Úřad pro ochranu osobních údajů

Správnímu orgánu bylo dne 22. ledna 2013 doručeno vyjádření účastníka řízení, ve kterém v návaznosti na výzvu správního orgánu uvedl, že k vězeňskému informačnímu systému, konkrétně k fotografiím jednotlivých vězňů, měl přístup každý zaměstnanec účastníka řízení, který je jakýmkoliv způsobem povinen pracovat s daty vězněných osob. Jedná se o pracovní pozice ředitele, zástupce ředitele, správních referentů úseku správního, dozorců výkonu vazby a výkonu trestu, vychovatelů výkonu trestu a vazby, sociálních pracovníků, pedagogů, psychologů, strážních vězeňské stráže, příslušníků prevence a stížností, zaměstnanců zdravotních středisek, materiálních intendantů, zaměstnanců úseku zaměstnávání vězněných osob, účetních, duchovních zaměstnanců a příslušných vedoucích funkcionářů. Účastník řízení dále uvedl, že v době, kdy došlo k nahlížení do informačního systému ze strany dvou výše uvedených zaměstnanců, platil interní předpis. Tento v § 4 definuje činnost uživatele v počítačové síti, a to včetně zákazů. Podle odstavce 7 tohoto ustanovení uživatel odpovídá při práci s údaji za dodržování předpisů o ochraně osobních údajů v informačních systémech. V § 10 nařízení jsou pak uvedena další opatření pro ochranu osobních údajů v síti účastníka řízení.

V případě účastníka řízení je zřejmé, že nepřijal dostatečná opatření pro zabezpečení osobních údajů, v důsledku čehož měl každý zaměstnanec, který byl povinen pracovat s informačním systémem, přístup k osobním údajům všech vězněných osob, a to i v případě, kdy tento přístup nebyl nezbytný k výkonu jeho práce. Pouhé vymezení povinností, zákazů a oprávnění při práci s informačním systémem ve vnitřním předpise nelze považovat za veškeré možné úsilí, které mohl účastník řízení vynaložit k tomu, aby zabránil neoprávněnému přístupu k osobním údajům.

sp. zn. UOOU-00182/13