Súdny precedens z Lipska: 5 000 € za nelegálne sledovanie používateľa - Rozhodnutie Krajského súdu v Lipsku zo dňa 4. júla 2025 vo veci č. 05 O 2351/23, 5. občianska komora

Bc. Michaela Mojtová24. 7. 2025

V dnešnej digitálnej dobe sa ochrana osobných údajov stala jedným z najzásadnejších pilierov základných práv jednotlivca. Voľakedy bolo súkromie späté s naším fyzickým priestorom, no dnes sa presúva do priestoru virtuálneho, elektronického, kde každý klik, načítanie stránky alebo len pohyb kurzora môže odhaliť viac, než si uvedomujeme. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (GDPR) sa preto stalo nie len technickou, ale i hodnotovou ochranou dôstojnosti jednotlivca v online priestore.

V súčasnosti sa však ochrana údajov dostáva do konfrontácie s výkonnými nástrojmi digitálneho marketingu, ktoré sú schopné sledovať aktivitu používateľov naprieč platformami, stránkami a aplikáciami aj v momentoch, kedy nie sú prihlásení. Práve problematiky sledovania aktivity a osobných údajov sa zaoberá rozhodnutie Krajského súdu v Lipsku pod spisovou značkou 05 O 2351/23.

PREDMET SPORU

Predmetom sporu bola náhrada škody vo výške 5 000 EUR za spracovanie osobných údajov na webových stránkach tretích strán. Rozsah osobných údajov, ktoré boli spracované možno rozdeliť do troch skupín. V prvej skupine sú osobné údaje, ktoré sú generované na webových stránkach a v aplikáciách tretích strán či už prenášané priamo alebo v hašovanej forme. Tieto osobné údaje sú najmä: e-mail Žalobcu, telefónne číslo Žalobcu, krstné meno a priezvisko Žalobcu, dátum narodenia, pohlavie a miesto Žalobcu.

Druhá skupina obsahuje osobné údaje webových stránok ako URL adresa webovej stránky, čas návštevy danej stránky, tzv. „Referrer“ – teda webová stránka, cez ktorú sa používateľ dostal na aktuálnu webstránku a rôzne tlačidlá na webovej stránke, na ktoré Žalobca klikol. V tretej skupine osobných údajov boli údaje mobilných aplikácií tretích strán. Sem spadali údaje ako názov a čas návštevy aplikácie alebo tlačidlá, na ktoré Žalobca v aplikácii klikol.

Čo sa vlastne stalo?

Obžalovaná strana prevádzkuje sociálne siete „A“ a „B“, na ktoré vyvinula rôzne obchodné nástroje. Tieto obchodné nástroje môžu prevádzkovateľom webových stránok a vývojárom prinášať príjmy z reklám. Z tohto dôvodu prevádzkovatelia a vývojári tieto nástroje integrujú do svojich webstránok a aplikácií. Žalobca od roku 2013 používal sociálnu sieť „A“ výlučne súkromne pod istou emailovou adresou a nesúhlasil so spracovaním osobných údajov za účelom poskytnutia personalizovanej reklamy. Urobil tak prostredníctvom nastavenia „Informácie od reklamných partnerov o vašich aktivitách“. Pri používaní sociálnej siete „A“ sa však Žalobcovi zobrazujú reklamy založené na jeho záujmoch, ktoré vyhodnotili algoritmy Obžalovanej strany.

Reklamy ako také sú obzvlášť pre sociálne siete dôležité, keďže Obžalovaná strana za používanie nepožaduje finančnú odmenu – zdrojom financovania sú online reklamy. Tie sa od novembra 2023 dajú vypnúť za mesačné predplatné. Existujú nastavenia („Vaše aktivity mimo technológií C“), ktoré umožňujú používateľom kontrolovať informácie spojené s ich účtami o aktivitách používateľa či už na webových stránkach alebo aplikáciách, ktoré boli tretími osobami zdieľané so Obžalovanou stranou na reklamné účely.

Zmluvné podmienky, ktoré používa Obžalovaná strana zabezpečujú, že sa správa ako vlastník práv analyzovať správanie svojich používateľov nie len pri používaní vlastnej siete, produktov a služieb, ale aj na mnohých iných webových stránkach a aplikáciách. Ak si totiž budúci používateľ chce zriadiť účet v sieti Obžalovanej je potrebné, aby udelil súhlas podmienkam používania. Tieto podmienky stanovujú, že Žalobca poskytne Obžalovanej údaje, ktoré Obžalovaná zhromaždí (medzi tieto údaje patria aj údaje z používania iných služieb a internetových aktivít používateľa mimo siete Obžalovanej) na účely poskytovania tzv. „personalizovaných“ zážitkov a na „iné účely“. Pod pojmom „iné účely“ treba rozumieť – „Na dodržiavanie platných zákonov“, „Na účely ochrany, bezpečnosti a integrity“, „Na účely súdneho sporu“ a podobne. Tieto podmienky používania odkazujú na smernicu o ochrane údajov Obžalovanej strany, v ktorej sa vysvetľuje, že informácie a zariadenia poskytnuté používateľom sa zaznamenávajú a prepojujú pre všetky používané produkty Obžalovanej.

Samostatnou kategóriou je politika súborov cookies, ktorá spočíva v tom, že Obžalovaná umiestni textové informácie súvisiace so stránkou na zariadenie používateľa. Týmto spôsobom môže Obžalovaná získať informácie, ktoré sú tam uložené, keď používateľ navštívi buď aplikácie Obžalovanej, alebo internetové stránky iných spoločností, ktoré používajú obchodné nástroje Obžalovanej. Na získanie týchto informácií pri tom nie je potrebné žiadne ďalšie konanie používateľa. Tieto informácie neskôr Obžalovaná zdieľa s partnermi, ktorí využívajú analytické služby Obžalovanej, poskytovateľmi marketingových riešení, rôznymi inými poskytovateľmi služieb a externými výskumníkmi.

Sporná je aj integrácia balíku aplikácií „Business Tools“, ktorý sa uskutočňuje vložení jednoduchého skriptu do kódu webových stránok a aplikácií, avšak podľa prieskumov si to technicky priemerne zdatný používateľ nevšimne. V Nemecku tieto kódy bežia na pozadí na stránkach s obrovským dosahom, ako sú spravodajské, lekárske, cestovateľské, zoznamovacie a erotické stránky, ale aj stránky s nesmierne intímnymi a súkromnými informáciami ako stránky spermabanky alebo eutanázie. Business Tools tak spracúvajú osobné, až vysoko osobné údaje o zdraví, politických názoroch, financiách alebo sexualite. Pomocou týchto nástrojov je každý používateľ kedykoľvek individuálne rozpoznateľný. Obžalovaná vie, kedy používateľ spravil klik, aký text zadal na webstránkach alebo aplikáciách. Obžalovaná teda vie, ktoré stránky a podstránky boli kedy navštívené, čo bolo kde kliknutné, vyhľadávané alebo zakúpené. Tieto údaje neskôr odosiela do tretích krajín po celom svete – najmä do USA. V prípade potreby ich takisto poskytuje tretím stranám a orgánom.

Zaujímavosťou je, že poskytovatelia najväčších prehliadačov (Apple Safari, Google Chrome alebo Mozilla Firefox) postupne zakazujú nastavovanie súborov cookie tretích strán. Ako reakciu na tento krok Obžalovaná zaviedla špeciálny model „Conversions API“ na webstránky a „App Events API“ na aplikácie za účelom obísť všetky pokusy poskytovateľov prehliadačov o ochranu a naďalej tak umožňovať zber údajov, týmto spôsobom neviditeľným ani pre technicky zdatných používateľov. Tieto modely fungujú aj ak používame VPN – virtuálnu súkromnú sieť, nepovoľujeme cookies od tretích strán a používame Inkognito. Tieto údaje následne zbiera a vyhodnocuje.

V tomto bode rozlišujeme medzi troma pojmami. Odtlačok prsta prehliadača je spojenie informácií dostupných v prehliadači. Odtlačok prsta zariadenia sú údaje v zariadení. Tieto dva nám dokopy dávajú tzv. „digitálny odtlačok prsta“, čo je spojenie takého množstva údajov (prehliadač + zariadenie), ktoré umožňujú identifikovať príslušného používateľa len na základe týchto údajov. Podľa zistení Spolkového kartelového úradu je takéto priradenie možné vo viac ako 99,2% prípadov. Obžalovaná môže tým pádom s absolútnou istotou priradiť prehliadač k osobe pred počítačom.

Dôležité je podotknúť, že Obžalovaná nabádala prevádzkovateľov webstránok a aplikácií, aby získala čo najviac údajov o používateľoch, ktoré následne pomocou už spomínaných Business Tools prechádzali na server Obžalovanej. Írsky úrad DPC („Data Protection Commission“) uložil Obžalovanej pokutu vo výške 1,2 miliardy EUR. Žalobca takisto požadoval náhradu bolesti a utrpenia pred podaním žaloby, keďže uvádza, že o tejto „špionáži“ nevedel a nedovolil by to. Zastáva názor, že takého spracúvanie údajov, ktoré boli získané pomocou Business Tools boli nezákonné a Obžalovaný nemal súhlas. Podľa Žalobcu by mal byť nárok na náhradu škody vyčíslený najmenej na 5 000 EUR.

V tenore rozsudku je nakoniec uvedené, že spracúvanie údajov, ktoré sa nachádzajú vo vyššie spomenutých troch skupinách – a ktoré sú taxatívne vymedzené v tenore rozsudku – nie je povolené, a to od 25. mája 2018. Ďalej súd Odporcovi nariaďuje zdržať sa takéhoto konania, inam mu môže súd uložiť pokutu až do výšky 250 000 EUR; ukladá Odporcovi povinnosť zaplatiť Žalobcovi náhradu škody vo výške 5 000 EUR plus úroky z nich vo výške piatich percent nad príslušnú základnú úrokovú sadzbu od 1. septembra 2023. Trovy súdneho konania znáša Odporca.

Pre ďalšie zaujímavé postrehy, nielen z aplikačnej praxe, sleduj náš právny žurnál a nezabudni nás sledovať na sociálnych sieťach!

Kľúčové slova: GDPRosobné údajedigitálny marketingrozhodnutie súduBusiness Toolsfingerprintingcookie politikaprávny súhlasochrana súkromiacompliancereklamné nástrojekonverzieAPIcross-platform trackingDPCbezpečnosť údajov