Další případ se dostal k Soudnímu dvoru Evropské unie

Rakouský Nejvyšší soud postoupil případ Maxe Schremse proti společnosti Faacebook¹ Soudnímu dvoru Evropské unie (SDEU) v rámci řízení o předběžné otázce dle čl. 267 Smlouvy o fungování Evropské unie.

Rakouský soud se na SDEU obrací se čtyřmi otázkami vyvolávajícími zásadní pochybnosti o legálnosti zpracovávání a využívání osobních údajů společností Facebook týkající se všech jejich zákazníků v EU.

1. otázka: Právní titul - Souhlas versus smlouva

Dle argumentace pana Schremse přestala od vstupu obecného nařízení o ochraně osobních údajů (GDPR) v platnost společnost Facebook tvrdit, že se opírá o souhlas uživatelů při zpracování jejich osobních údajů a cílení reklamy․ Místo toho společnost Facebook uvedla, že klauzuli o souhlasu je třeba chápat jako „smlouvu“, ve které si uživatelé „objednali“ personalizovanou reklamu. Z pohledu společnosti Facebook by tento výklad umožňoval zbavit uživatele všech práv souvisejících se zpracováním osobních údajů na základě souhlasu podle čl. 6 odst. 1 písm. a) GDPR. Požadavky svobodně uděleného nebo informovaného souhlasu by již neplatily, pokud by byly vykládány jako smlouva ve smyslu čl. 6 odst. 1 písm. b) GDPR.

Zdá se, že rakouský Nejvyšší soud tyto obavy pana Schremse sdílí a ve své předběžné otázce adresované SDEU se ptá, zda může společnost Facebook jednoduše zaměnit čl. 6 odst. 1 písm. a) za čl. 6 odst. 1 písm. b) GDPR:

„Zásadní otázkou tohoto řízení je, zda může být prohlášení o záměru (účelu) zpracování osobních údajů žalovaným (FB) přesunuto pod právní titul podle čl. 6 odst. 1 písm. b) GDPR, aby tak „podlomilo“ výrazně vyšší ochranu právního základu „souhlasu“, sloužícího žalobci.“

2-4. otázka: Minimalizace dat, tzv. citlivé osobní údaje

SDEU bude muset rozhodnout i další tři otázky týkající se legality zpracování osobních údajů společností Facebook a to, zda je použití veškerých údajů na facebook.com a z nesčetných dalších zdrojů, jako jsou webové stránky nebo reklamy, které k jakýmkoliv účelům používají tlačítka Facebooku „Líbí se“, v souladu s principem „minimalizace údajů“ dle GDPR.

Dvě další otázky se týkají zpracování tzv. citlivých údajů neboli zvláštní kategorie osobních údajů (jako jsou např. politické názory nebo sexuální orientace) společností Facebook k personalizované reklamě.

Konečné rozhodnutí o části sporu

Dále rakouský Nejvyšši soud vydal rozhodnutí o určitých požadavcích, o nichž lze rozhodnout bez nutnosti jejich postoupení SDEU. Panu Schremsovi bylo přisouzeno 500 EUR za „nedostatečný přístup k datům a přístup, který soud popsal jako „lov na velikonoční vajíčka“. Soud tak rozhodl, protože společnost Face- book panu Schremsovi neposkytla plný přístup k jeho osobním údajům. Neobdržel ani zásadní informace, jako je právní základ, na kterém byly jeho údaje zpracovány. Soud zdůraznil, že data, která Facebook nabízí prostřednictvím svého online n ástroje, byla rozptýlena mezi více než 60 kategorií dat se stovkami, ne -li tisíci datových bodů, což by trvalo několik hodin, než by se tím subjekt údajů probral. Soud poznamenal, že pan Schrems „oprávněně zdůrazňuje, že GDPR je založeno na jednorázové žádosti subjektu údajů o přístup k osobním údajům, nikoli na „lovu velikonočních vajec“, kdy subjekt údajů musí u správce „lovit“ informace o svých osobních údajích a rozsahu jejich zpracování.

Rakouský Nejvyšší soud měl rovněž relativně jasno o tvrzení společnosti Facebook, že poskytla panu Schremsovi všechna data, která považovala za „relevantní“:

„Skutečnost, že povinnost poskytnout subjektu údajů informace nemůže záviset na pouhém sebehodnocení žalovaného („relevantní“), nevyžaduje další vysvětlení.“

Z toho plyne, že právo subjektu údajů na přístup k osobním údajům nepodléhá hodnocení správce, jaké údaje jsou pro tyto účely relevantní, musí mu být poskytnuty všechny údaje.

Důkazní břemeno je na Facebooku

Nejvyšší soud Rakouska několikrát zdůraznil, že důka zní břemeno je na straně společnosti Facebook, když má prokázat, že poskytla plný přístup k osobním údajům, nebo že zpracování je z její strany legální. Společnost Facebook naopak v průběhu řízení zastávala postoj, že je na panu Schremsovi, aby prokázal, že společnost Facebook mu neposkytla všechny údaje, a odmítla zodpovědět na otázky pana Schremse.

Kdo „vlastní“ data na Facebooku?

Případ zpochybnil také role hráčů na platformě Facebook. Pan Schrems tvrdil, že zodpovídá za osobní údaje na svém profilu nebo ve zprávách na Facebooku (jakožto správce), což znamená, že Facebook musí následovat jeho příkazů, například při mazání dat (jako pouhý zpracovatel“). Facebook zastával názor, že je správcem všech údajů uživatelů na Facebooku - až na určité výjimky. Rakouský Nejvyšší soud dal v této části sporu za pravdu soudům nižšího stupně, když s odkazem na judikaturu rakouských soudů a SDEU uvedl, že pan Schrems je subjektem údajů a Facebook správcem těchto údajů a rovněž adresátem povinností plynoucích z GDPR. Pouhé používání Facebooku nečiní z pana Schremse správce osobních údajů ve smyslu čl. 4 odst. 7 GDPR. Jinak by byl každý uživatel Facebooku správcem dle GDPR, což neodpovídá záměru GDPR. Dále soud v tomto případě uvedl, že jelikož měl pan Schrems facebookový profil nastaven jako soukromý, tj. že jeho příspěvky mohli vidět pouze jeho přátelé, nebylo prokázáno, že by pan Schrems používal tuto sociální síť i pro profesní či obchodní činnost či že by pan Schrems umožnil sdílení obsahu, čímž by se tento obsah stal veřejně přístupným. Soud proto dospěl k rozhodnutí, že v tomto případě spadá používání Facebooku pod činnosti čistě osobní povahy nebo činnosti vykonávané výhradně v domácnosti ve smyslu recitálu 18 GDPR a tak se na tyto situace GDPR nevztahuje.