Rakouský dohledový orgán a soud k věrnostnímu programu
JO Bonus club

Rakouský Spolkový správní soud (BVwG) vyhověl odvolání proti rozhodnutí o předběžné otázce vydanému vnitrostátním úřadem pro ochranu údajů. Ten původně shledal, že společnost, která provozovala věrnostní program Rewe (Billa, Bipa, Penny, Adeg), OMV a dalších devíti partnerů, nezískala k takovému zpracování platný souhlas, ale soud rozhodl, že měla zvážit, zda se zpracování může zakládat na oprávněném zájmu, a nikoli na souhlasu.

Fakta

Společnost, jenž se odvolala k soudu, provozovala věrnostní program, pro který shromažďovala a zpracovávala osobní údaje subjektů údajů. Přesněji řečeno "kombinovala a analyzovala údaje subjektů o jejich účasti v programu a údajích o realizovaných nákupech, aby jim mohla zasílat individualizované informace o možnostech tohoto věrnostního programu, které jsou pro vůči jejich osobě relevantní a přizpůsobené zájmům dané osoby, včetně možnosti zasílat reklamu s personalizovanými nabídkami o produktech a službách nejen provozovatele, ale i jeho partnerů.". Společnost tvrdila, že tyto údaje budou vymazány, pokud osoby odvolají svůj souhlas s takovým zpracováním.
 
Rakouský úřad pro ochranu osobních údajů na základě šetření, které se týkalo postupů společnosti v oblasti ochrany osobních údajů, zjistil, že společnost zpracovávala osobní údaje účastníků programu protiprávně, protože nezískala jejich platný souhlas. Zejména nebyly k dispozici informace o profilování ve snadno přístupné formě a nebyly ani formulovány jasným a jednoduchým jazykem, proto je nebylo možné použít jako právní základ podle čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů. Za zmínku stojí, že společnost "se v žádném okamžiku neopírala o oprávněné zájmy ve smyslu čl. 6 odst. 1 písm. f) GDPR jako o právní základ pro zpracování za účelem profilování" a orgán pro ochranu osobních údajů původně konstatoval, že takovéto vyvažování zájmů by v každém případě dopadlo v její neprospěch.
 
Proti tomuto rozhodnutí podala společnost první odvolání. Orgán pro ochranu osobních údajů proto musel vydat předběžné rozhodnutí o svém původním rozhodnutí, které nakonec potvrdil. Společnost se poté proti tomuto rozhodnutí odvolala k rakouskému Spolkovému správnímu soudu. (Upozornění: Spolkový správní soud se může zabývat pouze odvoláním proti tomuto předběžnému rozhodnutí). Odvolání bylo považováno za přípustné, protože "neexistovala judikatura nejvyšších soudů k otázce, zda je pro posouzení zákonnosti zpracování údajů v případě neplatného souhlasu podle čl. 6 odst. 1 písm. a) obecného nařízení o ochraně osobních údajů přípustné odvolat se na jiné přípustné prvky článku 6 obecného nařízení o ochraně osobních údajů.". Tato otázka byla v tomto případě klíčová.
 
Společnost argumentovala zejména tím, že orgán pro ochranu osobních údajů:
 
  1. nepřiznal právo být vyslechnut v otázce získání souhlasu od subjektu údajů;
  2. nesprávně předpokládal neplatnost předmětných prohlášení o souhlasu a při zkoumání prohlášení o souhlasu použil příliš úzký standard přezkumu; a
  3. nedostatečně přezkoumal přípustnost zpracování údajů na jiném právním základě.
Společnost tvrdila, že právním základem pro zpracování byl nejen souhlas podle čl. 6 odst. 1 písm. a) GDPR, ale také oprávněný zájem stěžovatele podle čl. 6 odst. 1 písm. f) GDPR. Kombinace různých údajů a výběrových kritérií s cílem co nejlépe orientovat reklamní zacílení na skutečné zájmy dotčených osob sloužila oprávněnému zájmu obou stran. Zatímco společnost tak mohla ohlídat správné využití prostředků na co nejnižší úrovni, subjektu údajů by byla zasílána pouze reklama, která by odpovídala jeho předpokládanému zájmu, a nebyl by tak obtěžován zbytečnou reklamou. Kromě toho by se zpracování údajů mohlo opírat také o čl. 6 odst. 4 GDPR a možnost dalšího zpracování.
 

Společnost dále namítala, že rakouský orgán pro ochranu osobních údajů změnil výsledek svého prvního rozhodnutí v rozhodnutí o předběžné otázce, čímž překročil svou přezkumnou pravomoc, a že toto rozhodnutí překročilo rámec řízení o stížnosti, pokud jde o zjištění, že u zpracování za účelem profilování nelze uvažovat o jiném právním základu podle článku 6 GDPR.

Závěr

Právní základ
Dozorový orgán nejprve musel odůvodnit svůj přístup k přezkoumání právního základu, na němž se zpracování prováděné společností zakládá. Tvrdil, že zatímco souhlas, který posuzoval, byl platný pro 2/4 způsobů registrace (pro věrnostní program), o které se opíral, souhlas pro způsoby registrace na webových stránkách a letácích nesplňoval požadavky na "transparentní a jasně srozumitelný souhlas".
 
Zdůraznil, že společnost se v celém řízení opírala pouze o souhlas, a proto by jiné právní základy, které společnost nyní v podání poprvé uvedla, neměly být vůbec posuzovány. Toto posouzení založil na:
 
  1. úvaze, že dozorový úřad musí operace zpracování přezkoumávat pouze na základě katalogu zpracování předaného správcem (společností);
  2. článku 57 GDPR, podle něhož není úkolem orgánu pro ochranu údajů vypracovat náhradní povolení či alternativu pro správce;
  3. čl. 5 odst. 2 GDPR, podle něhož je na správcích, aby prokázali, že dodržují zásady GDPR, a
  4. pokyny pracovní skupiny WP29, v nichž je výslovně upozorněno na to, že správce se musel předem rozhodnout, na jakém právním základě bude zpracování zakládat, a nemůže si zpětně zvolit oprávněné zájmy jako základ pro odůvodnění operace zpracování, pokud se objeví problémy s platností souhlasu.
  5. Spolkový správní soud však dospěl k závěru, že orgán pro ochranu osobních údajů nesprávně shledal, že společnost zpracovávala osobní údaje subjektů údajů zapojených do věrnostního programu protiprávně, a že z pokynů pracovní WP29 (o které částečně opřel své rozhodnutí) nelze dovodit, že by obecně nebylo možné se odvolat na další přípustné prvky článku 6 GDPR, pokud by subjekt údajů nebyl předem informován.
 
Soud dále stanovil, že v každém případě je třeba provést vyvážení zájmů, ale že je třeba odpovídajícím způsobem zohlednit přiměřené očekávání subjektu údajů ohledně zpracování týkajícího se jeho údajů. Odmítl tak názor rakouského orgánu pro ochranu osobních údajů, že neplatné prohlášení o souhlasu by při absenci informací subjektu údajů o dalších právních základech v každém případě vedlo k nezákonnému zpracování údajů a činilo by přezkum dalších právních základů zbytečným.
 

Soud konečně rozhodl, že nápravné pravomoci orgánu pro ochranu údajů podle čl. 58 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů nelze uplatnit ani v případě neplatnosti souhlasu, neboť nelze "bez dalšího předpokládat, že došlo k porušení zákonnosti".

Předběžné rozhodnutí/procedurální otázky
Soud musel určit, zda je rozhodnutí orgánu pro ochranu údajů platné.
 
Soud konstatoval, že podle zákona o správním řízení směřuje žádost o předběžné rozhodnutí pouze k podání žaloby ke správnímu soudu, i když obsahuje další důvody. Vzhledem k tomu, že žaloba směřovala proti původnímu rozhodnutí a její odůvodnění se na něj musí vztahovat, zůstává původní rozhodnutí také měřítkem pro určení, zda je žaloba důvodná, či nikoli. Zrušit, změnit nebo potvrdit však lze pouze rozhodnutí o předběžné otázce, které původní rozhodnutí nahradilo.
 

Nakonec soud rozhodl, že vzhledem k tomu, že orgán pro ochranu osobních údajů ve svém předběžném rozhodnutí rozhodl o tom, zda může přicházet v úvahu přezkum jiných právních základů podle článku 6 GDPR, překročil rozsah svého původního rozhodnutí. Rozhodnutí o předběžné otázce - v rozsahu, v němž obsahovalo přezkum zákonnosti zpracování údajů, který se neomezoval na prohlášení o souhlasu - tak muselo být zrušeno pro nedostatek způsobilosti.

Úvaha
V souvislosti s profilováním, je třeba mít na paměti, že profilování je využití shromážděných osobních údajů například pro spouštění cílených reklamních kampaní nebo pro úpravu sortimentu na základě znalostí o nákupním chování velkého počtu zákazníků. Úřad pro ochranu osobních údajů v tom spatřuje zvláštní riziko, protože určité aspekty člověka lze vyhodnotit a předpovědět tak jeho chování do budoucna.
 

Zdroj