Rozsudek Nejvyššího správního soudu ze dne 4. 4. 2013, č. j. 7 As 186/2012 - 31

// prejudikatura: rozsudek Nejvyššího správního soudu ze dne 30. 1. 2013, sp. zn. 7 As 150/2012

(citace)

Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy, tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval, je nutno vzít v úvahu její výslovné omezení na případy automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů tímto způsobem, tedy za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití, protože výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat, jakož i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného.

Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky, jež jsou svoji podstatou typickým potenciálním objektem zneužití osobních údajů v masovém měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nepřiměřené náklady. Je li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného systému na zpracování osobních údajů další vedlejší funkci – zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Takové opatření má vysoký preventivní účinek zabraňující zneužití údajů z informačního systému, neboť každý, kdo s ním pracuje, si musí být vědom toho, že je možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo oprávněně. Zároveň si lze stěží představit jiné adekvátní opatření, které by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů.

V případě splnění povinnosti podle ust. § 13 odst. 4 zákona o ochraně osobních údajů totiž každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, si musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno. Požadavek na zaznamenávání tzv. logů proto Nejvyšší správní soud považuje ve všech případech automatizovaného zpracování osobních údajů za plně legitimní, žádoucí a s ohledem na jeho omezení pouze na případy automatizovaného zpracování také přiměřený. Povinnost podle ust. § 13 odst. 4 zákona o ochraně osobních údajů tedy odpovídá požadavkům čl. 17 odst. 1 směrnice.