dané služby, vývoje nových služeb, profilování a přímého marketingu. Tento přístup by byl zákonný i tehdy, pokud by poskytovatel služby o jiném protiplnění nevyjednával a uživatel by si mohl pouze vybrat, zda chce danou službu za uvedenou „cenu“ využívat, či nikoliv (take it or leave it).

Až potud by se situace příliš nelišila od současných modelů, resp. zejména od situace, kdy jsou osobní údaje pro další účely využívány na základě oprávněného zájmu. Významnou výhodou pro poskytovatele služby by však byl okamžik, kdy by si uživatel po určité době řekl, že už svými osobními údaji platit nehodlá. Při současném přístupu buď odvolá souhlas, a pak je správce osobních údajů povinen celé zpracování postavené na souhlasu zastavit a službu poskytovat i nadále. Anebo podá námitku proti oprávněnému zájmu a správce je povinen bez dalšího zastavit zpracování za účelem přímého marketingu a zpracování za dalšími účely, např. zmíněným vývojem nových služeb, přezkoumat na základě konkrétních okolností případu subjektu, který námitku podal. V obou případech, tzn. pokud jeho oprávněný zájem převáží, ale i v případě, kdy dojde k závěru opačnému, by měl službu uživateli i nadále poskytovat, samozřejmě pokud neexistuje jiný důvod k jejímu ukončení.

Pokud by však právním titulem ke zpracování osobních údajů byla smlouva a osobní údaje poskytnuté ke zpracování k dalším účelům by byly protiplněním za službu poskytovanou obchodníkem, bylo by přípustné, aby v případě odmítnutí klienta nadále poskytovat osobní údaje nad rámec plnění smlouvy obchodník poskytování služby ukončil. Jinak řečeno, i v tomto případě by platilo, že uživatel buď akceptuje službu, resp. smlouvu tak, jak je konstruovaná, tedy čerpá službu a fakticky platí osobními údaji, nebo ji neakceptuje a osobní údaje ke zpracování za dalšími účely poskytovat nehodlá. Potom však smlouvu uzavřít nemůže a stejně tak nemůže využívat nabízené aplikace či služby. Takovýto přístup by byl pro poskytovatele služby evidentně výhodnější a posiloval by jeho právní jistotu.²³

Změna legislativy a její důsledky tak, jak jsou výše popsány, by však podle mého názoru nemohly být zcela bezbřehé. Využití právního titulu plnění smlouvy ke zpracování osobních údajů klientů za dalšími účely nad rámec poskytování daného produktu by mohlo být omezeno v zásadě dvěma aspekty.

Tím prvním jsou další obecná pravidla pro zpracování osobních údajů upravená především v GDPR. Některá z nich by naznačený legislativní, resp. výkladový posun příliš neovlivnila. Typicky princip transparentnosti,²⁴ dle kterého musí být dotčená osoba, subjekt údajů, o zpracování svých dat informována bez ohledu na právní titul zpracování, zásada omezené doby uložení²⁵ či práva dotčených osob, např. právo na přístup k osobním údajům,²⁶ právo na výmaz²⁷ či právo na přenositelnost,²⁸ by se uplatnila stejně jako při využití jiných právních titulů. Snad jen u posledně zmíněného práva na přenositelnost by došlo ke změně, protože je lze uplatnit pouze tehdy, pokud jsou osobní údaje zpracovávány na základě souhlasu nebo smlouvy, nikoliv v případě, kdy je právním titulem oprávněný zájem. Pokud by tedy správce opustil právní titul oprávněného zájmu a opřel svoje zpracování o plnění smlouvy, subjektu údajů by již, jak je výše uvedeno, nesvědčilo právo na námitku proti zpracování, ale nově by mohl uplatnit právo na přenositelnost a požadovat, aby jemu nebo určenému příjemci předal správce veškeré údaje, které jsou o něm automatizovaně zpracovávány, a to v běžně používaném a strojově čitelném formátu.

Závažnější námitky proti neomezenému nastavení smluv, kdy by výměnou za profil na sociální síti bylo vyžadováno velké množství osobních údajů zpracovávaných pro zcela nesouvisející účely, bychom však mohli vznést při využití obecnějších zásad upravených v GDPR, základních zásad občanského práva a případně i v oblasti ochrany spotřebitele.

GDPR v čl. 1 uvádí, že jeho cílem je chránit fyzické osoby při zpracování jejich osobních údajů, resp. chránit jejich základní práva. Vymezení předmětu a cíle GDPR jistě musíme vykládat ve spojitosti s jeho čtvrtým recitálem, kde je mj. uvedeno, že

„zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.“

Související, spíše obecnou, zásadou, již je nutno aplikovat při každém zpracování, resp. každé zpracování je nutno posuzovat i při jejím zohlednění, je rovněž zásada účelového omezení upravená v čl. 5 odst. 1 písm. b) GDPR. Podle ní mohou být osobní údaje shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely.

Podle mého názoru tak každé zpracování osobních údajů musí být nejprve posuzováno z pohledu dopadu do práv dotčených osob, především práva na ochranu osobních údajů a práva na soukromí, z pohledu své proporcionality a legitimnosti, tedy zda je spravedlivé a přiměřené, resp. zda do práv dotčených osob zasahuje jen v odpovídající míře. Až následně je nutno hodnotit ostatní pravidla pro zpracování osobních údajů. Povinnosti správce, např. nastavit správný rozsah zpracovávaných údajů a dobu jejich uchování, zabezpečit je, informovat o zpracování údajů dotčené osoby atd., jsou jistě také důležité, ale samy o sobě nemohou zhojit zpracování, které je již od základu nelegitimní, disproporční.

Právní rámec pro zpracování osobních údajů je veřejnoprávní regulací a do značné míry vychází z toho, že je třeba chránit subjekt údajů, který je velmi často v porovnání se správcem údajů slabší stranou. Od kogentních veřejnoprávních pravidel, jakými jsou jistě i výše uvedená pravidla upravená GDPR, se nelze odchýlit ani dohodou dotčených stran. Byť výše komentované evropské předpisy umožňují, aby spotřebitel výměnou za službu danému obchodníkovi poskytl svoje osobní údaje ke zpracování nad rámec nezbytný pro plnění smlouvy či jeho právních povinností, nemohu plně souhlasit s tvrzením v předkládací zprávě k návrhu novelizace občanského zákoníku, že rozsah a účely zpracování osobních údajů poskytnutých subjektem údajů na základě smlouvy jsou téměř neomezené, až na poměrně extrémní případy, jako je lichva. Tento přístup dle mého soudu plně nezohledňuje dotčená základní lidská práva, právo na ochranu soukromí a právo na ochranu osobních údajů, základní principy GDPR a jeho charakter veřejnoprávní regulace.

Uvedené lze demonstrovat na konkrétnějších příkladech: Domnívám se, že je zcela legitimní, přiměřené a spravedlivé, aby poskytovatel online hry využíval údaje jejích hráčů o využívání aplikace a chování v ní k vylepšování dané hry a odstraňování chyb či technických nedostatků, a aby tak činil na základě smlouvy. Jinak řečeno, aby podmínil možnost „zdarma“ hrát hru tím, že osobní údaje ve vymezeném rozsahu bude za těmito účely využívat. V tomto smyslu se domnívám, že nová právní úprava může znamenat jak vyjasnění této poněkud hraniční oblasti práva, tak i žádoucí posílení postavení některých poskytovatelů služeb či zboží.

Pokud by však obchodník možnost hrát „zdarma“ jím nabízenou online hru podmínil uzavřením smlouvy, ve které se hráč zaváže poskytovat své sociodemografické údaje (věk, příjem, rodinný stav, vzdělání, majetek, státní příslušnost) a informace o své aktivitě na internetu k tomu, aby správce mohl vyvíjet či rozvíjet zcela odlišné aplikace, např. sociální síť, či uživateli nabízet personalizované nabídky neomezeného okruhu dalších subjektů, jednalo by se o zpracování zjevně nepřiměřené a nelegitimní. Je skutečností, že spotřebitel by v našem typizovaném případě nebyl do uzavření smlouvy nucen a mohl by využít jiných produktů, takže případné uzavření smlouvy by bylo jeho svobodným rozhodnutím, nicméně navazující zpracování osobních údajů v uvedeném rozsahu a za uvedenými účely by podle mého názoru bylo v rozporu s GDPR, a to právě proto, že by bylo nepřiměřené a nelegitimní. Danou skutečnost by nemohlo zhojit sebelepší splnění informační povinnosti či zabezpečení zpracovávaných dat.

Krom porušení uvedených základních principů bychom rovněž mohli uvažovat o porušení jednoho z nových pravidel, jež GDPR přináší, pravidla tzv. záměrné ochrany osobních údajů (anglický termín privacy by design je zjevně jednoznačnější), který je upraven v jeho čl. 25. Toto pravidlo správcům ukládá, aby jak při přípravě zpracování osobních údajů, tak i v jeho průběhu, dbali na minimalizaci zásahů do soukromí dotčených osob a respektování pravidel v nařízení upravených. Je pravdou, že český Úřad, alespoň podle veřejně dostupných závěrů z kontrol a správních řízení, čl. 25 GDPR v praxi zatím příliš neaplikuje, nicméně jiné evropské dozorové úřady tak již činí. Jako příklad lze uvést berlínský Úřad pro ochranu dat,²⁹ který uložil společnosti Deutsche Wohnen SE zabývající se správou nemovitostí pokutu ve výši 14,5 mil. EUR právě za nedodržení zásady privacy by design. Společnost i přes předchozí kontrolu a uložené opatření k nápravě využívala ke správě osobních údajů nájemníků systém, který technicky neumožňoval mazat či anonymizovat již nepotřebná data.³⁰ Domnívám se, že Úřad či soud, u kterého by dotčené osoby mohly přímo uplatnit svá práva,³¹ by při posuzování legitimity daného zpracování mohl zohlednit i toto pravidlo.

Z pohledu občanského zákoníku by potom zjevně bylo diskutabilní, zda by ve druhém uvedeném případě takto extenzivní využití nového ustanovení o protiplnění ve formě osobních údajů obstálo již z pohledu úvodních ustanovení kodexu. Jmenujme mezi nimi zejména zákaz ujednání a výkladu práva porušujícího dobré mravy nebo právo na ochranu osobnosti³² a povinnost vykládat soukromé právo v souladu s Listinou základních práv a svobod a se zásadami a hodnotami, které občanský zákoník chrání.³³ Zcela nepřiměřené protiplnění mající velmi silný dopad do základního lidského práva člověka by se, i přes předkládací zprávou deklarovanou smluvní volnost, mohlo velmi snadno dostat právě do konfliktu s těmito zásadami a tím i mimo právní rámec jako takový.

Z pravidel ochrany spotřebitele upravených občanským zákoníkem je v kontextu tématu tohoto příspěvku zajímavý především § 1813, podle kterého jsou zakázána ujednání se spotřebitelem, která zakládají v rozporu s požadavkem přiměřenosti významnou nerovnováhu práv nebo povinností stran v neprospěch spotřebitele. Uvedené neplatí pro ujednání o předmětu plnění nebo ceně, pokud jsou spotřebiteli poskytnuty jasným a srozumitelným způsobem. V popisovaném případě by se sice fakticky jednalo o ujednání o ceně, ale mohlo by být zpochybněno, zda je dostatečně jasně a srozumitelně popsáno, jaká tato cena fakticky bude, tedy jaké budou důsledky do práv dotčené osoby. Pokud by tomu tak nebylo, bylo by možné danou smlouvu zpochybnit i z pohledu úpravy ochrany spotřebitele.

Popsaná právní úprava znamená jistě výrazný posun, byť v právu výslovně ukotvuje to, co se již fakticky, zejména v prostředí internetu, děje, tedy placení osobními údaji. Ač byl evropský zákonodárce zřejmě veden dobrým úmyslem rozšířit ochranu spotřebitele i do těchto vztahů, vedlejším důsledkem je možnost změny v přístupu k právnímu titulu pro zpracování osobních údajů nad rámec plnění smlouvy jako takové.

V tuto chvíli jsou v praxi využívány především oprávněný zájem a souhlas dotčených osob, uživatelů. Oba mají z pohledu poskytovatele služeb, správce údajů, slabiny, které by právní titul zpracování nezbytného k plnění smlouvy mít neměl.

Popsaná legislativní změna a příprava její transpozice do českého práva však podle mého názoru nemohou znamenat absolutní upřednostnění smluvní volnosti na úkor veřejnoprávní regulace či obecných zásad občanského práva. Výkladový posun opírající se o změnu legislativy tak jistě možný je, ale má své limity jak v GDPR, tak v občanském zákoníku. Tím hlavním je přiměřené a spravedlivé nastavení smluvního vztahu tak, aby zpracování osobních údajů, kterými uživatel za poskytnutou službu fakticky platí, bylo legitimní, očekávatelné a přiměřené, a nikoliv zcela excesivní. S takovýmto přístupem může příslušná právní úprava znamenat především pro poskytovatel online služeb a produktů skutečně pozitivní změnu.