Ministerstvo vnitra se dopustilo přestupků v oblasti zpracování osobních údajů
Dne 26. března 2024 vydal Nejvyšší správní soud rozsudek, jímž zamítl kasační stížnost Ministerstva vnitra („ministerstvo“) proti Úřadu pro ochranu osobních údajů („ÚOOÚ“).
Kasační stížnost napadala rozhodnutí, kterým ÚOOÚ uznal ministerstvo vinným z přestupků podle zákona č. 110/2019 Sb., o zpracování osobních údajů („zákon o zpracování osobních údajů“), spočívajících v porušení základních zásad pro zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 („GDPR“) a dalších povinností dle zákona o zpracování osobních údajů.
Ministerstvo se konkrétně dopustilo přestupku tím, že
- uchovávalo ve 144 případech osobní údaje v kopiích osobních dokladů v rozporu s účelem, k němuž byly shromážděny, resp. zpracovávalo osobní údaje bez relevantního právního titulu, a
- v Inůormačním systému o státní službě nevedlo záznamy o přístupech oprávněných zaměstnanců služebních úřadů do tohoto systému (logování).
Nejvyšší správní soud potvrdil, že k uchovávání kopií osobních dokladů nemělo ministerstvo zákonný důvod, a to zejména s ohledem na skutečnost, že zákon č. 234/2014 Sb., o státní službě, takovou povinnost zpracování osobních údajů neukládá.
Nejvyšší správní soud dále dovodil, že i když GDPR ani zákon o zpracování osobních údajů výslovně neuvádí povinnost vytvářet záznamy o přístupech k osobním údajům (logování), jako to explicitně stanovoval v ustanovení § 13 odst. 4 písm. c) již zrušený zákon č. 101/2000 Sb., o ochraně osobních údajů, lze danou povinnost dovodit z čl. 32 GDPR, který ukládá správci obecnější povinnost aplikovat přiměřená technická a organizační opatření, při současné aplikaci jedné ze základních zásad GDPR, jíž je přístup založený na riziku.
