Porušení zabezpečení osobních údajů nemusí automaticky znamenat pokutu

Autor: Mgr. et. Mgr. Petr Mališ | Vloženo: 13. 1. 2025 09:41 | Přečteno: 98X

V souvislosti s výsledky kontroly jednoho případu porušení pravidel zpracování osobních údajů v Německu se německý soud a následně Soudní dvůr zabývaly otázkou, zda je kontrolní úřad při zjištění porušení povinností správcem osobních údajů povinen za toto porušení udělit rovněž peněžitou sankci. Odpověď, která se prvoplánově naskýtá – tedy „není“ – totiž zdaleka není tak samozřejmá, jak by se mohlo zdát.

Zaměstnankyně nahlížela, kam neměla

Na počátku stálo vcelku nevinné jednání zaměstnankyně jedné družstevní záložny, která využila svých přístupových práv k databázi klientů záložny a bez toho, že by to jakkoli souviselo s jejími pracovními úkoly, nahlížela opakovaně do osobních údajů jednoho konkrétního klienta záložny. Záložna se o tomto jednání dozvěděla, její pověřenec pro ochranu osobních údajů je prošetřil, identifikoval je jakožto porušení zabezpečení osobních údajů, přičemž vůči dané zaměstnankyni byla obratem přijata disciplinární opatření. Zaměstnankyně písemně prohlásila, že z její strany nedošlo k žádnému zkopírování nebo uložení osobních údajů, že je nepředala žádné třetí osobě a zavázala se, že tak neučiní ani v budoucnu. Záložna zároveň v souladu s čl. 33 Nařízení GDPR[1] ohlásila tento případ porušení ochrany osobních údajů dozorovému úřadu spolkové země Hesensko (Hesenský pověřenec pro ochranu údajů a svobodu informací)[2], neoznámila jej však už samotnému klientovi, o jehož osobní údaje šlo.

Klient se náhodou o případu dozvěděl a podal na záložnu k uvedenému hesenskému dozorovému úřadu stížnost. Podle něj měl být v souladu s čl. 34 Nařízení GDPR záložnou rovněž o porušení informován, a současně se mu nelíbilo, že záložna uchovávala záznamy o přístupech zaměstnanců k osobním údajům klientů pouze po dobu tří měsíců, a poskytovala zaměstnancům poměrně široká práva přístupu k databázi. Čl. 34 Nařízení GDPR skutečně stanoví povinnost správce osobních údajů (v daném případě záložny) oznámit porušení zabezpečení osobních údajů i samotnému subjektu údajů, a to pokud je pravděpodobné, že dané porušení má za následek vysoké riziko pro práva a svobody fyzických osob.

Místní dozorový úřad prošetřil a neudělil sankci

Na základě této stížnosti dozorový komisař vyslechl zástupce záložny, který uvedl, že od oznámení porušení subjektu údajů záložna upustila poté, co vyhodnotila, že s ohledem na výše uvedená prohlášení a závazky zaměstnankyně nevzniklo vysoké riziko pro práva a svobody klienta, a že tudíž nebyl splněn požadavek čl. 34 Nařízení GDPR. Dozorový orgán na základě šetření rozhodl, že sice k porušení zabezpečení údajů jako takovému ze strany záložny došlo, tato však o něm nebyla povinna klienta informovat, když správně vyhodnotila míru naplnění požadavků dle čl. 34 Nařízení GDPR. Vedle toho záložně uložil prodloužit dobu archivace na více než stávající tři měsíce, zamítl však veškerá další obvinění, která klient v rámci své stížnosti vznesl, a neudělil záložně žádnou pokutu ani jiné nápravné opatření.

Dle poškozeného klienta musí být nápravné opatření vždy uloženo

Klient proti tomuto rozhodnutí podal žalobu k německému soudu, kterou se domáhal, aby soud uložil dozorovému orgánu povinnost uložit záložně pokutu za několikero porušení Nařízení GDPR. Podle klienta totiž Nařízení GDPR neumožňuje dozorovému orgánu v případě zjištěného porušení zabezpečení osobních údajů postupovat podle zásady vhodnosti a vyhodnocovat, zda je uložení nápravných opatření včetně pokuty vhodné či nikoliv, může pouze vyhodnocovat, jaká opatření zvolí (orgán tedy nemůže rozhodovat „zda“ uloží nějaké nápravné opatření, ale pouze „jaké“ opatření uloží). Seznam nápravných opatření, uvedených v čl. 58 odst. 2 Nařízení GDPR, dle klienta slouží k nápravě protiprávního stavu vzniklého porušením zabezpečení osobních údajů ze strany správce údajů, tudíž je-li takové porušení prokázáno, je dozorový orgán povinen tento protiprávní stav odstranit právě uložením nápravného opatření. Německý soud vyhodnotil, že z Nařízení GDPR v tomto ohledu není zcela jasné. Proto se obrátil na Soudní Dvůr EU s žádostí o zodpovězení předběžné otázky, týkající se rozsahu povinností dozorového orgánu při zjištění porušení zabezpečení osobních údajů.

 Soudní dvůr potvrdil postup dozorového orgánu

SD EU především poukázal na povinnost dozorového orgánu zabývat se všemi stížnostmi subjektů údajů na případy porušení Nařízení GDPR s náležitou péčí, předmět stížností prověřit a informovat stěžovatele o vývoji a výsledku šetření v přiměřené lhůtě. Tato povinnost vyplývá jak ze samotného Nařízení (čl. 57 odst. 1 písm. f), tak i z judikatury SD EU. Nařízení GDPR svěřuje dozorovému úřadu širokou škálu nápravných pravomocí – od udělení napomenutí, přes uložení povinnosti vyhovět žádosti subjektu na výkon práv, až po udělení peněžité pokuty. Samotné řízení o stížnosti je mechanismem schopným účinně chránit práva a zájmy subjektu údajů. V rozporu s výše uvedeným názorem stěžovatele ohledně povinnosti dozorového orgánu vždy uložit nápravné opatření však SD EU uvedl, že orgán má vždy prostor pro uvážení, jaké závěry z šetřeného porušení zabezpečení osobních údajů vyvodí, přičemž jediným korektivem je zajištění soudržné a vysoké ochrany osobních údajů. Nařízení rovněž obsahuje pravidla pro ukládání pokut jakožto jednoho z přípustných nápravných opatření, když v čl. 83 odst. 2 Nařízení GDPR stanoví kritéria, která musí orgán zvážit při rozhodování, zda uloží pokutu a v jaké výši (zejména povaha, závažnost a délka trvání porušení a další).

SD EU dovodil, že z celkové formulace čl. 58 a 83 Nařízení GDPR (zde je zejména potřeba poukázat na výše uvedenou formulaci „zda uloží pokutu a v jaké výši“) nijak nevyplývá, že by dozorový úřad měl povinnost přijmout ve všech případech porušení nějaké nápravné opatření, včetně uložení pokuty. Povinností úřadu je vhodným způsobem reagovat za účelem nápravy zjištěného nedostatku – je proto možné, že dozorový úřad může výjimečně a s ohledem na zvláštní okolnosti konkrétního případu od přijetí nápravného opatření upustit, a to i když bylo porušení zabezpečení osobních údajů zjištěno. Tak by tomu mohlo být zejména v případě, kdy zjištěné porušení nepokračovalo, pokud správce neprodleně přijal vhodná a nezbytná opatření k tomu, aby bylo porušení napraveno a aby se neopakovalo. V těchto situacích tedy může být i při absenci nápravného opatření dostatečně zajištěna dostatečně vysoká ochrana osobních údajů, což je primární účel, který musí dozorový orgán při šetření případů porušení sledovat. Subjekt osobních údajů v rámci řízení o porušení zabezpečení údajů nemá subjektivní právo domáhat se, aby úřad uložil správci údajů pokutu.

Závěr

SD EU v uvedeném případě neshledal, že by hesenský dozorový orgán pochybil, když nepřijal nápravné opatření včetně uložení peněžité sankce za situace, kdy se jednalo o porušení zabezpečení osobních údajů se zjevně velice nízkým rizikem pro práva a svobody stěžovatele, kdy správce osobních údajů přijal opatření k odstranění následků a prevenci dalšího porušení, a uložení nápravného opatření by za těchto okolností znamenalo nevhodný a nepřiměřený postup k zajištění plného dodržování Nařízení.

Nelze však opomenout, že dle SD EU se musí jednat o případy výjimečné a charakteristické zvláštními okolnostmi. Ne vždy se stává, že by bylo porušení zabezpečení údajů dostatečně rychle identifikováno, že by bylo možno jasně zjistit jeho rozsah a vyhodnotit jeho následky a tedy i posoudit, že porušení neznamenalo riziko pro práva a svobody subjektů údajů. Nic z toho není možné bez dostatečně a správně implementovaných procesů implementujících základní požadavky Nařízení GDPR. Aby mohl správce osobních údajů mít šanci na obdobný výsledek šetření porušení zabezpečení údajů, jakého se nakonec dočkala hesenská záložna, musí mít možnost kontrolnímu úřadu dokázat, že jeho interní systém zabezpečení je natolik robustní, že incident nebyl systémovým selháním a nehrozí riziko jeho opakování.

Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz

Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami, ochranou osobních údajů a internetovým právem.

 

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES

[2] Hessischer Beauftragte für Datenschutz und Informationsfreiheit