Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

K zabezpečení osobních údajů

 

 
 

Povinnost podle § 13 odst. 1 zákona č. 101/2000 Sb. je spojena s objektivní odpovědností správce za její porušení; prokáže-li tedy správce, že vynaložil veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránil, nebude za případný správní delikt odpovědný (§ 46 odst. 1 zákona č. 101/2000 Sb.). Účastník řízení uvedl, že má přijatá technicko-organizační opatření jak v „minimálním standardu“, který má vyplývat z formuláře pro plnění oznamovací povinnosti, tak přijal i opatření další. V důsledku toho, kromě lidského selhání některého ze svých zaměstnanců, vylučuje možnost neoprávněného přístupu a zneužití osobních údajů. Správní orgán tyto účastníkem řízení uváděné skutečnosti neshledal jako naplnění liberační podmínky ve smyslu § 46 odst. 1 zákona č. 101/2000 Sb.

Ačkoliv § 13 odst. 1 nestanovuje konkrétní bezpečnostní opatření, která je správce povinen přijmout, je vodítko uvedeno v § 13 odst. 3 zákona č. 101/2000 Sb. a v případě automatizovaného zpracování jsou poté povinnosti upřesněny v § 13 odst. 4 zákona č. 101/2000 Sb. Dle těchto ustanovení správce v rámci bezpečnostních opatření posuzuje mimo jiné rizika týkající se plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům (tedy riziko lidského selhání), čemuž odpovídá současně v případě automatizovaného zpracování povinnost správce dle § 13 odst. 4 písm. b) a c) zákona č. 101/2000 Sb. zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, a pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Ze znění § 13 odst. 4 zákona č. 101/2000 Sb. přitom vyplývá, že se nejedná o taxativní výčet opatření pro zajištění bezpečnosti zpracování.

Ze spisového materiálu a provedeného dokazování (zejména svědeckými výpověďmi) vyplývá, že se správnímu orgánu nepodařilo určit, jakým způsobem došlo ke zpřístupnění předmětných osobních údajů (a to přestože naplnění liberační podmínky by měl prokazovat sám správce, resp. by měl k tomuto svému tvrzení navrhovat příslušné důkazy); z vyjádření účastníka řízení vyplývá, že ani on sám není schopen určit, jakým způsobem ke zpřístupnění osobních údajů došlo. Už sama tato skutečnost dle správního orgánu znamená, že účastník řízení nevynaložil veškeré úsilí, aby porušení právní povinnosti zabránil. Jinými slovy, pokud účastník řízení argumentuje lidským selháním, přičemž není schopen sám toto lidské selhání následně odhalit a současně nemá přijatá taková opatření, aby riziko lidského selhání minimalizoval, nelze konstatovat, že by vynaložil veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránil.(čj. VER-3280/08-34)

 

Odkazy


 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 18.4.2013 / 18.4.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém