ECLI:CZ:NSS:2017:1.AS.134.2016:28
sp. zn. 1 As 134/2016 - 28
ROZSUDEK
Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně JUDr. Lenky Kaniové
a soudců JUDr. Filipa Dienstbiera a JUDr. Marie Žiškové v právní věci žalobkyně: Česká
republika - Ministerstvo vnitra, se sídlem Nad Štolou 3, Praha 7, proti žalovanému:
Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, Praha 7, o žalobě
proti rozhodnutí předsedy žalovaného ze dne 18. 7. 2013, č. j. UOOU-00671/13-61, v řízení
o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 13. 4. 2016,
č. j. 3 A 87/2013 – 55,
takto:
I. Kasační stížnost se zamítá .
II. Žalobkyně nemá právo na náhradu nákladů řízení o kasační stížnosti.
III. Žalovanému se nepřiznává náhrada nákladů řízení o kasační stížnosti.
Odůvodnění:
I. Vymezení věci
[1] Žalovaný rozhodnutím ze dne 29. 5. 2013, č. j. UOOU-00671/13-54, uložil žalobkyni
pokutu ve výši 30.000 Kč za spáchání správního deliktu podle §45 odst. 1 písm. h) zákona
č. 101/2000 Sb., o ochraně osobních údajů, neboť porušila povinnost stanovenou v §13 odst. 1
téhož zákona, podle které jsou správce a zpracovatel povinni přijmout taková opatření,
aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich
změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování,
jakož i k jinému zneužití osobních údajů. Uvedenou povinnost žalobkyně porušila tím,
že v souvislosti se zpracováním osobních údajů v Schengenském informačním systému (dále jen
„SIS“) Policií ČR neevidovala při nahlížení do tohoto systému konkrétní zákonný důvod lustrace
osob v návaznosti na prokazování totožnosti podle §63 zákona č. 273/2008 Sb., o Policii České
republiky (dále jen „zákon o policii“). Podkladem pro rozhodnutí byla zjištění kontroly
provedené žalovaným ve dnech 26. 10. 2011 až 1. 11. 2012.
[2] Předseda žalovaného zamítl rozklad žalobkyně v záhlaví označeným rozhodnutím.
Zdůraznil, že důvod zpřístupnění osobních údajů musí odpovídat právnímu titulu opravňujícímu
konkrétní osobu k získání požadované informace. Pokud je právním titulem §63 zákona
o policii, je nezbytné zjistit, který z důvodů uvedených v tomto ustanovení nastal a jeho použití
přiměřeně zdokumentovat, a to citací konkrétního ustanovení nebo slovním popisem. Policií
uváděný důvod „kontrola osoby“ nebo „KO“ není s ohledem na znění §63 zákona o policii
dostačující. Proces lustrace v SISu sice lze formálně oddělit od procesu prokazování totožnosti
lustrované osoby, fakticky jsou však tyto procesy neoddělitelné.
[3] Žalobkyně napadla rozhodnutí předsedy žalovaného žalobou u Městského soudu
v Praze, který ji v záhlaví označeným rozsudkem zamítl. Městský soud nepochyboval,
že prokazování totožnosti podle §63 zákona o policii je v celé řadě případů spojeno s lustrací
dané osoby. Samotná znalost totožnosti totiž často není pro policisty dostatečná s ohledem
na účel kontroly (např. hledání konkrétní osoby, ověření blokace řidičského oprávnění). Zároveň
lustraci nelze provést bez znalosti totožnosti osoby. Pokud policista prokazuje totožnost
z některého z důvodů předvídaných v §63 zákona o policii, je tento důvod i oprávněním,
na základě kterého policista případně provede i lustraci. Soud připustil, že právním titulem
pro lustraci či zpracování údajů v SISu mohou být i jiné zvláštní zákony [např. §6 odst. 8 zákona
č. 361/2000 Sb., o provozu na pozemních komunikacích a o změnách některých zákonů (zákon
o silničním provozu)]. Nutnou podmínkou pro oprávněné zpracování je ale vždy existence
konkrétního právního titulu, který takové zpracování příslušnému orgánu veřejné správy
umožňuje. V rámci kontroly a prevence neoprávněných přístupů je podle §13 odst. 4 písm. c)
zákona o ochraně osobních údajů tento právní titul (důvod) povinnou součástí elektronických
záznamů, které evidují zpracování osobních údajů.
[4] V nyní posuzované věci žalovaný zjistil, že v řadě případů policie uváděla
v elektronických záznamech při přístupu do SISu pouze „KO“ nebo „kontrola osoby“ namísto
uvedení konkrétního zákonného důvodu podle §63 zákona o policii nebo jiného zvláštního
zákona. Takové vyjádření důvodu lustrace městský soud považoval za nedostatečné
a nepřezkoumatelné. Soud nepřisvědčil námitce, že žalovaný zaměňoval procesy prokazování
totožnosti a lustrace, neboť žalobkyně neupřesnila, jak měla tato záměna ovlivnit závěry
žalovaného. Bez ohledu na to, zda je lustrace v SISu prováděna v rámci prokazování totožnosti
nebo jiného procesu, vždy je nutné, aby byl z elektronického záznamu zřejmý konkrétní právní
důvod opravňující k lustraci. Tomuto požadavku může vyhovět jak odkaz na konkrétní zákonné
ustanovení, tak dostatečné slovní vymezení důvodu lustrace.
[5] Podle městského soudu policie neprokázala zajištění opatření ve smyslu §13 odst. 1
zákona o ochraně osobních údajů ani předložením úředních záznamů v průběhu kontroly
prováděné žalovaným, a to zejména s ohledem na několikaměsíční časový odstup mezi
posuzovanými přístupy do SISu a vyhotovením úředních záznamů, ke kterému došlo až před
odesláním vyjádření policejního prezidia inspektorce. Nadto, v řadě těchto úředních záznamů
chyběly konkrétní právní důvody provedení lustrace.
II. Obsah kasační stížnosti
[6] Žalobkyně (dále jen „stěžovatelka“) brojila proti rozsudku městského soudu kasační
stížností z důvodu uvedeného v §103 odst. 1 písm. a) zákona č. 150/2002 Sb., soudního řádu
správního (dále jen „s. ř. s.“).
[7] Stěžovatelka prohlásila, že neporušila povinnost stanovenou v §13 odst. 1 zákona
o ochraně osobních údajů, nemohla se proto dopustit vytýkaného deliktu. Policie přijala
a provádí opatření pro zajištění bezpečnosti zpracování osobních údajů. Při kontrole doložila
důvod dotazu u všech požadovaných přístupů k osobním údajům. Stěžovatelka považovala
za prokázané, že policie evidovala při nahlížení do SISu konkrétní důvod lustrace osob.
Nesouhlasila proto se závěrem městského soudu, že praxe police nebyla dostatečná.
[8] Městský soud zaměnil proces prokazování totožnosti a proces provádění lustrace
v informačních systémech. Tato záměna pak vedla k závěru o porušení povinností policií.
Uvedené procesy jsou přitom relativně samostatné. Mohou být prováděny samostatně nebo
mohou být provázány. Každý má také svůj účel a samostatnou úpravu. Účelem prokazování
totožnosti podle §63 zákona o policii je získání informace o identitě osoby, zatímco účelem
lustrace v informačních systémech je získání dalších informací k dané osobě. V rámci procesu
prokazování totožnosti může být (je-li to potřebné) provedena i lustrace v informačních
systémech. Proces lustrace však může být prováděn i zcela samostatně v rámci jiných procesů
nebo při plnění jiných úkolů policie (např. v rámci úkonů trestního řízení). Interní úprava
procesu lustrace vychází z povinností policie stanovených zákonem o ochraně osobních údajů.
[9] Podle stěžovatelky policie plní povinnosti stanovené v §13 odst. 3 písm. b)
a odst. 4 písm. c) zákona o ochraně osobních údajů. Pořizuje elektronické záznamy, které
umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak
zpracovány. V případě lustrace prováděné v rámci procesu prokazování totožnosti policie uvádí
jako důvod přístupu do systému zpravidla „KO“ nebo „kontrola osoby“. Kromě toho jsou
zaznamenávány i další údaje o tom, kdy byl přístup proveden, kým a případně pro koho (pokud
např. příslušník policie provádějící kontrolu v terénu požádá o provedení lustrace příslušníka
policie zařazeného na operačním pracovišti). Jsou tak zaznamenávány údaje, které umožňují
ověřit, z jakého důvodu byly osobní údaje zpřístupněny, a umožňují provedení následné
kontroly.
[10] Zákon o ochraně osobních údajů neukládá správci údajů povinnost zaznamenávat
konkrétní ustanovení zákona, které bylo právním titulem pro využití osobních údajů,
ale požaduje zaznamenávat důvod zpracování (tedy i využití) osobních údajů. Pokud
by zákonodárce vyžadoval uvedení konkrétního ustanovení, použil by jinou formulaci. Uvedení
zákonného ustanovení je sice logickým předpokladem oprávněnosti zpracování (a tedy i využití)
osobních údajů, v konkrétním případě však nemusí být tím nejlepším vyjádřením skutečného
důvodu využití osobních údajů. Skutečnost, že je v účelu dotazu uváděna konkrétní činnost (jíž
je nepochybně kontrola osoby), umožňuje cílené zaměření kontrolní činnosti na využití osobních
údajů. Je proto zřejmé, že uvádění důvodu, jak byl výše popsán, je zcela dostatečné.
[11] Požadavek na uvedení pokud možno co nejkonkrétnějšího důvodu je obecně naprosto
oprávněný. Je proto např. logické, že se jako důvod dotazu uvede číslo jednací, pokud existuje,
neboť následně je ve spisu ověřitelná existence osoby, jejíž osobní údaje byly využity. Naproti
tomu požadované uvedení důvodu prokazování totožnosti k možnosti ověření oprávněnosti
dotazu nepřispěje. Požadavek soudu na uvedení konkrétního zákonného ustanovení nebude
žádnou důslednější prevencí a nijak neusnadní kontrolní činnost. Pokud si příslušník policie
„vymyslí “ a nahlásí operačnímu středisku jako důvod lustrace „kontrola osoby“, může si po zavedení
soudem navrhované praxe stejně tak vymyslet jakýkoliv důvod uvedený v §63 zákona o policii.
Pokud vyvstane potřeba prokázat oprávněnost dotazu, bude třeba znovu provést kontrolu
na příslušném útvaru policie. Uvedení konkrétního důvodu prokazování totožnosti
neoprávněným přístupům nezabrání, neboť je tento údaj fakticky neověřitelný. Navíc, proces
prokazování totožnosti může proběhnout bez toho, aby byly pořízeny nějaké dokumenty,
z nichž by bylo možné ověřit existenci důvodu lustrace.
[12] Závěrem stěžovatelka zdůraznila, že SIS je společným sdíleným mezinárodním pátracím
systémem, jehož účelem je chránit veřejný pořádek a veřejnou bezpečnost [viz zejm. čl. 1 odst. 2
a čl. 2 odst. 1 rozhodnutí Rady 2007/533/JHA o zřízení, provozování a využívání
Schengenského informačního systému druhé generace (SIS II) a čl. 92 odst. 1 Úmluvy
k provedení Schengenské dohody]. Z účelu SISu vyplývá, že jeho využití při každé policejní
činnosti na úseku ochrany veřejného pořádku musí být prioritou. Z tohoto pohledu je pak
uvádění důvodu přístupu jako „KO“ nebo „kontrola osoby“ zcela dostatečné. Důvody zpřístupnění
osobních údajů v SISu korespondující s oprávněními konkrétní osoby získat požadované
informace.
III. Vyjádření žalovaného
[13] Žalovaný se ve vyjádření ke kasační stížnosti plně ztotožnil s napadeným rozsudkem.
Stěžovatelka z velké části pouze opakuje námitky uplatněné v průběhu kontroly a správního
řízení. Žalovaný proto připomněl svou předchozí argumentaci a zdůraznil, že správce údajů
je schopen plnit své povinnosti pouze tehdy, pokud může rozpoznat oprávněného uživatele
od neoprávněného. Důvod přístupu osobních údajů musí odpovídat právnímu titulu
opravňujícímu konkrétní osobu k získání požadovaných informací. Poznámka „kontrola osoby“
nebo „KO“ je velmi vágní a nepostačuje k zohlednění souvisejících rizik. K námitce záměny
procesu prokazování totožnosti a lustrace v SISu žalovaný podotkl, že z kontrolních zjištění
vyplynulo, že policie provádí lustraci v SISu vždy, pokud jí předchází prokazování totožnosti.
Žalovaný připustil, že lustrace v SISu může být prováděna i v rámci jiných procesů
než prokazování totožnosti, v těchto souvislostech však nebyla zjištěna žádná pochybení a řízení
se těchto jiných procesů netýkalo.
[14] Žalovaný nesouhlasil s námitkou, že uvedení konkrétního důvodu podle §63 zákona
o policii nepřispěje k možnostem prověřit oprávněnost přístupu. Taková praxe by naopak
umožnila jednání příslušné osoby hlouběji prověřit a byla by i dobrou prevencí před
porušováním §13 zákona o ochraně osobních údajů. Pozitivní účinek takového opatření ostatně
připouští i tvrzení stěžovatelky, byť je vnitřně rozporné. Stěžovatelka totiž na jedné straně
akceptuje konkretizaci důvodu lustrace, ale zároveň ji bezdůvodně odmítá. Dochází-li k tomu,
jak stěžovatelka naznačuje, že nejsou pořizovány žádné dokumenty nebo je důvod lustrace
falšován, je přidaná hodnota předmětného opatření o to více zjevná. Uvedení konkrétního
důvodu lustrace by totiž v uvedených souvislostech poskytovalo jediný podklad k prověření
předmětného jednání a ztížilo možnost předstírat zástupné důvody pro lustraci. Závěrem
žalovaný podotkl, že nijak nezpochybňuje význam SISu. Provozování informačního systému
takové důležitosti ovšem nepochybně zároveň vyžaduje i odpovídající stupeň zabezpečení
osobních údajů proti neoprávněným přístupům ve smyslu §13 zákona o ochraně osobních
údajů.
IV. Posouzení věci Nejvyšším správním soudem
[15] Kasační stížnost je přípustná. Důvodnost kasační stížnosti soud posoudil v mezích
jejího rozsahu a uplatněných důvodů a zkoumal přitom, zda napadené rozhodnutí netrpí vadami,
k nimž je povinen přihlédnout z úřední povinnosti (§109 odst. 3 a 4 s. ř. s.).
[16] Kasační stížnost není důvodná.
[17] Stěžovatelka nečiní sporným skutečnost, že v řadě případů zjištěných během kontroly
(podrobně popsaných na str. 6 napadeného rozsudku) prováděné žalovaným v období
od 26. 10. 2011 do 1. 11. 2012 policie uvedla jako důvod přístupu do SISu pouze údaj „kontrola
osoby“ nebo „KO“. Stěžovatelka připouští, že tato praxe je běžná, a považuje ji za dostatečnou
z důvodů popsaných v kasační stížnosti.
[18] Nejvyšší správní soud stěžovatelce nepřisvědčil a naopak se ztotožnil s městským
soudem, že důvod lustrace v SISu vymezený pouze jako „kontrola osoby“ nebo „KO“ je příliš vágní
na to, aby bylo možné přezkoumat oprávněnost přístupu k osobním údajům. Takto neurčité
odůvodnění přístupu do SISu s sebou nese riziko možného zneužití, a to zvláště v případech,
kdy není o kontrole osoby pořízen žádný jiný záznam. Existenci takových případů připustila
samotná stěžovatelka v kasační stížnosti a tato skutečnost vyplývá i z kontrolních zjištění
zaznamenaných ve správním spisu, kdy k dodatečné žádosti inspektorky policie zaslala dne
27. 6. 2012 záznam o prvních pěti přístupech policie do SISu dne 10. 10. 2011 od 0:00 hod.
Důvod přístupu byl vymezen jako „ko“ nebo „kontrola“. K těmto záznamům policie připojila
pouze dodatečně vyhotovené (ve dnech 10. až 14. 6. 2012) úřední záznamy nebo „služební
vyjádření “ policistů, kteří provedli lustraci v SISu nebo o ni požádali. Z těchto vyjádření
vyplynulo, že výsledek lustrace v SISu byl negativní a dané osoby nebyly vedeny ani v žádné jiné
policejní evidenci. Z tohoto důvodu pak o kontrole daných osob neexistovaly jiné dokumenty
než právě elektronický záznam o přístupu do SISu, v němž byl důvod lustrace vymezen výše
popsaným neurčitým způsobem.
[19] Je proto zřejmé, že přinejmenším v některých případech je elektronický záznam (tzv. log)
jediným dokladem o tom, kdo do daného systému nahlížel a z jakých důvodů. Soud proto
nepřisvědčil tvrzení stěžovatelky, že i praxe nastavená v době kontroly umožňovala zpětnou
kontrolu oprávněnosti přístupu.
[20] Podstatná část kasačních námitek stěžovatelky se pohybovala pouze v rovině prostých
tvrzení. Stěžovatelka např. uvedla, že „prohlašuje, že neporušil[a] povinnost stanovenou v §13 zákona
o ochraně osobních údajů “, že „ policie přijala a provádí opatření pro zajištění bezpečnosti zpracování osobních
údajů “ nebo že „policie evidovala při nahlížení do tohoto systému konkrétní důvod lustrace“. Závěr
městského soudu, že praxe uvádění důvodu přístupu do SISu pouze jako „ko“ nebo „kontrola“
není dostatečná z hlediska požadavků §13 zákona o ochraně osobních údajů, však ničím
konkrétním nezpochybnila ani nevyvrátila.
[21] Nejvyšší správní soud považuje za nedůvodné také námitky, že městský soud zaměnil
proces lustrace s procesem prokazování totožnosti a že ze zákona o osobních údajích nevyplývá
povinnost uvést odkaz na konkrétní zákonné ustanovení prokazování totožnosti. Obdobné
námitky stěžovatelka vytkla již v žalobě žalovanému a městský soud se s nimi řádně vypořádal.
Z napadeného rozsudku vyplývá, že městský soud si byl vědom, že proces prokazování
totožnosti a proces lustrace nejsou totožné. Připustil, že přístup do SISu může být založen nejen
na §63 zákona o policii, ale i na jiných zvláštních zákonech. V každém případě je však třeba,
aby byl zřejmý konkrétní právní důvod. Ten může být podle městského soudu vyjádřen odkazem
na zákonné ustanovení nebo dostatečným slovním vyjádřením. Stěžovatelka tedy brojila proti
závěru, který městský soud neučinil.
[22] V této souvislosti soud připomíná smysl §13 zákona o ochraně osobních údajů, jímž
je zamezit neoprávněnému přístupu ke zpracovávaným a zpracovaným osobním údajům.
Odstavec 1 tohoto ustanovení ukládá správci a zpracovateli údajů povinnost „přijmout taková
opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně,
zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití
osobních údajů “. Odstavec 4 pak doplňuje zvláštní povinnosti v oblasti automatizovaného
zpracování osobních údajů, mezi něž patří povinnost „c) pořizovat elektronické záznamy, které umožní
určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány“.
Zpracováním osobních údajů se přitom podle §4 písm. e) téhož zákona rozumí „jakákoliv operace
nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji,
a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování,
ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání,
šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.“ Je proto
nepochybné, že povinnost pořizovat elektronické záznamy obsahující mimo jiné údaj o důvodu
zpracování údajů zahrnuje povinnost uvést důvod zpřístupnění a vyhledávání osobních údajů
v automatizovaném systému.
[23] Z citovaných ustanovení je zřejmé, že povinnost uložená správci a zpracovateli osobních
údajů může být naplněna tehdy, pokud je již ze samotných elektronických záznamů zřejmé,
z jakého důvodu byly osobní údaje zpracovány. Soud se neztotožňuje s tvrzením stěžovatelky,
že tomuto požadavku dostojí uvedení vyjádření důvodu přístupu slovy „kontrola osoby“ nebo
„KO“. Je-li i za této situace možné v rámci následné kontroly z jiných zdrojů doložit podrobnosti
takového přístupu, jak tvrdí stěžovatelka, může být tato skutečnost významná pro posouzení
oprávněnosti přístupu. Z hlediska požadavků §13 zákona o ochraně osobních údajů, který
má mimo jiné i preventivní charakter, však taková situace vyhovující není. Ostatně i stěžovatelka
připustila, že požadavek na uvedení pokud možno co nejkonkrétnějšího důvodu je obecně
naprosto oprávněný a jako příklady zmínila uvedení jednacího čísla řízení, v rámci něhož byla
lustrace požadována.
[24] Dostatečnost vymezení důvodu přístupu jako „kontrola osoby“ nebo „KO“ nelze opřít ani
o význam a účel SISu. Naopak právě s ohledem na skutečnost, že se jedná o jeden z pátracích
systémů, v němž je zaznamenána řada údajů o velkém počtu osob, je třeba klást zvýšený důraz
na ochranu osobních údajů jednotlivců, které jsou v něm obsaženy.
[25] Nelze přehlédnout, že jsou to právě informační systémy provozované pomocí výpočetní
techniky, které svojí podstatou umožňují zneužití osobních údajů v masovém měřítku,
a to způsobem, co do objemu i možností využití takto získaných dat, vysoce společensky
nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění
s sebou navíc nenese nikterak nepřiměřené náklady. Je-li automatizované zpracování osobních
údajů využíváno, nemůže činit za současného stavu techniky problém implementovat
do používaného systému na zpracování osobních údajů další vedlejší funkci – zaznamenávání
určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah a důvod přístupu
do systému. Takové opatření má vysoký preventivní účinek proti zneužití údajů z informačního
systému, neboť každý, kdo s ním oprávněně pracuje, si musí být vědom, že je možno zpětně
ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo
oprávněně. Důraz na ochranu osobních údajů se uplatní tím spíše v případě bezpečnostních
složek, neboť propojenost různých informačních systémů, jimiž disponují, nese zvýšenou míru
rizika neoprávněného úniku osobních údajů fyzických osob.
V. Závěr a náklady řízení o kasační stížnosti
[26] Nejvyšší správní soud shledal kasační stížnost nedůvodnou, proto ji zamítl (§110 odst. 1
s. ř. s.).
[27] O náhradě nákladů řízení o kasační stížnosti Nejvyšší správní soud rozhodl podle
§60 odst. 1 věty první s. ř. s. za použití §120 s. ř. s. Stěžovatelka nebyla v řízení o kasační
stížnosti úspěšná, proto nemá právo na náhradu nákladů řízení. Žalovanému, jemuž by jinak
právo na náhradu nákladů řízení o kasační stížnosti příslušelo, soud náhradu nákladů řízení
nepřiznal, protože mu v řízení o kasační stížnosti žádné náklady nad rámec jeho běžné úřední
činnosti nevznikly.
Poučení: Proti tomuto rozsudku ne j so u opravné prostředky přípustné.
V Brně dne 27. dubna 2017
JUDr. Lenka Kaniová
předsedkyně senátu