ÚOOÚ nemohl udělit pokutu ministerstvu vnitra, neumožňuje mu to zákon
Úřad pro ochranu osobních údajů poprvé aplikoval nové ustanovení zákona o zpracování osobních údajů (§ 62 odst. 5 zákona č. 110/2019 Sb.), podle kterého nemůže být orgánu veřejné moci a veřejnému subjektu uložen správní trest, ačkoliv došlo k porušení zákona. Jednalo se o přestupek spáchaný ministerstvem v souvislosti se zpracováním osobních údajů v registru obyvatel a o přestupek spáchaný městem. V obou případech musel Úřad upustit od uložení pokuty, nový zákon totiž ještě předtím nabyl účinnosti.
Cílem první kontroly bylo prověření dodržování povinností ministerstva vnitra jako správce osobních údajů zpracovávaných v registru obyvatel. Závěrem bylo, že ministerstvo vnitra umožnilo celkem 7 064 neoprávněných přístupů do registru obyvatel v souvislosti s agendou týkající se udělování autorizace dle zákona o ověřování a uznávání výsledků dalšího vzdělávání.
Dále umožnilo celkem 88 491 přístupů k údajům v registru obyvatel ve větším rozsahu, než stanoví zákon o základních registrech a v rámci systémového nastavení registru obyvatel umožnilo v exekučním řízení exekutorům přístup k osobním údajům všech tzv. vázaných osob, bez možnosti rozlišení oprávněnosti požadavku. Ministerstvo vnitra tak jako správce osobních údajů nepřijalo dostatečná opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům v registru obyvatel. Vzhledem k těmto závažným zjištěním zahájil Úřad s ministerstvem vnitra řízení o přestupku.
Následně bylo ministerstvo vnitra uznáno vinným ze spáchání přestupku (§ 45 odst. 1 písm. h) zákona č. 101/2000 Sb.), neboť nepřijalo nebo neprovedlo opatření pro zajištění bezpečnosti zpracování osobních údajů, čímž porušilo povinnost stanovenou zákonem, za což mu byla uložena pokuta ve výši 1,1 milionu Kč. Na základě podaného rozkladu se odvolací orgán ztotožnil se závěrem, že ministerstvo vnitra je jako správce zodpovědné za neoprávněné poskytnutí osobních údajů. Ovšem vzhledem k tomu, že v mezidobí nabyl 24. dubna 2019 účinnosti zákon o zpracování osobních údajů, byl Úřad nucen upustit od uložení pokuty.
Obdobně Úřad postupoval v případě Uherského Brodu. Město ve výzvách k zaplacení pokuty podle zákona o silničním provozu (§ 125h odst. 1), zaslaných řádově stovkám údajných pachatelů přestupků v prvním čtvrtletí roku 2017, uvádělo i osobní údaje konkrétního oznamovatele. Ten navíc rozhodné dokumenty původně předkládal Policii České republiky, nikoli městu Uherský Brod. Úřad takové jednání kvalifikoval jako porušení povinnosti zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny (§ 5 odst. 1 písm. f) zákona č. 101/2000 Sb.) a tedy i jako spáchání přestupku (§ 45 odst. 1 písm. c) zákona č. 101/2000 Sb.), za což byla Uherskému Brodu uložena pokuta ve výši 12 tisíc Kč. Rovněž toto rozhodnutí bylo napadeno rozkladem, s nímž se sice Úřad jakožto odvolací orgán neztotožnil, nicméně byl nucen upustit od uložení i této pokuty.
V této souvislosti proto Úřad uvádí, že v rámci své rozhodovací činnosti je vázán platnou právní úpravou, představovanou především obecným nařízením o ochraně osobních údajů (GDPR). Ovšem také zákonem o zpracování osobních údajů, jehož ustanovení § 62 odst. 5, vydané k adaptaci obecného nařízení, Úřadu ukládá, aby upustil od uložení správního trestu, jde-li o orgány veřejné moci a veřejné subjekty usazené v daném členském státě.
Jak vyplývá z výše uvedeného, Úřad zmiňovanou právní úpravou přišel o možnost ukládat pokuty orgánům veřejné moci a veřejným subjektům, tedy například ministerstvům, různým správním úřadům, městům či obcím za přestupky související s ochranou osobních údajů. Přestože si je Úřad plně vědom skutečnosti, že zákonodárcem zvolené řešení zakládá rozdílné postavení různých skupin správců a zpracovatelů osobních údajů, je při své rozhodovací činnosti plně vázán zákonem. Může však orgánům veřejné moci a veřejným subjektům i nadále ukládat nápravná opatření.
Zdroj: ÚOOÚ, foto Pixabay.