Článok 6 ods. 1 prvý pododsek písm. b) a f) GDPR[1] sa má vykladať v tom zmysle, že spracúvanie osobných údajov týkajúcich sa oslovenia zákazníkov dopravného podniku, ktorého účelom je personalizácia obchodnej komunikácie na základe ich rodovej identity,
- sa nezdá byť objektívne nevyhnutné ani podstatné na to, aby umožnilo riadne plnenie zmluvy, a preto ho nemožno považovať za nevyhnutné na plnenie tejto zmluvy,
- nemožno považovať za nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, ak sledovaný oprávnený záujem nebol týmto zákazníkom pri získavaní týchto údajov oznámený, alebo uvedené spracovanie sa neuskutočňuje v hraniciach toho, čo je striktne nevyhnutné na dosiahnutie tohto oprávneného záujmu, alebo vzhľadom na všetky relevantné okolnosti môžu základné práva a slobody týchto zákazníkov prevažovať nad uvedeným oprávneným záujmom, najmä z dôvodu rizika diskriminácie na základe rodovej identity.
Rozsudok Súdneho dvora vo veci C‑394/23 Mousse proti Commission nationale de l’informatique et des libertés (CNIL) (ECLI:EU:C:2025:2) z 9. januára 2025
Francúzska spoločnosť SNCF Connect prostredníctvom svojej internetovej stránky a online aplikácií predáva cestovné lístky na železničnú dopravu. Pri kúpe cestovných lístkov sú zákazníci povinní uviesť oslovenie zaškrtnutím možnosti „pán“ alebo „pani“. Občianske združenie Mousse podalo na SNCF Connect sťažnosť Národnej komisii pre informačné technológie a slobody (CNIL) poukazujúc na to, že podmienky získavania a zaznamenávania údajov o oslovovaní zákazníkov neboli v súlade s požiadavkou minimalizácie údajov uvedenej v čl. 5 GDPR.[2] Sťažnosť bola zamietnutá s odôvodnením, že predmetné spracúvanie údajov je zákonné podľa čl. 6 GDPR[3] z dôvodu, že bolo nevyhnutné na plnenie zmluvy o poskytnutí služieb prepravy. Zároveň oslovovanie zákazníkov zodpovedá zvyklostiam uznávaným v oblasti občianskej, obchodnej a administratívnej komunikácie. Mousse podalo žalobu o neplatnosť proti rozhodnutiu CNIL na vnútroštátny súd. Argumentovalo tým, že existencia zvyku používať oslovenia v obchodnej korešpondencii nestačí na to, aby takáto prax bola nevyhnutná. CNIL na druhej strane uviedla, že dotknuté osoby môžu v závislosti od svojej konkrétnej situácie uplatniť právo namietať proti spracovaniu svojich osobných údajov v zmysle čl. 21 GDPR.[4]
Vnútroštátny súd rozhodol o prerušení konania a položil Súdnemu dvoru prejudiciálnu otázku, ktorou sa pýtal, či sa má čl. 6 ods. 1 prvý pododsek písm. b) a f) v spojení s čl. 5 ods. 1 písm. c) nariadenia vykladať v tom zmysle, že spracúvanie osobných údajov týkajúcich sa oslovenia zákazníkov dopravného podniku, ktorého účelom je personalizácia obchodnej komunikácie na základe ich rodovej identity, možno považovať za nevyhnutné na plnenie zmluvy v zmysle písm. b) tohto ustanovenia alebo za nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, v zmysle písm. f).
Súdny dvor pripomenul, že každé spracúvanie osobných údajov má v zmysle GDPR sledovať cieľ vysokej úrovne ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie,[5] byť v súlade so zásadami v čl. 5 GDPR a podmienkami zákonnosti v čl. 6 GDPR.[6]
Je nesporné, že oslovenie, ktoré zodpovedá rodovej identite mužského alebo ženského pohlavia, môže byť kvalifikované ako osobný údaj, ak sa vzťahuje na identifikovanú osobu, a že tento údaj je predmetom spracúvania, keďže je získavaný a registrovaný spoločnosťou SNCF Connect v kontexte online predaja cestovných lístkov.
Čl. 6 ods. 1 nariadenia stanovuje taxatívny a obmedzený zoznam prípadov, v ktorých možno spracúvanie osobných údajov považovať za zákonné. Podmienkou je, že dotknutá osoba vyjadrila súhlas na jeden alebo viacero konkrétnych účelov, alebo je splnená niektorá z požiadaviek nevyhnutnosti uvedených v čl. 6 ods. 1.[7] Tieto sa musia vykladať reštriktívne a uplatňovať len v rámci toho, čo je striktne nevyhnutné. Prevádzkovateľ tak musí byť schopný preukázať, prečo by bez predmetného spracúvania nebolo možné naplniť hlavný predmet zmluvy,[8] a že neexistujú iné vykonateľné a menej obmedzujúce riešenia. Skutočnosť, že takéto spracúvanie je uvedené v zmluve alebo je len užitočné na jej plnenie, je sama osebe irelevantná.
V prejednávanej veci bolo nesporné, že hlavným predmetom zmluvy je poskytnutie služby železničnej prepravy zákazníkom. Poskytovanie takejto služby zahŕňa komunikáciu so zákazníkom najmä s cieľom elektronicky mu zaslať prepravný lístok, informovať ho o prípadných zmenách ovplyvňujúcich príslušnú cestu, ako aj umožniť výmenu informácií so zákazníckym servisom po predaji. Takáto komunikácia môže obsahovať zdvorilostné frázy, ktoré sú prejavom, že dotknutý podnik rešpektuje svojho zákazníka. Podľa Súdneho dvora však personalizácia podľa rodovej identity dotknutého zákazníka nie je objektívne nevyhnutná na účel, ktorý je neoddeliteľnou súčasťou týchto služieb a nie je podstatná na umožnenie riadneho plnenia dotknutej zmluvy. Obchodná spoločnosť sa môže rozhodnúť pre komunikáciu založenú na generickej a inkluzívnej forme a bez korelácie s predpokladanou rodovou identitou zákazníkov.
Súdny dvor sa venoval aj situácii, kedy spoločnosť spracúvaním informácií o rode zákazníka sleduje aj iný cieľ, napr. prispôsobenie prepravných služieb nočným vlakovým linkám, ktoré zahŕňajú predaj lístkov do vozňov vyhradených osobám s rovnakou rodovou identitou. Tento druhý cieľ však nemôže odôvodniť systematické a všeobecné spracúvanie údajov týkajúcich sa oslovovania všetkých zákazníkov. Povinnosťou obchodnej spoločnosti je v takom prípade obmedziť požiadavku len na zákazníkov, ktorí chcú cestovať nočným vlakom.
Prevádzkovateľovi prislúcha, aby pri získavaní osobných údajov od dotknutej osoby, ktoré sa jej týkajú, tejto osobe oznámil sledované oprávnené záujmy. Je úlohou vnútroštátneho súdu, aby overil, či oprávnený záujem na sledovanom spracovaní údajov nemožno rozumne dosiahnuť rovnako účinným spôsobom inými prostriedkami. Legitímny záujem týkajúci sa obchodného marketingu, ktorým argumentovala SNCF, však nemôže v žiadnom prípade prevažovať v prípade, ak existuje riziko zásahu do základných práv a slobôd dotknutej osoby.
Súdny dvor EÚ začiatkom roka vyhlásil aj ďalšie zaujímavé rozhodnutia z oblasti ochrany osobných údajov, napr. rozsudok C-203/22 o práve dotknutej osoby na vysvetlenie, ako bolo o nej prijaté rozhodnutie pri určovaní bonity klienta, či rozsudok všeobecného súdu T-354/22 o náhrade škody z dôvodu prenosu osobných údajov Európskou komisiou do USA.
Rozhodnutie spracovala:
Mgr. Michaela Chládeková, PhD.
Odbor medzinárodných vzťahov SAK
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[2] Článok 5 GDPR: „Zásady spracúvania osobných údajov“ stanovuje:
„1. Osobné údaje musia byť:
- spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (‚zákonnosť, spravodlivosť a transparentnosť‘); (…)
- primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú (‚minimalizácia údajov‘) (…)“
[3] Článok 6 GDPR: „Zákonnosť spracúvania“ v odseku 1 stanovuje:
„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:
a) dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
b) spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy, (…)
f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.“
[4] Článok 21 GDPR: „Dotknutá osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ktoré je vykonávané na základe článku 6 ods. 1 písm. e) alebo f) vrátane namietania proti profilovaniu založenému na uvedených ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.“
[5] Viď rozsudok zo 4. októbra 2024, Schrems (Sprístupnenie údajov širokej verejnosti), C‑446/21, EU:C:2024:834
[6] Viď rozsudok zo 4. októbra 2024, Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:857
[7] Viď rozsudok zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete) (C‑252/21, EU:C:2023:537
[8] Viď rozsudok z 12. septembra 2024, HTB Neunte Immobilien Portfolio a Ökorenta Neue Energien Ökostabil IV, C‑17/22 a C‑18/22, EU:C:2024:738