Rozsudkem ze dne 11. listopadu 2025 (sp. zn. VI ZR 396/24) Bundesgerichtshof (BGH) výrazně zpřísnil standard odpovědnosti správce osobních údajů při ukončení outsourcingového vztahu se zpracovatelem. Rozhodnutí jasně potvrzuje, že samotná smluvní úprava nepostačuje ke splnění povinností správce podle GDPR, zejména v okamžiku, kdy zpracování končí.
Skutkový základ případu
Případ se týkal poskytovatele hudební streamovací služby, který svěřil zpracování osobních údajů externímu zpracovateli. Smlouva o zpracování byla ukončena v prosinci 2019 a obsahovala povinnost zpracovatele osobní údaje po ukončení smlouvy vymazat. Namísto toho zpracovatel data převedl do testovacího prostředí a neprovedl jejich výmaz.
V roce 2022 se datové soubory pocházející z roku 2019 objevily v nabídce k prodeji na darknetu. Subjekt údajů, jehož základní účtové údaje byly dotčeny, se domáhal náhrady nemajetkové újmy podle článku 82 GDPR.
Samostatné porušení GDPR ze strany správce
BGH dospěl k závěru, že porušení GDPR se dopustil i samotný správce. Přestože zpracovatel zjevně porušil své povinnosti, rozhodující pochybení spočívalo v jednání správce po ukončení smluvního vztahu. Správce se spokojil s oznámením zpracovatele, že výmaz bude proveden, a nevyžádal si smluvně stanovené potvrzení o úplném vymazání osobních údajů.
Podle soudu se správce nemůže zbavit odpovědnosti pouhým odkazem na smluvní ustanovení. Správce zůstává „pánem zpracování“ a je povinen aktivně zajistit soulad se zásadami ochrany osobních údajů, zejména v okamžiku ukončení zpracování.
Právní základ: články 5, 28 a 32 GDPR
Ačkoli článek 28 GDPR hrál v rozhodnutí významnou roli, soud opřel povinnost správce především o zásadu odpovědnosti (accountability) a o základní zásady zpracování osobních údajů, zejména minimalizaci údajů a omezení doby jejich uložení podle článku 5 GDPR. Tyto zásady vyžadují, aby osobní údaje byly vymazány, jakmile pomine účel jejich zpracování.
Rozhodující byla rovněž povinnost zajistit bezpečnost zpracování podle článku 32 GDPR. Jakmile je zpracování ukončeno, neexistuje žádné právní ospravedlnění pro další přístup zpracovatele k osobním údajům. BGH zdůraznil, že riziko pro subjekty údajů vzniká již samotným dalším uchováváním údajů po ukončení smlouvy, nikoli teprve následným hackerským útokem či jiným zneužitím.
Nemajetková újma a příčinná souvislost
Pokud jde o újmu, BGH vyjasnil, že nemajetková újma může vzniknout již samotnou ztrátou kontroly nad osobními údaji, zejména tehdy, když se tato ztráta projeví konkrétním zneužitím, například nabídkou údajů k prodeji na darknetu. Soud odmítl názor, že by taková újma musela dosahovat určité intenzity, nebo že by měla být vyloučena s poukazem na běžná rizika digitálního života.
Rovněž byla potvrzena existence příčinné souvislosti. Pokud by správce včas vynutil předložení důkazu o výmazu údajů, jak vyžadovala smlouva, osobní údaje by nezůstaly přístupné a nemohlo by dojít k jejich pozdějšímu zneužití.
Praktické dopady pro praxi podle článku 28 GDPR
Z pohledu článku 28 GDPR rozsudek potvrzuje, že smlouva o zpracování osobních údajů není pouhým formálním compliance dokumentem. Povinnosti podle čl. 28 odst. 3 písm. g) a h) GDPR – zajistit výmaz nebo vrácení osobních údajů a umožnit jejich ověření – musí být skutečně naplňovány v praxi.
Zejména při ukončení smluvního vztahu je správce povinen aktivně postupovat, vyžadovat ověřitelné potvrzení o výmazu nebo vrácení údajů a v případě potřeby využít kontrolní či auditní práva. Opomenutí těchto kroků může vést k přímé odpovědnosti správce za porušení GDPR, a to i tehdy, pokud bezprostřední protiprávní jednání spáchal zpracovatel.
