Nařízení GDPR umožňuje správcům omezit výkon práv subjektu údajů v případech, kdy jsou jejich žádosti zjevně neopodstatněné. Tento pojem se objevuje zejména v čl. 12 odst. 5 GDPR a označuje takové žádosti, které jsou zcela bez právního nebo věcného základu. Může se tak jednat o případ, kdy subjekt údajů požaduje informace, které se ho zjevně netýkají, nebo žádá opakovaně o totéž, navzdory tomu, že už odpověď obdržel. Zjevná neopodstatněnost ale není totéž, co chyba nebo žádost, kterou nelze vypořádat. Jde o extrémní případy, kdy je zřejmé, že účelem žádosti není skutečná ochrana práv, ale například obtěžování správce. Jinými slovy, ustanovení by mělo chránit správce před šikanózním výkonem práv subjektu údajů. V takových situacích může správce žádost odmítnout nebo požadovat přiměřený poplatek. Tento mechanismus tak slouží jako ochrana proti zneužití práv, aniž by byl ohrožen jejich legitimní výkon.
Kde končí právo a začíná zneužití?
Kde je hranice, kdy už jsou žádosti subjektu údajů zjevně neopodstatněné, anebo jaká frekvence žádostí již dosahuje intenzity, pro kterou je lze považovat jako šikanózní? Na tyto otázky dal částečně odpověď Soudní dvůr ve svém rozhodnutí C‑416/23 ze dne 9. ledna 2025.
Rozhodnutí Soudního dvora EU a jeho význam
Rozhodnutí se vztahuje primárně k výkladu ustanovení čl. 57 odst. 4 GDPR, dle kterého dozorový úřad v případě zjevně nedůvodných a nepřiměřených požadavků, zejména pokud se opakují, může uložit přiměřený poplatek na základě svých administrativních nákladů nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá dozorový úřad. Pokud to srovnáme s textací čl. 12 GDPR, který upravuje postup při uplatňování práv subjektů údajů, tak docházíme k využití totožných jazykových prostředků, jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené. Zejména pokud se opakují, může správce buď uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení s učiněním požadovaných úkonů; nebo odmítnout žádosti vyhovět.
V daném rozhodnutí ESD zásadně odkazuje na stanovisko generálního advokáta, který v souvislosti s čl. 57 odst. 4 GDPR upozornil, že vysoké úrovně ochrany osobních údajů nelze dosáhnout bez efektivního fungování dozorových úřadů chráněných před zneužíváním prostřednictvím zjevně nedůvodných nebo nepřiměřených stížností. Tento argument lze analogickou úvahu vztáhnout i na čl. 12 odst. 5 GDPR, jenž se obdobnou logiku promítá do vztahu mezi subjektem údajů a správcem. Právo na informace a komunikaci s účastníky zpracování údajů je sice základním stavebním kamenem ochrany subjektu údajů, avšak jeho efektivní výkon předpokládá, že toto právo nebude zneužíváno způsobem, který by narušil schopnost správce plnit své povinnosti vůči všem subjektům údajů rovnoměrně a transparentně.
Ustanovení čl. 12 odst. 5 GDPR tak nelze vnímat jako výjimku z práv subjektu údajů, ale spíše jako nezbytný nástroj k zachování jejich praktické účinnosti. Tedy, stejně jako je potřeba chránit kapacitu dozorových úřadů (čl. 57 odst. 4), musí být možné ochránit správce před zahlcením či záměrným vyčerpáním jejich administrativních kapacit, což by v důsledku vedlo k oslabení ochrany údajů jako takové. Možnost požadovat přiměřený poplatek nebo žádosti odmítnout proto není v rozporu s cílem vysoké úrovně ochrany osobních údajů, ale naopak k jeho naplnění přispívá. Tento výklad podporuje soustředění zdrojů tam, kde lze očekávat reálné porušení práv nebo potřebu nápravy. Jinak řečeno – vysoká úroveň ochrany není měřitelná pouze množstvím přijatých žádostí, ale také kvalitou a účelností reakce na ně.
Článek 12 odst. 5 GDPR poskytuje správcům nezbytný nástroj k obraně proti zneužívání práv subjektu údajů, a to zcela analogicky k oprávnění dozorových úřadů reagovat na zjevně neopodstatněné nebo nepřiměřené stížnosti podle čl. 57 odst. 4 GDPR a ve spojení s čl. 54 odst. 7 GDPR. Z judikatury SDEU vyplývá, že efektivní ochranu osobních údajů nelze zajistit pouze tím, že budou subjektům údajů přiznána práva, ale rovněž tím, že bude zajištěno řádné fungování orgánů a aktérů, kteří tato práva naplňují. A to včetně správců. Pokud má správce plnit své povinnosti odpovědně, musí být zároveň chráněn před situacemi, kdy dochází ke zneužití právního rámce prostřednictvím opakujících se, šikanózních nebo evidentně nesmyslných žádostí.
Závěr
V tomto ohledu lze přiměřeně uplatnit logiku, kterou Soudní dvůr použil ve vztahu k dozorovým úřadům: správce by měl zohlednit všechny relevantní okolnosti žádosti a rozhodnout, zda je vhodné (i) odmítnout jí vyhovět, nebo (ii) požadovat přiměřený poplatek. Stejně jako čl. 54 odst. 7 GDPR umožňuje členským státům omezit zneužívání institutu stížnosti u dozorového úřadu, lze čl. 12 odst. 5 chápat jako vnitřně normativní pojistku, která umožňuje správci předejít zahlcení agendy a ochránit dostupnost a kvalitu plnění ostatních zákonných povinností.
Tento postup ovšem podléhá požadavku přiměřenosti: správce musí být schopen své rozhodnutí odůvodnit, zohlednit míru zásahu do práv subjektu údajů a vybrat takové opatření, které je z hlediska cílů ochrany údajů méně invazivní. Přímé odmítnutí žádosti by tedy mělo být až sekundární reakcí, pokud nelze téhož cíle dosáhnout mírnější cestou – právě tak, jak judikatura doporučuje dozorovým úřadům. Účel čl. 12 odst. 5 GDPR tak nespočívá v oslabení práv subjektů údajů, ale v posílení kapacity správců chránit tato práva spravedlivě, efektivně a bez systémového zahlcení.
