Trvající správní delikty v oblasti bezpečnosti osobních údajů

Problematika trvajících správních deliktů je tématem tradičně rozebíraným judikaturou českých soudů i akademickým prostředím. K jejímu popsání a výkladu přispěla řada publikací a odborných textů nejen v rovině obecné[1], ale též ve specifických případech stanovených zvláštními právními předpisy.[2] K nim nepochybně patří také zákon 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

Na první pohled by se mohlo zdát, že zabezpečení dat a informací je především úkolem IT oddělení. Paradoxně však k únikům dokumentů a materiálů obsahujících osobní údaje dochází až příliš často vlivem selhání lidského faktoru. Mám tím na mysli zejména nedostatečné proškolení zaměstnanců ohledně zacházení se svěřenými pracovními prostředky (notebooky, USB disky, čipové karty), ukládání listin ve veřejně přístupných prostorách, sdílení přihlašovacích údajů apod. Přitom jde v rámci každodenních činností o snadno odstranitelné nedostatky. Rezignace na přijetí adekvátních bezpečnostních opatření nejenže zvyšuje pravděpodobnost úniku dat, správce osobních údajů za takových okolností současně porušuje povinnosti plynoucí právě ze zákona o ochraně osobních údajů. Z hlediska eventuálního ukládání sankcí pak bude nesčetněkrát odpovědný za trvající správní delikt. Zmíněná „trvalost“ deliktního jednání mnohdy nemusí být v praxi okamžitě rozpoznatelná, je však stěžejní pro celkovou právní kvalifikaci činu a posouzení odpovědnosti správce či zpracovatele osobních údajů.  

Trvající správní delikty v judikatuře Nejvyššího správního soudu

Vzhledem k roztříštěnosti právní úpravy správního práva a neexistenci jednotné kodifikace správních deliktů, představuje koncept trvajícího správního deliktu do značné míry odraz soudcovské tvorby práva. V souladu s požadavkem na jednotnost právního řádu v oblasti veřejnoprávního trestání, a to ať už trestního či správního, je trvající správní delikt odvozován z judikatorního vymezení trvajícího trestného činu.

Pro přehlednost si připomeňme, že právní teorie z hlediska časového úseku, v němž byl trestní čin spáchán, rozlišuje trestné činy pokračující, trvající a hromadné. K jejich společným znakům patří především prvek dlouhodobosti. V případě trvajícího trestného činu se aspekt dlouhodobosti projevuje udržováním protiprávního stavu, přičemž společenská škodlivost takového jednání narůstá s dobou trvání.[3] Judikatura Nejvyššího správního soudu trvající trestné činy popisuje následovně: „Trvající trestný čin bývá pravidelně charakterizován jako čin, jímž pachatel vyvolá protiprávní stav, který posléze udržuje, anebo čin, kterým pachatel udržuje protiprávní stav, aniž zákon vyžaduje, aby jej též vyvolal. Zákon zde postihuje právě udržování protiprávního stavu. Trvající trestné činy se posuzují jako jediné jednání, které trvá tak dlouho, dokud pachatel udržuje protiprávní stav; jde tedy o jediný skutek a jediný trestný čin, který je ukončen teprve okamžikem odstranění protiprávního stavu.“[4]

Uvedené teze se přiměřeně promítají do sféry správního práva a jsou využity i pro potřeby správního trestání. Jinými slovy neexistence specifické právní úpravy režimu správního trestání je pro tyto účely vyplňována judikatorní praxí. V oblasti správního trestání se tudíž přiměřeně použijí základní principy trestního práva, zejména v těch případech, kde neexistuje aplikovatelná právní úprava. Ostatně také z rozsudku Nejvyššího správního soudu ze dne 31. 05. 2007, čj. 8 As 17/2007 – 135 plyne: „Trestnost správních deliktů se řídí obdobnými principy jako trestnost trestných činů.“ Lze proto uzavřít, že pro trestnost správních deliktů platí obdobné principy a pravidla jako v případě trestných činů.[5]

Výše jsme uvedli, že k charakteristikám trvajících deliktů řadíme dlouhodobost, respektive jejich trvající stav, který odpovídá znakům skutkových podstat vymezených příslušnými předpisy. Pro ilustraci uveďme například trvající trestné činy omezování osobní svobody[6] nebo zanedbání povinné výživy[7] dle zákona 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů. Přesuneme-li se do oblasti správního práva, na úseku životního prostředí jde často o trvající správní delikty provozu zařízení bez zákonného oprávnění nebo souhlasu.[8] Při posuzování ochrany hospodářské soutěže může dojít ke spáchání správního deliktu uzavření dohody mezi soutěžiteli o přímém nebo nepřímém určení cen atd.[9]

Vyhodnocení deliktu jako trvajícího správního deliktu s sebou nese i další důsledky. Typicky dojde k vyloučení posouzení takového jednání jako souběhu správních deliktů (jde o tzv. zdánlivý souběh).[10] Problémy v praxi při posuzování trvajících správních deliktů pak v důsledku jejich dlouhodobého charakteru mohou nastat vlivem změny právní úpravy. Pakliže subjekt koná v určitém časovém úseku činnost, která se následně stane novelizací zákonodárce trestnou, lze potencionálního pachatele trestat za udržování protiprávního stavu pouze za předpokladu, že část jednání spáchaná za účinnosti dřívější právní úpravy byla rovněž trestná. Specifickou kategorií mající podstatný dopad pro kvalifikaci věci je pak samozřejmě vliv na běh promlčecí lhůty.

Posouzení běhu promlčení

Běh promlčecí lhůty trvajících správních deliktů se odvíjí od okamžiku ukončení protiprávní činnosti, tj. od okamžiku odstranění stavu, jehož udržování je znakem deliktu.[11] U fyzických osob se v tomto směru uplatní jednoletá promlčecí doba regulovaná ustanovením § 20 zákona 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.[12] V případě fyzických osob podnikajících a osob právnických na úseku bezpečnosti osobních údajů je nutné řídit se ustanovením § 46 odst. 3 zákona o ochraně osobních údajů, které stanoví: „Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.“ Při posuzování trvajících jiných správních deliktů tak u právnických osob počíná objektivní promlčecí lhůta běžet až od ukončení protiprávní činnosti, přičemž delikt se promlčuje nejpozději do tří let od jeho ukončení. U trvajícího přestupku fyzické osoby nastává situace analogická s výjimkou kratší jednoroční lhůty.[13] 

Návodem pro zhodnocení, zda předmětné jednání nabývá charakteru trvajícího správního deliktu, bude především analýza jeho zániku. Většinou půjde o skutky, které po případné uložené sankci nadále odporují příslušným normám. Ad absurdum by za takových okolností škodlivá činnost stále pokračovala, již by ovšem nebylo možné ji dále postihovat. Klasickým příkladem citovaným teorií a praxí soudů je užívání stavby bez kolaudačního rozhodnutí. Běh promlčecí lhůty se právě proto váže na odstranění protiprávního stavu. Pakliže dochází ze strany pachatele k udržování protiprávního stavu po uložení sankce ze strany správního orgánu, jedná se o trvající správní delikt nový, přičemž nevzniká překážka věci rozhodnuté. Nejvyšší právní soud v daném kontextu mimo jiné dovodil: „Pokud je však po uložení sankce protiprávní stav i nadále udržován a trvající delikt trvá dále, nejedná se z hlediska totožnosti skutku o skutek shodný, nýbrž o skutek nový, za který lze uložit další sankci. Existuje zde sice totožný pachatel i protiprávní stav, odlišnost je však dána časovým obdobím, po které delikt trvá a za které je sankce ukládána.“[14]

Správní trestání v oblasti bezpečnosti osobních údajů

Vyvolání stavu, který zakládá trvající správní delikt, může zapříčinit jak jednání komisivní (tzn. aktivní přičinění pachatele), tak jednání omisivní (tzn. způsobené opomenutím). Samotné udržování protiprávního stavu je pak mnohdy způsobeno opomenutím, neboť pachatel závadný stav neodstraní.

Ilustraci zmíněného deliktu v režimu zákona o ochraně osobních údajů představuje ustanovení § 45 odst. 1 písm. h), který může být trvajícím jiným správním deliktem, a to až do okamžiku, dokud nebude bezpečnost osobních údajů řádně zajištěna [obdobně ustanovení § 44 odst. 2 písm. h) vztahující se na postih fyzické osoby]. Daná norma stanoví, že se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů jako správce nebo zpracovatel dopustí jiného správního deliktu tím, že při zpracování osobních údajů nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů. Poruší tak svou povinnost upravenou ustanovením § 13 zákona o ochraně osobních údajů. Uvedené se ovšem vztahuje pouze na takové osobní údaje, nad nimiž má správce vliv. Znakem skutkové podstaty trvajícího správního deliktu je mimo jiné udržování protiprávního stavu ze strany pachatele v postavení správce, případně zpracovatele, osobních údajů. Z řečeného jednoduše dovodíme, že pachatel musí disponovat možností stav odstranit. Chybí-li aspekt bezprostředního vlivu správce údajů nad daným jednáním, nebude zpravidla možné hovořit o trvajícím správním deliktu.

Ustanovení § 13 zákona o ochraně osobních údajů předpokládá, že správce a zpracovatel zajistí taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, přičemž uvedená povinnost platí též po ukončení zpracování osobních údajů. Předvídaná opatření se logicky budou lišit v závislosti na velikosti subjektu (tzn., odlišně je třeba přistupovat k obchodní korporaci zpracovávající osobní údaje tisíců zákazníků ve srovnání s drobným živnostníkem s desítkou klientů), objemu zpracovávaných dat a dalších aspektech. Zásadní pro konstatování, zda subjekt porušil danou povinnost, je již vznik rizika ohrožení bezpečnosti osobních údajů. K samotné ztrátě tedy ve skutečnosti vůbec dojít nemusí.[15] Zákon o ochraně osobních údajů počítá s možností liberace ve vztahu k právnickým osobám a fyzickým osobám podnikajícím, které se zprostí odpovědnosti, prokáží-li vynaložení veškerého úsilí k zabránění porušení právní povinnosti.[16] 

Modelová situace narušení bezpečnosti osobních údajů – ohrožení či ztráta dokumentace obsahující osobní údaje

V případech porušení povinnosti při zabezpečení osobních údajů přirozeně nemusí jít o trvající správní delikt vždy. Shodně tak k trvajícím správním deliktům dochází také při porušení jiných ustanovení zákona o ochraně osobních údajů nežli pouze § 45 odst. 1 písm. h) vážícího se na bezpečnostní aspekty zpracování osobních údajů.[17]

Jiný správní delikt v režimu ustanovení § 45 odst. 1 písm. h) zákona o ochraně osobních údajů je zákonodárcem koncipován tím způsobem, aby k naplnění skutkové podstaty postačilo samotné ohrožení osobních údajů v důsledku nepřijetí opatření či opomenutí jejich provedení. Jinými slovy, pro vnik odpovědnosti není podstatné zavinění správce ani zpracovatele, neboť se uplatní tzv. objektivní odpovědnost. Obdobně bude posuzováno jednání správce, který tato opatření eviduje sice formálně, ovšem reálně k jejich provedení nedochází.[18] Tento výklad je třeba vztáhnout na trestání právnické osoby a fyzické osoby podnikající. Posuzujeme-li trvající přestupek spáchaný fyzickou osobou podle ustanovení § 44 odst. 2 písm. h) zákona o ochraně osobních údajů, bude zavinění fyzické osoby nezbytné s ohledem na požadavek ustanovení § 2 odst. 1 zákona o přestupcích. 

Výše uvedené teoretické principy simulujme na modelové situace podnikatele, který údaje o svých klientech uchovává v kanceláři, k níž mají neomezený přístup prakticky všechny osoby vyskytující se v budově, neboť podnikatel svou kancelář v průběhu dne ponechává neuzamčenou. Jeho spolupracovníci běžně využívají pracovní USB disky pro osobní účely, přičemž není výjimkou, aby se čas od času toto pracovní vybavení ztratilo. Ačkoli za daných okolností nedojde ke zneužití uchovávaných osobních údajů, podnikatel bude přesto odpovědný za správní delikt, jelikož neplní povinnost uloženou mu ustanovením § 13 zákona o ochraně osobních údajů. Stává se iniciátorem trvajícího správního deliktu bez ohledu na přijetí formálních pravidel ohledně zpracování osobních údajů, neboť v běžném každodenním provozu nastavená pravidla nedodržuje. Promlčecí doba pro projednání takového deliktu správním orgánem započne běžet až od ukončení protiprávního jednání, respektive odstranění následků – opatření USB disků specifickými hesly, jejich ukládání na určených místech, uzamykání pracovních prostor včetně kontroly veškerých stanovených postupů apod. Z daného posouzení vyplývá rovněž jiný aspekt. O trvajícím správním deliktu lze hovořit pouze za předpokladu, že správce osobních údajů disponuje možností závadný stav odstranit. V předestřené modelové situaci půjde tedy o přijetí zmíněných nápravných opatření. V okamžiku, kdy ovšem správce osobních údajů ztratí nad veškerými dokumenty vliv (například z důvodu odcizení třetí osobou) dochází k dokonání trvajícího správního deliktu a počíná běžet promlčecí lhůta k jeho projednání.

Jiná situace by nastala, pokud by ztrátu spisové dokumentace zapříčinil například soud, respektive pověřený zaměstnanec soudu. Bezpečnostní aspekty uchovávání a ukládání spisové dokumentace se řídí zejména ustanovením § 68 zákona 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů, a dále také instrukcí Ministerstva spravedlnosti 505/2001 Sb., kterou se vydává vnitřní a kancelářský řád pro okresní, krajské a vrchní soudy (zejména pak ustanovení § 188 až § 200). Z uvedených dokumentů vyplývá nastavení přísných podmínek pro uchovávání, zpřístupňování a manipulaci se spisovým materiálem. Není proto vyloučeno, aby v některých případech byla ztráta dokumentů obsahujících osobní údaje způsobena například selháním konkrétního pracovníka bez toho, aby šlo přičítat odpovědnost správci či zpracovateli osobních údajů dle zákona o ochraně osobních údajů. Je tomu tak proto, že správce za daných okolností přijal veškerá bezpečnostní opatření, která mu ukládá zákon či prováděcí právní předpis. Řešení věci a eventuální sankce by se staly předmětem pracovněprávního postihu zaměstnance ze strany soudu jako zaměstnavatele. Zdůrazněme však, že ony modelové situace představují spíše obecný náhled na problematiku, finální vyhodnocení evidentně závisí na konkrétních skutkových okolnostech.

Rozdíly při posouzení, zda se jedná o trvající správní delikt a tedy trvání protiprávního stavu, či nikoli, příhodně ilustruje rozsudek Městského soudu v Praze ze dne 30. července 2013, č. j. 11 A 88/2012 - 33, v němž soud jasně stanovil následující: „Jednání, jehož se žalobce dopustil, mělo charakter trvajícího jiného správního deliktu. Žalobce svým jednáním vyvolal protiprávní stav, který posléze udržoval. Jeho jednání spočívalo v tom, že nezabezpečením předmětných dokumentů při prodeji domu došlo k ohrožení osobních údajů v nich obsažených, tedy k reálnému vzniku poruchy. Žalobce tento protiprávní stav vyvolal tím, že nepřijal opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům apod. Tento stav pak dále žalobce udržoval tím, že dokumenty obsahující osobní údaje nebyly zabezpečeny ani poté, co na to byl několikrát ze strany nového majitele domu upozorňován, a proto delikt spáchaný žalobcem vykazuje znaky trvajícího správního deliktu (…).“

Poznámka na závěr

Kvalifikace trvajících správních deliktů komplikuje praxi s ohledem na možnou záměnu se souběhem správních deliktů, pokračujícím správním deliktem a podobně. Z pohledu zákona o ochraně osobních údajů je patrný úmysl zákonodárce přikládat význam již ohrožení bezpečnosti osobních údajů bez toho, aby došlo k reálnému zneužití či odcizení třetí osobou. Byť se tento přístup může zdát přísný, vnímejme jej spíše jako podnět k přijetí vhodných opatření ze strany správců osobních údajů. Rozebíraná skutková podstata obsažená v ustanovení § 45 odst. 1 písm. h) zákona o ohraně osobních údajů (a obdobně v ustanovení § 44 odst. 2 písm. h) je navázaná na peněžitou sankci až do výše 5 miliónů korun u právnických osob (jednoho milionu korun u osob fyzických).[19] Uložení pokuty je nicméně krajní situací, které lze poměrně jednoduše předcházet přijetím a dodržováním interních pravidel v rámci obchodních korporací, orgánů veřejné správy, zdravotnických zařízení a dalších subjektů. Samozřejmostí pak bude adekvátní kontrola jejich plnění. Bezpečnost osobních údajů v budoucnu prověří řada technologických inovací, je proto zbytečné, aby docházelo k jejímu ohrožování formou opomenutí plynoucích z neznalosti, laxnosti či prosté pohodlnosti odpovědných osob. 

Mgr. et Mgr. Klára Sommerová

--------------------------------------------------------------------------------

[*] Autorka je zaměstnancem Úřadu pro ochranu osobních údajů. Tento článek vyjadřuje její osobní názor a není závazným stanoviskem Úřadu. 

[1] Srovnej například HENDRYCH, Dušan. Správní právo - Obecná část. 8. vydání. Praha: C. H. Beck, 2012. 832 s.; MATES, Pavel a kolektiv. Základy správního práva trestního. 5. vydání. Praha: C. H. Beck, 2010. 248 s.; nebo BOHADLO, David. POTĚŠIL, Lukáš. POTMĚŠIL, Jan. Správní trestání z hlediska praxe a judikatury. 1. Vydání. Praha: C. H. Beck, 2013. 220 s.
[2] Srovnej například BÁLKOVÁ, Veronika. Problematika správního trestání v aplikační praxi České inspekce životního prostředí. Brno, 2011. Rigorózní práce. Masarykova univerzita v Brně. Právnická fakulta.
[3] Srovnej rozsudek Nejvyššího správního soudu ze dne 22. 2. 2005, č. j. 5 A 164/2002 – 44.
[4] Srovnej rozsudek Nejvyššího správního soudu ze dne 8. listopadu 2007, č. j. 9 As 40/2007 – 66; rozsudek Nejvyššího správního soudu ze dne 22. února 2005, č. j. 5 A 164/2002 – 44 nebo rozsudek Nejvyššího správního soudu ze dne 31. 05. 2007, č. j. 8 As 17/2007 – 135.
[5] Právní teorie v této souvislosti rovněž upozorňuje na nepřípustné využití analogie ve správním trestání v neprospěch účastníka. Daná problematika nicméně není předmětem tohoto textu.
[6] Srovnej ustanovení § 171 trestního zákoníku.
[7] Srovnej ustanovení § 196 trestního zákoníku.
[8] Srovnej například ustanovení § 37 odst. 5 zákona 76/2002 Sb.,  o integrované prevenci a o omezování znečištění, o integrovaném registru znečišťování a o změně některých zákonů, ve znění pozdějších předpisů.
[9] Srovnej například ustanovení § 22 odst. 1 písm. b) zákona 143/2001 Sb., o ochraně hospodářské soutěže, ve znění pozdějších předpisů, a usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 18. září 2012, č. j. 7 Afs 122/2009 – 360.
[10] Viz blíže rozsudek Nejvyššího správního soudu ze dne 31. května 2007, č. j. 8 As 17/2007 – 135.
[11] Viz blíže rozsudek Nejvyššího správního soudu ze dne 8. listopadu 2007, č. j. 9 As 40/2007 – 66.
[12] S účinností zákona 204/2015 Sb., kterým se mění zákon 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů, zákon 269/1994 Sb., o Rejstříku trestů, ve znění pozdějších předpisů, a některé další zákony, dochází k prodloužení lhůty na dobu dvou let (viz blíže novelizované ustanovení § 20 odst. 3 zákona o přestupcích).
[13] Viz poznámka č. 12.
[14] Viz blíže rozsudek Nejvyššího správního soudu ze dne 8. listopadu 2007, č. j. 9 As 40/2007 – 61; srovnej ŠÁMAL, Pavel. RIZMAN, Stanislav. PÚRY, František. Trestní zákon. Komentář. 5. vydání. Praha: C. H. Beck, 2003. Str. 23 a násl.
[15] KUČEROVÁ, Alena. NOVÁKOVÁ, Ludmila. FOLDOVÁ, Vanda. NONNEMANN, František. POSPÍŠIL, Daniel. Zákon o ochraně osobních údajů. Komentář. 1. Vydání. C. H. Beck: Praha, 2012, str. 227 a násl. 
[16] Viz blíže ustanovení § 46 odst. 1 zákona o ochraně osobních údajů.
[17] Srovnej například ustanovení § 45 odst. 1 písm. c) zákona o ochraně osobních údajů upravující zpracování osobních údajů v rozporu se stanoveným účelem.
[18] KUČEROVÁ, Alena. NOVÁKOVÁ, Ludmila. FOLDOVÁ, Vanda. NONNEMANN, František. POSPÍŠIL, Daniel. Zákon o ochraně osobních údajů. Komentář. 1. Vydání. C. H. Beck: Praha, 2012, str. 409 a násl. 
[19] Srovnej ustanovení § 45 odst. 3 a § 44 odst. 5 zákona o ochraně osobních údajů.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz