Správce musí doložit právní titul u všech osobních údajů zpracovávaných pro něj zpracovatelem
Úřad uložil společnosti SMS finance, a.s., vymazat osobní údaje fyzických osob, k jejichž zpracování nedoložila právní titul podle čl. 6 obecného nařízení. Jednalo se zejména o osobní údaje získané prostřednictvím vázané zástupkyně této společnosti (spolupracovnice poskytující a propagující služby jménem společnosti), která oslovila potenciálního klienta na základě dat, k jejichž získání nebyla společnost schopna doložit řádný právní titul (vázaná zástupkyně se v telefonním rozhovoru se subjektem údajů představila jménem společnosti).
Společnost SMS finance, a.s., se následně obrátila na Městský soud v Praze. Ve správní žalobě proti rozhodnutí Úřadu společnost uvedla, že se neztotožňuje s právním posouzením Úřadu ve vztahu k tomu, že se v rámci zpracování osobních údajů prováděného jejími vázanými zástupci nachází v postavení správce. Společnost postavila svoji obhajobu na argumentu, že za nesprávně zpracovávané osobní údaje neodpovídá ona, nýbrž její spolupracovníci jako vázaní zástupci, kteří jsou samostatnými podnikatelskými subjekty. Městský soud v Praze se však s tímto názorem neztotožnil a správní žalobu společnosti zamítl.
Zamítnuta byla také následná kasační stížnost, kterou společnost podala k Nejvyššímu správnímu soudu (dále jen „NSS“). NSS ve svém odůvodnění konstatoval, že i když zpracovatel (v tomto případě ona vázaná zástupkyně) ve své činnosti pochybí, konečnou odpovědnost za správné zpracování osobních údajů má správce, v jehož prospěch vyvíjí činnost. „Specifikace vztahu, povinností a zodpovědnosti mezi správcem a zpracovatelem bývá důvodem častých nedorozumění, už jen proto, že se ve své podstatě jedná o spolupráci dvou podnikatelských subjektů. Obecné nařízení však za nositele odpovědnosti považuje správce, tedy toho, kdo určuje účely a prostředky zpracování osobních údajů. Zpracovatelem je potom ten, kdo pracuje pro správce,“ shrnul rozhodnutí předseda Úřadu Jiří Kaucký.
NSS se ztotožnil s posouzením Městského soudu v Praze, že Úřad v daném případě oprávněně považoval společnost SMS finance, a.s., za správce osobních údajů, když uvedl, že: „[…] vázaný zástupce oslovuje potenciálního klienta za účelem nabídnutí služeb zastoupeného, neboť právě v tom zprostředkování dle § 2 písm. e) zákona o distribuci pojištění tkví. Ani kasačnímu soudu není nadto zřejmé, z jakého důvodu by měly být zprostředkovatelské služby nabízeny ‚jen‘ jako takové (samy o sobě). Aby totiž mohl kdokoli nabízet své vlastní, zprostředkovatelské služby, musí k tomu mít ‚co zprostředkovávat‘“. Jak dále uvedl NSS, vázaná zástupkyně společnosti „[…] v rámci své činnosti zprostředkovávala služby stěžovatele, v rámci čehož docházelo i ke shromažďování osobních údajů potenciálních klientů, které shromažďovala a zpracovávala právě za účelem určeným stěžovatelem.“
„NSS tedy uzavřel, že Úřad a Městský soud v Praze dospěly ke správnému závěru, že stěžovatel byl v pozici správce údajů s důsledky z toho plynoucími“, vysvětlil Jiří Kaucký.
Anonymizované rozhodnutí je k dispozici na stránkách NSS.
V této souvislosti je vhodné připomenout, že oblast vztahů správců a zpracovatelů, včetně popisu jejich rolí a povinností, shrnul Úřad v Základní příručce k ochraně údajů. Více informací naleznete také v aktuálních, zatím pouze v angličtině dostupných Guidelines 07/2020 on the concepts of controller and processor in the GDPR Evropského sboru pro ochranu osobních údajů. Posledním českým překladem této problematiky je Stanovisko č. 1/2010 k pojmům „správce“ a „zpracovatel“ mezinárodní Pracovní skupiny WP29, která vykládala evropskou směrnici předcházející obecnému nařízení (nyní tento úkol převzal právě Evropský sbor pro ochranu osobních údajů).