Vztah GDPR a ePrivacy
Rozsudek Soudního dvora C-654/23 ze dne 13. listopadu 2025 řešil spor mezi rumunskou společností provozující právní zpravodajský web a rumunským vnitrostátním orgánem pro dohled nad zpracováním osobních údajů. V tomto sporu šlo o posouzení, zda provozovatel mohl zasílat denní e-mailový newsletter uživatelům s bezplatným účtem bez jejich výslovného souhlasu, a to na základě výjimky „soft opt-in“ podle směrnice ePrivacy, aniž by bylo nutné opírat se o samostatný právní základ podle GDPR.
Společnost argumentovala tím, že registrace uživatele představovala formu prodeje služby, což jí dává právo posílat nabídky na podobné služby i bez speciálního souhlasu.
Soudní dvůr se postavil na stranu společnosti a potvrdil, že v digitálním světě slovo prodej neznamená jen výměnu peněz. Pokud se uživatel zaregistruje, aby získal přístup k obsahu, který by jinak neviděl, uzavírá tím se společností smlouvu. Emailovou adresu uživatele získá společnost tedy v souvislosti s prodejem výrobku nebo služby, jelikož zaslání takového informačního zpravodaje představuje použití elektronické pošty pro účely přímého marketingu svých vlastních obdobných výrobků nebo služeb.
Provozovatel tak může využít své oprávnění zasílat na tyto adresy nevyžádaná sdělení týkající se vlastních obdobných výrobků či služeb (tzv. soft opt-in), aniž by potřeboval samostatný souhlas, pokud zákazníkům umožní toto využití jednoduše a zdarma odmítnout. Pokud jsou splněny tyto specifické podmínky čl. 13 odst. 2 směrnice 2002/58 (ePrivacy směrnice), která působí jako lex specialis, neuplatní se na toto zpracování obecné podmínky zákonnosti stanovené v čl. 6 odst. 1 nařízení GDPR.
Vymezení pseudonymizace
Soudní dvůr EU rozhodl dne 4. září 2025 v případu C-413/23 P spor mezi EDPS a Evropským úřadem pro řešení krizí (dále jen „Úřad“), který řešil krizi španělské banky Banco Popular. Jádrem sporu bylo vyřešení, zda jsou pseudonymizované připomínky akcionářů a věřitelů banky po předání externímu poradci stále osobními údaji, pokud tento příjemce nemá rozumně dostupné prostředky k jejich zpětné identifikaci konkrétních osob, a zda tedy bylo nutné plnit informační povinnosti vůči subjektům údajů i ve vztahu k tomuto předání.
Konkrétně se v daném případě jednalo o situaci, kdy Úřad předtím, než data odeslal svému externímu poradci, nahradil jména konkrétních osob číselnými kódy, tedy provedl tzv. pseudonymizaci, v jejímž důsledku tento poradce neměl možnost osoby identifikovat.
Výsledkem sporu bylo, že Soudní dvůr EU potvrdil, že pseudonymizované připomínky akcionářů a věřitelů banky předané externímu poradci nepředstavovaly pro tohoto příjemce osobní údaje, pokud neměl žádné rozumně dostupné prostředky k identifikaci dotčených osob. Soudní dvůr však zdůraznil, že pro Úřad samotný osobními údaji zůstávaly, protože disponoval re-identifikačním klíčem. Úřad nebyl povinen plnit informační povinnosti vůči subjektům údajů ve vztahu k samotnému předání pseudonymizovaných dat poradci, nicméně jeho povinnosti ochrany osobních údajů jako původního správce tím nebyly dotčeny a měl tedy informovat o předání osobních údajů v souladu s čl. 13 a 14 GDPR.
Celý Digital Legal Update zde.