Povinnosti osob při zabezpečení osobních údajů a možnost liberace

Povinnost přijmout bezpečnostní opatření má zvláštní význam. V řadě situací totiž bezpečnostní opatření buď znemožňují, nebo naopak umožňují porušování zákona. Přijetím dostatečných bezpečnostních opatření se tak minimalizuje hrozba zásahu do soukromí. Z toho vyplývá, že případné zásahy do soukromí tak, jak o nich mluví § 1 ZoOU, je třeba hodnotit i prostřednictvím provedených bezpečnostních opatření. Konstrukci zabezpečení osobních údajů při jejich zpracování stanoví § 13 odst. 1 ZoOU v zásadě v obecné rovině. To znamená, že normuje základní rámce a právní povinnosti při zpracování osobních údajů tak, aby se každý správce "vešel" do zákonných ustanovení, současně má vzhledem ke své dikci výrazně preventivní charakter. Lze tak usuzovat z použité terminologie, kde slovní spojení "aby nemohlo dojít" znamená právě výraz prevence.

Rámec pro řádné plnění povinnosti přijmout bezpečnostní opatření je určován především prostředky a způsobem zpracování osobních údajů. Ty zpravidla určuje z vlastního rozhodnutí sám správce. Jeho rozhodnutí, které vychází z jeho vlastních lidských, finanční, prostorových atd. možností, tak vytváří základní prostor pro bezpečnostní opatření. Bezpečnostní opatření při zpracování osobních údajů musí zajistit, s ohledem na odbornou úroveň a náklady na jejich provedení, odpovídající úroveň bezpečnosti v souvislosti s riziky vyplývajícími ze zpracování údajů a z povahy údajů, které mají být chráněny. Bezpečnostní opatření mají být přiměřená charakteru zpracovávaných osobních údajů. Přijímaná bezpečnostní opatření musí být účinná jak vůči úmyslnému nebo nedbalostnímu jednání, tak i vůči působení dalších činitelů.²⁾

Je tedy zjevné, že ochranná, bezpečnostní opatření musí být individualizovaná a přiměřená danému zpracování u toho kterého správce. Zákon tedy konkrétní způsoby ochrany a zabezpečení nestanoví, nicméně dává jisté vodítko, které oblasti rizik by měl správce osobních údajů posoudit a konkrétně vyhodnotit. I v oblasti zabezpečení ochrany osobních údajů je více než skromná. Konkrétně se jí zabývá vlastně jen jeden dostupný rozsudek Nejvyššího správního soudu³⁾ a i ten je již staršího data, nicméně postuluje alespoň základní principy ochrany v tom směru, že dovodil, že při ochraně osobních údajů je třeba automaticky aplikovat jisté, dnes již běžné standardy ochrany. V rozsudku si můžeme přečíst, že "dle názoru soudu existuje v oblasti bezpečnostních opatření k ochraně majetku obecně a při nakládání s osobními údaji, resp. jejich ochraně zvláště, určitý soubor bezpečnostních opatření považovaný za standard, aniž by musel být v zákoně výslovně vymezen".

Správce musí posoudit v zásadě všechna rizika. Plyne to ostatně z ustanovení § 13 odst. 1 ZoOU, který ukládá údaje chránit proti všem nebezpečím. Každý správce či zpracovatel je tedy povinen sám zhodnotit rizika, která v jeho případě při zpracování osobních údajů vznikají, a přijmout jim odpovídající technická a organizační opatření. Samozřejmě jistý návod ZoOU přeci jen poskytuje. V § 13 odst. 3 alespoň stanoví, které bezpečnostní okruhy musí správce (resp. zpracovatel) vyhodnotit, aby mohl alespoň v jakémsi standardu vyhovět obecnému požadavku.

Musí tedy vyhodnotit plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, musí posoudit a následně zabránit neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, podle charakteru zpracování musí vyhodnotit riziko neoprávněného čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a konečně vyhodnotit, jaká konkrétní opatření přijme, aby mohl následně kdykoliv určit a ověřit, komu byly osobní údaje případně předány. Jednotlivým vyhodnoceným rizikům pak musí odpovídat konkrétní opatření. A jaká to budou, jak je již výše uvedeno, musí vyhodnotit sám správce (zpracovatel). Samozřejmě jistý návod, jaká opatření, resp. v jakých souvislostech, lze alespoň rámcově určit např. z formuláře oznámení o zpracování osobních údajů.

Dalším ustanovením, které se zabývá zabezpečením osobních údajů, a obsahově tak doplňuje § 13 ZoOU, je § 14 ZoOU. Podle něj zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

Toto ustanovení tedy stanovuje povinnosti i dalším osobám, rozdílným od správců nebo zpracovatelů. Jedná se o jejich zaměstnance nebo o jiné osoby, které pro ně vykonávají zpracování osobních údajů. Vzhledem ke stanovené povinnosti je zřejmé, že správce nebo zpracovatel musí dotčeným osobám určit podmínky zpracování. Jak již bylo řečeno, stanovení podmínek zpracování osobních údajů zaměstnancům a jiným osobám je další z podmínek, kterou je zajišťována bezpečnost zpracování a doplňuje paletu povinností, stanovených správcům a zpracovatelům ustanovením § 13 ZoOU. Nejen že tak plyne ze systematického zařazení v rámci ZoOU, ale je i logickým naplněním obecné povinnosti, kdy správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Protože se v případě povinností stanovených správcům a zpracovatelům stanovit dotčeným osobám podmínky a způsob zpracování jedná o povinnost k povinnosti chránit osobní údaje a zabránit jejich neoprávněnému zpracování, musí správce a zpracovatel také kontrolovat jím stanovené povinnosti, resp. vydané pokyny. Mělo by být pravidlem, že taková kontrola bude rutinní a pravidelná, neboť jen tak lze zajistit, že pokyny dané správcem nebo zpracovatelem budou skutečně dodržovány. Z hlediska správce nebo zpracovatele je tato důsledná kontrola významná ještě z jednoho hlediska. Tímto hlediskem je deliktní odpovědnost. Jak bylo výše uvedeno, stanovení podmínek a rozsahu zpracování osobních údajů zaměstnancům správce nebo zpracovatele a jiným osobám, které pro správce nebo zpracovatele na základě smlouvy zpracovávají osobní údaje, je širší, nebo spíše povinností při ochraně osobních údajů, stanovených zejména § 13 odst. 1 ZoOU. Nebudou-li pravidla stanovena vůbec, nebo sice stanovena budou, ale nebudou dodržována, protože správce nebo zpracovatel jejich dodržování nekontroloval, vystavuje správce nebo zpracovatel možnosti postihu za jiný správní delikt, minimálně podle § 45 odst. 1 písm. h) ZoOU.

Je totiž faktem že ZoOU, resp. jeho sankční ustanovení nestíhají nedodržování stanovených pokynů a pravidel zpracování zaměstnanci a dalšími osobami. Pokud tedy zaměstnanec správce nebo zpracovatele a další osoby nedodrží stanovené pokyny a postupy, nehrozí jim sankce podle ZoOU. Správce nebo zpracovatel tak vůči takovým osobám mohou uplatnit toliko pracovně právní odpovědnost (v případě zaměstnanců), nebo odpovědnost smluvní u dalších osob, je-li sjednána, ale odpovědnost za porušení pravidel zabezpečení ochrany osobních údajů při jejich zpracování stíhá přímo správce nebo zpracovatele. Jsou-li však pokyny pro zpracování osobních údajů zaměstnancům a dalším osobám prokazatelně vydány, jsou dobře a komplexně zpracovány a jsou také pravidelně kontrolovány, tak v případě "selhání jedince" by se mohl správce nebo zpracovatel, pokud jsou právnickou osobou, dovolávat zproštění odpovědnosti za správní delikt, a to podle § 46 odst. 1 ZoOU, podle kterého právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila⁴⁾.

Obecně je možno říci, že liberace neboli zproštění se odpovědnosti přichází v úvahu u objektivní odpovědnosti (tj. odpovědnost nastupující bez zřetele k zavinění), a to pouze ze zákonem stanovených tzv. liberačních (zprošťujících) důvodů. Ty jsou upraveny pro jednotlivé zvláštní případy objektivní odpovědnosti speciálně. Důkaz o existenci liberačního důvodu tíží vždy škůdce. Chce-li se tedy odpovědný subjekt odpovědnosti zprostit, musí prokázat, že je v daném případě dán liberační důvod vylučující jeho odpovědnost za vzniklou škodu. V závislosti na konkrétních okolnostech případu může existence liberačního důvodu vést k částečnému nebo úplnému zproštění se odpovědnosti za škodu.

Podle § 46 ZoOU právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. Jak již bylo uvedeno výše, důležitým aspektem odpovědnosti za jiné správní delikty je to, že právnické osoby a fyzické osoby podnikající mají tzv. objektivní odpovědnost, tj. odpovídají bez ohledu na zavinění i za protiprávní stav, který při výkonu jejich činnosti nastal. ZoOU však upravuje i možnost liberace (zproštění se odpovědnosti) z této odpovědnosti, a to v případě, kdy správce nebo zpracovatel prokáže (tzv. důkazní břemeno tedy není na straně Úřadu), že vynaložil veškeré úsilí, které od něj bylo v dané situaci možné spravedlivě požadovat, aby k porušení povinnosti nedošlo. Hodnocení toho, zda na jednání správce nebo zpracovatele toto liberační ustanovení dopadá či nikoli, je naopak plně v kompetenci Úřadu, který se s touto otázkou musí řádně vypořádat v odůvodnění svého rozhodnutí.⁵⁾

Dá se tedy říci, že pravidla ochrany osobních údajů platí v zásadě za všech okolností. Není podstatné, zda se jedná o soubor osobních údajů zpracovávaných výpočetní technikou nebo např. o soubor listin, na nich jsou osobní údaje uvedeny. Samozřejmě existuje ustanovení ZoOU, které umožňuje v některých případech uplatnit , uvedené v § 46 odst. 1 ⁶⁾. Příkladem může být např. situace, kdy osoba ponechá soubor osobních údajů v listinné podobě volně položené ve vozidle, byť uzamčeném, ale tak, že soubor osobních údajů není dále nijak chráněn. Takovou situaci již řešil i dozorový orgán, tedy ÚOOÚ. Došel k závěru, že ani uzamčení vozidla není, resp. nemusí být považováno za dostatečnou ochranu a tedy naplnění povinnosti stanovené v § 13 odst. 1 ZoOU a nelze se tedy dovolávat liberačního důvodu zmíněného výše. Z publikovaného výňatku⁷⁾ je zřejmé, že "jednání účastníka řízení (tj. uzamčení vozidla, zaparkování vozidla ve frekventované části města, vědomost o kamerovém systému města) z hlediska ustanovení § 46 odst. 1 ZoOU není dostatečné". Je uvedeno, že "vynaložení veškerého úsilí, které bylo možno požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému, konkrétně posuzovanému případu, jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit (zákon používá kritérium veškeré úsilí, které bylo možno požadovat, a nikoliv např. spravedlivě požadovat, požadovat s ohledem na poměry atp.). V případě účastníka řízení sice došlo k uzamčení vozidla, to ovšem nemění nic na skutečnosti, že vozidlo (jeho zadní sedadlo) není běžným místem pro uložení dokumentů s osobními údaji. Navíc v případě dokumentace obsahující i údaje o zdravotním stavu nebo informace týkající se trestního řízení se správní orgán domnívá, že jednoznačně nelze hovořit o vynaložení veškerého úsilí, aby nedošlo k neoprávněnému přístupu k těmto údajům. Instalace kamerového systému ve městě a tvrzení účastníka řízení, že jeho existenci vyhodnocoval při svém rozhodování o zaparkování automobilu ve městě a případném ponechání předmětné dokumentace uvnitř auta, zcela jasně odporuje logice a správní orgán je přesvědčen, že se jedná skutečně o účelové tvrzení, které má dodatečně liberovat jednání účastníka řízení. Dle správního orgánu je zcela rozhodující v tomto směru také skutečnost, že auto bylo na zaparkovaném místě ponecháno po dobu skoro 4 hodin, tudíž se nejednalo zcela zjevně o snahu v co nejkratší době zavést dokumentaci do místa jiného výkonu pracovní činnosti účastníka řízení, a to, že dokumenty byly odcizeny po 15 minutách od zaparkování vozidla, na tom nic nemění. Také uložení dokumentů v plátěné tašce na místo na zadním sedadle, které je volně viditelné z venku všem kolemjdoucím, lze chápat jako nedostatečnou snahu k přijetí a provedení vůbec jakýchkoliv (pomineme-li běžné uzamčení vozidla) opatření k zajištění bezpečnosti před neoprávněným přístupem". Jak je z výše uvedeného zřejmé, pro splnění podmínek ochrany osobních údajů a případnou liberaci v případě nějakého konfliktu ve vztahu k ochraně osobních údajů je třeba mít na paměti, že dosažení, resp. prokázání liberačního důvodu není samo sebou, a že tento důvod musí být správcem, resp. zpracovatelem nejen jednoznačně prokázán, ale také musí vycházet z toho, že ne jakákoliv opatření, ale opatření maximálně možná mohou být za liberační důvod uznána.

Ve většině případů nebude pro případnou liberaci postačovat ani fakt, že správce sice přijal soubor dokumentů zajišťujících ochranu osobních údajů ve smyslu § 13 odst. 2 ZoOU, nicméně přesto došlo k incidentu, tedy úniku osobních údajů mimo sféru správce. Také obdobná situace již byla v rámci správního řízení dozorovým orgánem posuzována. Na webových stránkách Úřadu⁸⁾ je dostupný text, v němž se uvádí, že "správní orgán proto na základě shora uvedeného posuzoval jednání účastníka řízení (tj. přijetí opatření formou vnitřních předpisů, způsob seznámení zaměstnanců s těmito předpisy atd.) toliko z hlediska ustanovení § 46 odst. 1 ZoOU. Správní orgán v této souvislosti uvádí, že vynaložení veškerého úsilí, které bylo možno požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému, konkrétně posuzovanému případu, jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit (zákon používá kritérium veškeré úsilí, které bylo možno požadovat, a nikoliv např. spravedlivě požadovat, požadovat s ohledem na poměry atp.). V případě účastníka řízení sice došlo ke zpracování interních předpisů, ale nedošlo prokazatelně k jejich dostatečnému provedení, které by zabránilo úniku osobních údajů. Jak vyplývá z výpovědi zaměstnankyně, nebyla si vědoma všech svých povinností vyplývajících z jejího funkčního zařazení a také se neseznámila s předpisy, byť i zveřejněnými na intranetu, účastníka řízení. Správní orgán má proto za prokázané, že účastník řízení nevynaložil veškeré úsilí, které bylo možné požadovat, a že nepochybně existovaly další možnosti, jak mohl postupovat, aby odcizení osobních údajů zabránil; minimálně mohl zajistit skutečné proškolení své zaměstnankyně s následným ověřením jejích znalostí ve vztahu k bezpečnostním opatřením. Za vynaložení veškerého úsilí poté správní orgán v žádném případě nepovažuje odkaz na povinnost mlčenlivosti v pracovní smlouvě (zákonnou povinnost mlčenlivosti má každý zaměstnanec správce osobních údajů dle § 15 ZoOU, přičemž tato povinnost nijak nezbavuje správce odpovědnosti za zabezpečení osobních údajů) stejně tak jako obecné stanovení místa výkonu práce. Jak již bylo uvedeno, účelem povinnosti dle § 13 odst. 1 ZoOU není primárně to, aby správce osobních údajů přijal formálně bezpečnostní předpisy, ale zajištění toho, aby nedošlo k neoprávněnému přístupu k osobním údajům, a tím naplnění práva subjektu údajů na ochranu jeho soukromí. Z tohoto hlediska a tímto kritériem proto správní orgán také posuzoval vynaložené úsilí správce ve vztahu k možnému naplnění liberačního ustanovení".

Současně pak je ve zmiňovaném odkazu zdůrazněno, že "s ohledem na shora uvedený výklad § 13 odst. 1 ZoOU je poté správní orgán toho názoru, že použití pojmů "nepřijme nebo neprovede" nic nemění na charakteru odpovědnosti správce za nesplnění povinnosti dle § 13 ZoOU; uvedení bezpečnostních opatření v život, tak aby plnila svůj smysl a účel, nelze jiným způsobem, než jejich přijetím a provedením, přičemž tyto dva pojmy dle názoru správního orgánu současně plně pokrývají a vystihují všechny možné způsoby naplnění účelu bezpečnostních opatření; jinými slovy, s bezpečnostními opatřeními nelze dělat nic jiného, než je přijmout a provést. Správní orgán je proto toho názoru, že dikce § 45 odst. 1 písm. h) ZoOU nedává účastníkovi řízení prostor k tomu, aby prokazováním svého preventivního jednání popřel, že k naplnění skutkové podstaty deliktu došlo, byl-li přístup neoprávněné osoby k osobním údajům nepochybně prokázán".

Lze tedy uzavřít, že podceňování zabezpečení ochrany osobních údajů je velmi "rizikovou" záležitostí, neboť šíře zákonné povinnosti je značná a spoléhání na případné uplatnění možných liberačních důvodů by bylo z hlediska samotného smyslu a účelu zákonných ustanovení velmi nezodpovědné zejména při faktu, že případně udělené pokuty mohou dosáhnout nezanedbatelné výše a prokázání, resp. dovolání se liberačního důvodu je velmi nejisté, jak o tom svědčí výše uvedené příklady.