Úvod do napomenutí v oblasti ochrany osobních údajů
Napomenutí v oblasti ochrany osobních údajů je ústředním nástrojem v právu na ochranu osobních údajů pro prosazování souladu s Obecným nařízením o ochraně osobních údajů (GDPR). Od účinnosti GDPR v roce 2018 jsou společnosti a organizace povinny při zpracování osobních údajů postupovat s nejvyšší pečlivostí. Pokud dojde k porušení těchto požadavků – například kvůli nedostatečným informacím pro uživatele nebo nezákonnému zpracování dat – může být vydáno napomenutí. Toto napomenutí může být iniciováno nejen úřady pro ochranu osobních údajů, ale také konkurenty, sdruženími na ochranu spotřebitelů nebo dokonce poškozenými osobami samotnými. Cílem napomenutí v oblasti ochrany osobních údajů je přimět podnik k zastavení porušování ochrany osobních údajů a k dodržování práv na ochranu osobních údajů. Pro společnosti to znamená, že musí pravidelně kontrolovat a upravovat své procesy a zacházení s osobními údaji, aby se vyhnuly napomenutím a možným následným žalobám.
Právní základy
Právní základy pro napomenutí v oblasti ochrany osobních údajů se nacházejí především v GDPR a v zákoně proti nekalé soutěži (UWG). GDPR podrobně upravuje, jak mohou být osobní údaje shromažďovány, ukládány a zpracovávány. Porušení těchto předpisů – například nezákonným zpracováním nebo nedostatkem transparentnosti – může být pronásledováno nejen úřady pro ochranu osobních údajů, ale také v rámci soutěžního práva. UWG chrání soutěž před nekalými obchodními praktikami a stanoví, že porušení ochrany osobních údajů může být považováno i za porušení UWG, pokud tím společnost získá nekalou výhodu. Tak mohou být napomenutí z důvodu porušení ochrany osobních údajů vydávána jak na základě GDPR, tak UWG. Společnosti by proto měly zajistit, že striktně dodržují zákonné požadavky na zpracování osobních údajů, aby se vyhnuly napomenutím a dalším právním důsledkům.
Konkurenti mohou napomínat – Rozsudky BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurenti a sdružení na ochranu spotřebitelů mohou napomínat kvůli porušování ochrany osobních údajů společnostmi; soudy hrají klíčovou roli při rozhodování o napomenutích z důvodu porušení ochrany osobních údajů. To potvrdil Spolkový soud v několika rozsudcích z 27. března 2025 (sp. zn. I ZR 186/17, I ZR 222/19, I ZR 223/19). Různé soudy v minulosti rozhodovaly odlišně o pravomoci napomenutí při porušování ochrany osobních údajů. Množství případů porušení ochrany osobních údajů ukazuje praktický význam tohoto tématu. Současné rozhodnutí BGH jasně stanoví, že také konkurenti a spotřebitelské organizace mohou být aktivní. Rozsudky BGH z března 2025 mají velký význam pro praxi napomínání, protože umožňují žalování z důvodu porušení ochrany osobních údajů spotřebitelskými organizacemi a konkurenty před civilními soudy. GDPR napomenutí je speciální formou napomenutí, která se týká porušení Obecného nařízení o ochraně osobních údajů a liší se od ostatních napomenutí svým vztahem k ochraně osobních údajů. Spotřebitelské centrum hraje důležitou roli při vymáhání práv na ochranu osobních údajů. Spotřebitelská sdružení se výrazně podílejí na napomenutí z důvodu porušování ochrany osobních údajů. Také konkurenti mohou sledovat porušování ochrany osobních údajů a tak chránit soutěž. Rozsudek BGH má významné dopady na praxi a právní hodnocení porušování ochrany osobních údajů.
Porušování ochrany osobních údajů může být sankcionováno nejen dozorovými orgány. Rozhodovací pravomoc soudů při porušování ochrany osobních údajů je přitom klíčová. Jak ukazují rozhodnutí BGH, také konkurenti a sdružení pro ochranu spotřebitelů mohou postupovat proti těmto porušením. V takových řízeních rovněž hraje důležitou roli žalovaná strana. Pro podniky to může mít zejména v online obchodě a při zpracování citlivých dat značné důsledky, uvádí advokátní kancelář MTR Legal, která mimo jiné v oblasti práva IT a ochrany osobních údajů radí. Porušení GDPR může vést k významným právním následkům, zejména pokud jsou uplatňovány žaloby na zdržení se jednání. Při opakovaném porušení GDPR hrozí přísnější sankce a další opatření. Sledování porušování ochrany osobních údajů probíhá jak prostřednictvím soudů, tak svazů. Význam nařízení § 1 a § 1 č. v příslušných paragrafech je pro právní posouzení rozhodující. Záležitost má velký význam pro vývoj práva na ochranu osobních údajů a prosazování práv spotřebitelů.
Herní aplikace zveřejňuje data
V případě k spisové značce I ZR 186/17 se jednalo o tzv. „App-Center“ v sociální síti, kde třetí strany poskytovaly hry. App-Centrum slouží jako centrální platforma, na které se nabízejí různé aplikace třetích stran. V App-Centru hrají online hry významnou roli, protože tvoří velkou část nabídky. Při používání aplikace mohou být zpracovávány i osobní údaje, jako například tvá e-mailová adresa. Před spuštěním hry uživateli se zobrazilo, že aplikace získává určité oprávnění, aby mohla například zveřejňovat stavové zprávy. Tyto informace byly však nejasné a neinformovaly, jaká konkrétní data byla zpracovávána, kdo byli příjemci a za jakým účelem. Proti tomu úspěšně žalovala střechová organizace spotřebitelských center spolkových zemí.
BGH konstatoval, že taková nejasná a všeobecná informace nesplňuje požadavky Obecného nařízení o ochraně osobních údajů (GDPR). Již při shromažďování dat pomocí aplikace musí být uživatelé komplexně informováni. Rozsah shromážděných a zpracovávaných dat musí být taktéž transparentně popsán. Legálně správná formulace účelů použití v prohlášení o ochraně osobních údajů je velmi důležitá. Informační povinnosti podle čl. 12 a 13 GDPR vyžadují jasné, přesné a srozumitelné informování zasažených osob. Protože tyto požadavky GDPR zároveň upravují tržní chování ve smyslu soutěžního práva (§ 3a UWG), nepřiznání představuje porušení soutěžních pravidel. Konkurenti nebo kvalifikované spotřebitelské organizace proto mohou takovéto porušování ochrany osobních údajů právně stíhat, jak uvedl BGH. To platí nezávisle na tom, zda si uživatel stěžoval.
Lékárníci prodávají léky na internetu
Podobné otázky byly projednány ve věcech s spisovými značkami I ZR 222/19 a I ZR 223/19. Zde dvě lékárny prodávaly léky přes platformu Amazon. Přitom byly zpracovávány osobní údaje zákazníků, včetně údajů o zdraví – například jméno, adresa nebo objednané léky včetně informací o jejich individualizaci. Shromažďování těchto zdravotních údajů lékárnami bylo ústředním předmětem řízení. Bylo mnoho případů porušení ochrany osobních údajů v oblasti lékáren, které se v tomto kontextu staly relevantními. Proti tomu se soudilo jiné lékárny. I tyto žaloby byly úspěšné: BGH jasně vyjádřil, že se u objednacích údajů podle čl. 9 odst. 1 GDPR jedná o zdravotní údaje. To platí i tehdy, když léky nejsou na předpis. Data smí být zpracována, pouze pokud existuje výslovný souhlas zákazníků, který lékárníci však nezískali.
BGH potvrdil hodnocení Evropského soudního dvora, že zdravotní údaje mohou existovat již tehdy, když se z objednávky dají odvodit závěry o zdravotním stavu nebo medikaci. Ve věcech hrála žalovaná strana ústřední roli, protože byla odpovědná za zpracování dat. Zdůrazněn byl význam ochrany zasažené osoby při zpracování zdravotních údajů. Také zde spatřoval BGH soutěžní porušení. Čl. 9 odst. 1 GDPR je pravidlem tržního chování ve smyslu § 3a UWG, takže porušení tohoto předpisu může být konkurentem žalováno jako soutěžní delikt u civilních soudů, jak uvádí karlsruheští soudci. Význam § 1 a § 1 č. v příslušných paragrafech byl přitom výslovně zdůrazněn.
GDPR i relevantní z hlediska soutěžního práva
Rozsudky ukazují, že nařízení GDPR – a zde zvláště informační povinnosti a předpisy pro souhlas – jsou také relevantní z hlediska soutěžního práva. Za určitých okolností mohou být zisky dosažené porušením ochrany osobních údajů zrušeny; to souvisí s pokutami a dalšími sankcemi, které mohou být uloženy podle GDPR a zákona. Společnosti, které zpracovávají osobní nebo citlivá data bez dostatečné informace nebo bez platného souhlasu, jednají nekale. Nepouze úřady pro ochranu osobních údajů, ale také konkurenti nebo kvalifikovaná zájmová sdružení mohou postupovat proti těmto porušením. Tím BGH výrazně rozšířil oblast působnosti soutěžního práva. Společnosti, které porušují předpisy o ochraně osobních údajů, mohou kromě pokut ze strany úřadů pro ochranu osobních údajů čelit také nákladným napomenutím a žalobám na zdržení se jednání ze strany konkurentů a sdružení na ochranu spotřebitelů.
Společnosti jsou dobře raděny
Společnosti jsou proto dobře raděny, aby své informační povinnosti pečlivě kontrolovaly a plnily. To zahrnuje transparentní, srozumitelné a komplexní informování uživatelů o tom, jaká data jsou zpracovávána za jakým účelem, na jakém právním základě se tak děje, kdo jsou příjemci a jaká práva mají zasažené osoby. Před zpracováním citlivých dat – jako např. zdravotní údaje – je také nutné získat a zdokumentovat výslovný souhlas. Všeobecné či skryté klauzule nejsou dostatečné.
Online trhy a ochrana osobních údajů
Online trhy jako Amazon Marketplace jsou v moderním e-commerce nezbytné. Zde je však obzvláště důležité dodržování ochrany osobních údajů. Poskytovatelé, kteří na takových platformách působí, musí při zpracování dat zákazníků – jako jména, adresy nebo objednací údaje – dodržovat přísná pravidla GDPR. Rozhodnutí BGH ve věcech I ZR 186/17, I ZR 222/19 a I ZR 223/19 zdůraznila, že porušení GDPR – jako např. zpracování zdravotních údajů bez výslovného souhlasu zákazníků – může mít nejen důsledky z hlediska ochrany osobních údajů, ale i soutěžního práva. Napomenutí od konkurentů nebo sdružení na ochranu spotřebitelů jsou v takových případech možná a mohou mít pro podniky značné důsledky. Rozsudky Spolkového soudního dvora zdůrazňují, že dodržování ochrany osobních údajů na online trzích je nejen otázkou souladu, ale i soutěže.
Důsledky napomenutí
Napomenutí v oblasti ochrany osobních údajů může mít pro podniky dalekosáhlé důsledky. Kromě povinnosti okamžitě přestat s napadeným zpracováním osobních údajů hrozí v případě pokračujícího porušování citelné pokuty nebo peněžní sankce. GDPR stanoví částky až do výše 20 milionů eur nebo 4 % celosvětového ročního obratu – podle toho, která částka je vyšší. Kromě toho může napomenutí také trvale poškodit pověst podniku, protože porušení ochrany osobních údajů je zákazníky a veřejností vnímáno jako závažné porušení důvěry. Společnosti by proto měly na dodržování předpisů o ochraně osobních údajů klást důraz nejen z právních, ale i z reputačních důvodů.
Obrana proti napomenutím
Aby se efektivně chránily před napomenutími v oblasti ochrany osobních údajů, měly by podniky pravidelně kontrolovat své praktiky ochrany osobních údajů a přizpůsobovat je aktuálním požadavkům GDPR. To zahrnuje zejména vytváření transparentního a úplného prohlášení o ochraně osobních údajů, získávání výslovných souhlasů pro zpracování citlivých dat a implementaci technických a organizačních opatření pro ochranu dat. V případě napomenutí je rozumné rychle reagovat a vyhledat právní radu, aby byla co nejlépe chráněna vlastní práva. Proaktivní jednání a důsledné dodržování pravidel ochrany osobních údajů může značně snížit riziko napomenutí a dalších právních kroků.
MTR Legal Rechtsanwälte radí ohledně ochrany osobních údajů, GDPR a dalších témat práva informačních technologií.
Rádi se s Vámi spojíme Kontakt nás!
