Je provozovatel online platformy správce nebo zpracovatel osobních údajů?

Generální advokát Soudního dvora EU se pokusil vyjasnit vztah GDPR a tzv. safe harbour principu u zprostředkovatelských služeb. Jak to dopadlo?

Safe Harbour v online službách

Čl. 14 směrnice eCommerce (a následně čl. 6 DSA) obsahují tzv. podmíněné zproštění odpovědnosti poskytovatele hostingových služeb, což je součást obecnějšího zproštění odpovědnosti v rámci zprostředkovatelských služeb. Poskytovatel hostingových služeb je zproštěn odpovědnosti za obsah generovaný uživateli jeho služby (safe harbour), pokud jsou splněny tyto podmínky (citováno ze směrnice eCommerce):

a) (poskytovatel) nebyl účinně seznámen s protiprávní činností nebo informací a ani s ohledem na nárok na náhradu škody si není vědom skutečností nebo okolností, z nichž by byla zjevná protiprávní činnost nebo informace, nebo

b) jakmile se o tomto (poskytovatel) dozvěděl, jednal s cílem odstranit tyto informace nebo k nim znemožnit přístup.

Vztah směrnice eCommerce a GDPR, kterým se generální advokát zabýval, není legislativně příliš vyjasněn. Čl. 1 odst. 5 směrnice eCommerce stanoví, že tato  se nevztahuje na […] otázky týkající se služeb informační společnosti upravené v GDPR (podobnou úpravu obsahuje čl. 2 odst. 4 písm. g) DSA, který stanoví, že pravidla GDPR nejsou dotčena), zatímco čl. 2 odst. 4 GDPR uvádí, že tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů hostingových služeb uvedená v článcích 12 až 15 uvedené směrnice. SDEU se sice několikrát vyjadřoval k odpovědnosti poskytovatelů zprostředkovatelských a specificky hostingových služeb, ale často se jednalo o případy projednávané před účinností GDPR a navíc řešily spíše dílčí otázky, zejména v kontextu porušování autorského práva.

Do řešení otázky odpovědnosti poskytovatelů služeb se také vložil – dle mého názoru poněkud nešťastně – i Evropský soud pro lidská práva, a to zejména v případech Delfi, s určitou korekcí ve věci Høiness proti Norsku a dále v rozsudku Sanchez proti Francii.

 

Původní předmět sporu

Generální advokát Maciej Szpunar se vyjadřoval k tomuto skutkovému stavu:

Russmedia Digital SRL je rumunská společnost, která je provozovatelem on-line tržiště www.publi24.ro. Na něm mohou být bezplatně nebo za úplatu zveřejňovány inzeráty týkající se zejména prodeje zboží nebo poskytování služeb z různých lokalit v Rumunsku.

V srpnu 2018 zveřejnila na tomto on-line tržišti neidentifikovaná osoba inzerát, jehož obsah byl znevažující a urážlivý vůči navrhovatelce v původním řízení, neboť v něm bylo uvedeno, že nabízí sexuální služby. Inzerát obsahoval fotografie navrhovatelky v původním řízení, použité bez jejího souhlasu z účtu, který měla legálně na sociální síti, jakož i její telefonní číslo. Totožnost osoby, která tento inzerát na dané on-line tržiště vložila, nebyla před jeho zveřejněním ověřena. Když byla společnost Russmedia kontaktována navrhovatelkou, inzerát ze svého on-line tržiště o necelou hodinu později odstranila. Tentýž inzerát však byl s uvedením původního zdroje umístěn on-line na jiných internetových stránkách s reklamním obsahem, na nichž je stále přístupný.

Vzhledem k tomu, že navrhovatelka v původním řízení měla za to, že sporný inzerát porušuje její práva, podala proti společnosti Russmedia žalobu mj. pro porušení GDPR. Generální advokát tedy před sebou měl nelehkou úlohu vyložit rozhraní mezi eCommerce a GDPR.

Předběžné otázky

Soudnímu dvoru EU byly položeny čtyři předběžné otázky:

1. Uplatní se články 12 až 14 [směrnice 2000/31] také na poskytovatele informačních služeb typu úložiště-hosting, který zpřístupňuje uživatelům stránky, na nichž lze vkládat bezplatnou nebo placenou inzerci, a který tvrdí, že jeho úloha při zveřejňování inzerátů uživatelů je čistě technická (zpřístupnění platformy), avšak který prostřednictvím všeobecných podmínek používání stránek uvádí, že si nenárokuje vlastnické právo k poskytnutému nebo vloženému, nahranému nebo přenesenému obsahu, nicméně si ponechává právo obsah používat, včetně práva jej kopírovat, šířit, přenášet, zveřejňovat, reprodukovat, upravovat, překládat, předávat partnerům a kdykoli jej odstranit, a to i bez udání důvodu?
2. Je podle výkladu čl. 2 odst. 4, čl. 4 bodů 7 a 11, čl. 5 odst. 1 písm. f), čl. 6 odst. 1 písm. a), článků 7, 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen před zveřejněním inzerátu ověřit, zda existuje vztah mezi osobou vkládající inzerát a vlastníkem osobních údajů, jehož se inzerát týká?
3. Je podle výkladu čl. 2 odst. 4, čl. 4 bodů 7 a 11, čl. 5 odst. 1 písm. f), čl. 6 odst. 1 písm. a), článků 7, 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen předem ověřit obsah inzerátů zasílaných uživateli, aby vyloučil ty, které jsou případně protiprávní povahy nebo které se mohou dotknout soukromého a rodinného života osoby?
4. Je podle výkladu čl. 5 odst. 1 písm. b) a f), článků 24 a 25 [GDPR] a článku 15 směrnice 2000/31 takový poskytovatel informačních služeb typu úložiště-hosting, který je správcem osobních údajů, povinen použít taková bezpečnostní opatření, aby zabránil nebo omezil reprodukci a další šíření obsahu inzerátů, které jsou jeho prostřednictvím zveřejněny?“

Je poskytovatel hostingových služeb správcem nebo zpracovatelem?

K jakým závěrům generální advokát ve svém stanovisku pro SDEU dospěl?

Povinnost ověřovat totožnost uživatelů

Poskytovatel hostingových služeb je podle komentovaného stanoviska povinen ověřovat totožnost uživatelů svých služeb, pokud hrozí riziko, že tito uživatelé mohou zveřejnit obsah, který zasáhne do práv dalších osob. Generální advokát neupřesnil, jak si takové ověřování totožnosti představuje. Pouhá registrace ale zjevně nestačí, protože ta v tomto případě byla podmínkou uveřejnění inzerátu, tzn. byla ze strany Russmedia provedena.

Zdá se, že generální advokát netrvá na podrobném ověřování totožnosti, postačí mu ověření dalšího kontaktního údaje (např. telefonního čísla), což vyplývá z bodu 135 jeho stanoviska. Svůj závěr odůvodnil tím, že pokud se jedná o samotnou registraci uživatelů, pak poskytovatel zprostředkovatelské služby jedná bez diskuze jako správce osobních údajů, a proto mu z čl. 24 a 25 GDPR vyplývá povinnost ověřit totožnost uživatele služeb.

Povinnost uvádět skutečnou identitu při registraci ovšem podle generálního advokáta neznamená povinnost poskytovatele hostingových služeb zveřejňovat tuto reálnou identitu v rámci služby.

Povinnost ověřování totožnosti uživatelů je zásadní změnou, protože tato povinnost nevyplývá ani ze směrnice eCommerce ani z DSA.

Postavení poskytovatele služby z pohledu GDPR

Pokud se jedná o obsah generovaný uživateli (zde inzerát na online tržišti, ale může se pravděpodobně jednat i o tweet na síti X, post na Facebooku apod.), tak pokud poskytovatel služby bude vystupovat neutrálně (např. nebude excesivně napomáhat s optimalizací inzerátu), pak bude podle generálního advokáta zpracovatelem těchto osobních údajů, nikoliv správcem. Generální advokát to odůvodnil tím, že „Provozovatel on-line tržiště, jako je společnost Russmedia, tak patrně neovlivňuje pro vlastní potřeby rozhodnutí o určení účelu a prostředků zpracování osobních údajů případně obsažených v inzerátech vložených na toto on-line tržiště. Pokud se tento provozovatel podílí na zpracování těchto údajů, jedná jako zpracovatel, jménem inzerujícího uživatele a na jeho odpovědnost. Za těchto okolností musí být uživatelé služeb hostingu kvalifikováni jako „správci“ ve smyslu GDPR“.

Obdobné argumenty, jako použil generální advokát pro svoji argumentaci ve prospěch postavení poskytovatele hostingových služeb jako zpracovatele, lze vznést i ve prospěch toho, že poskytovatel zprostředkovatelské služby je i v tomto případě správcem osobních údajů. Ani uživatel totiž např. výlučně neurčuje účel zpracování osobních údajů, na jeho určení se ve skutečnosti významně podílí i poskytovatel hostingových služeb, který nastavuje fungování své služby.

 

Generální advokát s posouzením poskytovatele hostingových služeb jako správce spojuje mj. i ten důsledek, že nemůže využít beneficia safe harbour podle čl. 14 směrnice eCommerce, protože spojuje kvalifikaci jeho postavení jako správce s tím, že již natolik ovlivňuje zpracování, že přestává být neutrálním. Z toho plyne, že by nemohl být podmíněně zproštěn odpovědnosti za obsah vložený uživateli. Pro úplnost je ovšem třeba uvést, že čl. 2 odst. 4 GDPR neomezuje svůj dopad pouze na zpracovatele osobních údajů, takže ani zde  postavení poskytovatele služeb z hlediska GDPR není pro použití tohoto článku relevantní.

Povinnost ověřovat inzeráty v případě, kdy je poskytovatel správcem

Třetím zásadním závěrem generálního advokát je, že pokud poskytovatel hostingových služeb bude vystupovat jako správce (či společný správce, jak stanovisko naznačuje) údajů vložených do jeho služby uživateli (např. je bude využívat pro další své služby apod.), bude povinen ověřovat, zda uživatel, který tento obsah do služby vložil, disponuje dostatečným právním základem zpracování, zejména souhlasem. Poskytovatel také bude muset kontrolovat všechny inzeráty do služby vložené, zda neobsahují osobní údaje.

Stanovisko otevírá důležité otázky k aplikaci GDPR

Přístup generálního advokáta nabízí několik zajímavých otázek. Lze např. diskutovat o tom, zda není možné, aby poskytovatel zprostředkovatelské služby byl správcem osobních údajů ohledně všech údajů vložených do služby. Text příspěvku by totiž bylo možné (a v praxi to tak často bude) považovat za osobní údaj uživatele, který ho tam vložil bez ohledu na to, zda sám tento text obsahuje informace o dalších fyzických osobách. Příspěvek totiž bude často odhalovat řadu informací o stavu, vlastnostech či názorech uživatele, který jej vložil.

Rovněž si lze položit otázku, zda je smysluplné rozdělovat režim těchto osobních údajů a zda není vhodnější ponechat jejich režim jednotný, tzn. poskytovatel služby je správcem, případně společným správcem. I kdyby cílem posouzení postavení poskytovatele hostingových služeb jako zpracovatele bylo chránit jej před příliš extenzivními dopady „správcovství“, podobného výsledku by bylo možné dosáhnout vhodným využitím institutů GDPR (viz např. výjimky z informační povinnosti čl. 14 odst. 5 a čl. 15 odst. 4 nebo z povinnosti informovat příjemce o změně či výmazu údajů podle čl. 19 GDPR) či samotného safe harbour podle čl. 14 eCommerce, resp. čl. 6 DSA. Z pohledu poskytovatele hostingových služeb je obvykle výhodnější být v postavení zpracovatele, ale to nemusí platit vždy. Např. zpracovatel bude mít mnohem menší možnost rozhodovat o tom, zda má či nemá příspěvek ze své služby odstranit, protože je vázán pokyny správce (viz čl. 28 odst. 3 písm. a) GDPR). To může v praxi přinášet řadu obtíží.

 

Nejasnosti mohou vzniknout také v rozsahu případů, kdy se poskytovatel hostingové služby stane správcem. Jde o situaci, kdy poskytovatel již ohledně obsahu neposkytuje pouze neutrální služby, ale vykonává ve vztahu k nim další kompetence, které mu již umožňují rozeznat jejich (potenciální) závadnost. Pokud poskytovatel přesáhne „neutrální“ přístup pouze u některých příspěvků uživatelů, např. je přesdílí v rámci svého účtu nebo je bude nikoliv automaticky analyzovat, stane se správcem pouze ohledně těchto nebo všech příspěvků jeho uživatelů?

Zajímavé je také to, že generální advokát nepovažuje z hlediska posouzení poskytovatele služby jako zpracovatele za problém ani to, že poskytovatel služby umožňuje smluvně třetím osobám používat příspěvky uživatelů a dále je zveřejňovat (pravděpodobně v rámci tzv. white label služeb, tedy klonů služby zveřejňovaných třetími osobami). Zde je již závěr, že i v tomto případě uživatel, který příspěvek vložil, určuje účel a prostředky zpracování, samozřejmě slabý. GA to však řeší (pravděpodobně) myšlenkovým využitím čl. 28 odst. 10 GDPR, tedy že poskytovatel zprostředkovatelské služby se až poté – v okamžiku předání údajů třetí osobě –  stane samostatným správcem (byť čl. 28 odst. 10 se vztahuje na případy, kdy k tomu dochází v důsledku „porušení GDPR“).

Diskutabilní je i velmi kategorický závěr generálního advokáta o nutnosti ověřovat totožnost registrovaných uživatelů hostingových služeb vyvozovaný z čl. 24 (odpovědnost správce) a 25 (záměrná a standardní ochrana osobních údajů).  Zde lze odkázat např. na diskuze ohledně povinnosti ověřování totožnosti a v němu k protikladu stojícímu právo na anonymní využívání internetu, které byly vedeny během přijímání DSA.

Závěr a návrh rozsudku

Ze stanoviska generální advokáta je zjevné, že se pokusil uceleně zpracovat otázky související s postavením poskytovatelů hostingových služeb, jejich uživatelů a obsahu, který tito uživatelé zveřejňují. Zvolil k tomu řešení, které je určitě možné a lze jej do velké míry opřít o eCommerce směrnici a GDPR. Sám generální advokát upozornil na to, že v případě DSA je možné si představit i jiný přístup. Je třeba ocenit, že se generální advokát Maciej Szpunar pokusil vyřešit řadu nejasných otázek a nesnažil se jim vyhnout, jak lze někdy v judikatuře vidět.

Ani v tomto stanovisku však nebyly vyřešeny všechny nejasnosti a samotné stanovisko přináší řadu dalších otázek. Bude zajímavé sledovat, jak k této otázce přistoupí samotný Soudní dvůr EU, zda převezme závěry a výklad generálního advokátu či zda půjde cestou jiného výkladu a např. připuštění postavení poskytovatele hostingových služeb jako správce či společného správce osobních údajů.

Jakou odpověď na předběžné otázky generální advokát soudu navrhnul?

1. Článek 14 odst. 1 eCommerce směrnice musí být vykládán v tom smyslu, že na poskytovatele služby informační společnosti spočívající v tom, že uživatelům je zpřístupněno on-line tržiště, na které mohou být bezplatně nebo za úplatu vkládány inzeráty, se může vztahovat zproštění odpovědnosti stanovené v tomto ustanovení i v případě, že tento poskytovatel ve všeobecných podmínkách používání svého on-line tržiště uvádí, že ačkoli si nenárokuje vlastnické právo k tomuto obsahu, ponechává si právo poskytnutý, vložený, nahraný nebo zaslaný obsah používat, včetně práva jej kopírovat, šířit, přenášet, zveřejňovat, reprodukovat, upravovat, překládat, předávat partnerům a kdykoli jej odstranit, a to i bez udání důvodu, za podmínky, že tento poskytovatel nepřijme opatření, která by ho zbavila postavení neutrálního poskytovatele hostingu.
2. Článek 5 odst. 1 písm. f), čl. 6 odst. 1 písm. a) a články 7, 24 a 25 GDPR musí být vykládány v tom smyslu, že poskytovatel služeb informační společnosti, jehož činnost spočívá v poskytování hostingu pro bezplatné nebo placené inzeráty na žádost uživatelů jeho internetových stránek, jedná jako zpracovatel ve vztahu k osobním údajům obsaženým v inzerátech vložených na jeho on-line tržiště. V tomto rámci není povinen kontrolovat obsah vložených inzerátů ani zavádět bezpečnostní opatření, aby zabránil reprodukci a dalšímu šíření obsahu inzerátů, které jsou jeho prostřednictvím zveřejněny, nebo je omezil. Musí nicméně zavést vhodná organizační a technická opatření k zajištění bezpečnosti zpracování ve vztahu ke třetím osobám. Naproti tomu jedná jako správce, pokud jde o osobní údaje inzerujících uživatelů zaregistrovaných na jeho internetových stránkách. V tomto rámci je povinen ověřovat totožnost těchto inzerujících uživatelů.

Zdroj: www.gdpr.cz