Rozhodnutí Nejvyššího správního soudu ze dne 12.02.2009, sp. zn. 9 As 34/2008 - 68 [ rozsudek / výz-A ], dostupné na http://www.jurilogie.cz/ecli/ECLI:CZ:NSS:2009:9.AS.34.2008:68

Zdroj dat je dostupný na http://www.nssoud.cz

[ č. 1844 ] Ochrana osobních údajů: zpracovatel osobních údajů

Právní věta Pojišťovací zprostředkovatel, který nezávisle na pojišťovně určuje okruh subjektů, jenž osloví jako potenciální zájemce o uzavření pojistné smlouvy, a k tomuto účelu sám vytváří databázi osobních údajů těchto subjektů, má z hlediska zákona č. 101/2000 Sb., o ochraně osobních údajů, postavení správce osobních údajů, nikoli jejich pouhého zpracovatele (§12 citovaného zákona).

ECLI:CZ:NSS:2009:9.AS.34.2008:68
sp. zn. 9 As 34/2008 - 68 ROZSUDEK Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně Mgr. Daniely Zemanové a soudců JUDr. Barbary Pořízkové a JUDr. Jana Passera v právní věci žalobce: Aviva životní pojišťovna, a.s., se sídlem Londýnská 41, Praha 2, zastoupeného JUDr. Petrem Čunderlíkem, advokátem se sídlem Štěpánská 23, Praha 1, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 1. 3. 2006, zn. 58/05/SŘ-OSČ; CJ02716/06UOOU, o správním deliktu, za účasti osoby zúčastněné na řízení: K. A., o kasační stížnosti žalobce proti rozsudku Městského soudu v Praze ze dne 12. 2. 2008, č. j. 10 Ca 113/2006 - 42, takto: Rozsudek Městského soudu v Praze ze dne 12. 2. 2008, č. j. 10 Ca 113/2006 - 42, se zrušuje a věc se vrací tomuto soudu k dalšímu řízení. Odůvodnění: Včas podanou kasační stížností se žalobce (dále jen „stěžovatel“ nebo „pojišťovna“) domáhá zrušení shora označeného rozsudku Městského soudu v Praze (dále jen „městský soud“), kterým byla zamítnuta jeho žaloba proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů (dále jen „žalovaný“) ze dne 1. 3. 2006, zn. 58/05/SŘ-OSČ; CJ02716/06UOOU. Tímto rozhodnutím byl zamítnut rozklad stěžovatele proti rozhodnutí Úřadu pro ochranu osobních údajů (dále jen „Úřad“ nebo „správní orgán prvního stupně“) ze dne 4. 1. 2006, zn. 58/05/SŘ-OSČ; CJ10686/05UOOU, jímž byla stěžovateli podle §45 odst. 3 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), uložena pokuta ve výši 5000 Kč za správní delikt ve smyslu §45 odst. 1 písm. g) tohoto zákona, jehož se stěžovatel dopustil porušením povinnosti stanovené ustanovením §12 odst. 1 téhož právního předpisu, tzn. tím, že subjektu údajů ve smyslu zákona o ochraně osobních údajů odmítl poskytnout jím požadované informace. Stěžovatel v žalobě činil sporným především právní závěr správních orgánů v obou stupních, že by právě na něj dopadala povinnost poskytnout subjektu údajů, tj. fyzické osobě, k níž se příslušné osobní údaje vztahují, informaci o zdroji těchto údajů, s tím, že pojišťovna, tzn. stěžovatel, vůbec není účastníkem řízení o příslušném správním deliktu; podle jeho názoru jím je výhradní pojišťovací agent. Městský soud se však ztotožnil se závěry žalovaného, že v postavení správce podle zákona o ochraně osobních údajů je stěžovatel, který stanoví účel, prostředky a způsob zpracování osobních údajů, zatímco výhradní pojišťovací agent jednající jménem pojišťovny a na její účet je jen zpracovatelem těchto údajů. Důvod odpovědnosti stěžovatele má pak v daném případě původ v nedostatečné úpravě smlouvy uzavřené mezi stěžovatelem jakožto pojišťovacím ústavem a jeho výhradním pojišťovacím agentem, který měl v řízení o žalobě postavení osoby zúčastněné na řízení, a to právě ohledně otázky správy a zpracování osobních údajů klientů pojišťovny včetně potenciálních klientů oslovených pojišťovacím agentem nabídkou produktů pojišťovny za účelem uzavření smlouvy tohoto klienta s pojišťovnou, resp. stěžovatelem. Z uvedených důvodů městský soud žalobu stěžovatele zamítl pro nedůvodnost. V kasační stížnosti stěžovatel uplatňuje námitku ve smyslu ustanovení §103 odst. 1 písm. a) zákona č. 150/2002 Sb., soudního řádu správního, ve znění pozdějších předpisů (dále jens. ř. s.“), a namítá tak nesprávné posouzení právní otázky soudem v předcházejícím řízení. Stěžovatel nesouhlasí s právním názorem vyjádřeným v odůvodnění napadeného rozsudku, neboť je přesvědčen, že osoba samostatně výdělečně činná vykonávající činnost zprostředkovatele je ještě v okamžiku, kdy užije jí shromážděné osobní údaje třetích osob ve svůj prospěch a pokusí se zprostředkovat třetí osobě uzavření pojistné smlouvy se zájemcem (pojišťovnou), z hlediska zákona o ochraně osobních údajů správcem takových osobních údajů. Zprostředkovatelé finančních služeb, mezi něž patří i výhradní pojišťovací agent dle zákona č. 38/2004 Sb., o pojišťovacích zprostředkovatelích a likvidátorech pojistných událostí, z povahy věci mohou vykonávat a vykonávají zprostředkovatelskou činnost ve vztahu k více zájemcům – např. pro pojišťovny, stavební spořitelny, penzijní fondy apod. Takový postup není vyloučen ani u výhradních pojišťovacích agentů, neboť výhrada se podle zákona o pojišťovacích zprostředkovatelích vztahuje pouze k zájemci o zprostředkování z řad pojišťoven, přičemž počet smluvně zavázaných zájemců z řad jiných finančních institucí není nijak omezen. Za účelem řádného výkonu své zprostředkovatelské činnosti si zprostředkovatelé v pozici podnikatele vytvářejí databázi třetích osob, tedy potenciálních klientů (z hlediska zákona o ochraně osobních údajů tzv. „subjektů údajů“), která obsahuje též jejich osobní údaje chráněné tímto zákonem. Tuto databázi zpracovávají prostředky dle svého vlastního uvážení a svou činností naplňují všechny znaky pojmu „správce osobních údajů“ stanovené v §4 písm. j) zákona o ochraně osobních údajů. Zprostředkovatel rozhoduje o tom, pro jaký konkrétní účel osobní údaje shromážděné ve své databázi použije – tj. jakou finanční službu nebo jaký finanční produkt potenciálnímu klientovi doporučí, resp. nabídne. Zcela běžně může nastat situace, že zprostředkovatel v rámci výkonu své zprostředkovatelské činnosti nabídne potenciálnímu klientovi službu či produkt více zájemců (tj. více finančních institucí) současně – např. životní pojištění, pojištění odpovědnosti z provozu motorových vozidel, stavební spoření a penzijní připojištění. Pokud by v takovém případě došlo ze strany zprostředkovatele k porušení povinnosti uložené správci osobních údajů v ustanovení §12 odst. 1 zákona o ochraně osobních údajů a zprostředkovatel by byl pouze v pozici zpracovatele těchto údajů, jak uzavřel městský soud, nebylo by jasné, který ze čtyř příkladmo vyjmenovaných zájemců je správcem osobních údajů, jemuž zákon za porušení takové povinnosti ukládá sankci v podobě peněžité pokuty. Proto má stěžovatel za to, že zprostředkovatel nemůže být v tomto okamžiku pouhým zpracovatelem osobních údajů, ale musí být jejich správce. Stěžovatel na podporu svého názoru odkazuje také na Stanovisko č. 1/2005 Úřadu pro ochranu osobních údajů (dále také „Úřad“), v němž v souvislosti s řešením otázky oznamovací povinnosti správců osobních údajů Úřad připouští, že pojišťovací zprostředkovatelé mohou být též takovými správci [mají však podle názoru Úřadu na základě §18 odst. 1 písm. b) zákona o ochraně osobních údajů výjimku z oznamovací povinnosti]. Pojišťovna se správcem osobních údajů stává v okamžiku, kdy sama určí účel a prostředky zpracování těchto údajů, tedy v okamžiku, kdy jsou mu např. osobní údaje třetích osob zpřístupněny doručením návrhu potenciálního klienta na uzavření smlouvy. Městský soud se sám neřídil premisou, kterou v odůvodnění rozsudku předeslal, a to, že je nutno lišit veřejnoprávní vztah nastolený zákonem o ochraně osobních údajů od vztahu soukromoprávního vyplývajícího ze závazkového vztahu mezi pojišťovnou a pojišťovacím zprostředkovatelem. Smluvní povinnosti výhradního pojišťovacího agenta směšoval s jeho povinnostmi jako nositele práv a povinností dle zákona o ochraně osobních údajů, z čehož pak činil závěry o subjektu, který se dopustil správního deliktu. Stěžovatel je přesvědčen, že správní orgán vedl řízení pro podezření ze spáchání správního deliktu dle §45 odst. 1 písm. g) zákona o ochraně osobních údajů proti subjektu, který neměl pasivní legitimaci, což po celou dobu řízení namítal, dokládal a zdůrazňoval. Toto jeho stanovisko stěžovatele nevylučuje, aby se zprostředkovatel stal pouhým zpracovatelem osobních údajů, neboť podstatným znakem pro dovození, který subjekt je jejich správcem, je účel. Zprostředkovatel spravuje osobní údaje za účelem výběru klienta, kterému zprostředkovává finanční službu, pojišťovna je správcem údajů shromážděných za účelem uzavření a správy pojistné smlouvy. Své podání stěžovatel uzavírá tvrzením, že pokud pojišťovna hodlá návrh na uzavření pojistné smlouvy akceptovat či učinit protinávrh za využití služeb zprostředkovatele, v jejím zájmu sjednat podle ust. §12 zákona o ochraně osobních údajů se zprostředkovatelem bližší podmínky. To však podle jeho názoru nebyl tento případ, kdy povinností zprostředkovatele bylo podat příslušnou odpověď osobě, o které shromáždil údaje, a ne se vymlouvat na pojišťovnu, tj. na stěžovatele. Z uvedených důvodů stěžovatel navrhuje, aby Nejvyšší správní soud napadený rozsudek městského soudu zrušil a věc vrátil tomuto soudu k dalšímu řízení. Žalovaný se k obsahu kasační stížnosti nevyjádřil. Nejvyšší správní soud nejprve posoudil formální náležitosti kasační stížnosti a konstatoval, že kasační stížnost je podána včas, jde o rozhodnutí, proti němuž je kasační stížnost přípustná, a stěžovatel je zastoupen advokátem (§105 odst. 2 s. ř. s.). Poté přezkoumal napadený rozsudek městského soudu v rozsahu kasační stížnosti a v rámci uplatněných důvodů (§109 odst. 2 a 3 s. ř. s.) a zkoumal při tom, zda napadené rozhodnutí netrpí vadami, k nimž by musel přihlédnout z úřední povinnosti (§109 odst. 2, 3 s. ř. s.), a dospěl k závěru, že kasační stížnost je důvodná. Ze správního spisu kasační soud nejprve ověřil skutečnosti podstatné pro rozhodnutí ve věci samé a přistoupil nejprve ke stručné rekapitulaci skutkových i právních okolností případu. Ve věci není sporné, že stěžovatel spolupracoval na základě Smlouvy o výkonu zprostředkovatelské činnosti v pojišťovnictví (dále jen „Smlouva“) uzavřené dne 19. 7. 2005 s K. A., která v souladu s čl. II této Smlouvy jeho jménem a na jeho účet vykonávala zprostředkovatelskou činnost jako výhradní pojišťovací agent, a která má v řízení před soudy [tj. jak v řízení o žalobě před městským soudem, tak i v přezkumném řízení před kasačním soudem) postavení osoby zúčastněné na řízení (dále také „pojišťovací zprostředkovatel“ nebo „(výhradní) pojišťovací agent“]. Ze správního spisu zdejší soud ověřil také skutečnost, že pojišťovací agent oslovil dne 26. 7. 2005 telefonicky J. H., jehož kontaktoval prostřednictvím mobilního telefonu. J. H. dle svého pozdějšího vyjádření přeslechl obchodní jméno společnosti a v domnění, že se jednalo o telefonát z pojišťovny Allianz, kde má uzavřeno pojištění, poskytl volajícímu pro další komunikaci svou e-mailovou adresu, neboť byl v té době v zahraničí a chtěl hovor co nejdříve ukončit. Následující den, tzn. 27. 7. 2005, mu byla na udanou adresu doručena elektronickou poštou obecná obchodní nabídka služeb stěžovatele, a to formou odkazu na www stránky pojišťovny. Tato nabídka byla učiněna jménem pojišťovny (hovoří se v ní doslova o „naší firmě“), podepsána však pod ní byla A., k nabídce bal připojen její kontaktní telefon. J. H. (dále také jen „subjekt údajů“ nebo „oznamovatel“) na nabídku reagoval žádostí o vymazání všech svých kontaktních údajů z databáze stěžovatele a současně požádal o sdělení, odkud stěžovatel získal číslo jeho mobilního telefonu. Výhradní pojišťovací agent na samotnou žádost J. H. o likvidaci jeho osobních údajů odpověděl kladně („samozřejmě vašemu přání vyhovíme a vaše údaje vymažeme z naší databáze“), požadavek na sdělení zdroje těchto údajů, konkrétně čísla jeho mobilního telefonu, však agent odmítl s odůvodněním, že (cit.): „…vzhledem k zákonu 101 o ochraně osobních údajů tyto informace neposkytujeme“. Dne 28. 7. 2005 se proto subjekt údajů obrátil na Úřad pro ochranu osobních údajů se stížností na postup stěžovatele, přičemž z formulace podání je zřejmé, že osobu, která ho kontaktovala, považoval za telefonní operátorku společnosti Aviva životní pojišťovna, a. s. (tedy stěžovatele). Nejvyšší správní soud ze spisu ověřil, že stěžovatel ve svém vyjádření ke správnímu řízení ze dne 16. 11. 2005 (na č. l. 6 správního spisu) poukázal na svou spolupráci s výhradním pojišťovacím agentem, přičemž připustil, že pojišťovna dle příslušných ustanovení zákona č. 38/2004 Sb., o pojišťovacích zprostředkovatelích a samostatných likvidátorech pojistných událostí a o změně živnostenského zákona (zákon o pojišťovacích zprostředkovatelích a likvidátorech pojistných událostí), ve znění pozdějších předpisů (dále jen „zákon č. 38/2004 Sb.“ nebo „zákon o pojišťovacích zprostředkovatelích“), nese odpovědnost za škodu způsobenou výkonem zprostředkovatelské činnosti výhradního pojišťovacího agenta, nemůže však podle jeho názoru nést odpovědnost správně-právní, přestupkověprávní ani trestněprávní. Úřad však od počátku vedl řízení se stěžovatelem, nikoli s pojišťovacím zprostředkovatelem [oznámení o zahájení správního řízení pod zn. 58/05/SŘ-OSČ; CJ08828/05UOOU, ze dne 8. 11. 2005 (založeno na č. l. 3 správního spisu), stejně tak jako rozhodnutí v obou stupních správního řízení, tj. rozhodnutí Úřadu ze dne 4. 1. 2006, zn. 58/05/SŘ-OSČ; CJ10686/05UOOU, o uložení pokuty v prvním stupni (na č. l. 14 spisu), jakož i rozhodnutí předsedy Úřadu o rozkladu stěžovatele ze dne 1. 3. 2006, zn. 58/05/SŘ-OSČ; CJ02716/06UOOU, bylo doručeno vždy pouze stěžovateli]. Svého výhradního pojišťovacího agenta, K. A., označil za osobu zúčastněnou na řízení až sám stěžovatel v jím podané žalobě. K právní úpravě týkající se oblasti ochrany osobních údajů je možno úvodem konstatovat, že zpracování osobních údajů vychází ze zásady, podle níž právo disponovat s osobními údaji náleží fyzické osobě, k níž se tyto informace vztahují (subjektu údajů), a nikoli tomu, kdo je jejich držitelem. Je proto logické, že základním právním titulem pro zpracování osobních údajů je z principu věci souhlas subjektu údajů. Požadavek souhlasu však není zákonem stanoven jako absolutní. Zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého nebo osobního života. Nepopiratelnou skutečností zároveň je, že jedním z nejohroženějších lidských práv v podmínkách současné tzv. „informační společnosti“ je právě právo na soukromí, ačkoli v souladu s čl. 10 odst. 2 Listiny základních práv a svobod (dále jenListina“) má „každý právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života“. Tuto skutečnost je nutno brát v souvislosti s řešenou problematikou v úvahu. Zákon o ochraně osobních údajů v ustanovení §4 písm. a) stanoví, že osobním údajem se rozumí „jakákoliv informace týkající se určeného nebo určitelného subjektu údajů“, přičemž „Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“. Plná identita fyzické osoby v současných podmínkách technologicky vyspělé společnosti, tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace snadno dostupná, ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto se výklad pojmu „osobní údaj“ nemůže omezit striktně jen na znalost např. rodného čísla, adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou, ekonomickou, kulturní nebo sociální identitu (viz shora). Prostřednictvím tohoto čísla je však možno daný subjekt v určitém časovém úseku přímo kontaktovat (což se ostatně stalo i v posuzovaném případě), a tento subjekt je tak dosažitelný a jistým způsobem určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají. Požadavek J. H., který v posuzovaném případě byl konkrétním subjektem údajů na sdělení informace o zdroji svého telefonního čísla od osoby, jež ho kontaktovala, je tak podle názoru Nejvyššího správního soudu oprávněný. Skutečnost, že mu požadovaná informace sdělena nebyla, není předmětem sporu. Otázkou tedy zůstává, kdo byl povinen subjektu údajů požadovanou informaci poskytnout a na koho tudíž padá sankční odpovědnost podle zákona o ochraně osobních údajů, tj. zda-li to byl pojišťovací agent, který subjekt údajů přímo oslovil, či společnost, jejímž jménem tak učinil, tzn. stěžovatel. Podle §12 odst. 1 zákona o ochraně osobních údajů povinnost umožnit subjektu údajů přístup k informacím, které se ho týkají, dopadá na správce osobních údajů („Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.“). Otázka, kdo je správcem osobních údajů oznamovatele správního deliktu, J. H., je tak pro posouzení dané věci klíčová. Stěžovatel je přesvědčen, že osobou, která byla povinna požadované informace subjektu údajů poskytnout, byla K. A. spolupracující se stěžovatelem na základě vzájemné smlouvy jako výhradní pojišťovací agent. Podle názoru stěžovatele tento agent jako samostatný podnikatelský subjekt (a nikoli pojišťovna) ve vztahu k jím samostatně shromažďovaným a zpracovávaným údajům nese práva a povinnosti správce ve smyslu zákona o ochraně osobních údajů, zatímco správní orgány v obou stupních řízení, a následně i městský soud, zastávaly názor opačný. Městský soud tento názor odůvodnil tak, že „správcem údajů je pojišťovna, neboť tato za účelem realizace nabízených produktů využívá (na základě smlouvy) služeb pojišťovacího zprostředkovatele, který i ve fázi získávání jejích klientů před předáním jejich osobních údajů pojišťovně v mezích smluvního vztahu k ní pro ni vyhledává, používá či jinak nakládá s osobními údaji i potenciálních klientů za účelem uzavření smluvního vztahu mezi tímto klientem a pojišťovnou, tedy při zprostředkování zpracovává osobní údaje“. Z toho pak dovodil, že pojišťovací zprostředkovatel (agent) je ve vztahu k předmětným osobním údajům v postavení jiném, než je postavení správce osobních údajů (dále již jen „správce“), a to v postavení jejich zpracovatele, a stěžovatel jako správce měl mít s tímto zpracovatelem pro účely zprostředkovatelské činnosti prováděné jeho jménem a v jeho prospěch uzavřenu smlouvu podle §6 citovaného zákona. Dle ustanovení §4 písm. j) zákona o ochraně osobních údajů je správcem osobních údajů „každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak“, zatímco zpracovatelem je dle písm. k) téhož ustanovení „každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona“. Pro úplnost je možno na tomto místě doplnit, že zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se zároveň rozumí zejména jejich shromažďování, ukládání na nosiče informací, zpřístupňování atd. Zpracováním osobních údajů ve smyslu zákona o ochraně osobních údajů je proto bezpochyby již i shromažďování těchto dat v předkontraktační fázi, tj. ve fázi, kdy pojišťovací zprostředkovatel vyhledává na trhu kontakty na subjekty, které se mohou v budoucnu stát klienty pojišťovny, a tyto kontaktní údaje shromažďuje. Zde je na místě zdůraznit, že jak argumentace stěžovatele, tak i městského soudu, o níž se opírá výrok napadeného rozhodnutí, shodně poukazuje právě na účel a prostředky zpracování osobních údajů jako na podstatný znak, jímž je naplněn zákonný pojem správce, přičemž na tento účel již nahlíží stěžovatel a soud různě. Nejvyšší správní soud sdílí úvahu, že rozhodným, lépe řečeno rozlišovacím znakem obou pojmů, tj. „správce“ versus „zpracovatel osobních údajů“, je především účel zpracování těchto údajů, potažmo pak prostředky jejich zpracování. Oba shora nastíněné názory, které stojí v kontrapozici, soud pečlivě uvážil, a dospěl k závěru, že účelem zpracování osobních údajů pojišťovacím zprostředkovatelem je primárně (a především) dosažení jeho vlastního podnikatelského zájmu, resp. zisku, a to oslovením co největší množiny subjektů - potenciálních klientů pojišťovny. Přestože jsou na dosažení tohoto cíle hmotně zainteresovány oba subjekty, tj. jak zprostředkovatel, tak i pojišťovna, a přestože je pojišťovací zprostředkovatel smluvně vázán k pojišťovně jako výhradní pojišťovací agent (vázán je tedy velmi úzce vnitřními předpisy pojišťovny, která i za škodu způsobenou jeho činností), pojišťovací zprostředkovatel vystupuje a jedná navenek vůči třetím osobám jako samostatný podnikatel. Podnikatel, předmětem jehož podnikatelské činnosti je zprostředkovatelská činnost (přičemž pro řešení této právní otázky je významná i skutečnost, že předmětů podnikání může mít každý podnikatel vícero), se nemůže na základě soukromoprávní smlouvy vyvázat ze správněprávní odpovědnosti, ledaže by se pro účely zákona o ochraně osobních údajů a z něj vyplývající odpovědnosti vycházelo z premisy, že agent a pojišťovna tvoří jeden funkční celek. Za takových okolností by správcem údajů byla skutečně pouze pojišťovna. Pro posledně vyslovený teoretický závěr však Nejvyšší správní soud neshledal dostatečnou oporu v zákoně o ochraně osobních údajů, ani ve vazbě na zákon o pojišťovacích zprostředkovatelích. Pokud by byl pojišťovací zprostředkovatel v pozici pouhého zpracovatele těchto údajů, pak by nemohl sám o své vůli vybírat potenciální zájemce pro uzavření pojistné smlouvy, nemohl by určovat okruh těchto subjektů a nemohl by ani s osobními údaji těchto subjektů o své vůli samostatně nakládat. Nejvyšší správní soud souhlasí se stěžovatelem v tom smyslu, že ačkoli jsou data shromážděna výhradním zprostředkovatelem pojištění, není vyloučeno jejich případné použití pro jiné podnikatelské účely, s pojistnými produkty pojišťovny nesouvisejícími. Z obecného hlediska je pro posouzení sporné otázky důležitý také časový aspekt. Správcem se pojišťovna zcela jistě stává v okamžiku, kdy je jí doručen návrh na uzavření smlouvy s potenciálním klientem a příslušná data (osobní údaje) jsou jí tudíž k dispozici. V tomto okamžiku již totiž záleží jen na ní, zda akceptuje návrh smlouvy [a stává se tak správcem ex lege z hlediska zákona č. 363/1999 Sb., o pojišťovnictví a o změně některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů] či nikoli. Pokud by měla být pojišťovna správcem údajů se všemi důsledky (tj. i sankčními) již ve fázi, kdy její pojišťovací agent vyhledává na trhu potenciální klienty, tedy subjekty, které se vůbec jejími klienty nemusí stát, pak by mohla dostát své povinnosti podle §12 odst. 1 zákona o ochraně o ochraně osobních údajů tj. povinnosti poskytnout subjektu údajů na jeho žádost informaci, pouze prostřednictvím tohoto agenta, neboť dotčené údaje se v této fázi ještě vůbec nedostaly do její sféry. Není tedy vyloučena situace, že zprostředkovatelem shromážděné osobní údaje potenciálních klientů se do sféry pojišťovny nikdy nedostanou, a v takovém případě by bylo podle názoru zdejšího soudu absurdní ji bez dalšího (jen na základě existence smlouvy o zprostředkování s pojišťovacím agentem) za neposkytnutí informací o osobních údajích, které nikdy neměla k dispozici, sankcionovat. Městský soud se v odůvodnění napadeného rozsudku zabýval jak otázkou veřejnoprávní odpovědnosti, tak i soukromoprávními vztahy mezi pojišťovnou a jejím pojišťovacím agentem, tyto otázky však pouze naznačil a blíže nerozvedl, jak na to upozorňuje ve svém podání stěžovatel. Nejvyšší správní soud proto považuje za vhodné v obecné rovině připomenout, že z dosavadní judikatury správních soudů plyne, že odpovědnosti za správní delikt v oblasti veřejného práva se zásadně nelze vyhnout poukazem na smluvní ujednání mezi účastníky soukromoprávního vztahu (viz rozsudek Vrchního soudu v Praze ze dne 23. 9. 1994, sp. zn. 6 A 197/93, nebo rozsudek Nejvyššího správního soudu ze dne 29. 1. 2004, č. j. 7 A 156/2000 – 62, dostupné na www.nssoud.cz). Jestliže tedy pojišťovací zprostředkovatel je správcem osobních údajů, nemůže se ve vztahu k povinnostem kladeným na správce zákonem o ochraně osobních údajů odvolávat na smluvní ujednání o mlčenlivosti stanovené Smlouvou o výkonu zprostředkovatelské činnosti mezi ním a pojišťovnou, nehledě na to, že v daném případě bylo neposkytnutí požadované informace subjektu údajů s odvoláním právě na zákon o ochraně osobních údajů dezinterpretací tohoto zákona, neboť subjekt údajů byl z hlediska tohoto zákona subjektem oprávněným, nikoli třetí osobou, před níž by měly být jeho údaje chráněny. Kromě toho v daném případě pojišťovací agent zjevně ujednání Smlouvy porušil, a to čl. V., bod 1., písm. c), podle něhož měl ve vztahu ke třetím osobám, zejména k zájemcům o pojištění a pojistníkům či pojištěným, povinnost prezentovat se vždy jako osoba samostatně výdělečně činná, nikoli jako zaměstnanec pojišťovny. Z textu stížnosti oznamovatele deliktu je však zřejmé, že subjekt údajů se mylně domníval, že byl kontaktován přímo telefonní operátorkou pojišťovny, a to i poté, co již komunikace mezi ním a agentem probíhala elektronickou poštou, nikoli prostřednictvím mobilního telefonu. Na základě závěru, že pojišťovací zprostředkovatelé vystupují na trhu jako samostatné podnikatelské subjekty, které sledují především své vlastní cíle, přisvědčil Nejvyšší správní soud názoru stěžovatele. Vzhledem k tomu, že neuralgickým bodem byl v dané věci výklad pojmu „správce“, lze ještě dodat, že z důvodové zprávy k vládnímu návrhu zákona o ochraně osobních údajů plyne, že definice správce byla do tohoto zákona převzata ze Směrnice č. 95/46/EC Evropského parlamentu a Rady Evropského společenství z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále jen „Směrnice“). Na úrovni legislativy EU je otázka ochrany osobních údajů ve vztazích mezi pojišťovnami a nezávislými pojišťovacími agenty řešena především již shora zmíněnou směrnicí 95/46/ES (ochrana osobních údajů), která však stanoví pouze obecné zásady zpracovávání osobních údajů, a dále pak směrnicí 2002/92/ES (zprostředkovatelé pojištění), přičemž tato směrnice zase především určuje podmínky působení a volného pohybu zprostředkovatelů pojištění (makléřů a agentů) na vnitřním trhu Evropského společenství. Konkrétní zásady ochrany osobních údajů v odvětví komerčního pojištění lze najít až v Doporučení Rady ministrů členským státům Rec(2002)9 o ochraně osobních údajů shromaždovaných a zpracovávaných pro účely komerčního pojištění. Z důvodové zprávy k tomuto doporučení plyne, že: „Makléři, nezávislí agenti, a tam, resp. tehdy, jestliže je to nutné, také experti nebo finanční instituce, by v zásadě měli být považováni za správce údajů, nikoli zpracovatele, jelikož shromažďují a zpracovávají osobní údaje i v době před uzavřením smlouvy“ (pozn.: volný překlad z anglického znění: „Brokers, independent agents and also, where necessary, experts or financial institutions should, in principle, be considered as controllers and not as processors to the extent that they collect and process personal data, even before the conclusion of a contract.“). Je však třeba dodat, že Doporučení Rady ministrů členským státům mají, jak je zřejmé již z jejich samotného označení, pouze doporučující charakter a nejsou tudíž pro členské státy závazná. S ohledem na výše uvedené je zřejmé, že jednotlivé právní úpravy členských států, a v návaznosti na ně i judikatura vnitrostátních soudů, mohou v principu na předmětnou otázku, která je takto úzce specifikována, nahlížet různě, přičemž judikatura Evropského soudního dvora tuto specifickou otázku dosud neřešila (v oblasti pojišťovnictví se dostupná judikatura Soudního dvora vztahuje pouze k uplatnění svobody pohybu pojišťovacích služeb, k nesplnění transpoziční povinnosti členskými státy a především k osvobození zprostředkovatelských služeb od daně z přidané hodnoty). Nejvyšší správní soud se po posouzení konkrétních okolností souzené věci přiklonil k výkladu, dle kterého je nutno na zprostředkovatele, který v postavení samostatného podnikatelského subjektu oslovuje případné potencionální klienty pojišťovny, považovat za správce osobních údajů těchto subjektů. Pro tento závěr také lépe svědčí samotný cíl zákona o ochraně osobních údajů, jímž je naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí, a to tím, že z časového hlediska spolehlivě pokrývá všechny fáze nakládání s osobními údaji, a to kýmkoli, kdo tyto údaje shromažďuje za jakýmkoli seznatelným a definovatelným účelem, přičemž stanovení účelu a způsobu zpracování těchto údajů zůstává základním kritériem pro určení správce, jenž je za nakládání s těmito údaji také odpovědný. Z důvodů výše uvedených Nejvyšší správní soud rozsudek Městského soudu v Praze podle §110 odst. 1 s. ř. s. zrušil a věc vrátil soudu k dalšímu řízení, v němž je tento soud podle odst. 3 citovaného ustanovení vázán právním názorem vysloveným v tomto rozsudku. O náhradě nákladů řízení o kasační stížnosti rozhodne podle §110 odst. 2 s. ř. s. městský soud v novém rozhodnutí. Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné. V Brně dne 12. února 2009 Mgr. Daniela Zemanová předsedkyně senátu

Souhrné informace o rozhodnutí
Název judikátu:[ č. 1844 ] Ochrana osobních údajů: zpracovatel osobních údajů
Právní věta:Pojišťovací zprostředkovatel, který nezávisle na pojišťovně určuje okruh subjektů, jenž osloví jako potenciální zájemce o uzavření pojistné smlouvy, a k tomuto účelu sám vytváří databázi osobních údajů těchto subjektů, má z hlediska zákona č. 101/2000 Sb., o ochraně osobních údajů, postavení správce osobních údajů, nikoli jejich pouhého zpracovatele (§12 citovaného zákona).
Soud:Nejvyšší správní soud
Datum rozhodnutí / napadení:12.02.2009
Číslo jednací:9 As 34/2008 - 68
Forma /
Způsob rozhodnutí:
Rozsudek
zrušeno a vráceno
Účastníci řízení:Aviva životní pojišťovna, a.s.
Úřad pro ochranu osobních údajů
Prejudikatura:
Kategorie rozhodnutí:A
ECLI pro jurilogie.cz:ECLI:CZ:NSS:2009:9.AS.34.2008:68
Staženo pro jurilogie.cz:09.03.2024