Platformní podnikání online a GDPR aneb je subjekt správce?

Úvodem je třeba říci, že různé osoby mohou mít z hlediska ochrany osobních údajů současně více rolí (např. být současně správcem a zpracovatelem). Toto se vždy odvíjí od konkrétního vztahu mezi osobami. Pro názornost si lze představit situaci, kdy je online provozován software, který umožňuje uživatelům, aby prostřednictvím něj organizovali svoji obchodní činnost a spolupracovali přitom s ostatními uživateli. Uživatelé (obchodníci) mohou do své obchodní skupiny přidávat ostatní uživatele. Takto vytvořené skupiny jsou potom viditelné ostatním uživatelům. 

Pokud budeme vycházet z výše uvedené modelové situace, tak lze vysledovat tři druhy vztahů.

V prvé řadě se jedná o vztah mezi provozovatelem softwaru a osobami majícími v něm profil (tj. zákazníci). Zde bude správcem provozovatel, protože budete určovat účel (umožnění provozování obchodní činnosti uživatelů) a prostředky zpracování (software, hardware atp.). Osoby mající v softwaru profil (uživatelé) budou subjekty osobních údajů. Jedná se tak o vztah správce (provozovatel) – subjekty (uživatelé).

V druhé řadě se jedná o vztah mezi provozovatelem softwaru a zákazníky (obchodníky) ve vztahu k sestavování jejich obchodních skupin. Zákazník (obchodník) zde bude mít postavení správce. Je to totiž zákazník, kdo určuje účel (vytváření obchodních skupin) a prostředky zpracování (online software namísto např. tabulkového procesoru). Tím, že za daným účelem zákazník používá právě online software, tak provozovatel se dostává do pozice zpracovatele, protože zpracovává osobní údaje pro zákazníka. Jedná se tak o vztah zpracovatel (provozovatel softwaru) a správce (zákazník).

V třetí řadě se jedná o vztah mezi zákazníkem (obchodníkem) a řadovými uživateli ve vztahu k sestavování obchodních skupin. Jako v druhém případě zákazník určuje účel a prostředky, a má tak postavení správce. Řadoví uživatelé, jejichž osobní údaje zpracovává, tak budou subjekty osobních údajů. Jedná se tak o vztah správce (zákazník) a řadový uživatel (subjekt). Důsledkem toho bude, že zákazník bude mít vůči řadovým uživatelům všechny povinnosti vyplývající z GDPR, zejména pak povinnost informační (bude jim tedy muset poskytnout zásady zpracování osobních údajů). Je vhodné doplnit, že zaměstnanci jsou „součástí“ správce, a proto tak při zpracování těchto osobních údajů nebudou jejich příjemcem.

Shrneme-li výše uvedené vztahy, tak

• provozovatel softwaru je současně v postavení správce (vůči všem uživatelům) a zpracovatele (vůči zákazníkům-obchodníkům);
• zákazník je v postavení správce (vůči řadovým uživatelům v jeho obchodní skupině) a subjektu (jako uživatel, fyzická osoba, softwaru);
• řadoví uživatelé jsou v postavení subjektu jak pro provozovatele softwaru, tak pro zákazníka.

Mezi nejpodstatnější povinnosti plynoucí provozovateli softwaru z výše uvedených vztahů tak bude patřit plnění informační povinnosti vůči osobám majícím uživatelský účet v softwaru. Za tímto účelem byl vyvinut např. implementačního nástroje pro zavádění GDPR OsobniData.cz, který pro tuto situaci umožňuje uživateli pomocí průvodce vyplnit informace o zpracování, a následně vygeneruje potřebné údaje pro subjekty údajů. 

Dále bude nutné uzavřít zpracovatelskou smlouvu mezi provozovatelem softwaru, jako zpracovatelem, a zákazníkem (obchodníkem), jako správcem. Uzavření zpracovatelské smlouvy je totiž povinností vyplývající z GDPR. Zároveň se tato povinnost zdá online jako obtížně dosažitelná, avšak v naší právní kanceláři jsme dosáhli přijatelného způsobu uzavírání zpracovatelské smlouvy. Doporučujeme našim klientům, aby její uzavírání učinili součástí registrace do služby u příslušných uživatelů (k tomu je třeba přizpůsobit i obchodní podmínky). Obdobně je zpracování osobních údajů řešeno pro implementační nástroj OsobniData.cz.

Jestliže mohou uživatelé v rámci softwaru tvořit seznamy (databáze) ostatních uživatelů (např. i veřejně dostupné), pak doporučujeme, aby uživatel dával souhlas, pokud dochází k jeho přidání do databáze (skupiny) jiného uživatele. Rovněž je vhodné zvážit, v závislosti na rozsahu a účelech zpracovávaných osobních údajů uživatelů, získat souhlas i s dalšími zpracováními. Doporučujeme za tímto účelem vyplnit záznamy o zpracování, aby došlo ke získání přehledu o podobě probíhajících zpracování. Je však nutné připomenout, že zpracování osobních údajů uživatelů pro potřeby provozování softwaru (jako např. údaje pro fakturaci a užívání účtu) nepodléhá souhlasu uživatelů, ale zakládá se na plnění smluvní povinnosti.

Zajímavá je otázka nutnosti používání pseudonymizace jmen uživatelů zobrazovaných ve skupinách tvořenými obchodníky. Lze říci, že její používání není nutné. Viditelnost celých jmen uživatelů navzájem je totiž dle GDPR možná (takto to např. provozuje platforma LinkedIn). 

Doporučujeme však, aby to byly vždy uživatelé, kteří rozhodují o svém zařazení do obchodních skupin, nebo jaký bude obsah těchto skupin. To je z pohledu GDPR vhodné, neboť nedochází ze strany provozovatele softwaru k neoprávněnému zpracování osobních údajů, když (i) řadoví uživatelé dávají svůj souhlas se zpracováním osobních údajů; a (ii) obchodníci pak rozhodují o obsahu a jsou tedy správci (přičemž provozovatel pak bude jednat na základě jejich pokynů jako zpracovatel).

Doporučujeme proto dále, pokud by to bylo možné z hlediska použitelnosti softwaru, aby o zobrazovaných osobních údajích měli možnost vždy rozhodnout uživatelé (raději, než aby toto bylo určeno softwarem bez možnosti volby). V praxi by tedy např. uživatel rozhodl volbou pomocí zaškrtávacího pole, jaké osoby budou v obchodní skupině viditelné (a o tomto je informoval), nebo by řadový uživatel rozhodl, jaké osobní údaje v jeho profilu budou zobrazovány ostatním uživatelům pomocí zaškrtávacích polí. 

Není tak dle GDPR nutné, aby docházelo k omezování zobrazovaných jmen (osobních údajů), ani aby nemohli uživatelé navzájem zobrazovat své profily.
K provozování platformního podnikání se váže zajímavé rozhodnutí Soudního dvora Evropské unie („SDEU“) ve věci C 210/16. V něm se SDEU vyjádřil tak, že pojem „správce“ zahrnuje správce fanouškovské stránky umístěné na sociální síti. Tím chtěl soud říci, že pakliže se uživatel rozhodne použít online platformní software pro šíření své informační nabídky, tak musí uzavřít s provozovatelem tohoto softwaru smlouvu, při níž souhlasí s podmínkami používání softwaru. Pokud pak software sbírá různé osobní údaje, o čemž uživatel návštěvníky stránky neuvědomí a jejichž sbírání nastaví, tak je za takové zpracování odpovědný (spolu s provozovatelem stránky).

S ohledem na toto rozhodnutí doporučujeme, aby provozovatel vždy informoval o všech osobních údajích, které sbírá (včetně statistických údajů), a aby o sbíraných osobních údajích měl možnost v platformním softwaru informovat i uživatel. Dále by měl uživatel mít co největší kontrolu nad sbíranými osobními údaji, čímž by se provozovatel měl u těchto osobních údajů stát zpracovatelem (a omezit tak svou odpovědnost).

Ohledně obsahu umisťovaného uživateli na online platformu platí zásada, že za tento obsah nese odpovědnost uživatel, pokud do něj poskytovatel nějakým způsobem nezasáhne. V nejnovějším judikaturním vývoji však tato zásada může být prolomena. V zatím nepravomocném rozhodnutí Obchodního soudu ve Vídni se tento soud vyjádřil, že při „vytváření propojení, řazení, filtrování a odkazů, zejména prostřednictvím vytváření seznamu obsahu dle přednastavených kategorií, vytváření návrhu pro uživatele na základě sledování jeho chování, nabídky pomoci atp., již není Youtube neutrálním zprostředkovatelem a nemůže se tak dovolávat zásady nezávislosti Host Providera“. 

Pokud by se toto rozhodnutí stalo pravomocným a v něm uvedený názor by byl převzat např. SDEU, tak by mělo podstatný vliv na fungování online platformních softwarů. Provozovatelé by tak v zásadě museli přestat pracovat s metadaty nad obsahem, což by ve výsledku omezilo přístup k obsahu ze strany uživatelů.