Úřad pro ochranu osobních údajů

Účastník řízení, jako správce osobních údajů ve smyslu § 4 písm. j) zákona č. 101/2000 Sb., je povinen dodržovat při zpracování osobních údajů povinnosti stanovené zákonem č. 101/2000 Sb., včetně povinnosti vyjádřené v § 13 odst. 1 tohoto zákona. Podle tohoto ustanovení je správce osobních údajů povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému přístupu k osobním údajům, resp. k jejich neoprávněnému zpracování.

Povinnost dle § 13 odst. 1 zákona č. 101/2000 Sb. a této povinnosti odpovídající skutková podstata správního deliktu je formulovaná jako odpovědnost za následek. Dojde-li tedy k následku předvídanému v § 13 odst. 1 zákona č. 101/2000 Sb. (neoprávněnému přístupu k osobním údajům apod.), což je v této věci nepochybné, znamená to, že se správce osobních údajů dopustil také správního deliktu. Odpovědnost za správní delikt je přitom postavena na objektivní odpovědnosti (tedy bez ohledu na zavinění), přičemž zákon č. 101/2000 Sb. upravuje v § 46 odst. 1 liberační důvod, jehož naplněním se pachatel správního deliktu může odpovědnosti zprostit.

Za případnou poté považuje správní orgán argumentaci Nejvyššího správního soudu k problematice objektivní odpovědnosti za správní delikt v rozsudku čj. 9 As 36/2007-59 (byť v jiné oblasti veřejného práva a bez výslovného zakotvení liberačního ustanovení). Správní orgán proto považuje za vhodné se v souvislosti s citovaným rozsudkem podrobněji vyjádřit k naplnění skutkové podstaty správního deliktu dle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. Dle názoru správního orgánu je pojem „přijmout taková opatření“ v normě ukládající primární povinnosti (tj. v § 13 odst. 1 zákona č. 101/2000 Sb.) nutno považovat za synonymum pojmu zajistit. Oba tyto pojmy je poté třeba dle názoru správního orgánu interpretovat jako garanci správce osobních údajů za bezpečnost zpracování osobních údajů, tedy za to, že se s osobními údaji např. neseznámí žádná nepovolaná osoba. Jedině tento výklad je schopen zajistit efektivní fungování právní normy a naplnění jejího elementárního smyslu a účelu, kterým je naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí (viz opět rozsudek Nejvyššího správního soudu čj. 9 As 36/2007-59, www.nssoud.cz).

Skutková podstata správního deliktu dle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. hovoří o nepřijetí nebo neprovedení opatření pro zajištění bezpečnosti zpracování. S ohledem na shora uvedený výklad § 13 odst. 1 zákona č. 101/2000 Sb. je poté správní orgán toho názoru, že použití pojmů „nepřijme nebo neprovede“ nic nemění na charakteru odpovědnosti správce za nesplnění povinnosti dle § 13 zákona č. 101/2000 Sb.; uvedení bezpečnostních opatření v život, tak aby plnila svůj smysl a účel, nelze jiným způsobem, než jejich přijetím a provedením, přičemž tyto dva pojmy dle názoru správního orgánu současně plně pokrývají a vystihují všechny možné způsoby naplnění účelu bezpečnostních opatření; jinými slovy, s bezpečnostními opatřeními nelze dělat nic jiného, než je přijmout a provést. Správní orgán je proto toho názoru, že dikce § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. nedává účastníkovi řízení prostor k tomu, aby prokazováním svého preventivního jednání popřel, že k naplnění skutkové podstaty deliktu došlo, byl-li přístup neoprávněné osoby k osobním údajům nepochybně prokázán.

Ustanovení § 46 odst. 1 zákona č. 101/2000 Sb. je formulováno tak, že právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. Posuzování naplnění liberačního ustanovení je přitom závislé vždy na konkrétních okolnostech daného případu a nelze jej dle názoru správního orgánu jakkoliv předem zobecnit (při současném respektování limitu vyjádřeného v § 2 odst. 4 správního řádu).

Správní orgán přitom považuje za nezbytné konstatovat, že v případě ustanovení § 46 odst. 1 zákona č. 101/2000 Sb. (a ostatně všech liberačních ustanovení) se přenáší důkazní břemeno na účastníka řízení a je to on, kdo musí k prokázání liberace navrhovat důkazy (srov. Mates, P. a kolektiv: Základy správního práva trestního, 3. vydání, Praha: C.H. Beck, 2002, str. 12; dále také § 52 správního řádu).

Správní orgán proto na základě shora uvedeného posuzoval jednání účastníka řízení (tj. přijetí opatření formou vnitřních předpisů, způsob seznámení zaměstnanců s těmito předpisy atd.) toliko z hlediska ustanovení § 46 odst. 1 zákona č. 101/2000 Sb. Správní orgán v této souvislosti uvádí, že vynaložení veškerého úsilí, které bylo možno požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému, konkrétně posuzovanému případu, jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit (zákon používá kritérium veškeré úsilí, které bylo možno požadovat, a nikoliv např. spravedlivě požadovat, požadovat s ohledem na poměry atp.). V případě účastníka řízení sice došlo ke zpracování interních předpisů, ale nedošlo prokazatelně k jejich dostatečnému provedení, které by zabránilo úniku osobních údajů. Jak vyplývá z výpovědi zaměstnankyně, nebyla si vědoma všech svých povinností vyplývajících z jejího funkčního zařazení a také se neseznámila s předpisy, byť i zveřejněnými na intranetu, účastníka řízení. Správní orgán má proto za prokázané, že účastník řízení nevynaložil veškeré úsilí, které bylo možné požadovat, a že nepochybně existovaly další možnosti, jak mohl postupovat, aby odcizení osobních údajů zabránil; minimálně mohl zajistit skutečné proškolení své zaměstnankyně s následným ověřením jejích znalostí ve vztahu k bezpečnostním opatřením. Za vynaložení veškerého úsilí poté správní orgán v žádném případě nepovažuje odkaz na povinnost mlčenlivosti v pracovní smlouvě (zákonnou povinnost mlčenlivosti má každý zaměstnanec správce osobních údajů dle § 15 zákona č. 101/2000 Sb., přičemž tato povinnost nijak nezbavuje správce odpovědnosti za zabezpečení osobních údajů) stejně tak jako obecné stanovení místa výkonu práce.

Jak již bylo uvedeno, účelem povinnosti dle § 13 odst. 1 zákona č. 101/2000 Sb. není primárně to, aby správce osobních údajů přijal formálně bezpečnostní předpisy, ale zajištění toho, aby nedošlo k neoprávněnému přístupu k osobním údajům, a tím naplnění práva subjektu údajů na ochranu jeho soukromí. Z tohoto hlediska a tímto kritériem proto správní orgán také posuzoval vynaložené úsilí správce ve vztahu k možnému naplnění liberačního ustanovení. (čj. VER-6243/08-17)