ZÁKAZ NUCENÍ K SEBEOBVIŇOVÁNÍ PŘI ČINNOSTI INSPEKTORÁTU PRÁCE / Jakub Morávek (ed.)

5. Nemo tenenur – polemika k některým zákonným konstrukcím Předložené pojednání se nabízí uzavřít polemikou k v poslední době se objevivším legislativním tendencím. Za všechny lze poukázat na institut ohlášení případů porušení zabezpečení osob- ních údajů dozorovému úřadu (pro Českou republiku Úřadu pro ochranu osobních údajů) ve smyslu čl. 33 nařízení Evropského parlamentu a Rady EU č. 2016/679 ze dne 27. dubna 2015 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. 35 Ve stručnosti, dle odkazovaného ustanovení je správce osobních údajů povinen ohlásit příslušnému dozorovému úřadu jakékoli porušení zabezpečení 36 ve lhůtě bez zbytečného odkladu, pokud možnost do 72 hodin od okamžiku, kdy se o něm dozvě- děl. Správce v rámci ohlášení uvede mj. (i.) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného po- čtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů; (ii.) popis pravděpodobných důsledků porušení zabezpečení osobních údajů, a (iii.) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Krátce řečeno, všechny informace nezbytné k posou- zení, zda správce nezanedbal svou povinnosti k zajištění bezpečnosti zpracovávaných osobních údajů, příp. nějakou jinou ze zákonných povinností a nespáchal přestupek na úseku ochrany osobních údajů. S ohlašováním případů porušení zabezpečení úzce souvisí oznamování porušení zabezpečení osobních údajů subjektům údajů (čl. 34 GDPR). Základní myšlenka právní úpravy oznámení a ohlášení porušení zabezpečení je dobrá. V podstatě opisuje, co plyne z obecné prevenční povinnosti k odvracení škod a z obecné slušnosti, tedy že dojde-li k incidentu, který se může dotknout zájmů, práv a svobod jiného, měla by se dotčená osoba o takové skutečnosti vyrozumět. Dotčená osoba by měla mít čas a možnost učinit opatření k odvrácení nepříznivého důsledku. Pokud oznamovatel za situaci nesu vinu, měl by se na odvracení nepříznivých důsled- ků podílet. Rozumné je i to, aby povinná osoba měla možnost obrátit se na odborně způsobilou instituci, se kterou věc prodiskutuje a tato jí poradí nejlepší způsob řešení. Příběhy právních institutů však mívají šťastné konce spíše výjimečně. Právní insti- tuty, zejména ty nové a prozatím neotesané, nebývají rozumné, dobře fungující a bez problémů. Ohlášení porušení zabezpečení není výjimkou.

35 Dále jen GDPR. 36 Porušením zabezpečení se ve smyslu čl. 4 odst. 12 nařízení míní „ porušení zabezpečení, které vede k ná- hodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů“

39