Úřad pro ochranu osobních údajů

Podle § 13 odst. 1 zákona č. 101/2000 Sb. je správce osobních údajů povinen přijmout taková opatření, aby osobní údaje nebyly vystaveny riziku neoprávněného zpracování či zneužití, což předpokládá, že účastník řízení důsledně zváží veškerá rizika, která jsou s jím prováděným zpracováním osobních údajů spojená, a přijme odpovídající opatření k jejich maximálnímu vyloučení. K naplnění skutkové podstaty správního deliktu porušením povinnosti podle § 13 odst. 1 zákona č. 101/2000 Sb. přitom postačí pouze vznik stavu, kdy jsou osobní údaje určitým způsobem ohroženy, přestože doposud nedošlo nebo ani nedojde k jejich neoprávněnému zpracování. V daném případě je nepochybné, že spolu s krádeží notebooku vzniklo důvodné riziko, že se s uloženými osobními údaji seznámí neoprávněná osoba.

Povinnost podle § 13 odst. 1 zákona č. 101/2000 Sb. je spojena s objektivní odpovědností správce za její porušení; prokáže-li tedy správce, že vynaložil veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránil, nebude za případný správní delikt odpovědný. V případě účastníka řízení ze spisového materiálu vyplývá, že se sice jednalo o ojedinělý incident vzniklý pravděpodobně špatným vzájemným informováním dvou jeho zaměstnanců, přesto po posouzení všech okolností dospěl správní orgán k závěru, že liberační ustanovení v tomto případě naplněno nebylo. Ze spisového materiálu Policie České republiky totiž vyplývá, že zaměstnankyně nebyla ze strany účastníka řízení žádným způsobem proškolena v oblasti nakládání s osobními údaji, vnitřní předpis upravující ochranu práv klientů byl účastníkem řízení přijat až po předmětném incidentu. Jako vynaložení veškerého úsilí nelze ani hodnotit skutečnost, že osobní údaje uložené v notebooku nebyly žádným způsobem chráněny před neoprávněným zpracováním přístupovým heslem.

Nad rámec výše uvedeného správní orgán uvádí, že splnění povinnosti podle § 13 odst. 1 zákona č. 101/2000 Sb. předpokládá ze strany správce v případě zpracování osobních údajů ve větším rozsahu, případně při zpracování citlivých údajů, nejen přijetí vnitřního předpisu, kterým by pro své zaměstnance stanovil povinnosti při nakládání s osobními údaji, ale také seznámení, resp. proškolení zaměstnanců s tímto předpisem a současně také přiměřenou míru kontroly jeho dodržování. K vnitřnímu předpisu účastníka řízení o ochraně osobních údajů lze poté uvést, že by měl rozlišovat mezi zpracováním osobních údajů prostřednictvím spisového materiálu v „papírové“ podobě a prostřednictvím elektronických prostředků (výpočetní techniky), přičemž pro obě tyto oblasti je nutné stanovit přesná pravidla a povinnosti zaměstnanců. ( čj. SPR-3567/07 )