CS · EN DE FR brzy

4 As 47/2004 — Nejvyšší správní soud

ECLI: ECLI:CZ:MSPH:2016:10.A.220.2013.32
Datum: 2016-05-24
Z rozhodnutí: Městský soud v Praze rozhodl v senátě složeném z předsedkyně JUDr. Ing Viery Horčicové a soudců Mgr. Kamila Tojnera a Mgr. Jiřího Lifky v právní věci žalobce: Ministerstvo práce a sociálních věcí, se sídlem Praha 2, Na Poříčním právu 376/1, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Praha 7, Pplk. Sochora 27, v řízení o žalobě proti rozhodnutí předsedy Úřadu pro ochranu osobních …
10 A 220/2013- 32 - text 8 pokračování 10A 220/2013 [OBRÁZEK] ČESKÁ REPUBLIKA ROZSUDEK JMÉNEM REPUBLIKY Městský soud v Praze rozhodl v senátě složeném z předsedkyně JUDr. Ing Viery Horčicové a soudců Mgr. Kamila Tojnera a Mgr. Jiřího Lifky v právní věci žalobce: Ministerstvo práce a sociálních věcí, se sídlem Praha 2, Na Poříčním právu 376/1, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Praha 7, Pplk. Sochora 27, v řízení o žalobě proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 16. 8. 2013, č. j. UOOU-02703-13-46, takto: I. Žaloba se zamítá. II. Žádný z účastníků nemá právo na náhradu nákladů řízení. Odůvodnění: Žalobce se podanou žalobou domáhá přezkoumání rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 16. 8. 2013, č. j. UOOU-02703-13-46, kterým byl zamítnut jeho rozklad a potvrzeno rozhodnutí Úřadu pro ochranu osobních údajů ze dne 12. 6. 2013, č. j. UOOU-02703-13-39, jímž byl žalobce shledán vinným ze spáchání správního deliktu podle ust. § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracovávaných osobních údajů, za což mu byla v souladu s ust. § 45 odst. 3 zákona č. 101/2000 Sb. uložena pokuta ve výši 2.500.000,- Kč a dále mu byla uložena povinnost nahradit náklady řízení ve výši 1.000,- Kč. Žalobce v žalobě nejprve popsal průběh správního řízení, které vydání napadeného rozhodnutí předcházelo. V období od 20. 11. 2012 do 7. 1. 2013 provedl žalovaný kontrolní šetření ochrany osobních údajů klientů sociálního systému žalobce. Kontrola byla zaměřena na zpracování a předávání osobních údajů držitelů karty sociálních systémů (dále též „sKarta“) bankovní instituci - České spořitelně, a.s. Dne 24. 1. 2013 byl žalobci předán kontrolní protokol ze dne 21. 1. 2013, sp. zn. INSP1-9463/12-20. Uvedeným protokolem bylo konstatováno porušení ust. § 13 odst. 1 zák. č. 101/2000 Sb., o ochraně osobních údajů, neboť soukromoprávní subjekt nakládá a zpracovává osobní a citlivé údaje klientů sociálního systému bez zákonného zmocnění. Žalovaný uložil žalobci opatření odstranit závadný stav, a to ve lhůtě do 30. 6. 2013. Žalobce podal proti předmětnému kontrolnímu protokolu námitky, rozhodnutím předsedy Úřadu ze dne 7. 3. 2013, č. j. INSP1-9463/12-25, nebylo uplatněným námitkám vyhověno. Oznámením ze dne 22. 4. 2013 bylo žalobci oznámeno zahájení správního řízení pro podezření ze spáchání správního deliktu podle ust. § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. Žalobci bylo vytýkáno neprovedení opatření pro zajištění bezpečnosti zpracování osobních údajů, přičemž tyto výtky byly uplatněny před uplynutím lhůty stanovené k provedení nápravných oprávnění. Požadované opatření bylo nakonec přijato, a to formou zákona č. 306/2013 Sb., kterým byla karta sociálních systému zrušena. Místo zastavení správního řízení, bylo vydáno dne 12. 6. 2013 vydáno rozhodnutí, kterým žalovaný uznal žalobce vinným ze spáchání správního deliktu proti ochraně osobních údajů podle ust. § 45 odst. 1 písm. h) zák. č. 101/2000 Sb., o ochraně osobních údajů, za což mu uložil pokutu ve výši 2.500.000,- Kč a povinnost nahradit náklady správního řízení ve výši 1.000,- Kč. Toto rozhodnutí bylo následně potvrzeno rozhodnutím předsedy o rozkladu žalobce, ze dne 16. 8. 2013, č. j. UOOU- 02703-13-46. Žalobce namítl neúplné zjištění skutkového stavu a nesprávné právní posouzení věci. Žalobce jako správce osobních údajů klientů postupoval v souladu s ust. § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Ust. § 6 zákona stanoví, že pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva má mít písemnou formu a musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Účel a rozsah předávaných osobních a citlivých dat klientů je podrobně upraven ve Smlouvě o zajištění administrace výplaty nepojistných dávek a dávek z oblasti státní politiky zaměstnanosti a provozování karty sociálních systémů, která byla dne 24. 1. 2012 podepsána s Českou spořitelnou, a.s. V její příloze č. 14 je uveden kompletní výčet předávaných údajů. V článku 9 Smlouvy se banka zavázala k ochraně osobních údajů klientů sociálního systému na nejvyšší možné úrovni. Česká spořitelna se dále smluvně zaručila žalobci, že k zajištění řádné ochrany údajů disponuje relevantními technickými prostředky plně v souladu s povinnostmi stanovenými v ustanovení § 13 zákona. Tato bankovní instituce přijala příslušná technicko-organizační opatření zamezující neoprávněnému nebo nahodilému přístupu k údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, jejich neoprávněnému zpracování, jakož i jinému zneužití. Smluvní strany se výslovně dohodly na tom, že ujednání uvedená v čl. 9 Smlouvy, doplněny o Přílohu č. 14, představují smlouvu ve smyslu ust. § 6 zákona o zpracování osobních údajů uzavřenou mezi žalobcem jako správcem a Českou spořitelnou jako zpracovatelem osobních údajů. Žalobce poukázal na povahu bankovního subjektu - České spořitelny, a.s., která je licencovanou bankovní institucí. Její právní postavení garantuje profesionální nakládání, zpracování a uchovávání osobních údajů klientů sociálního systému, její činnost je pod silnou dohledovou pravomocí centrální banky. Žalobce poukázal na ust. § 39 zák. č. 21/1992 Sb., o bankách, stanovující speciální povinnost mlčenlivosti všem zaměstnancům bankovní instituce, dále na ust. § 38b zákona, podle kterého je banka povinna plnit pravidla obezřetného podnikání a osobní údaje klientů neposkytovat bez právního důvodu, a ust. § 2 odst. 4 zákona o bankách, dle kterého banka nesmí vykonávat jiné podnikatelské činnosti než ty, které má povoleny v licenci, přičemž konstatoval, že z uvedeného vyplývá, že České spořitelna, a.s. je subjektem schopným vyhovět nejpřísnějším kritériím ochrany osobních údajů klientů sociálního systému. Žalovaný tuto skutečnost při svém rozhodování vůbec nezohlednil. Dále žalobce namítl, že není naplněn zákonný předpoklad pro udělení pokuty, neboť požadované opatření na zabezpečení ochrany držitelů karty sociálních systémů bylo nakonec přijato, a to ve formě zákona č. 306/2013 Sb. Žalobce in eventum navrhl snížení uložené pokuty s přihlédnutím k nutnosti zabezpečit realizaci základního lidského práva klientů na sociální zabezpečení ve smyslu čl. 30 odst. 1 a 2 Listiny základních práv a svobod. Dle žalobce je pokuta ve výši 2.500.000,- Kč nepřiměřeně vysoká, neboť dostatečně nezohledňuje legislativní snahu žalobce o zákonnou regulaci činnosti bankovní instituce při nakládání s osobními údaji klientů. Žalovaný ve vyjádření k žalobě shrnul historii předmětního správního řízení a odkázal na odůvodnění napadeného rozhodnutí, jelikož žalobce v podané žalobě opakuje v zásadě stejné argumenty jako v podaném rozkladu. Žalovaný k jednotlivým žalobním námitkám uvedl, že předmětem řízení nebylo plnění opatření k nápravě uložené podle § 40 zákona č. 101/2000 Sb. v rámci kontroly ukončené kontrolním protokolem č. j. INSP1-9463/12-20 ze dne 21. 1. 2013. Jednalo se o správní řízení ve věci spáchání správního deliktu podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. v souvislosti s porušením povinností podle § 13 zákona č. 101/2000 Sb. Obě zmiňovaná řízení je třeba od sebe důsledně odlišovat a z tohoto pohledu je tvrzení žalobce ohledně dostatečného plnění opatření k nápravě irelevantní. Opatření k nápravě je možné považovat za splněné nejdříve k 1. 11. 2013, tedy ke dni, kdy zákon č. 306/2013 Sb. nabyl účinnosti, tj. až čtyři měsíce po uplynutí lhůty pro splnění opatření k nápravě stanovené k 30. 6. 2013 i po dni, kdy nabylo právní moci napadené rozhodnutí. Pokud jde o výši uložené pokuty, všechny relevantní polehčující okolnosti již byly dostatečně zváženy při rozhodování o její výši, která byla po komplexním zvážení všech aspektů případu vyměřena v polovině zákonného rozpětí. Podle názoru žalovaného tudíž není žádný důvod pro snížení uložené pokuty, kterého se alternativně žalobce domáhá. K námitce pochybení při právním výkladu § 6 zákona č. 101/2000 Sb., žalovaný uvedl, že žalobce porušil svojí povinnost správce osobních údajů podle § 13 odst. 1 zákona č. 101/2000 Sb., a to tím, že předal osobní údaje v souvislosti se zavedením karty sociálních systémů ke zpracování realizovanému ze strany České spořitelny, a.s., aniž by toto připouštěl zvláštní zákon, tedy zákon č. 73/2011 Sb., o Úřadu práce České republiky a o změně souvisejících zákonů (či jiný právní předpis). Tím, že zákon č. 73/2011 Sb. předmětné zpracování osobních údajů ze strany České spořitelny a.s., resp. jakékoli banky, nijak neupravoval a tedy nepřipouštěl, zároveň vylučoval aplikaci ust. § 6 zákona č. 101/2000 Sb., tedy aby stát pouze smluvním způsobem, bez zákonného zmocnění, umožnil souk

Citovaná ustanovení

§ 13 (101/2000 Sb.)§ 40 (101/2000 Sb.)§ 45 (101/2000 Sb.)§ 46 (101/2000 Sb.)§ 6 (101/2000 Sb.)§ 103 (150/2002 Sb.)§ 51 (150/2002 Sb.)§ 60 (150/2002 Sb.)§ 78 (150/2002 Sb.)§ 1 (21/1992 Sb.)§ 1 (6/1993 Sb.)§ 4a (73/2011 Sb.)
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.