Zablokování určité IP adresy prostřednictvím jejího zařazení na tzv. blacklist poskytovatelem služeb v oblasti kybernetické bezpečnosti za účelem ochrany elektronické podatelny správního orgánu (§ 4 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů) není nezákonným zásahem do práv podatele, ledaže správní orgán zablokoval IP adresu svévolně.
[13] Nejvyšší správní soud již rozhodoval o kasační stížnosti téhož stěžovatele brojící proti rozsudku krajského soudu ze dne 26. 4. 2017, čj. 30 A 3/2017-33, kterým byla zamítnuta jeho žaloba proti nečinnosti správního orgánu, jíž se domáhal uložení povinnosti Krajskému úřadu Plzeňského kraje rozhodnout ve správním řízení o podaném odvolání; toto podání je přitom předmětem i v nyní projednávané věci. Nejvyšší správní soud v rozsudku ze dne 29. 11. 2017, čj. 1 As 214/2017-32, konstatoval, že „spornou otázkou je zde skutečnost, zda správnímu orgánu bylo doručeno podání zástupce stěžovatele, které odeslal e-mailem z IP adresy serveru, kterou společnost Fortinet, Inc.
zařadila na tzv. ‚blacklist‘ potenciálně nebezpečných IP adres a z toho důvodu byl příjem emailů z takové adresy blokován. […] Po správním orgánu není možné požadovat, aby nechal svou elektronickou podatelnu nezabezpečenou proti jakýmkoliv možným e-mailovým útokům či zahlcení nevyžádanou poštou. Správní orgán je naopak povinen zabezpečit fungování své elektronické podatelny a z toho důvodu je zřejmé, že přistoupí k použití jistých bezpečnostních opatření – v současném případě např. využití služeb společnosti, která poskytuje bezpečnostní produkty v této oblasti, z nichž jedním je též blacklist potenciálně nebezpečných blokovaných adres.
[…] Nejvyšší správní soud se též ztotožňuje se závěrem krajského soudu, že z pravidel pro doručování prostřednictvím emailu by bylo možno připustit výjimky jen v případech zvláštního zřetele hodných, např. při zjevně svévolném nastavení spamového filtru či blacklistu správním orgánem. V případě, že by správní orgán blokoval podání z různých emailových adres zjevně za účelem vyhnout se příjmu podání, jednalo by se o zneužití jeho pravomoci. V nynějším případě se však o takovou možnost nejedná, neboť z odborného vyjádření vedoucího IT oddělení správního orgánu vyplývá, že IP adresa 78.X.X.X byla na FortiGuard blacklistu ještě dne 31.
10. 2016 a FortiGuard blacklist nebyl jediným světovým blacklistem, na kterém se nacházela. […]“ (…)
[13] Nejvyšší správní soud již rozhodoval o kasační stížnosti téhož stěžovatele brojící proti rozsudku krajského soudu ze dne 26. 4. 2017, čj. 30 A 3/2017-33, kterým byla zamítnuta jeho žaloba proti nečinnosti správního orgánu, jíž se domáhal uložení povinnosti Krajskému úřadu Plzeňského kraje rozhodnout ve správním řízení o podaném odvolání; toto podání je přitom předmětem i v nyní projednávané věci. Nejvyšší správní soud v rozsudku ze dne 29. 11. 2017, čj. 1 As 214/2017-32, konstatoval, že „spornou otázkou je zde skutečnost, zda správnímu orgánu bylo doručeno podání zástupce stěžovatele, které odeslal e-mailem z IP adresy serveru, kterou společnost Fortinet, Inc. zařadila na tzv. ‚blacklist‘ potenciálně nebezpečných IP adres a z toho důvodu byl příjem emailů z takové adresy blokován. […] Po správním orgánu není možné požadovat, aby nechal svou elektronickou podatelnu nezabezpečenou proti jakýmkoliv možným e-mailovým útokům či zahlcení nevyžádanou poštou. Správní orgán je naopak povinen zabezpečit fungování své elektronické podatelny a z toho důvodu je zřejmé, že přistoupí k použití jistých bezpečnostních opatření – v současném případě např. využití služeb společnosti, která poskytuje bezpečnostní produkty v této oblasti, z nichž jedním je též blacklist potenciálně nebezpečných blokovaných adres. […] Nejvyšší správní soud se též ztotožňuje se závěrem krajského soudu, že z pravidel pro doručování prostřednictvím emailu by bylo možno připustit výjimky jen v případech zvláštního zřetele hodných, např. při zjevně svévolném nastavení spamového filtru či blacklistu správním orgánem. V případě, že by správní orgán blokoval podání z různých emailových adres zjevně za účelem vyhnout se příjmu podání, jednalo by se o zneužití jeho pravomoci. V nynějším případě se však o takovou možnost nejedná, neboť z odborného vyjádření vedoucího IT oddělení správního orgánu vyplývá, že IP adresa 78.X.X.X byla na FortiGuard blacklistu ještě dne 31. 10. 2016 a FortiGuard blacklist nebyl jediným světovým blacklistem, na kterém se nacházela. […]“ (…)
[15] Stěžovatel tvrdí, že v projednávané věci je nepochybné, že předmětné podání se dostalo do dispozice správního orgánu, neboť to byl výlučně správní orgán, který způsobem nastavení své elektronické podatelny rozhodoval o tom, zda zprávu zpracuje, či její přijetí odmítne. S tímto názorem Nejvyšší správní soud nesouhlasí, neboť z jeho ustálené judikatury plyne, že elektronická zpráva se považuje za doručenou teprve tehdy, pokud je dostupná elektronické podatelně, tedy na rozdíl od poštovních zásilek není rozhodné její odeslání, ale doručení správnímu orgánu (srov. rozsudek Nejvyššího správního soudu ze dne 11. 6. 2015, čj. 7 Azs 113/2015-34). Co se týče námitky stěžovatele, že k zabezpečení elektronické podatelny má sloužit antivirový program, a nikoliv spamový filtr, případně že přiměřeným zabezpečením může být zablokování pouze konkrétní e-mailové adresy, přičemž ale žádné opatření nesmí být k újmě podatelů, Nejvyšší správní soud uvádí, že je na správním orgánu, jaký bezpečnostní produkt pro ochranu své elektronické podatelny si zvolí, pakliže není zjevně nepřiměřený či není využíván za účelem zneužití práva čili cíleného odmítání zpráv od určitých podatelů. Stěžovatel taktéž tvrdí, že za účelem zabezpečení elektronické podatelny proti příjmu nevyžádaných obchodních sdělení není správní orgán oprávněn využít služeb třetí společnosti. Nejvyšší správní soud s tímto názorem nesouhlasí, neboť považuje za technicky nereálné, aby správní orgán sám bez využití služeb externích profesionálů v tomto oboru zabezpečil své systémy proti bezpečnostním rizikům v souladu se zákonem o kybernetické bezpečnosti a s vyhláškou o kybernetické bezpečnosti, přičemž nemá za to, že by jediným dovoleným produktem měl být pouze antivirový program. V případě black listu jakožto jednoho z možných bezpečnostních produktů na ochranu elektronické podatelny správního orgánu je třeba konstatovat, že se jedná v kombinaci s dalšími produkty o vhodný nástroj, který proporcionálně směřuje k legitimnímu cíli a jeho užití samo o sobě bez dalšího není nezákonné. Ve věci stěžovatele je třeba zdůraznit, že jeho zmocněnci obratem po pokusu o odeslání podání přišlo sdělení, že zpráva nebyla doručena, tudíž zvolenému bezpečnostnímu nástroji nelze vytýkat, že by ponechával odesílatele v nejistotě, jestli jeho podání bylo učiněno, či nikoliv. Stěžovatel má sice pravdu, že jistě není jeho povinností si hlídat svou doručenou poštu, zdali mu nebylo sděleno, že se doručení odesílané zprávy nezdařilo; stejně tak je však třeba odkázat na ustálenou judikaturu, že je odpovědností účastníka řízení, jaké komunikační prostředky včetně akceptace rozdílů, které z jejich povahy plynou, zvolí (podpůrně srov. rozsudky Nejvyššího správního soudu ze dne 28. 7. 2008, čj. 8 Afs 55/2008-70, ze dne 4. 9. 2015, čj. 8 As 6/2015-37, ze dne 15. 9. 2015, čj. 8 As 57/2015-46). Jestliže se tedy stěžovatelův zmocněnec nechtěl zajímat o další „osud“ odesílané zprávy a ověřit si potvrzení ze strany správního orgánu o jejím doručení, čímž by zjistil i informaci o nemožnosti jejího odeslání, pak měl zvolit některý z komunikačních prostředků (datovou zprávu či poskytovatele poštovních služeb), který mu garantuje jistotu úspěšného doručení i bez další činnosti z jeho strany po odeslání předmětné zprávy.
[15] Stěžovatel tvrdí, že v projednávané věci je nepochybné, že předmětné podání se dostalo do dispozice správního orgánu, neboť to byl výlučně správní orgán, který způsobem nastavení své elektronické podatelny rozhodoval o tom, zda zprávu zpracuje, či její přijetí odmítne. S tímto názorem Nejvyšší správní soud nesouhlasí, neboť z jeho ustálené judikatury plyne, že elektronická zpráva se považuje za doručenou teprve tehdy, pokud je dostupná elektronické podatelně, tedy na rozdíl od poštovních zásilek není rozhodné její odeslání, ale doručení správnímu orgánu (srov. rozsudek Nejvyššího správního soudu ze dne 11. 6. 2015, čj. 7 Azs 113/2015-34). Co se týče námitky stěžovatele, že k zabezpečení elektronické podatelny má sloužit antivirový program, a nikoliv spamový filtr, případně že přiměřeným zabezpečením může být zablokování pouze konkrétní e-mailové adresy, přičemž ale žádné opatření nesmí být k újmě podatelů, Nejvyšší správní soud uvádí, že je na správním orgánu, jaký bezpečnostní produkt pro ochranu své elektronické podatelny si zvolí, pakliže není zjevně nepřiměřený či není využíván za účelem zneužití práva čili cíleného odmítání zpráv od určitých podatelů. Stěžovatel taktéž tvrdí, že za účelem zabezpečení elektronické podatelny proti příjmu nevyžádaných obchodních sdělení není správní orgán oprávněn využít služeb třetí společnosti. Nejvyšší správní soud s tímto názorem nesouhlasí, neboť považuje za technicky nereálné, aby správní orgán sám bez využití služeb externích profesionálů v tomto oboru zabezpečil své systémy proti bezpečnostním rizikům v souladu se zákonem o kybernetické bezpečnosti a s vyhláškou o kybernetické bezpečnosti, přičemž nemá za to, že by jediným dovoleným produktem měl být pouze antivirový program. V případě black listu jakožto jednoho z možných bezpečnostních produktů na ochranu elektronické podatelny správního orgánu je třeba konstatovat, že se jedná v kombinaci s dalšími produkty o vhodný nástroj, který proporcionálně směřuje k legitimnímu cíli a jeho užití samo o sobě bez dalšího není nezákonné. Ve věci stěžovatele je třeba zdůraznit, že jeho zmocněnci obratem po pokusu o odeslání podání přišlo sdělení, že zpráva nebyla doručena, tudíž zvolenému bezpečnostnímu nástroji nelze vytýkat, že by ponechával odesílatele v nejistotě, jestli jeho podání bylo učiněno, či nikoliv. Stěžovatel má sice pravdu, že jistě není jeho povinností si hlídat svou doručenou poštu, zdali mu nebylo sděleno, že se doručení odesílané zprávy nezdařilo; stejně tak je však třeba odkázat na ustálenou judikaturu, že je odpovědností účastníka řízení, jaké komunikační prostředky včetně akceptace rozdílů, které z jejich povahy plynou, zvolí (podpůrně srov. rozsudky Nejvyššího správního soudu ze dne 28. 7. 2008, čj. 8 Afs 55/2008-70, ze dne 4. 9. 2015, čj. 8 As 6/2015-37, ze dne 15. 9. 2015, čj. 8 As 57/2015-46). Jestliže se tedy stěžovatelův zmocněnec nechtěl zajímat o další „osud“ odesílané zprávy a ověřit si potvrzení ze strany správního orgánu o jejím doručení, čímž by zjistil i informaci o nemožnosti jejího odeslání, pak měl zvolit některý z komunikačních prostředků (datovou zprávu či poskytovatele poštovních služeb), který mu garantuje jistotu úspěšného doručení i bez další činnosti z jeho strany po odeslání předmětné zprávy.
[16] Nejvyšší správní soud se přiklonil k právnímu názoru již dříve vyslovenému v rozsudku čj. 1 As 214/2017-32, v jehož mezích rozhodl v této věci krajský soud. Uzavírá proto, že zablokování určité IP adresy prostřednictvím jejího zařazení na blacklist poskytovatelem služeb v oblasti kybernetické bezpečnosti za účelem ochrany elektronické podatelny správního orgánu není nezákonným zásahem do práv stěžovatele. Je třeba dále zdůraznit, že v tamní věci bylo Nejvyšším správním soudem již s konečnou platností vysloveno, že stěžovatel nepodal v zákonné lhůtě odvolání proti prvostupňovému rozhodnutí, a že žalovaný proto žádné takové odvolání nemůže projednat, z čehož plyne, že na správním rozhodnutí byla vyznačena právní moc v souladu se zjištěnými skutečnostmi i se zákonem. Mimo to je třeba poukázat na skutečnost, že neprojednání odvolání je důvodem k nečinnostní žalobě, která také byla podána a projednána (viz rozsudek čj. 1 As 214/2017-32). Nejvyšší správní soud zde vážil, zda v případě žalobního návrhu ad VI., který parafrázuje nečinnostní žalobu, neměl krajský soud v této části žalobu odmítnout, a případně zda tak nemá učinit Nejvyšší správní soud postupem podle § 110 odst. 1, věta prvá za středníkem s. ř. s. Dospěl k závěru, že při složitosti a provázanosti žalobního návrhu lze akceptovat věcné projednání žaloby jako celku. (…)
[17] Žalovanému rovněž nemohla být uložena povinnost, aby se zdržel vedení citované IP adresy stěžovatelova zástupce na blacklistu. Ostatně stěžovatel nekonkretizoval, jaké dotčení z vedení dané IP adresy na blacklistu pro něho do budoucna plyne; těžko takové dotčení lze shledat v tom, že by v případném dalším stěžovatelově řízení vedeném u téhož správního orgánu, pokud by byl zastoupen týmž zástupcem, bylo tomuto zástupci třeba umožnit, aby komunikoval právě z této IP adresy. S ohledem na osobu stěžovatelova zástupce, tomuto soudu dostatečně známou z jiných řízení, lze spíše konstatovat, že způsob komunikace vedený v této věci, kdy je určitým způsobem s úřadem komunikováno, načež je odvolání odesláno z dané IP adresy, aniž je reagováno na zprávu o nedoručení, a následně jsou podány soudní žaloby, je součástí jím běžně užívaných obstrukcí při zastupování pachatelů dopravních přestupků a testováním jejich průchodnosti v soudním řízení. Volba zástupce je ovšem věcí stěžovatele (k tomu srovnej rozsudek rozšířeného senátu tohoto soudu ze dne 18. 12. 2018, čj. 4 As 113/2018-39, č. 3836/2019 Sb. NSS, odst. 37). Nejvyšší správní soud konstatuje, že nepřicházelo v úvahu vyhovět žalobnímu návrhu ve všech jeho bodech a napadený rozsudek krajského soudu pohledem kasačních námitek plně obstál jako zákonný.