Správci jsou povinni informovat dozorové úřady pro ochranu osobních údajů mj. o porušení zabezpečení osobních údajů. I když je hranice mezi incidenty, které je nutné oznamovat a které ne, stanovena v rámci celé Evropské unie stejně (správce reportuje každý incident, který měl za následek riziko pro práva a svobody fyzických osob), číslo reportovaných případů se v jednotlivých státech dosti liší. V České republice správci ročně oznámí několik stovek takovýchto případů, ale například v Nizozemsku několik tisíc.
A právě v Nizozemsku místní úřad pro ochranu osobních údajů řešil situaci, kdy se třetí osoba pomocí zákona o svobodném přístupu k informacím domáhala detailů o jednom z těchto incidentů.
O jaký případ se jednalo?
Provozovatel komunikačního nástroje AddComm byl cílem úspěšného ransomware útoku. Jeho klienti se proto nemohli dostat ke svým datům. Mezi těmito klienty byla i banka ABN Amro, která informaci o porušení zabezpečení osobních údajů zveřejnila. Celou věcí se zabýval i dozorový úřad.
Nizozemský dozorový úřad následně obdržel žádost podle zákona o svobodném přístupu k informacím. Žadatel chtěl získat přístup k informacím a dokumentům týkajícím se tohoto bezpečnostního incidentu, včetně kompletního výsledku šetření ze strany úřadu.
Žádost o informace byla zamítnuta
Nizozemský dozorový úřad tuto žádost o informace zamítl. S jasným odůvodněním: Informace poskytnuté společností AddComm a dalšími subjekty, které incident zasáhl, byla ve většině důvěrná. Ta část, kterou netvořily důvěrné interní informace, by mohla být proti daným společnostem zneužita a způsobit jim finanční újmu.
Dozorový úřad při odmítnutí žádosti o informace argumentoval rovněž tím, že zveřejnění strategických informací o vyšetřování, například toho, jak úřad vykonává svůj dohled, by mohlo oslabit jeho schopnost účinně kontrolovat dodržování GDPR a dalších předpisů. Správci údajů by totiž mohli své chování přizpůsobit tak, aby se kontrole vyhnuli. Úřad rovněž uvedl, že zpřístupnění požadovaných informací a dokumentů by mohlo poškodit i samotný výkon dozorové činnosti, protože by organizace mohly ztratit důvěru v úřad a být méně ochotné s ním interní informace sdílet.
Jak je to v České republice?
Jak by v obdobném případě postupoval český Úřad pro ochranu osobních údajů? Může kdokoliv pomocí zákona č. 106/1999 Sb., o svobodném přístupu k informacím, získat detaily k incidentu, který se stal třeba jeho konkurenci? A naopak, mají firmy důvod se obávat, že informace, které úřadu poskytnou, se mohou stát veřejnými?
Úřad pro ochranu osobních údajů je povinným subjektem podle zákona č. 106/1999 Sb. To ovšem neznamená, že musí zpřístupnit či zveřejnit vše, co se při výkonu dozoru dozví.
Na popisovanou situaci, informace zjištěné v rámci šetření porušení zabezpečení osobních údajů, dopadají zejména tyto výluky z práva na informace:
Ochrana obchodního tajemství. Povinné subjekty podle § 9 odst. 1 zákona č. 106/1999 Sb. neposkytují informace, které mají charakter obchodního tajemství. Zákon v tomto nedává povinným subjektům prostor pro úvahu, zpřístupnění tohoto druhu informací jednoznačně zapovídá.
Co to je obchodní tajemství? Tento pojem je definován v § 504 občanského zákoníku jako “konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti, které souvisejí se závodem a jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení.”
Pokud tedy správce údajů dozorovému úřadu poskytne informace, které této definici odpovídají, úřad je nesmí postupem podle zákona č. 106/1999 Sb. nikomu dalšímu zpřístupnit. Dopadá to jistě i na informace týkající se interní IT architektury, podmínek spolupráce s dodavateli, včetně například provozovatelů komunikačních a marketingových platforem, způsobu práce s daty atd.
Informace získané při výkonu dozoru. Další relevantní výjimku z práva na informace upravuje § 11 odst. 3 zákona č. 106/1999 Sb. Podle tohoto ustanovení povinný subjekt neposkytuje (opět absolutní výluka bez možnosti úvahy povinného subjektu) informace, které získal od třetí osoby při plnění úkolů v rámci kontrolní, dozorové, dohledové nebo obdobné činnosti. Toto ustanovení dopadá i na přijímání a další šetření oznámení o porušení zabezpečení osobních údajů, resp. i na případnou kontrolu bezpečnosti dat u konkrétního správce.
Jaké informace o kontrole se poskytují?
Je pravda, že § 11 odst. 3 zákona č. 106/1999 Sb. uvádí, že povinný subjekt poskytne informace, které při výkonu dohledu či dozoru vznikly jeho činností. Znamená to snad, že by ÚOOÚ mohl či dokonce měl poskytnout například výslednou zprávu o prošetření incidentu?
Ne, neznamená. Pravidla pro poskytování informací o činnosti veřejných subjektů definovaná v zákoně č. 106/1999 Sb. je nutno vykládat jako celek, nikoliv izolovaně. To znamená, že například ÚOOÚ sice poskytne svoje kontrolní závěry (kontrolní protokol), ovšem způsobem, který nezasáhne do obchodního tajemství dotčených osob, ani nebude zahrnovat informace, které úřad získal při kontrole a které jsou chráněny mlčenlivostí dle zvláštních právních předpisů. Že tak ÚOOÚ skutečně v praxi postupuje, se ostatně může každý přesvědčit na jeho webových stránkách.
Co to znamená pro správce?
Ochrana obchodního tajemství či jiných interních informací není legitimním důvodem pro neposkytnutí informací ÚOOÚ. Platí to jak pro kontrolu či správní řízení, tak i pro reporting porušení zabezpečení osobních údajů. Pokud správce ÚOOÚ nezbytné informace neposkytne, vystavuje se riziku opakovaně uložené pořádkové pokuty.
