I. Správa automatického daňového informačního systému ADIS není vyňata z působnosti § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů. II. Přijetí opatření v oblasti automatizovaného zpracování osobních údajů podle
§ 13 odst. 4 zákona č. 101/2000 Sb., o ochraně osobních údajů, není ponecháno na vůli správce či zpracovatele osobních údajů. III. Splnění povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo,
kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) podle § 13 odst. 4
písm. c) zákona č. 101/2000 Sb., o ochraně osobních údajů, se nelze vyhnout poukazem na dodržení podmínek § 13 odst. 1 tohoto zákona. IV. Cílem opatření podle § 13 odst. 4 písm. c) zákona č. 101/2000 Sb., o ochraně
osobních údajů, je víceméně s určitostí zjistit, kdo a kdy učinil jakou operaci s osobními údaji. Nepostačuje tedy přijetí opatření, která umožňují zjistit tytéž skutečnosti pouze s relativně vysokou mírou pravděpodobnosti.
I. Správa automatického daňového informačního systému ADIS není vyňata z působnosti § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů. II. Přijetí opatření v oblasti automatizovaného zpracování osobních údajů podle
§ 13 odst. 4 zákona č. 101/2000 Sb., o ochraně osobních údajů, není ponecháno na vůli správce či zpracovatele osobních údajů. III. Splnění povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo,
kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) podle § 13 odst. 4
písm. c) zákona č. 101/2000 Sb., o ochraně osobních údajů, se nelze vyhnout poukazem na dodržení podmínek § 13 odst. 1 tohoto zákona. IV. Cílem opatření podle § 13 odst. 4 písm. c) zákona č. 101/2000 Sb., o ochraně
osobních údajů, je víceméně s určitostí zjistit, kdo a kdy učinil jakou operaci s osobními údaji. Nepostačuje tedy přijetí opatření, která umožňují zjistit tytéž skutečnosti pouze s relativně vysokou mírou pravděpodobnosti.
Žalovaný rozhodnutím ze dne 30. 9. 2009
uložil České republice – Ministerstvu financí
pokutu ve výši 350 000 Kč za správní delikt
dle § 45 odst. 1 písm. h) ZOOÚ.
Žalobce podal proti rozhodnutí žalovaného rozklad, který předseda žalovaného zamítl
rozhodnutím ze dne 21. 12. 2009.
Žalobce podal proti rozhodnutí o rozkladu žalobu u Městského soudu v Praze, který ji
zamítl rozsudkem ze dne 8. 8. 2012, čj. 10 A
46/2010-62. Působnost Ministerstva financí
jakožto správce, resp. zpracovatele osobních
údajů v rámci automatizovaného daňového
informačního systému (ADIS) v průběhu
řízení o žalobě [v důsledku účinnosti zákona
č. 199/2010 Sb., kterým se mění zákon
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
č. 586/1992 Sb., o daních z příjmů,
ve znění pozdějších předpisů, a zákon
č. 218/2000 Sb., o rozpočtových pravidlech
a o změně některých souvisejících zákonů
(rozpočtová pravidla), ve znění pozdějších
předpisů, a některé další zákony] přešla na
Generální finanční ředitelství. Jako se žalobcem proto bylo v řízení před městským soudem posléze jednáno s Českou republikou –
Generálním finančním ředitelstvím.
Městský soud v odůvodnění rozsudku odkázal na čl. 1, čl. 17 a bod 46 preambule směrnice Evropského parlamentu a Rady 95/46/ES
o ochraně fyzických osob v souvislosti se
zpracováním osobních údajů a o volném pohybu těchto údajů. Účelem zákona o ochraně
osobních údajů, shodným s cíli směrnice
95/46/ES, je ochrana jednotlivců v souvislosti
se zpracováním jejich osobních údajů. Za tímto účelem jsou správci ukládány povinnosti
při zabezpečení zpracování těchto údajů. Zabezpečeno má být jakékoli nakládání s osobními údaji zahrnované pod pojem zpracování
(„processing“). Cílem právní úpravy v této oblasti je ochrana osob ve vztahu ke zpracování
osobních údajů, resp. naplnění jejich práva
na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana
údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný
pojem zpracování. Zabezpečení osobních
údajů ve smyslu § 13 ZOOÚ není činností zahrnovanou pod pojem zpracování osobních
údajů dle § 4 písm. e) téhož zákona.
racování
osobních údajů, resp. naplnění jejich práva
na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana
údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný
pojem zpracování. Zabezpečení osobních
údajů ve smyslu § 13 ZOOÚ není činností zahrnovanou pod pojem zpracování osobních
údajů dle § 4 písm. e) téhož zákona.
Ustanovení § 3 odst. 6 citovaného zákona
stanoví výjimku pro zpracování osobních
údajů, kterou je nutno vykládat restriktivně.
Tato výjimka nepředstavuje vynětí orgánů daňové správy z působnosti ZOOÚ. Znamená,
že správce (či zpracovatele) osobních údajů
výjimečně nezavazují pouze § 5 odst. 1 a § 11
a § 12 ZOOÚ pro zpracování osobních údajů
nezbytných pro plnění povinností správce,
a to v případě, kdy jedná v zájmu zajištění např.
významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména
stabilita finančního trhu a měny, fungování
peněžního oběhu a platebního styku, jakož
i rozpočtová a daňová opatření. I v případech, kdy žalobce zpracovává osobní údaje
nezbytné pro plnění povinností stanovených
touto výjimkou dle § 3 odst. 6 citovaného zákona, a kdy není vázán jen § 5 odst. 1 a § 11
a § 12 téhož zákona, je vázán jeho § 13. Vztažení výjimky pro zpracování osobních údajů
na správu daní ve smyslu „běžné“ činnosti (jakékoli „daňové“ opatření) by bylo proti smyslu „správy daní“, jak je tento institut vymezen
v § 1 odst. 2 zákona č. 280/2009 Sb., daňový
řád. Článek 13 směrnice 95/46/ES nezavazuje
přijmout legislativní opatření s cílem omezit
ve vyjmenovaných oblastech rozsah práv
a povinností uvedených v jejím čl. 17 (Bezpečnost zpracování). Ani z důvodové zprávy
k zákonu č. 439/2004 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, není možno dovodit, že
výjimka daná § 3 odst. 6 ZOOÚ znamená vyloučení aplikace celého zákona (včetně § 13).
Městský soud neshledal opodstatněnou námitku, že daňový řád jako procesní právní předpis pro správu daní a zákon č. 531/1990 Sb.,
o územních finančních orgánech, představují speciální právní předpis s autonomní úpravou ochrany osobních údajů. Tyto zákony neobsahují autonomní celistvou právní úpravu
pro zpracování osobních údajů v oblasti daňové správy s cílem ochrany jednotlivce, a nemohou tak vyloučit aplikaci obecné úpravy,
kterou představuje ZOOÚ. Zakotvení toliko
povinnosti mlčenlivosti a sankce za její nedodržení nemohou garantovat samy o sobě vyšší ochranu zpracovávaným osobním údajům,
nahrazující či dokonce přesahující rámec vymezený pravidly pro zpracování osobních
údajů ZOOÚ. Povinnost mlčenlivosti je upravena jak v obecném předpise pro správní řízení (správním řádu), tak i v řadě dalších
předpisů upravujících konkrétní oblasti veřejné, resp. státní správy.
becné úpravy,
kterou představuje ZOOÚ. Zakotvení toliko
povinnosti mlčenlivosti a sankce za její nedodržení nemohou garantovat samy o sobě vyšší ochranu zpracovávaným osobním údajům,
nahrazující či dokonce přesahující rámec vymezený pravidly pro zpracování osobních
údajů ZOOÚ. Povinnost mlčenlivosti je upravena jak v obecném předpise pro správní řízení (správním řádu), tak i v řadě dalších
předpisů upravujících konkrétní oblasti veřejné, resp. státní správy.
Z podkladů, jichž se žalobce dovolává nelze jen proto, že je v nich užit pojem „opatření“, dovozovat, že na žalobce nedopadají povinnosti § 13 ZOOÚ, resp. že výjimka
zakotvená v § 3 odst. 6 písm. f) či g) citovaného zákona pod pojmem „daňová opatření“
rozumí správu daní jako takovou. Žalobce pomíjí, že musí jít o „opatření“ zajišťující významný finanční zájem České republiky či
Evropské unie.
Původně obecná úprava § 13 ZOOÚ doznala změny, a kromě ustanovení odstavec 3
byla výslovně v odstavci 4 stanovena pro případ automatizovaného zpracování osobních
údajů vedle opatření podle odstavce 1 obecně
vymezených konkrétně také povinnost mj.
pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu
byly osobní údaje zaznamenány nebo jinak
zpracovány. V případě automatizovaného zpracování osobních údajů již není ponecháno úvaze správce, jako u volby opatření podle od-
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
stavce 1, jaké konkrétní technické či organizační opatření provede, aby zajistil vyloučení
rizik dle odstavce 3. Je zde přímo založena
povinnost správce, aby systém pro automatizované zpracování osobních údajů zaznamenával, kdy, kým a z jakého důvodu byly osobní údaje do něj vloženy a jinak zpracovány.
Volba tohoto prostředku tak není již ponechána na úvaze konkrétního správce o vyhodnocení rizik, ale jde o prostředek, který v případě automatizovaného zpracování osobních
údajů představuje určitý standard, požadovaný zákonem od všech adresátů právní normy,
zpracovávají-li osobní údaje automatizovaně.
Z článku 17 směrnice 95/46/ES vyplývá, že
členským státům bylo ponecháno vymezení
povinností, jimiž správce zaváže, s přihlédnutím ke stavu techniky a nákladům na provedení tak, aby opatření zajistila přiměřenou
úroveň bezpečnosti odpovídající rizikům.
Pro automatizované zpracování osobních
údajů představuje uvedený požadavek s ohledem na stav techniky a náklady standard.
Městský soud neshledal, že by při zpracování
osobních údajů v rámci správy daní daňové
orgány měly či mohly být takto stanovené povinnosti zproštěny.
vymezení
povinností, jimiž správce zaváže, s přihlédnutím ke stavu techniky a nákladům na provedení tak, aby opatření zajistila přiměřenou
úroveň bezpečnosti odpovídající rizikům.
Pro automatizované zpracování osobních
údajů představuje uvedený požadavek s ohledem na stav techniky a náklady standard.
Městský soud neshledal, že by při zpracování
osobních údajů v rámci správy daní daňové
orgány měly či mohly být takto stanovené povinnosti zproštěny.
Žalobce (stěžovatel) podal proti rozsudku městského soudu kasační stížnost, v níž
namítal, že § 13 ZOOÚ je implementován do
českého právního řádu na základě směrnice
95/46/ES. Je třeba odlišovat povinnost členského státu provést směrnici a uložení povinnosti členskému státu, resp. jeho organizační
jednotce provést určitá opatření proti neoprávněnému nebo nahodilému přístupu
k osobním údajům v rámci automatizovaných informačních systémů. Pokud je povaha
§ 13 odst. 1 a 4 písm. c) citovaného zákona
preventivní, je třeba při ukládání povinností
vyjít ze znění ZOOÚ a směrnice 95/46/ES
(čl. 17 odst. 1 transponovaný do § 13 odst. 1
uvedeného zákona). Při volbě postupů a opatření ve vnitrostátním právním předpisu k zajištění účelu a smyslu směrnice se na základě
principu proporcionality musí poměřovat na
jedné straně stav techniky, náklady na provedení příslušných opatření i přiměřená úroveň bezpečnosti odpovídající rizikům zpra-
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
limit
kládání povinností
vyjít ze znění ZOOÚ a směrnice 95/46/ES
(čl. 17 odst. 1 transponovaný do § 13 odst. 1
uvedeného zákona). Při volbě postupů a opatření ve vnitrostátním právním předpisu k zajištění účelu a smyslu směrnice se na základě
principu proporcionality musí poměřovat na
jedné straně stav techniky, náklady na provedení příslušných opatření i přiměřená úroveň bezpečnosti odpovídající rizikům zpra-
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
limit
cování a povaze údajů, na druhé straně i samotné preventivní funkce opatření. Tato interpretace odráží obecný princip, že primárním prostředkem ochrany před nezákonným
zásahem je především jeho prevence, ovšem
s přihlédnutím k povaze každého konkrétního případu. Před novelizací zákonem
č. 170/2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru, byly povinnosti správce nebo zpracovatele upraveny
relativně neurčitě, kdy bylo na nich, aby sami
zhodnotili rizika při zpracování osobních
údajů. Důvodem byla ta skutečnost, že podmínky zpracování osobních údajů se u každého správce nebo zpracovatele natolik liší, že
jakákoli paušalizace by nebyla efektivní.
Technická a organizační opatření volil správce nebo zpracovatel dle úvahy limitované
účelem tohoto ustanovení a čl. 17 směrnice
95/46/ES. Stanovení limitů povinností dle
čl. 17 této směrnice je nutné vykládat i s přihlédnutím k jejímu bodu 46 preambule.
Z uvedeného limitu vyplývá, že testu proporcionality se musí podrobit: odpovídající bezpečnostní opatření zabraňující neoprávněnému zpracování osobních údajů a náklady
na jejich provedení, míra rizika ze zpracování
údajů, povaha údajů a procesy, které se k nim
váží. Rizikovost procesů je snížena technickými opatřeními, kdy je dána úzká souvislost
mezi konkrétním daňovým subjektem a konkrétní úřední osobou spravující jeho daň. Je
třeba mít dále na zřeteli specifika systému
ADIS i samotné správy daní. Opatření dle
§ 13 odst. 4 písm. c) ZOOÚ by mohlo vést ke
zpomalení systému, aniž by současně přineslo odpovídající snížení míry bezpečnostního
rizika, přičemž vytvoření nového systému by
s sebou neslo značné náklady. Pokud český
zákonodárce nepromítl
aplikace
čl. 17 směrnice 95/46/ES, jedná se o porušení
povinnosti transponovat směrnici jednotně ve
všech členských státech. První věta čl. 17 se
jeví spíše obecná. Členský stát může přijmout podrobnější úpravu, ale nemůže netransponovat obecně vyjádřené limity ve větě druhé, jež se vztahují jak k poměřování
povinnosti vycházející explicitně z čl. 17 citované směrnice, tak i jeho konkretizování ve
vnitrostátním právním předpise. Tímto je totiž explicitním jazykovým výkladem české
právní normy v rozporu s uvedenou směrnicí
rozšířena povinnost pro všechny správce
a zpracovatele, nezávisle na jejich veřejnoprávní nebo soukromoprávní povaze.
podrobnější úpravu, ale nemůže netransponovat obecně vyjádřené limity ve větě druhé, jež se vztahují jak k poměřování
povinnosti vycházející explicitně z čl. 17 citované směrnice, tak i jeho konkretizování ve
vnitrostátním právním předpise. Tímto je totiž explicitním jazykovým výkladem české
právní normy v rozporu s uvedenou směrnicí
rozšířena povinnost pro všechny správce
a zpracovatele, nezávisle na jejich veřejnoprávní nebo soukromoprávní povaze.
Přímý účinek směrnice 95/46/ES vede k jejímu použití namísto chybějícího ustanovení,
které by zakládalo limity povinnosti správce
nebo zpracovatele dle § 13 odst. 1 ZOOÚ. Podmínky jasnosti, přesnosti i úplnosti a bezpodmínečnosti evropské normy jsou splněny.
Jsou splněny i specifické podmínky pro přímý účinek směrnice: marné uplynutí lhůty
k řádné implementaci, nedochází k přímému
uložení povinnosti, zlepšení právního postavení aktivně legitimovaných přímých či nepřímých beneficiantů směrnice (z hlediska
věty druhé čl. 17 směrnice 95/46/ES je beneficiantem správce nebo zpracovatel). Při interpretaci § 13 ZOOÚ je tudíž třeba aplikovat
přímý účinek čl. 17 věty druhé citované směrnice. Správní orgán dohledu i soudní orgán je
povinen aplikovat i směrnicí stanovené limity.
Přijetím zákona č. 170/2007 Sb. byly do
§ 13 ZOOÚ zařazeny odstavce 3 a 4, které měly doplnit a upřesnit jeho odstavec 1 s tím, že
povinnost správce a zpracovatele zůstala i dle
důvodové zprávy stejná. Ustanovení § 13 odstavec 4 uvedeného zákona jen návodně
upřesňuje obecnou povinnost správce nebo
zpracovatele, což potvrzuje i odborná literatura. Opatření mohou být technická, organizační, právní a jiná. Organizačně-právním
opatřením, jež má preventivně působit na
úřední osoby a tím jim zabraňovat v neoprávněném zpracování osobních údajů, je v prvé
řadě povinnost mlčenlivosti stanovená v § 52
odst. 1 daňového řádu. Porušením této povinnosti, která má stejný charakter i účel jako
povinnost dle § 13 odst. 1 ZOOÚ a kterou
i doplňuje a rozvíjí, se úřední osoba vystavuje
přestupkovému řízení s možnou pokutou až
500 000 Kč. Takovou úpravu lze chápat jako
velmi přísnou, tedy z hlediska prevence velmi účinnou. Nadto je každý zaměstnanec
o této povinnosti a možných následcích poučen. Stěžovatel dále konkretizoval technická
opatření, jež zabraňují v přístupu jakékoli
úřední osoby ke všem údajům v systému
ADIS, přiblížil přihlašování do systému, přidělování přístupového práva a určování jeho
rozsahu a uzavřel, že je ve stávajícím stavu
systému ADIS ve spojení s organizačními
i
technickými opatřeními daňové správy
možné s relativně vysokou mírou pravděpodobnosti zjistit, která úřední osoba mohla neoprávněně zpracovávat osobní údaje.
těžovatel dále konkretizoval technická
opatření, jež zabraňují v přístupu jakékoli
úřední osoby ke všem údajům v systému
ADIS, přiblížil přihlašování do systému, přidělování přístupového práva a určování jeho
rozsahu a uzavřel, že je ve stávajícím stavu
systému ADIS ve spojení s organizačními
i
technickými opatřeními daňové správy
možné s relativně vysokou mírou pravděpodobnosti zjistit, která úřední osoba mohla neoprávněně zpracovávat osobní údaje.
V § 3 odst. 6 ZOOÚ je mezi oblastmi, na
které se povinnosti správce uvedené v § 5
odst. 1, § 11 a § 12 nevztahují, uvedena i oblast správy daní. Uvedené povinnosti správce
osobních údajů se neaplikují v případě významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména
stabilita finančního trhu a měny, fungování
peněžního oběhu a platebního styku, jakož
i rozpočtová a daňová opatření. Z důvodové
zprávy vyplývá, že původní znění neodpovídalo znění směrnice 95/46/ES. Demonstrativním výčtem právních předpisů, uvedeným
v poznámce pod čarou, jsou do jisté míry stanoveny okruhy činností, jež mají výjimku
z uvedených povinností. Pro správu daní je
zde uveden zákon č. 212/1992 Sb., o soustavě
daní, ve znění zákona č. 302/1993 Sb., přičemž tento byl s účinností k 1. lednu 2004
zrušen. I tak je ale jednoznačně dána výjimka
pro správu daní a její jednotlivá daňová řízení
(daňová opatření). Pojem „daňová opatření“
je třeba vyložit s ohledem na jeho běžné použití v českých právních předpisech. Jde
o každé individuální rozhodnutí v daňové oblasti. Vzhledem k § 5 odst. 1 ZOOÚ, který uvozuje systematicky jeho Hlavu II pojednávající
o právech a povinnostech při zpracování
osobních údajů, je dána výjimka i v oblasti zaznamenávání logů, protože vysvětlení povinnosti dle § 13 odst. 1 citovaného zákona je
třeba chápat jako součást obecné povinnosti
správce dle § 5 odst. 1 téhož zákona, zejména
pod písm. b).
Žalovaný ve svém vyjádření ke kasační
stížnosti uvedl, že ZOOÚ byl do českého
právního řádu implementován také na základě směrnice 95/46/ES, nicméně povinnost
zajistit vysokou úroveň ochrany osobních
údajů České republice ukládá již Úmluva
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
lení povinnosti dle § 13 odst. 1 citovaného zákona je
třeba chápat jako součást obecné povinnosti
správce dle § 5 odst. 1 téhož zákona, zejména
pod písm. b).
Žalovaný ve svém vyjádření ke kasační
stížnosti uvedl, že ZOOÚ byl do českého
právního řádu implementován také na základě směrnice 95/46/ES, nicméně povinnost
zajistit vysokou úroveň ochrany osobních
údajů České republice ukládá již Úmluva
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
o ochraně osob se zřetelem na automatizované zpracování osobních dat (č. 115/2001
Sb. m. s.). Vzhledem k bodu 2 preambule a čl. 1
směrnice 95/46/ES je tato směrnice prostředkem ochrany základních práv a svobod fyzických
osob, zejména jejich soukromí v souvislosti se
zpracováním osobních údajů, a beneficientem práv ze směrnice jsou tedy fyzické osoby
(subjekty údajů). Podle bodu 10 preambule
implementace směrnice nesmí vést k oslabení této ochrany. Podle jejího čl. 5 je úkolem
příslušného státu upřesnit podmínky, za kterých je zpracování osobních údajů přípustné,
a stanovit též povinnosti týkající se bezpečnosti zpracování osobních údajů, jak je vymezuje čl. 17. Druhá věta čl. 17 směrnice
95/46/ES stanoví, jakého cílového stavu má
být prostřednictvím příslušných opatření dosaženo, a to s ohledem na zde vyjmenované
aspekty. Nejedná se o stanovení limitů v rámci bezpečnostních opatření, případně o úlevy pro beneficienta směrnice, za kterého se
bezdůvodně považuje sám stěžovatel. V souladu s uvedenými ustanoveními směrnice zákonodárce zakotvil obecnou povinnost přijímat opatření k zabezpečení osobních údajů
(§ 13 odst. 1 ZOOÚ) a dále určil, jaká rizika
musí být předmětnými opatřeními zohledněna (§ 13 odst. 3 téhož zákona). V § 13 odst. 4
ZOOÚ výslovně nařídil, jaká opatření musí
být provedena. Povinnost uložená v § 13
odst. 4 písm. c) citovaného zákona zvyšuje
standard bezpečnosti zpracování osobních
údajů. Plněním této povinnosti je umožňováno přímo identifikovat osoby mající přístup
k osobním údajům, a tedy identifikovat i původce případného narušení bezpečnosti
zpracování osobních údajů. Značná část narušitelů bezpečnosti zpracování osobních
údajů pochází z řad zaměstnanců správce,
případně zpracovatele osobních údajů. Zakotvení tohoto ustanovení svědčí o vysokém
stupni implementace směrnice. Ze samotné
dikce návětí § 13 odst. 4 téhož zákona („povinen také“) je evidentní, že má kogentní povahu a není ustanovením, které jen návodně
upřesňuje obecnou povinnost správce nebo
zpracovatele s přihlédnutím k rozumným
a pro konkrétní případ efektivním opatřením. Závaznost povinností podle tohoto ustanovení potvrzuje i odborná literatura.
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
vení tohoto ustanovení svědčí o vysokém
stupni implementace směrnice. Ze samotné
dikce návětí § 13 odst. 4 téhož zákona („povinen také“) je evidentní, že má kogentní povahu a není ustanovením, které jen návodně
upřesňuje obecnou povinnost správce nebo
zpracovatele s přihlédnutím k rozumným
a pro konkrétní případ efektivním opatřením. Závaznost povinností podle tohoto ustanovení potvrzuje i odborná literatura.
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
Z § 3 odst. 6 uvedeného zákona je především zřejmé, že výjimky nezahrnují správu
daní jako takovou, ale pouze určité její části.
Významnějším je, že předmětné výjimky zahrnují pouze určitá výslovně uvedená ustanovení ZOOÚ, a nikoliv povinnosti podle § 13.
Povinnosti stanovené v § 5 odst. 1 a § 13 citovaného zákona se týkají problematiky zpracování osobních údajů a patří mezi klíčové, což
je logickým důvodem pro jejich zařazení do
hlavy II. Nicméně jsou obsahově rozdílné
a plnění povinnosti podle § 13 nelze chápat
jako neoddělitelnou součást povinností zakotvených v § 5 odst. 1 téhož zákona. Článek 13
směrnice 95/46/ES vůbec nepřipouští výjimku z povinnosti zajistit bezpečnost zpracování podle čl. 17 téže směrnice.
Relevantní daňové předpisy nezakotvují
žádnou povinnost při zabezpečení osobních
údajů korespondující s povinnostmi podle
§ 13 ZOOÚ. Za takovou povinnost nelze považovat povinnost mlčenlivosti ani přidělování přístupových práv úředním osobám [to
koresponduje pouze s povinností dle § 13
odst. 4 písm. a) citovaného zákona]. Účelem
povinnosti dle § 13 odst. 4 písm. c) uvedeného zákona je přímo identifikovat osobu, která
mohla neoprávněně zpracovávat osobní
údaj, a ověřit její jednání.
Nejvyšší správní soud kasační stížnost
zamítl.
Z odůvodnění:
IV.
Posouzení Nejvyšším správním soudem
(...) Nedůvodnou shledal Nejvyšší správní
soud také námitku vynětí oblasti správy daní
z povinnosti stanovené v § 13 ZOOÚ.
Podle § 3 odst. 6 téhož zákona se pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními
zákony pro zajištění taxativně vyjmenovaných zájmů nepoužijí „§ 5 odst. 1 a § 11 a 12“.
V taxativním výčtu zájmů je pod písmenem f)
uveden také významný finanční zájem „České
republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny,
fungování peněžního oběhu a platebního
styku, jakož i rozpočtová a daňová opatření“.
Jak je nicméně zřejmé z citované pasáže,
§ 3 odst. 6 citovaného zákona vyjímá správce
plnící povinnosti stanovené pro zajištění vyjmenovaných zájmů explicitně pouze z působnosti § 5 odst. 1 a § 11 a § 12 téhož zákona. Takoví správci tedy nejsou vázaní pouze
povinnostmi stanovenými v těchto ustanoveních. Nelze přitom přisvědčit tvrzení stěžovatele, že povinnosti dle § 13 ZOOÚ jsou součástí povinnosti dle § 5 odst. 1 ZOOÚ,
zejména pod písm. b).
atření“.
Jak je nicméně zřejmé z citované pasáže,
§ 3 odst. 6 citovaného zákona vyjímá správce
plnící povinnosti stanovené pro zajištění vyjmenovaných zájmů explicitně pouze z působnosti § 5 odst. 1 a § 11 a § 12 téhož zákona. Takoví správci tedy nejsou vázaní pouze
povinnostmi stanovenými v těchto ustanoveních. Nelze přitom přisvědčit tvrzení stěžovatele, že povinnosti dle § 13 ZOOÚ jsou součástí povinnosti dle § 5 odst. 1 ZOOÚ,
zejména pod písm. b).
Podle § 5 odst. 1 uvedeného zákona je
správce povinen „a) stanovit účel, k němuž
mají být osobní údaje zpracovány, b) stanovit prostředky a způsob zpracování osobních údajů, c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto
zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované
osobní údaje nejsou s ohledem na stanovený
účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování
blokuje a osobní údaje opraví nebo doplní,
jinak osobní údaje zlikviduje. Nepřesné
osobní údaje lze zpracovat pouze v mezích
uvedených v § 3 odst. 6. Nepřesné osobní
údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních
údajů je správce povinen bez zbytečného odkladu předat všem příjemcům, d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro
naplnění stanového účelu, e) uchovávat
osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby,
pro účely vědecké a pro účely archivnictví.
Při použití pro tyto účely je třeba dbát práva
na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat,
jakmile je to možné, f) zpracovávat osobní
údaje pouze v souladu s účelem, k němuž
byly shromážděny. Zpracovávat k jinému
účelu lze osobní údaje jen v mezích § 3 odst. 6,
nebo pokud k tomu dal subjekt údajů předem souhlas, g) shromažďovat osobní údaje
pouze otevřeně; je vyloučeno shromažďovat
údaje pod záminkou jiného účelu nebo jiné
činnosti, h) nesdružovat osobní údaje, které
byly získány k rozdílným účelům.“
Podle § 13 odst. 1 citovaného zákona
jsou správce a zpracovatel „povinni přijmout taková opatření, aby nemohlo dojít
k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování,
jakož i k jinému zneužití osobních údajů.
Tato povinnost platí i po ukončení zpracování osobních údajů.“
Podle § 13 odst. 2 ZOOÚ je správce nebo
zpracovatel „povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních
údajů v souladu se zákonem a jinými právními předpisy“. Odstavec 3 pak stanoví správci
nebo zpracovateli povinnost v rámci opatření podle odstavce 1 posuzovat rizika týkající
se vyjmenovaných oblastí.
i k jinému zneužití osobních údajů.
Tato povinnost platí i po ukončení zpracování osobních údajů.“
Podle § 13 odst. 2 ZOOÚ je správce nebo
zpracovatel „povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních
údajů v souladu se zákonem a jinými právními předpisy“. Odstavec 3 pak stanoví správci
nebo zpracovateli povinnost v rámci opatření podle odstavce 1 posuzovat rizika týkající
se vyjmenovaných oblastí.
Podle § 13 odst. 4 ZOOÚ je správce nebo
zpracovatel povinen v oblasti automatizovaného zpracování osobních údajů v rámci opatření podle odstavce 1 také „a) zajistit, aby systémy pro automatizovaná zpracování osobních
údajů používaly pouze oprávněné osoby,
b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze
k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních
uživatelských oprávnění zřízených výlučně
pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy,
kým a z jakého důvodu byly osobní údaje
zaznamenány nebo
jinak zpracovány,
a d) zabránit neoprávněnému přístupu
k datovým nosičům“.
Povinnosti stanovené v § 5 odst. 1 citovaného zákona na jedné straně a § 13 téhož zákona na straně druhé jsou svou povahou zcela
odlišné. Zatímco § 5 odst. 1 stanoví povinnosti při zpracování osobních údajů, § 13 povinnosti při zabezpečení osobních údajů. Posledně uvedené ustanovení tedy směřuje
k zamezení neoprávněného přístupu ke zpra-
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
covávaným a zpracovaným osobním údajům
(popř. jejich neoprávněné změně, zničení,
ztrátě, přenosům, zpracování či jinému zneužití). Při zabezpečení osobních údajů se nejedná o zpracování ve smyslu § 4 písm. e)
ZOOÚ. Ustanovení § 13 citovaného zákona
tedy nelze chápat pouze jako upřesnění § 5
odst. 1 téhož zákona. Toto ustanovení přitom
neobsahuje žádné srovnatelné povinnosti
a plnění povinností v něm zakotvených ani jinak nezaručuje bezpečnost osobních údajů.
V žádném případě pak nelze takové povinnosti podřadit pod jeho § 5 odst. 1 písm. b).
Tím, že správce stanoví prostředky a způsob
zpracování osobních údajů [tedy splní povinnosti dle § 5 odst. 1 písm. b) ZOOÚ], nijak neplní povinnost přijmout opatření k zabezpečení osobních údajů.
upřesnění § 5
odst. 1 téhož zákona. Toto ustanovení přitom
neobsahuje žádné srovnatelné povinnosti
a plnění povinností v něm zakotvených ani jinak nezaručuje bezpečnost osobních údajů.
V žádném případě pak nelze takové povinnosti podřadit pod jeho § 5 odst. 1 písm. b).
Tím, že správce stanoví prostředky a způsob
zpracování osobních údajů [tedy splní povinnosti dle § 5 odst. 1 písm. b) ZOOÚ], nijak neplní povinnost přijmout opatření k zabezpečení osobních údajů.
Provedený taxativní výčet ustanovení,
která se podle § 3 odst. 6 ZOOÚ na správce ve
vyjmenovaných oblastech nepoužijí, je nutno
považovat za zcela jednoznačně projevenou
vůli zákonodárce nevyjímat tyto správce z povinnosti dle § 13 citovaného zákona. Navíc se
výjimky dle § 3 odst. 6 uvedeného zákona výslovně uplatní pouze pro zpracování osobních údajů, pod které nelze zahrnout zabezpečení osobních údajů (viz výše). Takto
projevená vůle zákonodárce přitom plně koresponduje s čl. 13 odst. 1 směrnice 95/46/ES,
podle něhož mohou členské státy přijmout
legislativní opatření s cílem omezit rozsah
povinností a práv uvedených v čl. 6 odst. 1,
čl. 10, čl. 11 odst. 1, čl. 12 a čl. 13, pokud je to
nezbytné pro zajištění vyjmenovaných zájmů. A contrario tak členské státy nemohou
učinit v případě povinnosti dle čl. 17 téže
směrnice. Nemožnost rozšíření takové výjimky lze dovodit i z cíle směrnice, jak je vyjádřen například v jejím desátém bodu odůvodnění nebo čl. 1 odst. 1. Podle nich členské
státy zajišťují ochranu základních práv a svobod fyzických osob, zejména jejich soukromí,
v souvislosti se zpracováním osobních údajů.
Sblížení vnitrostátních právních předpisů
použitelných v dané oblasti nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít
naopak za cíl zajištění vysoké úrovně ochrany v Evropské unii [v tomto smyslu viz také
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
rozsudky Soudního dvora ve věcech ze dne
6. 11. 2003, Lindqvist, C-101/01, Recueil,
s. I-12971, bod 95; ze dne 16. 12. 2008, Huber,
C-524/06, Sb. rozh., s. I-9705, bod 50; ze dne
16. 12. 2008, Tietosuojavaltuutettu, C-73/07,
Sb. rozh., s. I-9831, bod 52, a ze dne 24. 11. 2011,
ASNEF, C-468/10 a C-469/10, bod 28]. Také
eurokonformní výklad ZOOÚ, tj. výklad přibližující se co nejvíce obsahu a účelu směrnice, potvrzuje nutnost restriktivního posuzování výjimek dle § 3 odst. 6 citovaného
zákona. Pokud by český zákonodárce vyňal
správce v oblastech, které jsou v tomto ustanovení vyjmenovány, i z povinnosti stanovené v § 13 téhož zákona, překročil by své
oprávnění k přijetí výjimky dle čl. 13 odst. 1
směrnice 95/46/ES. O tom, že tento článek
připouští výjimky pouze z vyjmenovaných
ustanovení směrnice, přitom zjevně nemá
pochybnosti ani Soudní dvůr (srov. jeho rozsudek ve shora citované věci Tietosuojavaltuutettu, bod 47).
citovaného
zákona. Pokud by český zákonodárce vyňal
správce v oblastech, které jsou v tomto ustanovení vyjmenovány, i z povinnosti stanovené v § 13 téhož zákona, překročil by své
oprávnění k přijetí výjimky dle čl. 13 odst. 1
směrnice 95/46/ES. O tom, že tento článek
připouští výjimky pouze z vyjmenovaných
ustanovení směrnice, přitom zjevně nemá
pochybnosti ani Soudní dvůr (srov. jeho rozsudek ve shora citované věci Tietosuojavaltuutettu, bod 47).
Jelikož tedy správa systému ADIS není vyňata z působnosti § 13 ZOOÚ, je zcela nadbytečné zabývat se otázkou, v jakém rozsahu
spadá správa daní pod výjimku dle § 3 odst. 6
zmíněného zákona a jaký je přesný obsah pojmu „daňová opatření“ dle tohoto ustanovení.
V předmětné věci totiž byla stěžovateli uložena pokuta za porušení § 13 ZOOÚ, nikoliv
§ 5, § 11 či § 12 téhož zákona.
Další námitky stěžovatele se týkají výkladu samotných § 13 ZOOÚ a čl. 17 směrnice
95/46/ES. Především podle něj mají zpracovatel či správce povinnost podle § 13 odst. 4
písm. c) ZOOÚ pouze tehdy, je-li to proporcionální s ohledem na stav techniky, náklady
na provedení opatření, přiměřenou úroveň
bezpečnosti, rizika vyplývající ze zpracování
údajů a povahu chráněných údajů. Ačkoliv totiž tato hlediska nebyla podle něj do citovaného zákona řádně transponována, je potřeba je zohlednit.
Podle čl. 17 odst. 1 alinea prvá směrnice
95/46/ES „[č]lenské státy stanoví, že správce
musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů
proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávně-
nému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů
v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování“.
Podle čl. 17 odst. 1 alinea druhá téže směrnice „[t]ato opatření mají zajistit, s ohledem
na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být
chráněny“.
Jak již Soudní dvůr několikrát potvrdil, samotná směrnice 95/46/ES obsahuje pravidla
vyznačující se jistou pružností a v mnoha případech ponechává na členských státech, aby
upravily podrobnosti nebo si vybraly z daných
možností. Je proto potřeba vždy posoudit, zda
byla vnitrostátní opatření přijata a v konkrétním případě také aplikována v rámci směrnicí nastaveného prostoru pro uvážení (srov.
např. výše uvedené rozsudky Soudního dvora
ve věcech Lindqvist, body 83 až 85, a ASNEF,
body 35–36).
ěkolikrát potvrdil, samotná směrnice 95/46/ES obsahuje pravidla
vyznačující se jistou pružností a v mnoha případech ponechává na členských státech, aby
upravily podrobnosti nebo si vybraly z daných
možností. Je proto potřeba vždy posoudit, zda
byla vnitrostátní opatření přijata a v konkrétním případě také aplikována v rámci směrnicí nastaveného prostoru pro uvážení (srov.
např. výše uvedené rozsudky Soudního dvora
ve věcech Lindqvist, body 83 až 85, a ASNEF,
body 35–36).
Je nutno také vzít v úvahu, že čl. 17 odst. 1
alinea druhá směrnice 95/46/ES je nejen
z povahy tohoto pramene práva (viz čl. 288
alinea třetí Smlouvy o fungování EU) ale i ze
své dikce adresována samotným členským
státům. Jedná se o hlediska, která musejí členské státy zohlednit při stanovení vhodných
technických a organizačních opatření na
ochranu osobních údajů, tj. jakýsi konkretizovaný požadavek proporcionality vnitrostátní
legislativy. Jde tedy o pokyn, jakým způsobem má být směrnice v této části transponována, nikoliv o pravidlo, které by měl český
zákonodárce vtělit také do vnitrostátního
předpisu. V žádném případě proto z tohoto
ustanovení nevyplývá povinnost členských
států ponechat na zpracovatelích a správcích,
jaká opatření na ochranu osobních údajů přijmou, pokud při tom řádně zohlední všechna
hlediska uvedená v tomto ustanovení. Na druhou stranu směrnice nevylučuje přijetí takové
úpravy, pokud je zároveň zaručeno dodržení
přiměřené úrovně bezpečnosti osobních
údajů. Směrnice tedy požaduje určitý minimální standard bezpečnosti osobních údajů,
přičemž ponechává na členských státech, ja-
kými konkrétními opatřeními tento standard
zajistí a zda případně přistoupí k vytvoření
vyššího standardu bezpečnosti osobních
údajů. V tomto jsou však členské státy limitovány právě například požadavkem proporcionality dle čl. 17 odst. 1 alinea druhá směrnice 95/46/ES.
Je proto potřeba posoudit, zda byla výše
uvedená hlediska respektována při legislativním zakotvení povinností dle § 13 ZOOÚ, jakož i při jeho aplikaci v daném konkrétním
případě. Samotným přijetím odpovídající
právní úpravy se totiž požadavek řádné implementace směrnice nevyčerpává (srov. rozsudek Soudního dvora ze dne 11. 7. 2002,
Marks & Spencer, C-62/00, Recueil, s. I-6325,
body 27–28). Před tím je však nutno poukázat
rozdílný režim § 13 odst. 1 a § 13 odst. 4 ZOOÚ.
Český zákonodárce v § 13 uvedeného zákona zvolil kombinaci obecně stanovené povinnosti přijmout opatření na ochranu osobních údajů (odst. 1) a dále, pouze pro oblast
automatizovaného zpracování osobních údajů, povinnosti přijmout konkrétní opatření
(odst. 4). V prvém případě je volba konkrétních opatření ponechána na správci a zpracovateli, ovšem tak, aby byl naplněn požadavek
odstavce 1 – tj. aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě,
neoprávněným přenosům, k jejich jinému
neoprávněnému zpracování, jakož i k jinému
zneužití osobních údajů. V případě konkrétních opatření dle odstavce 4 již tomu tak není, ta je nutno přijmout bezvýjimečně.
(odst. 4). V prvém případě je volba konkrétních opatření ponechána na správci a zpracovateli, ovšem tak, aby byl naplněn požadavek
odstavce 1 – tj. aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě,
neoprávněným přenosům, k jejich jinému
neoprávněnému zpracování, jakož i k jinému
zneužití osobních údajů. V případě konkrétních opatření dle odstavce 4 již tomu tak není, ta je nutno přijmout bezvýjimečně.
Odstavec 4 lze skutečně chápat jako
upřesnění § 13 odst. 1 citovaného zákona,
ovšem nikoliv ve smyslu demonstrativního
výčtu opatření ponechaných na volbě správce nebo zpracovatele. Určitý vztah mezi dvěma ustanoveními nutně neznamená, že musejí také sdílet totožný režim. Zatímco obecně
zákon požaduje dosažení určitého cíle bez
ohledu na konkrétní zvolená opatření
(odst. 1), ve speciálních situacích (automatizované zpracování osobních údajů) již trvá
„také“ na provedení konkrétních opatření
(odst. 4). Obě pravidla jsou proto relativně
samostatná. Z hlediska samotného odstavce 4
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
není rozhodné, zda a do jaké míry dochází zároveň k naplnění cíle dle odstavce 1. Jelikož
je však nutno opatření dle odstavce 4 přijmout
„také“, jejich přijetím není povinnost dle odstavce 1 dotčena. Totéž platí pro opačnou vazbu mezi oběma odstavci. Splněním povinnosti dle odstavce 1 nejsou nijak dotčeny
povinnosti podle odstavce 4, neboť ty je nutno splnit „také“. Jakkoliv tedy odstavec 4 obsahuje opatření, která jsou svou povahou zároveň opatřeními v režimu odstavce 1 (nikoliv
však nutně postačujícími), jejich přijetí zjevně
není oproti obecnému pravidlu v odstavci 1
ponecháno na vůli správce nebo zpracovatele.
Opačný výklad nelze dovodit ani z novelizace § 13 ZOOÚ provedené zákonem
č. 170/2007 Sb., respektive z důvodové zprávy k této novelizaci (Sněmovní tisk Poslanecké sněmovny Parlamentu České republiky
v V. volebním období č. 187/0, dostupný na
www.psp.cz). Na jednu stranu sice důvodová
zpráva hovoří o konkretizaci opatření požadovaných již na základě odstavce 1, na druhou stranu zdůrazňuje, že nové odstavce 3 a 4
představují „vyjádření konkrétních povinností správců a zpracovatelů“ a „stanoví
přesný obsah opatření v rámci plnění povinnosti správců (a zpracovatelů) pro zabezpečení osobních údajů“. Důvodová zpráva tedy
jen potvrzuje skutečnost, že povinnost dle
§ 13 odst. 4 písm. c) citovaného zákona je nutno plnit bez ohledu na to, jaká další opatření
podle odstavce 1 jsou správcem či zpracovatelem přijata. Stanovením konkrétní povinnosti
s přesným obsahem zjevně nebylo zamýšleno
ponechat na vůli správce či zpracovatele, zda
danou povinnost bude plnit, či nikoliv.
ý obsah opatření v rámci plnění povinnosti správců (a zpracovatelů) pro zabezpečení osobních údajů“. Důvodová zpráva tedy
jen potvrzuje skutečnost, že povinnost dle
§ 13 odst. 4 písm. c) citovaného zákona je nutno plnit bez ohledu na to, jaká další opatření
podle odstavce 1 jsou správcem či zpracovatelem přijata. Stanovením konkrétní povinnosti
s přesným obsahem zjevně nebylo zamýšleno
ponechat na vůli správce či zpracovatele, zda
danou povinnost bude plnit, či nikoliv.
Ustanovení § 13 odst. 1 a 4 ZOOÚ tedy
obsahují dvě relativně samostatné povinnosti, jimiž je proveden čl. 17 odst. 1 směrnice
95/46/ES. V posuzované věci je přitom sporný soulad zákona se směrnicí pouze co do povinnosti dle § 13 odst. 4 písm. c) ZOOÚ. Konkrétně je potřeba posoudit, zda byla tato
povinnost zakotvena v souladu s požadavkem
proporcionality konkretizovaným v čl. 17
odst. 1 alinea druhá směrnice 95/46/ES.
Při posuzování přiměřenosti povinnosti
zaznamenávat tzv. logy (tj. pořizovat záznamy
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
oveden čl. 17 odst. 1 směrnice
95/46/ES. V posuzované věci je přitom sporný soulad zákona se směrnicí pouze co do povinnosti dle § 13 odst. 4 písm. c) ZOOÚ. Konkrétně je potřeba posoudit, zda byla tato
povinnost zakotvena v souladu s požadavkem
proporcionality konkretizovaným v čl. 17
odst. 1 alinea druhá směrnice 95/46/ES.
Při posuzování přiměřenosti povinnosti
zaznamenávat tzv. logy (tj. pořizovat záznamy
S B Í R K A RO Z H O D N U T Í N S S 7 / 2 013
o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) je nutno
vzít v úvahu její výslovné omezení na případy
automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů
tímto způsobem, tedy za použití výpočetní
techniky, plynou vyšší rizika úniku osobních
údajů, jejich neoprávněné změny, zničení,
ztráty, zpracování či jiného zneužití. Je tomu
proto, že výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat
(zejména jejich strukturované uspořádání
a analýzu podle zadaných kombinací kritérií), jakož i jejich snadné a bez zvláštních
opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného.
Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky,
jež svojí podstatou jsou typický potenciální
objekt zneužití osobních údajů v masovém
měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické
povinnosti, jejíž plnění s sebou navíc nenese
nikterak nepřiměřené náklady. Je-li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného
systému na zpracování osobních údajů další
vedlejší funkci – zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich
povaha a rozsah. Takovéto opatření má vysoký
preventivní účinek proti zneužití údajů z informačního systému, neboť každý, kdo s ním
oprávněně pracuje, si musí být vědom, že je
možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval,
a zda se tak dělo oprávněně. Zároveň si lze
stěží představit jiné adekvátní opatření, které
by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů. V případě splnění povinnosti dle § 13 odst. 4 ZOOÚ si totiž každá
osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně
zpracovává, musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno. Požadavek na zaznamenávání logů proto Nejvyšší správní soud
považuje ve všech případech automatizova-
Česká republika – Generální finanční ředitelství proti Úřadu pro ochranu osobních úda- jů o uložení pokuty, o kasační stížnosti žalobce.