Nejvyšší správní soud rozsudek správní

1 As 71/2024

ze dne 2024-09-16
ECLI:CZ:NSS:2024:1.AS.71.2024.53

Plný text rozhodnutí

1 As 71/2024- 53 - text

 1 As 71/2024 - 56

pokračování

[OBRÁZEK]

ČESKÁ REPUBLIKA

ROZSUDEK

JMÉNEM REPUBLIKY

Nejvyšší správní soud rozhodl v senátu složeném z předsedy Michala Bobka, soudkyně Lenky Kaniové a soudce Ivo Pospíšila v právní věci žalobce: Ing. L. P., Ph.D, zast. Mgr. Tomášem Bučkem, advokátem se sídlem Milady Horákové 1957/13, Brno, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 727/27, Praha 7, o žalobě na ochranu proti nečinnosti žalovaného v řízení o stížnosti žalobce vedeném pod sp. zn. UOOU 01105/20, v řízení o kasační stížnosti žalobce proti usnesení Městského soudu v Praze ze dne 26. 2. 2024, č. j. 9 A 19/2024 14,

I. Kasační stížnost se zamítá.

II. Žalobce nemá právo na náhradu nákladů řízení o kasační stížnosti.

III. Žalovanému se nepřiznává náhrada nákladů řízení o kasační stížnosti.

[1] V jaké lhůtě má dozorový úřad (ochrany osobních údajů) rozhodnout o stížnostech subjektů údajů podaných dle čl. 77 GDPR? Tuto otázku musel Nejvyšší správní soud v této věci posoudit jako otázku předběžnou za účelem zjištění, zda Městský soud v Praze správně odmítl žalobu na ochranu proti nečinnosti dozorového úřadu jako opožděnou.

[2] Žalobce podal dne 10. 2. 2020 u žalovaného stížnost podle čl. 77 odst. 1 Nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, Úř. věst. L 119/1 ze dne 4. 5. 2016 (dále „GDPR“). Ve věci této stížnosti se poté žalobou podanou u Městského soudu v Praze dne 15. 2. 2024 domáhal ochrany proti nečinnosti žalovaného podle čl. 78 odst. 2 GDPR.

[3] Městský soud žalobu odmítl pro opožděnost usnesením označeným v záhlaví. Vycházel přitom ze svého dřívějšího usnesení ze dne 25. 1. 2024, č. j. 15 A 141/2023 35, kterým v řízení se shodnými účastníky ve skutkově i právně obdobné věci taktéž odmítl žalobu pro opožděnost. Podle městského soudu je při posuzování včasnosti žaloby na ochranu proti nečinnosti dozorového úřadu ve věci prověřování stížnosti podle čl. 77 odst. 1 GDPR nezbytné zohlednit okamžik podání stížnosti a tříměsíční lhůtu k informování o pokroku v řešení stížnosti obsaženou v čl. 78 odst. 2 GDPR. Jednoroční lhůta, kterou k podání žaloby na ochranu proti nečinnosti stanovuje § 80 odst. 1 zákona č. 150/2002 Sb., soudní řád správní (dále „s. ř. s.“), započala v tomto případě uplynutím tří měsíců od podání stížnosti žalobcem (tzn. 10. 5. 2020). Lhůta pro podání žaloby tak marně uplynula dne 10. 5. 2021. Městský soud dále konstatoval, že by žaloba byla opožděná i v případě, že by se na žalobcovu stížnost vztahovala lhůta pro vydání rozhodnutí obsažená v § 71 zákona č. 500/2004 Sb., správní řád. Konečně, žaloba by byla opožděná rovněž v případě, že by zvláštní právní předpis nestanovil žádnou lhůtu vydání rozhodnutí o stížnosti (ve smyslu § 80 odst. 1 s. ř. s.).

[4] Závěrem městský soud rovněž konstatoval, že žalobcem formulovaný žalobní petit, který kromě vyslovení nečinnosti dozorového orgánu požadoval vícero věcných deklarací co do korektnosti různých právních závěrů zastávaných žalobcem, nemá oporu v zákoně. Odstraňování takové vady by však nebylo bývalo účelné, protože nemohlo nijak ovlivnit výsledek řízení (tj. odmítnutí žaloby pro opožděnost). II. Kasační stížnost žalobce a vyjádření žalovaného

[5] Žalobce (dále „stěžovatel“) napadá usnesení městského soudu kasační stížností z důvodu podle § 103 odst. 1 písm. e) s. ř. s. Navrhuje usnesení zrušit a vrátit věc městskému soudu k dalšímu řízení.

[6] Stěžovatel namítá, že městský soud pochybil, když vyložil tříměsíční lhůtu v čl. 78 odst. 2 GDPR jako lhůtu k vydání konečného rozhodnutí o stížnosti. Pokud je dozorový úřad (žalovaný) činný a subjekt údajů dostává průběžné informace o jeho činnosti, není namístě obracet se na soud s žalobou na ochranu proti nečinnosti. Dne 19. 1. 2023 informoval žalovaný stěžovatele o pokroku v řešení jeho stížnosti, tudíž byl ve věci činný. Stěžovatel na základě čl. 78 odst. 2 GDPR vyhodnotil, že ho má žalovaný informovat o pokroku v řešení jeho stížnosti nebo o ukončení šetření ve lhůtě tří měsíců od tohoto dne.

[7] Stěžovatel dále rozvádí, že městský soud měl zohlednit poslední úkon žalovaného (19. 1. 2023), a poté na základě čl. 78 odst. 2 GDPR připočíst tři měsíce a až od tohoto momentu (19. 4. 2023) počítat roční lhůtu pro podání žaloby na ochranu proti nečinnosti. Podle takového výpočtu by lhůta pro podání žaloby uplynula 19. 4. 2024. Žaloba podaná žalobcem 15. 2. 2024 by tak byla včasná. Alternativě žalobce předkládá druhou možnost výpočtu lhůty pro podání žaloby. Městský soud měl opět nejprve zohlednit poslední úkon žalovaného (19. 1. 2023), na základě § 71 odst. 3 správního řádu připočíst 30 dní na vydání rozhodnutí (18. 2. 2023) a až od tohoto momentu začít počítat roční lhůtu pro podání žaloby. Podle tohoto výpočtu by lhůta uplynula 18. 2. 2024 a žaloba podaná 15. 2. 2023 by byla i v tomto případě včasná.

[8] Nadto stěžovatel v kasační stížnosti uvádí několik rozhodnutí Soudního dvora Evropské unie, kterými podpírá své tvrzení, že se dozorové orgány příslušné k řešení stížnosti podle čl. 77 GDPR (v České republice žalobce) mohou stížnostmi zabývat po dobu delší než 3 měsíce. Tento právní názor stěžovatel dovozuje ze skutečnosti, že ve věcech, které byly následně předloženy Soudnímu dvoru EU v rámci řízení o předběžné otázce, trvalo výchozí řízení před vnitrostátními orgány dozoru déle než 3 měsíce.

[9] Ke kasační stížnosti se vyjádřil žalovaný. Navrhuje ji zamítnout pro nedůvodnost. Žalovaný nesouhlasí s městským soudem ve výkladu čl. 78 odst. 2 GDPR. Tříměsíční lhůtu podle žalovaného nelze vykládat jako lhůtu pro vydání rozhodnutí, ani ji považovat za lhůtu „stanovenou zvláštním zákonem pro vydání rozhodnutí“ ve smyslu § 80 odst. 1 s. ř. s. Takový výklad by „nahrazoval nedostatečnou adaptaci [nařízení] GDPR do českého právního řádu, především do spr. ř.“ Žalobce však souhlasí se závěrem městského soudu týkajícím se vad žalobního petitu.

[10] Na vyjádření žalovaného reagoval stěžovatel replikou. V ní opakuje část své kasační argumentace, projevuje nesouhlas s vyjádřením žalovaného a upozorňuje, že „domnělá“ nedostatečná adaptace, o které žalovaný ve vyjádření píše, není v souladu s článkem 288 odst. 2 Smlouvy o fungování EU potřeba. K otázce formulování žalobního petitu stěžovatel uvádí, že jej městský soud měl vyzvat k odstranění vady podání, nikoli žalobu odmítnou pro opožděnost. Stěžovatel rovněž uvádí, že pokud městský soud „chybně aplikoval § 80 [s. ř. s.] a tato pasáž není na nečinnostní žalobu aplikovatelná, pak je nutné přihlédnout k tomu, že čl. 78 GDPR nestanovuje žádnou maximální dobu pro podání nečinnostní žaloby, a proto tedy žaloba na nečinnost nemohla být podána pozdě.“

[11] Žalovaný ve své replice znovu podtrhává dle jeho názoru nedostatečnou adaptaci GDPR zákonem č. 110/2019 Sb., o zpracování osobních údajů. Připouští, že podání dle čl. 77 GDPR je z pohledu hmotného práva možné považovat za stížnost, pro kterou však není upraven žádný procesní rámec ve vnitrostátním právu. Žalovanému nicméně nepřísluší překlenovat tento deficit právní úpravy. Záleží na okolnostech případu, jak může být stížnost subjektu údajů dle čl. 77 GDPR posouzena. V některých případech může jít o podnět k zahájení (jiného) řízení dle § 42 správního řádu. Je li na základě podání subjektu údajů žalovaným shledáno možné porušení GDPR, může žalovaný zahájit jiné řízení (ať již dle zákona č. 255/2012, Sb., o kontrole, nebo dle zákona č. 205/2016 Sb., o odpovědnosti za přestupky a řízení o nich, či dalším řízení dle správního řádu „ohledně uložení opatření k odstranění zjištěných nedostatků správci či zpracovateli“). Společným jmenovatelem všech těchto případných navazujících řízení však zůstává, že podatel původního podnětu (tedy subjekt údajů) v nich nemá žádné procesní postavení či procesní práva.

[12] Přípisem ze dne 15. 8. 2024 se Nejvyšší správní soud obrátil na oba účastníky řízení se třemi dodatečnými otázkami ohledně charakteru rozhodování žalovaného dle čl. 77 GDPR a možnosti jeho soudního přezkumu.

[13] Stěžovatel v odpovědi zdůraznil, že posuzování stížností subjektů údajů dle čl. 77 GDPR jako prostého podnětu dle § 42 správního řádu je hrubě v nesouladu s jasnými požadavky GDPR, stejně jako novější judikatury Soudního dvora (rozsudek ze dne 7. 12. 2023, Land Hessen, spojené věci C 26/22 a C 64/22). Dozorový orgán rozhoduje o právech a povinnostech přinejmenším subjektů údajů. Je proto povinen za tímto účelem vydat rozhodnutí o žádosti dle čl. 77 GDPR podle správního řádu. Stěžovatel dále zdůraznil, že jakékoliv jiné řešení by bylo v rozporu s právem na spravedlivý proces v českém i unijním správním řízení, stejně jako vysokou mírou ochrany osobních údajů, kterou GDPR vyžaduje.

[14] Žalovaný se svém vyjádření rekapituloval průběh dosavadního řízení, stejně jako četných dalších stížností stěžovatelem učiněných. S ohledem na NSS předestřené právní otázky v zásadě zrekapituloval svoji dosavadní pozici: stížnosti subjektů údajů dle čl. 77 GDPR jsou dle jeho názoru prosté podněty, které v případě, že jsou důvodné, mohou vést žalovaného k zahájení jiného řízení. Právo na soudního ochranu dle čl. 78 GDPR, které navazuje na čl. 77 GDPR, bude relevantní pouze v případě, kdyby bylo výsledkem šetření stížnosti podané subjektem údajů rozhodnutí v materiálním smyslu, kterým by byla zakládána, měněna nebo rušena práva nebo povinnosti stěžovatele. K takové situaci by dle žalovaného mohlo dojít pouze v případě, kdyby na základě podání subjektu údajů dospěl žalovaný k závěru, že vůči danému správci či zpracovateli osobních údajů žádné další šetření ani řízení nepovede, tedy dle úvodního bodu čl. 141 preambule GDPR takovou stížnost odmítl či zamítl. K tomu však v projednávané věci nedošlo: na základě stěžovatelova, stejně jako řady dalších podnětů, začal žalovaný uplatňovat svoji dozorovou pravomoc ve věci „problematiky zpracování osobních údajů uživatelů webových stránek provozovaných společností Seznam.cz, a.s. prostřednictvím cookies resp. souhlasu s personalizací reklamy systémově, stížnost stěžovatele tedy neodmítl a problematikou se zabývá“. III. Posouzení věci Nejvyšším správním soudem

[15] Kasační stížnost je včasná, podaná osobou oprávněnou, zastoupenou advokátem, a přípustná. Důvodnost kasační stížnosti Nejvyšší správní soud posoudil v mezích jejího rozsahu a uplatněných důvodů. Zkoumal přitom, zda napadené rozhodnutí netrpí vadami, k nimž je povinen přihlédnout z úřední povinnosti (§ 109 odst. 3 a 4 s. ř. s.).

[16] Kasační stížnost není důvodná.

[17] Článek 77 GDPR je nadepsán „právo podat stížnost u dozorového úřadu“. Zní: „1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení. 2. Dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78.“ (Zvýrazněno NSS).

[18] Na právě citované ustanovení navazuje článek 78, který stanoví „právo na účinnou soudní ochranu vůči dozorovému orgánu“: „1. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každá fyzická nebo právnická osoba právo na účinnou soudní ochranu proti právně závaznému rozhodnutí dozorového úřadu, které se jí týká. 2. Aniž je dotčena jakákoli jiná správní či mimosoudní ochrana, má každý subjekt údajů právo na účinnou soudní ochranu, pokud se dozorový úřad, který je příslušný podle článků 55 a 56, stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti podané podle článku 77 či o jeho výsledku. […]“ (Zvýrazněno NSS).

[19] Konečně čl. 57 odst. 1 písm. f) GDPR, který primárně vymezuje „úkoly“ vnitrostátního dozorového úřadu, upřesňuje, že: „zabývá se (dozorový úřad na svém území) stížnostmi, které mu podá subjekt údajů (…), a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem.“ (Zvýrazněno NSS).

[20] Výkladu čl. 77 a 78 GDPR má napomáhat úvodní bod č. 141 preambule GDPR, který upřesňuje, že: „Každý subjekt údajů by měl mít právo podat stížnost u jediného dozorovému úřadu, zejména v členském státě, kde má své obvyklé bydliště, a právo na účinnou soudní ochranu v souladu s článkem 47 Listiny, jestliže se domnívá, že byla porušena jeho práva podle tohoto nařízení, nebo pokud dozorový úřad na stížnost nereaguje, stížnost zcela či částečně odmítne či zamítne, nebo pokud nekoná, přestože je to nutné z důvodu ochrany práv subjektu údajů. Šetření, které následuje po podání stížnosti, by mělo být s výhradou soudního přezkumu provedeno v rozsahu, jenž je v daném případě přiměřený. Dozorový úřad by měl subjekt údajů v přiměřené lhůtě informovat o pokroku v řešení stížnosti a o jeho výsledku. Je li v dané věci zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem, měl by být subjekt údajů informován průběžně. […].“ (Zvýrazněno NSS).

[21] S ohledem na výše uvedené znění předmětných ustanovení GDPR, a to včetně čl. 78 odst. 2, Nejvyšší správní soud sdílí názor žalovaného, že GDPR samo nestanoví lhůtu vnitrostátnímu dozorovému úřadu pro vydání rozhodnutí. Čl. 78 odst. 2 GDPR ukládá vnitrostátním dozorový úřadům ochrany osobních údajů (v ČR tedy žalovanému) pouze informovat stěžovatele, nikoli rovněž stížnost v této lhůtě vyřešit. NSS ustanovení čl. 78 odst. 2 GDPR vnímá jako minimální požadavek stanovený samotným nařízením: do tří měsíců o podání stížnosti musí příslušný vnitrostátní dozorový úřad přinejmenším „projevit známky života“. Nejedná se však o specifickou úpravu lhůty pro vydání rozhodnutí. To je přenecháno vnitrostátním úpravám členských států.

[22] Stejně tak má žalovaný pravdu, že (hlavní) adaptační předpis k GDPR, tedy zákon č. 110/2019 Sb., o zpracování osobních údajů, žádný specifický procesní rámec pro vyřizování stížností subjektů údajů dle čl. 77 GDPR neupravuje. Žalovaný se nicméně mýlí, pokud z této skutečnost dovozuje, že jeho rozhodování o právech a povinnostech subjektů údajů podle čl. 77 GDPR se proto odehrává mimo jakýkoliv procesní, a především časový, rámec.

[23] Jedním z výchozích principů vnitrostátní aplikace unijního práva je procesní autonomie členského státu. Ta pochopitelně platí rovněž pro vnitrostátní provádění samotným unijním nařízením neupravených procesních či jiných institutů, jakou jsou právě jednotlivé okolnosti realizace GDPR zaručených hmotných práv v čl. 77 a 78 GDPR. Ostatně v tomto specifickém kontextu Soudní dvůr v rozsudku ze dne 12. 1. 2023, Nemzeti Adatvédlmi és Információszabadság Hatóság, C 132/21, body 43 a 45, potvrdil, že: „Nařízení 2016/679 ukládá totiž mimo jiné příslušným orgánům členských států povinnost zajistit vysokou úroveň ochrany práv zaručených článkem 16 SFEU a článkem 8 Listiny […] Vzhledem k tomu, že neexistuje unijní právní úprava v dané oblasti, přísluší každému členskému státu, aby na základě zásady procesní autonomie členských států stanovil pravidla týkající se správního a soudního řízení určeného k zajištění vysoké úrovně ochrany práv, která jednotlivcům vyplývají z unijního práva.”

[24] Je tedy věcí českého práva podřadit řízení, vedené před českým správním orgánem, jehož hmotně právní základ je v přímo aplikovatelném unijním nařízení, pod odpovídající ustanovení českého práva. Pro toto posouzení je rovněž podstatné, že Soudní dvůr v rozsudku ze dne 7. 12. 2023, Land Hessen, spojené věci C 26/22 a C 64/22, body 47 až 60, vyloučil obdobný výklad v tomto řízení zastávaný žalovaným, tedy že by stížnost subjektu údajů podle čl. 77 GDPR mohla být vnímána jako prostý „podnět“ subjektu údajů dozorovému orgánu, ze kterého by plynula pouze povinnost dozorového orgánu podatele o osudu jeho podnětu zpravit (v českých podmínkách tedy podnět k zahájení řízení dle § 42 správního řádu, za podmínek tam stanovených). Soudní dvůr odmítl podobný přístup některých německých soudů, které vnímaly stížnost subjektů údajů dle čl. 77 GDPR jako pouhou „petici“, ze které plynulo pouze právo petenta být zpraven o závěru šetření (podrobněji k analogické německé úpravě usnesení správního soudu ve Wiesbadenu ze dne 11. 1. 2022, sp. zn. 6 K 441/21.WI, body 23 31, přístupné na www.curia.europa.eu, kterým tento soud předložil právě předběžnou otázku v věci C 26/22).

[25] Soudní dvůr naproti tomu zdůraznil, že z texu, smyslu i účelu čl. 77 a 78 GDPR jasně plyne, že vnitrostátní dozorový orgán rozhoduje vydáním právně závazného rozhodnutí (bod 50) o právech a povinnostech subjektů údajů. Za účelem účinného vyřizování podaných stížností přiznává čl. 58 GDPR dozorovému orgánu významné vyšetřovací, stejně jako různé nápravné pravomoci, které může dozorový orgán vůči správci údajů v daném řízení přijmout (bod 57). Soudní dvůr proto uzavřel, že řízení o stížnost podle čl. 77 GDPR, „není podobné řízení o petici, je koncipováno jako mechanismus schopný účinně chránit práva a zájmy subjektů údajů“ (bod 58 rozsudku Soudního dvora ve věcech C 26/22 a C 64/22).

[26] V důsledku tohoto zpřesnění co do charakteru práv, které mají být přímo v řízení podle čl. 77 GDPR před vnitrostátním dozorovým orgánem chráněna, stejně jako typu rozhodnutí, které má daný dozorový orgán přijmout, se v českém právním rámci bude nepochybně jednat o rozhodnutí, která mohou založit, měnit, či rušit práva nebo povinnosti určitých osob (§ 67 odst. 1 správního řádu). Řízení o žádosti podle čl. 77 GDPR je tedy s ohledem přinejmenším na práva a povinnosti daného subjektu údajů nezbytné podřadit pod řízení o žádosti podle Hlavy VI správního řádu. Na rozhodování o stížnosti podané u českého dozorového orgánu se proto uplatní rovněž § 71 odst. 3 správního řádu. Žalovaný je povinen o stížnosti subjektu údajů rozhodnout bezodkladně, nejpozději však do 30 dnů od zahájení řízení. Tato lhůta může být prodloužena až od 30 dnů, jde li o zvlášť složitý případ.

[27] Na činnost žalovaného plně dopadají běžná ustanovení českého správního řádu o lhůtách pro vydání rozhodnutí. Tento výklad je v souladu jak s GDPR, tak obecnými principy práva Unie. Lhůty pro vydání rozhodnutí stanovené českým správním řádem jsou v tomto případě plně souladné s právem Unie, tedy především opět minimálním požadavkem čl. 78 odst. 2 GDPR. Přitom rovněž zajištují vysokou míru ochrany práv subjektů údajů, a to jak ve fázi správní (čl. 77 GDPR), tak pochopitelně navazující ochrany soudní (čl. 78 GDPR). Včasná ochrana jistě naplňuje obecný cíl účinné právní ochrany v této oblasti regulace (srov. čl. 8 odst. 3 Listiny základních práv EU, stejně jako čl. 16 SFEU, stejně jako řady úvodních bodů preambule GDPR; podrobněji pak rovněž rozsudek ze dne 16. 7. 2020, Facebook Ireland v. Schrems, C 311/18, především bod 109).

[28] Nelze proto přisvědčit (přinejmenším původnímu) přesvědčení stěžovatele, že se dozorový úřad (žalovaný) může zabývat stížností subjektu údajů podle čl. 77 GDPR po (zásadně) neomezenou dobu, bude li každé tři měsíce nějakým způsobem informovat o pokroku v řešení stížnosti dle čl. 78 odst. 2 GDPR. Takový výklad nemá oporu v textu, natož smyslu a účelu, GDPR a ani jiného právního předpisu. Navíc by mohl vést k situaci, kdy žalovaný donekonečna oddaluje vyřešení stížnosti tím, že jednou za tři měsíce stěžovatele (subjekt údajů) informuje o skutečnosti, že stížnost dosud nevyřešil, ale že se jí stále pečlivě zabývá. To by fakticky vedlo k paralyzování práva subjektů údajů na včasnou správní, stejně jako následnou účinnou soudní ochranu, tedy opět hmotných práv přímo založených GDPR.

[29] Městský soud proto pochybil, když jako začátek běhu lhůty pro podání žaloby na ochranu proti nečinnosti zvolil den uplynutí tříměsíční lhůty podle čl. 78 odst. 2 GDPR. Jelikož tato tříměsíční lhůta není lhůtou pro rozhodnutí o stížnosti, nelze s počátkem plynutí lhůty pro podání žaloby vyčkávat na její marné uplynutí. Místo toho měl městský soud lhůtu pro podání žaloby počítat od uplynutí třicetidenní (případně šedesátidenní) lhůty podle § 71 odst. 3 správního řádu, jak ostatně sám naznačil jako jednu ze tří výkladových možností v bodě 19 napadeného usnesení.

[30] Toto dílčí pochybení však není důvodem pro zrušení napadeného usnesení. Žaloba byla v každém případě podána opožděně. NSS rovněž dodává, že městský soud nepochybil, když nevyzval stěžovatele k odstranění vad podání spočívajících v chybném formulování žalobního petitu. Vyzývat stěžovatele k opravě podání v situaci, kdy městskému soudu nezbývalo než odmítnout opožděný návrh, by bylo bývalo vskutku neúčelné a nadbytečné.

[31] NSS nepřehlédl rozsudky Soudního dvora Evropské unie, na které ho stěžovatel rovněž upozorňuje v kasační stížnosti (věci C 362/14, C 604/22, C 33/22). Stěžovatel nicméně na tato rozhodnutí odkazuje v rámci jakéhosi „empirického výzkumu“, kdy v jednotlivých případech z časových os vyřizování stížností dozorčími orgány a rozhodování soudů v navazujících řízeních vyvodil závěr, že „se lze setkat s případy, jejichž vyšetřování trvá delší dobu“ než tři měsíce. I při přehlédnutí skutečnosti, že některá z těchto řízení proběhla ještě za účinnosti směrnice č. 95/46, která na rozdíl od GDPR žádná ustanovení obdobná čl. 77 a 78 neobsahovala, tak i v takovém případě zjištění, jak dlouho v tom či onom členském státě trvalo vyřízení původní stížnosti subjektu údajů je pro otázku, jakým lhůtám pro vydání rozhodnutí je podroben český správní orgán podle českého správního řádu, irelevantní.

[32] Stejně tak je bezpředmětný stěžovatelův návrh na předložení předběžné otázky Soudnímu dvoru EU za účelem výkladu čl. 77 odst. 2 GDPR. Samotné otázky formulované stěžovatelem v jeho původním doplnění kasační stížnosti (ohledně počítání lhůt, možnost jejich prodloužení, běhu lhůt za účelem podání žaloby na nečinnost) jenom dokazují, že se jedná o otázky výkladu českého práva, nikoliv práva unijního. Na této skutečnosti nic nemění pokusy stěžovatele „subsumovat“ ustanovení relevantní české procesní úpravy (správního řádu a soudního řádu správního) pod čl. 77 odst. 2, respektive čl. 78 odst. 2 GDPR, a předstírat, že se jedná o otázky výkladu práva Unie. Nejedná. V tomto ohledu tak v řízení před NSS proto nevyvstala žádná otázka výkladu práva Unie, která by spadala pod povinnost předběžné otázky dle čl. 267 odst. 3 SFEU (srov. rovněž rozsudek Soudního dvora ze dne 6. 10. 2021, Consorzio Italian Management, C 561/19, bod 34).

[33] Konečně další předběžné otázky, které stěžovatel formuloval ve své reakci na dotazy NSS, nepovažuje NSS s ohledem na výše v tomto rozsudku citovanou a jasnou judikaturu Soudního dvora, především pak Soudním dvorem nedávno vynesený rozsudek ze dne 7. 12. 2023, Land Hessen, spojené věci C 26/22 a C 64/22, za potřebné. NSS považuje charakter řízení dle čl. 77 GDPR touto judikaturou za dostatečně objasněný, přičemž právo rozhodné pro počítání lhůt dle § 80 odst. 1 s. ř. s., které je předmětem řízení o této kasační stížnosti, je opět úpravou vnitrostátní, jejíž soulad s textem, kontextem i účelem unijní úpravy je nepochybný. IV. Závěr a náklady řízení

[34] Na základě výše uvedených důvodů dospěl NSS k závěru, že nebyl naplněn tvrzený důvod kasační stížnosti. Proto ji postupem podle § 110 odst. 1 in fine s. ř. s. zamítl.

[35] O náhradě nákladů řízení rozhodl NSS podle úspěchu ve věci v souladu s § 60 odst. 1 větou první s. ř. s. ve spojení s § 120 s. ř. s. Stěžovatel v řízení nebyl úspěšný, a proto nemá právo na náhradu nákladů řízení. Žalovaný měl v řízení o kasační stížnosti plný úspěch, avšak nevznikly mu žádné náklady nad rámec jeho běžné úřední činnosti. Proto mu NSS náhradu nákladů řízení nepřiznal.

Poučení: Proti tomuto rozsudku nejsou přípustné opravné prostředky. V Brně dne 16. září 2024

Michal Bobek

předseda senátu

⚖ Zeptejte se AI asistenta na toto rozhodnutí