Zásadní rozsudek SDEU k rozhraní mezi safe harbour podle DSA a GDPR

Velký senát Soudního dvora EU se v jednom z nejkontroverznějších rozsudků týkajících se digitální ekonomiky vyjádřil k odpovědnosti provozovatele online tržiště za inzeráty na něm uveřejněné. V případu ve věci C492/23, Russmedia Digital SRL, soud tuto otázku řešil z pohledu výjimek z tzv. safe harbour principu obsaženého dříve v čl. 14 směrnice eCommerce (2000/31/ES) a dnes v čl. 6 DSA (2022/2065/EU).

Rozsudek je kontroverzní nejenom výkladem, k němuž SDEU dospěl, ale také tím, že soud blíže nevysvětlil své závěry a to, jakou váhu ve skutečnosti přikládal konkrétním skutkovým okolnostem tohoto případu. Zároveň některé  naznačené závěry lze velmi snadno zobecnit na všechny internetové stránky, což by mělo samo o sobě další poměrně závažné dopady na internetovou ekonomiku.

O co v případě Russmedia šlo?

Žalobkyně tvrdila, že neidentifikovaná třetí osoba v srpnu 2018 zveřejnila na internetových stránkách www.publi24.ro, on-line tržišti provozovaným společností Russmedia Digital SRL, nepravdivý a škodlivý inzerát, který ji prezentoval jako osobu nabízející sexuální služby. Inzerát obsahoval mimo jiné fotografie žalobkyně a její telefonní číslo. Tento inzerát byl následně doslovně převzat na jiné internetové stránky s reklamním obsahem, kde byl zpřístupněn on-line s uvedením zdroje původu. Žalobkyně společnost Russmedia Digital kontaktovala, inzerát byl o necelou hodinu později odstraněn. Tentýž inzerát však zůstal dostupný na jiných internetových stránkách, které jej převzaly.

Rumunské soudy následně v rámci žaloby o náhradu škody proti Russmedia řešily, zda je tato společnost za obsah a zveřejnění inzerátu odpovědná či nikoliv. Podle čl. 14 směrnice eCommerce (dnes je stejné pravidlo obsažené v čl. 6 DSA) totiž poskytovatel služby informační společnosti spočívající v ukládání informací poskytovaných příjemcem služby není odpovědný za informace ukládané na žádost příjemce, pokud:

a)  poskytovatel nebyl účinně seznámen s protiprávní činností nebo informací a ani s ohledem na nárok na náhradu škody si není vědom skutečností nebo okolností, z nichž by byla zjevná protiprávní činnost nebo informace, nebo

b) poskytovatel, jakmile se o tomto dozvěděl, jednal s cílem odstranit tyto informace nebo k nim znemožnit přístup.

V řízení nakonec byly podány předběžné otázky k SDEU. Jejich podstatou bylo, zda takový provozovatel on-line tržiště, jako je společnost Russmedia, který umožňuje svým uživatelům bezplatně nebo za úplatu anonymně umísťovat inzeráty na své on-line tržiště, porušil povinnosti, které pro něj vyplývají z GDPR, pokud inzerát zveřejněný na jeho on-line tržišti obsahuje osobní údaje, zejména citlivé, v rozporu s tímto nařízením, a dále zda se na takového provozovatele vztahují články 12 až 15 směrnice 2000/31 týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb.

K čemu SDEU došel?

Nejprve jasný a jednoznačný závěr SDEU:  

• ‍Případný prospěch z osvobození stanoveného v čl. 14 odst. 1 směrnice 2000/31, kterého by se provozovatel on-line tržiště mohl dovolávat, pokud jde o informace umístěné na jeho internetových stránkách, nemůže být v rozporu s režimem GDPR, který se vztahuje na takového provozovatele, stejně jako na jakéhokoli jiného provozovatele, který spadá do působnosti tohoto nařízení. ‍

• Totéž platí pro článek 15 směrnice 2000/31, podle kterého členské státy nemohou poskytovatelům služeb uvedených mimo jiné v článku 14 této směrnice (viz i čl. 8 DSA) uložit obecnou povinnost dohledu. Kromě toho povinnost provozovatele on-line tržiště splnit požadavky vyplývající z GDPR nemůže být v žádném případě kvalifikována jako taková obecná povinnost dohledu.

Článek 2 odst. 4 GDPR sice stanoví, že tímto nařízením není dotčeno uplatňování směrnice 2000/31/ES, zejména pokud jde o pravidla týkající se odpovědnosti poskytovatelů zprostředkovatelských služeb uvedená v článcích 12 až 15 uvedené směrnice. Tento článek ale musí být chápán v tom smyslu, že skutečnost, že provozovatel je nositelem povinností stanovených v GDPR, automaticky nevylučuje, že se tento provozovatel může dovolávat článků 12 až 15 směrnice 2000/31 v jiných záležitostech než těch týkajících se ochrany osobních údajů.

Až potud je závěr SDEU jasný. Princip tzv. safe harbour podle čl. 14 směrnice eCommerce a čl. 6 DSA se nevztahuje na porušení GDPR, resp. na nutnost dodržovat jeho pravidla i ze strany provozovatel služby. SDEU se tím odchýlil od většinového pojetí safe harbour, které poskytovalo ochranu i proti porušení GDPR.

Nicméně aby byl poskytovatel tržiště odpovědný podle GDPR, musí být z toho, co z rozsudku vyplývá, správcem či zpracovatelem osobních údajů na tomto tržišti zveřejněných. Zda jím bude každý poskytovatel online tržiště, však není z rozsudku zcela jasné.

Proč? SDEU totiž řešil situaci, kdy všeobecné obchodní podmínky Russmedia obsahovaly ustanovení, že si tato společnost, aniž si nárokuje obsah zveřejněných inzerátů, vyhrazuje právo používat tento obsah, včetně jeho rozmnoženin, a právo jej šířit, přenášet, zveřejňovat, rozmnožovat, upravovat, překládat, předávat partnerům a kdykoliv jej vymazat, i když k tomu nemá právoplatný důvod. Na jedné straně to možná hrálo významnou roli při určení její odpovědnosti za související zpracování osobních údajů, na straně druhé takto postupuje většina provozovatelů tržišť, protože se snaží obsah na nich uvedený alespoň základním způsobem optimalizovat.

SDEU se ale k tomu, zda výše uvedené podmínky hrály zásadní roli či nikoliv, bohužel jednoznačně nevyjádřil. Pěkně to ukazují body 72 až 74 odůvodnění rozsudku, proto si je ocitujeme celé:

72. Je tedy třeba konstatovat, že pokud takový provozovatel on-line tržiště, jako je společnost Russmedia, stanoví parametry pro šíření inzerátů, které mohou obsahovat osobní údaje v závislosti na dotčených příjemcích, určuje prezentaci, dobu trvání tohoto šíření nebo rubriky strukturující zveřejněné informace, nebo organizuje pořadí, které určí způsoby takového šíření, přispívá k určení základních prostředků zveřejnění dotčených osobních údajů, čímž rozhodujícím způsobem ovlivňuje jejich celkové šíření.

73. V tomto ohledu obsah všeobecných podmínek pro používání dotčeného on-line tržiště může poskytnout indicie prokazující, že provozovatel tohoto tržiště rozhodujícím způsobem ovlivňuje dotčené zpracování osobních údajů a určuje tak prostředky tohoto zpracování. Podle všeho je tomu tak v případě všeobecných podmínek pro používání on-line tržiště společnosti Russmedia, v nichž si tato společnost vyhrazuje zejména právo šířit, přenášet, zveřejňovat, vymazat nebo také rozmnožovat informace obsažené v inzerátech, včetně osobních údajů v nich obsažených.

74. V každém případě se provozovatel on-line tržiště nemůže zprostit odpovědnosti jakožto správce osobních údajů z důvodu, že on sám nebyl tím, kdo určuje obsah dotčeného inzerátu zveřejněného na tomto tržišti. Bylo by totiž v rozporu nejen s jasným zněním, ale i s cílem čl. 4 bodu 7 GDPR, kterým je zajistit prostřednictvím široké definice pojmu „správce“ účinnou a úplnou ochranu subjektů údajů, vyloučit z této definice takového provozovatele pouze z tohoto důvodu.

K tomu pak ještě bod 67 odůvodnění:

67. V projednávané věci z předkládacího rozhodnutí vyplývá, že společnost Russmedia zveřejňuje inzeráty na svém on-line tržišti pro vlastní obchodní účely. V tomto ohledu všeobecné podmínky pro používání tohoto tržiště poskytují společnosti Russmedia velkou volnost při využívání informací zveřejněných na uvedeném tržišti. Konkrétně si společnost Russmedia podle informací předkládajícího soudu vyhrazuje právo používat zveřejněný obsah, šířit jej, přenášet, rozmnožovat, upravovat, překládat, předávat jej partnerům a kdykoli jej vymazat, i když k tomu nemá „právoplatný důvod“. Společnost Russmedia tedy nezveřejňuje osobní údaje obsažené v inzerátech pouze či výlučně jménem inzerujících uživatelů, nýbrž tyto údaje sama zpracovává a může je využívat k vlastním reklamním a obchodním účelům.

Jak to SDEU myslel? Co má být tím „zveřejňováním osobních údajů obsažených v inzerátech pouze či výlučně jménem inzerujících uživatelů“, které stojí v kontrapunktu k „využívání k vlastním reklamním a obchodním účelům“ provozovatelem online tržiště? Měl tím zveřejněním „výlučně jménem inzerujících uživatelů“ SDEU na mysli pouze případ běžné reklamy na internetové stránce, nebo naopak i online tržiště může naplnit tuto podmínku (na každém online tržišti jsou totiž inzeráty zveřejňovány jménem inzerenta)? Navíc online tržiště obvykle mají vlastní doporučující systém, kterým se snaží optimalizovat zveřejňování inzerátů. Je ten už sám o sobě dostatečným pro to, aby provozovatel tržiště byl správcem osobních údajů na něm zveřejněných?

To bohužel z rozsudku není jasné a lze v něm najít argumenty pro i proti tomuto výkladu

Na závěry SDEU se totiž lze dívat také tak, že pokud bude provozovatel tržiště správcem osobních údajů, neposkytuje pouze neutrální službu šíření informací svých uživatelů (což je obecná podmínka pro uplatnění safe harbour) a z teoretického pohledu by pak nebyl problém v tom, že SDEU vyložil safe harbour takto omezeně, protože by sledoval logiku DSA (a dřívějších pravidel eCommerce směrnice).  

Každopádně z rozsudku vyplývá několik zajímavých závěrů:

1. Pokud by provozovatel tržiště byl správcem zveřejněných údajů, bude společným správcem s uživatelem, který inzerát na tržiště vložil. To by vyvolalo povinnost dodržet postup podle čl. 26 GDPR a transparentním ujednáním mezi správci vymezit jejich podíly na odpovědnosti za plnění povinností podle GDPR.

2. Pokud provozovatel on-line tržiště (jen pokud bude správcem?) ví nebo by měl vědět, že inzeráty obsahující citlivé údaje ve smyslu čl. 9 odst. 1 GDPR obecně mohou být zveřejňovány inzerujícími uživateli na jeho on-line tržišti, je tento provozovatel jakožto správce povinen už při koncipování své služby zavést vhodná technická a organizační opatření k identifikaci takových inzerátů před jejich zveřejněním a být schopen ověřit, zda jsou citlivé údaje zveřejněny v souladu se zásadami uvedenými v kapitole II GDPR. Musí tedy identifikovat alespoň ty inzeráty, které obsahují zvláštní kategorie osobních údajů podle čl. 9 GDPR.

3. Provozovatel tržiště (jen pokud bude správcem?) je povinen identifikovat totožnost zadavatele inzerátu a ověřit ji. Z čl. 13 odst. 1 písm. a) a čl. 14 odst. 1 písm. a) GDPR totiž vyplývá, že správci osobních údajů musí subjektu údajů v každém případě poskytnout svou totožnost a kontaktní údaje (k tomuto ostatně částečně směřoval i Evropský soud pro lidská práva v případu Delfi, byť s jiným odůvodněním).

4. Dále je provozovatel online tržiště (jen pokud bude správcem?) povinen ověřit, zda inzerujícím uživatelem, který hodlá zveřejnit takový inzerát, je osoba, jejíž citlivé údaje jsou uvedeny v tomto inzerátu, a pokud tomu tak není, musí odmítnout jeho zveřejnění, ledaže by tento inzerující uživatel mohl prokázat, že subjekt údajů udělil výslovný souhlas se zveřejněním dotčených údajů ve smyslu tohoto čl. 9 odst. 2 písm. a) na tomto on-line tržišti, nebo že je splněna některá z ostatních výjimek stanovených v uvedeném čl. 9 odst. 2 písm. b) až j).

SDEU se dále zabýval tím, zda je provozovatel on-line tržiště jakožto správce povinen zavést bezpečnostní opatření, která mohou zabránit reprodukci a dalšímu šíření inzerátů obsahujících citlivé údaje, které byly zveřejněny na jeho on-line tržišti, nebo je omezit. Došel k závěru, že ano. Podle něj (bod 122 odůvodnění) musí provozovatel on-line tržiště (který je správcem osobních údajů) zvážit zejména veškeré dostupné technologické prostředky za současného stavu technických poznatků, které by mohly zablokovat kopie či replikace obsahu on-line. Jak to má v praxi udělat, ovšem SDEU nenaznačil. Kromě nějakého zákazu ve smluvních podmínkách lze totiž v praxi přebírání zamezit pouze velmi omezeně (zdá se však, že přebíráním neměl SDEU na mysli indexaci pro vyhledávače). Nelze ale asi bránit takovému dalšímu zveřejňování dalšími osobami, pokud k němu dal subjekt údajů souhlas (otázka ale pak bude, zda bude stačit obecný souhlas).

Jen pro úplnost lze uvést, že možná nebude důvod, aby se tato povinnost vztahovala jen na správce, který je provozovatelem on-line tržiště. Mohla by se totiž vztahovat na jakéhokoliv provozovatele internetové stránky, který potenciálně zveřejňuje zvláštní kategorie osobních údajů…. K tomu se ale SDEU výslovně nevyjádřil a není zřejmé, zda by k takovému závěru vůbec došel…

Závěry a poučení

Co z tohoto rozsudku vlastně vyplývá? Ve skutečnosti nabízí víc otázek než odpovědí. Jediným zcela jednoznačným závěrem je to, že safe harbour podle eCommerce a DSA nevylučuje aplikaci GDPR na poskytovatele online tržiště, pokud bude sám správcem (byť společným) osobních údajů zveřejňovaných na jeho službě třetími osobami. Zároveň v takovém případě bude povinen:  

1. identifikovat inzeráty, které obsahují citlivé údaje ve smyslu čl. 9 odst. 1 GDPR,

2. ověřit, zda inzerujícím uživatelem, který hodlá zveřejnit takový inzerát, je osoba, jejíž citlivé údaje jsou uvedeny v tomto inzerátu,  

a pokud tomu tak není:

3. odmítnout jeho zveřejnění, ledaže by tento inzerující uživatel mohl prokázat, že subjekt údajů udělil výslovný souhlas se zveřejněním dotčených údajů ve smyslu tohoto čl. 9 odst. 2 písm. a) na tomto on-line tržišti, nebo že je splněna některá z ostatních výjimek stanovených v uvedeném čl. 9 odst. 2 písm. b) až j).

Zároveň je povinen zavést technická a organizační bezpečnostní opatření, jež mohou zabránit tomu, aby inzeráty na něm zveřejněné, které obsahují citlivé údaje ve smyslu čl. 9 odst. 1 GDPR, byly zkopírovány a protiprávně zveřejněny na jiných internetových stránkách.

Ačkoliv to rozsudek výslovně nestanoví, není pravděpodobně důvod nevztáhnout tyto závěry na jakoukoliv (minimálně) online platformu podle DSA, která je zaměřená na zveřejňování obsahu svých uživatelů, tedy např. na sociální sítě. Bude třeba ovšem vyřešit, zda online platformy budou správci osobních údajů na nich zveřejněných či nikoliv. SDEU na to jednoznačnou odpověď nedává, byť nelze vyloučit, že s ohledem na fungování takovýchto platforem by mohl v některých případech odpovědět kladně.  

Otevřenou otázkou také zůstává, které další předpisy mohou takto mít přednost před principem safe harbour podle DSA a za jakých podmínek. Článek 2 odst. 3 DSA, který obsahuje odkaz na GDPR (a v principu svým účelem odpovídá původnímu čl. 1 odst. 5 směrnice eCommerce), totiž nemluví pouze o GDPR, ale zmiňuje celou řadu dalších předpisů, mj. právní akty EU v oblasti autorského práva, právní akty EU v oblasti ochrany spotřebitele a bezpečnosti výrobků apod. Doufejme, že vyjasnění těchto otázek přinese další judikatura SDEU.

‍