Nejvyšší správní soud ve svém rozhodnutí ze dne 11. listopadu 2021, č.j. 1 As 238/2021 – 33, řešil situaci úniku osobních údajů, kdy došlo k neoprávněnému přístupu k osobním údajům v důsledku cíleného protiprávního jednání jiného subjektu. Takové jednání lze dle názoru soudu očekávat, správce osobních údajů však nemůže za něj nést automaticky odpovědnost bez ohledu na to, jaká opatření za účelem ochrany osobních údajů přijal, a nakolik promyšlený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil.

K odcizení osobních údajů došlo v roce 2017 ještě za účinnosti dnes již zrušeného zákona o ochraně osobních údajů (zákona č. 101/2000 Sb.). Stalo se tak sice před účinností GDPR (účinné od 25. května 2018), soud se však vyjádřil i k němu. Relevantní ustanovení zákona o ochraně osobních údajů nelze dle soudu vykládat tak, že „stanoví ,absolutistický‘ požadavek na zabezpečení osobních údajů oproti čl. 24 a čl. 32 GDPR, které hovoří o ,vhodných opatřeních‘ a ,vhodné úrovni bezpečnosti‘.“ GDPR, stejně jako před ním směrnice 95/46/ES, povinnosti dotčených subjektů relativizuje (nečiní je zcela absolutními). Takový postup je ostatně zcela logický, neboť správce či zpracovatel osobních údajů nemůže předvídat všechny potenciální scénáře, které mohou nastat. Dle soudu nelze činit ani kategorický závěr, že za dostatečná lze považovat pouze taková opatření, která v každém myslitelném případě zabrání zneužití osobních údajů.

Pro úplnost je třeba zmínit i jiné rozhodnutí tohoto soudu ohledně problematiky sankce za neoprávněné nakládání s osobními údaji, kdy v rozsudku ze dne 28. prosince 2016, č. j. 3 As 121/2014 – 35, soud spáchání přestupku při nakládání s osobními údaji potvrdil, protože se jednalo o chybný postup na straně správce/zpracovatele osobních údajů, který odpovídal za likvidaci dokladů s osobními údaji, a tato činnost je přímo v dispozici správce/zpracovatele (k přestupku nedošlo v důsledku působení třetích osob).