Společnost SMS finance musí vymazat osobní údaje, k jejichž zpracování neprokázala právní důvod, rozhodl soud

16. 11. 2021

Nejvyšší správní soud (NSS) potvrdil rozhodnutí Úřadu pro ochranu osobních údajů (UOOU), který nařídil společnosti SMS finance, a. s., vymazat osobní údaje fyzických osob, u nichž společnost v roli správce neprokázala právní důvod pro jejich zpracování. Tím porušila článek 6 Obecného nařízení o ochraně osobních údajů (GDPR). Společnost popírala svou odpovědnost za nesprávně zpracované osobní údaje. Argumentovala tím, že informace byly zpracovány odlišným podnikatelským subjektem vykonávajícím zprostředkovatelské služby. Nepovažovala se tedy za správce osobních údajů ve smyslu čl. 4 odst. 7 nařízení GDPR.

Kdo je správce a kdo zpracovatel?

Podle NSS odpovědnost za nesprávně zpracované osobní údaje nese primárně správce, čili ten, kdo určuje účely a prostředky jejich zpracování. Za zpracovatele se pak považuje ten, kdo pro správce údaje zpracovává (sbírá, třídí či s nimi jinak pracuje).

NSS po přezkoumání původního rozhodnutí potvrdil názor Městského soudu v Praze, dle kterého vázaný zástupce pouze zprostředkovává služby zastoupeného (SMS finance) dle zákona o distribuci pojištění a v tomto rozsahu tedy zpracovává osobní údaje v pozici zpracovatele za účelem určeným spol. SMS finance. Společnost SMS finance, a.s., pak vystupuje v roli správce a jako taková má povinnost doložit právní titul i u osobních údajů poskytnutých zpracovatelem.

Z výše uvedeného rozhodnutí v praxi vyplývají tyto důsledky:
  • Primární odpovědnost za zpracování osobních údajů nese správce údajů.

  • V oblasti distribuce finančních služeb jsou ve vztahu ke zprostředkovatelské činnosti správcem údajů samostatní zprostředkovatelé.

  • Vázaní zástupci jsou při zprostředkování služeb jménem samostatných zprostředkovatelů jen zpracovateli osobních údajů.

  • Samostatní zprostředkovatelé musejí zajistit, že vázaní zástupci postupují v souladu s pravidly GDPR.

„Přestože lze souhlasit se základním rozdělením rolí a odpovědností při zpracování osobních údajů, jak jej nastínily soudy, je otázkou, zda je dostatečně zohledněna komplexita vztahů mezi různými typy zprostředkovatelů, poskytovatelů finančních služeb, potažmo zákazníků, vysoká úroveň regulace v oblasti finančních služeb a relativně velká míra autonomie jednotlivých aktérů (včetně vázaných zástupců). To platí tím spíše, že společná aktivita všech zúčastněných směřuje primárně k jednomu cíli – sjednání finanční služby. V tomto ohledu se nabízí trochu jiné posouzení celého komplexu vztahů, než jaké zvolily soudy, a sice postavení takzvaných společných správců podle čl. 26 GDPR,“ dodal k danému rozhodnutí Jakub Hruška z Privatry.

FOTO

Mohlo by vás také zajímat:

Novela zákona o elektronických komunikacích: Zásadní změny pro cookies a telemarketing

Kdy lze pořídit kopii občanského průkazu klienta?

Úřad pro ochranu osobních údajů připravil novou pomůcku pro správce údajů

Práva osob při zpracování osobních údajů