7.3.2018
ID: 4000upozornenie pre užívateľov

Trestný čin neoprávneného nakladania s osobnými údajmi

GDPR je jedným z najpopulárnejších európskych nariadení súčasnosti. Ide zároveň o kľúčový akt aproximácie práva na ochranu osobných údajov v Európskej únii (ďalej len „EÚ“). Ustanoveniam o ochrane osobných údajov konečne dáva „pazúry“ vo forme vysokých pokút, ktoré bude ukladať Úrad pre ochranu osobných údajov.

 
 SEMANČÍN & PARTNERS s. r. o.
 
Netreba však zabúdať na trestnoprávny rozmer tejto problematiky. Trestný zákon (ďalej len „TZ“) považuje ochranu osobných údajov za chránený záujem, a to v skutkovej podstate podľa § 374 – Neoprávnené nakladanie s osobnými údajmi. Je teda zrejmé, že právo na ochranu osobných údajov má v našich právnych podmienkach pomerne vysokú dôležitosť.

Právo na ochranu osobných údajov ako záujem chránený Trestným zákonom

Dôležitosť práva na ochranu osobných údajov vyplýva aj z jeho úpravy v Ústave SR, a to hneď v niekoľkých článkoch. Ústava SR explicitne zaručuje osobným údajom ochranu v článku 22 ods. 1 a  nepriamo aj v článku 19 ods. 3, v ktorom priznáva každému ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe a v článku 16 ods. 1, v ktorom zaručuje nedotknuteľnosť osoby a jej súkromia. 

Takto koncipovaná vysoká dôležitosť práva na ochranu osobných údajov má opodstatnenie v potrebe ochrany súkromia jednotlivca, jeho integrity, individuality a zároveň v hrozbách, ktoré so sebou prinášajú najnovšie nástroje spracúvania dát. Dáta sa vo všeobecnosti spracúvajú čoraz rýchlejšie a výstupy z nich naberajú na relevancii. Už v súčasnosti sa stretávame s veľmi pokročilými spôsobmi automatizácie a profilovania. Medzi najhorúcejšie témy spracúvania dát patrí aj umelá inteligencia[1], ktorá môže mať v relatívne krátkom časovom horizonte priamy dopad na rizikovosť takého spracúvania vo vzťahu k právu na súkromie jednotlivcov. Sci-fi scenáre o pokročilom sociálnom inžinierstve dnes nemusia byť celkom vzdialené.

Na druhej strane, právo na ochranu osobných údajov nie je absolútne, a preto je potrebné jeho obsah vykladať so zreteľom na proporcionalitu vo vzťahu k iným právam.

Skutková podstata neoprávneného nakladania s osobnými údajmi

Znenie skutkovej podstaty neoprávneného nakladania s osobnými údajmi je vyjadrené v § 374 TZ.

Subjekt je všeobecný, preto skutkovú podstatu môže naplniť ktorákoľvek trestne zodpovedná fyzická osoba (na rozdiel od českej právnej úpravy, trestná zodpovednosť právnických osôb za tento trestný čin neprichádza podľa slovenskej právnej úpravy do úvahy[2]).

Pre naplnenie subjektívnej stránky je potrebné úmyselné zavinenie. Objektívna stránka spočíva v neoprávnenom poskytnutí, sprístupnení alebo zverejnení osobných údajov o inej osobe, ktoré boli zhromaždené v súvislosti s výkonom verejnej moci alebo uplatňovaním ústavných práv osoby, alebo ktoré boli získané v súvislosti s výkonom páchateľovho povolania, zamestnania alebo funkcie (konanie) v príčinnej súvislosti s ohrozením alebo porušením objektu, ktorým je záujem na ochrane osobných údajov občanov pred neoprávneným nakladaním s týmito údajmi[3].

Problematika subjektu trestného činu podľa § 374 TZ

Trestnú zodpovednosť v zmysle § 374 TZ možno vyvodiť najmä voči zamestnancom alebo verejným činiteľom[4] alebo v súvislosti s výkonom niektorých povolaní (napr. advokát, notár, zdravotnícky pracovník[5]), pričom trestná zodpovednosť sa spravidla vyvodzuje v súbehu s inými trestnými činmi (napr. podvod podľa § 221 TZ, zneužívanie právomoci verejného činiteľa podľa § 326 TZ a pod.).

Podľa nášho názoru, nie je pre naplnenie skutkovej podstaty neoprávneného nakladania s osobnými údajmi podľa § 374 ods. 1 písm a) TZ  dôležité, či samotný páchateľ realizuje výkon verejnej moci, ale či predmetné osobné údaje, ku ktorým sa páchateľ dostal, boli zhromaždené v súvislosti s výkonom verejnej moci alebo uplatňovaním ústavných práv osoby.

Podmienkou pre vyvodenie trestnej zodpovednosti podľa § 374 ods. 1 písm. b) TZ však je, aby páchateľ vykonával povolanie, zamestnanie alebo funkciu, v súvislosti s ktorými boli osobné údaje získané. Pôjde napr. o zamestnancov prevádzkovateľa, štatutára prevádzkovateľa a pod.

Z uvedeného sa dá vyvodiť, že trestný čin neoprávneného nakladania s osobnými údajmi v podmienkach Slovenskej republiky nespácha osoba, ktorá napr.:

  • a) sa iba neoprávnene zmocní spracúvaných osobných údajov, ak ich neposkytuje, nesprístupňuje ani nezverejňuje,
  • b) prevádzkovateľa síce inak obmedzí v ich užívaní (napr. v prípade zásahu do počítačového systému tzv. ransomvérom (z angl. ransomware))[6], ale údaje neposkytne, nesprístupní ani nezverejní,
  • c) neoprávnene poskytne, sprístupní alebo zverejní osobné údaje, ktoré nie sú zhromažďované v súvislosti s výkonom verejnej moci alebo v súvislosti s uplatňovaním ústavných práv osoby, ak zároveň neboli tieto osobné údaje získané v súvislosti s výkonom útočníkovho povolania, zamestnania alebo funkcie (napr. útočník, ktorý nie je a nikdy nebol s prevádzkovateľom v žiadnom právnom vzťahu, napadne počítačový systém prevádzkovateľa, pričom sa zmocní osobných údajov klientov (ktoré neboli zhromaždené v súvislosti s výkonom verejnej moci alebo uplatňovaním ústavných práv osoby) a následne poskytne tieto osobné údaje inej osobe, tento skutok nenapĺňa znaky skutkovej podstaty § 374 TZ.).

Prípadná trestná zodpovednosť útočníka za iné trestné činy (napr. neoprávnený prístup do počítačového systému podľa § 247 TZ) tým samozrejme nie je dotknutá.

Blanketový charakter skutkovej podstaty podľa § 374 TZ

Pre naplnenie skutkovej podstaty podľa § 374 TZ musí byť v dôsledku konania porušená všeobecne záväzným právnym predpisom ustanovená povinnosť; táto povinnosť nie je stanovená TZ ale odkazom (blanketový charakter) na všeobecne záväzný právny predpis. Vzhľadom na charakter konania pôjde najmä o povinnosť mlčanlivosti[7], ktorá v súčasnosti vyplýva napr. pri oprávnených osobách z aktuálne účinného zákona o ochrane osobných údajov.

Ustanovenie § 79 nového zákona č. 18/2018 Z. z. o ochrane osobných údajov (ďalej len „NZOOU“), ktorý nadobudne účinnosť dňa 25. mája 2018, ukladá povinnosť mlčanlivosti len priamo prevádzkovateľovi a sprostredkovateľovi. Prevádzkovateľovi a sprostredkovateľovi ukladá povinnosť zaviazať mlčanlivosťou fyzické osoby, ktoré prídu u neho do styku s osobnými údajmi. Povinnosť mlčanlivosti môže vyplývať aj zo všeobecne záväzného predpisu právneho (napr. v prípade zamestnanca § 81 písm. f) Zákonníka práce).

Rozdiel v českej právnej úprave

Trestnoprávna úprava neoprávneného nakladania s osobnými údajmi v Čechách je v mnohom odlišná. Neoprávnené nakladanie s osobnými údajmi je upravené v § 180 českého trestného zákona (ďalej len „ČTZ“). Na rozdiel od § 374 TZ pre naplnenie skutkovej podstaty podľa § 180 ČTZ stačí nedbanlivostné zavinenie, čo zvyšuje preventívnu funkciu tohto ustanovenia. Vyššia rozpracovanosť § 180 ČTZ spočíva vo viacerých kvalifikovaných skutkových podstatách.

Okrem poskytnutia, sprístupnenia alebo zverejnenia je v zmysle § 180 ČTZ ods. (1) trestné aj keď páchateľ osobné údaje „inak zpracovává“ alebo „přisvojí“. Tu dávame do pozornosti vyššie uvedený príklad s ransomvérovým útokom, ktorý by pod túto skutkovú podstatu v Čechách pravdepodobne bolo možné subsumovať, ak by išlo o útok na informačný systém zhromažďujúci osobné údaje v súvislosti s výkonom verejnej moci.

Ďalší podstatný rozdiel predstavujú rozdielne podmienky vzniku trestnosti. Kým podľa § 374 TZ je samostatnou podmienkou vzniku trestnosti porušenie povinnosti vyplývajúcej zo všeobecne záväzného právneho predpisu, v zmysle § 180 ČTZ je podmienkou vzniku trestnosti „vážná újma na právech nebo oprávněných zájmech osoby, již se osobní údaje týkají“. Takáto formulácia zvyšuje požiadavky na naplnenie skutkovej podstaty trestného činu neoprávneného nakladania s osobnými údajmi. Je otázne, či skutková podstata podľa § 374 TZ nie je koncipovaná príliš široko, vzhľadom na trestnoprávny princíp ultima ratio. Súdy majú pri posudzovaní trestnosti činu, ktorý napĺňa znaky skutkovej podstaty neoprávneného nakladania s osobnými údajmi, možnosť využiť materiálny korektív.[8]

Zvýšené požiadavky na naplnenie skutkovej podstaty podľa § 180 ČTZ sa odzrkadlili na výške trestných sadzieb. Kým na Slovensku je pri trestnom čine podľa § 374 TZ v najprísnejšie trestanej kvalifikovanej skutkovej podstate horná hranica trestu odňatia slobody 2 roky, v Čechách to v zmysle § 180 ods. (4) môže byť až 8 rokov. 

Posudzovanie trestného činu podľa § 374 TZ slovenskými súdmi

Ako sme už vyššie uviedli, skutková podstata podľa § 374 TZ sa v praxi samostatne vyskytuje veľmi zriedkavo. Nakoľko § 374 TZ má široký záber, súdy môžu využiť materiálny korektív v zmysle § 10 ods. (2) TZ. Pri ukladaní trestu brali súdy do úvahy aj pracovné hodnotenie obžalovaného, sankcie v priestupkovej agende obžalovaného, či obžalovaný viedol a vedie riadny život a pod. Pri nižšej závažnosti konania je vecou zamestnávateľa obžalovaného ho za toto konanie postihnúť, hoci aj prepustením.[9]

Záver

Judikatúra k § 374 TZ zatiaľ na Slovensku nie je bohatá a vychádza predovšetkým z rozhodnutí Okresných súdov. Jej vývoj v súčasnosti zatiaľ nie je možné predvídať.

Trestné postihovanie neoprávneného nakladania s osobnými údajmi je na Slovensku menej prísne než v Čechách, a to minimálne z hľadiska subjektívnej stránky, keďže na Slovensku sa podľa § 374 TZ v spojení s § 17 TZ pre naplnenie skutkovej podstaty tohto trestného činu vyžaduje úmyselné zavinenie (i keď sa v literatúre stretávame aj s odlišnými názormi, s ktorými sa nestotožňujeme[10]).

Pre prevádzkovateľa a sprostredkovateľa vyplýva z trestnoprávnej úpravy neoprávneného nakladania s osobnými údajmi niekoľko praktických záverov:

  • v rámci prevencie je vhodné všetky fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa poučiť o možnosti vyvodenia trestnej zodpovednosti voči ich osobe v prípade, ak tieto osobné údaje úmyselne poskytnú, sprístupnia alebo zverejnia,[11]
  • v každom konkrétnom prípade treba zistiť, či sú tieto fyzické osoby viazané povinnosťou vyplývajúcou zo všeobecne záväzného právneho predpisu.[12] Keďže subjekt trestného činu podľa § 374 TZ je všeobecný, je pri posudzovaní tejto podmienky potrebné vychádzať z konkrétnych právnych vzťahov.


Radovan Križalkovič,
advokátsky koncipient


SEMANČÍN & PARTNERS s. r. o.

Vajnorská 100/A
831 04 Bratislava

Tel: +421 2 32 609 451
e-mail: office@semancin.sk

______________________________
[1] Pozri aj LEENES, R.: Data Protection and Privacy: The Age of Intelligent Machines. Bloomsbury Publishing, 2017.
[2] § 3 zákona č. 91/2016 Z. z. o trestnej zodpovednosti právnických osôb v znení neskorších predpisov.
[3] IVOR, J.; POLÁK, P.; ZÁHORA, J.: Trestné právo hmotné, osobitná časť (2). Vydavateľstvo právnickej literatúry Wolters Kluwer s. r. o., 2017. str.: 492
[4] Pozri aj Rozsudok Okresného súdu Bratislava V, sp. zn. 3T/7/2013, Rozsudok Okresného súdu Bratislava II, sp. zn. 2T/125/2012.
[5] Pozri aj ČENTÉŠ, J.: Trestný poriadok. Veľký komentár. 3. vydanie, vydavateľstvo Eurokódex, Bratislava 2016. str. 771.
[6] Rensomvér je vydieračský škodlivý softvér, ktorý blokuje dáta a za odblokovanie žiada najčastejšie výkupné. V súvislosti s ransomvérovým útokom na informačný systém obsahujúci osobné údaje  pozri aj zhrnutie rozhodnutia írskeho Úradu pre ochranu osobných údajov (Data Protection Commissioner) „Crypto Ransomware Attack on a Primary School“ zverejnené na stránke, dostupné na www, k dispozícii >>> tu.
[7] Pozri aj ČENTÉŠ, J.: Trestný poriadok. Veľký komentár. 3. vydanie, vydavateľstvo Eurokódex, Bratislava 2016. str. 771.
[8] Pozri aj. rozsudok Okresného súdu Zvolen, sp. zn. 1T/222/2012.
[9] Ibid.
[10] Pozri aj ČENTÉŠ, J.: Trestný poriadok. Veľký komentár. 3. vydanie, vydavateľstvo Eurokódex, Bratislava 2016. str. 772.
[11] V prípade prevádzkovateľa alebo sprostredkovateľa v Čechách stačí nedbanlivostné zavinenie.
[12] Napr. pri zamestnancoch § 81 písm. f) Zákonníka práce, pri policajtoch § 80 Zákona o policajnom zbore a pod.

© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk