GDPR – Časť 2: Pôsobnosť GDPR

Ustanovenia upravujúce pôsobnosť tradične na začiatku znenia právnej normy určujú rozsah jej aplikácie na konkrétne právne vzťahy, pričom sa vychádza z viacerých faktorov ako sú subjekty zasiahnuté danou právnou úpravou (osobná pôsobnosť), teritorialita (územná pôsobnosť), čas (časová pôsobnosť) a napokon vecná pôsobnosť, ktorá najviac ovplyvňuje relevantné právne vzťahy z hľadiska ich materiálnej (obsahovej) stránky.

Pôsobnosť právnej normy býva z hľadiska precizovania toho, čo má byť zasiahnuté a naopak nemá byť zasiahnuté doplnená aj ustanoveniami, ktoré upravujú pozitívnu pôsobnosť (na čo sa GDPR vzťahuje), ako aj negatívnu pôsobnosť (na čo sa GDPR nevzťahuje). Z hľadiska zachovania tradičného rozdeľovanie pôsobnosti právnej normy na vyššie uvedené faktory, ktoré nás učí už právna teória v prvom ročníku právnických fakúlt, tomu prispôsobíme aj nasledujúci výklad vysvetľujúci pôsobnosť GDPR. Pôsobnosť GDPR bude založená v konkrétnom prípade vtedy, ak budú splnené predpoklady pozitívnej vecnej pôsobnosti, osobnej pôsobnosti a časovej pôsobnosti a zároveň budú vylúčené dôvody na aplikáciu negatívnej pôsobnosti.

Negatívna pôsobnosť

Je veľmi dôležitou časťou GDPR, pretože súvisiace ustanovenie článku 2 ods. 2 písm. a) až d) GDPR ustanovuje prípady predstavujúce absolútne vylúčenie pôsobnosti celého GDPR.

1 Činnosti, ktoré nepatria do pôsobnosti práva Únie

Tento dôvod bližšie vysvetľuje úvodné ustanovenie č. 16 GDPR, ktoré hovorí, že GDPR sa „nevzťahuje na otázky ochrany základných práv a slobôd ani na voľný tok osobných údajov týkajúcich sa činností, ktoré nepatria do pôsobnosti práva Únie, ako sú činnosti týkajúce sa národnej bezpečnosti.“

Do pôsobnosti práva EÚ patrí viacero výlučných právomocí zasahujúcich oblasti ako sú colná únia, spoločná obchodná politika, menová politika eurozóny, či pravidlá hospodárskej súťaže na vnútornom trhu EÚ, ale aj spoločné právomoci EÚ a členských štátov (napr. sociálna politika, životné prostredie, ochrana spotrebiteľa atď.) a tiež tzv. podporné, koordinačné a doplňujúce právomoci EÚ (napr. priemysel, kultúra, vzdelávanie, cestovných ruch atď.). Do pôsobnosti práva EÚ nepatria zostatkové právomoci členských štátov, i.e. právomoci členských štátov, ktoré neboli zakladajúcimi zmluvami (Zmluva o EÚ a Zmluva o fungovaní EÚ) prenesené na EÚ. Podľa článku 5 ods. 2 konsolidovaného znenia Zmluvy o EÚ: „Podľa zásady prenesenia právomocí Únia koná len v medziach právomocí, ktoré na ňu preniesli členské štáty v zmluvách na dosiahnutie cieľov v nich vymedzených. Právomoci, ktoré na Úniu neboli v zmluvách prenesené, zostávajú právomocami členských štátov.“

Podľa článku 4 ods. 2 konsolidovaného znenia Zmluvy o EÚ: „Únia rešpektuje rovnosť členských štátov pred zmluvami, ako aj ich národnú identitu, obsiahnutú v ich základných politických a ústavných systémoch vrátane regionálnych a miestnych samospráv. Rešpektuje ich základné štátne funkcie, najmä zabezpečovanie územnej celistvosti štátu, udržiavanie verejného poriadku a zabezpečovanie národnej bezpečnosti. Predovšetkým národná bezpečnosť ostáva vo výlučnej zodpovednosti každého členského štátu.“

Na základe vyššie uvedeného je možné skonštatovať, že článok 2 ods. 2 písm. a) GDPR spôsobuje nemožnosť aplikácie právnej úpravy GDPR na spracúvanie osobných údajov, ktoré je nevyhnutné realizovať na úrovni členského štátu pri dosahovaní národnej bezpečnosti, príp. pri iných činnostiach spojených s nevyhnutnosťou spracúvania osobných údajov pri realizácii iných výlučných zostatkových právomocí členského štátu EÚ, ktoré sú na základe primárneho práva EÚ, resp. zakladajúcich zmlúv zverené do výlučnej pôsobnosti členských štátov (napr. daňová politika, národná bezpečnosť) alebo členského štátu, ktorý si vyjednal s EÚ výnimky.

2 Spracúvanie osobných údajov členskými štátmi pri výkone činností spojených so spoločnou zahraničnou a bezpečnostnou politikou EÚ

GDPR sa v zmysle článku 2 ods. 2 písm. b) GDPR nevzťahuje na spracúvanie osobných údajov členskými štátmi pri vykonávaní činností v súvislosti so spoločnou zahraničnou a bezpečnostnou politikou Únie (i.e. v rozsahu osobitných ustanovení o spoločnej zahraničnej a bezpečnostnej politike podľa kapitoly 2 hlavy V Zmluvy o EÚ).

3 Spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami EÚ

Vzhľadom na skutočnosť, že inštitucionálny aparát Európskej únie si vytvoril v minulosti vlastnú legislatívu upravujúcu ochranu osobných údajov ako aj vlastný dozorný orgán kontrolujúci tieto inštitúcie, tzv. EDPS – European Data Protection Supervisor (Európsky dozorný úradník pre ochranu údajov) a zástupcovia Európskej komisie sedeli za vrchom stola pri rokovaniach o GDPR v Rade EÚ, tak sa podarilo presadiť, že GDPR sa nevzťahuje na spracúvanie osobných údajov, ktoré vykonáva byrokratický aparát EÚ usadený najmä po Bruseli, Štrasburgu a Luxemburgu.

Úvodné ustanovenie č. 17 GDPR však poskytuje vysvetlenie, že: „Na spracúvanie osobných údajov inštitúciami, orgánmi, úradmi a agentúrami Únie sa vzťahuje nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001. Nariadenie (ES) č. 45/2001 a ostatné právne akty Únie, ktoré sa vzťahujú na takéto spracúvanie osobných údajov, by sa mali upraviť podľa zásad a pravidiel stanovených v tomto nariadení a uplatňovať so zreteľom na toto nariadenie. V záujme stanovenia silného a súdržného rámca ochrany údajov v Únii by po prijatí tohto nariadenia mali nasledovať potrebné úpravy nariadenia (ES) č. 45/2001, aby sa začali uplatňovať súčasne s týmto nariadením.

4 Výnimka domácich alebo osobných činností

GDPR sa v zmysle úvodného ustanovenia č. 18 „nevzťahuje na spracúvanie osobných údajov fyzickou osobou v priebehu výlučne osobnej alebo domácej činnosti, a teda bez spojenia s profesijnou alebo komerčnou činnosťou. Osobné alebo domáce činnosti by mohli zahŕňať korešpondenciu a uchovávanie adries či využívanie sociálnych sietí a online činnosti vykonávané v kontexte takýchto činností. Toto nariadenie sa však vzťahuje na prevádzkovateľov alebo sprostredkovateľov, ktorí poskytujú prostriedky na spracúvanie osobných údajov na takéto osobné alebo domáce činnosti.“

Výnimka domácich alebo osobných činností sa zdá na prvý pohľad jasná. Avšak v aplikačnej praxi dozorných orgánov sa v minulosti už vyskytlo viacero prípadov, ktoré boli náročné na posúdenie možnosti aplikácie tejto výnimky spod pôsobnosti regulácie všeobecne záväznej regulácie ochrany osobných údajov, ktorá ostala zachovaná aj v GDPR. V súčasnosti s rozvojom digitálnej ekonomiky nemožno zužovať výnimku osobných a domácich činností len na zoznamy kontaktov v mobile, súkromné databázy v domácom PC, či domáce zložky súkromných osôb obsahujúce rôzne poistné zmluvy, lekárske záznamy, potvrdenia, diplomy apod. Dnes je potrebné zohľadniť aj to, že súkromná osoba môže mať vlastný blog, webovú stránku, či profil na sociálnej sieti, ktorý môže slúžiť výlučne na osobné (súkromné) účely, príp. môže využívať aj rôzne smart aplikácie (napr. sledovanie geolokalizácie členov svojej rodiny, či komunity).

Práve tieto nové formy spracúvania osobných údajov v intenciách výnimky domácich alebo osobných činností predstavujú zvýšené riziko pre exces (vybočenie) z jej rámca.

Určenie objektívnych kritérií potrebných na rozlíšenie prítomnosti zložky osobných činností v konaní neformálnej skupiny, či osoby formálne konajúcej ako jednotlivec, ale fakticky konajúcej ako verejne politicky, príp. obchodne činná osoba od subjektu, ktorý cieľavedome v kontexte vopred vymedzeného účelu vykonáva aktivity, ktorých súčasťou je aj spracúvanie osobných údajov môže byť náročné. Pri takýchto nejasných prípadoch je vhodné použiť metodiku prevažujúcich faktorov na určenie alebo naopak na vylúčenie možnosti aplikácie výnimky domácich alebo osobných činností prostredníctvom pomocných otázok, ktoré sformulovala Pracovná skupina zriadená podľa článku 29 smernice 95/46/ES (ďalej len ako „WP 29“) v nasledovnom znení:

  • Sú osobné údaje šírené k neurčitému počtu osôb, skôr než k obmedzenému spoločenstvu priateľov, rodinných príslušníkov či známych?
  • Ide o osobné údaje týkajúce sa jednotlivca, ku ktorému nemá žiadny osobný ani domáci vzťah osoba, ktorá tieto údaje využila (napr. zavesila na sociálnu sieť)?
  • Naznačuje rozsah a frekvencia spracúvania osobných údajov charakter profesionálnej činnosti a/alebo činnosti vykonávanej na plný úväzok?
  • Existujú dôkazy o tom, že spracúvanie osobných údajov vykonáva viacero osôb konajúcich kolektívne a organizovaným spôsobom?
  • Je možný nepriaznivý vplyv na jednotlivcov, vrátane zásahu do ich súkromia?

V prípade, ak sa v konkrétnom prípade podarí na väčšinu vyššie uvedených otázok odpovedať spôsobom „áno“, tak existuje silná pravdepodobnosť, že daný prípad bude predstavovať exces (vybočenie) z výnimky domácich alebo osobných činností a súvisiace spracúvanie osobných údajov by malo byť konfrontované s reguláciou GDPR.

5 Spracúvanie osobných údajov orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti

Táto výnimka spod pôsobnosti GDPR pre tzv. law-enforcement účely zachováva kontinuitu so smernicou 95/46/ES, ktorá tiež vylučovala viaceré zo svojich ustanovení spod svojej pôsobnosti pre tieto prípady. Vzhľadom na to, že pre spracúvanie osobných údajov na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania plne pokrýva tzv. Policajná smernica o ochrane osobných údajov, ktorá sa začne aplikovať v rovnaký deň ako GDPR už nie je potrebné čiastočné vyňatie spod pôsobnosti konkrétne vybraných ustanovení, ale je možné vylúčiť celkovú pôsobnosť všetkých ustanovení GDPR na tieto prípady.

6 Možnosť obmedziť právne účinky GDPR na súdy a iné justičné orgány na národnej úrovni

V členských štátoch EÚ je nezávislosť súdnej moci pozorne chránenou súčasťou demokratického usporiadania spoločnosti, a preto je potrebné poukázať na skutočnosť, že GDPR na viacerých miestach vylučuje alebo vytvára priestor pre národnú legislatívu členského štátu pre vylúčenie aplikácie viacerých ustanovení GDPR na spracúvanie osobných údajov vykonávané súdmi pri výkone súdnictva.

Na základe tohto prístupu je možné obmedziť výkon určitých práv dotknutej osoby priznaných GDPR (napr. Článok 12 až 22 GDPR), či obmedziť aplikáciu základných zásad spracúvania osobných údajov (článok 5 GDPR) alebo povinnosť oznamovať dotknutej osobe porušenie jej ochrany osobných údajov (článok 34 GDPR) legislatívnym opatrením spĺňajúcim obsahové náležitosti vyžadované v článku 23 ods. 2 GDPR na národnej alebo na úrovni EÚ, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť ochranu nezávislosti súdnictva a súdnych konaní.

Na základe vyššie uvedeného je možné sa domnievať, že na Slovensku budú tiež vykonané legislatívne opatrenia podľa článku 23 ods. 2 GDPR za účelom posilnenia nezávislosti súdnej moci (napr. novelizáciou zákona o súdoch).

Pozitívna pôsobnosť

Pozitívna pôsobnosť GDPR je do značnej miery totožná so základnou pozitívnou vecnou pôsobnosťou GDPR, ktorá je vyjadrená v článku 2 ods. 1 GDPR, ktoré stanovuje, že právna úprava sa vzťahuje „na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.“ Pojem informačný systém je legálne definovaný ako „akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určitých kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe.“

Uvedené je možné interpretovať tak, že GDPR sa vzťahuje na akékoľvek spracúvanie osobných údajov, ktoré sa realizuje v dôsledku prevádzkovateľom autonómne vymedzeného účelu spracúvania osobných údajov (napr. rozhodnutie o zriadení e-shopu) alebo prevádzkovateľovi direktívne ustanovenému účelu spracúvania osobných údajov v dôsledku aplikácie zákonnej povinnosti (napr. povinnosť prihlásiť zamestnanca do príslušného registra Sociálnej poisťovne), a to bez ohľadu na to, či sa pri spracúvaní využívajú iba technológie (napr. smart aplikácia), kombinácie technológie a ľudského faktora (napr. vyplnenie excelovskej tabuľky) alebo len ľudského faktora (napr. zber vyplnených papierových prihlášok detí do školy v prírode zo strany triednej učiteľky).

GDPR sa rovnako vzťahuje na akékoľvek spracúvanie osobných údajov, ktoré prebieha medzi hmotnoprávne definovanými a odlíšenými subjektmi, s ktorými prevádzkovateľ môže vykonávať jednotlivé spracovateľské operácie s osobnými údajmi. Primárne a v najväčšej možnej miere je touto pozitívnou pôsobnosťou GDPR zasiahnutý prevádzkovateľ a sprostredkovateľ ako obchodný partner prevádzkovateľa, ale ide aj o spracúvanie osobných údajov vykonávané od sprostredkovateľa k subdodávateľom, či od prevádzkovateľa a/alebo sprostredkovateľa k tretím stranám alebo príjemcom osobných údajov.

Vecná pôsobnosť

Ako sme už uviedli vecná pôsobnosť GDPR sa do značnej miery prelína s pozitívnou pôsobnosťou a zároveň i negatívnou pôsobnosťou. Jednoducho povedané vecná pôsobnosť GDPR sa týka akéhokoľvek spôsobu spracúvania osobných údajov v informačnom systéme (primárne), ktoré vykonáva prevádzkovateľ a/alebo sprostredkovateľ a netýka sa okruhov spracúvania osobných údajov, ktoré sú vymedzené v článku 2 ods. 2 GDPR.

Podstatou vecnej pôsobnosti GDPR je, že sa vzťahuje na spracúvanie osobných údajov. Pojem „osobné údaje“ je legálne definovaný v článku 4 bod 1 GDPR a pojem „spracúvanie“ je legálne definovaný v článku 4 bod 2 GDPR. V tejto súvislosti je vhodné poznamenať, že GDPR spresňuje koncept osobných údajov tak, že za osobné údaje budú už považované aj rôzne online identifikátory osôb (napríklad IP adresa, cookies) a iné elektronické identifikátory (napríklad RFID technológie, či tzv. prevádzkovo-lokalizačné údaje), ale aj tzv. pseudonymizované údaje legálne definované v článku 4 bod 5 GDPR a bližšie vysvetlené v úvodnom ustanovení č. 26 GDPR. Samozrejme stále, rovnako ako v minulosti, bude potrebné aby údaj alebo skupina spracúvaných dát bola spôsobilá v konkrétnom prípade identifikovať priamo alebo nepriamo dotknutú osobu. Ak pôjde o dáta, ktoré budú právne kvalifikované ako osobné údaje a subjekt s nimi bude vykonávať akékoľvek spracovateľské operácie (napr. získavanie, zaznamenávanie, prehliadanie, štruktúrovanie, usporadúvanie, využívanie, šírenie, poskytovanie, zverejňovanie a iné) bude založená vecná pôsobnosť GDPR.

Okrem toho je potrebné zobrať na zreteľ, že spracúvanie osobných údajov orgánmi a inštitúciami EÚ sa spravuje vlastným právnym režimom odlišným od GDPR (Nariadenie Európskeho parlamentu a Rady (ES) č. 45/2001 z 18. decembra 2000 o ochrane jednotlivcov so zreteľom na spracovanie osobných údajov inštitúciami a orgánmi spoločenstva a o voľnom pohybe takýchto údajov), ako aj spracúvanie osobných údajov orgánmi činnými v trestnom konaní a súdmi v trestnom konaní (Policajná smernica o ochrane údajov).

Rovnako aj spracúvanie osobných údajov vykonávané poskytovateľmi služieb informačnej spoločnosti (napr. rôzni poskytovatelia online služieb od prevádzkovateľov sociálnych sietí, cez inzertné portály, tzv. zoznamky, online sprostredkovanie úveru, dátové úložiská až po e-shopy) môže byť bez ohľadu na GDPR dotknuté právnou úpravou transponovanou do národných právnych poriadkov členských štátov - u nás konkrétne ustanovením § 6 zákona č.  22/2004  Z.  z. zákona o elektronickom obchode a o zmene a doplnení zákona č.  128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z. (ďalej len ako „Zákon o elektronickom obchode“) v dôsledku právnej úpravy článkov 12 až 15 smernice 2000/31/ES Európskeho parlamentu a Rady z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode).

Osobná pôsobnosť

GDPR sa primárne vzťahuje na subjekty, ktoré spracúvajú osobné údaje ako prevádzkovatelia (vrátane tzv. spoločných prevádzkovateľov v zmysle článku 26 GDPR) a sprostredkovatelia (vrátane ich sprostredkovateľov, resp. tzv. subdodávateľov zapojených do procesu spracúvania osobných údajov zo strany sprostredkovateľa so súhlasom prevádzkovateľa).

Regulácia však tiež zasahuje aj zástupcov prevádzkovateľov alebo sprostredkovateľov, ktorí nie sú usadení v Európskej únii (článok 27 GDPR), i.e. nepriamo aj subjekty, ktoré spracúvajú osobné údaje občanov EÚ bez toho, aby boli usídlené v niektorom členskom štáte. Osobná pôsobnosť GDPR zasahuje aj ďalšie osoby, ktoré spracúvajú osobné údaje na základe poverenia od prevádzkovateľa alebo sprostredkovateľa podľa článku 29 GDPR (napr. súčasné oprávnené osoby v zmysle národného zákona o ochrane osobných údajov).

Samozrejme osobná pôsobnosť GDPR sa vzťahu aj na dotknuté osoby, ktorých osobné údaje sú spracúvané vyššie uvedenými subjektmi a ktoré majú vždy primárne postavenie fyzickej osoby – jednotlivca a nie napríklad fyzickej osoby podnikateľa. To však platí iba pokiaľ ide o identifikačné údaje fyzickej osoby – podnikateľa používané v bežnom obchodnom styku, ktoré sú bežne zverejnené v súlade so zákonom v príslušných registroch (napr. živnostenský register) a nie ďalšie identifikátory, ktoré by už mohli mať súkromnú povahu a bolo by ich potrebné považovať vo vzťahu k fyzickej osobe – podnikateľovi za osobné údaje, a teda aj takýto subjekt by sa ako dotknutá osoba stala subjektom osobnej pôsobnosti GDPR. Pojem dotknutá osoba paradoxne nie je v GDPR legálne definovaný, hoci v našom národnom zákone o ochrane osobných údajov je dotknutá osoba legálne definovaná ako „každá fyzická osoba, ktorej sa osobné údaje týkajú.“

Bližšie vysvetlenie toho ako vymedziť dotknutú osobu na účely GDPR poskytuje úvodné ustanovenia č.  26 GDPR.

V súvislosti s osobnou pôsobnosťou GDPR je tiež nevyhnutné uviesť, že právna úprava obsiahnutá v GDPR by sa nemala v zmysle úvodného ustanovenia č. 27 uplatňovať na osobné údaje zosnulých osôb, pričom však členské štáty môžu stanoviť pravidlá týkajúce sa spracúvania osobných údajov zosnulých osôb.

Naša aktuálna národná právna úprava v Zákone o ochrane osobných údajov obsahuje iba stručnú zmienku o tom, že keď dotknutá osoba nežije, tak súhlas so spracúvaním osobných údajov môže poskytnúť jej blízka osoba, pričom takýto súhlas nie je platný ak čo i len jedna blízka osoba vyjadrila nesúhlas. Táto dispozícia so súhlasom zomrel dotknutej osoby de facto nadväzuje na tzv. postmortálnu ochranu osobnosti upravenú v § 15 zákona č. 40/1964 Zb. Občiansky zákonník v znení neskorších predpisov (ďalej len „Občiansky zákonník“), ktorá priznáva právo uplatňovať právo na ochranu osobnosti zomrelej dotknutej osoby jej manželovi a deťom a ak ich niet, jeho rodičom.

Časová pôsobnosť

GDPR sa v plnej miere začne v praxi uplatňovať a dozornými orgánmi kontrolovať až od 25. mája 2018, a to bez ohľadu na to, či bude na národnej úrovni prijatý zákon o ochrane osobných údajov, ktorý bude recipovať GDPR s doplnením vlastnej právnej úpravy, ktorá však musí byť konzistentná s GDPR alebo takýto národný zákon prijatý na národnej úrovni členského štátu nebude.

GDPR je účinné už od 25. mája 2016 po uplynutí dvadsiateho dňa po publikácii v Úradnom vestníku EÚ. Časová pôsobnosť je teda upravená veľmi jednoducho – neexistuje tu viacero prechodných ustanovení na splnenie jednotlivých povinností ustanovených GDPR. Zodpovedným subjektom plynie aktuálne 2 ročné prechodné ustanovenie určené na celkovú konverziu svojich podmienok spracúvania osobných údajov na novú reguláciu. Po uplynutí 25. mája 2016 sa bude v celej EÚ vynucovať už len dodržiavanie GDPR, s tým, že pochopiteľne právne konania začaté pred 25. májom 2016 sa dokončia v právnom režime pôvodných národných zákonov na ochranu osobných údajov.

Územná pôsobnosť

Územná pôsobnosť GDPR je predmetnom právnej úpravy ustanovení článku 3 ods. 1 až 3 GDPR a bližšie je tiež vysvetlená v úvodných ustanoveniach č. 23 až č. 25 GDPR.

GDPR sa usiluje, v porovnaní so smernicou 95/46/ES, ktorú nahrádza, rozšíriť pôsobnosť právnych predpisov EÚ o ochrane údajov aj tým, že sa stane irelevantné umiestnenie prostriedkov spracúvania osobných údajov, ktoré bolo podstatné doteraz a presadia sa určité exteritoriálne prvky s cieľom zasiahnuť reguláciou GDPR aj také podniky v postavení prevádzkovateľov a sprostredkovateľov, ktoré síce nemajú sídlo v žiadnom členskom štáte EÚ, ale aj napriek tomu spracúvajú osobné údaje občanov únie.

V prvom rade GDPR samozrejme platí pre prevádzkovateľov a sprostredkovateľov usadených na území všetkých členských štátov Európskej únie (EÚ) a so sídlom v Európskom hospodárskom priestore (EHP) – i.e. vrátane Islandu, Nórska a Lichtenštajnska. V tomto smere je zaujímavé zobrať do úvahy BREXIT, ktorý fakticky ovplyvní súčasné postavenie Spojeného kráľovstva. Podľa dostupných informácii je možné sa domnievať, že aj napriek BREXITU bude Spojené kráľovstvo dodržiavať GDPR, keďže v procese jeho prijímania sa zohľadnilo veľa pozícii britskej delegácie a technicko-spoločenský vývoj si vyžaduje akútne novú reguláciu tejto oblasti. Postavenie Spojeného kráľovstva je aktuálne aj z hľadiska ochrany osobných údajov predmetom politických diskusií. Ako najpravdepodobnejšia alternatíva sa nám javí, že Spojené kráľovstvo implementuje GDPR a Európska komisia ho na čas po BREXITE určí rozhodnutím vydaným v súlade s článkom 45 GDPR za krajinu zabezpečujúcu primeranú úroveň ochrany osobných údajov, čo zabezpečí kontinuitu vo voľnom toku osobných údajov medzi Spojeným kráľovstvom a ostatnými členskými štátmi EÚ.

GDPR sa uplatňuje na prevádzkovateľov a sprostredkovateľov usídlených v EÚ / EHP bez ohľadu na to, či sa spracúvanie fakticky vykonáva na území EÚ / EHP, čím sa stáva irelevantným umiestnenie prostriedkov spracúvania osobných údajov (napr. cloudová infraštruktúra rozmiestnená v dátových centrách na rôznych kontinentoch sveta), ale určujúci bude právny domicil organizácie v spojitosti s právnym určením toho, či ide pri spracúvaní osobných údajov touto organizáciou o aktivity prevádzkovateľa alebo sprostredkovateľa.

Vzhľadom na to, že na vnútornom trhu EÚ je bežné, že dochádza v rámci korporačných štruktúr rôznych obchodných spoločností k takým obchodným aktivitám, ktoré sprevádza spracúvanie osobných údajov s cezhraničným prvkom vo viacerých členských štátoch je na mieste sa zamyslieť ako takéto prípady riešiť. GDPR pre tieto prípady ustanovila princíp tzv. jediného kontaktného miesta (one-stop-shop), ktorý je normatívne vyjadrený v článku 60 GDPR (Spolupráca medzi vedúcim dozorným orgánom a inými dotknutými orgánmi), ktorý si vysvetlíme bližšie v nasledujúcich častiach nášho seriálu. V stručnosti je možné uviesť, že princípom one-stop-shop mechanizmu je určenie vedúceho dozorného orgánu podľa miesta hlavnej prevádzkarne (main establishment) prevádzkovateľa alebo sprostredkovateľa so spracovateľskými aktivitami vo viacerých členských štátoch, čo je v podstate krajina, v ktorej má korporácia hlavné ústredie (tzv. HQ – Headquarters). Tento vedúci dozorný orgán je potom príslušný pre všetky záležitosti spojené s GDPR a ochranou osobných údajov vo vzťahu k spracúvaniu osobných údajov, ktoré je realizované prostredníctvom spriaznených prevádzkarní korporácie vo viacerých členských štátoch.

GDPR sa bude teda vzťahovať na spoločnosti, ktoré majú „prevádzkarne“ v EÚ, kde sú osobné údaje spracúvané „v rámci činností“ takej prevádzkarne. Ak sú predmetné podmienky splnené, GDPR platí bez ohľadu na to, či vlastné spracovanie dát prebieha v rámci geografickej teritoriality členských štátov EÚ, alebo nie.

Rozhodujúcim novým momentom prítomným v GDPR je explicitné rozšírenie územnej pôsobnosti tohto právneho aktu, ktorý odráža jednak politické ambície Európskej komisie exteritoriálne ochraňovať vnútorný trh a jednak to ukazuje trend rastúceho vplyvu Súdneho dvora EÚ a dozorných orgánov v oblasti ochrany osobných údajov, ktoré budú mať uplatňovať EÚ reguláciu ochrany osobných údajov (GDPR) aj voči takým spoločnostiam, ktoré v minulosti nespadali do ich pôsobnosti.

Spoločnosti zriadené mimo EÚ budú podľa článku 3 ods. 2 podliehať GDPR, pokiaľ spracúvajú osobné údaje o dotknutých osobách v EÚ v súvislosti s:

  • ponukou tovarov alebo služieb (nie je nutná platba); alebo
  • sledovaním ich správania v rámci EÚ.

Čo sa týka ponuky tovaru a služieb (ale nie monitorovania), iba sprístupnenie webových stránok v rámci Európskej únie nie je dostačujúce. Musí byť zrejmé, že spoločnosť svoje aktivity bude smerovať na dotknuté osoby žijúce v EÚ. Kontaktné adresy prístupné z EÚ a používanie jazyka používaného v krajine prevádzkovateľa tiež nestačia. Avšak schopnosť objednávky v úradnom jazyku dotknutej členskej krajiny EÚ a možnosť platby v príslušnej mene už budú relevantnými faktormi pre určenie exteritoriálnej pôsobnosti GDPR. Bližšie tieto úvahy rozvádza úvodné ustanovenie č. 23 GDPR.

V súvislosti so sledovaním správania dotknutých osôb žijúcich, resp. fyzicky sa nachádzajúcich v EÚ je potrebné zistiť v zmysle úvodného ustanovenia č. 24 GDPR, „či sú fyzické osoby sledované na internete vrátane prípadného následného využitia technologických riešení spracúvania osobných údajov, ktoré spočívajú v profilovaní fyzickej osoby na účely prijatia rozhodnutia týkajúceho sa tejto osoby alebo na účely analýzy či predvídania osobných preferencií, správania a postojov tejto osoby.“

Pod sledovaním správania dotknutej osoby sa tak myslí hlavne online tracking a behaviorálna reklama generovaná prevádzkovateľmi internetových vyhľadávačov či prevádzkovateľmi sociálnych sietí. Prostredníctvom tohto ustanovenia GDPR realizuje svoju ambíciu zasiahnuť a donútiť rešpektovať svoju právnu úpravu aj tých najväčších gigantov digitálnej ekonomiky, ktorí najviac profitujú so spracúvania osobných údajov a ktorí sú prevažne usídlení v USA.

Právo členského štátu EÚ, resp. GDPR sa bude môcť tiež v niektorých prípadoch uplatňovať exteritoriálne aj na základe medzinárodného práva verejného.

Stiahnuť prílohy

Ondrej Zimen

Bývalý zamestnanec