Belgický dozorový úřad uložil pokutu 120 000 eur za záměnu role správce a zpracovatele osobních údajů
Belgický úřad na ochranu osobních údajů (APD/GBA) uložil provozovateli digitální autentizační a identifikační služby pokutu 120 000 eur za to, že se sám nesprávně označil za zpracovatele namísto správce. Tato zásadní chyba v právní kvalifikaci vedla k celé kaskádě porušení GDPR.
Rozhodnutí APD/GBA č. 103/2026 se týká společnosti, která provozuje digitální autentizační a identifikační službu – tedy systém, jehož prostřednictvím si uživatelé ověřují totožnost nebo přihlašovací údaje. Taková služba přirozeně zahrnuje rozsáhlé zpracování osobních údajů: identity uživatelů, metadata přihlášení, logy o ověřovacích transakcích. Zásadní otázkou bylo, kdo v celém procesu určuje účely a prostředky zpracování – a tedy kdo nese povinnosti správce.
Společnost se v dokumentaci, smluvním uspořádání i ve vztahu k uživatelům prezentovala jako zpracovatel, tedy jako subjekt, který zpracovává data výhradně na základě pokynů jiného správce. Belgický úřad dospěl k opačnému závěru: společnost sama rozhoduje o tom, proč a jak jsou data zpracovávána, a je tedy správcem. Tato chybná kvalifikace přitom nebyla jen formální nedostatek – znamenala, že celá řada povinností GDPR, které leží na správci, nebyla plněna vůbec.
Úřad identifikoval konkrétní porušení, která z nesprávné klasifikace vyplynula. Za prvé šlo o porušení zásady odpovědnosti podle čl. 5 odst. 2 GDPR: správce musí být schopen doložit soulad se zásadami zpracování, k čemuž ovšem předpokladem je, že se za správce vůbec považuje a přijímá odpovídající dokumentaci a vnitřní procesy. Za druhé byl porušen princip transparentnosti – uživatelé nebyli řádně informováni o tom, kdo skutečně určuje účely zpracování jejich dat, čímž bylo zkráceno jejich právo vědět, s kým se nacházejí v právním vztahu. Za třetí bylo porušeno právo na přístup: protože společnost vystupovala jako zpracovatel, nevyřizovala žádosti subjektů údajů o přístup k datům jako správce. Za čtvrté se projevilo porušení zásady minimalizace dat a záměrné ochrany údajů (privacy by design, privacy by default) – tyto povinnosti opět dopadají primárně na správce.
Belgický úřad v rozhodnutí č. 103/2026 zdůraznil, že nesprávná klasifikace jako zpracovatel místo správce není neutrální administrativní chybou. Je to selhání odpovědnosti, které systematicky znemožňuje výkon práv subjektů údajů a obchází celou architekturu odpovědnosti, na níž GDPR stojí. Výše pokuty 120 000 eur odpovídá závažnosti souběhu více porušení, přičemž základní pochybení – záměna rolí – bylo zřejmě záměrné nebo přinejmenším dlouhodobě přehlížené.
Případ má praktický dosah daleko za belgické hranice. Záměna rolí správce a zpracovatele patří v praxi k nejčastějším chybám, se kterými se dozorové úřady setkávají. Firmy, které poskytují platformy, SaaS nástroje nebo digitální identifikační řešení, se nezřídka snaží smluvně nebo fakticky přeřadit do role zpracovatele, čímž se zbavují povinností vůči uživatelům. Belgický případ ukazuje, že GDPR posuzuje faktickou realitu zpracování – kdo skutečně rozhoduje o účelech a prostředcích – a nikoli to, jak se příslušný subjekt sám označuje ve smlouvě nebo v zásadách ochrany osobních údajů.
Pro organizace zpracovávající data v roli, která by mohla být zpochybněna, je doporučeným krokem provedení mapování zpracování s explicitní odpovědí na otázku: rozhoduji o tom, proč a jak data zpracovávám, nebo jednám výhradně podle pokynů jiného subjektu? Pokud existuje byť jen částečná autonomie v rozhodování o účelech, jde o správce.
Zdroj
Další články
Belgický dozorový úřad uložil pokutu 120 000 eur za záměnu role správce a zpracovatele osobních údajů
Nové zranitelnosti v katalogu CISA KEV – vydání 21, druhá dávka
