Vydání 6/2009

Číslo: 6/2009 · Ročník: VII

1844/2009

Ochrana osobních údajů: zpracovatel osobních údajů

Ochrana osobních údajů: zpracovatel osobních údajů
k § 12 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 439/2004 Sb.
k zákonu č. 38/2004 Sb., o pojišťovacích zprostředkovatelích a samostatných likvidátorech pojistných událostí a o změně živnostenského zákona (zákon o pojišťovacích zprostředkovatelích a likvidátorech pojistných událostí)
Pojišťovací zprostředkovatel, který nezávisle na pojišťovně určuje okruh subjektů, jenž osloví jako potenciální zájemce o uzavření pojistné smlouvy, a k tomuto účelu sám vytváří databázi osobních údajů těchto subjektů, má z hlediska zákona č. 101/2000 Sb., o ochraně osobních údajů, postavení správce osobních údajů, nikoli jejich pouhého zpracovatele (§ 12 citovaného zákona).
(Podle rozsudku Nejvyššího správního soudu ze dne 12. 2. 2009, čj. 9 As 34/2008-68)
Prejudikatura:
č. 664/2005 Sb. NSS
Věc:
Akciová společnost Aviva životní pojišťovna proti Úřadu pro ochranu osobních údajů, za účasti Kateřiny A., o uložení pokuty, o kasační stížnosti žalobce.
Žalobce spolupracoval na základě Smlouvy o výkonu zprostředkovatelské činnosti v pojišťovnictví uzavřené dne 19. 7. 2005 s Kateřinou A., která v souladu s čl. II této Smlouvy jeho jménem a na jeho účet vykonávala zprostředkovatelskou činnost jako výhradní pojišťovací agent. Pojišťovací agent oslovil dne 26. 7. 2005 prostřednictvím mobilního telefonu Jana H., který dle svého pozdějšího vyjádření přeslechl obchodní jméno společnosti a v domnění, že se jednalo o telefonát z pojišťovny Allianz, kde má uzavřeno pojištění, poskytl volajícímu pro další komunikaci svou e-mailovou adresu. Následující den mu byla na udanou adresu doručena obecná obchodní nabídka služeb žalobce, a to formou odkazu na www stránky pojišťovny. Tato nabídka byla učiněna jménem pojišťovny (hovoří se v ní doslova o „
naší firmě
“), podepsán však pod ní byl výhradní pojišťovací orgán, k nabídce byl připojen jeho kontaktní telefon. Jan H. na nabídku reagoval žádostí o vymazání všech svých kontaktních údajů z databáze žalobce a současně požádal o sdělení, odkud žalobce získal číslo jeho mobilního telefonu. Výhradní pojišťovací agent na žádosti o vymazání osobních údajů vyhověl („
samozřejmě vašemu přání vyhovíme a vaše údaje vymažeme z naší databáze
“), ovšem požadavek na sdělení zdroje těchto údajů odmítl s odůvodněním, že „
... vzhledem k zákonu 101 o ochraně osobních údajů tyto informace neposkytujeme
“.
Jan H. se proto obrátil na správní orgán I. stupně se stížností na postup žalobce (z formulace podání je zřejmé, že osobu, která ho kontaktovala, považoval za telefonní operátorku společnosti Aviva životní pojišťovna, a.s.). Žalobce ve vyjádření ke správnímu řízení poukázal na svou spolupráci s výhradním pojišťovacím agentem, přičemž připustil, že pojišťovna dle zákona č. 38/2004 Sb. nese odpovědnost za škodu způsobenou výkonem zprostředkovatelské činnosti výhradního pojišťovacího agenta, nemůže však podle jeho názoru nést odpovědnost správněprávní ani trestněprávní. Správní orgán I. stupně rozhodnutím ze dne 4. 1. 2006 uložil žalobci pokutu ve výši 5 000 Kč za správní delikt dle § 45 odst. 1 písm. g) zákona o ochraně osobních údajů, kterého se žalobce dopustil porušením povinnosti stanovené § 12 odst. 1 citovaného zákona tím, že subjektu údajů ve smyslu zákona o ochraně osobních údajů odmítl poskytnout jím požadované informace. Žalovaný rozhodnutím ze dne 1. 3. 2006 rozklad žalobce zamítl.
Rozhodnutí žalovaného napadl žalobce žalobou u Městského soud v Praze. Nesouhlasil s tím, že by právě na něj dopadala povinnost poskytnout subjektu údajů, tj. fyzické osobě, k níž se příslušné osobní údaje vztahují, informaci o zdroji těchto údajů. Uvedl, že vůbec není účastníkem řízení o příslušném správním deliktu, nýbrž jím je výhradní pojišťovací agent.
Městský soud v Praze rozsudkem ze dne 12. 2. 2008 žalobu zamítl. Uvedl, že v postavení správce podle zákona o ochraně osobních údajů je žalobce, který stanoví účel, prostředky a způsob zpracování osobních údajů, zatímco výhradní pojišťovací agent jednající jménem pojišťovny a na její účet je jen zpracovatelem těchto údajů. Důvod odpovědnosti stěžovatele má pak v daném případě původ v nedostatečné úpravě smlouvy uzavřené mezi žalobcem jakožto pojišťovacím ústavem a jeho výhradním pojišťovacím agentem, který měl v řízení o žalobě postavení osoby zúčastněné na řízení, a to právě ohledně otázky správy a zpracování osobních údajů klientů pojišťovny včetně potenciálních klientů oslovených pojišťovacím agentem nabídkou produktů pojišťovny za účelem uzavření smlouvy tohoto klienta s pojišťovnou.
Proti rozsudku žalobce (stěžovatel) brojil kasační stížností. Uvedl, že osoba samostatně výdělečně činná vykonávající činnost zprostředkovatele je ještě v okamžiku, kdy užije jí shromážděné osobní údaje třetích osob ve svůj prospěch a pokusí se zprostředkovat třetí osobě uzavření pojistné smlouvy se zájemcem (pojišťovnou), z hlediska zákona o ochraně osobních údajů správcem takových osobních údajů. Zprostředkovatelé finančních služeb, mezi něž patří i výhradní pojišťovací agent dle zákona č. 38/2004 Sb. z povahy věci mohou vykonávat a vykonávají zprostředkovatelskou činnost ve vztahu k více zájemcům - např. pro pojišťovny, stavební spořitelny, penzijní fondy apod. Za účelem řádného výkonu své zprostředkovatelské činnosti si zprostředkovatelé v pozici podnikatele vytvářejí databázi třetích osob, tedy potenciálních klientů (z hlediska zákona o ochraně osobních údajů tzv. „
subjektů údajů
“), která obsahuje též jejich osobní údaje chráněné tímto zákonem. Tuto databázi zpracovávají prostředky dle svého vlastního uvážení a svou činností naplňují všechny znaky pojmu „
správce osobních údajů
“ stanovené v § 4 písm. j) zákona o ochraně osobních údajů. Zprostředkovatel rozhoduje o tom, pro jaký konkrétní účel osobní údaje shromážděné ve své databázi použije - tj. jakou finanční službu nebo jaký finanční produkt potenciálnímu klientovi doporučí, resp. nabídne. Zcela běžně může nastat situace, že zprostředkovatel v rámci výkonu své zprostředkovatelské činnosti nabídne potenciálnímu klientovi službu či produkt více zájemců (tj. více finančních institucí) současně - např. životní pojištění, pojištění odpovědnosti z provozu motorových vozidel, stavební spoření a penzijní připojištění. Pokud by v takovém případě došlo ze strany zprostředkovatele k porušení povinnosti uložené správci osobních údajů v § 12 odst. 1 zákona o ochraně osobních údajů a zprostředkovatel by byl pouze v pozici zpracovatele těchto údajů, nebylo by jasné, který ze čtyř příkladmo vyjmenovaných zájemců je správcem osobních údajů, jemuž zákon za porušení takové povinnosti ukládá sankci v podobě peněžité pokuty. Proto má stěžovatel za to, že zprostředkovatel nemůže být v tomto okamžiku pouhým zpracovatelem osobních údajů, ale musí být jejich správce. Stěžovatel na podporu svého názoru odkazuje také na Stanovisko č. 1/2005 Úřadu pro ochranu osobních údajů, v němž v souvislosti s řešením otázky oznamovací povinnosti správců osobních údajů je připouštěno, že pojišťovací zprostředkovatelé mohou být též takovými správci. Pojišťovna se správcem osobních údajů stává v okamžiku, kdy sama určí účel a prostředky zpracování těchto údajů, tedy v okamžiku, kdy jsou mu např. osobní údaje třetích osob zpřístupněny doručením návrhu potenciálního klienta na uzavření smlouvy.
Nejvyšší správní soud napadený rozsudek Městského soudu v Praze zrušil a věc mu vrátil k dalšímu řízení.
Z odůvodnění:
(...) K právní úpravě týkající se oblasti ochrany osobních údajů je možno úvodem konstatovat, že zpracování osobních údajů vychází ze zásady, podle níž právo disponovat s osobními údaji náleží fyzické osobě, k níž se tyto informace vztahují (subjektu údajů), a nikoli tomu, kdo je jejich držitelem. Je proto logické, že základním právním titulem pro zpracování osobních údajů je z principu věci souhlas subjektu údajů. Požadavek souhlasu však není zákonem stanoven jako absolutní. Zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého nebo osobního života. Nepopiratelnou skutečností zároveň je, že jedním z nejohroženějších lidských práv v podmínkách současné tzv. „
informační společnosti
“ je právě právo na soukromí, ačkoli v souladu s čl. 10 odst. 2 Listiny má „
každý právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života
“. Tuto skutečnost je nutno brát v souvislosti s řešenou problematikou v úvahu.
Zákon o ochraně osobních údajů v § 4 písm. a) stanoví, že osobním údajem se rozumí „
jakákoliv informace týkající se určeného nebo určitelného subjektu údajů
“, přičemž „
subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu
“. Plná identita fyzické osoby v současných podmínkách technologicky vyspělé společnosti, tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace snadno dostupná, ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto se výklad pojmu „
osobní údaj
“ nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu (viz shora). Prostřednictvím tohoto čísla je však možno daný subjekt v určitém časovém úseku přímo kontaktovat (což se ostatně stalo i v posuzovaném případě), a tento subjekt je tak dosažitelný a jistým způsobem určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají. Požadavek Jana H., který v posuzovaném případě byl konkrétním subjektem údajů, na sdělení informace o zdroji svého telefonního čísla od osoby, jež ho kontaktovala, je tak podle názoru Nejvyššího správního soudu oprávněný. Skutečnost, že mu požadovaná informace sdělena nebyla, není předmětem sporu. Otázkou tedy zůstává, kdo byl povinen subjektu údajů požadovanou informaci poskytnout a na koho tudíž padá sankční odpovědnost podle zákona o ochraně osobních údajů, tj. zda-li to byl pojišťovací agent, který subjekt údajů přímo oslovil, či společnost, jejímž jménem tak učinil, tzn. stěžovatel. Podle § 12 odst. 1 zákona o ochraně osobních údajů povinnost umožnit subjektu údajů přístup k informacím, které se ho týkají, dopadá na správce osobních údajů („
Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat
.“). Otázka, kdo je správcem osobních údajů oznamovatele správního deliktu, Jana H., je tak pro posouzení dané věci klíčová.
Stěžovatel je přesvědčen, že osobou, která byla povinna požadované informace subjektu údajů poskytnout, byla Kateřina A. spolupracující se stěžovatelem na základě vzájemné smlouvy jako výhradní pojišťovací agent. Podle názoru stěžovatele tento agent, jako samostatný podnikatelský subjekt (a nikoli pojišťovna), ve vztahu k jím samostatně shromažďovaným a zpracovávaným údajům nese práva a povinnosti správce ve smyslu zákona o ochraně osobních údajů, zatímco správní orgány v obou stupních řízení, a následně i městský soud, zastávaly názor opačný. Městský soud tento názor odůvodnil tak, že „
správcem údajů je pojišťovna, neboť tato za účelem realizace nabízených produktů využívá (na základě smlouvy) služeb pojišťovacího zprostředkovatele, který i ve fázi získávání jejích klientů před předáním jejich osobních údajů pojišťovně v mezích smluvního vztahu k ní pro ni vyhledává, používá či jinak nakládá s osobními údaji i potenciálních klientů za účelem uzavření smluvního vztahu mezi tímto klientem a pojišťovnou, tedy při zprostředkování zpracovává osobní údaje
“. Z toho pak dovodil, že pojišťovací zprostředkovatel (agent) je ve vztahu k předmětným osobním údajům v postavení jiném, než je postavení správce osobních údajů, a to v postavení jejich zpracovatele, a stěžovatel jako správce měl mít s tímto zpracovatelem pro účely zprostředkovatelské činnosti prováděné jeho jménem a v jeho prospěch uzavřenu smlouvu podle § 6 citovaného zákona.
Dle § 4 písm. j) zákona o ochraně osobních údajů je správcem osobních údajů „
každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak
“, zatímco zpracovatelem je dle písm. k) téhož ustanovení „
každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona
“. Pro úplnost je možno na tomto místě doplnit, že zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se zároveň rozumí zejména jejich shromažďování, ukládání na nosiče informací, zpřístupňování atd. Zpracováním osobních údajů ve smyslu zákona o ochraně osobních údajů je proto bezpochyby již i shromažďování těchto dat v předkontraktační fázi, tj. ve fázi, kdy pojišťovací zprostředkovatel vyhledává na trhu kontakty na subjekty, které se mohou v budoucnu stát klienty pojišťovny, a tyto kontaktní údaje shromažďuje. Zde je na místě zdůraznit, že jak argumentace stěžovatele, tak i městského soudu, o níž se opírá výrok napadeného rozhodnutí, shodně poukazuje právě na účel a prostředky zpracování osobních údajů jako na podstatný znak, jímž je naplněn zákonný pojem správce, přičemž na tento účel již nahlíží stěžovatel a soud různě.
Nejvyšší správní soud sdílí úvahu, že rozhodným, lépe řečeno rozlišovacím znakem obou pojmů, tj. „
správce
versus
zpracovatel osobních údajů
“, je především účel zpracování těchto údajů, potažmo pak prostředky jejich zpracování. Oba shora nastíněné názory, které stojí v kontrapozici, soud pečlivě uvážil, a dospěl k závěru, že účelem zpracování osobních údajů pojišťovacím zprostředkovatelem je primárně (a především) dosažení jeho vlastního podnikatelského zájmu, resp. zisku, a to oslovením co největší množiny subjektů - potenciálních klientů pojišťovny. Přestože jsou na dosažení tohoto cíle hmotně zainteresovány oba subjekty, tj. jak zprostředkovatel, tak i pojišťovna, a přestože je pojišťovací zprostředkovatel smluvně vázán k pojišťovně jako výhradní pojišťovací agent (vázán je tedy velmi úzce vnitřními předpisy pojišťovny, která odpovídá i za škodu způsobenou jeho činností), pojišťovací zprostředkovatel vystupuje a jedná navenek vůči třetím osobám jako samostatný podnikatel. Podnikatel, předmětem jehož podnikatelské činnosti je zprostředkovatelská činnost (přičemž pro řešení této právní otázky je významná i skutečnost, že předmětů podnikání může mít každý podnikatel vícero), se nemůže na základě soukromoprávní smlouvy vyvázat ze správněprávní odpovědnosti, ledaže by se pro účely zákona o ochraně osobních údajů a z něj vyplývající odpovědnosti vycházelo z premisy, že agent a pojišťovna tvoří jeden funkční celek. Za takových okolností by správcem údajů byla skutečně pouze pojišťovna. Pro posledně vyslovený teoretický závěr však Nejvyšší správní soud neshledal dostatečnou oporu v zákoně o ochraně osobních údajů ani ve vazbě na zákon č. 38/2004 Sb. Pokud by byl pojišťovací zprostředkovatel v pozici pouhého zpracovatele těchto údajů, pak by nemohl sám o své vůli vybírat potenciální zájemce pro uzavření pojistné smlouvy, nemohl by určovat okruh těchto subjektů a nemohl by ani s osobními údaji těchto subjektů o své vůli samostatně nakládat. Nejvyšší správní soud souhlasí se stěžovatelem v tom smyslu, že ačkoli jsou data shromážděna výhradním zprostředkovatelem pojištění, není vyloučeno jejich případné použití pro jiné podnikatelské účely, s pojistnými produkty pojišťovny nesouvisejícími.
Z obecného hlediska je pro posouzení sporné otázky důležitý také časový aspekt. Správcem se pojišťovna zcela jistě stává v okamžiku, kdy je jí doručen návrh na uzavření smlouvy s potenciálním klientem a příslušná data (osobní údaje) jsou jí tudíž k dispozici. V tomto okamžiku již totiž záleží jen na ní, zda akceptuje návrh smlouvy [a stává se tak správcem
ex lege
z hlediska zákona č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů], či nikoli. Pokud by měla být pojišťovna správcem údajů se všemi důsledky (tj. i sankčními) již ve fázi, kdy její pojišťovací agent vyhledává na trhu potenciální klienty, tedy subjekty, které se vůbec jejími klienty nemusí stát, pak by mohla dostát své povinnosti podle § 12 odst. 1 zákona o ochraně osobních údajů, tj. povinnosti poskytnout subjektu údajů na jeho žádost informaci, pouze prostřednictvím tohoto agenta, neboť dotčené údaje se v této fázi ještě vůbec nedostaly do její sféry. Není tedy vyloučena situace, že zprostředkovatelem shromážděné osobní údaje potenciálních klientů se do sféry pojišťovny nikdy nedostanou, a v takovém případě by bylo podle názoru zdejšího soudu
absurdní
ji bez dalšího (jen na základě existence smlouvy o zprostředkování s pojišťovacím agentem) za neposkytnutí informací o osobních údajích, které nikdy neměla k dispozici, sankcionovat.
Městský soud se v odůvodnění napadeného rozsudku zabýval jak otázkou veřejnoprávní odpovědnosti, tak i soukromoprávními vztahy mezi pojišťovnou a jejím pojišťovacím agentem, tyto otázky však pouze naznačil a blíže nerozvedl, jak na to upozorňuje ve svém podání stěžovatel. Nejvyšší správní soud proto považuje za vhodné v obecné rovině připomenout, že z dosavadní judikatury správních soudů plyne, že odpovědnosti za správní delikt v oblasti veřejného práva se zásadně nelze vyhnout poukazem na smluvní ujednání mezi účastníky soukromoprávního vztahu (viz rozsudek Vrchního soudu v Praze ze dne 23. 9. 1994, sp. zn. 6 A 197/93, nebo rozsudek Nejvyššího správního soudu ze dne 29. 1. 2004, čj. 7 A 156/2000-62*), dostupný na www.nssoud.cz). Jestliže tedy pojišťovací zprostředkovatel je správcem osobních údajů, nemůže se ve vztahu k povinnostem kladeným na správce zákonem o ochraně osobních údajů odvolávat na smluvní ujednání o mlčenlivosti stanovené Smlouvou o výkonu zprostředkovatelské činnosti mezi ním a pojišťovnou, nehledě na to, že v daném případě bylo neposkytnutí požadované informace subjektu údajů s odvoláním právě na zákon o ochraně osobních údajů dezinterpretací tohoto zákona, neboť subjekt údajů byl z hlediska tohoto zákona subjektem oprávněným, nikoli třetí osobou, před níž by měly být jeho údaje chráněny. Kromě toho v daném případě pojišťovací agent zjevně ujednání Smlouvy porušil, a to čl. V., bod 1., písm. c), podle něhož měl ve vztahu ke třetím osobám, zejména k zájemcům o pojištění a pojistníkům či pojištěným, povinnost prezentovat se vždy jako osoba samostatně výdělečně činná, nikoli jako zaměstnanec pojišťovny. Z textu stížnosti oznamovatele deliktu je však zřejmé, že subjekt údajů se mylně domníval, že byl kontaktován přímo telefonní operátorkou pojišťovny, a to i poté, co již komunikace mezi ním a agentem probíhala elektronickou poštou, nikoli prostřednictvím mobilního telefonu.
Na základě závěru, že pojišťovací zprostředkovatelé vystupují na trhu jako samostatné podnikatelské subjekty, které sledují především své vlastní cíle, přisvědčil Nejvyšší správní soud názoru stěžovatele.
Vzhledem k tomu, že neuralgickým bodem byl v dané věci výklad pojmu „
správce
“, lze ještě dodat, že z důvodové zprávy k vládnímu návrhu zákona o ochraně osobních údajů plyne, že definice správce byla do tohoto zákona převzata ze směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Na úrovni legislativy EU je otázka ochrany osobních údajů ve vztazích mezi pojišťovnami a nezávislými pojišťovacími agenty řešena především již shora zmíněnou směrnicí 95/46/ES (ochrana osobních údajů), která však stanoví pouze obecné zásady zpracovávání osobních údajů, a dále pak směrnicí 2002/92/ES (zprostředkovatelé pojištění), přičemž tato směrnice zase především určuje podmínky působení a volného pohybu zprostředkovatelů pojištění (makléřů a agentů) na vnitřním trhu Evropského společenství. Konkrétní zásady ochrany osobních údajů v odvětví komerčního pojištění lze najít až v Doporučení Rady ministrů členským státům Rec(2002)9 o ochraně osobních údajů shromaždovaných a zpracovávaných pro účely komerčního pojištění. Z důvodové zprávy k tomuto doporučení plyne, že: „
Makléři, nezávislí agenti, a tam, resp. tehdy, jestliže je to nutné, také experti nebo finanční instituce, by v zásadě měli být považováni za správce údajů, nikoli zpracovatele, jelikož shromažďují a zpracovávají osobní údaje i v době před uzavřením smlouvy
“ (pozn.: volný překlad z anglického znění: „
Brokers, independent agents and also, where necessary, experts or financial institutions should, in principle, be considered as controllers and not as processors to the extent that they collect and process personal data, even before the conclusion of a contract.
“). Je však třeba dodat, že Doporučení Rady ministrů členským státům mají, jak je zřejmé již z jejich samotného označení, pouze doporučující charakter a nejsou tudíž pro členské státy závazná.
S ohledem na výše uvedené je zřejmé, že jednotlivé právní úpravy členských států, a v návaznosti na ně i
judikatura
vnitrostátních soudů, mohou v principu na předmětnou otázku, která je takto úzce specifikována, nahlížet různě, přičemž
judikatura
Evropského soudního dvora tuto specifickou otázku dosud neřešila (v oblasti pojišťovnictví se dostupná
judikatura
Soudního dvora vztahuje pouze k uplatnění svobody pohybu pojišťovacích služeb, k nesplnění transpoziční povinnosti členskými státy a především k osvobození zprostředkovatelských služeb od daně z přidané hodnoty). Nejvyšší správní soud se po posouzení konkrétních okolností souzené věci přiklonil k výkladu, dle kterého je nutno na zprostředkovatele, který v postavení samostatného podnikatelského subjektu oslovuje případné potencionální klienty pojišťovny, považovat za správce osobních údajů těchto subjektů. Pro tento závěr také lépe svědčí samotný cíl zákona o ochraně osobních údajů, jímž je naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí, a to tím, že z časového hlediska spolehlivě pokrývá všechny fáze nakládání s osobními údaji, a to kýmkoli, kdo tyto údaje shromažďuje za jakýmkoli seznatelným a definovatelným účelem, přičemž stanovení účelu a způsobu zpracování těchto údajů zůstává základním kritériem pro určení správce, jenž je za nakládání s těmito údaji také odpovědný.
*) Publikovaný pod č. 664/2005 Sb. NSS.

Zasílání aktuálního vydání na e-mail


Zadejte Vaši e-mailovou adresu a budeme Vám nové vydání zasílat automaticky.