Změna legislativy a její důsledky tak, jak jsou výše popsány, by však podle mého názoru nemohly být zcela bezbřehé. Využití právního titulu plnění smlouvy ke zpracování osobních údajů klientů za dalšími účely nad rámec poskytování daného produktu by mohlo být omezeno v zásadě dvěma aspekty.
Tím prvním jsou další obecná pravidla pro zpracování osobních údajů upravená především v GDPR. Některá z nich by naznačený legislativní, resp. výkladový posun příliš neovlivnila. Typicky princip transparentnosti, dle kterého musí být dotčená osoba, subjekt údajů, o zpracování svých dat informována bez ohledu na právní titul zpracování, zásada omezené doby uložení či práva dotčených osob, např. právo na přístup k osobním údajům, právo na výmaz či právo na přenositelnost, by se uplatnila stejně jako při využití jiných právních titulů. Snad jen u posledně zmíněného práva na přenositelnost by došlo ke změně, protože je lze uplatnit pouze tehdy, pokud jsou osobní údaje zpracovávány na základě souhlasu nebo smlouvy, nikoliv v případě, kdy je právním titulem oprávněný zájem. Pokud by tedy správce opustil právní titul oprávněného zájmu a opřel svoje zpracování o plnění smlouvy, subjektu údajů by již, jak je výše uvedeno, nesvědčilo právo na námitku proti zpracování, ale nově by mohl uplatnit právo na přenositelnost a požadovat, aby jemu nebo určenému příjemci předal správce veškeré údaje, které jsou o něm automatizovaně zpracovávány, a to v běžně používaném a strojově čitelném formátu.
Závažnější námitky proti neomezenému nastavení smluv, kdy by výměnou za profil na sociální síti bylo vyžadováno velké množství osobních údajů zpracovávaných pro zcela nesouvisející účely, bychom však mohli vznést při využití obecnějších zásad upravených v GDPR, základních zásad občanského práva a případně i v oblasti ochrany spotřebitele.
GDPR v čl. 1 uvádí, že jeho cílem je chránit fyzické osoby při zpracování jejich osobních údajů, resp. chránit jejich základní práva. Vymezení předmětu a cíle GDPR jistě musíme vykládat ve spojitosti s jeho čtvrtým recitálem, kde je mj. uvedeno, že
„zpracování osobních údajů by mělo sloužit lidem. Právo na ochranu osobních údajů není právem absolutním; musí být posuzováno v souvislosti se svou funkcí ve společnosti a v souladu se zásadou proporcionality musí být v rovnováze s dalšími základními právy.“
Související, spíše obecnou, zásadou, již je nutno aplikovat při každém zpracování, resp. každé zpracování je nutno posuzovat i při jejím zohlednění, je rovněž zásada účelového omezení upravená v čl. 5 odst. 1 písm. b) GDPR. Podle ní mohou být osobní údaje shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely.
Podle mého názoru tak každé zpracování osobních údajů musí být nejprve posuzováno z pohledu dopadu do práv dotčených osob, především práva na ochranu osobních údajů a práva na soukromí, z pohledu své proporcionality a legitimnosti, tedy zda je spravedlivé a přiměřené, resp. zda do práv dotčených osob zasahuje jen v odpovídající míře. Až následně je nutno hodnotit ostatní pravidla pro zpracování osobních údajů. Povinnosti správce, např. nastavit správný rozsah zpracovávaných údajů a dobu jejich uchování, zabezpečit je, informovat o zpracování údajů dotčené osoby atd., jsou jistě také důležité, ale samy o sobě nemohou zhojit zpracování, které je již od základu nelegitimní, disproporční.
Právní rámec pro zpracování osobních údajů je veřejnoprávní regulací a do značné míry vychází z toho, že je třeba chránit subjekt údajů, který je velmi často v porovnání se správcem údajů slabší stranou. Od kogentních veřejnoprávních pravidel, jakými jsou jistě i výše uvedená pravidla upravená GDPR, se nelze odchýlit ani dohodou dotčených stran. Byť výše komentované evropské předpisy umožňují, aby spotřebitel výměnou za službu danému obchodníkovi poskytl svoje osobní údaje ke zpracování nad rámec nezbytný pro plnění smlouvy či jeho právních povinností, nemohu plně souhlasit s tvrzením v předkládací zprávě k návrhu novelizace občanského zákoníku, že rozsah a účely zpracování osobních údajů poskytnutých subjektem údajů na základě smlouvy jsou téměř neomezené, až na poměrně extrémní případy, jako je lichva. Tento přístup dle mého soudu plně nezohledňuje dotčená základní lidská práva, právo na ochranu soukromí a právo na ochranu osobních údajů, základní principy GDPR a jeho charakter veřejnoprávní regulace.
Uvedené lze demonstrovat na konkrétnějších příkladech: Domnívám se, že je zcela legitimní, přiměřené a spravedlivé, aby poskytovatel online hry využíval údaje jejích hráčů o využívání aplikace a chování v ní k vylepšování dané hry a odstraňování chyb či technických nedostatků, a aby tak činil na základě smlouvy. Jinak řečeno, aby podmínil možnost „zdarma“ hrát hru tím, že osobní údaje ve vymezeném rozsahu bude za těmito účely využívat. V tomto smyslu se domnívám, že nová právní úprava může znamenat jak vyjasnění této poněkud hraniční oblasti práva, tak i žádoucí posílení postavení některých poskytovatelů služeb či zboží.
Pokud by však obchodník možnost hrát „zdarma“ jím nabízenou online hru podmínil uzavřením smlouvy, ve které se hráč zaváže poskytovat své sociodemografické údaje (věk, příjem, rodinný stav, vzdělání, majetek, státní příslušnost) a informace o své aktivitě na internetu k tomu, aby správce mohl vyvíjet či rozvíjet zcela odlišné aplikace, např. sociální síť, či uživateli nabízet personalizované nabídky neomezeného okruhu dalších subjektů, jednalo by se o zpracování zjevně nepřiměřené a nelegitimní. Je skutečností, že spotřebitel by v našem typizovaném případě nebyl do uzavření smlouvy nucen a mohl by využít jiných produktů, takže případné uzavření smlouvy by bylo jeho svobodným rozhodnutím, nicméně navazující zpracování osobních údajů v uvedeném rozsahu a za uvedenými účely by podle mého názoru bylo v rozporu s GDPR, a to právě proto, že by bylo nepřiměřené a nelegitimní. Danou skutečnost by nemohlo zhojit sebelepší splnění informační povinnosti či zabezpečení zpracovávaných dat.
Krom porušení uvedených základních principů bychom rovněž mohli uvažovat o porušení jednoho z nových pravidel, jež GDPR přináší, pravidla tzv. záměrné ochrany osobních údajů (anglický termín privacy by design je zjevně jednoznačnější), který je upraven v jeho čl. 25. Toto pravidlo správcům ukládá, aby jak při přípravě zpracování osobních údajů, tak i v jeho průběhu, dbali na minimalizaci zásahů do soukromí dotčených osob a respektování pravidel v nařízení upravených. Je pravdou, že český Úřad, alespoň podle veřejně dostupných závěrů z kontrol a správních řízení, čl. 25 GDPR v praxi zatím příliš neaplikuje, nicméně jiné evropské dozorové úřady tak již činí. Jako příklad lze uvést berlínský Úřad pro ochranu dat, který uložil společnosti Deutsche Wohnen SE zabývající se správou nemovitostí pokutu ve výši 14,5 mil. EUR právě za nedodržení zásady privacy by design. Společnost i přes předchozí kontrolu a uložené opatření k nápravě využívala ke správě osobních údajů nájemníků systém, který technicky neumožňoval mazat či anonymizovat již nepotřebná data. Domnívám se, že Úřad či soud, u kterého by dotčené osoby mohly přímo uplatnit svá práva, by při posuzování legitimity daného zpracování mohl zohlednit i toto pravidlo.
Z pohledu občanského zákoníku by potom zjevně bylo diskutabilní, zda by ve druhém uvedeném případě takto extenzivní využití nového ustanovení o protiplnění ve formě osobních údajů obstálo již z pohledu úvodních ustanovení kodexu. Jmenujme mezi nimi zejména zákaz ujednání a výkladu práva porušujícího dobré mravy nebo právo na ochranu osobnosti a povinnost vykládat soukromé právo v souladu s Listinou základních práv a svobod a se zásadami a hodnotami, které občanský zákoník chrání. Zcela nepřiměřené protiplnění mající velmi silný dopad do základního lidského práva člověka by se, i přes předkládací zprávou deklarovanou smluvní volnost, mohlo velmi snadno dostat právě do konfliktu s těmito zásadami a tím i mimo právní rámec jako takový.
Z pravidel ochrany spotřebitele upravených občanským zákoníkem je v kontextu tématu tohoto příspěvku zajímavý především § 1813, podle kterého jsou zakázána ujednání se spotřebitelem, která zakládají v rozporu s požadavkem přiměřenosti významnou nerovnováhu práv nebo povinností stran v neprospěch spotřebitele. Uvedené neplatí pro ujednání o předmětu plnění nebo ceně, pokud jsou spotřebiteli poskytnuty jasným a srozumitelným způsobem. V popisovaném případě by se sice fakticky jednalo o ujednání o ceně, ale mohlo by být zpochybněno, zda je dostatečně jasně a srozumitelně popsáno, jaká tato cena fakticky bude, tedy jaké budou důsledky do práv dotčené osoby. Pokud by tomu tak nebylo, bylo by možné danou smlouvu zpochybnit i z pohledu úpravy ochrany spotřebitele.