jů a o změně některých zákonů, ve znění zákona č. 177/2001 Sb. (v textu též „zá- kon“) ke směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochra- ně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohy- bu těchto údajů (v textu též „směrnice“) I. Cílem právní úpravy obsažené v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, je naplnit právo každého na 772 ochranu před neoprávněným zasahováním do soukromí a uvést práva a povinnosti při zpracování osobních údajů do souladu se směrnicí č. 95/46/ES. II. „Zabezpečení osobních údajů“ ve smyslu $ 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, není jednou z čin- ností zahrnutých pod pojem „zpracování osobních údajů“ a demonstrativ- ně vypočtených v $ 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, byť vzájemně provázané, neboť povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ustanovení $ 47 odst. 2 a 3 zákona se tudíž na povinnost upravenou v ustanovení $ 13 záko- na nevztahují.
jů a o změně některých zákonů, ve znění zákona č. 177/2001 Sb. (v textu též „zá- kon“) ke směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochra- ně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohy- bu těchto údajů (v textu též „směrnice“) I. Cílem právní úpravy obsažené v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, je naplnit právo každého na 772 ochranu před neoprávněným zasahováním do soukromí a uvést práva a povinnosti při zpracování osobních údajů do souladu se směrnicí č. 95/46/ES. II. „Zabezpečení osobních údajů“ ve smyslu $ 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, není jednou z čin- ností zahrnutých pod pojem „zpracování osobních údajů“ a demonstrativ- ně vypočtených v $ 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, byť vzájemně provázané, neboť povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ustanovení $ 47 odst. 2 a 3 zákona se tudíž na povinnost upravenou v ustanovení $ 13 záko- na nevztahují.
Stěžovatelka napadla rozhodnutí Měst- ského soudu v Praze z důvodu podle $ 103 odst. 1 písm. a) s. ř. s. Soud se podle její- ho názoru především nedostatečně vy- pořádal s otázkou dopadu $ 47 odst.2a3 zákona na daný případ. Z ustanovení $ 13,4 47 odst. 2,3 a $ 46 odst. 1 zákona je podle ní zřejmé, že pokud by správce či zpracovatel osobních údajů, který pro- váděl zpracování osobních údajů před účinností zákona, neuvedl toto do soula- du se zákonem do 31. 12. 2001, nemohl by být za takovéto jednání sankciono- ván, a to až do 31. 12. 2002. Své přesvěd- čení o tom, že z uvedených ustanovení podaný závěr jasně vyplývá, ovšem nijak blíže neodůvodňuje ani nerozvádí. Nej- vyšší správní soud se s tímto názorem stěžovatelky neztotožnil. Klíčová pro rozhodnutí o této námit- ce je dle názoru Nejvyššího správního soudu otázka výkladová, a to, zda lze po- vinnost zabezpečit osobní údaje stano- venou ustanovením $ 13 zákona posou- dit jako jejich „zpracování“ ve smyslu $ 4 písm. e) zákona, jinak řečeno, zda je mož- né pojem „zabezpečení“ pojmu zpraco- vání podřadit. V případě kladné odpovědi na tuto otázku pak bude nutno posoudit, zda se na takové „zpracování“ vztahuje $ 47 odst. 2 a 3 zákona. Co se týká první otázky, vycházel Nej- vyšší správní soud ze znění zákona č. 101/2000 Sb., důvodové zprávy k ně- mu, a zejména pak ze znění a způsobu užití předmětných pojmů směrnicí Ev- ropského parlamentu a Rady 95/46/ES, která byla jedním z hlavních východisek při zpracování nové právní úpravy, již citovaný zákon představuje. Podle $ 4 písm. e) zákona se zpracováním osob- ních údajů rozumí jakákoliv operace ne- bo soustava operací, které správce nebo zpracovatel systematicky provádějí s osob- ními údaji, a to automatizovaně nebo ji- nými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďová- ní, ukládání na nosiče informací, zpří- stupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíře- ní, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Podle $ 13 zákona je povin- ností správce a zpracovatele při zabez- pečení osobních údajů přijmout taková opatření, aby nemohlo dojít k neopráv- něnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zni- čení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpraco- vání, jakož i k jinému zneužití osobních údajů. Posléze citované ustanovení je pak zahrnuto do části první hlavy druhé zákona, nazvané Práva a povinnosti při zpracování osobních údajů. Zabezpeče- ní osobních údajů tak na jednu stranu není zahrnuto do demonstrativního vý- čtu výkladového ustanovení $ 4 písm. e) zákona, na druhou stranu je systematic- ky zařazeno do hlavy druhé zákona, jež upravuje práva a povinnosti související se zpracováním osobních údajů, mimo jiné i taková, která zákonodárce do výčtu ustanovení $ 4 písm. e) pojal („shromaž- ďování“; „uchovávání“). Dle důvodové zprávy k $ 13 vládního návrhu zákona o ochraně osobních úda- jů se tímto ustanovením upravují obec- né povinnosti pro všechny správce, po- kud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněné- mu i nahodilému přístupu, zpracování a zneužívání (využívání) osobních úda- jů. Údaje musí být chráněny jak vůči za- městnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči tzv. průnikářům (hacke- rům). Důvodová zpráva tak sice vysvět- luje, jaká opatření je zapotřebí přijmout, aby správce (zpracovatel) dostál své po- 775 927 vinnosti uložené mu ustanovením $ 13 zákona, řešení terminologického problé- mu výkladu a aplikace předmětného ustanovení zákona však nepřináší. Za vý- znamnou nicméně v této souvislosti Nej- vyšší správní soud považuje skutečnost, že jak důvodová zpráva, tak i zákon sám, včetně jeho názvu, užívají shodně slov- ních spojení „ochrana osobních údajů“ a „zabezpečení osobních údajů“. Vzhledem k tomu, že zákon č. 101/2000 Sb. je svou podstatou implementací směrni- ce ES/95/46 do právního řádu České re- publiky, vycházel Nejvyšší správní soud při hledání odpovědi na výše položenou výkladovou otázku zejména z jejího zně- ní. Jelikož je směrnice jako pramen ev- ropského práva závazná, pokud jde o vý- sledek, jehož má být dosaženo, resp. váže členský stát ve vztahu ke svému cíli, zatímco formy a prostředky ponechává na volbě členského státu, zaměřil se Nej- vyšší správní soud primárně na účel tak- to implementované právní úpravy. Po- dle rozsudku Evropského soudního dvora ve věci 14/83, Sabine von Colson and Elisabeth Kamann v Land Nordrhe- in-Westfalen [1984] ECR 1891, bod 26, je národní soud při aplikaci práva členské- ho státu, a obzvláště při aplikaci ustano- vení zákona, jenž byl přijat za účelem im- plementace směrnice, povinen vykládat takový zákon ve světle pojmosloví (dik- ce) a účelu směrnice. Jak již Nejvyšší správní soud judikoval, toto pravidlo se vztahuje i na případy, kdy se posuzují skutkové okolnosti, k nimž došlo před vstupem České republiky do Evropské unie, a rozhodným právem je právo teh- dy účinné. I pak je nutno ustanovení českého právního předpisu, přijatého nepochybně za účelem sbližování české- ho práva s právem Evropských společen- ství a majícího svůj předobraz v právní normě obsažené v právu Evropských 776 společenství, vykládat konformně s tou- to normou
Akciová společnost K. proti Úřadu pro ochranu osobních údajů o uložení po-
soud proto uzavírá, že s ohledem na znění směrnice, jakož i současné znění ust. § 1 zákona byla a je cílem právní úpravy v této oblasti ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování.
Z dikce směrnice tedy vyplývá, že zabezpečení osobních údajů ve smyslu ust. § 13 zákona č. 101/2000 Sb. není jednou z činností zahrnovaných pod pojem zpracování osobních údajů, demonstrativně vypočtených v ust. § 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, které jsou nicméně ve vzájemném, pro správce (zpracovatele) osobních údajů velmi podstatném vztahu, kdy povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ust. § 47 odst. 2 a 3 zákona se tudíž na povinnost podle jeho § 13 nevztahují.
Byť je odpověď na první položenou otázku záporná, považuje Nejvyšší správní soud za vhodné vyjádřit se rovněž k otázce druhé, tj. k tomu, jakých případů se tedy ust. § 47 odst. 2 a 3 zákona týkají, a v dalším textu tak proto činí.
Změna ust. § 47 odst. 2 a doplnění ust. § 47 odst. 3 byly včleněny do zákona č. 101/2000 Sb. zákonem č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů. Jelikož jsou tyto zřejmě bez vztahu k ostatním konkrétním změnám, které pro správce (zpracovatele) z novely vyplývají, nebylo úmyslem zákonodárce v daném případě zjevně nic jiného, než prodloužit již původním zněním zákona upravené přechodné období a nově zavést beztrestnost porušení povinností nově vzniklých pro správce a zpracovatele osobních údajů v důsledku přijetí zákona č. 101/2000 Sb. Vztah je zde tedy jednoznačně mezi povinnostmi vyplývajícími ze zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech a zákonem č. 101/2000 Sb., o ochraně osobních údajů, kdy posléze uvedený zákon rozsah povinností souvisejících se zpracováním osobních údajů (dříve provozováním informačního systému) značně rozšiřuje. Přechodné období beztrestnosti porušení povinností vyplývajících ze zákona č. 101/2000 Sb. se pak nutně vztahuje pouze na povinnosti nově stanovené zákonem č. 101/2000 Sb. ve srovnání se zákonem č. 256/1992 Sb, jak správně uzavřely soud i žalovaný správní orgán. Jedná se zejména o povinnosti vyplývající z ustanovení § 10, § 11 odst. 2 (poučovací povinnost ve vztahu k subjektům údajů) a odst. 6, § 16 a § 19 (oznamovací povinnost vůči Úřadu) zákona.
Námitka stěžovatelky, že Úřadem byla sankcionována povinnost uložená podle zákona v době rozhodování správního orgánu již derogovaného a závěr soudu je tudíž v tomto ohledu v rozporu se zákazem retroaktivity, není důvodná. Městský soud v Praze v dané souvislosti pouze konstatoval, že povinnost podle ust. § 13 zákona již byla zahrnuta i do předcházející právní úpravy v ust. § 17 písm. i) a že se tedy nejedná o povinnost, kterou by stěžovatelka za účinnosti zákona č. 256/1992 Sb. neměla. Bez ohledu na dezinterpretaci názoru Městského soudu v Praze stěžovatelkou však Úřad v daném případě prokazatelně rozhodoval podle zákona č. 101/2000 Sb. a ve výroku svého rozhodnutí konstatuje porušení ust. § 13 tohoto zákona, za které ve smyslu jeho ust. § 46 odst. 1 v tehdy platném znění uložil pokutu ve výši 3 000 000 Kč. Úřad tedy v žádném případě svým rozhodnutím nezaložil zpětnou účinnost zákona č. 256/1992 Sb., neboť podle tohoto zákona nerozhodoval.
K tvrzené protiústavnosti názoru soudu, podle něhož existují určité standardy bezpečnostních opatření, které lze při ochraně osobních údajů realizovat, aniž by musely být výslovně stanoveny zákonem, Nejvyšší správní soud uvádí, že právní názor Městského soudu v Praze sdílí a na podporu tohoto názoru odkazuje na výše citovanou důvodovou zprávu k ust. § 13 zákona, kde se mimo jiné říká, že opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Zákonodárce tak do textu důvodové zprávy v podstatě zahrnul část znění čl. 17 směrnice (rovněž viz výše), kterou zřejmě neshledal nezbytnou při formulaci ust. § 13 zákona, a tuto ještě doplnil o opatření právní a jiná. Jisté skouposti zákonodárce při formulaci tohoto ustanovení zákona ve srovnání s textem směrnice lze jistě litovat a Nejvyšší správní soud připouští, že užitá dikce klade na správce a zpracovatele v jistém smyslu vyšší nároky, když způsob a prostředky zabezpečení osobních údajů ponechává na jednu stranu jejich vlastní úvaze, na druhou stranu za nesplnění předmětné povinnosti hrozí poměrně vysokými sankcemi. Nelze však akceptovat směr, kterým se ubírá argumentace stěžovatelky, neboť tento by v konečném důsledku vedl k nepoužitelnosti ust. § 13 zákona jako celku. V tomto bodu lze poukázat na publikaci PhDr. Miroslavy Matoušové, Osobní údaje a jejich ochrana. Povinnosti správce při zpracování; ASPI Publishing; 2003, kde autorka uvádí, že ke každé technologii existuje soubor bezpečnostních opatření považovaný za standard… Obecně využitelné jsou mezinárodní technické normy (např. ISO/IEC 17799:2000 Information Technology – Code of Practice of Information Security Management), z nichž řada byla vydána jako české technické normy (např. ČSN ISO/IEC TR 13335 Informační technologie – Směrnice pro řízení bezpečnosti IT 1 – 3). Nejvyšší správní soud tak uzavírá, že výklad Městského soudu v Praze je zcela legitimní, neboť obecná formulace ust. § 13 zákona nutně předpokládá přijetí naprosto konkrétních opatření organizačních a technických, kdy „standard“ by měl představovat jakési nutné minimum. Nejvyšší správní soud považuje v této souvislosti rovněž za významné, že po incidentu s odcizením zálohovacího zařízení přijala stěžovatelka množství opatření, kterými se snažila zabránit možnému opakování podobných událostí (zavedení kontroly režimu vstupu do budov společnosti; evidence přidělování klíčů; evidence vstupu osob do servroven; etc.), a výše naříkaná skromnost formulace ust. § 13 zákona jí v tom nijak nebránila. Předmětnou námitku je tudíž na místě posoudit také jako účelovou. Výše uvedené lze vztáhnout rovněž na tvrzení stěžovatelky o tom, že byla v dobré víře o splnění své povinnosti podle ust. § 13 zákona, neboť zajistila-li střežení objektu bezpečnostní agenturou. O formálnosti této „ostrahy“ pojednává správní spis dostatečně.
Co se týká námitky neúměrnosti výše uložené pokuty, ztotožňuje se Nejvyšší správní soud s odůvodněním napadeného rozsudku, jakož i obou rozhodnutí správního orgánu. Má-li pokuta naplnit vedle své penalizační funkce i úlohu preventivní, musí mít postih sílu odradit od nezákonného postupu i jiné nositele stejných zákonných povinností; tento účinek pak může vyvolat jen postih odpovídající významu chráněného zájmu, včas a věcně správně vyvozený. Jde-li o finanční postih, musí být znatelný v majetkové sféře delikventa, tedy být nikoli pro něho zanedbatelný, a nutně tak musí v sobě obsahovat i represivní složku. V opačném případě by totiž postih delikventa smysl postrádal. Moderační právo soudu upravené v § 78 odst. 2 s. ř. s., tj. možnost upustit od potrestání či snížení postihu, má proto místo toliko tam, kde jde o postih zjevně nepřiměřený (podle rozsudku Městského soudu v Praze ze dne 16. 11. 2004, č. j. 10 Ca 250/2003 - 48; publikováno ve sbírce rozhodnutí Nejvyššího správního soudu pod č. 560/2005). Nejvyšší správní soud stanovenou výši pokuty zjevně nepřiměřenou neshledal.
K opakované námitce zkrácení na procesních právech stěžovatelky tím, že jejímu zástupci nebylo dne 2. 5. 2002 umožněno nahlédnutí do spisu, Nejvyšší správní soud uvádí, že bylo pouze na rozhodnutí stěžovatelky, zda podá své vyjádření k oznámení o zahájení správního řízení hned 3. 5. 2002, nebo využije možnosti nahlédnout do spisu v jiném termínu do 17. 5. 2002 (konec prodloužené lhůty) tak, aby ve svém vyjádření mohla na případné nové poznatky reagovat. Stěžovatelka se rozhodla pro první variantu. Z protokolu o ústním jednání ze dne 5. 6. 2002 pak vyplývá, že zástupce stěžovatelky využil svého práva nahlédnout do spisu ve dnech 16. a 20. 5. 2002, jakož i že byla stěžovatelka vyzvána, aby předložila další důkazy, případně se ke spisu vyjádřila. Těchto svých práv využila. Ze samotné skutečnosti, že zástupci stěžovatelky nebylo dne 2. 5. 2002 z objektivních důvodů (viz odůvodnění rozhodnutí o rozkladu) umožněno, aby nahlédl do spisu, proto nelze usoudit na porušení práva stěžovatelky na řádný proces. Co se nakonec týká námitky podjatosti předsedy Úřadu, ztotožňuje se Nejvyšší správní soud se závěrem soudu potud, že v daném případě nejsou splněny podmínky vyloučení z projednávání a rozhodování věci tak, jak je upravuje ust. § 9 správního řádu. Předseda Úřadu pro ochranu osobních údajů je do funkce jmenován prezidentem a jeho postavení předsedy nezávislého úřadu je obdobné postavení ministra. Podle judikatury správních soudů námitka podjatosti ministra nepřichází v úvahu, neboť jeho postavení v řízení o rozkladu je výlučné a nezastupitelné (podle rozsudku Vrchního soudu v Praze ze dne 28. 2. 2002, č. j. 7 A 138/99 - 38). Dle názoru Nejvyššího správního soudu pak z úryvků novinového článku citovaných stěžovatelkou v žalobě proti druhoinstančnímu rozhodnutí správního orgánu obecně nevyplývá zaujatost předsedy Úřadu vůči stěžovatelce. Lze jí nicméně přisvědčit, že větou bude to precedenční rozhodnutí, takže musíme stanovit laťku výše pokut, předseda Úřadu nepřímo předjímá, že bude v daném případě porušení povinnosti shledáno. (Věta, podle níž úřad rozhodl, že bude sankcionovat Komerční pojišťovnu kvůli loňské krádeži dat…, je formulována autorkou článku, nikoli předsedou Úřadu.) Ze samotné skutečnosti, že pracovníci Úřadu rozhodli, že se na tento případ nevztahuje ochranná lhůta…, jakož ani z ostatních stěžovatelkou citovaných výroků, však žádné předsudky předsedy Úřadu nevyplývají. Jak správně uvádí Městský soud v Praze, podání základních obecných informací o probíhajícím řízení předpokládá zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Svou roli konečně bezesporu sehrál i způsob, jakým byl podaný rozhovor zpracován do finální podoby novinového článku. Nejvyšší správní soud proto uzavírá, že byť lze způsob (předčasnost) podání informací předsedou Úřadu posoudit snad jako neprofesionální, nelze z něj – v důsledku jedné nevhodně formulované věty – usoudit na zaujatost Úřadu či jeho předsedy vůči stěžovatelce, zejména s ohledem na jinak objektivní způsob, jakým bylo celé správní řízení vedeno, jakož i kvalifikovaná správní rozhodnutí, která byla jeho výsledkem.
Ze všech shora uvedených důvodů dospěl Nejvyšší správní soud k závěru, že rozsudek Městského soudu v Praze netrpí vadou podle ustanovení § 103 odst. 1 písm. a) s. ř. s. a kasační stížnost proto podle § 110 odst. 1 s. ř. s. jako nedůvodnou zamítl.
Stěžovatelka neměla ve věci úspěch, nemá proto právo na náhradu nákladů řízení o kasační stížnosti ze zákona (§ 60 odst. 1 ve spojení s § 120 s. ř. s.). Žalovaný měl ve věci úspěch, nevznikly mu však náklady řízení o kasační stížnosti přesahující rámec jeho běžné úřední činnosti. Soud mu proto právo na náhradu nákladů řízení nepřiznal (§ 60 odst. 1 ve spojení s § 120 s. ř. s.).
P o u č e n í : Proti tomuto rozsudku n e j s o u opravné prostředky přípustné (§ 53 odst. 3 s. ř. s.).
V Brně dne 10. května 2006
JUDr. Jaroslav Vlašín
předseda senátu