Kameň, papier, nožnice a oprávnený záujem
Po nadobudnutí účinnosti GDPR niektoré členské štáty EÚ, vrátane Slovenska, začali objavovať novotu medzi právnym základmi, ktorým je oprávnený záujem. Nejde o žiadny prevratný objav, pretože tento právny základ poznal už článok 7 písm. f) smernice 95/46/EC z roku 1995. Avšak zákonodarcovia niektorých členských štátov, nevynímajúc toho slovenského, nemali záujem tento, na jednej strane „flexibilný“, na strane druhej z hľadiska implementácie „náročnejší“, transponovať do národnej legislatívy. A to dokonca i napriek tomu, že Súdny dvor EÚ v roku 2011 priznal ustanoveniu smernice o oprávnenom záujme priamy účinok (prípady ASNEF a FECEMD), teda transpozícia by si vyžadovala minimálnu mieru legislatívnej rozpravy.
Bazálnym predpokladom na použitie oprávneného záujmu ako právneho základu pre účely zákonného spracúvania osobných údajov je skutočnosť, že prevádzkovateľ (resp. tretia strana) sleduje svoj oprávnený (legitímny) záujem na takomto spracúvaní, ak nad týmto záujmom neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Prax nadväzujúca ešte na smernicu, usmernenia WP29 a dozorných orgánov členských štátov EÚ, ustálili, že oprávnený záujem sa preukazuje predovšetkým záznamom o už vykonanom teste proporcionality (balančným testom). Znenie GDPR upravujúce predmetný právny základ neprinieslo žiadnu zásadnú zmenu oproti zneniu predtým účinnej smernice, najmä s ohľadom na formu, v akej má byť test proporcionality vykonaný. Čo je však z doslovného znenia zrejmé, smernica a v súčasnosti ani GDPR, neukladajú prevádzkovateľom vyhotoviť test proporcionality (prípadne jeho záznam) v písomnej forme. Samozrejme, s ohľadom na základnú zásadu zodpovednosti (čl. 5 ods. 2 GDPR) v spojení s prapodstatou teórie dôkazného bremena, pokiaľ nemáte všetko „na papieri“, štandardne vás neminie právna domnienka, že test proporcionality sa nestal.
Tu si pripomeňme ešte stále aktuálnu tému „zaručených vzorov“ dokumentov a formulárov, ktoré vám zabezpečia ochranu osobných údajov v rámci vašej spoločnosti. Téma rezonovala najmä pred účinnosťou GDPR, kedy sa prevádzkovatelia a sprostredkovatelia uspokojili so zakúpeným „vzorkovníkom“ formulárov a bezpečnostných projektov, ktoré ihneď po doplnení hlavičky zapadli prachom v skrini a pokiaľ týmto spoločnostiam nezaklopal na dvere tím kontrolórov, zákonné požiadavky bezpečnosti ochrany osobných údajov mali za splnené. Ešte šťastie, že IT technici nepotrebovali zákon na to, aby technicky zabezpečili údaje na moderné pomery. Tieto papiere však buď nespĺňali základné zákonné požiadavky alebo nereflektovali tok údajov v spoločnosti, vo väčšine prípadov to boli obe tieto varianty.
Papierová dokumentácia je naďalej samozrejmosťou, ale ak nie je zohľadnená v každodennom živote prevádzkovateľa alebo sprostredkovateľa, účinnosť zabezpečenia ochrany zostáva výlučne v rovine formálnej, nie však reálnej. Na reálnosti ochrany osobných údajov je založené celé jadro GDPR a príslušná prax dozorných orgánov. Do detailov cizelovaný záznam z testu proporcionality je určite hodný pochvaly, legislatívu predsa len primárne zaujíma výsledok. Test proporcionality nie je novátorstvom ochrany osobných údajov, ale aj doménou ústavného práva, napríklad ak ide o kolíziu dvoch rovnocenných (relatívnych) základných práv. Aj v rámci spracúvania na základe oprávneného záujmu dochádza ku kolízii dvoch protichodných záujmov, v konečnom dôsledku však nie je rozhodný papier, ale to, čo z papiera vzíde, t.j. ochrana základných práv a slobôd jednotlivca. Rovnako to v rámci GDPR na reálnej ochrane súkromia fyzických osôb ako základného práva, začína a aj končí. Nejde však vždy o kolíziu základných práv, preto pre určité rozlíšenie niektorí v praxi tento test nazývajú „balančným.“
V diskutovanej téme je možné vyzdvihnúť nedávne rozhodnutie predsedníčky Úradu na ochranu osobných údajov SR o rozklade, ktorým potvrdila tézu priority reálnej ochrany, pred ochranou formálnou. Písomný dôkaz o vykonaní testu proporcionality vo vzťahu k (štandardnému) kamerovému systému síce bol v rámci kontroly doložený až ex post, prevádzkovateľ však prijal práve najmä to „B“, ktoré vyplýva z jadra GDPR. Podľa predmetného rozhodnutia:
„De facto zásada zodpovednosti v sebe a priori zahŕňa prebratie zodpovednosti za to, čo prevádzkovateľ uskutočňuje s osobnými údajmi. Tieto úkony preukazuje postupnými krokmi, ktoré vykonal na ochranu práv dotknutých osôb. Zásada zodpovednosti teda poskytuje príležitosť prevádzkovateľom ukázať a dokázať, v akej miere si súkromie dotknutých osôb cení (Recitál 39, 74 Nariadenia). Keďže z Nariadenia/zákona žiadnym spôsobom nevyplýva povinnosť kontrolovanej osoby preukazovať súlad s Nariadením len v písomnej podobe, a teda ani povinnosť mať v písomnej forme vypracovaný test proporcionality v zmysle čl. 6 ods. 1 písm. f) Nariadenia, dozorný orgán je povinný postupovať v zmysle základných zásad správneho konania, najmä podľa § 32 ods. 2 správneho poriadku, za dodržania čl. 2 ods. 3 ústavný zákon č. 460/1992 Zb. Ústava Slovenskej republiky (Každý môže konať, čo nie je zákonom zakázané, a nikoho nemožno nútiť, aby konal niečo, čo zákon neukladá).“
Z pohľadu procesu dokazovania a náležitého zisťovania skutkového stavu v správnom konaní mnohí určite v praxi ocenia aj nasledovnú pasáž odôvodnenia rozhodnutia:
„Navyše je predsedníčka toho názoru, že dozorný orgán nemá pri preukazovaní súladu s Nariadením postupovať príliš formalisticky vo vzťahu k prevádzkovateľom a žiadať od nich vždy a len doloženie písomnej formy testu proporcionality, ale tento je povinný umožniť prevádzkovateľovi aj iným spôsobom tento súlad preukazovať. Napríklad v začatom konaní podľa správneho poriadku môže prevádzkovateľ ako účastník konania preniesť obsah vykonaného testu proporcionality do zápisnice podľa § 22 správneho poriadku alebo počas výkonu/v priebehu kontroly takto môže urobiť nadiktovaním do úradného záznamu, ktorý bude tvoriť prílohu veci. Je následne povinnosťou dozorného orgánu zhodnotiť obsah vykonaného úkonu, či tento spĺňa všetky atribúty testu proporcionality.“
Voči predmetnému rozhodnutiu nebola podaná správna žaloba, takže zatiaľ správna úvaha úradu nebola konfrontovaná s právnym názorom súdu. Citovanej úvahe úradu (predsedníčky) nie je čo vytknúť, pretože skutočne vychádza z ratio legis základných zásad GDPR s väzbami na ústavnoprávne princípy. Zodpovednosť prevádzkovateľa je alfou a omegou regulácie ochrany dát, pričom nemožno uprieť práva ani samotnému prevádzkovateľovi, ktoré by pri neúmernom formalistickom prístupe boli porušené v rovine iných zásad. Ak sa podľa judikatúry ústavného súdu majú dokonca všeobecné súdy odchýliť aj od doslovného znenia zákona (ak by to odporovalo účelu zákona alebo princípom), určite nemožno požadovať od súkromného subjektu, aby si svoju povinnosť splnil v písomnej forme, ak to normatívne znenie GDPR nevyžaduje a nevyžadovalo to ani znenie predtým účinnej smernice.
Zároveň si úprimne priznajme ako sa v praxi robia testy proporcionality u väčšiny účelov spracúvania ešte pred tým, ako sa vôbec začne pripravovať, už je vopred zrejmé, aký bude výsledok. Nikto predsa nespíše test proporcionality tak, aby vo finále zhodnotil, že oprávnený záujem na danom spracúvaní nakoniec nie je daný. Ešte aj pôvodné stanovisko WP29 č. 6/2014 uvádza najbežnejšie situácie, pri ktorých záujem prevádzkovateľa preváži nad záujmami a právami dotknutých osôb. Testy proporcionality začína mať skutočný význam vtedy, ak má ísť o veľmi špecifické alebo neštandardné spracovateľské operácie a každý zodpovedný poradca v oblasti ochrany osobných údajov si spíše všetky riziká a okolnosti spracúvania, aby si v určitej forme checklistu prešiel jednotlivé východiská spracúvania a vplyv na ochranu dotknutých osôb. Zmyslom GDPR (a v nadväznosti aj na vyššie citované rozhodnutie, očividne ani záujmom úradu) nie je „molestovať“ prevádzkovateľov vo vzťahu k štandardným informačným systémom založených na základe oprávneného záujmu, ako sú bežný (riadne označený) kamerový systém v obchodných priestoroch, spracúvanie kontaktných údajov zástupcov svojich odberateľov/dodávateľov, priamy marketing vo vzťahu k aktuálnym zákazníkom, uplatňovanie právnych nárokov, vnútropodnikové zabezpečenie aktív alebo iné spracovateľské operácie vyplývajúce zo zákona (ak z formálnych dôvodov nemôže byť zákonné ustanovenie aplikované ako relevantný právny základ).
Tak ako uvádza aj recitál 47 GDPR, je potrebné zohľadniť primerané (legitímne) očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi, pričom záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie. To znamená, že čím špecifickejší a neštandardnejší účel spracúvania, alebo čím citlivejšia povaha spracúvaných údajov, tým by mali mal byť test proporcionality dôslednejší a presvedčivejší, predovšetkým vo vzťahu k opatreniam reálne zavedených v nadväznosti na osobitosť tohto spracúvania a na dôsledky, ktoré majú alebo by mohli predstavovať pre dotknuté osoby (vplyv).
Zo strany Európskeho výboru pre ochranu údajov a ani dozorných orgánov zatiaľ nie je vôľa upustiť od vykonania testov proporcionality pri univerzálne štandardných informačných systémoch, avšak v zmysle striktného pozitivizmu neexistuje na to zrovna priestor, aby takáto výnimka mohla byť v praxi zavedená v blízkej budúcnosti. V inej rovine si je potrebné uvedomiť aj skutočnosť, že GDPR žiadny test proporcionality a iný „papier“ nespomína, spomína sa iba splnenie podmienky prevažujúceho oprávneného záujmu prevádzkovateľa (alebo tretej strany) nad záujmami, právami a slobodami jednotlivca. Preto je určite na mieste zastať aj názor, že bez ohľadu na zásadu zodpovednosti (čl. 5 ods. 2 GDPR) by dozorný orgán mal predovšetkým skúmať, či kontrolovaný subjekt skutočne má alebo nemá oprávnený záujem podľa čl. 6 ods. 1 písm. f) GDPR a „papier“ by mal predstavovať kľúčový prostriedok až pri dôvodných pochybnostiach, ak ide napríklad o neštandardný účel spracúvania alebo je zanedbaná ochrana osobných údajov. Následne v takýchto prípadoch test proporcionality splní svoj účel a bude podrobený kontrole, či takto určený účel, prostriedky a priebeh spracúvania plne zodpovedajú oprávnenému záujmu, ktorý má prevažovať nad záujmami dotknutých osôb.
Tento článok samozrejme nemá slúžiť tomu, aby degradoval potrebnú formálnu dokumentáciu, ale poukazuje na to, že práve striktne formalistický prístup pri uplatňovaní GDPR konštruuje GDPR na povestného „strašiaka“. Skutočným kameňom úrazu nie je absencia záznamu v šuflíkoch prevádzkovateľov, ale nedostatočná reálna ochrana práv dotknutých osôb, pričom jediný, kto s konečnou platnosťou rozstrihne dilemu, či sa pri ochrane osobných údajov bude uplatňovať prísne formalistický alebo pragmatický prístup, pravdepodobne bude až samotný súd.
JUDr. Pavol Szabo, LL.M., advokát / attorney at law, GHS Legal, s.r.o.