Soudní dvůr EU k výkladu ePrivacy směrnice a právních základů zpracování

Výklad obchodních sdělení podle ePrivacy

V rozsudku ve věci C-654/23, Inteligo Media SA, se Soudní dvůr Evropské unie (SDEU) zabýval výkladem ePrivacy směrnice.

První otázka byla, zda je možné využít úpravu zasílání obchodních sdělení zákazníkům z čl. 13 ePrivacy tehdy, pokud zákazník přímo neplatí za zboží a služby, ale pouze se registruje do služby (zde byl touto službou zpravodajský server zabývající se informacemi o změnách v právu) za tím účelem, aby získal přístup k článkům zdarma.  

Soudní dvůr na to odpověděl pozitivně, protože čl. 13 odst. 2 směrnice ePrivacy se obecně vztahuje na „služby“, aniž jakkoli rozlišuje podle druhu dotčené služby. Jak vyplývá již z předchozí judikatury SDEU ke směrnici eCommerce, odměnu za službu poskytovanou poskytovatelem v rámci jeho hospodářské činnosti nemusí nutně hradit osoby, které z ní mají prospěch. To platí zejména v případě, že je služba poskytována bezplatně s cílem upozornit na poskytovatelem prodávané zboží nebo poskytované služby, neboť náklady na tuto činnost jsou následně zahrnuty do ceny prodávaného zboží či poskytovaných služeb. Taktéž český ÚOOÚ ve svých FAQ k výkladu zákona č. 480/2004 Sb. uvádí: „Za zákazníka je považována osoba, která s obchodníkem vstoupila v závazkový vztah, uzavřela smlouvu. Není přitom rozhodující, zda je tento vztah úplatný nebo bezplatný.“

Tyto úvahy lze podle SDEU přenést na výklad čl. 13 odst. 2 směrnice ePrivacy. Společnost Inteligo Media získala elektronické kontaktní údaje uživatelů v okamžiku, kdy si založili bezplatný účet na on-line platformě provozované touto společností, což předpokládalo souhlas těchto uživatelů se smluvními podmínkami poskytování „služby Premium“. Přihlášením k této službě získali uvedení uživatelé přístup zdarma k určitému počtu článků v dotčené publikaci a možnost dostávat informační zpravodaj „Personal Update“. Poskytování takové služby mělo především reklamní cíl spočívající v propagaci placeného obsahu poskytovaného společností Inteligo Media, přičemž náklady na tuto službu byly (potenciálně)  zahrnuty do ceny tohoto obsahu. Tzn. postačuje, že cenu hradí „až“ platící uživatelé a nikoliv všichni, kdo se registrovali a získávali přístup k článkům zdarma.

Jak na registrace bez nákupu?

Zajímavou otázkou, kterou Soudní dvůr EU výslovně neřešil, je ovšem to, zda by každá registrace provedená bez nákupu (či bez  bezplatného dodávání ze strany poskytovatele služby, jako byl bezplatný přístup k článkům v tomto případě) zboží či služeb, rovnou umožňovala zasílat obchodní sdělení. V řešeném případě  totiž soud i v právní větě výslovně uvedl, že e-mailovou adresu uživatele získával vydavatel on-line publikace „v souvislosti s prodejem výrobku nebo služby“ ve smyslu tohoto čl. 13 odst. 2, pokud si tento uživatel na jeho on-line platformě založil bezplatný účet, „který mu umožňoval mít zdarma přístup k určitému počtu článků této publikace, získávat zdarma e-mailem denní informační zpravodaj obsahující souhrn legislativních novinek zpracovaných v článcích této publikace a hypertextové odkazy na tyto články, jakož i možnost mít za úplatu přístup k dalším článkům a analýzám uvedené publikace“. Zda je možné, aby např. e-shop posílal obchodní sdělení už na základě pouhé registrace uživatele, bez provedení nákupu, nebylo přímo řešeno. Praxe se k takovéto možnosti staví skepticky, nicméně na druhé straně registraci v e-shopu lze vnímat i jako přípravný krok k samotné objednávce.  

Nad rámec uvedeného je vhodné uvést, že pokud by si uživatel přímo vyžádal zasílání informačního newsletteru nějaké společnosti, aniž by tento sloužil k podpoře jejího zboží či služeb, a byl čistě určen k informování o jiných aktivitách, nebude se pravděpodobně jednat o zasílání obchodních sdělení podle čl. 13 odst. 1 a 2 směrnice ePrivacy, neboť se nebude jednat o přímý marketing. Právním základem zpracování podle čl. 6 odst. 1 GDPR pak bude buď souhlas nebo plnění smlouvy.

Je třeba u obchodních sdělení  řešit právní základ zpracování podle GDPR?

Mnohem zajímavějším problémem, se kterým se musel Soudní dvůr EU vypořádat, byla otázka, zda i při zasílání obchodních sdělení ve smyslu čl. 13 odst. 2 směrnice ePrivacy je třeba zjišťovat právní základ zpracování podle čl. 6 odst. 1 GDPR. Na to soud relativně překvapivě odpověděl, že nikoliv a odůvodnil to citací čl. 95 GDPR, podle nějž „toto nařízení neukládá žádné další povinnosti fyzickým nebo právnickým osobám, pokud jde o zpracování ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích v Unii, co se týče záležitostí, u nichž se na ně vztahují konkrétní povinnosti s týmž cílem stanovené ve [směrnici 2002/58].“

Soud mj. odkázal na rec. 173 GDPR, podle nějž by se GDPR mělo použít na všechny záležitosti týkající se ochrany základních práv a svobod při zpracování osobních údajů, na které se nevztahují specifické povinnosti stanovené ve směrnici 2002/58 (ePrivacy směrnice) a sledující stejný cíl, včetně povinností správce a práv fyzických osob. Podle soudu přitom čl. 13 odst. 2 směrnice ePrivacy komplexně upravuje podmínky a účely zpracování, jakož i práva subjektu údajů, a ukládá správci „konkrétní povinnosti“ ve smyslu článku 95 GDPR. Zákonnost zpracování osobních údajů prováděného v souvislosti se sdělením spadajícím do působnosti tohoto čl. 13 odst. 2 proto může být prokázána na základě tohoto ustanovení, aniž je nutné ji posuzovat s ohledem na podmínky stanovené v čl. 6 odst. 1 písm. a) až f) GDPR.

Na místě bude restriktivní výklad

Při zasílání obchodních sdělení v režimu čl. 13 odst. 2 ePrivacy (a § 7 českého zákona č. 480/2004 Sb.) tak není třeba řešit právní základ zpracování podle GDPR. Postačí, pokud k tomuto zasílání daný podnikatel disponuje právním titulem podle zvláštní právní úpravy, tzn. buď souhlasem, nebo právě tzv. Zákaznickou výjimkou, kdy je elektronický kontakt získán při prodeji zboží či služeb budoucímu adresátovi obchodního sdělení.

Otázka však je, jak daleko sahá toto „osvobození“ od nutnosti hledat i právní základ podle čl. 6 GDPR. Ačkoliv se k tomu Soudní dvůr EU výslovně nevyjadřoval, bude třeba tuto výjimku podle mého názoru vykládat přísně restriktivně. To ostatně vyplývá již z textu samotného čl. 13 odst. 2 ePrivacy, podle kterého se tato výjimka vztahuje pouze na využití elektronických kontaktních údajů pro účely přímého marketingu vlastních obdobných výrobků nebo služeb dotčené osoby. Jakékoliv zpracování, které nebude přímo souviset s „přímým marketingem“ anebo se „zasíláním obchodních sdělení“ v rozsahu definovaném právě tímto ustanovením ePrivacy směrnice, tak již bude nutně vyžadovat řádný právní základ podle čl. 6 odst. 1 GDPR.  

Lze tyto závěry aplikovat na cookies?

Otázkou také je, zda, resp. v jakém rozsahu, by Soudní dvůr mohl aplikoval tento svůj závěr také na čl. 5 odst. 3 ePrivacy, který upravuje mj. cookies a další síťové identifikátory. Tento článek totiž řeší jen velmi specifický proces zpracování a to „uchovávání informací“ nebo „získávání přístupu k již uchovávaným informacím“  v koncovém zařízení účastníka. Závěry Soudního dvora EU by tak pravděpodobně nebylo možné aplikovat minimálně na jakékoliv další zpracování těchto údajů mimo samotného ukládání a čtení ze zařízení.

‍

Právní věta rozhodnutí

Právní věta rozhodnutí C-654/23:

1. Článek 13 odst. 1 a 2 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009,  musí být vykládán v tom smyslu,  že e-mailovou adresu uživatele získá vydavatel on-line publikace „v souvislosti s prodejem výrobku nebo služby“ ve smyslu tohoto čl. 13 odst. 2, pokud si tento uživatel na jeho on-line platformě založí bezplatný účet, který mu umožňuje mít zdarma přístup k určitému počtu článků této publikace, získávat zdarma e-mailem denní informační zpravodaj obsahující souhrn legislativních novinek zpracovaných v článcích této publikace a hypertextové odkazy na tyto články, jakož i možnost mít za úplatu přístup k dalším článkům a analýzám uvedené publikace. Zaslání takového informačního zpravodaje představuje použití elektronické pošty „pro účely přímého marketingu“ „svých vlastních obdobných výrobků nebo služeb“ ve smyslu tohoto posledně uvedeného ustanovení.

2. Článek 13 odst. 1 a 2 směrnice 2002/58, ve znění směrnice 2009/136, ve spojení s článkem 95 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů),  musí být vykládán v tom smyslu, že pokud správce použije e-mailovou adresu uživatele k tomu, aby mu zaslal nevyžádané sdělení podle čl. 13 odst. 2, podmínky pro zákonné zpracování stanovené v čl. 6 odst. 1 tohoto nařízení se nepoužijí.

‍