Bezpečnost osobních údajů v judikatuře

Ustanovením § 13 zákona o ochraně osobních údajů je stanovena obecná povinnost správců a zpracovatelů osobních údajů chránit osobní údaje, a to jak před jednáním úmyslným, tak i nedbalostním, stejně tak jako proti působení přírodních a jiných událostí (povodně, požáry, zemětřesení apod.), které by mohlo způsobit zneužití osobních údajů. Ustanovení § 13 zákona o ochraně osobních údajů je nutno vykládat tak, že vyhodnotit rizika a přijmout jim odpovídající opatření je povinen jak správce, tak i zpracovatel osobních údajů, a to v návaznosti na konkrétní organizaci předmětného zpracování osobních údajů. V tomto ohledu nepřipouští zákon žádné výjimky. Správce a zpracovatel osobních údajů tedy odpovídají podle zákona o ochraně osobních údajů za provedení náležitých opatření vylučujících rizika spojená s předmětným zpracováním osobních údajů, přičemž tato jejich odpovědnost je odpovědností objektivní, tedy odpovědností za následek jednání či opominutí (za protiprávní stav). Součástí této prevence je také to, že je třeba chránit nejen osobní údaje jako takové, ale i jejich nosiče a technologie, na nichž jsou zpracovávány. Je nutné dodat, že vhodná opatření pro zabezpečení ochrany osobních údajů je nezbytné přijmout nejen ve vztahu k běžným činnostem správce či zpracovatele osobních údajů, ale také zvláště pro každou ojedinělou operaci s osobními údaji, resp. s jejich nosiči, která vybočuje z běžného rámce zpracovávání těchto údajů, jako je například skartace písemností uchovávaných v archivu.¹⁾ Za tímto účelem je správce osobních údajů povinen, a to v podstatě ještě před započetím zpracování osobních údajů, vyhodnotit všechna rizika zamýšleného zpracování a přijmout a následně i v praxi provést jim odpovídající opatření. Zákon o ochraně osobních údajů tak nutí správce posoudit všechna možná rizika zpracování osobních údajů a přijímat k jejich eliminaci všechna odpovídající opatření, přičemž konkrétní podobu ochrany osobních údajů ponechal zákonodárce na správci či zpracovateli. Stanovil pouze, před čím vším je třeba osobní údaje při zpracování ochraňovat, aby výčet situací, na které musí reagovat zabezpečení osobních údajů, mohl být považován za příkladný.

Správce a zpracovatel mají v zásadě volnost v tom, jaký způsob, podoba, forma atd. ochrany jsou podle nich adekvátní (navzdory tomuto tvrzení je třeba uvést, že za jedno ze základních bezpečnostních opatření je nutné považovat určení podmínek, které jsou jednotliví zaměstnanci nebo jiné osoby přicházející do styku s osobními údaji povinni dodržovat). Zaměstnance je možné poučit o jejich povinnostech při zpracování osobních údajů, tj. včetně jejich náležité ochrany, zejména prostřednictvím interního předpisu zaměstnavatele nebo pravidelných školení.²⁾

Zákon o ochraně osobních údajů také v § 13 odst. 2 stanoví obecnou povinnost zpracování a dokumentování bezpečnostních opatření a provedených technickoorganizačních opatření k zajištění ochrany osobních údajů. Vzhledem k dikci tohoto ustanovení „správce nebo zpracovatel“ stíhá tato povinnost buď správce, anebo zpracovatele, tedy nikoliv nutně oba najednou.

Právní věta

Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) je nutné vzít v úvahu její výslovné omezení na případy automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů tímto způsobem, tedy za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nikterak nepřiměřené náklady.

(rozsudek NSS ze dne 30.1.2013, sp. zn. 7 As 150/2012-35)

Český zákonodárce v § 13 zákona o ochraně osobních údajů zvolil kombinaci obecně stanovené povinnosti přijmout opatření na ochranu osobních údajů (odst. 1) a dále, pouze pro oblast automatizovaného zpracování osobních údajů, povinnosti přijmout konkrétní opatření (odst. 4).

V prvém případě je volba konkrétních opatření ponechána na správci a zpracovateli ovšem tak, aby byl naplněn požadavek odst. 1 - tj. aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. V případě konkrétních opatření dle odst. 4 již tomu tak není, ta je nutno přijmout bezvýjimečně.

Odstavec 4 lze skutečně chápat jako upřesnění § 13 odst. 1 zákona o ochraně osobních údajů, ovšem nikoliv ve smyslu demonstrativního výčtu opatření ponechaných na volbě správce nebo zpracovatele.

Určitý vztah mezi dvěma ustanoveními nutně neznamená, že musejí také sdílet totožný režim. Zatímco obecně zákon požaduje dosažení určitého cíle bez ohledu na konkrétní zvolená opatření (odst. 1), ve speciálních situacích (automatizované zpracování osobních údajů) již trvá „také“ na provedení konkrétních opatření (odst. 4). Obě pravidla jsou proto relativně samostatná.

Z hlediska samotného odst. 4 není rozhodné, zda a do jaké míry dochází zároveň k naplnění cíle dle odst. 1. Jelikož je však nutné opatření dle odst. 4 „také“ přijmout, jejich přijetím není povinnost dle odst. 1 dotčena. Totéž platí pro opačnou vazbu mezi oběma odstavci.

Splněním povinnosti dle odst. 1 nejsou nijak dotčeny povinnosti podle odst. 4, neboť ty je „také“ nutné splnit. Jakkoliv tedy odst. 4 obsahuje opatření, která jsou svou povahou zároveň opatřeními v režimu odst. 1 (nikoliv však nutně postačujícími), jejich přijetí zjevně není oproti obecnému pravidlu v odstavci 1 ponecháno na vůli správce nebo zpracovatele.

Ustanovení § 13 odst. 1 a 4 zákona o ochraně osobních údajů tedy obsahují dvě relativně samostatné povinnosti. Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) je nutné vzít v úvahu její výslovné omezení na případy automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů tímto způsobem, tedy za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití. Je tomu proto, že výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat (zejména jejich strukturované uspořádání a analýzu podle zadaných kombinací kritérií), jakož i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného. Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky, jež jsou svojí podstatou typickým potenciálním objektem zneužití osobních údajů v masovém měřítku, a to způsobem komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nikterak nepřiměřené náklady. Je-li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného systému na zpracování osobních údajů další vedlejší funkci - zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Takovéto opatření má vysoký preventivní účinek proti zneužití údajů z informačního systému, neboť každý, kdo s ním oprávněně pracuje, si musí být vědom, že je možné zpětně ověřit kdo, kdy a jakým způsobem s informačním systémem pracoval a zda se tak dělo oprávněně. Zároveň si lze stěží představit jiné adekvátní opatření, které by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů. V případě splnění povinnosti dle ust. § 13 odst. 4 zákona o ochraně osobních údajů si totiž každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno. Požadavek na zaznamenávání logů proto Nejvyšší správní soud považuje ve všech případech automatizovaného zpracování osobních údajů za plně legitimní, žádoucí a s ohledem na jeho omezení pouze na případy automatizovaného zpracování také přiměřený.

Právní věta

Zákon č. 101/2000 Sb. připouští i liberační důvod. Právnická osoba za správní delikt na tomto úseku (tedy jak za přestupek, tak i jiný správní delikt) neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možné požadovat, aby porušení právní povinnosti zabránila. Vynaložení veškerého úsilí, které bylo možné požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému konkrétně posuzovanému případu jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit.

(rozsudek Městského soudu v Praze ze dne 26.5.2014, sp. zn. 11 A 107/2013)

Podle ustanovení § 13 odst. 1 zákona o ochraně osobních údajů jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Podle ustanovení § 45 odstavec 1 písm. h) zákona o ochraně osobních údajů právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů podle ustanovení § 13 téhož zákona. Zákon o ochraně osobních údajů připouští i liberační důvod. Právnická osoba za správní delikt na tomto úseku (tedy jak za přestupek, tak i jiný správní delikt) neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možné požadovat, aby porušení právní povinnosti zabránila.

Pravidla ochrany osobních údajů platí v zásadě za všech okolností. Není podstatné, zda se jedná o soubor osobních údajů zpracovávaných výpočetní technikou nebo například o soubor listin, na nichž jsou osobní údaje uvedeny. Vynaložení veškerého úsilí, které bylo možné požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému, konkrétně posuzovanému případu, jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit (zákon používá kritérium veškeré úsilí, které bylo možné požadovat, a nikoliv například spravedlivě požadovat, požadovat s ohledem na poměry). V případě žalobce sice došlo k uzavření smlouvy o dílo, týkající se dalšího bezprostředního nakládání s předměty obsahujícími citlivé osobní údaje, to ovšem nic nemění na skutečnosti, že správním úřadem bylo objektivně zjištěno, že uvedené předměty byly nalezeny na veřejné skládce, která jistě není běžným místem pro uložení dokumentů s osobními údaji. Jednoznačně tedy nelze v případě žalobce hovořit o vynaložení veškerého úsilí, aby nedošlo k neoprávněnému přístupu k těmto údajům. Pro splnění podmínek ochrany osobních údajů a případnou liberaci v případě nějakého konfliktu ve vztahu k ochraně osobních údajů je třeba mít na paměti, že dosažení, resp. prokázání liberačního důvodu není samo sebou a že tento důvod musí být správcem či zpracovatelem nejen jednoznačně prokázán, ale také musí vycházet z toho, že ne jakákoliv opatření, ale opatření maximálně možná mohou být za liberační důvod uznána. Tak jako ve většině případů, ani v posuzované věci podle názoru soudu nemůže pro případnou liberaci postačovat fakt, že článek I písm. d) uzavřené smlouvy o dílo obsahuje detailní popis postupu od převzetí specifického odpadu odpovědnou osobou zhotovitele, což lze považovat za jedno z opatření, zajišťující ochranu osobních údajů ve smyslu ustanovení § 13 zákona, nicméně i přesto došlo k incidentu, tedy k úniku osobních údajů mimo sféru správce. Vynaložení veškerého úsilí, které bylo možné požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému konkrétně posuzovanému případu jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit. V případě účastníka řízení sice došlo k zapracování pokynů do smluvního textu, nedošlo ale prokazatelně k jejich dostatečnému provedení, které by fakticky zabránilo úniku osobních údajů. Správní úřad má proto podle názoru soudu oprávněně za prokázané, že účastník řízení nevynaložil veškeré úsilí, které bylo možné požadovat, a že nepochybně existovaly další možnosti, jak mohl postupovat, aby zveřejnění osobních údajů zabránil.

Jak již bylo uvedeno, účelem povinnosti podle ustanovení § 13 odst. 1 zákona o ochraně osobních údajů není primárně to, aby správce osobních údajů přijal formálně bezpečnostní předpisy, ale zajištění toho, aby nedošlo k neoprávněnému přístupu k osobním údajům, a tím k naplnění práva subjektu údajů na ochranu jeho soukromí.

Z uvedeného plyne správnost a důvodnost závěru žalovaného správního úřadu, pokud v odůvodnění rozhodnutí obou stupňů shodně konstatoval, že žalobce sice předal dokumenty ke skartaci, avšak její reálné provedení nezajistil ani nekontroloval. V napadeném rozhodnutí je tedy konstatována odpovědnost žalobce nejen za předání dokumentů ke skartaci, ale i za průběh a kontrolu skartace. Žalovaný rovněž uvedl, že nepochybně existovaly další možnosti, jak mohl žalobce postupovat, aby vyhození dokladů na skládku bez provedení likvidace v nich obsažených osobních údajů zabránil. Žalobce se proto uzavřením soukromoprávní smlouvy o dílo nemohl zbavit své objektivní veřejnoprávní odpovědnosti. Kontrola ze strany žalobce prováděna nebyla a nebylo zjištěno ani jiné zabezpečení likvidace dokladů a dokumentů s osobními údaji.