ECLI:CZ:NSS:2012:1.AS.93.2009:273
sp. zn. 1 As 93/2009 - 273
USNESENÍ
Nejvyšší správní soud rozhodl v rozšířeném senátě složeném z předsedy senátu
JUDr. Josefa Baxy a soudců JUDr. Michala Mazance, JUDr. Jakuba Camrdy, JUDr. Elišky
Cihlářové, JUDr. Miluše Doškové, JUDr. Dagmar Nygrínové a JUDr. Jaroslava Vlašína v právní
věci žalobce: T. H., zastoupen Mgr. Annou Větrovskou, advokátkou se sídlem Štěpánská 57,
Praha 1 – Nové Město, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem ulice
Pplk. Sochora 27, Praha 7 – Holešovice, o žalobě proti rozhodnutí předsedy žalovaného ze dne
23. 4. 2008, zn. PRÁV-1589/08-5, v řízení o kasační stížnosti žalobce proti usnesení Městského
soudu v Praze ze dne 19. 9. 2008, čj. 9 Ca 248/2008 – 32,
takto:
I. Podání učiněné podle §21 odst. 3 i odst. 4 zákona č. 101/2000 Sb., o ochraně osobních
údajů, ve znění zákona č. 439/2004 Sb., jímž subjekt osobních údajů žádá Úřad
pro ochranu osobních údajů o uložení opatření k nápravě zpracovateli či správci osobních
údajů, je toliko podnětem k uplatnění dozorčího práva Úřadu.
II. Na výkon dozoru nemá podatel subjektivní právo.
III. Informace Úřadu pro ochranu osobních údajů o způsobu vyřízení uvedeného podnětu
není rozhodnutím ve smyslu §65 s. ř. s., ale toliko sdělením úřadu.
IV. Věc se vrací k projednání a rozhodnutí prvnímu senátu.
Odůvodnění:
I.
Dosavadní průběh řízení
[1] Při dopravní kontrole dne 22. 8. 2007 policista Policie ČR sepsal formulář oznámení
o přestupku žalobce a uvedl do něj rodné číslo žalobce, a to i přes žalobcův výslovný nesouhlas.
Žalobce sepsal proti tomuto postupu stížnost ihned na místě na druhou stranu formuláře.
Druhou stížnost, adresovanou Policii ČR, Správě hlavního města Prahy, podal žalobce dne
9. 11. 2007. V ní upozornil na neoprávněné nakládání s osobními údaji, nevyřízení prvotní
stížnosti a znovu žádal, aby byl vyrozuměn o způsobu vyřízení stížnosti. Dne 12. 11. 2007
se žalobce obrátil na žalovaného s podáním ve věci zpracování osobních údajů Policií ČR.
[2] Žalovaný vyhodnotil podání jako dva samostatné návrhy. Prvním návrhem byl podnět
k zahájení správního řízení o uložení sankce za neoprávněné užívání rodného čísla žalobce
podle §45 zákona č. 101/2000 Sb., o ochraně osobních údajů (dále též jen „zákon“), a §17e
zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech. Tento návrh vyřídil žalovaný
úředním záznamem ze dne 5. 12. 2007, v němž uvedl, že neshledal důvody pro zahájení řízení
z moci úřední. O tom vyrozuměl žalobce přípisem z téhož dne, zn. SPR-6535/07-3.
[3] Druhým návrhem byl návrh na zahájení správního řízení dle §21 odst. 3 a 4 zákona
o ochraně osobních údajů, podle něhož měla být Policii ČR nebo Ministerstvu vnitra uložena
povinnost zlikvidovat údaje o rodném čísle žalobce na všech nosičích informací týkajících se dané
události. Tento návrh žalovaný usnesením ze dne 26. 11. 2007, zn. SPR-6443/07-2, odložil dle
§43 odst. 1 písm. b) správního řádu s tím, že k jeho vyřízení není věcně příslušný žádný správní
orgán. Žalovaný v usnesení dále uvedl, že podání, jímž se subjekt údajů obrací na žalovaného
podle §21 odst. 3 a 4 zákona o ochraně osobních údajů, je vždy jen podnětem k uplatnění
dozorových pravomocí dle §29 odst. 1 písm. a), příp. podnětem k zahájení správního řízení
podle §17 či §42 téhož zákona. Z §21 odst. 3 a 4 zákona o ochraně osobních údajů nevyplývá
pravomoc žalovaného vést řízení, kterým by mohla být správci či zpracovateli osobních údajů
uložena povinnost v souvislosti se zpracováním osobních údajů. Takovou povinnost lze uložit
pouze jako nápravné opatření dle §40 odst. 1 zákona o ochraně osobních údajů.
[4] Rozklad žalobce proti usnesení o odložení věci předseda žalovaného zamítl žalobou
napadeným rozhodnutím. Argumentoval tím, že správci či zpracovateli osobních údajů
lze ukládat povinnosti ve vztahu ke zpracování osobních údajů jen v rámci opatření k nápravě dle
§40 odst. 1 zákona, a to na základě závěrů provedené kontroly. Právo subjektu údajů obrátit
se na žalovaného se svým podezřením na nezákonné zpracování údajů nezakládá povinnost
žalovaného zahájit správní či jiné řízení, ale toliko povinnost došlé podání podle jeho obsahu
posoudit a vyhodnotit, zda opodstatňuje uplatnění některé z pravomocí žalovaného a zahájení
příslušného řízení. O zvoleném postupu a výsledcích žalovaný pouze vyrozumí osobu,
která podala podnět.
[5] Žalobce podal proti rozhodnutí předsedy žalovaného blanketní žalobu k Městskému
soudu v Praze. V ní zároveň požádal o osvobození od soudních poplatků. Městský soud žalobu
odmítl dle §46 odst. 1 písm. a) s. ř. s., aniž by rozhodl o žádosti žalobce o osvobození
od soudních poplatků. V odůvodnění uvedl, že absence jakýchkoliv žalobních bodů představuje
neodstranitelný nedostatek podmínek řízení, který po uplynutí lhůty pro podání žaloby nemůže
být zhojen.
[6] Nejvyšší správní soud kasační stížnost žalobce (dále jen „stěžovatel“) zamítl. Dospěl ale
k závěru, že stěžovatel podal žalobu i její doplnění včas. Lhůta pro podání žaloby totiž v souladu
s §35 odst. 8 s. ř. s. neběží po dobu od podání žádosti o osvobození od soudních poplatků
do právní moci rozhodnutí o této žádosti. Městský soud tedy pochybil, jestliže žalobu odmítl
pro neodstranitelný nedostatek podmínek řízení dle §46 odst. 1 písm. a) s. ř. s.
[7] První senát Nejvyššího správního soudu se nicméně dále zabýval otázkou, zda není dán
některý z dalších důvodů, pro nějž by musel žalobu odmítnout. Pouhá mýlka krajského soudu
v důvodu odmítnutí totiž nezakládá důvod pro kasaci odmítavého usnesení.
[8] Bylo tak třeba především posoudit, zda žalobou napadené rozhodnutí předsedy
žalovaného je rozhodnutím ve smyslu §65 s. ř. s. První senát dospěl k závěru, že podáním
dle §21 odst. 3 či 4 zákona o ochraně osobních údajů (ve znění zákona č. 439/2004 Sb.),
se nezahajuje řízení o žádosti. Podání stěžovatele je třeba považovat pouze za podnět k provedení
kontroly a k uložení nápravných opatření dle §40. Žalovaný se podnětem stěžovatele zabýval
a o svých zjištěních ho v souladu s §29 odst. 1 písm. c) informoval. Žalobou napadené
rozhodnutí je proto úkonem, který nenaplňuje materiální znaky rozhodnutí ve smyslu §65 s. ř. s.,
a je proto vyloučen ze soudního přezkumu [§70 písm. a) s. ř. s.]. Žaloba tedy měla být odmítnuta
dle §46 odst. 1 písm. d) ve spojení s §68 písm. e) s. ř. s.
[9] S ohledem na právě uvedené nahradil první senát důvod pro odmítnutí žaloby a kasační
stížnost zamítl.
[10] Stěžovatel napadl rozsudek Nejvyššího správního soudu ústavní stížností u Ústavního
soudu, který jí nálezem ze dne 16. 11. 2010, sp. zn. I. ÚS 1783/10, vyhověl a rozsudek zrušil.
[11] Ústavní soud vytkl, že se první senát odchýlil od dosavadní judikatury Nejvyššího
správního soudu k otázce charakteru podání podle §21 odst. 3 a 4 zákona o ochraně osobních
údajů, aniž by věc postoupil v souladu s §17 s. ř. s. rozšířenému senátu. Ústavní soud tedy
zavázal první senát pokynem, aby věc buď rozhodl v souladu s dosavadní judikaturou Nejvyššího
správního soudu, nebo ji postoupil rozšířenému senátu, pokud se hodlá od prejudikatury
odchýlit.
[12] První senát poté předložil věc rozšířenému senátu.
II.
Otázka předložená rozšířenému senátu
[13] Rozšířený senát má rozhodnout, zda podání dle §21 odst. 3 a 4 zákona o ochraně
osobních údajů, ve znění zákona č. 439/2004 Sb., jímž subjekt osobních údajů žádá žalovaného
o uložení opatření k nápravě zpracovateli či správci osobních údajů, má za následek zahájení
správního řízení nebo se jedná toliko o podnět k zahájení řízení (či jiného postupu) z moci úřední
a uplatnění dozorových pravomocí žalovaného.
[14] První senát argumentuje tím, že pokud by právě zmíněná ustanovení upravovala
tzv. návrhové správní řízení, vydával by žalovaný i jeho předseda rozhodnutí ve smyslu §65
odst. 1 s. ř. s. Pokud by ovšem podání dle §21 odst. 3 a 4 tohoto zákona adresované žalovanému
bylo pouze podnětem pro zahájení řízení z úřední moci (ex offo), nepředstavovalo by sdělení
žalovaného o tom, že neshledal důvody pro zahájení řízení z moci úřední, rozhodnutí ve smyslu
§65 odst. 1 s. ř. s. Takový úkon by nebyl úkonem, kterým se zakládají, mění, ruší nebo závazně
určují práva nebo povinnosti subjektu, a byl by proto ze soudního přezkumu vyloučen na základě
§70 písm. a) s. ř. s.
[15] K výkladu §21 odst. 1 zákona o ochraně osobních údajů, ve znění před přijetím zákona
č. 439/2004 Sb., se vyjádřil Nejvyšší správní soud v rozsudku ze dne 28. 2. 2007,
čj. 8 Ans 4/2006–68. Osmý senát dospěl k závěru, že „jakkoli to zákon po legislativně technické stránce
řeší málo šťastně - pokud zákon o ochraně osobních údajů v ustanovení §21 odst. 1 dává subjektu údajů
v případě, že bylo neoprávněně nakládáno s jeho osobními údaji, právo obrátit se na Úřad s žádostí o zajištění
opatření k nápravě, spojuje s touto žádostí účinky návrhu na zahájení řízení a koncipuje zde tedy návrhové řízení.
Pokud se někdo obrátí na Úřad s oznámením, že došlo k porušení povinností správcem nebo zpracovatelem
osobních údajů ve vztahu k třetí osobě (s tím, že bylo neoprávněně nakládáno s osobními údaji jiného subjektu
údajů), popř. s obecným oznámením o porušení povinností vyplývajících ze zákona o ochraně osobních údajů, jedná
se pouze o podnět či stížnost ve smyslu §29 odst. 1 písm. c) zákona o ochraně osobních údajů, ve znění účinném
v době podání podnětu stěžovatelem, s nimiž zákon nespojuje účinky návrhu na zahájení řízení, v takovém
případě by se tedy nejednalo o návrhové řízení.“
[16] Zákonodárce novelizoval §21 zákona o ochraně osobních údajů zákonem
č. 439/2004 Sb. s účinností od 26. 7. 2004. Druhý senát Nejvyššího správního soudu rozsudky
ze dne 16. 12. 2008, čj. 2 Ans 8/2008 – 52, 2 Ans 9/2008 – 55 a 2 Ans 10/2008 – 54, plně vztáhl
závěry osmého senátu i na nové znění §21 zákona o ochraně osobních údajů, ve znění účinném
od 26. 7. 2004. Uvedl, že „[n]ovelizované znění §21 z hlediska legislativní techniky nebylo krokem vpřed.
Zákon totiž na straně jedné hovoří o žádosti (§21 odst. 1, 2, 3), na straně druhé hovoří o podnětu (odst. 4).
(…) V posuzovaném případě je ale třeba vyjít z toho, že podnětem míní zákon pouze takovou situaci,
kdy subjekt údajů nevyužije subsidiárně postupu podle §21 odst. 1 zákona o ochraně osobních údajů,
tedy v případech, kdy se nejprve neobrátí na zpracovatele nebo správce. Pokud ovšem subjekt údajů, jak zákon
označuje fyzickou osobu, k níž se osobní údaje vztahují, vyzve nejprve zpracovatele či správce neúspěšně k nápravě,
hovoří již zákon pouze o žádosti a v principu se neliší od znění před uvedenou novelou.“
[17] S tím první senát nesouhlasí. Má za to, že podání subjektu údajů adresované žalovanému
na základě §21 odst. 3 zákona je pouhým podnětem pro výkon dozorové pravomoci žalovaného
stanovené v §29 tohoto zákona, jejíž uplatnění může vyústit v uložení nápravných opatření
zpracovateli osobních údajů. Proto není podání dle §21 odst. 3 uvedeného zákona žádostí, která
by měla za následek zahájení správního řízení.
[18] Dále uvádí, že akt, který stěžovatel napadl, je sice z formálního hlediska rozhodnutím
o odložení věci dle §43 odst. 1 písm. b) správního řádu, které podléhá soudnímu přezkumu,
pokud se týká subjektivních práv žalobce v tom smyslu, že by mohly být založeny, měněny,
rušeny či závazně určeny, pokud by správní orgán rozhodl v souladu s žádostí žalobce
(srov. rozsudek NSS ze dne 18. 3. 2010, čj. 3 Ads 128/2009 – 71). Z obsahového hlediska se však
jedná o sdělení podle §42 správního řádu, které nenaplňuje materiální znaky rozhodnutí
ve smyslu §65 s. ř. s., a nepodléhá tak soudnímu přezkumu na základě §70 písm. a) s. ř. s.
Na podporu tohoto názoru odkázal první senát na rozsudky Nejvyššího správního soudu ze dne
8. 7. 2009, čj. 3 Ans 1/2009 – 58, ze dne 13. 8. 2009, čj. 9 As 57/2008 – 35, a ze dne 19. 8. 2009,
čj. 8 Ans 6/2009 – 83, které se týkaly podnětů k zahájení řízení.
III.
Vyjádření účastníků k předložení věci rozšířenému senátu
III.1 Vyjádření stěžovatele
[19] Stěžovatel ve svém vyjádření k předložení věci rozšířenému senátu ze dne 20. 5. 2011
poukázal především na nejednoznačné znění zákona o ochraně osobních údajů a dosavadní
judikaturu Nejvyššího správního soudu (rozsudek ze dne 28. 2. 2007, čj. 8 Ans 4/2006 - 68,
a rozsudky ze dne 16. 12. 2008, čj. 2 Ans 8/2008 – 52, 2 Ans 9/2008 – 55, a 2 Ans 10/2008 – 54),
Nejvyššího soudu (usnesení ze dne 30. 9. 2004, sp. zn. 30 Cdo 1183/2004, ze dne 21. 3. 2005,
sp. zn. 30 Cdo 445/2005, a ze dne 31. 3. 2005, sp. zn. 30 Cdo 449/2005 a 30 Cdo 450/2005),
Ústavního soudu (usnesení ze dne 28. 2. 2002, sp. zn. IV. ÚS 143/02) a také zvláštního senátu
zřízeného podle zákona č. 131/2002 Sb., o rozhodování některých kompetenčních sporů (dále
jen „zvláštní senát“; usnesení ze dne 10. 3. 2004, čj. Konf 11/2003-12, ze dne 6. 2. 2004,
čj. Konf 15/2003-24, ze dne 29. 3. 2004, čj. Konf 17/2003-15 a ze dne 12. 1. 2007,
čj. Konf 12/2006-39). Dále odkázal na čl. 22 a 28 Směrnice Evropského parlamentu a Rady
95/46/ES ze dne 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů (dále jen „směrnice 95/46/ES“) s tím, že z této směrnice
přímo vyplývá dvoukolejnost ochrany osobních údajů, která má být svěřena jak soudu,
tak i vnitrostátnímu orgánu dozoru. Podle názoru stěžovatele je provedení této směrnice
zákonem o ochraně osobních údajů zmatené a nepřehledné a tato situace se ještě zhoršila
po novelizaci provedené zákonem č. 439/2004 Sb. Text §21 odst. 1 až 4 zákona o ochraně
osobních údajů ve znění zákona č. 439/2004 Sb. je nesrozumitelný a rozporný, neboť promiscue
používá pojmy „požádat“, „požadovat“, „žádost“, „žádosti“ a „podnět“. Z těchto důvodů
se stěžovatel domnívá, že je daná úprava nejen protiústavní, ale i v rozporu s předpisy Evropské
unie.
[20] Stěžovatel namítl i zásah do právní jistoty, předvídatelnosti práva a rovnosti v právech,
který podle něj nastal v důsledku judikaturního odklonu Nejvyššího správního soudu. V postupu
Nejvyššího správního soudu spatřuje jurisdikční libovůli. Uvedl, že „[j]e naléhavou otázkou,
jak se v zákoně [o ochraně osobních údajů] má orientovat a jak si jeho ustanovení má vykládat jednotlivec
(…), pakliže si tento zákon nevykládají jednotně ani orgány veřejné moci, samotný Nejvyšší správní soud
nevyjímaje, když orgán ze zákona určený k ochraně osobních údajů [žalovaný] od samého počátku účinnosti
tohoto zákona (od 1. 6. 2000) popírá svoji kompetenci poskytovat ochranu osobních údajů tím, že by rozhodoval
v návrhových řízeních na podkladě žádostí postižených osob, zatímco soudy setrvale judikovaly, že žalovaný Úřad
takovou kompetenci má. Absurdita takového stavu je dovršena judikatorním odklonem Nejvyššího správního
soudu, který nově zastává názor opačný a za tím účelem předložil věc rozšířenému senátu.“
[21] Z těchto důvodů stěžovatel navrhl Nejvyššímu správnímu soudu, aby přerušil řízení a věc
předložil Ústavnímu soudu s návrhem na zrušení §21 a 29 zákona o ochraně osobních údajů.
III.2 Vyjádření žalovaného
[22] Žalovaný se ve svém vyjádření ze dne 3. 2. 2012 ztotožnil s předkládacím usnesením
prvního senátu ze dne 27. 1. 2011, čj. 1 As 93/2009-212. Zákon za nesrozumitelný nepovažuje,
mj. i proto, že jeho výklad v aplikační praxi nečiní větší obtíže. Rovněž se domnívá, že zákon
je plně v souladu se závazky České republiky vůči Evropské unii. Z žádného ustanovení směrnice
95/46/ES nevyplývá, že by rozhodování o náhradě materiální či imateriální újmy,
která byla způsobena zpracováním osobních údajů, nutně muselo náležet orgánu dozoru.
Má za to, že otázka, do čí kompetence bude rozhodování o náhradě újmy náležet, záleží primárně
na právním prostředí a tradici té které členské země. Neshledává tedy žádný důvod,
který by svědčil pro předložení věci Ústavnímu soudu.
[23] Žalovaný rovněž odkázal na své předchozí vyjádření ve věci ze dne 14. 11. 2011,
ke kterému byl vyzván po zrušení rozsudku Nejvyššího správního soudu Ústavním soudem. Zde
upozorňuje na to, že výklad §21 odst. 3, který by mu přiřkl pravomoc rozhodovat, by mohl být
v rozporu s limity stanovenými čl. 2 odst. 3 Ústavy. Tato pravomoc mu byla svěřena pouze
do novelizace provedené zákonem č. 439/2004 Sb. V současnosti je oprávněn ukládat opatření
k nápravě toliko na základě §40 odst. 1 zákona, případně ukládat pokuty za zjištěné správní
delikty podle části první hlavy sedmé. Kdyby tedy žalovaný vydal rozhodnutí na základě §21
odst. 3, jednalo by se o rozhodnutí, k jehož vydání neměl pravomoc, a bylo by proto nicotné.
Odnětí pravomoci ukládat opatření k odstranění závadného stavu dovozuje žalovaný z účelu
zákona č. 439/2004 Sb. a z důvodové zprávy k němu. Nesouhlasí s právním názorem druhého
senátu vyjádřeným v rozsudku čj. 2 Ans 8/2008 – 52, neboť ten je postaven pouze na jazykovém
výkladu zákona.
[24] Mimoto zákon po novele jasně stanoví v §21 odst. 5, že se při uplatňování nároků
vzniklých v důsledku způsobení jiné než majetkové újmy postupuje podle zákona č. 40/1964 Sb.,
občanského zákoníku. Subjekt údajů by tedy měl v případě vzniku újmy postupovat podle §11
a násl. občanského zákoníku, zejména má právo požadovat upuštění od konkrétního zásahu,
odstranění trvajících následků či přiměřené zadostiučinění. K tomu žalovaný citoval i rozhodnutí
zvláštního senátu ze dne 24. 2. 2010, čj. Konf 56/2009-7, podle kterého o náhradě škody
i náhradě nemajetkové újmy musí rozhodovat soud. Žalovaný rovněž odkazuje na usnesení
Nejvyššího soudu ze dne 30. 11. 2010, sp. zn. 22 Cdo 3727/2008, podle kterého je žalovaný
úřadem dozorovým, nikoliv orgánem veřejné moci příslušným k rozhodování o individuálních
nárocích vyplývajících ze zpracování osobních údajů.
[25] Na závěr žalovaný shrnuje, že z §21 odst. 3 a 4 zákona o ochraně osobních údajů vyplývá
pouze právo subjektu údajů obrátit se s podnětem na žalovaného, který má povinnost posoudit
podání dle jeho obsahu a učinit další příslušné úkony v rámci své pravomoci, tj. zahájit kontrolu,
zahájit správní řízení o správním deliktu, věc postoupit věcně a místně příslušnému orgánu
veřejné moci, nebo ji odložit.
[26] Žalovaný navrhuje, aby Nejvyšší správní soud po projednání věci v rozšířeném senátu
kasační stížnost zamítl.
IV.
Úvaha rozšířeného senátu
[27] Ze spisů vyplynulo, že stěžovatel se nejprve domáhal zjednání nápravy ve věci
neoprávněného nakládání s osobními údaji přímo u jejich zpracovatele, Policie ČR, postupem dle
§21 odst. 1 zákona o ochraně osobních údajů. Zpracovatel na stížnost nereagoval. Teprve
následně se stěžovatel svým podáním ze dne 12. 11. 2007 obrátil na žalovaného. Tento postup
tedy lze podřadit §21 odst. 3 zákona.
[28] Případ je třeba posuzovat podle §21 zákona o ochraně osobních údajů, ve znění zákona
č. 439/2004 Sb., které bylo účinné do 31. 12. 2011. I rozšířený senát musí při posuzování žalobou
napadeného rozhodnutí vycházet ze skutkového a právního stavu, který tu byl v době
rozhodování správního orgánu (§75 odst. 1 s. ř. s.). Znění §21 v této době bylo následující:
(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování
jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo
v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může
a) požádat správce nebo zpracovatele o vysvětlení,
b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat
o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.
(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní
neprodleně závadný stav.
(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo
obrátit se přímo na Úřad.
(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.
(5) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje
se při uplatňování jejího nároku podle zvláštního zákona.
6) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo
u zpracovatele, odpovídají za ně společně a nerozdílně.
(7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1
a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce
nemožné nebo by vyžadovalo neúměrné úsilí.
[29] Zákon č. 468/2011 Sb. toto ustanovení novelizoval a s účinností od 1. 1. 2012 odstavce 3
a 4 z §21 zcela vypustil.
IV.1 Posouzení předložení věci rozšířenému senátu
[30] Vzhledem k tomu, že stěžovatel ve svém vyjádření nesouhlasil i s postupem prvního
senátu, který věc předložil rozšířenému senátu, rozšířený senát se vyjádří nejprve k této otázce.
Platí, že ve skutkově obdobných případech má být rozhodováno obdobně. Avšak právo není
nezměnitelné, a to platí i o jeho výkladu.
[31] To je uznáváno i v angloamerickém právním systému precedenčního práva, který se jinak
důsledně řídí zásadou stare decisis a za pramen práva považuje stručně řečeno i soudní rozhodnutí;
ani zde ale nejsou rozhodnutí soudů absolutně nezměnitelná (srov. rozhodnutí Nejvyššího soudu
USA Hertz v. Woodman ze dne 31. 5. 1910, 218 U.S. 205, odst. 212, rovněž citováno v disentu
soudce Brandeise k Burnet v. Coronado Oil & Gas Co. ze dne 11. dubna 1932, 285 U.S. 393,
či rozhodnutí Smith v. Allwright ze dne 3. 4. 1944, 321 U.S. 649, odst. 665; všechna rozhodnutí
Nejvyššího soudu USA jsou dostupná na http://www.findlaw.com/casecode/supreme.html).
Právní systém České republiky náleží do systémů kontinentálního evropského práva, které soudní
rozhodnutí za pramen práva de iure nepovažují. Není tedy založen na precedenčním charakteru
soudních rozhodnutí, jako je tomu ve zmíněném právním systému angloamerickém.
[32] Sám stěžovatel citoval nález Ústavního soudu ze dne 20. 9. 2006, sp. zn. II. ÚS 566/05,
podle kterého „[r]ozhodující roli (…) hraje to, zda je výklad právních norem v čase ustálený,
což však na druhou stranu neznamená, že jednou dosažený výklad právní normy je nezměnitelný. Princip právní
jistoty a též i princip rovnosti před zákonem totiž vyžadují, aby se judikatura soudů za určitých podmínek měnila
(změna hodnotového nazírání na právo, změna kulturních představ společnosti o právu, změny ve struktuře
právního řádu či změny v těch složkách právního řádu, které leží v hierarchii nad interpretovanou normou atd.),
a to určitým předem stanoveným postupem.“
[33] Tento předem stanovený postup obsahují §17 a 18 s. ř. s. Senát Nejvyššího správního
soudu tak může dospět k odlišnému právnímu názoru než jiný senát Nejvyššího správního soudu,
pokud svůj názor řádně odůvodní a věc předloží k rozhodnutí rozšířenému senátu. Je to pak
rozhodnutí rozšířeného senátu, které sjednotí výklad dané právní otázky.
IV.2 Posouzení návrhu na předložení věci Ústavnímu soudu
[34] Rozšířený senát se dále zabýval návrhem stěžovatele na předložení věci Ústavnímu soudu
podle čl. 95 odst. 2 Ústavy za účelem zrušení zákona o ochraně osobních údajů. Rozpor zákona
s ústavním pořádkem však neshledal, a proto věc Ústavnímu soudu nepředložil.
[35] Rozšířený senát nesdílí názor stěžovatele týkající se jazykové nesrozumitelnosti §21
zákona a nahodilého užívání slov „žádost“ a „podnět“.
[36] Ustanovení §21 odst. 1 a 2 zákona ve znění účinném po novele z r. 2004 upravuje právo
jednotlivce (subjektu údajů) obrátit se na správce nebo zpracovatele osobních údajů se žádostí o
zjednání nápravy při jejich zpracování. Žádost ve smyslu těchto ustanovení představuje
prostředek nápravy nedostatků při zpracování osobních údajů. Na jedné straně vystupuje subjekt
údajů, na druhé straně správce či zpracovatel údajů. Žalovaný do prošetřování žádosti subjektu
údajů správcem či zpracovatelem nezasahuje. Slova „žádost“ a „požadovat“ se používají v §21
odst. 1 až 3 pouze pro vztah mezi subjektem údajů a zpracovatelem či správcem údajů, nikoliv
pro vztah mezi subjektem údajů a žalovaným.
[37] Pokud správce nebo zpracovatel žádosti nevyhoví, má subjekt údajů právo obrátit
se přímo na žalovaného (§21 odst. 3 zákona). Subjekt údajů se může na žalovaného obrátit
se svým podnětem přímo, i když nevyužil postupu dle §21 odst. 1 zákona (§21 odst. 4).
Ustanovení §21 odst. 3 a 4 tak upravují právo subjektu údajů obrátit se na žalovaného.
V souvislosti se vztahem subjektu údajů a žalovaného již zákon nepoužívá pojem žádost, nýbrž
spojení „obrátit se podnětem“ a „právo obrátit se“. Nelze tedy souhlasit s tvrzením stěžovatele,
že zákon tyto pojmy používá promiscue, naopak pro každou ze situací důsledně používá pojmy
jiné.
[38] Právní úprava ochrany osobních údajů, která je aplikovatelná na daný případ,
je dostatečně přehledná; opačný názor stěžovatele rozšířený senát nesdílí. Úprava tak splňuje
požadavky čl. 8 Úmluvy o ochraně lidských práv a základních svobod, jak je podrobně vyložil
velký senát Evropského soudu pro lidská práva v rozsudku ze dne 4. 5. 2000 ve věci Rotaru proti
Rumunsku (stížnost č. 28341/95).
[39] Tvrzení ohledně terminologické rozpornosti má soud za nedůvodné; případná
nejednoznačnost je odstranitelná výkladem příslušných právních norem v jejich celkovém
kontextu. Ústavně konformní výklad před zrušením příslušného ustanovení nadto Ústavní soud
vždy upřednostňuje (srov. nálezy ze dne 26. 3. 1996, sp. zn. Pl. ÚS 48/95, ze dne 8. 10. 1996,
sp. zn. Pl. ÚS 5/96 a ze dne 16. 6. 1999, sp. zn. Pl. ÚS 4/99).
IV.3 Posouzení otázky předložené rozšířené mu senátu
a) Výklad předmětného ustanovení
[40] Jazykový výklad předmětného ustanovení soud podal v předchozí části. Z hlediska
výkladu historického lze poznamenat: Zákon nabyl účinnosti 1. 6. 2000. K tomuto datu také
zrušil předchozí zákon upravující stejnou právní oblast (zákon č. 256/1992 Sb., o ochraně
osobních údajů v informačních systémech). Zrušený zákon z r. 1992 stanovil v §23 jasně,
že všechny spory vyplývající z uplatňování práv a povinností podle tohoto zákona řeší soud.
To se týkalo např. i nároků na zdržení se závadného jednání, odstranění závadného stavu, vydání
bezdůvodného obohacení, poskytnutí zadostiučinění či likvidaci informace, které zákon výslovně
upravil v §18, 20 a 22.
[41] Nyní platný zákon nároky na zajištění opatření k nápravě ve svém původním znění
z r. 2000 založil také, a to v §21 odst. 2. Nepřevzal však úpravu pravomoci soudů ze zrušeného
zákona. Z toho soudy dovodily, že účinností zákona o ochraně osobních údajů pozbyly soudy
pravomoc rozhodovat v dotčených věcech a tato pravomoc přešla na žalovaného. Zvláštní senát
k tomu uvedl, že „[r]ozhodnout o návrhu na zdržení se jednání spočívajícího v porušování povinností správce
při zpracování osobních údajů je po datu 1. 6. 2000, tedy po skončení platnosti zákona č. 256/1992 Sb.,
o ochraně osobních údajů v informačních systémech, a nabytí platnosti zákona č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, v pravomoci Úřadu pro ochranu osobních údajů, a nikoli soudu“
(usnesení zvláštního senátu ze dne 6. 2. 2004, čj. Konf 15/2003-24).
[42] Přechod pravomoci rozhodovat o nárocích upravených v §21 odst. 2 zákona o ochraně
osobních údajů na žalovaného počínaje nabytím účinnosti zákona o ochraně osobních údajů
potvrdil zvláštní senát i v dalších rozhodnutích (usnesení ze dne 10. 3. 2004,
čj. Konf 11/2003 - 12 a Konf 37/2003 – 11, a ze dne 29. 3. 2004, čj. Konf 17/2003 – 15). Totéž
následně vyslovil i Nejvyšší soud (viz usnesení ze dne 30. 9. 2004, sp. zn. 30 Cdo 1183/2004,
ze dne 21. 3. 2005, sp. zn. 30 Cdo 445/2005, a ze dne 31. 3. 2005, sp. zn. 30 Cdo 449/2005
a 30 Cdo 450/2005).
[43] V souladu s těmito stanovisky pak byl i již zmiňovaný rozsudek Nejvyššího správního
soudu ze dne 28. 2. 2007, čj. 8 Ans 4/2006 – 68, který se rovněž vyjadřoval k původnímu znění
zákona. Z tohoto rozsudku implicitně vyplynula pravomoc žalovaného rozhodnout o nárocích
podle §21 odst. 2. Nadto zde Nejvyšší správní soud dovodil, že „pokud zákon o ochraně osobních
údajů v ustanovení §21 odst. 1 dává subjektu údajů v případě, že bylo neoprávněně nakládáno s jeho osobními
údaji, právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě, spojuje s touto žádostí účinky návrhu
na zahájení řízení a koncipuje zde tedy návrhové řízení.“ K tomu je však třeba zdůraznit, že pokud
v původním znění dával zákon subjektu údajů právo obrátit se na žalovaného s „žádostí o zajištění
opatření k nápravě“ a požadovat např. odstranění závadného stavu či poskytnutí zadostiučinění,
nebylo v podstatě možné vyložit toto ustanovení jinak, než že se jím ustavuje návrhové řízení.
Opačný názor by vedl k praktické nevymahatelnosti nároků na zajištění opatření k nápravě.
[44] Výraznou novelizaci §21 zákona přinesl zákon č. 439/2004 Sb. Oproti původnímu znění
již nebyly upraveny jednotlivé nároky na zajištění opatření k nápravě, které by bylo možné
požadovat, a zatímco původní znění odkazovalo v odst. 4 na zvláštní úpravu (občanský zákoník)
jen v oblasti náhrady škody, novelizované znění odkazovalo v odst. 5 na zvláštní úpravu (§13
obč. zák.) i v případě nároků vzniklých v důsledku způsobené nemajetkové újmy.
[45] Vzhledem k tomu, že §13 občanského zákoníku obsahuje v zobecněné podobě prakticky
tytéž nároky na zajištění opatření k nápravě, které byly obsaženy v původním znění §21 zákona
o ochraně osobních údajů, dá se i z toho podpůrně dovodit, že záměrem zákonodárce bylo vrátit
pravomoc rozhodovat o těchto nárocích zpět soudům rozhodujícím v občanskoprávním řízení.
[46] Tento druhý přechod pravomoci ze žalovaného zpět na soudy potvrdil zvláštní senát:
„Od účinnosti novely zákona č. 101/2000 Sb., o ochraně osobních údajů, provedené zákonem č. 439/2004 Sb.,
nemůže již Úřad pro ochranu osobních údajů rozhodovat o náhradě za porušení povinností dle tohoto zákona.
O náhradě nemajetkové újmy v souvislosti s porušením povinností stanovených zákonem o ochraně osobních údajů
je proto příslušný rozhodovat soud.“ (usnesení ze dne 24. 2. 2010, čj. Konf 56/2009 – 7)
[47] Druhý senát Nejvyššího správního soudu výkladem novelizovaného §21 dospěl k závěru,
že odst. 3 předmětného ustanovení upravuje žádost subjektu údajů, o které je žalovaný povinen
rozhodnout, a odst. 4 pouze podnět k zahájení řízení ex offo (srov. rozsudky ze dne 16. 12. 2008,
čj. 2 Ans 8/2008 – 52, čj. 2 Ans 9/2008 – 55, a čj. 2 Ans 10/2008 – 54).
[48] Důvodová zpráva k zákonu č. 439/2004 Sb. však uvádí: „Změna ustanovení §21 až 24,
která se týkají ochrany práv subjektu údajů, je navrhována z několika důvodů. Tím nejdůležitějším je dosavadní
zkušenost s aplikací §21 a násl., kdy se přístup Úřadu, přístup subjektů údajů a přístup soudů, nepodařilo
sjednotit v tom směru, že Úřad jako ústřední správní úřad nemůže v takovém případě ve své kompetenci řešit
spory mezi správcem, zpracovatelem a subjektem údajů o odstranění následků neoprávněných zásahů do soukromí
subjektů údajů a druh, popřípadě výši náhrady. Stejně i v případech náhrady škody vzniklé subjektu údajů
v souvislosti se zpracováním jeho údajů není přípustné, aby tyto případy řešil správní úřad. Proto se navrhuje,
aby kompetence Úřadu byla v tomto případě odpovídající jeho postavení a Úřad mohl na základě podnětu
subjektu údajů postupovat vůči správci nebo zpracovateli prostředky pro správní úřad obvyklými, a případy,
kdy jsou vznášeny nároky na náhradu nemajetkové újmy nebo náhradu škody, svěřit do pravomoci soudů,
jak je tomu ostatně obvyklé i v ostatních případech zásahů do práva na ochranu osobnosti.“ (digitální repozitář
PSP ČR, IV. volební období, tisk č. 508/0, dostupné na www.psp.cz)
[49] Z důvodové zprávy lze tedy dovodit, že zákonodárce již nepovažoval za vhodné,
aby nároky na zajištění opatření k nápravě, typicky tedy zdržení se závadného jednání, odstranění
následků neoprávněných zásahů či poskytnutí přiměřeného zadostiučinění, řešil žalovaný. Účelem
novely tedy nebylo vytvoření duplicitní ochrany, kde by nejprve rozhodoval o týchž nárocích
žalovaný a posléze soud. Žalovaný má postupovat vůči správci nebo zpracovateli „na základě
podnětu“, tedy v mezích svých oprávnění cestou správního dozoru, nemá ale rozhodovat
o žádostech subjektů údajů v řízení návrhovém. Subjekt údajů se tak po účinnosti novely stává
toliko petentem, iniciujícím výkon dozoru, nikoli účastníkem řízení o svém návrhu.
[50] Shodně tuto otázku řešil zvláštní senát: „Z ustanovení §29 zákona vyplývá, že pravomoci úřadu
na úseku ochrany osobních údajů jsou spíše kontrolní a dozorové. Ustanovení §21 zákona tak míří spíše
na situace, kdy subjekt údajů brojí proti způsobu či rozsahu nakládání s jeho osobními údaji správcem a obrací
se na Úřad s podnětem či stížností na porušení zákona [§29 odst. 1 písm. c) zákona].“ (usnesení ze dne
17. 10. 2011, čj. Konf 11/2011 – 6)
[51] Stejně tak se zvláštní senát v nedávné době vyslovil i o charakteru podání podle §21:
„[U]stanovení §21 zákona míří na situace, kdy subjekt údajů brojí proti způsobu či rozsahu nakládání s jeho
osobními údaji správcem a obrací se na navrhovatele s podnětem [§29 odst. 1 písm. c) zákona o ochraně osobních
údajů].“ (usnesení ze dne 8. 3. 2012, čj. Konf 94/2011 – 8)
[52] Na tomto místě lze shrnout historický a teleologický výklad posuzovaného ustanovení
tak, že zákonodárce směřoval k tomu, aby žalovanému odebral pravomoc rozhodovat nejen
o nárocích na zajištění opatření k nápravě, ale i o jiných žádostech subjektů údajů.
Tím mu ponechal pouze pravomoc přijímat podněty a stížnosti subjektů údajů a, v případě,
že k tomu on sám shledá podmínky, zahajovat řízení ex offo. Tento závěr ostatně potvrzuje
i poslední novela §21 provedená zákonem č. 468/2011, která nabyla účinnosti 1. 1. 2012.
Ta, jak bylo zmíněno výše, sporné odst. 3 a 4 z §21 zcela vypustila.
[53] Rozšířený senát se dále zabýval logikou a systematikou předmětného ustanovení i zákona
o ochraně osobních údajů a dospěl k následujícím závěrům.
[54] Druhý senát rozlišuje povahu podání subjektu údajů (tj. zda se jedná o žádost, či podnět)
v závislosti na tom, jestli se subjekt údajů před tím, než se obrátil na žalovaného, domáhal
nápravy přímo u zpracovatele či správce osobních údajů. Pro takovéto rozlišování ale zákon
neskýtá oporu.
[55] Třetí a čtvrtý odstavec §21 zákona o ochraně osobních údajů upravují shodným
způsobem dvě rozdílné situace. Ustanovení §21 odst. 3 zákona o ochraně osobních údajů dává
subjektu údajů, který se neúspěšně domáhal zjednání nápravy přímo u zpracovatele či správce
osobních údajů, oprávnění obrátit se na žalovaného. Následující odstavec (4) pak dodává,
že podmínkou pro přístup k žalovanému není marné využití postupu dle §21 odst. 1. Rozšířený
senát se tedy shoduje s prvním senátem v tom, že §21 v odst. 3 a 4 upravuje jeden a týž procesní
nástroj – právo dát podnět žalovanému k prošetření postupu zpracovatele a správce při nakládání
s osobními údaji. Nejedná se o dva různé postupy; odst. 4 pouze doplňuje, že podmínkou
postupu dle odst. 3 není vyčerpání možnosti domáhat se nápravy přímo u zpracovatele či správce
osobních údajů dle odst. 1. Je tak shodným způsobem upravena možnost obracet
se na žalovaného podněty v případě, že správce nebo zpracovatel nevyhoví žádosti podle §21
odst. 1, a možnost obracet se na žalovaného přímo.
[56] V §29 svěřuje zákon žalovanému pravomoc provádět dozor nad dodržováním povinností
stanovených tímto zákonem (např. formou kontroly), projednávat přestupky a jiné správní delikty
a udělovat pokuty dle tohoto zákona [§29 odst. 1 písm. a) a f)]. Žalovaný je povinen přijímat
podněty a stížnosti jednotlivců a informovat je o jejich vyřízení [§29 odst. 1 písm. c)]. Zákon
nicméně v §29 výslovně nestanoví, že žalovaný má vést správní řízení a rozhodovat o žádostech,
jimiž se subjekt údajů domáhá zjednání nápravy při neoprávněném zpracování osobních údajů.
[57] Je pravdou, že dle §29 odst. 1 písm. e) zákona platí, že žalovaný „vykonává další působnosti
stanovené mu zákonem“. Pokud by zákon upravoval řízení žalovaného o žádostech,
pak by pravomoc k jejich rozhodování mohla být dána tímto ustanovením. Je však obtížně
pochopitelné, proč by zákonodárce upravil pravomoc žalovaného k přijímání a vyřizování
podnětů a stížností výslovně pod písm. c) téhož ustanovení a natolik významnou pravomoc,
jakou je rozhodování o žádostech subjektů údajů, výslovně neupravil. V právě posuzovaném
případě naopak to, že neexistuje výslovná úprava pravomoci žalovaného k rozhodování
o žádostech, spíše potvrzuje, že zákonodárce nezamýšlel návrhové řízení před žalovaným
upravovat. Ostatně by tu šlo o rozhodování o právech a povinnostech, a tedy o výkon státní
moci; pravomoc k rozhodování by proto musela být založena výslovně zákonem (čl. 2 odst. 2
Ústavy a čl. 2 odst. 3 Listiny základních práv a svobod). I to tedy svědčí i pro výklad §21
ve smyslu podávání podnětů, iniciujících dozorčí funkce a nikoli žádostí, jimiž by se zahajovalo
řízení o nich.
[58] Zákon dále uvádí, že nápravná opatření lze zpracovatelům a správcům osobních údajů
uložit v souvislosti s kontrolou (§40), která se provádí dle zákona č. 552/1991 Sb., o státní
kontrole (dále jen „zákon o státní kontrole“). Státní kontrola může být provedena jen z podnětu
kontrolního orgánu nebo na základě dožádání oprávněných státních orgánů nebo v dalších
případech stanovených zvláštním zákonem (§8 zákona o státní kontrole). Zákon o ochraně
osobních údajů jakožto zákon zvláštní k zákonu o státní kontrole ovšem nestanoví, že by se státní
kontrola zahajovala podáním žádosti subjektu údajů o zjednání nápravy při neoprávněném
zpracování osobních údajů. I tento systémový argument potvrzuje, že podání subjektu údajů
je pouhým podnětem, jímž se nezahajuje správní řízení.
[59] Rozšířený senát tedy shrnuje, že §29 zákona nezakládá žalovanému pravomoc vést
správní řízení o žádostech subjektů údajů, a že §21 v odst. 3 či 4 neupravuje možnost subjektů
údajů podávat žádosti o uložení nápravných opatření ze strany žalovaného zpracovatelům
či správcům osobních údajů, a o kterých by žalovaný musel rozhodovat. Protože žalovanému
nebyla tato pravomoc svěřena, je zřejmé, že opačný výklad by vedl k rozporu s Ústavou
i s Listinou, jak již uvedeno. Pokud subjekt údajů neuspěje u žalovaného se svým podnětem,
může se ochrany svých práv domoci žalobou na ochranu osobnosti dle §13 občanského
zákoníku, na který §21 zákona o ochraně osobních údajů odkazuje. Projednání nároku subjektu
údajů na zajištění opatření k nápravě způsobené nemateriální újmy a náhradu škody svěřil zákon
o ochraně osobních údajů do pravomoci soudů v občanském soudním řízení a totéž potvrdila
judikatura zvláštního senátu, jak je uvedeno výše.
b) Soulad §21 zákona o ochraně osobních údajů a jeho výkladu se směrnicí 95/46/ES
[60] Výklad §21 zákona o ochraně osobních údajů, který rozšířený senát shora podal,
je v souladu se směrnicí 95/46/ES, na kterou odkazovali ve svých vyjádřeních oba účastníci
řízení.
[61] Článek 28 odst. 4 směrnice 95/46/ES stanoví, že se na orgán dozoru (žalovaného) „může
obrátit jakákoli osoba nebo sdružení zastupující tuto osobu se žádostí týkající se ochrany svých práv a svobod
v souvislosti se zpracováním osobních údajů. Dotčená osoba je informována o způsobu vyřízení své žádosti.
Na orgán dozoru se může zejména obrátit kdokoli s žádostí o ověření přípustnosti zpracování, pokud se uplatní
vnitrostátní předpisy přijaté na základě článku 13 této směrnice. Osoba je za každých okolností informována,
zda k ověření došlo.“
[62] Pro výklad tohoto ustanovení je obzvláště podstatná jeho druhá věta, která stanoví
povinnost orgánu dozoru informovat o způsobu vyřízení žádosti. Nestanoví tedy povinnost
rozhodnout o žádosti. Obdobně i poslední věta čl. 28 odst. 4 zakládá pouhou povinnost orgánu
dozoru informovat subjekt údajů, zda k ověření došlo. Z toho vyplývá, že ani evropské předpisy
nezakládají povinnost orgánů dozoru v oblasti ochrany osobních údajů vést návrhové řízení
a rozhodovat o žádostech subjektů údajů. Z tohoto pohledu se jedná o tzv. acte clair, tedy věc,
ve které je aplikace evropského práva natolik jasná, že nevyvolává důvodné pochybnosti o tom,
jak má být vyřešena (srov. rozsudek Soudního dvora ze dne 6. 10. 1982 ve věci Srl. CILFIT
a Lanificio di Tabardo SpA v. Ministerstvo zdravotnictví, 283/81, Recueil s. 3415, (dále jen „CILFIT“),
odst. 16; rozsudek je dostupný na www.eurlex.eu).
[63] Soudní dvůr ve věci CILFIT vymezil doktrínu acte clair jako výjimku z povinnosti soudu
členského státu, jehož rozhodnutí nelze napadnout opravnými prostředky podle vnitrostátního
práva, obrátit se na Soudní dvůr s předběžnou otázkou (čl. 267 Smlouvy o fungování Evropské
unie). Soudní dvůr dále prohlásil, že dříve než soud členského státu dospěje k závěru,
že jím posuzovaná otázka představuje acte clair, musí si být jist, že by tato otázka byla stejně
zřejmá i soudům jiných členských států a Soudnímu dvoru (CILFIT, odst. 16). Při posuzování
takové otázky musí být dále přihlédnuto k typickým znakům evropského práva a určitým
překážkám v jeho výkladu. Jde zejména o fakt, že evropské právo je publikováno v řadě
jazykových znění, přičemž všechny jazykové verze mají stejnou platnost. Nadto evropské právo
používá vlastní terminologii, a to i tam, kde by se určitý výraz ve všech jazykových verzích
shodoval. Konečně každé ustanovení evropského práva musí být posuzováno v jeho kontextu
a vykládáno ve světle všech ustanovení evropského práva, jeho účelu a stavu jeho vývoje v době,
kdy má být aplikováno. (CILFIT, odst. 17 – 20)
[64] V tomto rozhodnutí Soudní dvůr rovněž stanovil, že pouhý fakt, že jeden z účastníků
sporu namítá spornost výkladu evropského práva, nutně neznamená, že soud členského státu
musí položit předběžnou otázku (CILFIT, odst. 9).
[65] Rozšířený senát zkoumal i další jazyková znění směrnice 95/46/ES. Všechna probraná
znění ve druhé i poslední větě čl. 28 odst. 4 stanoví zřetelně, že subjekt údajů má být pouze
informován o vyřízení žádosti, o ověření, prověrce, přezkumu, případně o proběhnuvší kontrole
(např. znění české, slovenské, německé, polské, italské, francouzské, anglické, finské, dánské
a nizozemské). Žádné jazykové znění nestanoví, že by orgán dozoru měl na základě podání
subjektu údajů vydávat rozhodnutí.
[66] Jak již správně uvedl první senát, i podle rozsudku CILFIT není rozhodné, že české znění
směrnice používá v čl. 28 odst. 4 výraz „žádost“. Různé jazykové verze směrnice používají různé
termíny, které mohou mít řadu významů. Např. anglický termín „claim“ může být překládán jako
požadavek, žádost, nárok; německý výraz „Eingabe“ jako žádost, stížnost, petice; ve slovenštině
je užit výraz „nárok“ (přesto znění čl. 28 odst. 4 v „Tabulce shody so smernicou“ na oficiálních
stránkách slovenského Úřadu pro ochranu osobních údajů ale uvádí termín "sťažnostˇ",
viz http://www.dataprotection.gov.sk/buxus/docs/CT_31995L0046.pdf). Podstatný je proto
institut, který měl čl. 28 odst. 4 směrnice 95/46/ES ustavit. Tím, vzhledem ke znění druhé
i poslední věty tohoto ustanovení, nebylo návrhové řízení ukončené rozhodnutím.
[67] Rozšířený senát posuzoval čl. 28 odst. 4 i v kontextu dalších ustanovení směrnice
95/46/ES:
[68] Bod 55 preambule vysvětluje, že Evropský parlament a Rada Evropské unie přijaly
směrnici „vzhledem k tomu, že v případě nedodržování práv subjektů údajů správcem musí vnitrostátní právní
předpisy stanovit opravné prostředky; že škody, které mohou vzniknout osobám v důsledku nepřípustného
zpracování [sic] musí být nahrazeny správcem, který může být zproštěn své odpovědnosti, pokud prokáže,
že vznik škody mu nelze přičítat, zejména pokud dokáže chybu subjektu údajů nebo v případě vyšší moci;
že sankce se musí vztahovat na každou osobu soukromého nebo veřejného práva, která nedodržuje vnitrostátní
předpisy přijaté na základě této směrnice“.
[69] Zákon tyto záruky subjektům údajů poskytuje. Každý subjekt údajů může dle §21 odst. 1
zákona požádat správce nebo zpracovatele o vysvětlení či požadovat, aby správce nebo
zpracovatel odstranil závadný stav vzniklý při zpracování údajů. Správce nebo zpracovatel
je povinen neprodleně závadný stav odstranit, je-li žádost subjektu shledána oprávněnou
(srov. „odstraní“; §21 odst. 2). Zákon o ochraně osobních údajů dále odkazuje na občanský
zákoník, jehož prostřednictvím je zajištěna náhrada nemajetkové újmy i náhrady škody (§21
odst. 5 zákona ve znění účinném do 31. 12. 2011 a §25 zákona). Z bodu 55 preambule směrnice
nevyplývá povinnost orgánů dozoru vést návrhové řízení o žádostech subjektů údajů.
[70] Bod 63 preambule také stanoví, že Evropský parlament a Rada Evropské unie, přijaly
směrnici „vzhledem k tomu, že tyto orgány [dozoru] musejí být vybaveny nezbytnými prostředky pro plnění svých
úkolů, včetně pravomocí provádět šetření a zasahovat, zejména pokud jsou těmto orgánům podány stížnosti, nebo
pravomoci obrátit se na soud; že musejí přispět k průhlednosti zpracování údajů prováděného v členském státu,
kterému podléhají“.
[71] I tento účel směrnice je v zákoně o ochraně osobních údajů proveden. Orgány dozoru
mohou na základě podnětu subjektu údajů zahájit z moci úřední řízení o státní kontrole a v rámci
kontroly ukládat opatření k nápravě (viz část první hlava šestá zákona o ochraně osobních údajů).
Stejně tak mohou ukládat správcům a zpracovatelům sankce za správní delikty (část první hlava
sedmá zákona). Ani z tohoto ustanovení preambule však nevyplývá povinnost orgánů dozoru
vést řízení o žádostech subjektů údajů, které bude ukončeno rozhodnutím.
[72] Prostřednictvím čl. 14 směrnice má být subjektům údajů zajištěno právo na námitku,
kterou mohou proti zpracování osobních údajů vznést kdykoli z vážných a legitimních důvodů
souvisejících s jejich osobní situací. I toto právo je v zákoně provedeno v §21. Ani z práva podat
námitku ovšem bez dalšího neplyne povinnost orgánu dozoru vést návrhové řízení ukončené
rozhodnutím.
[73] Dle čl. 22 směrnice platí: „Aniž je tím dotčena možnost opravného prostředku ve správním řízení,
který je možno podat, zejména orgánu dozoru uvedenému v článku 28, stanoví všechny členské státy, že každá
osoba má právo v případě porušení práv, jež jí jsou zaručeny vnitrostátními předpisy, které se uplatní na dotčené
zpracování, předložit věc soudu.“ Zákon v §21 a §25 přímo odkazuje na použití občanského zákoníku
a jeho prostřednictvím na možnost uplatňovat práva subjektů údajů v civilním řízení soudním.
Ochrana poskytovaná orgánem dozoru je nástrojem sekundárním, jehož funkcí není rozhodování
o žádostech subjektů údajů, nýbrž výkon dozoru, a to i k podnětům subjektů údajů.
[74] Rovněž v případě čl. 22 směrnice 95/46/ES nelze přeceňovat doslovné české znění,
které používá spojení „možnost opravného prostředku ve správním řízení“. Toto spojení lze vykládat
jako jakoukoli možnost nápravy ve správním řízení, tedy i řízení zahájené z úřední moci
na základě podnětu subjektu údajů. Slovenská verze směrnice užívá spojení „[b]ez toho, aby bolo
dotknuté akékoľvek administratívne prostriedky nápravy, pre ktoré sa môže urobiť predpis, okrem iného pred
dozorným orgánom uvedeným v článku 28“. Anglická verze užívá spojení „[w]ithout prejudice to any
administrative remedy for which provision may be made“, zmiňuje tedy jakýkoli prostředek nápravy, jež
může být ustaven. Německá verze, která obsahuje spojení „[u]nbeschadet des verwaltungsrechtlichen
Beschwerdeverfahrens, das vor Beschreiten des Rechtsweges insbesondere bei der in Artikel 28 genannten
Kontrollstelle eingeleitet werden kann“, hovoří o podání stížnosti k orgánu dozoru. Ani z čl. 22
směrnice nelze dovodit požadavek, aby vnitrostátní předpisy upravily veřejné subjektivní právo
subjektů údajů požádat dozorový orgán o zajištění opatření k nápravě, jemuž by odpovídalo
návrhové správní řízení.
[75] Konečně čl. 28 odst. 3 směrnice upravuje pravomoci orgánu dozoru. Dle odst. 3 se jedná
zejména o pravomoci provádět šetření, účinně zasáhnout a obrátit se na soud. Proti těm
rozhodnutím orgánu dozoru, která dala vzniknout stížnostem, je dle téhož odstavce možné
využít opravný prostředek k soudu. Bude se tedy typicky jednat o případy rozhodnutí žalovaného
o uložení sankce či uložení opatření k nápravě, proti kterým bude podán rozklad k předsedovi
žalovaného. Možnost subjektů údajů podávat žádosti či stížnosti k orgánu dozoru je upravena
samostatně čl. 28 v odst. 4.
[76] Ani touto cestou tak nelze ze směrnice dovodit, že by požadovala návrhové řízení
o žádostech subjektů údajů před orgánem dozoru a že by proto žalovaný byl povinen vydávat
o výsledku řízení rozhodnutí. Aplikace směrnice je v tomto směru natolik jasná, že nevyvolává
důvodné pochybnosti rozšířeného senátu o tom, jak má být předložená otázka vyřešena (CILFIT,
odst. 16).
[77] Požadavek administrativního dozoru nad nakládáním s osobními údaji a soudní ochranu
v těchto záležitostech upravuje shodným způsobem i Dodatkový protokol k Úmluvě o ochraně
osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes
hranice (publ. pod č. 29/2005 Sb.m.s.). Dodatkový protokol v čl. 1 odst. 2 stanoví, že každý
dozorový orgán musí v rámci svých kompetencí projednávat stížnosti podané kteroukoli osobou,
týkající se ochrany jejích práv a základních svobod z hlediska zpracování osobních údajů.
Ani z tohoto ustanovení nevyplývá, že by podání subjektů údajů dozorovému orgánu muselo
nutně mít za následek zahájení správního řízení o žádosti o zjednání nápravy. Postačuje, pokud
má orgán dozoru povinnost zabývat se podáními subjektu údajů a v návaznosti na svá zjištění
je oprávněn zasáhnout (ex offo) proti nezákonnému nakládání s osobními údaji. Vysvětlující
zpráva k dodatkovému protokolu zdůrazňuje, že bez ohledu na existenci administrativního
dozoru a jeho pravomoc zabývat se stížnostmi jednotlivců má každý subjekt údajů právo
domáhat se svých práv u soudu (http://conventions.coe.int/Treaty/FR/Reports/Html/181.htm,
bod 14).
[78] Jak zmínil ve svém vyjádření stěžovatel, Ústavní soud ke změnám v ustálené judikatuře
uvedl, že by měl být jednou učiněný výklad východiskem pro další rozhodování, ledaže dojde
„k následnému shledání dostatečných relevantních důvodů podložených racionálními a přesvědčivějšími argumenty,
ve svém souhrnu více konformnějšími [sic] s právním řádem jako významovým celkem a svědčícími tak pro změnu
judikatury“ (nález Ústavního soudu ze dne 20. 9. 2006, sp. zn. II. ÚS 566/05). Rozšířený senát
Nejvyššího správního soudu právě takové důvody zde předložil.
[79] Z vyložených důvodů je pak možno uzavřít, že podání subjektu osobních údajů
podle §21 odst. 3 i odst. 4 zákona o ochraně osobních údajů, jímž tento subjekt žádá žalovaného
o uložení opatření k nápravě zpracovateli či správci osobních údajů, má charakter podnětu
k uplatnění dozorových pravomocí žalovaného. Toto podání nemá za následek zahájení
správního řízení. Sdělení žalovaného o způsobu vyřízení podnětu je pouhým sdělením úřadu
straně, nikoli rozhodnutím ve smyslu §65 s. ř. s., a není proto přezkoumatelné ve správním
soudnictví dle §70 písm. a) s. ř. s.
V.
Další postup ve věci
[80] Vzhledem k tomu, že předmětem posuzování rozšířeného senátu byla pouze dílčí právní
otázka, která mohla být posouzena samostatně, vrací rozšířený senát podle §71 odst. 1 Jednacího
řádu Nejvyššího správního soudu věc prvnímu senátu, který o ní rozhodne při respektování
vysloveného právního názoru.
Poučení: Proti tomuto usnesení nejsou opravné prostředky přípustné.
V Brně dne 4. září 2012
JUDr. Josef Baxa
předseda rozšířeného senátu