V rozhodnutí o rozklade Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „Úrad“) sa predsedníčka Úradu priklonila k argumentácii prevádzkovateľa – mBank Spółka Akcyjna (ďalej len „mBank“ alebo „prevádzkovateľ“), a preto vec zrušila a vrátila na nové prejednanie a rozhodnutie.

Čo sa stalo?

Úrad začal konanie podľa zákona č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov (ďalej len „ZOOÚ“) na základe vykonanej kontroly u prevádzkovateľa. Počas kontroly sa Úrad opýtal zamestnanca mBank v nákupnom centre Eurovea v Bratislave „aby uviedol, ako postupuje pri získavaní osobných údajov od klienta, pri návšteve, keď s ním začína rozhovor“. Zamestnanec uviedol, že „pri prvom získavaní osobných údajov od dotknutej osoby (pri prvom kontakte s ňou) nie sú dotknutej osobe informácie poskytované a uviedol, že informácie sú len v tzv. ‘mKnihe‘ a sú dotknutej osobe poskytované len na vyžiadanie“. Zároveň Úrad zistil, že v uvedenom čase kontroly sa v mKiosku v Eurovea na voľne dostupných miestach nenachádzali tieto informácie.

Právny rámec a rozhodovanie Úradu v prvom stupni

V prvostupňovom rozhodnutí Úrad vyhodnotil, že sa jedná o porušenie splnenia informačnej povinnosti podľa čl. 13 Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov (ďalej len „GDPR“). Podľa mBank sú všetky právne povinnosti dodržané, pretože „dotknuté osoby mali a majú možnosť získať všetky relevantné informácie ohľadom spracúvania osobných údajov prostredníctvom webového sídla, navyše uvedené informácie boli a sú dostupné v rámci pobočkovej siete (mKoisky) v mKnihe“. Toto Úrad vo svojom rozhodnutí vyhodnotil ako nedostatočné vzhľadom na zabezpečenie vhodnej metódy poskytovania informácií pre dotknuté osoby o spracúvaní osobných údajov v zmysle čl. 13 GDPR. Podľa tohto rozhodnutia „forma zverejnenia, resp. splnenia informačnej povinnosti v zmysle čl. 13 Nariadenia GDPR […] na webovom sídle prevádzkovateľa, prípadne v mobilnej aplikácii, v prípade osobnej návštevy pobočky dotknutou osobou nezodpovedá uvedeným okolnostiam“. Podľa Úradu mBank neposkytol informácie dotknutým osobám pri osobnej návšteve pobočky, ktoré sa majú poskytovať pri získavaní osobných údajov, a tým nedodržal zásadu transparentnosti podľa čl. 5 ods. 1 GDPR. Preto Úrad uložil pokutu vo výške 15 000 EUR. Ukladané pokuty majú byť podľa čl. 83 GDPR účinné, primerané a odrádzajúce, preto Úrad odôvodnil výšku udelenej pokuty ako primeranú vzhľadom na závažnosť porušenia povinností pri spracúvaní osobných údajov a predchádzajúce porušenie mBank v oblasti ochrany osobných údajov. Ako poľahčujúcu okolnosť úrad vyhodnotil „mieru spolupráce pri náprave porušení, charakter porušenia a skutočnosť, že neboli zistené nepriaznivé dôsledky daných porušení.“ Voči prvostupňovému rozhodnutiu včas podal mBank rozklad.

Rozhodovanie o rozklade

Predsedníčka Úradu sa priklonila k argumentácii mBank, podľa ktorého sa jednalo o zlyhanie jednotlivca (zamestnanca v kamennej predajni), ktorý nedodržal pokyny prevádzkovateľa/zamestnávateľa, podľa ktorých každý zamestnanec je „povinný poskytnúť každému zákazníkovi príslušné informácie uvedené v mKnihe ešte pred poskytnutím služieb vrátane informácií o ochrane súkromia“. Navyše predsedníčka Úradu dospela k názoru, že súlad s čl. 13 GDPR mBank zabezpečil od 13. mája 2019 pomocou „printových výtlačkov týkajúcich sa informačnej povinnosti na stole zo strany klienta na všetkých pobočkách prevádzkovateľa“, a preto síce došlo k porušeniu informačnej povinnosti voči dotknutým osobám, ale k náprave zo strany prevádzkovateľa došlo ešte pred začatím správneho konania. Keďže podľa rozhodnutia o rozklade Úrad v prvostupňovom rozhodnutí dostatočne nezistil úplný skutkový stav veci – najmä či došlo len k jednorazovému pochybeniu prevádzkovateľa prostredníctvom svojho zamestnanca, alebo sa jednalo o nevhodné prijatie opatrenia podľa čl. 12 GDPR. Z tohto dôvodu predsedníčka Úradu v rozhodnutí o rozklade vec zrušila a vrátila na ďalšie prejednanie a rozhodnutie.

Záver

Toto rozhodnutie nám prináša zaujímavú interpretáciu čl. 12 a čl. 13 GDPR. Problémom, aj podľa predsedníčky Úradu, je, že „Nariadenie skutočne nestanovuje formu akou si má prevádzkovateľ plniť informačnú povinnosť […]. Nemožno preto konštatovať, že jediný správny postup plnenia informačnej povinnosti v prípade, ako je vo veci samej bude písomná forma prostredníctvom printových výtlačkov dokumentu.“ Preto predmetom ďalšieho konania na prvom stupni bude aj prieskum, či existujú pokyny mBank a či sú takýmito pokynmi zamestnanci mBank viazaní. Podľa predsedníčky Úradu by takýto postup – existencia interného postupu, „ktorým sú informácie podľa čl. 13 GDPR dotknutým osobám vždy pred, alebo v momente získavania osobných údajov poskytnuté, či už ústne alebo nahliadnutím do mKnihy“, mohol byť súladný s dotknutými ustanoveniami GDPR. Bude preto veľmi zaujímavé sledovať, ako sa s interpretáciou vysporiada Úrad v novom rozhodnutí vo veci.

 

Autor: Oliver Krupka, právny asistent v Advokátskej kancelárii SEMANČÍN & PARTNERS