Súdny dvor EÚ vydal vo veci C‑484/24 (NTH Haustechnik GmbH proti EM) dňa 18. júna 2026 veľmi zaujímavý rozsudok, ktorým súčasne rieši viaceré prepojené témy. V prvom rade rieši použiteľnosť dôkazov v podobe osobných údajov, ktoré neboli získané zákonným spôsobom. V druhom rade rieši postavenie súdov z pohľadu spracúvania týchto údajov podľa GDPR. A v treťom rade vykladá právny základ plnenia zákonných povinností podľa čl. 6 ods. 1 písm. c) v spojitosti s čl. 6 ods. 3 GDPR. Všetky tri témy sú predmetom neustále prebiehajúcich právnych diskusií na vnútroštátnej úrovni.
Len pre úplnosť, zamestnávateľ v tomto prípade získal osobné údaje zamestnankyne v zjavnom rozpore s GDPR, keď sa jej nabúral do súkromného eBay účtu. Musel to však urobiť preto, aby preukázal, že zamestnankyňa neoprávnene predávala firemný majetok na platforme eBay za účelom preukázania škody pred súdom. Išlo teda o dôkazy, ktoré obsahovali osobné údaje, ktoré však boli získané bez splnenia informačnej povinnosti (čl. 13 GDPR) a zrejme aj bez právneho základu (čl. 6 GDPR). Predmetom sporu sa stalo, či nezákonnosť získaných osobných údajov podľa GDPR automaticky zakladá nemožnosť ich použitia ako dôkazu.
V prvom rade, Súdny dvor EÚ v bode 52 potvrdzuje, že otázka prípustnosti dôkazov nie je upravená právom Únie a preto o nej rozhodujú vnútroštátne súdy výlučne podľa vnútroštátnych pravidiel:
"...pri súčasnom stave práva Únie prináleží výlučne vnútroštátnemu právu, aby stanovilo pravidlá týkajúce sa prípustnosti a posúdenia skutkových okolností a dôkazov (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 223, ako aj z 5. apríla 2022, Commissioner of An Garda Síochána a i., C‑140/20, EU:C:2022:258, bod 127)."
Avšak, Súdny dvor EÚ tiež potvrdil, že GDPR sa bude vzťahovať aj na súdy, ktoré ako prevádzkovatelia tiež spracúvajú tieto osobné údaje pri vykonávaní dôkazov v rámci súdneho konania. Právnym základom, na ktorý podľa Súdneho dvora EÚ pritom vnútroštátne súdy spoliehajú je primárne čl. 6 ods. 1 písm. c) GDPR (splnenie zákonnej / právnej povinnosti) v spojitosti s čl. 6 ods. 3 GDPR, viď body 59 a 60 rozsudku:
"Hoci prípustnosť návrhov na vykonanie dôkazov nepatrí do pôsobnosti GDPR, súd je potrebné považovať za subjekt, ktorý spracúva osobné údaje v zmysle tohto nariadenia, najmä ak do spisu, akým je spis v konaní vo veci samej, zakladá dokumenty obsahujúce osobné údaje, pokiaľ tento spis spadá pod pojem „informačný systém“ v zmysle článku 2 ods. 1 a článku 4 bodu 6 GDPR. Rovnako v prípade, ak sú takéto dokumenty súdu poskytnuté v dematerializovanej podobe a tento súd dané údaje prehliada, vyhľadáva v nich, uchováva ich alebo ich používa, vykonáva spracúvanie v zmysle GDPR."
Súdy teda musia mať ako prevádzkovatelia svoj právny základ a musia dodržať základné zásady spracúvania podľa čl. 5 GDPR. Súdny dvor EÚ tiež nevylúčil, súčasnú aplikáciu právneho základu čl. 6 ods. 1 písm. e) GDPR, no za primárny právny základ pri hodnotení a vykonávaní dôkazov považoval písm. c).
Automaticky nie. Aj keď je pri získaní osobných údajov porušené GDPR, napríklad čl. 6 GDPR alebo čl. 13 GDPR (informačná povinnosť), nezakladá to automaticky záver o tom, že osobné údaje nebudú použiteľné ako dôkaz v súdnom konaní, viď bod 108 rozsudku:
“článok 5 ods. 1 GDPR, ani žiadne z ostatných práv a zásad uvedených v kapitolách II a III tohto nariadenia všeobecne a absolútne nezakazujú orgánu verejnej moci, akým je súd, aby zohľadnil osobné údaje, ktoré boli osobou, ktorá mu ich preniesla, predtým v zmysle uvedeného nariadenia spracúvané nezákonne.” To isté konštatuje Súdny dvor v bode 114 rozsudku aj vo vzťahu k čl. 6 ods. 1 písm. c) GDPR.
Súdny dvor rozlišuje medzi dvomi základnými právami, ktoré sú v tomto prípade protichodné. Právo na spravodlivý súdny proces a právo na ochranu osobných údajov. Vyvážiť je ich možné spôsobom, kedy sa uplatnia aj nezákonne získané osobné údaje ako dôkazy, samozrejme v nevyhnutnej miere a teda nie bez obmedzení. Ako potvrdzuje samotné GDPR, právo na ochranu osobných údajov nie je absolútne právo a je potrebné ho posudzovať vo vzťahu k jeho funkcii v spoločnosti. Viď bod 142 rozsudku:
“účastníci konania musia mať možnosť predložiť súdu návrhy na vykonanie dôkazov, ktoré považujú za relevantné.”
Avšak vnútroštátny súd musí pred sprístupnením týchto údajov účastníkom konania alebo tretím osobám overiť, či sú takéto údaje obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa takéto sprístupnenie uskutočňuje, a prípadne prijať určité opatrenia na minimalizáciu zásahu do práva na ochranu osobných údajov, ktorý by takýmto sprístupnením mohol byť spôsobený.
Inými slovami, súd by mal naďalej posudzovať mieru a rozsah zásahu do práva na ochranu osobných údajov. Preto neplatí ani absolútny záver o tom, že akékoľvek nezákonné získané údaje je možné použiť ako dôkaz v súdnom konaní. Medzi zákonnosťou spracúvania osobných údajov a použitím dôkazu jednoducho nie je automatický a rigidný vzťah (=), ale vyvažovacie cvičenie, ktoré má vykonať súd.
Nie, avšak môže ovplyvniť zásadu zákonnosti, spravodlivosti a transparentnosti podľa čl. 5 ods. 1 písm. a) GDPR. Táto zásada v sebe spája viacero aspektov pretavených do viacerých povinností podľa GDPR, ktoré sa netýkajú len zákonnosti a právneho základu v užšom slova zmysle (podľa čl. 6 GDPR). Zahŕňa aj férovosť, ktorá čisto technicky absentuje v ďalších článkoch GDPR, ale je jeho "neviditeľnou" súčasťou. A zahŕňa aj transparentnosť, ktorá je pretavená jednak do informačnej povinnosti podľa čl. 13 a 14 GDPR ale aj do celého výkonu práv dotknutých osôb podľa čl. 12 až čl. 22 GDPR. Prirodzene, nesplnenie informačnej povinnosti zo strany účastníka súdneho konania pri získaní dôkazu môže viesť k porušeniu tejto základnej zásady. Neznamená to však automaticky nepoužiteľnosť získaného dôkazu zo strany súdu:
"článok 13 ods. 1 a 2 GDPR sa má vykladať v tom zmysle, že nebráni tomu, aby vnútroštátny súd v rámci výkonu svojej súdnej právomoci použil údaje, ktoré boli získané účastníkom konania alebo treťou osobou, ktorí si nesplnili informačné povinnosti, ktoré im vyplývajú z tohto ustanovenia."
Možno najzaujímavejšia časť rozsudku sa venuje výkladu čl. 6 ods. 3 GDPR. Toto ustanovenie býva častokrát rigidne vykladané dozornými orgánmi (vrátane Úradu na ochranu osobných údajov SR) ako dôvod, pre ktorý osobitné predpisy nie sú uznávané ako dostatočný právny základ. Inými slovami, existuje tendencia dozorných orgánov nedostatočnú kvalitu alebo podrobnosť právneho predpisu vykladať ako nezákonnosť spracúvania osobných údajov, na ťarchu prevádzkovateľov. Azda najviac sme tento problém pociťovali počas pandémie COVID-19. Bližšie sme tomu venovali napr. v tomto blogu. Možno si pamätáte aj situáciu, kedy Úrad na ochranu osobných údajov neuznal uznesenie vlády ako vhodný právny základ pre meranie teploty zamestnancov počas pandémie COVID-19 práve z dôvodu, že neobsahovalo všetky náležitosti podľa čl. 6 ods. 3 GDPR.
Pritom Súdny dvor EÚ už niekoľko krát konštatoval, že čl. 6 ods. 3 GDPR nevyžaduje, aby právna norma (či už zákonná alebo podzákonná) priamo obsahovala všetky tu spomínané náležitosti nasledujúce po slove "môže". Ustálil to už v rozsudku vo veci C‑311/18 (Data Protection Commissioner proti Facebook Ireland Ltd) zo dňa 16. júla 2020, kde povedal:
"Táto právna úprava musí najmä vymedziť okolnosti a podmienky, za akých možno prijať opatrenie upravujúce spracovanie takýchto údajov, čím zaručí, aby zásah nešiel nad rámec toho, čo je striktne nevyhnutné."
"V tejto súvislosti treba dodať, že požiadavka, podľa ktorej musí byť každé obmedzenie výkonu základných práv stanovené zákonom, predpokladá, že samotný právny základ, ktorý umožňuje zásah do týchto práv, musí vymedzovať rozsah obmedzenia výkonu dotknutého práva."
Tento prístup potvrdzuje Súdny dvor aj v tomto rozsudku:
"Pokiaľ ide o formu a obsah, ktorý musí mať tento právny základ, s výnimkou požiadaviek súvisiacich s prípadom uvedeným v tretej vete článku 6 ods. 3 GDPR sa toto ustanovenie obmedzuje na to, že v súvislosti so spracúvaním uvedeným v článku 6 ods. 1 prvom pododseku písm. c) tohto nariadenia uvádza, že účely tohto spracúvania musia byť stanovené v uvedenom právnom základe a že ten istý právny základ musí spĺňať cieľ verejného záujmu a musí byť tomuto cieľu primeraný."
Navyše je už dávno ustálené a priamo potvrdené v recitálovej časti GDPR, že nemusí ísť o zákonnú normu prijatú parlamentom, ale môže ísť o akýkoľvek právny predpis aj podzákonnej úrovne. V tomto konkrétnom rozsudku však Súdny dvor EÚ ešte viac rozšíril to, čo možno chápať pod pojmom "právny základ" v zmysle čl. 6 ods. 3 GDPR, pričom si pomohol judikatúrou ESĽP, viď bod 75 rozsudku:
"Navyše podľa tejto judikatúry Európskeho súdu pre ľudské práva, uvedený význam pojmu „zákon“ vo výraze „v súlade so zákonom“ uvedenom v článku 8 ods. 2 EDĽP znamená, že tento pojem sa vzťahuje na platný text, ako ho vyložili príslušné súdy (pozri v tomto zmysle rozsudok ESĽP, 23. januára 2025, H. W. v. Francúzsko, CE:ECHR:2025:0123JUD001380521, bod 65)."
Inými slovami, náležitosti a požiadavky o ktorých hovorí čl. 6 ods. 3 GDPR nemusia byť nevyhnutne gramaticky obsiahnuté v texte samotného právneho predpisu. Dokonca nemusí ísť ani o právny predpis v zmysle legislatívnej normy. Môže ísť aj o súčasť záväzného právneho poriadku, tak ako je vykladaný súdmi. Inými slovami, tieto požiadavky môžu vyplývať aj zo samotnej judikatúry.
Z uvedeného rozsudku Súdneho dvora EÚ podľa nás vyplývajú tri zásadné závery:
Neplatí automaticky, že by sa nezákonne získané osobné údaje nedali použiť ako dôkaz pred súdom;
Požiadavky na právny základ podľa čl. 6 ods. 3 GDPR sa nemajú obmedzovať na gramatické vyhľadávanie v texte právneho predpisu, ale môžu vyplývať aj z exaktne nepopísaných cieľov a princípov právnej normy alebo z judikatúry súdov;
Aj súdy sú pri výkone súdnej moci prevádzkovateľmi, na ktorých sa plne vzťahuje GDPR. Ich vhodným právnym základom pri hodnotení dôkazov bude zákonná povinnosť podľa čl. 6 ods. 1 písm. c) GDPR.
Nad rámec vyššie uvedeného, možno by stačilo rozlišovať medzi súdom, účastníkom konania a prípadne aj advokátom ako medzi samostatnými prevádzkovateľmi, ktorí sa spoliehajú na mierne odlišné právne základy a ktorí sledujú mierne odlišné účely spracúvania. Rozsudok tento záver nepriamo prijíma, no zbytočne zložito prichádza k rovnakým záverom ako prijatím tohto jednoduchého pravidla, ktorým sa riadime už roky. Nedostatky v prapôvodnom spracúvaní účastníka konania preto nemusia nevyhnutne zaťažovať aj advokáta prípadne súd, ktorí sa môžu opierať o osobitné podmienky spracúvania a o svoj vlastný právny základ. To, že zamestnávateľ nebol oprávnený získať prístup do eBay účtu zamestnanca neznamená, že súd nie je oprávnený tento dôkaz použiť a spracúvať tieto osobné údaje.
Jakub Berthoty
Dagital Legal, s.r.o.
júla 2026
Francúzsky dozorný orgán podľa GDPR ("CNIL") vydal dňa 30. decembra 2025 významné rozhodnutie a pokutu 3,5 milióna eur. Prípad sa týka nemenovaného ale zrejme významného maloobchodného reťazca s vernostným programom. Kontrola odhalila, že firma roky prenášala e‑maily a telefónne čísla svojich zákazníkov prevádzkovateľovi sociálnej siete s cieľom realizovať cielenú reklamu cez custom a lookalike publikum. Tento proces sa dotkol približne 10,5 milióna zákazníkov. V rozhodnutí sa opisuje mechanizmus podobný "Custom Audiences" a "Lookalike Audiences", ktorý používa Meta (Facebook/Instragram) na cielenie reklamy a CNIL konštatuje, že pre nahratie zákazníckych dát do týchto nástrojov je potrebný súhlas.
Po prijatí pomerne veľkého množstva nových predpisov a aktov chystá Komisia EÚ chytá "upratanie" a reformu. Určité zjednodušenie GDPR bolo už viac krát naznačené, ale nikdy nešlo o zásadné alebo výrazné zmeny. Začiatkom novembra však z Komisie unikol na verejnosť pracovný návrh nového nariadenia s názvom "Digital Omnibus for digital acquis". Tento návrh nie je finálny, avšak obsahuje aj zásadné zmeny GDPR, ePrivacy smernice, Data Governance Aktu, Data Actu, DORA, NIS2 ale aj ďalších predpisov. Medzi zmenami sú aj kontroverzné zásahy do GDPR ale aj veľmi zaujímavé a pozitívne zmeny, ktoré pomôžu nášmu regulačnému prostrediu. V tomto príspevku ich v skratke predstavíme.
Aj keď náš právny poriadok nepozná pojem "influencer", priamo alebo nepriamo činnosť influencerov reguluje. Regulácia a právne povinnosti sa netýkajú len zopár známych jednotlivcov ale skutočne širokého spektra subjektov, ktoré sú aktívne v online priestore. Ide aj o firmy, jednotlivcov, živnostníkov, umelcov, politikov, novinárov, združenia či brandy, ktoré prevádzkujú svoje profily častokrát v domnení, že žiadne povinnosti nemajú. V tomto príspevku sa zameriame na základný prehľad týchto povinností, ktorých rozsah Váš možno prekvapí.