ECLI:CZ:NSS:2009:9.AS.34.2008:68
sp. zn. 9 As 34/2008 - 68
ROZSUDEK
Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně Mgr. Daniely
Zemanové a soudců JUDr. Barbary Pořízkové a JUDr. Jana Passera v právní věci žalobce:
Aviva životní pojišťovna, a.s., se sídlem Londýnská 41, Praha 2, zastoupeného
JUDr. Petrem Čunderlíkem, advokátem se sídlem Štěpánská 23, Praha 1,
proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27,
Praha 7, proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 1. 3. 2006,
zn. 58/05/SŘ-OSČ; CJ02716/06UOOU, o správním deliktu, za účasti osoby zúčastněné
na řízení: K. A., o kasační stížnosti žalobce proti rozsudku Městského soudu v Praze
ze dne 12. 2. 2008, č. j. 10 Ca 113/2006 - 42,
takto:
Rozsudek Městského soudu v Praze ze dne 12. 2. 2008, č. j. 10 Ca 113/2006 - 42,
se zrušuje a věc se vrací tomuto soudu k dalšímu řízení.
Odůvodnění:
Včas podanou kasační stížností se žalobce (dále jen „stěžovatel“ nebo
„pojišťovna“) domáhá zrušení shora označeného rozsudku Městského soudu v Praze
(dále jen „městský soud“), kterým byla zamítnuta jeho žaloba proti rozhodnutí předsedy
Úřadu pro ochranu osobních údajů (dále jen „žalovaný“) ze dne 1. 3. 2006,
zn. 58/05/SŘ-OSČ; CJ02716/06UOOU. Tímto rozhodnutím byl zamítnut rozklad
stěžovatele proti rozhodnutí Úřadu pro ochranu osobních údajů (dále jen „Úřad“ nebo
„správní orgán prvního stupně“) ze dne 4. 1. 2006, zn. 58/05/SŘ-OSČ;
CJ10686/05UOOU, jímž byla stěžovateli podle §45 odst. 3 zákona č. 101/2000 Sb.,
o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
(dále jen „zákon o ochraně osobních údajů“), uložena pokuta ve výši 5000 Kč za správní
delikt ve smyslu §45 odst. 1 písm. g) tohoto zákona, jehož se stěžovatel dopustil
porušením povinnosti stanovené ustanovením §12 odst. 1 téhož právního předpisu,
tzn. tím, že subjektu údajů ve smyslu zákona o ochraně osobních údajů odmítl poskytnout
jím požadované informace.
Stěžovatel v žalobě činil sporným především právní závěr správních orgánů v obou
stupních, že by právě na něj dopadala povinnost poskytnout subjektu údajů, tj. fyzické
osobě, k níž se příslušné osobní údaje vztahují, informaci o zdroji těchto údajů, s tím,
že pojišťovna, tzn. stěžovatel, vůbec není účastníkem řízení o příslušném správním
deliktu; podle jeho názoru jím je výhradní pojišťovací agent. Městský soud se však
ztotožnil se závěry žalovaného, že v postavení správce podle zákona o ochraně osobních
údajů je stěžovatel, který stanoví účel, prostředky a způsob zpracování osobních údajů,
zatímco výhradní pojišťovací agent jednající jménem pojišťovny a na její účet je jen
zpracovatelem těchto údajů. Důvod odpovědnosti stěžovatele má pak v daném případě
původ v nedostatečné úpravě smlouvy uzavřené mezi stěžovatelem jakožto pojišťovacím
ústavem a jeho výhradním pojišťovacím agentem, který měl v řízení o žalobě postavení
osoby zúčastněné na řízení, a to právě ohledně otázky správy a zpracování osobních údajů
klientů pojišťovny včetně potenciálních klientů oslovených pojišťovacím agentem
nabídkou produktů pojišťovny za účelem uzavření smlouvy tohoto klienta s pojišťovnou,
resp. stěžovatelem. Z uvedených důvodů městský soud žalobu stěžovatele zamítl pro
nedůvodnost.
V kasační stížnosti stěžovatel uplatňuje námitku ve smyslu ustanovení §103 odst. 1
písm. a) zákona č. 150/2002 Sb., soudního řádu správního, ve znění pozdějších předpisů
(dále jen „s. ř. s.“), a namítá tak nesprávné posouzení právní otázky soudem
v předcházejícím řízení. Stěžovatel nesouhlasí s právním názorem vyjádřeným
v odůvodnění napadeného rozsudku, neboť je přesvědčen, že osoba samostatně
výdělečně činná vykonávající činnost zprostředkovatele je ještě v okamžiku, kdy užije
jí shromážděné osobní údaje třetích osob ve svůj prospěch a pokusí se zprostředkovat
třetí osobě uzavření pojistné smlouvy se zájemcem (pojišťovnou), z hlediska zákona
o ochraně osobních údajů správcem takových osobních údajů. Zprostředkovatelé
finančních služeb, mezi něž patří i výhradní pojišťovací agent dle zákona č. 38/2004 Sb.,
o pojišťovacích zprostředkovatelích a likvidátorech pojistných událostí, z povahy věci
mohou vykonávat a vykonávají zprostředkovatelskou činnost ve vztahu k více zájemcům
– např. pro pojišťovny, stavební spořitelny, penzijní fondy apod. Takový postup není
vyloučen ani u výhradních pojišťovacích agentů, neboť výhrada se podle zákona
o pojišťovacích zprostředkovatelích vztahuje pouze k zájemci o zprostředkování z řad
pojišťoven, přičemž počet smluvně zavázaných zájemců z řad jiných finančních institucí
není nijak omezen. Za účelem řádného výkonu své zprostředkovatelské činnosti
si zprostředkovatelé v pozici podnikatele vytvářejí databázi třetích osob, tedy
potenciálních klientů (z hlediska zákona o ochraně osobních údajů tzv. „subjektů údajů“),
která obsahuje též jejich osobní údaje chráněné tímto zákonem. Tuto databázi
zpracovávají prostředky dle svého vlastního uvážení a svou činností naplňují všechny
znaky pojmu „správce osobních údajů“ stanovené v §4 písm. j) zákona o ochraně
osobních údajů.
Zprostředkovatel rozhoduje o tom, pro jaký konkrétní účel osobní údaje
shromážděné ve své databázi použije – tj. jakou finanční službu nebo jaký finanční
produkt potenciálnímu klientovi doporučí, resp. nabídne. Zcela běžně může nastat
situace, že zprostředkovatel v rámci výkonu své zprostředkovatelské činnosti nabídne
potenciálnímu klientovi službu či produkt více zájemců (tj. více finančních institucí)
současně – např. životní pojištění, pojištění odpovědnosti z provozu motorových vozidel,
stavební spoření a penzijní připojištění. Pokud by v takovém případě došlo ze strany
zprostředkovatele k porušení povinnosti uložené správci osobních údajů v ustanovení
§12 odst. 1 zákona o ochraně osobních údajů a zprostředkovatel by byl pouze v pozici
zpracovatele těchto údajů, jak uzavřel městský soud, nebylo by jasné, který ze čtyř
příkladmo vyjmenovaných zájemců je správcem osobních údajů, jemuž zákon za porušení
takové povinnosti ukládá sankci v podobě peněžité pokuty. Proto má stěžovatel za to,
že zprostředkovatel nemůže být v tomto okamžiku pouhým zpracovatelem osobních
údajů, ale musí být jejich správce.
Stěžovatel na podporu svého názoru odkazuje také na Stanovisko č. 1/2005
Úřadu pro ochranu osobních údajů (dále také „Úřad“), v němž v souvislosti s řešením
otázky oznamovací povinnosti správců osobních údajů Úřad připouští, že pojišťovací
zprostředkovatelé mohou být též takovými správci [mají však podle názoru Úřadu
na základě §18 odst. 1 písm. b) zákona o ochraně osobních údajů výjimku z oznamovací
povinnosti]. Pojišťovna se správcem osobních údajů stává v okamžiku, kdy sama určí účel
a prostředky zpracování těchto údajů, tedy v okamžiku, kdy jsou mu např. osobní údaje
třetích osob zpřístupněny doručením návrhu potenciálního klienta na uzavření smlouvy.
Městský soud se sám neřídil premisou, kterou v odůvodnění rozsudku předeslal, a to,
že je nutno lišit veřejnoprávní vztah nastolený zákonem o ochraně osobních údajů od
vztahu soukromoprávního vyplývajícího ze závazkového vztahu mezi pojišťovnou
a pojišťovacím zprostředkovatelem. Smluvní povinnosti výhradního pojišťovacího agenta
směšoval s jeho povinnostmi jako nositele práv a povinností dle zákona o ochraně
osobních údajů, z čehož pak činil závěry o subjektu, který se dopustil správního deliktu.
Stěžovatel je přesvědčen, že správní orgán vedl řízení pro podezření ze spáchání
správního deliktu dle §45 odst. 1 písm. g) zákona o ochraně osobních údajů proti
subjektu, který neměl pasivní legitimaci, což po celou dobu řízení namítal, dokládal
a zdůrazňoval. Toto jeho stanovisko stěžovatele nevylučuje, aby se zprostředkovatel stal
pouhým zpracovatelem osobních údajů, neboť podstatným znakem pro dovození, který
subjekt je jejich správcem, je účel. Zprostředkovatel spravuje osobní údaje za účelem
výběru klienta, kterému zprostředkovává finanční službu, pojišťovna je správcem údajů
shromážděných za účelem uzavření a správy pojistné smlouvy. Své podání stěžovatel
uzavírá tvrzením, že pokud pojišťovna hodlá návrh na uzavření pojistné smlouvy
akceptovat či učinit protinávrh za využití služeb zprostředkovatele, v jejím zájmu sjednat
podle ust. §12 zákona o ochraně osobních údajů se zprostředkovatelem bližší podmínky.
To však podle jeho názoru nebyl tento případ, kdy povinností zprostředkovatele bylo
podat příslušnou odpověď osobě, o které shromáždil údaje, a ne se vymlouvat
na pojišťovnu, tj. na stěžovatele.
Z uvedených důvodů stěžovatel navrhuje, aby Nejvyšší správní soud napadený
rozsudek městského soudu zrušil a věc vrátil tomuto soudu k dalšímu řízení.
Žalovaný se k obsahu kasační stížnosti nevyjádřil.
Nejvyšší správní soud nejprve posoudil formální náležitosti kasační stížnosti
a konstatoval, že kasační stížnost je podána včas, jde o rozhodnutí, proti němuž je kasační
stížnost přípustná, a stěžovatel je zastoupen advokátem (§105 odst. 2 s. ř. s.). Poté
přezkoumal napadený rozsudek městského soudu v rozsahu kasační stížnosti a v rámci
uplatněných důvodů (§109 odst. 2 a 3 s. ř. s.) a zkoumal při tom, zda napadené
rozhodnutí netrpí vadami, k nimž by musel přihlédnout z úřední povinnosti
(§109 odst. 2, 3 s. ř. s.), a dospěl k závěru, že kasační stížnost je důvodná.
Ze správního spisu kasační soud nejprve ověřil skutečnosti podstatné
pro rozhodnutí ve věci samé a přistoupil nejprve ke stručné rekapitulaci skutkových
i právních okolností případu.
Ve věci není sporné, že stěžovatel spolupracoval na základě Smlouvy o výkonu
zprostředkovatelské činnosti v pojišťovnictví (dále jen „Smlouva“) uzavřené dne
19. 7. 2005 s K. A., která v souladu s čl. II této Smlouvy jeho jménem a na jeho účet
vykonávala zprostředkovatelskou činnost jako výhradní pojišťovací agent, a která má
v řízení před soudy [tj. jak v řízení o žalobě před městským soudem, tak i v přezkumném
řízení před kasačním soudem) postavení osoby zúčastněné na řízení (dále také
„pojišťovací zprostředkovatel“ nebo „(výhradní) pojišťovací agent“]. Ze správního spisu
zdejší soud ověřil také skutečnost, že pojišťovací agent oslovil dne 26. 7. 2005 telefonicky
J. H., jehož kontaktoval prostřednictvím mobilního telefonu. J. H. dle svého pozdějšího
vyjádření přeslechl obchodní jméno společnosti a v domnění, že se jednalo o telefonát
z pojišťovny Allianz, kde má uzavřeno pojištění, poskytl volajícímu pro další komunikaci
svou e-mailovou adresu, neboť byl v té době v zahraničí a chtěl hovor co nejdříve
ukončit. Následující den, tzn. 27. 7. 2005, mu byla na udanou adresu doručena
elektronickou poštou obecná obchodní nabídka služeb stěžovatele, a to formou odkazu
na www stránky pojišťovny. Tato nabídka byla učiněna jménem pojišťovny (hovoří se
v ní doslova o „naší firmě“), podepsána však pod ní byla A., k nabídce bal připojen její
kontaktní telefon. J. H. (dále také jen „subjekt údajů“ nebo „oznamovatel“) na nabídku
reagoval žádostí o vymazání všech svých kontaktních údajů z databáze stěžovatele a
současně požádal o sdělení, odkud stěžovatel získal číslo jeho mobilního telefonu.
Výhradní pojišťovací agent na samotnou žádost J. H. o likvidaci jeho osobních údajů
odpověděl kladně („samozřejmě vašemu přání vyhovíme a vaše údaje vymažeme z naší databáze“),
požadavek na sdělení zdroje těchto údajů, konkrétně čísla jeho mobilního telefonu, však
agent odmítl s odůvodněním, že (cit.): „…vzhledem k zákonu 101 o ochraně osobních údajů tyto
informace neposkytujeme“.
Dne 28. 7. 2005 se proto subjekt údajů obrátil na Úřad pro ochranu osobních
údajů se stížností na postup stěžovatele, přičemž z formulace podání je zřejmé, že osobu,
která ho kontaktovala, považoval za telefonní operátorku společnosti Aviva životní
pojišťovna, a. s. (tedy stěžovatele). Nejvyšší správní soud ze spisu ověřil, že stěžovatel
ve svém vyjádření ke správnímu řízení ze dne 16. 11. 2005 (na č. l. 6 správního spisu)
poukázal na svou spolupráci s výhradním pojišťovacím agentem, přičemž připustil,
že pojišťovna dle příslušných ustanovení zákona č. 38/2004 Sb., o pojišťovacích
zprostředkovatelích a samostatných likvidátorech pojistných událostí a o změně
živnostenského zákona (zákon o pojišťovacích zprostředkovatelích a likvidátorech
pojistných událostí), ve znění pozdějších předpisů (dále jen „zákon č. 38/2004 Sb.“ nebo
„zákon o pojišťovacích zprostředkovatelích“), nese odpovědnost za škodu způsobenou
výkonem zprostředkovatelské činnosti výhradního pojišťovacího agenta, nemůže však
podle jeho názoru nést odpovědnost správně-právní, přestupkověprávní ani trestněprávní.
Úřad však od počátku vedl řízení se stěžovatelem, nikoli s pojišťovacím
zprostředkovatelem [oznámení o zahájení správního řízení pod zn. 58/05/SŘ-OSČ;
CJ08828/05UOOU, ze dne 8. 11. 2005 (založeno na č. l. 3 správního spisu), stejně tak
jako rozhodnutí v obou stupních správního řízení, tj. rozhodnutí Úřadu ze dne 4. 1. 2006,
zn. 58/05/SŘ-OSČ; CJ10686/05UOOU, o uložení pokuty v prvním stupni (na č. l. 14
spisu), jakož i rozhodnutí předsedy Úřadu o rozkladu stěžovatele ze dne 1. 3. 2006, zn.
58/05/SŘ-OSČ; CJ02716/06UOOU, bylo doručeno vždy pouze stěžovateli]. Svého
výhradního pojišťovacího agenta, K. A., označil za osobu zúčastněnou na řízení až sám
stěžovatel v jím podané žalobě.
K právní úpravě týkající se oblasti ochrany osobních údajů je možno úvodem
konstatovat, že zpracování osobních údajů vychází ze zásady, podle níž právo disponovat
s osobními údaji náleží fyzické osobě, k níž se tyto informace vztahují (subjektu údajů),
a nikoli tomu, kdo je jejich držitelem. Je proto logické, že základním právním titulem pro
zpracování osobních údajů je z principu věci souhlas subjektu údajů. Požadavek souhlasu
však není zákonem stanoven jako absolutní. Zpracování osobních údajů však nesmí být
v rozporu s právem subjektu údajů na ochranu jeho soukromého nebo osobního života.
Nepopiratelnou skutečností zároveň je, že jedním z nejohroženějších lidských práv
v podmínkách současné tzv. „informační společnosti“ je právě právo na soukromí, ačkoli
v souladu s čl. 10 odst. 2 Listiny základních práv a svobod (dále jen „Listina“) má „každý
právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života“. Tuto
skutečnost je nutno brát v souvislosti s řešenou problematikou v úvahu.
Zákon o ochraně osobních údajů v ustanovení §4 písm. a) stanoví, že osobním
údajem se rozumí „jakákoliv informace týkající se určeného nebo určitelného subjektu údajů“,
přičemž „Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo
či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho
fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu“. Plná identita
fyzické osoby v současných podmínkách technologicky vyspělé společnosti,
tj. za vysokého stupně rozvoje elektronických a jiných médií, která jsou většině populace
snadno dostupná, ve své podstatě neznamená nic jiného, než možnost tuto osobu určitým
způsobem kontaktovat, aniž by bylo nutno znát místo jejího aktuálního pobytu. Proto
se výklad pojmu „osobní údaj“ nemůže omezit striktně jen na znalost např. rodného čísla,
adresy či pracoviště subjektu údajů. Z tohoto pohledu je za osobní údaj třeba považovat
i číslo mobilního telefonu určité osoby, jakkoli může být takové číslo používáno
příslušnou osobou jen dočasně, a zároveň nijak nespecifikuje jeho fyzickou, psychickou,
ekonomickou, kulturní nebo sociální identitu (viz shora). Prostřednictvím tohoto čísla
je však možno daný subjekt v určitém časovém úseku přímo kontaktovat (což se ostatně
stalo i v posuzovaném případě), a tento subjekt je tak dosažitelný a jistým způsobem
určitelný, a to případně i bez znalosti jeho jména a dalších údajů, které již vazbu na jeho
fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu mají. Požadavek
J. H., který v posuzovaném případě byl konkrétním subjektem údajů na sdělení informace
o zdroji svého telefonního čísla od osoby, jež ho kontaktovala, je tak podle názoru
Nejvyššího správního soudu oprávněný. Skutečnost, že mu požadovaná informace
sdělena nebyla, není předmětem sporu. Otázkou tedy zůstává, kdo byl povinen subjektu
údajů požadovanou informaci poskytnout a na koho tudíž padá sankční odpovědnost
podle zákona o ochraně osobních údajů, tj. zda-li to byl pojišťovací agent, který subjekt
údajů přímo oslovil, či společnost, jejímž jménem tak učinil, tzn. stěžovatel. Podle §12
odst. 1 zákona o ochraně osobních údajů povinnost umožnit subjektu údajů přístup
k informacím, které se ho týkají, dopadá na správce osobních údajů („Požádá-li subjekt
údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného
odkladu předat.“). Otázka, kdo je správcem osobních údajů oznamovatele správního
deliktu, J. H., je tak pro posouzení dané věci klíčová.
Stěžovatel je přesvědčen, že osobou, která byla povinna požadované informace
subjektu údajů poskytnout, byla K. A. spolupracující se stěžovatelem na základě
vzájemné smlouvy jako výhradní pojišťovací agent. Podle názoru stěžovatele tento agent
jako samostatný podnikatelský subjekt (a nikoli pojišťovna) ve vztahu k jím samostatně
shromažďovaným a zpracovávaným údajům nese práva a povinnosti správce ve smyslu
zákona o ochraně osobních údajů, zatímco správní orgány v obou stupních řízení, a
následně i městský soud, zastávaly názor opačný. Městský soud tento názor odůvodnil
tak, že „správcem údajů je pojišťovna, neboť tato za účelem realizace nabízených produktů využívá (na
základě smlouvy) služeb pojišťovacího zprostředkovatele, který i ve fázi získávání jejích klientů před
předáním jejich osobních údajů pojišťovně v mezích smluvního vztahu k ní pro ni vyhledává, používá či
jinak nakládá s osobními údaji i potenciálních klientů za účelem uzavření smluvního vztahu mezi tímto
klientem a pojišťovnou, tedy při zprostředkování zpracovává osobní údaje“. Z toho pak dovodil, že
pojišťovací zprostředkovatel (agent) je ve vztahu k předmětným osobním údajům
v postavení jiném, než je postavení správce osobních údajů (dále již jen „správce“), a to
v postavení jejich zpracovatele, a stěžovatel jako správce měl mít s tímto zpracovatelem
pro účely zprostředkovatelské činnosti prováděné jeho jménem a v jeho prospěch
uzavřenu smlouvu podle §6 citovaného zákona.
Dle ustanovení §4 písm. j) zákona o ochraně osobních údajů je správcem
osobních údajů „každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí
zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit
zpracovatele, pokud zvláštní zákon nestanoví jinak“, zatímco zpracovatelem je dle písm. k)
téhož ustanovení „každý subjekt, který na základě zvláštního zákona nebo pověření správcem
zpracovává osobní údaje podle tohoto zákona“. Pro úplnost je možno na tomto místě doplnit, že
zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které
správce nebo zpracovatel provádějí s osobními údaji, a to automatizovaně nebo jinými
prostředky. Zpracováním se zároveň rozumí zejména jejich shromažďování, ukládání
na nosiče informací, zpřístupňování atd. Zpracováním osobních údajů ve smyslu zákona
o ochraně osobních údajů je proto bezpochyby již i shromažďování těchto dat
v předkontraktační fázi, tj. ve fázi, kdy pojišťovací zprostředkovatel vyhledává na trhu
kontakty na subjekty, které se mohou v budoucnu stát klienty pojišťovny, a tyto
kontaktní údaje shromažďuje. Zde je na místě zdůraznit, že jak argumentace stěžovatele,
tak i městského soudu, o níž se opírá výrok napadeného rozhodnutí, shodně poukazuje
právě na účel a prostředky zpracování osobních údajů jako na podstatný znak, jímž
je naplněn zákonný pojem správce, přičemž na tento účel již nahlíží stěžovatel a soud
různě.
Nejvyšší správní soud sdílí úvahu, že rozhodným, lépe řečeno rozlišovacím
znakem obou pojmů, tj. „správce“ versus „zpracovatel osobních údajů“, je především účel
zpracování těchto údajů, potažmo pak prostředky jejich zpracování. Oba shora nastíněné
názory, které stojí v kontrapozici, soud pečlivě uvážil, a dospěl k závěru, že účelem
zpracování osobních údajů pojišťovacím zprostředkovatelem je primárně (a především)
dosažení jeho vlastního podnikatelského zájmu, resp. zisku, a to oslovením co největší
množiny subjektů - potenciálních klientů pojišťovny. Přestože jsou na dosažení tohoto
cíle hmotně zainteresovány oba subjekty, tj. jak zprostředkovatel, tak i pojišťovna,
a přestože je pojišťovací zprostředkovatel smluvně vázán k pojišťovně jako výhradní
pojišťovací agent (vázán je tedy velmi úzce vnitřními předpisy pojišťovny, která
i za škodu způsobenou jeho činností), pojišťovací zprostředkovatel vystupuje a jedná
navenek vůči třetím osobám jako samostatný podnikatel. Podnikatel, předmětem jehož
podnikatelské činnosti je zprostředkovatelská činnost (přičemž pro řešení této právní
otázky je významná i skutečnost, že předmětů podnikání může mít každý podnikatel
vícero), se nemůže na základě soukromoprávní smlouvy vyvázat ze správněprávní
odpovědnosti, ledaže by se pro účely zákona o ochraně osobních údajů a z něj vyplývající
odpovědnosti vycházelo z premisy, že agent a pojišťovna tvoří jeden funkční celek.
Za takových okolností by správcem údajů byla skutečně pouze pojišťovna. Pro posledně
vyslovený teoretický závěr však Nejvyšší správní soud neshledal dostatečnou oporu
v zákoně o ochraně osobních údajů, ani ve vazbě na zákon o pojišťovacích
zprostředkovatelích. Pokud by byl pojišťovací zprostředkovatel v pozici pouhého
zpracovatele těchto údajů, pak by nemohl sám o své vůli vybírat potenciální zájemce pro
uzavření pojistné smlouvy, nemohl by určovat okruh těchto subjektů a nemohl by ani
s osobními údaji těchto subjektů o své vůli samostatně nakládat. Nejvyšší správní soud
souhlasí se stěžovatelem v tom smyslu, že ačkoli jsou data shromážděna výhradním
zprostředkovatelem pojištění, není vyloučeno jejich případné použití pro jiné
podnikatelské účely, s pojistnými produkty pojišťovny nesouvisejícími.
Z obecného hlediska je pro posouzení sporné otázky důležitý také časový aspekt.
Správcem se pojišťovna zcela jistě stává v okamžiku, kdy je jí doručen návrh na uzavření
smlouvy s potenciálním klientem a příslušná data (osobní údaje) jsou jí tudíž k dispozici.
V tomto okamžiku již totiž záleží jen na ní, zda akceptuje návrh smlouvy [a stává se tak
správcem ex lege z hlediska zákona č. 363/1999 Sb., o pojišťovnictví a o změně
některých souvisejících zákonů (zákon o pojišťovnictví), ve znění pozdějších předpisů]
či nikoli. Pokud by měla být pojišťovna správcem údajů se všemi důsledky
(tj. i sankčními) již ve fázi, kdy její pojišťovací agent vyhledává na trhu potenciální klienty,
tedy subjekty, které se vůbec jejími klienty nemusí stát, pak by mohla dostát své
povinnosti podle §12 odst. 1 zákona o ochraně o ochraně osobních údajů tj. povinnosti
poskytnout subjektu údajů na jeho žádost informaci, pouze prostřednictvím tohoto
agenta, neboť dotčené údaje se v této fázi ještě vůbec nedostaly do její sféry. Není tedy
vyloučena situace, že zprostředkovatelem shromážděné osobní údaje potenciálních klientů
se do sféry pojišťovny nikdy nedostanou, a v takovém případě by bylo podle názoru
zdejšího soudu absurdní ji bez dalšího (jen na základě existence smlouvy
o zprostředkování s pojišťovacím agentem) za neposkytnutí informací o osobních
údajích, které nikdy neměla k dispozici, sankcionovat.
Městský soud se v odůvodnění napadeného rozsudku zabýval jak otázkou
veřejnoprávní odpovědnosti, tak i soukromoprávními vztahy mezi pojišťovnou a jejím
pojišťovacím agentem, tyto otázky však pouze naznačil a blíže nerozvedl, jak
na to upozorňuje ve svém podání stěžovatel. Nejvyšší správní soud proto považuje
za vhodné v obecné rovině připomenout, že z dosavadní judikatury správních soudů
plyne, že odpovědnosti za správní delikt v oblasti veřejného práva se zásadně nelze
vyhnout poukazem na smluvní ujednání mezi účastníky soukromoprávního vztahu (viz
rozsudek Vrchního soudu v Praze ze dne 23. 9. 1994, sp. zn. 6 A 197/93, nebo rozsudek
Nejvyššího správního soudu ze dne 29. 1. 2004, č. j. 7 A 156/2000 – 62, dostupné na
www.nssoud.cz). Jestliže tedy pojišťovací zprostředkovatel je správcem osobních údajů,
nemůže se ve vztahu k povinnostem kladeným na správce zákonem o ochraně osobních
údajů odvolávat na smluvní ujednání o mlčenlivosti stanovené Smlouvou o výkonu
zprostředkovatelské činnosti mezi ním a pojišťovnou, nehledě na to, že v daném případě
bylo neposkytnutí požadované informace subjektu údajů s odvoláním právě na zákon
o ochraně osobních údajů dezinterpretací tohoto zákona, neboť subjekt údajů byl
z hlediska tohoto zákona subjektem oprávněným, nikoli třetí osobou, před níž by měly
být jeho údaje chráněny. Kromě toho v daném případě pojišťovací agent zjevně ujednání
Smlouvy porušil, a to čl. V., bod 1., písm. c), podle něhož měl ve vztahu ke třetím
osobám, zejména k zájemcům o pojištění a pojistníkům či pojištěným, povinnost
prezentovat se vždy jako osoba samostatně výdělečně činná, nikoli jako zaměstnanec
pojišťovny. Z textu stížnosti oznamovatele deliktu je však zřejmé, že subjekt údajů
se mylně domníval, že byl kontaktován přímo telefonní operátorkou pojišťovny,
a to i poté, co již komunikace mezi ním a agentem probíhala elektronickou poštou, nikoli
prostřednictvím mobilního telefonu.
Na základě závěru, že pojišťovací zprostředkovatelé vystupují na trhu jako
samostatné podnikatelské subjekty, které sledují především své vlastní cíle, přisvědčil
Nejvyšší správní soud názoru stěžovatele.
Vzhledem k tomu, že neuralgickým bodem byl v dané věci výklad pojmu
„správce“, lze ještě dodat, že z důvodové zprávy k vládnímu návrhu zákona o ochraně
osobních údajů plyne, že definice správce byla do tohoto zákona převzata ze Směrnice
č. 95/46/EC Evropského parlamentu a Rady Evropského společenství z roku 1995
o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto
dat (dále jen „Směrnice“).
Na úrovni legislativy EU je otázka ochrany osobních údajů ve vztazích mezi
pojišťovnami a nezávislými pojišťovacími agenty řešena především již shora zmíněnou
směrnicí 95/46/ES (ochrana osobních údajů), která však stanoví pouze obecné zásady
zpracovávání osobních údajů, a dále pak směrnicí 2002/92/ES (zprostředkovatelé
pojištění), přičemž tato směrnice zase především určuje podmínky působení a volného
pohybu zprostředkovatelů pojištění (makléřů a agentů) na vnitřním trhu Evropského
společenství. Konkrétní zásady ochrany osobních údajů v odvětví komerčního pojištění
lze najít až v Doporučení Rady ministrů členským státům Rec(2002)9 o ochraně osobních
údajů shromaždovaných a zpracovávaných pro účely komerčního pojištění. Z důvodové
zprávy k tomuto doporučení plyne, že: „Makléři, nezávislí agenti, a tam, resp. tehdy, jestliže je to
nutné, také experti nebo finanční instituce, by v zásadě měli být považováni za správce údajů, nikoli
zpracovatele, jelikož shromažďují a zpracovávají osobní údaje i v době před uzavřením smlouvy“ (pozn.:
volný překlad z anglického znění: „Brokers, independent agents and also, where necessary, experts
or financial institutions should, in principle, be considered as controllers and not as processors to the extent
that they collect and process personal data, even before the conclusion of a contract.“). Je však třeba
dodat, že Doporučení Rady ministrů členským státům mají, jak je zřejmé již z jejich
samotného označení, pouze doporučující charakter a nejsou tudíž pro členské státy
závazná.
S ohledem na výše uvedené je zřejmé, že jednotlivé právní úpravy členských států,
a v návaznosti na ně i judikatura vnitrostátních soudů, mohou v principu na předmětnou
otázku, která je takto úzce specifikována, nahlížet různě, přičemž judikatura Evropského
soudního dvora tuto specifickou otázku dosud neřešila (v oblasti pojišťovnictví
se dostupná judikatura Soudního dvora vztahuje pouze k uplatnění svobody pohybu
pojišťovacích služeb, k nesplnění transpoziční povinnosti členskými státy a především
k osvobození zprostředkovatelských služeb od daně z přidané hodnoty). Nejvyšší správní
soud se po posouzení konkrétních okolností souzené věci přiklonil k výkladu, dle kterého
je nutno na zprostředkovatele, který v postavení samostatného podnikatelského subjektu
oslovuje případné potencionální klienty pojišťovny, považovat za správce osobních údajů
těchto subjektů. Pro tento závěr také lépe svědčí samotný cíl zákona o ochraně osobních
údajů, jímž je naplnění práva každého na ochranu před neoprávněným zasahováním do
soukromí, a to tím, že z časového hlediska spolehlivě pokrývá všechny fáze nakládání
s osobními údaji, a to kýmkoli, kdo tyto údaje shromažďuje za jakýmkoli seznatelným
a definovatelným účelem, přičemž stanovení účelu a způsobu zpracování těchto údajů
zůstává základním kritériem pro určení správce, jenž je za nakládání s těmito údaji také
odpovědný.
Z důvodů výše uvedených Nejvyšší správní soud rozsudek Městského soudu
v Praze podle §110 odst. 1 s. ř. s. zrušil a věc vrátil soudu k dalšímu řízení,
v němž je tento soud podle odst. 3 citovaného ustanovení vázán právním názorem
vysloveným v tomto rozsudku.
O náhradě nákladů řízení o kasační stížnosti rozhodne podle §110 odst. 2 s. ř. s.
městský soud v novém rozhodnutí.
Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné.
V Brně dne 12. února 2009
Mgr. Daniela Zemanová
předsedkyně senátu