Nejvyšší správní soud vydal vloni 11. listopadu rozhodnutí č. j. 1 As 238/2021 – 33, v němž uvedl, že pouze ze skutečnosti, že dojde k neoprávněnému nakládání s osobními údaji (především, stane-li se tak v důsledku protiprávního jednání jiného subjektu), nelze dovozovat nedostatečnost opatření podle § 13 zákona o ochraně osobních údajů. Odpovědnost za přestupek není vázána na vznik poruchového negativního následku spočívajícího v neoprávněném nakládání s osobními údaji, ale na zjištěný deficit v přijetí náležitých opatření za účelem jejich ochrany. Pro vznik odpovědnosti proto není rozhodující, zda se osobní údaje podařilo ochránit či nikoliv, ale zda správce či zpracovatel osobních údajů přijal a dodržoval opatření zajišťující vhodnou úroveň ochrany jím zpracovávaných osobních údajů.
Nezabezpečil osobní údaje více než 700 tisíc zákazníků
Žalovaný ÚOOÚ uznal žalobce . . .