ECLI:CZ:NSS:2006:3.AS.21.2005
sp. zn. 3 As 21/2005 - 105
ROZSUDEK
Nejvyšší správní soud rozhodl v senátě složeném z předsedy senátu JUDr. Jaroslava
Vlašína a soudců JUDr. Milana Kamlacha a JUDr. Marie Součkové v právní věci žalobkyně
K., a.s., zast. JUDr. Tomášem Prokopcem, advokátem se sídlem Praha 1, Štěpánská 20, proti
žalovanému Úřadu pro ochranu osobních údajů, sídlem Praha 7, Pplk. Sochora 27,
o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze č. j. 10 Ca 118/2003 –
61 ze dne 14. 10. 2004,
takto:
I. Kasační stížnost se zamítá .
II. Žalovanému se nepřiznává náhrada nákladů řízení o kasační stížnosti.
Odůvodnění:
Včas podanou kasační stížností napadla žalobkyně (dále též „stěžovatelka“) v záhlaví
uvedený rozsudek Městského soudu v Praze, kterým byla zamítnuta její žaloba proti
rozhodnutí žalovaného č. j. 3047/767/02-SP/R1 ze dne 13. 11. 2002. Předseda Úřadu
pro ochranu osobních údajů jím zamítl rozklad žalobkyně proti rozhodnutí Úřadu pro ochranu
osobních údajů (dále jen „Úřad“) č. j. 86/02148/INSP/6 ze dne 19. 6. 2002 a napadené
rozhodnutí potvrdil. Prvoinstančním rozhodnutím Úřadu byla žalobkyni uložena pokuta ve
výši 3 000 000 Kč za porušení právní povinnosti uvedené v ust. §13 zákona č. 101/2000 Sb.,
o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále
jen „zákon“), jehož se měla dopustit tím, že minimálně ještě ke dni 23. 1. 2001 nepřijala
všechna potřebná opatření, aby nemohlo dojít k neoprávněnému přístupu, neoprávněnému
zpracování či jinému zneužití osobních údajů jejích klientů. V důsledku uvedeného porušení
právní povinnosti došlo v časovém rozmezí od 20. 1. 2001 do 23. 1. 2001 k neoprávněnému
přístupu a k odcizení záznamového média, obsahujícího významné množství osobních údajů
klientů K., a.s., čímž osobní údaje klientů byly vystaveny nebezpečí jejich neoprávněného
zpracování či jiného zneužití.
Městský soud v Praze se ztotožnil se závěrem správních orgánů, že žalobce nedostál
povinnosti uložené mu ustanovením §13 zákona, a to jednáním v úplnosti a v konkrétu
popsaným v odůvodnění obou rozhodnutí. Tato zjištění ostatně žalobce ani nijak nenapadl.
Namítá-li, že žalovaný nebyl oprávněn k uložení pokuty s odkazem na ust. §47 odst. 2 a 3
zákona, přisvědčil Městský soud v Praze názoru správních orgánů, že je zde v obsahové
náplni zákonných pojmů zpracování a zabezpečení rozdíl, jakož i závěru, že vyvození sankce
za porušení povinností stanovených zákonem bylo po dobu vymezenou v přechodných
ustanoveních vyloučeno výslovně pouze v případech, kdy správce nebo zpracovatel neuvedl
do souladu s novou právní úpravou vlastní zpracování osobních údajů, tj. nesplnil povinnosti
stanovené novou úpravou pro toto zpracování oproti právní úpravě původní. Povinnost
dle §13 zákona byla zákonem stanovena od 1. 6. 2000 a její porušení bylo proto od tohoto
data podle ust. §46 odst. 1 zákona pod hrozbou sankce. Pravomoc Úřadu uložit za nesplnění
povinností stanovených zákonem pokutu je dána výslovně a v daném případě není dotčena
shora uvedenou výjimkou. Namítá-li přesto žalobce, že k porušení povinnosti nemohlo dojít,
neboť zákon nestanoví, jaká konkrétní opatření měla být učiněna, doplnil Městský soud
v Praze nad argumentaci uvedenou v odůvodnění žalobou napadeného rozhodnutí, že rámec
pro řádné plnění této povinnosti musí vymezit sám zpracovatel či správce podle prostředků
a způsobů zpracování a zajistit jej odpovídajícím způsobem finančně, technicky i organizačně.
Dle názoru soudu existuje v oblasti bezpečnostních opatření k ochraně majetku obecně
a při nakládání s osobními údaji, resp. jejich ochraně zvláště, určitý soubor bezpečnostních
opatření považovaný za standard, aniž by musel být v zákoně výslovně vymezen. Jako
nedůvodnou posoudil Městský soud v Praze rovněž námitku vytýkající napadenému
rozhodnutí nedostatek posouzení výše sankce ve smyslu ust. §46 odst. 5 zákona. S ohledem
na výčet skutečností svědčících jak ve prospěch, tak v neprospěch žalobce neshledal soud
sankci v dolní třetině zákonné sazby zjevně nepřiměřenou. Podle soudu také ze spisu
nesporně vyplývá, že žalobce nebyl zkrácen v právu na řádný proces a na svou obhajobu tím,
že jeho zástupci nebylo umožněno nahlédnout do spisu v den tvrzený v žalobě, tj. 2. 5. 2002.
Řízení bylo zahájeno oznámením doručeným dne 17. 4. 2002, žádosti o prodloužení lhůty
ze dne 26. 4. 2002 bylo vyhověno a současně byla stanovena lhůta k vyjádření do 17. 5. 2002.
Z protokolu o jednání ze dne 5. 6. 2002 vyplývá, že práva nahlédnout do spisu bylo následně
využito, že žalobce podal vyjádření k zahájenému řízení a mohl se do doby vydání rozhodnutí
správního orgánu I. stupně vyjádřit ke všem podkladům a zjištěním Úřadu, jakož i že tak
učinil. Důvodnou nakonec soud neshledal ani námitku podjatosti pracovníka správního úřadu.
Důvody vyloučení pracovníka přesně vymezuje zákon č. 71/1967 Sb., o správním řízení
(správní řád), ve znění pozdějších předpisů (dále jen „správní řád“). Poměr k věci, k
účastníkům nebo zástupcům nebyl v daném případě zjištěn a není ani ve smyslu ust. §9
správního řádu namítán. Předseda Úřadu pak ani vyloučen být nemůže, neboť jako vedoucí
ústředního orgánu státní správy má obdobné postavení jako ministr a není tak dle judikatury
Nejvyššího správního soudu pracovníkem správního orgánu. Samotná okolnost, že předseda
Úřadu podal veřejnoprávnímu médiu obecnou informaci o zákonem předpokládaném postupu
Úřadu v dané věci nakonec není v rozporu se zákonem. Vhodnost podávání této informace
před tím, než uplyne dotčenému účastníkovi lhůta k vyjádření, je pak podle názoru soudu
otázkou profesionálního postoje a přístupu. Podání obecné informace o tom, jaké řízení
probíhá, podle jakého předpisu, že se provádí zjišťování, resp. že je Úřad, pakliže zjistí
porušení zákona, povinen (nikoli pouze oprávněn) uložit sankci, předpokládá konečně i zákon
č. 106/1999 Sb., o svobodném přístupu k informacím. Z uvedených důvodů Městský soud v
Praze žalobu podle ust. §78 odst. 7 zákona č. 150/2002 Sb., soudní řád správní, ve znění
pozdějších předpisů (dále jen „s. ř. s.“) jako nedůvodnou zamítl.
Podanou kasační stížností napadla stěžovatelka rozsudek Městského soudu v Praze
z důvodu podle ust. §103 odst. 1 písm. a) s. ř. s., tedy pro nezákonnost spočívající
v nesprávném posouzení právní otázky soudem. Městský soud v Praze se podle jejího názoru
nedostatečně vypořádal s otázkou dopadu ust. §47 odst. 2 zákona na daný případ, a to přesto,
že se jedná o jádro předmětného sporu. Stěžovatelka dále cituje ust. §13, §47 odst. 2, 3
a §46 odst. 1 zákona. Z těchto podle ní jasně vyplývá, že neuvedl-li správce či zpracovatel
osobních údajů, který prováděl zpracování osobních údajů před účinností zákona, toto
do souladu se zákonem do 31. 12. 2001, nemohl být za takovéto jednání sankcionován,
a to až do 31. 12. 2002. Podle stěžovatelky se jedná o klasický model zmírnění dopadů nové
právní úpravy na správce a zpracovatele osobních údajů, kterým zákonodárce umožnil,
aby mohlo být ve stanovené lhůtě učiněno zadost všem povinnostem novou právní úpravou
uloženým. Za situace, kdy Úřad dospěl ke zjištění o údajném porušení §13 zákona
až v kontrolním protokole ze dne 31. 8. 2001, má stěžovatelka za to, že i v případě, pokud
by k uvedenému porušení skutečně došlo, nebyl Úřad oprávněn pokutu uložit, neboť v té době
již byla novela zákona č. 177/2001 Sb. více než tři měsíce účinná. Stěžovatelka nesouhlasí
dále se závěrem soudu, podle kterého vyvození sankce za porušení povinností stanovených
zákonem bylo po dobu vymezenou v přechodných ustanoveních výslovně vyloučeno pouze
v těch případech, kdy správce (zpracovatel) neuvedl do souladu s novou úpravou vlastní
zpracování osobních údajů, tj. nesplnil povinnosti novou úpravou pro toto zpracování
stanovené oproti původní právní úpravě. Uvedený výklad považuje stěžovatelka za účelový,
resp. odporující základním právním zásadám právního řádu České republiky, konkrétně
zákazu retroaktivity zákona. Takový postup by umožnil ukládat sankce za nesplnění
povinností stanovených zákonem č. 256/1992 Sb. poté, co byl tento zrušen zákonem
č. 101/2000 Sb. Podle stěžovatelky však není přípustné, aby za porušení povinností
stanovených již derogovanou právní úpravou byly ukládány sankce podle úpravy nové.
Za nesprávný považuje stěžovatelka rovněž názor soudu, podle něhož existují určité standardy
bezpečnostních opatření, které lze realizovat, aniž by musely být výslovně stanoveny
zákonem. Uvedený závěr je podle stěžovatelky protiústavní, neboť státní orgány nemohou
nutit stěžovatelku činit, co zákon neukládá, resp. jí za toto následně ukládat sankce. Soud také
nepřihlédl ke skutečnosti, že stěžovatelka byla v dobré víře, že splnila povinnosti uložené
jí ustanovením §13 zákona tím, že zajistila střežení objektu agenturou A.S.S. a přijala další
bezpečnostní opatření, což soudu také doložila. Namítá proto neúměrnost výše uložené
pokuty a opakuje, že byla zkrácena na svých procesních právech tím, že jejímu právnímu
zástupci nebylo umožněno nahlédnout do spisu a seznámit se s důkazními prostředky, jakož i
že ve věci rozhodovali podjatí pracovníci Úřadu.
Žalovaný ve svém vyjádření ke kasační stížnosti ze dne 28. 2. 2005 mimo jiné uvádí,
že opatření pro přechodné období (§47 odst. 2 a 3 zákona) bylo zřejmě přijato proto,
aby umožnilo správcům a zpracovatelům dat uvést svou dosavadní praxi do souladu s novým
zákonem, tzn. vytvořit časové podmínky pro zavedení nové legislativní úpravy, nikoliv
za účelem prolomení podmínek ochrany osobních údajů do té doby předchozím zákonem
upravené. Tzv. ochranná lhůta tedy jistě nepředstavuje obecný zákaz použití pokut
ve stanoveném období. V dalším zejména odkazuje na obsah svého vyjádření k žalobě
a na odůvodnění rozhodnutí předsedy Úřadu v dané věci.
Ze správního spisu zjistil Nejvyšší správní soud tyto pro posouzení věci rozhodné
skutečnosti: Dne 19. 6. 2002 vydal Úřad pro ochranu osobních údajů na základě kontrol
provedených ve dnech 28. 5. 2001 až 20. 6. 2001 a 1. 8. 2001 a z nich vyplynuvšího protokolu
ze dne 31. 8. 2001 rozhodnutí, jímž za porušení povinnosti uvedené v §13 zákona
č. 101/2000 Sb. ve smyslu ust. 46 odst. 1 tohoto zákona v tehdy platném znění uložil
stěžovatelce pokutu ve výši 3 000 000 Kč. Vzhledem k tomu, že od doby ztráty záznamového
média do zahájení kontroly uskutečnila stěžovatelka množství organizačně technických
opatření vedoucích ke zlepšení zabezpečení informačního systému, neodpovídala jeho úroveň
stavu zabezpečení v době ztráty. Úřad proto při posuzování skutkového stavu vycházel
i ze skutečností zjištěných v odpovídající době Policií ČR. Pracovníci Služby kriminální
policie zjistili, že klíče od místnosti, z níž bylo zařízení odcizeno, vlastnilo osm osob
a správce. Ke klíčům správce byl volný přístup prostřednictvím vrátného. Místnost nebyla
nijak zabezpečena. K celkové ostraze budovy bylo zjištěno, že tato sice byla střežena
agenturou K.S.S ., leč ze strany této agentury nebyla prováděna žádná kontrola či ztotožnění
osob, které vcházely nebo vycházely z budovy. Policií vyslechnutí pracovníci stěžovatelky
pak shodně uvedli, že do místnosti, kde bylo záznamové zařízení, se vstupovalo dle potřeby, o
vstupech se nevedly žádné záznamy. Vést takové záznamy neukládalo pracovníkům Odboru
informačních systémů stěžovatelky ani rozhodnutí ředitele K. ze dne 8. 9. 1997 („Zajištění
ochrany majetku a. s. K.“), ani pokyn ze dne 10. 1. 2000 „Zálohování a ochrana dat“. Tento
upravoval ochranu dat pouze z hlediska přístupových práv uživatelů a technický způsob
zálohování dat; zabezpečení z hlediska ust. §13 zákona neřešil a neukládal v tomto ohledu
zaměstnancům stěžovatelky žádné povinnosti. K námitce, že není možno před datem 31. 12.
2002 užít ust. §46 odst. 1 z důvodů podle ust. §47 odst. 2 a 3 Úřad uvedl, že posléze uvedená
ustanovení na danou věc nedopadají, neboť bezpečnostní opatření, zejména jejich organizačně
technickou část, nelze považovat za zpracování osobních údajů ve smyslu ust. §4 písm. e)
zákona.
Podaný rozklad proti rozhodnutí Úřadu jeho předseda zamítl a napadené rozhodnutí
potvrdil. Po posouzení průběhu správního řízení v prvním stupni v celém rozsahu, zhodnocení
důkazů z hlediska materiální pravdy a souladu se zákonem, dospěl totiž k závěru, že správní
orgán I. stupně ve svém rozhodování nepochybil, že došlo k porušení §13 zákona, které
je dostatečně prokázané a že výše sankce odpovídá závažnosti spáchaného správního deliktu
vzhledem k rozsahu osobních údajů, jež byly odcizeny spolu se zálohovacím zařízením.
O žalobě proti rozhodnutí předsedy Úřadu rozhodl Městský soud v Praze, jak bylo
uvedeno výše.
Nejvyšší správní soud přezkoumal napadený rozsudek v rozsahu důvodů uplatněných
v kasační stížnosti a dospěl k závěru, že tato není důvodná.
Stěžovatelka napadla rozhodnutí Městského soudu v Praze z důvodu podle ust. §103
odst. 1 písm. a) s. ř. s. Soud se podle jejího názoru především nedostatečně vypořádal
s otázkou dopadu ust. §47 odst. 2 a 3 zákona na daný případ. Z ustanovení §13, §47 odst. 2,
3 a §46 odst. 1 zákona je podle ní zřejmé, že pokud by správce či zpracovatel osobních údajů,
který prováděl zpracování osobních údajů před účinností zákona, neuvedl toto do souladu
se zákonem do 31. 12. 2001, nemohl by být za takovéto jednání sankcionován, a to až do
31. 12. 2002. Své přesvědčení o tom, že z uvedených ustanovení podaný závěr jasně vyplývá,
ovšem nijak blíže neodůvodňuje ani nerozvádí. Nejvyšší správní soud se s tímto názorem
stěžovatelky neztotožnil.
Klíčovou pro rozhodnutí o této námitce je dle názoru Nejvyššího správního soudu
otázka výkladová, a to zda lze povinnost zabezpečit osobní údaje stanovenou ustanovením
§13 zákona posoudit jako jejich „zpracování” ve smyslu ust. §4 písm. e) zákona, jinak
řečeno, zda je možné pojem „zabezpečení“ pojmu zpracování podřadit. V případě kladné
odpovědi na tuto otázku pak bude nutno posoudit, zda se na takové „zpracování“ vztahují
ust. §47 odst. 2 a 3 zákona.
Co se týká první otázky, vycházel Nejvyšší správní soud ze znění zákona č. 101/2000 Sb., důvodové zprávy k němu, a zejména pak ze znění a způsobu užití předmětných pojmů
směrnicí Evropského parlamentu a Rady ES/95/46 (dále též “směrnice”), která byla jedním
z hlavních východisek při zpracování nové právní úpravy, již citovaný zákon představuje.
Podle ust. §4 písm. e) zákona se zpracováním osobních údajů rozumí jakákoliv operace nebo
soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji,
a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména
shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování,
vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo
kombinování, blokování a likvidace. Podle ust. §13 zákona je povinností správce
a zpracovatele při zabezpečení osobních údajů přijmout taková opatření, aby nemohlo dojít
k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení
či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož
i k jinému zneužití osobních údajů. Posléze citované ustanovení je pak zahrnuto do části
první, hlavy druhé zákona, nazvané Práva a povinnosti při zpracování osobních údajů.
Zabezpečení osobních údajů tak na jednu stranu není zahrnuto do demonstrativního výčtu
výkladového ustanovení §4 písm. e) zákona, na druhou stranu je systematicky zařazeno
do hlavy druhé zákona, jež upravuje práva a povinnosti související se zpracováním osobních
údajů, mimo jiné i taková, která zákonodárce do výčtu ust. §4 písm. e) pojal
(“shromažďování”; “uchovávání”).
Dle důvodové zprávy k §13 vládního návrhu zákona o ochraně osobních údajů
se tímto ustanovením upravují obecné povinnosti pro všechny správce, pokud se týče zajištění
ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit,
se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněnému
i nahodilému přístupu, zpracování a zneužívání /využívání/ osobních údajů. Údaje musí být
chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí
do styku, tak např. vůči tzv. průnikářům (hackerům)… Důvodová zpráva tak sice vysvětluje,
jaká opatření je zapotřebí přijmout, aby správce (zpracovatel) dostál své povinnosti uložené
mu ustanovením §13 zákona, řešení terminologického problému výkladu a aplikace
předmětného ustanovení zákona však nepřináší. Za významnou nicméně v této souvislosti
Nejvyšší správní soud považuje skutečnost, že jak důvodová zpráva, tak i zákon sám, včetně
jeho názvu užívají shodně slovních spojení „ochrana osobních údajů“ a „zabezpečení
osobních údajů“.
Vzhledem k tomu, že zákon č. 101/2000 Sb. je svou podstatou implementací směrnice
ES/95/46 do právního řádu České republiky, vycházel Nejvyšší správní soud při hledání
odpovědi na výše položenou výkladovou otázku zejména z jejího znění. Jelikož je směrnice
jako pramen evropského práva závazná, pokud jde o výsledek, jehož má být dosaženo, resp.
váže členský stát ve vztahu ke svému cíli, zatímco formy a prostředky ponechává na volbě
členského státu, zaměřil se Nejvyšší správní soud primárně na účel takto implementované
právní úpravy. Podle rozsudku Evropského soudního dvora ve věci 14/83, Sabine von Colson
and Elisabeth Kamann v Land Nordrhein-Westfalen [1984] ECR 1891, bod 26. je národní
soud při aplikaci práva členského státu, a obzvláště při aplikaci ustanovení zákona, jenž byl
přijat za účelem implementace směrnice, povinen vykládat takový zákon ve světle
pojmosloví(dikce) a účelu směrnice. Jak již Nejvyšší správní soud judikoval, toto pravidlo
se vztahuje i na případy, kdy se posuzují skutkové okolnosti, k nimž došlo před vstupem České
republiky do Evropské unie, a rozhodným právem je právo tehdy účinné. I pak je nutno
ustanovení českého právního předpisu, přijatého nepochybně za účelem sbližování českého
práva s právem Evropských společenství a majícího svůj předobraz v právní normě obsažené
v právu Evropských společenství, vykládat konformně s touto normou (podle rozsudku ze dne
29. 9. 2005, čj. 2 Afs 92/2005-45; publikováno ve Sbírce rozhodnutí Nejvyššího správního
soudu pod č. 741/2006).
Směrnice ES/95/46, jejíž název zní o ochraně jednotlivců ve vztahu ke zpracování
osobních dat a o volném pohybu těchto dat, zakotvuje ve svém článku 1 povinnost členských
států zajistit ochranu základních svobod a práv fyzických osob, zejména jejich soukromí v
souvislosti se zpracováním osobních údajů. Podle úvodního ustanovení odst. 46 směrnice
vyžaduje ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů,
aby byla přijata odpovídající technická a organizační opatření, a to jak při přípravě
zpracování, tak při jeho provádění, zejména za účelem zajištění bezpečnosti a zabránění
jakémukoli nepovolenému zpracování; tato opatření musí zajistit úroveň bezpečnosti
odpovídající stavu technického rozvoje a nákladům na jejich zavedení a zároveň přiměřenou
rizikům takového zpracování a povaze údajů, které mají být chráněny. Článek 17 směrnice,
pojmenovaný Bezpečnost zpracování pak říká, že správce je povinen přijmout odpovídající
technická a organizační opatření tak, aby nemohlo dojít k nahodilému nebo neoprávněnému
zničení osobních údajů, jejich ztrátě, změně či neoprávněnému přístupu, zejména tam, kde
zpracování zahrnuje přenos dat prostřednictvím sítě, a proti jakýmkoli jiným způsobům
neoprávněného zpracování.
Přestože zákon č. 101/2000 Sb. ve znění účinném v době rozhodování správních
orgánů výslovné, se směrnicí konformní označení účelu neobsahoval (doplněno zákonem
č. 439/2004 Sb.) a i v současnosti se nadále drží slovních spojení ochrana osobních
údajů, resp. zabezpečení osobních údajů, je z výše uvedeného zřejmé, že jeho účelem,
shodným s cíly směrnice, byla od počátku jednoznačně ochrana jednotlivců v souvislosti
se zpracováním jejich osobních údajů. Za tímto účelem jsou pak správci ukládány povinnosti
při zabezpečení zpracování těchto údajů. Zabezpečeno tedy má být jakékoli nakládání
s osobními údaji zahrnované pod pojem zpracování (“processing“). Bezpečné zpracování
osobních údajů má pak nutně za následek jednak bezpečnost dat samých (následek jaksi
samozřejmý), především však zajišťuje ochranu subjektů těchto údajů, resp. jejich soukromí,
tzn. primární účel právní úpravy. Nejvyšší správní soud proto uzavírá, že s ohledem na znění
směrnice, jakož i současné znění ust. §1 zákona byla a je cílem právní úpravy v této oblasti
ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu
před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních
údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů
samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování.
Z dikce směrnice tedy vyplývá, že zabezpečení osobních údajů ve smyslu ust. §13
zákona č. 101/2000 Sb. není jednou z činností zahrnovaných pod pojem zpracování osobních
údajů, demonstrativně vypočtených v ust. §4 písm. e) cit. zákona. Tyto termíny označují
aktivity druhově odlišné, které jsou nicméně ve vzájemném, pro správce (zpracovatele)
osobních údajů velmi podstatném vztahu, kdy povinnost zabezpečení dopadá na veškeré
úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné
provádění). Ust. §47 odst. 2 a 3 zákona se tudíž na povinnost podle jeho §13 nevztahují.
Byť je odpověď na první položenou otázku záporná, považuje Nejvyšší správní
soud za vhodné vyjádřit se rovněž k otázce druhé, tj. k tomu, jakých případů se tedy ust. §47
odst. 2 a 3 zákona týkají, a v dalším textu tak proto činí.
Změna ust. §47 odst. 2 a doplnění ust. §47 odst. 3 byly včleněny do zákona
č. 101/2000 Sb. zákonem č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon
č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů. Jelikož jsou tyto zřejmě
bez vztahu k ostatním konkrétním změnám, které pro správce (zpracovatele) z novely
vyplývají, nebylo úmyslem zákonodárce v daném případě zjevně nic jiného, než prodloužit
již původním zněním zákona upravené přechodné období a nově zavést beztrestnost porušení
povinností nově vzniklých pro správce a zpracovatele osobních údajů v důsledku přijetí
zákona č. 101/2000 Sb. Vztah je zde tedy jednoznačně mezi povinnostmi vyplývajícími
ze zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech a zákonem
č. 101/2000 Sb., o ochraně osobních údajů, kdy posléze uvedený zákon rozsah povinností
souvisejících se zpracováním osobních údajů (dříve provozováním informačního systému)
značně rozšiřuje. Přechodné období beztrestnosti porušení povinností vyplývajících ze zákona
č. 101/2000 Sb. se pak nutně vztahuje pouze na povinnosti nově stanovené zákonem
č. 101/2000 Sb. ve srovnání se zákonem č. 256/1992 Sb, jak správně uzavřely soud i žalovaný
správní orgán. Jedná se zejména o povinnosti vyplývající z ustanovení §10, §11 odst. 2
(poučovací povinnost ve vztahu k subjektům údajů) a odst. 6, §16 a §19 (oznamovací
povinnost vůči Úřadu) zákona.
Námitka stěžovatelky, že Úřadem byla sankcionována povinnost uložená podle
zákona v době rozhodování správního orgánu již derogovaného a závěr soudu je tudíž v tomto
ohledu v rozporu se zákazem retroaktivity, není důvodná. Městský soud v Praze v dané
souvislosti pouze konstatoval, že povinnost podle ust. §13 zákona již byla zahrnuta
i do předcházející právní úpravy v ust. §17 písm. i) a že se tedy nejedná o povinnost, kterou
by stěžovatelka za účinnosti zákona č. 256/1992 Sb. neměla. Bez ohledu na dezinterpretaci
názoru Městského soudu v Praze stěžovatelkou však Úřad v daném případě prokazatelně
rozhodoval podle zákona č. 101/2000 Sb. a ve výroku svého rozhodnutí konstatuje porušení
ust. §13 tohoto zákona, za které ve smyslu jeho ust. §46 odst. 1 v tehdy platném znění uložil
pokutu ve výši 3 000 000 Kč. Úřad tedy v žádném případě svým rozhodnutím nezaložil
zpětnou účinnost zákona č. 256/1992 Sb., neboť podle tohoto zákona nerozhodoval.
K tvrzené protiústavnosti názoru soudu, podle něhož existují určité standardy
bezpečnostních opatření, které lze při ochraně osobních údajů realizovat, aniž by musely být
výslovně stanoveny zákonem, Nejvyšší správní soud uvádí, že právní názor Městského soudu
v Praze sdílí a na podporu tohoto názoru odkazuje na výše citovanou důvodovou zprávu
k ust. §13 zákona, kde se mimo jiné říká, že opatřeními, která je správce povinen učinit,
se rozumí opatření technická, organizační, právní a jiná. Zákonodárce tak do textu důvodové
zprávy v podstatě zahrnul část znění čl. 17 směrnice (rovněž viz výše), kterou zřejmě
neshledal nezbytnou při formulaci ust. §13 zákona, a tuto ještě doplnil o opatření právní
a jiná. Jisté skouposti zákonodárce při formulaci tohoto ustanovení zákona ve srovnání
s textem směrnice lze jistě litovat a Nejvyšší správní soud připouští, že užitá dikce klade
na správce a zpracovatele v jistém smyslu vyšší nároky, když způsob a prostředky
zabezpečení osobních údajů ponechává na jednu stranu jejich vlastní úvaze, na druhou stranu
za nesplnění předmětné povinnosti hrozí poměrně vysokými sankcemi. Nelze však akceptovat
směr, kterým se ubírá argumentace stěžovatelky, neboť tento by v konečném důsledku vedl
k nepoužitelnosti ust. §13 zákona jako celku. V tomto bodu lze poukázat na publikaci
PhDr. Miroslavy Matoušové, Osobní údaje a jejich ochrana. Povinnosti správce
při zpracování; ASPI Publishing; 2003, kde autorka uvádí, že ke každé technologii existuje
soubor bezpečnostních opatření považovaný za standard… Obecně využitelné jsou
mezinárodní technické normy (např. ISO/IEC 17799:2000 Information Technology – Code of
Practice of Information Security Management), z nichž řada byla vydána jako české technické
normy (např. ČSN ISO/IEC TR 13335 Informační technologie – Směrnice pro řízení
bezpečnosti IT 1 – 3). Nejvyšší správní soud tak uzavírá, že výklad Městského soudu v Praze
je zcela legitimní, neboť obecná formulace ust. §13 zákona nutně předpokládá přijetí
naprosto konkrétních opatření organizačních a technických, kdy „standard“ by měl
představovat jakési nutné minimum. Nejvyšší správní soud považuje v této souvislosti rovněž
za významné, že po incidentu s odcizením zálohovacího zařízení přijala stěžovatelka
množství opatření, kterými se snažila zabránit možnému opakování podobných událostí
(zavedení kontroly režimu vstupu do budov společnosti; evidence přidělování klíčů; evidence
vstupu osob do servroven; etc.), a výše naříkaná skromnost formulace ust. §13 zákona
jí v tom nijak nebránila. Předmětnou námitku je tudíž na místě posoudit také jako účelovou.
Výše uvedené lze vztáhnout rovněž na tvrzení stěžovatelky o tom, že byla v dobré víře
o splnění své povinnosti podle ust. §13 zákona, neboť zajistila-li střežení objektu
bezpečnostní agenturou. O formálnosti této „ostrahy“ pojednává správní spis dostatečně.
Co se týká námitky neúměrnosti výše uložené pokuty, ztotožňuje se Nejvyšší správní
soud s odůvodněním napadeného rozsudku, jakož i obou rozhodnutí správního orgánu. Má-li
pokuta naplnit vedle své penalizační funkce i úlohu preventivní, musí mít postih sílu odradit
od nezákonného postupu i jiné nositele stejných zákonných povinností; tento účinek pak může
vyvolat jen postih odpovídající významu chráněného zájmu, včas a věcně správně vyvozený.
Jde-li o finanční postih, musí být znatelný v majetkové sféře delikventa, tedy být nikoli
pro něho zanedbatelný, a nutně tak musí v sobě obsahovat i represivní složku. V opačném
případě by totiž postih delikventa smysl postrádal. Moderační právo soudu upravené v §78
odst. 2 s. ř. s., tj. možnost upustit od potrestání či snížení postihu, má proto místo toliko tam,
kde jde o postih zjevně nepřiměřený (podle rozsudku Městského soudu v Praze ze dne
16. 11. 2004, č. j. 10 Ca 250/2003 - 48; publikováno ve sbírce rozhodnutí Nejvyššího
správního soudu pod č. 560/2005). Nejvyšší správní soud stanovenou výši pokuty zjevně
nepřiměřenou neshledal.
K opakované námitce zkrácení na procesních právech stěžovatelky tím, že jejímu
zástupci nebylo dne 2. 5. 2002 umožněno nahlédnutí do spisu, Nejvyšší správní soud uvádí,
že bylo pouze na rozhodnutí stěžovatelky, zda podá své vyjádření k oznámení o zahájení
správního řízení hned 3. 5. 2002, nebo využije možnosti nahlédnout do spisu v jiném termínu
do 17. 5. 2002 (konec prodloužené lhůty) tak, aby ve svém vyjádření mohla na případné nové
poznatky reagovat. Stěžovatelka se rozhodla pro první variantu. Z protokolu o ústním jednání
ze dne 5. 6. 2002 pak vyplývá, že zástupce stěžovatelky využil svého práva nahlédnout
do spisu ve dnech 16. a 20. 5. 2002, jakož i že byla stěžovatelka vyzvána, aby předložila další
důkazy, případně se ke spisu vyjádřila. Těchto svých práv využila. Ze samotné skutečnosti,
že zástupci stěžovatelky nebylo dne 2. 5. 2002 z objektivních důvodů (viz odůvodnění
rozhodnutí o rozkladu) umožněno, aby nahlédl do spisu, proto nelze usoudit na porušení
práva stěžovatelky na řádný proces. Co se nakonec týká námitky podjatosti předsedy Úřadu,
ztotožňuje se Nejvyšší správní soud se závěrem soudu potud, že v daném případě nejsou
splněny podmínky vyloučení z projednávání a rozhodování věci tak, jak je upravuje ust. §9
správního řádu. Předseda Úřadu pro ochranu osobních údajů je do funkce jmenován
prezidentem a jeho postavení předsedy nezávislého úřadu je obdobné postavení ministra.
Podle judikatury správních soudů námitka podjatosti ministra nepřichází v úvahu, neboť jeho
postavení v řízení o rozkladu je výlučné a nezastupitelné (podle rozsudku Vrchního soudu
v Praze ze dne 28. 2. 2002, č. j. 7 A 138/99 - 38). Dle názoru Nejvyššího správního soudu pak
z úryvků novinového článku citovaných stěžovatelkou v žalobě proti druhoinstančnímu
rozhodnutí správního orgánu obecně nevyplývá zaujatost předsedy Úřadu vůči stěžovatelce.
Lze jí nicméně přisvědčit, že větou bude to precedenční rozhodnutí, takže musíme stanovit
laťku výše pokut, předseda Úřadu nepřímo předjímá, že bude v daném případě porušení
povinnosti shledáno. (Věta, podle níž úřad rozhodl, že bude sankcionovat Komerční
pojišťovnu kvůli loňské krádeži dat…, je formulována autorkou článku, nikoli předsedou
Úřadu.) Ze samotné skutečnosti, že pracovníci Úřadu rozhodli, že se na tento případ
nevztahuje ochranná lhůta…, jakož ani z ostatních stěžovatelkou citovaných výroků, však
žádné předsudky předsedy Úřadu nevyplývají. Jak správně uvádí Městský soud v Praze,
podání základních obecných informací o probíhajícím řízení předpokládá zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Svou roli konečně bezesporu sehrál i způsob, jakým
byl podaný rozhovor zpracován do finální podoby novinového článku. Nejvyšší správní soud
proto uzavírá, že byť lze způsob (předčasnost) podání informací předsedou Úřadu posoudit
snad jako neprofesionální, nelze z něj – v důsledku jedné nevhodně formulované věty –
usoudit na zaujatost Úřadu či jeho předsedy vůči stěžovatelce, zejména s ohledem na jinak
objektivní způsob, jakým bylo celé správní řízení vedeno, jakož i kvalifikovaná správní
rozhodnutí, která byla jeho výsledkem.
Ze všech shora uvedených důvodů dospěl Nejvyšší správní soud k závěru, že rozsudek
Městského soudu v Praze netrpí vadou podle ustanovení §103 odst. 1 písm. a) s. ř. s.
a kasační stížnost proto podle §110 odst. 1 s. ř. s. jako nedůvodnou zamítl.
Stěžovatelka neměla ve věci úspěch, nemá proto právo na náhradu nákladů řízení
o kasační stížnosti ze zákona (§60 odst. 1 ve spojení s §120 s. ř. s.). Žalovaný měl ve věci
úspěch, nevznikly mu však náklady řízení o kasační stížnosti přesahující rámec jeho běžné
úřední činnosti. Soud mu proto právo na náhradu nákladů řízení nepřiznal (§60 odst. 1
ve spojení s §120 s. ř. s.).
Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné (§53 odst. 3
s. ř. s.).
V Brně dne 10. května 2006
JUDr. Jaroslav Vlašín
předseda senátu