25.5.2018 vejde v účinnost nařízení GDPR. Toto nařízení umožňuje Úřadu pro ochranu osobních údajů uložit správní sankci až do výše 4 % celkového obratu společnosti. Prohřešek proti náležité ochraně osobních údajů však může založit také trestní odpovědnost právnické osoby, a to v souladu se zákonem č. 418/2011 Sb., o trestní odpovědnosti právnických osob (dále jen „TOPO“). Ačkoliv trestný čin neoprávněného nakládání s osobními údaji není ve výčtu ustanovení § 7 zákona č. 40/2009 Sb., trestního zákoníku, (dále jen „TZ“), je třeba mít na paměti, že v případě spáchání tohoto trestného činu, může dojít k aktivaci trestní odpovědnosti právnické osoby a možné sankci.
Osobním údajem se dle Nařízení GDPR rozumí cokoliv, co může člověka identifikovat. S osobními údaji dnes operuje téměř každá obchodní společnost, ať už za účelem plnění smlouvy, plnění právních povinností, ochrany životně důležitých zájmů, nebo s výslovným souhlasem subjektu, jehož se zpracovávané údaje týkají. Pro všechny obchodní společnosti proto z Nařízení vyplývá povinnost vědět, jaké údaje do společnosti přichází, jakým způsobem jsou zpracovávány a jaké z ní vychází. Všechny tyto operace s osobními údaji je zapotřebí uvést do souladu s Nařízením GDPR. Je také vhodné dbát na eliminaci sběru nadbytečných dat. Tedy, jednoduše, zpracovávat jen takové osobní údaje, které jsou nezbytně nutné pro její činnost a fungování. Je bezpodmínečně nutné zajistit, aby obchodní společnost měla databázi osobních údajů plně pod kontrolou, a udělala vše, co je rozumné požadovat, aby tuto databázi zabezpečila jak technicky (např. zaheslování počítače, ve kterém se databáze nachází, koupě dostatečně silného antivirového programu), tak právně (např. úpravou smluv se zaměstnanci, vtělením NDA do nich, atp.), ale i proti tzv. selhání lidského faktoru (např. poskytnout přístup k počítači obsahujícím databázi jen určitým osobám, jmenování pověřence pro ochranu osobních údajů dle čl. 37, atp.).
V případě, že obchodní společnost selže v dodržování pravidel stanovených Nařízením GDPR, pravděpodobně bude toto pochybení posuzováno podle § 180 TZ.
Neoprávněné nakládání s osobními údaji(1) Kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti. (2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. (3) Odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny, b) spáchá-li takový čin tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, c) způsobí-li takovým činem značnou škodu, nebo d) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch. (4) Odnětím svobody na tři léta až osm let bude pachatel potrestán, a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.
|
Tento paragraf sestává z dvou odlišných skutkových podstat. První skutková podstata popsaná v odst. 1 je ochrana osobních údajů v souvislosti s výkonem veřejné moci. Druhá skutková podstata popsaná v odst. 2 se zabývá ochranou osobních údajů v souvislosti s výkonem povolání, zaměstnání nebo funkce fyzické osoby. Pachatel tímto poruší státem uloženou či uznanou povinnost mlčenlivosti. Pravdou je, že ne všechny osobní údaje jsou tak podstatné, aby jim byla přisuzována váha údajů sdělovaných např. lékaři, nebo advokátovi. Spousta osobních údajů je volně dostupná k nahlédnutí např. ve veřejných rejstřících, nebo kdekoliv volně na internetu (sociální sítě, atp.). Na takové údaje se povinnost mlčenlivosti nevztahuje. Vztahuje se však na údaje, které jsou citlivé – např. genetické a biometrické údaje, údaje o zdravotním stavu či sexuální orientaci, rasový či etnický původ, politické názory, náboženské vyznání – tyto údaje obvykle nechceme sdílet s neomezeným okruhem osob. Zneužitím citlivých údajů nejenže dochází k významnému zásahu do soukromí osob, ale může způsobit i diskriminaci. Takovým situacím je dozajisté třeba předcházet.
Obchodní společnost se může trestní odpovědnosti zprostit. Dle § 8 odst. 5 je to možné v takových případech, kdy je prokazatelné, že obchodní společnost vynaložila veškeré úsilí, které na ní bylo možno spravedlivě požadovat, aby spáchání protiprávního činu zabránila. Odpovědnost společnosti v rámci TOPO je však vždy aktivována fyzickou osobou. Její protiprávní jednání lze přičítat právnické osobě, tedy společnosti. Takovými fyzickými osobami myslíme například zaměstnance, kteří přichází do styku s osobními údaji.
Věnovat se činnosti, ke které je třeba zpracovávat osobní údaje, je volbou společnosti. Trestného činu neoprávněného nakládání s osobními údaji je možné se dopustit i z nedbalosti, je proto třeba, aby obchodní společnost přistupovala k problematice osobních údajů s respektem a dbala na dodržování pravidel Nařízení GDPR.