Úřad pro ochranu osobních údajů

Dle § 13 odst. 1 zákona o ochraně osobních údajů mají správce i zpracovatel povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Citované ustanovení je nutno vykládat tak, že vyhodnotit rizika a přijmout jim odpovídající opatření je povinen jak správce, tak i zpracovatel osobních údajů, a to v návaznosti na konkrétní organizaci předmětného zpracování osobních údajů. Pokud tedy potřebná opatření nemůže, ať zcela či částečně, přijmout správce osobních údajů, protože provádí jen některé kroky zpracování, případně nenakládá s osobními údaji vůbec, je v tomto rozsahu povinen přijmout bezpečností opatření zpracovatel osobních údajů.

Vhodná opatření pro zabezpečení ochrany osobních údajů je nezbytné přijmout nejen ve vztahu k běžným činnostem správce či zpracovatele osobních údajů, ale také zvláště pro každou ojedinělou operaci s osobními údaji, resp. s jejich nosiči, která vybočuje z běžné činnosti správce nebo zpracovatele, jako je např. skartace písemností uchovávaných v archivu.

Správce a zpracovatel osobních údajů odpovídají podle zákona o ochraně osobních údajů za provedení náležitých opatření vylučujících rizika spojená s předmětným zpracováním osobních údajů, přičemž tato jejich odpovědnost je odpovědností objektivní, tedy za následek jednání či opominutí (za protiprávní stav).

K naplnění skutkové podstaty správního deliktu porušením povinnosti podle § 13 odst. 1 zákona o ochraně osobních údajů přitom postačí pouze vznik stavu, kdy jsou osobní údaje (v důsledku nepřijatých či důsledně neprovedených bezpečnostních opatření) určitým způsobem ohroženy, přestože doposud nedošlo nebo ani nedojde k jejich neoprávněnému zpracování či zneužití. Zda takový následek nastal již není znakem skutkové podstaty tohoto správního deliktu, ale může být posouzeno buď jako jiný správní delikt, případně trestný čin, nebo jako okolnost odůvodňující uložení vyšší sankce.

Porušením povinnosti stanovené v § 13 odst. 1 zákona o ochraně osobních údajů je např. zasílání osobní údaje elektronickou poštou bez jakéhokoli zabezpečení (tj. „zazipování“ nebo nastavení přístupového hesla) nebo neoprávněné zpřístupnění osobních údajů třetím osobám formou rozeslání hromadného dopisu (např. výpisu z účtu, oznámení o dlužné částce, ale i seznamu účastníků zájezdu apod.) všem účastníkům určitého právního vztahu obsahujícího jejich osobní údaje anebo odesláním určité písemnosti s osobními údaji na špatnou adresu včetně adresy elektronické pošty. K porušení uvedené povinnosti může dojít i v souvislosti se ztrátou či neodbornou likvidací listin obsahujících osobní údaje, neboť tím dojde ke zpřístupnění těchto údajů neomezenému okruhu osob.

Úřad pro ochranu osobních údajů nemůže vydat standardy specifikující minimálními požadavky, které považuje za nutné k naplnění povinnosti podle § 13 odst. 1 zákona o ochraně osobních údajů, neboť nedisponuje potřebnou kompetencí k přijetí takových standardů. Ostatně podmínky zpracování osobních údajů (a z nich vyplývající potřebná bezpečností opatření ve smyslu uvedeného ustanovení) jsou u každého správce a zpracovatele osobních údajů natolik odlišné, že jakákoli paušalizace by v tomto případě nebyla efektivní. Každý správce či zpracovatel je tedy povinen sám zhodnotit rizika, která v jeho případě při zpracování osobních údajů vznikají, a přijmout jim odpovídající technická a organizační opatření. Úřad pro ochranu osobních údajů je kompetentní správci nebo zpracovateli osobních údajů poskytnout v této věci pouze odbornou konzultaci.

Za opatření ve smyslu § 13 odst. 1 zákona o ochraně osobních údajů lze považovat i pokyny určené zaměstnancům účastníka řízení v interních předpisech, které účastník řízení předložil, nicméně samotná existence těchto předpisů není dostačující v případě, kdy tyto pokyny nejsou v praxi dodržovány a jejich dodržování důsledně kontrolováno.

(13/05/SŘ-OSČ, 31/05/SŘ-OSČ, 37/05/SŘ-OSČ, 45/05/SŘ-OSČ, 56/05/SŘ-OSČ, 60/05/SŘ-OSČ, 72/05/SŘ-OSČ)