Ochrana osobních údajů bezpečnostním rizikem?

19. 7. 2012

Pro mnohé provozovatele čerpacích stanic by mohlo být překvapením, jaké riziko skrývají záznamy bezpečnostních kamer. Zákonnou povinností provozovatelů je zajistit bezpečnost osobních údajů, což je činnost složitá, náročná a zároveň vysoce odpovědná. Za porušení povinností při zajištění účinné ochrany osobních údajů hrozí milionové sankce.

CS Kamery 1CS Kamery 2

Pro dobrotu na žebrotu?

Jednou v sobotu odpoledne přijel na čerpací stanici Jirka navštívit svého známého Standu, který zde pracoval jako obsluha. Práce zrovna moc nebylo a tak došli k závěru, že na shopu to chvíli zvládne kolegyně sama. Vzali si klíče od kanceláře provozního, aby si v klidu mohli popovídat. Mezi řečí si Standa vzpomněl, že už tu několikrát viděl manželku jejich společného známého Franty, která očividně jezdí za kolegou z druhé směny. Aby podpořil své tvrzení, zapnul firemní počítač a v historii kamerového záznamu začal vyhledávat konkrétní situace. Jirka došel záhy k závěru, že tohle by měl vidět i Franta a se svolením Standy si konkrétní kompromitující záběry stáhl na flashku. Jirka pak Frantovi přehrál záznamy získané z benzinové stanice. Franta doma vyvolal prudkou hádku a zažádal o rozvod. V rozčilení svůj důkaz nechal doma volně ležet a jeho žena se jej zmocnila. Flashku se záznamem předala svému advokátovi a ten jej v maximálně možné míře využil ve prospěch své klientky, proti těm, kteří porušili své povinnosti.
Kromě toho, že žena po rozvodu v občanskoprávním řízení vysoudila poměrně slušnou částku jako odškodné, byl Standa postižen pokutou ve výši 100.000,- Kč, neboť byl v zaměstnaneckém poměru ke správci osobních údajů a porušil povinnost mlčenlivosti. Správcem osobních údajů byla v tomto případě právnická osoba. Úřad pro ochranu osobních údajů (ÚOOÚ) dále zjistil, že tato právnická osoba neprovedla a ani nepřijala opatření pro zajištění bezpečnosti osobních údajů tak, jak to požaduje zejména § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen "zákon"), a to bylo příčinou, že došlo k úniku těchto osobních údajů. Dále bylo konstatováno, že z tohoto důvodu došlo k citelnému zásahu do soukromí konkrétních fyzických osob s dopadem na jejich další osobní život. Právnická osoba byla potrestána pokutou ve výši 1.600.000,- Kč, a to za správní delikt dle § 45 odst. 1, písm. h) zákona. Odvolací orgán (opět ÚOOÚ) i správní soud obě sankce potvrdil v původní výši.

Jak vysoké je riziko?

Jak z předchozího příkladového příběhu vyplývá, není vůbec problém, aby se jednotlivec nebo firma dostali do vážného problému v souvislosti se zpracováním osobních údajů. Problém vyúsťuje zejména v citelnou finanční sankci, kdy za správní delikt lze uložit pokutu až 10 milionů korun (§ 45 odst. 4 s odkazem na správní delikty uvedené v odst. 2 téhož ustanovení zákona), a dokonce může vyústit až v trestní stíhání konkrétní osoby pro § 180 zákona č. 40/2009 Sb. tr. zákoníku.
Do problémů se provozovatel čerpací stanice může dostat díky ještě banálnější situaci. Na základě záznamu z kamerového systému se provozovatel stanice pokusí usvědčit pachatele drobné krádeže za cca 3.500,- Kč. Právní zástupce pachatele pak upozorní úřad, že byl možná využit záznam z neregistrovaného kamerového systému. Úřad věc prověří a zjistí, že správce nesplnil svoji oznamovací povinnost ve smyslu § 16 zákona. Poté zřejmě uloží sankci sice při dolní hranici rozpětí, ale i tak dost vysokou: ve výši 50.000 nebo 80.000,- Kč.
Ve výše uvedených případech jde bohužel o situace, které jsou velmi pravděpodobné a předvídatelné. I to má pak vliv na rozhodování o výši sankce. Jsou brány v potaz některé okolnosti, podle kterých se odvíjí výše uložené pokuty. Tyto okolnosti jsou vyjmenovány např. v § 46 odst. 2 zákona. Přihlíží se k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno. Není rozdíl v tom, zda provádíme zpracování osobních údajů na základě legalizace právním předpisem nebo zda jej provádíme na základě provedené registrace.

Jak předejít možné sankci?

Předcházet sankcím lze samozřejmě dodržováním zákona. Přináší to však s sebou určitou náročnost, zavedení konkrétních bezpečnostních opatření a samozřejmě určitou míru byrokracie. U právnických a podnikajících fyzických osob je dána odpovědnost za správní delikty. V tomto případě musíme vycházet z toho, že správce osobních údajů odpovídá za stav, který nastal. Dokonce jej ani sám nemusí způsobit. Právním termínem je tato situace označována jako objektivní odpovědnost, jde o odpovědnost bez ohledu na zavinění. Odpovědnost fyzických osob (zaměstnanců správce nebo osob obdobných) za přestupek je dána odlišně a je naplněna již nedbalostním jednáním.
Zákon ve svém § 46 odst. 1 obsahuje tzv. liberační ustanovení. To znamená, že pokud správce (zde je míněna právnická a dle výkladu i podnikající fyzická osoba) prokáže, že bylo vynaloženo veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila, poté za správní delikt nezodpovídá. Důkazní povinnost je vždy na straně škůdce.
Jaké má být vynaloženo úsilí na účinnou ochranu osobních údajů lze odvodit zejména od znění § 13 a 14 zákona. Musím však uvést, že jde o obecně nastavené povinnosti zejména správců a zpracovatelů osobních údajů. Povinnost je stanovena absolutně. Základním důvodem pro nastavení bezpečnosti opatření je minimalizace možného zásahu do soukromí osob. Bezpečnostní opatření, které by se měla skládat z opatření právních, režimových a technických. Zároveň musí být přiměřená charakteru zpracovávaných informací. Podstatné je, aby soubor těchto opatření byl účinný.
Jak zajistit správu a účinnou ochranu osobních údajů na čerpací stanici bude obsahem dalších dílů seriálu.

(Ne)bezpečné osobní údaje

Ochrana osobních údajů je poměrně novou povinností provozovatelů čerpacích stanic. Málokdo si ale uvědomuje, že jde o nečekaně rozsáhlou a složitou bezpečnostní problematikou s hrozbou vysokých sankcí. V seriálu (Ne)bezpečné osobní údaje nás Vladimír Oliberius provede základní problematikou ochrany osobních údajů nejen na čerpacích stanicích, objasní, co všechno je osobním údajem, kdy osobní údaje zpracováváme na základě legalizace právním předpisem, jak zajistíme jejich ochranu, kdy máme povinnost provést registraci jejich zpracovávání a jaké jsou základní povinnosti správce při zpracování osobních údajů.

Oliberius

MgR. Vladimír Oliberius

Je znalcem v oborech "technická a jiná bezpečnost osob a majetku" a dále "bezpečnost měst obcí a městských částí". Od roku 2009 pravidelně publikuje v magazínu PETROL a je členem týmu odborných poradců redakce.

Autor: Vladimír Oliberius, Zdroj: PETROLmedia

Diskuse

  • Karel Reindl, 28. 8. 2012 17:31: Jsem pravidelným čtenářem Petrol magazinu mnoho let a načerpal jsem z něho mnoho inspirace pro svou práci na čerpacích stanicích.Zaujal mne také článek Vládí Oliberiuse a to ze dvou důvodů a) mnoho potřebné zajímavé informace ,b)nemám na Tebe kontakt (prostě zmizel z mého mobilu ) mob.606 613 143
      Reagovat na komentář
    Přidat nový komentář

    Petrol Magazín

    Aktuální vydání2025/03 Téma číslaČtvrtstoletí s Petrol magazínem
    Aktuální číslo

    Přihlašte se k odběru novinek