ECLI:CZ:NSS:2019:4.AS.140.2019:27
sp. zn. 4 As 140/2019 - 27
ROZSUDEK
Nejvyšší správní soud rozhodl v senátě složeném z předsedy Mgr. Aleše
Roztočila a soudců JUDr. Jiřího Pally a Mgr. Petry Weissové v právní věci žalobkyně:
Česká republika - Ministerstvo vnitra, se sídlem Nad Štolou 936/3, Praha 7,
proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27,
Praha 7, proti rozhodnutí předsedkyně žalovaného ze dne 28. 1. 2016, č. j. UOOU-10090/15-15,
v řízení o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 5. 3. 2019,
č. j. 10 A 52/2016 - 49,
takto:
I. Kasační stížnost se zamí t á.
II. Žádný z účastníků n emá právo na náhradu nákladů řízení o kasační stížnosti.
Odůvodnění:
I. Dosavadní průběh řízení
[1] Žalobkyně se žalobou u Městského soudu v Praze domáhala přezkoumání v záhlaví
označeného rozhodnutí předsedkyně žalovaného. Podle prvostupňového rozhodnutí žalovaného
ze dne 19. 11. 2015, č. j. UOOU-10090/15-7, se žalobkyně dopustila správního deliktu podle
§45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů, neboť nepřijala nebo neprovedla opatření pro zajištění bezpečnosti zpracování osobních
údajů. Toho se měla žalobkyně konkrétně dopustit tím, že nezajistila, aby nedošlo
k neoprávněnému přístupu do registru obyvatel ze strany Českého rozhlasu (od června 2013
do října 2014) a České televize (od září 2014 do října 2014). Za tento delikt byla žalobkyni
uložena prvostupňovým rozhodnutím pokuta podle §45 odst. 3 zákona o ochraně osobních
údajů ve výši 700.000 Kč, která byla napadeným rozhodnutím následně snížena na částku
500.000 Kč.
[2] Městský soud žalobu zamítl. Konstatoval, že zákon o rozhlasových a televizních poplatcích
v relevantním znění sice zmocňoval oba poskytovatele k získávání vymezených údajů
o poplatnících za účelem správy evidence poplatníků a vymáhání dlužných poplatků, avšak pouze
od dodavatelů elektřiny, nikoliv přístupem k údajům prostřednictvím registru obyvatel. Soud
tedy nepřisvědčil tvrzení žalobkyně, že poskytovatelé vysílání měli mít pro účely vymáhání
poplatků oprávnění ke vstupu do registru obyvatel, a to ještě před novelou zákona
o rozhlasových a televizních poplatcích.
[3] Městský soud zdůraznil, že s ohledem na obsah §13 odst. 1 zákona o ochraně osobních
údajů, kterým je povinnost přijmout a provést bezpečnostní opatření, dojde k porušení
této povinnosti již tím, že vznikne stav, kdy jsou zpracovávané osobní údaje určitým způsobem
ohroženy v důsledku absence vhodných opatření nebo nedůsledného provedení těchto opatření
v praxi. K naplnění příslušné skutkové podstaty správního deliktu tedy postačí vznik určitého
rizika, přestože ke ztrátě, zničení či zneužití dat zatím nedošlo anebo dokonce ani nikdy nedojde.
Jednáním žalobkyně, jímž byl umožněn neoprávněný přístup k údajům v registru osob Českému
rozhlasu (v cca 70.000 případech) a České televizi (cca v 250 případech), přitom došlo k velmi
závažnému poškození zákonem chráněného zájmu na ochraně osobních údajů.
[4] Nedůvodnou shledal městský soud také námitku, že nebyla zachována totožnost skutku,
resp. předmětu řízení. Z oznámení o zahájení správního řízení ze dne 21. 9. 2015 je zřejmé,
jaký správní orgán rozhodnutí činí (Úřad pro ochranu osobních údajů), je zde vylíčen skutek,
který je důvodem pro zahájení řízení (žalobkyně nezajistila, aby nedošlo k neoprávněnému
přístupu do registru obyvatel), včetně časového rozsahu, a taktéž důvod, proč je řízení
zahajováno [podezření ze spáchání správního deliktu podle §45 odst. 1 písm. h) zákona
o ochraně osobních údajů, kterým mělo dojít k porušení povinnosti stanovené v §13 odst. 1
zákona o ochraně osobních údajů].
[5] Městský soud nepřisvědčil žalobkyni, že se předmět řízení, pokud jde o vymezení jednání
v oznámení o zahájení řízení, podstatným způsobem lišil od předmětu, za který jí byla uložena
sankce, a že by po celou dobu řízení nebylo zřejmé, jaké skutkové podstaty a jakého jednáním
se žalobkyně dopustila. Stejně tak se nelze ztotožnit s námitkou žalobkyně, že došlo k pozměnění
kvalifikace skutku. Z oznámení o zahájení správního řízení i z prvostupňového rozhodnutí
je naopak zcela zřejmé, že po celou dobu byl správní delikt kvalifikován podle §45 odst. 1
písm. h) zákona o ochraně osobních údajů, kterým mělo dojít k porušení povinnosti stanovené
v §13 odst. 1 zákona o ochraně osobních údajů.
[6] Na závěr městský soud konstatoval, že prvostupňové rozhodnutí obsahuje všechny
zákonné náležitosti, kdy ve výroku rozhodnutí je uveden náležitý popis skutku uvedením místa,
času a způsobu spáchání i uvedením jiných skutečností, jichž je třeba k tomu, aby nemohl
být zaměněn s jiným, a to zcela ve smyslu rozsudku rozšířeného senátu NSS ze dne 15. 1. 2008,
č. j. 2 As 34/2006 - 73, na nějž odkázala žalobkyně, neboť jednání žalobkyně podřazené
pod skutkovou podstatu správního deliktu je nezaměnitelné s jiným.
II. Kasační stížnost a vyjádření žalovaného
[7] Žalobkyně (stěžovatelka) napadla rozsudek městského soudu kasační stížností.
[8] Podle stěžovatelky městský soud nesprávně a v rozporu s judikaturou Nejvyššího
správního soudu aplikoval zákon o ochraně osobních údajů namísto nově účinného nařízení
Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob
v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („GDPR“).
Nezohlednil také zákon č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. Tím svůj
rozsudek zatížil nezákonností spočívající v nesprávném posouzení právní otázky. Městský soud
rovněž svůj rozsudek v souladu s ustálenou judikaturou přezkoumatelným způsobem
neodůvodnil, zejména stran poměru dříve a později platné právní úpravy, která se změnila
v oblasti ochrany osobních údajů i správního trestání, a zatížil tak řízení vadou, která by mohla
mít za následek nezákonné rozhodnutí.
[9] Stěžovatelka namítá, že GDPR klade na správce osobních údajů mírnější nároky než zákon
o ochraně osobních údajů, a soud je měl proto zohlednit jako právní úpravu pro stěžovatelku
příznivější. Konkrétně nebyla zohledněna přímo aplikovatelná ustanovení čl. 24 a čl. 32 GDPR,
stanovující povinnosti správce osobních údajů mírněji, resp. diferencovaněji, v porovnání
s absolutně pojatým §13 odst. 1 zákona o ochraně osobních údajů. Zatímco §13 odst. 1 zákona
o ochraně osobních údajů klade na správce v podstatě absolutní nároky bez výjimky (srov. slova
„aby nemohlo dojít“), nově účinné články 24 a 32 GDPR požadují „vhodná opatření“,
resp. „vhodnou úroveň bezpečnosti“, a zohledňují primárně rizikovost zpracování, s odkazem
na širokou škálu kritérií, z čehož plyne i odstupňování požadavků na správce, a to i s ohledem
na náklady a technologické možnosti, v důsledku čehož jde o úpravu příznivější. O příznivější
úpravu jde také proto, že hlavní rizika použitá podle čl. 32 odst. 2 GDPR k posouzení „vhodné
úrovně bezpečnosti“ představují užší výčet, než situace, ke kterým „nesmí dojít“ podle §13
odst. 1 zákona o ochraně osobních údajů, zejména protože čl. 32 odst. 2 GDPR nezahrnuje
jakékoli neoprávněné zpracování nebo jiné zneužití osobních údajů.
[10] Soud se nevypořádal ani se změnami v oblasti národní úpravy správního trestání (zákon
č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich), která nově stanovuje
mj. podmínky vzniku a zániku odpovědnosti za přestupek nebo kritéria pro ukládání trestu.
Stěžovatelka zde odkazuje na rozsudek NSS ze dne 27. 10. 2004, č. j. 6 A 126/2002 - 27, který
kvalifikuje jako nepřezkoumatelné takové rozhodnutí, které se nevypořádá s otázkou porovnání
staré a nové úpravy stran její příznivosti pro obviněného, ač v projednávané věci doznala změn
jak úprava ochrany osobních údajů, tak správního trestání jako celku.
[11] Městský soud se z pohledu stěžovatelky dále nevypořádal ani s námitkou formalismu
rozhodnutí žalovaného. Soud opomenul námitku absence zásahu do práva na informační
sebeurčení, pokud je poplatník povinen požadované osobní údaje sám poskytnout a strpět jejich
zpracovávání (z důvodu plnění právní povinnosti, potažmo plnění úkolu ve veřejném zájmu).
[12] Při hodnocení závažnosti tvrzeného pochybení dále nebyla zohledněna míra rizika
pro subjekty osobních údajů, resp. rizikovost zpracování, pokud jsou tyto zpracovávány orgány
veřejné moci, potažmo veřejnými subjekty plnícími funkce státu, kde je riziko zneužití nízké.
Nejde o předání osobních údajů např. soukromým subjektům pro komerční využití,
ale o zpracování pro účely vymáhání kvazi-daňové povinnosti.
[13] Konečně stěžovatelka nesouhlasí se způsobem, jakým městský soud vyhodnotil námitky
proti porušení procesních práv účastníka. Nesouhlasí se závěrem, že změny předmětu řízení
či jeho rozšiřování, a to bez jakéhokoliv vyrozumění či možnosti včasného vyjádření,
byly nevýznamné a stěžovatelka jimi nebyla nijak zkrácena na svých právech.
[14] Dále nelze tvrdit, že pro zachování totožnosti skutku a přesnost jeho kvalifikace postačuje
odkaz na obecné (navíc alternativní) zákonné ustanovení anebo citace demonstrativního výčtu
skutkových podstat. To neplatí v tzv. „velkém“ trestním právu, ani ve správním trestání.
V soudním i správním trestání může být delikt porušující či ohrožující tentýž objekt spáchán
různými jednáními, která jsou rozdílně kvalifikována (srovnej např. trestný čin dle §354 trestního
zákoníku nebo přestupek dle §7 zákona č. 251/2016 Sb., o některých přestupcích), a nestačí
odkaz na objekt deliktu nebo na soubor skutkových podstat.
[15] Žalovaný ve vyjádření ke kasační stížnosti uvedl, že nesouhlasí s názorem stěžovatelky,
podle něhož GDPR představuje pro stěžovatelku příznivější úpravu. Především je nutno
připomenout, že čl. 32 GDPR představující jistý ekvivalent §13 zákona o ochraně osobních
údajů ukládá správci s přihlédnutím mj. k povaze, rozsahu a účelům zpracování zajistit úroveň
zabezpečení odpovídající danému riziku, případně včetně schopnosti zajistit neustálou důvěrnost,
integritu, dostupnost a odolnost systémů a služeb zpracování. Z dikce čl. 32 GDPR
tedy lze vyvodit v zásadě totéž, co z §13 zákona o ochraně osobních údajů. Pro případ porušení
čl. 32 GDPR pak hrozí pokuta až do výše 10.000.000 EUR.
[16] Žalovaný dále uvádí, že řízení vedl ještě před datem použitelnosti GDPR. Dále zdůrazňuje,
že §62 odst. 5 zákona č. 110/2019 Sb., o zpracování osobních údajů, který by v posuzovaném
případě ve spojení s čl. 83 odst. 7 GDPR vedl k upuštění od uložení správního trestu, nabyl
účinnosti až dne 24. dubna 2019, tedy až v průběhu řízení o kasační stížnosti. Podle usnesení
rozšířeného senátu NSS ze dne 16. 11. 2016, č. j. 5 As 104/2013 - 46, se přitom povinnost
zohlednit příznivější právní úpravu v souladu s čl. 40 odst. 6 Listiny základních práv a svobod
(Listina) vztahuje výhradně na řízení před správním orgánem a krajským soudem. Žalovaný proto
navrhuje kasační stížnost zamítnout.
III. Posouzení kasační stížnosti
[17] Nejvyšší správní soud nejprve posoudil zákonné náležitosti kasační stížnosti a konstatoval,
že kasační stížnost byla podána včas, osobou oprávněnou, proti rozhodnutí, proti němuž
je kasační stížnost ve smyslu §102 s. ř. s. přípustná, a stěžovatelka je v souladu s §105 odst. 2
s. ř. s. zastoupena osobou s vysokoškolským právnickým vzděláním. Poté Nejvyšší správní soud
přezkoumal důvodnost kasační stížnosti v souladu s §109 odst. 3 a 4 s. ř. s., v mezích jejího
rozsahu a uplatněných důvodů.
[18] Kasační stížnost není důvodná.
[19] Stěžovatelka namítala, že městský soud nepřihlédl k nové, pro stěžovatelku příznivější,
právní úpravě, obsažené v přímo aplikovatelném nařízení GDPR. Konkrétně nebyla zohledněna
přímo aplikovatelná ustanovení čl. 24 a čl. 32 GDPR, stanovující povinnosti správce osobních
údajů mírněji, resp. diferenciovaněji, v porovnání s absolutně pojatým §13 odst. 1 zákona
o ochraně osobních údajů.
[20] Podle usnesení rozšířeného senátu ze dne 16. 11. 2016, č. j. 5 As 104/2013 - 46,
„[r]ozhoduje-li krajský soud ve správním soudnictví o žalobě proti rozhodnutí správního orgánu, kterým
bylo rozhodnuto o vině a trestu za správní delikt v situaci, kdy zákon, kterého bylo použito, byl po právní moci
správního rozhodnutí změněn nebo zrušen, je povinen přihlédnout k zásadě vyjádřené ve větě druhé čl. 40 odst. 6
Listiny základních práv a svobod, podle níž se trestnost činu posoudí a trest ukládá podle právní úpravy, která
nabyla účinnosti až poté, kdy byl trestný čin spáchán, je-li to pro pachatele příznivější.“ Nejvyšší správní soud
zde navázal na závěry z rozsudku ze dne 27. 10. 2004, č. j. 6 A 126/2002 - 27, kde se uvádí,
že „nelze trestat podle práva starého v době účinnosti práva nového, jestliže nová právní úprava konkrétní
skutkovou podstatu nepřevzala; analogicky to platí i tehdy, jestliže nová úprava stanoví mírnější sankce za stejné
jednání.“
[21] Ustanovení §13 odst. 1 zákona o ochraně osobních údajů stanoví, že [s]právce a zpracovatel
jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním
údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování,
jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
[22] Čl. 24 GDPR stanoví, že [s] přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě
pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická
a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.
Tato opatření musí být podle potřeby revidována a aktualizována.
[23] Dle čl. 32 GDPR, [s] přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu,
kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody
fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň
zabezpečení odpovídající danému riziku, přičemž dále uvádí demonstrativní výčet způsobů
zabezpečení.
[24] Čl. 32 odst. 2 GDPR předepisuje, že [p]ři posuzování vhodné úrovně bezpečnosti se zohlední zejména
rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování,
neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný
přístup k nim.
[25] Nejvyšší správní soud konstatuje, že citovaná ustanovení GDPR nelze vykládat
jako pro stěžovatelku příznivější právní úpravu oproti §13 odst. 1 zákona o ochraně osobních
údajů. Co se týče čl. 24 nařízení, toto ustanovení nepředstavuje samostatnou skutkovou podstatu,
pro jejíž porušení by GDPR stanovilo sankci. Srovnání s porušením povinnosti stanovené v §13
odst. 1 zákona o ochraně osobních údajů proto není na místě.
[26] Rozdíl ve formulaci §13 odst. 1 zákona o ochraně osobních údajů a čl. 32 GDPR
nelze vykládat tak, že §13 odst. 1 stanoví „absolutistický“ požadavek na zabezpečení osobních
údajů oproti čl. 24 a čl. 32, které hovoří o „vhodných opatřeních“ a „vhodné úrovni
bezpečnosti.“ Ustanovení GDPR pouze výslovně konkretizují hlediska, ke kterým muselo
být přihlíženo i při posuzování přijatých opatření podle §13 odst. 1 zákona o ochraně osobních
údajů, což ostatně vyplývá také z §13 odst. 3, který uvádí rizika, ke kterým je v rámci opatření
podle odst. 1 třeba přihlížet. Určité formulační rozdíly ale nelze vykládat tak, že GDPR obsahuje
úpravu pro stěžovatele příznivější. Nelze zejména tyto rozdíly vykládat tak, že oproti zákonu
o ochraně osobních údajů GDPR klade na zpracovatele osobních údajů nižší požadavky.
[27] Je třeba zdůraznit, že §13 odst. 1 zákona o ochraně osobních údajů byl implementací čl. 17
odst. 1 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. 10. 1995 o ochraně
fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů,
kde je uloženo zajistit, aby každý správce osobních údajů byl povinen přijmout taková vhodná
opatření na ochranu osobních údajů, která by byla dostatečně účinná proti neoprávněnému
sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti
jakékoli jiné podobě nedovoleného zpracování. To v napadeném rozsudku konstatoval i městský
soud. I tato okolnost tedy nasvědčuje tomu, že v případě GDPR se nejedná o právní úpravu
pro stěžovatelku příznivější oproti zákonu o ochraně osobních údajů.
[28] Z argumentace stěžovatelky potom nevyplývá nic, co by mohlo vést k závěru,
že její jednání by nepředstavovalo správní delikt podle GDPR, respektive jakým způsobem
by pro ni ustanovení GDPR, na která odkazuje, měla být s ohledem na zjištěný skutkový stav
příznivější.
[29] Nejvyšší správní soud také poukazuje na to, že čl. 5 odst. 1 písm. f) GDPR mezi výčtem
zásad zpracovávání osobních údajů uvádí, že osobní údaje musí být zpracovávány způsobem, který
zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních
opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením
(„integrita a důvěrnost“). Čl. 83 odst. 5 písm. a) GDPR přitom stanoví, že za porušení základních
zásad pro zpracování podle čl. 5 lze uložil správní pokutu až do výše 20.000.000 EUR. Právní
úprava v GDPR by tedy pro stěžovatelku mohla znamenat podstatně přísnější postih, než úprava
obsažená v zákoně o ochraně osobních údajů.
[30] Stěžovatelka dále namítá, že městský soud se opomněl vypořádat s úpravou obsaženou
v zákoně č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich. Nejvyšší správní soud
konstatuje, že městský soud se tímto zákonem v posuzovaném případě skutečně nezabýval,
nicméně stěžovatelka v žalobě nenamítala, že by právní úprava obsažená v tomto zákoně
pro ni byla příznivější, a ani v kasační stížnosti nic takového nenamítá. Skutečnost, že městský
soud se možným příznivějším dopadem aplikace zákona č. 250/2016 Sb., na posuzovanou věc
nezabýval, proto nemůže vést v posuzovaném případě k závěru o nezákonnosti jeho rozsudku.
K odkazu stěžovatelky na rozsudek ze dne 27. 10. 2004, č. j. 6 A 126/2002 - 27, soud konstatuje,
že tento rozsudek deklaroval nezbytnost porovnání právních úprav správního trestání v řízení
před správními orgány, nikoliv před správními soudy. Lze navíc poukázat i na rozsudek NSS
ze dne 28. 6. 2018, čj. 4 As 114/2018 - 49, kde se uvádí: „zásada použití pozdější příznivější právní
úpravy zakotvená v čl. 40 odst. 6 Listiny základních práv a svobod a provedená §7 odst. 1 zákona
o přestupcích, resp. §2 odst. 1 zákona o odpovědnosti za přestupky neznamená, že správní orgán, či soud
je povinen vypracovat rozsáhlý traktát na téma srovnání právní úpravy účinné v době spáchání deliktu a právní
úpravy účinné v době rozhodování správních orgánů. Výhodnost právní úpravy pro pachatele je sice třeba posoudit
komplexně, viz výše zmíněný rozsudek sp. zn. 4 As 96/2018, avšak zároveň s přihlédnutím ke konkrétním
okolnostem případu a námitkám pachatele, tedy nikoli hypoteticky a teoreticky s ohledem na všechny možné
i nemožné okolnosti.“
[31] Pokud stěžovatelka dále odkazuje na „adaptační legislativu“, tj. zákon č. 110/2019 Sb.,
o zpracování osobních údajů, k tomuto zákonu nelze v posuzovaném případě přihlížet, jelikož
nabyl účinnosti až po vydání napadeného rozsudku městského soudu.
[32] Stěžovatelka dále namítala, že žalovaný rozhodoval formalisticky a nesprávně vyhodnotil
okolnosti případu. Poukazuje na to, že přístup veřejnoprávních poskytovatelů televizního
a rozhlasového vysílání nelze hodnotit jako závažné porušení ochrany osobních údajů.
Nebyla zohledněna míra rizika pro subjekty osobních údajů, resp. rizikovost zpracování, pokud
jsou tyto zpracovávány orgány veřejné moci, potažmo veřejnými subjekty plnícími funkce státu,
kde je riziko zneužití nízké. Městský soud měl opomenout i námitku absence zásahu do práva
na informační sebeurčení, pokud je poplatník povinen požadované osobní údaje sám poskytnout
a strpět jejich zpracovávání.
[33] Nejvyšší správní soud nesouhlasí s bagatelizací vytýkaného porušení povinností správce
osobních údajů stěžovatelkou. Předmětem řízení před správními orgány bylo pochybení
stěžovatelky při přijímání opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému
přístupu k osobním údajům nebo jiným způsobům zneužití uvedených v §13 odst. 1 zákona
o ochraně osobních údajů, které je nepochybně závažné i s ohledem na rozsah osobních údajů,
které stěžovatelka zpracovává, aniž by to subjekty osobních údajů mohly jakkoli ovlivnit.
Od stěžovatelky, kterou je Česká republika definovaná v ústavě jako právní stát, je nutno
vyžadovat důslednou ochranu těchto osobních údajů a respektování jejích zákonných povinností.
[34] Totéž potom platí pro námitky, že nebylo zasaženo do práva na informační sebeurčení
osob, k jejichž osobním údajům měly Česká televize a Český rozhlas přístup, a námitku,
že ze strany těchto orgánů je riziko zneužití nízké.
[35] K namítanému formalismu rozhodnutí správních orgánů lze odkázat také na napadené
rozhodnutí žalovaného, který na str. 4 uvedl, že „odvolací orgán shledal v postupu účastníka řízení
hrubou nedbalost při zákonem stanovené kontrole správnosti a oprávnění přístupu subjektů do registru obyvatel.
Jak vyplývá ze shromážděného materiálu a výsledků správního řízení, opomenul účastník řízení v daném případě
provést kontrolu, zda uvedené subjekty mají právní titul pro povolení přístupu do registru obyvatel, přičemž neměl
zaveden ani žádný další kontrolní mechanismus, který by toto pochybení před umožněním přístupu do registru
odhalil…Tím, že účastník řízení neplnil svoji zákonnou povinnost a důsledně nekontroloval oprávnění
jednotlivých orgánů veřejné moci k přístupu do základních registrů, neboť se dle svého vyjádření domníval,
že tak postupovat nemusí, a neměl zaveden ani žádný další kontrolní mechanismus, přispěl k vytvoření krajně
rizikové situace, která vyústila v umožnění přístupu do registru obyvatel dvou neoprávněných subjektů.“
Žalovaný tedy odůvodnil, v čem spatřoval závažnost porušení povinnosti stanovené v §13
odst. 1 zákona o ochraně osobních údajů, a Nejvyšší správní soud proto jeho rozhodnutí
nepovažuje za formalistické.
[36] Nejvyšší správní soud potom nepovažuje za vadu napadeného rozsudku, že městský soud
se výslovně ke všem těmto aspektům nevyjádřil. Jak již ve své judikatuře mnohokrát konstatoval
Nejvyšší správní soud, není povinností krajských soudů reagovat na každou dílčí argumentaci
uvedenou ve správní žalobě. Městský soud podrobně vyložil okolnosti zakládající odpovědnost
stěžovatele za posuzovaný správní delikt a z jeho rozsudku je seznatelné, z jakých důvodů
považoval rozhodnutí žalovaného za souladné se zákonem. Městský soud přitom k okolnostem
svědčícím ve prospěch stěžovatelky přihlédl v úvahách o výši uložené pokuty
(např. k legitimnímu účelu přístupu do registru obyvatel, který oba dotčené subjekty sledovaly),
což považuje Nejvyšší správní soud za adekvátní.
[37] Stěžovatelka nakonec namítala, že městský soud nesprávně posoudil otázku vymezení
předmětu řízení v oznámení o zahájení řízení a výroku rozhodnutí správního orgánu.
Stěžovatelka zde předně namítá, že změny předmětu řízení nelze považovat za nevýznamné,
a tvrdí, že jimi byla zkrácena na svých právech. Totéž namítala k (blíže nespecifikovanému)
rozporu výroku rozhodnutí a jeho odůvodnění.
[38] K tomu Nejvyšší správní soud konstatuje, že argumentace stěžovatelky je v tomto bodě
pouze obecná a nekonkrétní. Nejvyšší správní soud proto pouze odkazuje na odůvodnění
rozsudku městského soudu, který se s namítanými vadami rozhodnutí podrobně vypořádal
a Nejvyšší správní soud v tomto vypořádání nespatřuje žádné pochybení. Je třeba připomenout,
že čím je žalobní bod, popřípadě kasační námitka, obecnější, tím je obecnější jeho vypořádání
soudem. Není úkolem soudů argumentaci účastníka řízení domýšlet.
[39] Stěžovatelka v této souvislosti dále namítala, že ve výroku rozhodnutí o správním deliktu
nepostačuje odkaz na obecné zákonné ustanovení, podle kterého měl být delikt spáchán,
nebo demonstrativní výčet skutkových podstat ve výroku rozhodnutí.
[40] Podle §68 odst. 2 správního řádu platí, že [v]e výrokové části se uvede řešení otázky, která
je předmětem řízení, právní ustanovení, podle nichž bylo rozhodováno, a označení účastníků podle §27 odst. 1.
Účastníci, kteří jsou fyzickými osobami, se označují údaji umožňujícími jejich identifikaci (§18 odst. 2);
účastníci, kteří jsou právnickými osobami, se označují názvem a sídlem. Ve výrokové části se uvede lhůta
ke splnění ukládané povinnosti, popřípadě též jiné údaje potřebné k jejímu řádnému splnění a výrok o vyloučení
odkladného účinku odvolání (§85 odst. 2). Výroková část rozhodnutí může obsahovat jeden nebo více výroků;
výrok může obsahovat vedlejší ustanovení.
[41] Podle rozsudku NSS ze dne 17. 1. 2013, č. j. 8 Afs 17/2012 - 375, popis skutku ve výroku
rozhodnutí musí obsahovat „skutkové okolnosti, které jsou právně významné z hlediska naplnění
jednotlivých znaků skutkové podstaty správního deliktu, který je předmětem řízení. Jinými slovy, musí se jednat
alespoň o natolik podrobný popis, aby byly naplněny požadavky jednoznačné identifikace skutku a srozumitelnosti
tak, aby v popisu skutku byly uvedeny veškeré jeho zákonné znaky příslušné skutkové podstaty,
a aby již z výroku napadeného rozhodnutí vyplývalo, jakým jednáním byl předmětný delikt spáchán.“
[42] Smyslem přesného vymezení skutku ve výroku rozhodnutí, kterým je obviněný uznán
vinným ze spáchání přestupku, je přitom to, aby jeho jednání nebylo zaměnitelné s jiným
jednáním a aby byly řádně vymezeny rozhodné okolnosti z hlediska posouzení překážky
litispendence, dodržení zásady ne bis in idem, překážky věci rozhodnuté, z hlediska vymezení
okruhu dokazování a pro zajištění práva na obhajobu (srov. rozsudky NSS ze dne 8. 1. 2015,
č. j. 9 As 214/2014 - 48, či ze dne 25. 6. 2015, č. j. 9 As 290/2014 - 53).
[43] Žalovaný ve výroku prvostupňového rozhodnutí uvedl, že stěžovatelka jako správce
osobních údajů umožnila Českému rozhlasu a České televizi prostřednictvím nesprávného
nastavení jejich působnosti v registru práv a povinností přístup do registru obyvatel, který
obsahuje jméno, příjmení, datum narození, adresu trvalého pobytu a doručovací adresu,
v důsledku čehož neoprávněně přistupoval k těmto údajům Český rozhlas v době od června 2013
do října 2014 v asi 70.000 případech a Česká televize v době od září 2014 do října 2014 v asi 250
případech. Tím stěžovatelka porušila „povinnost stanovenou v §13 odst. 1 zákona č. 101/2000 Sb.,
tedy povinnost správce přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu
k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému
zpracování, jako i k jinému zneužití osobních údajů, a tím spáchal správní delikt podle §45 odst. 1 písm. h)
zákona č. 101/2000 Sb., neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních
údajů.“
[44] Nejvyšší správní soud konstatuje, že prvostupňové rozhodnutí potvrzené napadeným
rozhodnutím předsedkyně žalovaného obsahuje odkaz na ustanovení, podle nichž
bylo rozhodováno. Ustanovení §13 odst. 1 zákona o ochraně osobních údajů není dále členěno,
a odkaz uvedený ve výroku rozhodnutí je proto ve spojení s odkazem na §45 odst. 1 písm. h)
téhož zákona dostatečně konkrétní. Stěžovatelka v kasační stížnosti poukazuje na srovnání
s ustanoveními §7 zákona č. 251/2016 Sb., o některých přestupcích, a §354 zákona
č. 40/2009 Sb., trestní zákoník. Tato však není na místě srovnávat s §13 odst. 1 zákona
o ochraně osobních údajů, který stanoví určité povinnosti správce a zpracovatele osobních údajů,
ale s §45 zákona o ochraně osobních údajů. Naposledy uvedené ustanovení obsahuje
diferencovaný výčet skutkových podstat správních deliktů, přičemž odkaz na uvedené ustanovení
byl náležitě konkretizován a ve spojení s popisem skutku, kterým byl spáchán delikt,
nelze pochybovat o naplnění zákonných požadavků jednoznačné identifikace skutku
a srozumitelnosti výroku, aby v popisu skutku byly uvedeny veškeré jeho zákonné znaky příslušné
skutkové podstaty, a aby již z výroku napadeného rozhodnutí vyplývalo, jakým jednáním
byl předmětný delikt spáchán. Ani tato námitka proto není důvodná.
IV. Závěr a rozhodnutí o nákladech řízení
[45] Nejvyšší správní soud z výše uvedených důvodů kasační stížnost podle §110 odst. 1 věty
druhé s. ř. s. jako nedůvodnou zamítl.
[46] Zároveň Nejvyšší správní soud rozhodl o nákladech řízení o kasační stížnosti podle §60
odst. 1 s. ř. s. ve spojení s §120 s. ř. s. Stěžovatelka neměla v řízení úspěch, a právo na náhradu
nákladů řízení proto nemá. Procesně úspěšnému žalovanému pak nevznikly v řízení náklady
přesahující rámec nákladů jeho běžné úřední činnosti. Náhrada nákladů řízení se mu proto
nepřiznává.
Poučení: Proti tomuto rozsudku ne j so u opravné prostředky přípustné.
V Brně dne 27. června 2019
Mgr. Aleš Roztočil
předseda senátu