6 As 167/2024- 46 - text
6 As 167/2024 - 49 pokračování
[OBRÁZEK]
ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně Veroniky Juřičkové a soudkyň Martiny Küchlerové (soudkyně zpravodajka) a Jiřiny Chmelové ve věci žalobkyně: Poliklinika IPP s.r.o., sídlem Legerova 389/56, Praha 2, zastoupená JUDr. Milanem Vašíčkem, MBA, advokátem, sídlem Dominikánské náměstí 656/2, Brno, proti žalovanému: Úřad pro ochranu osobních údajů, sídlem Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedy žalovaného ze dne 7. 8. 2023, č. j. UOOU 00414/23
30, o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 31. 5. 2024, č. j. 17 A 109/2023 54,
I. Kasační stížnost žalobkyně se zamítá.
II. Žalobkyně nemá právo na náhradu nákladů řízení o kasační stížnosti.
III. Žalovanému se nepřiznává náhrada nákladů řízení o kasační stížnosti.
[1] Kasační stížností se žalobkyně (dále jen „stěžovatelka“) domáhala zrušení v záhlaví označeného rozsudku Městského soudu v Praze, kterým městský soud zamítl žalobu proti rozhodnutí předsedy žalovaného ze dne 7. 8. 2023, č. j. UOOU 00414/23 30.
[2] Tímto rozhodnutím žalovaný zamítl rozklad stěžovatelky a potvrdil rozhodnutí Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) ze dne 10. 5. 2023, č. j. UOOU 00414/23 20, jímž byla stěžovatelka uznána vinnou ze spáchání tří přestupků dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení GDPR“) a byla jí uložena pokuta ve výši 309 000 Kč. Konkrétně byla stěžovatelka jako správkyně osobních údajů týkajících se cca 58 zaměstnanců a 247 000 pacientů uznána vinnou, že: a) od spáchání kybernetického útoku dne 14. 3. 2021 do zahájení řízení o přestupku nedoložila, že by ve smyslu čl. 34 nařízení GDPR oznámila subjektům údajů porušení zabezpečení osobních údajů následkem kybernetického útoku na servery, na kterých měla databáze s osobními údaji subjektů, čímž porušila povinnost stanovenou v čl. 5 odst. 5 nařízení GDPR a spáchala přestupek podle § 62 odst. 1 písm. b) zákona č. 110/2019 Sb., o zpracování osobních údajů. b) bez zbytečného odkladu po spáchání kybernetického útoku dne 14. 3. 2021 neohlásila útok ÚOOÚ, čímž porušila povinnost stanovenou v čl. 33 odst. 1 nařízení GDPR, tedy povinnost správce ohlásit dozorovému úřadu porušení zabezpečení osobních údajů bez zbytečného odkladu, čímž spáchala přestupek podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů. c) dokumentace zaznamenávající porušení zabezpečení způsobené kybernetickým útokem dne 14. 3. 2021 se nezabývala účinky narušení bezpečnosti, což představuje povinný údaj podle čl. 33 odst. 5 nařízení GDPR a stěžovatelka tak spáchala přestupek podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů.
[3] Proti rozhodnutí žalovaného podala stěžovatelka žalobu, kterou městský soud dle § 78 odst. 7 zákona č. 150/2002 Sb., soudní řád správní (dále jen „s. ř. s.“), rozsudkem označeným v záhlaví jako nedůvodnou zamítl.
[4] Stěžovatelka v žalobě nejprve nerozporovala, že došlo k naplnění skutkových podstat přestupků, které jí byly kladeny za vinu. Uváděla pouze, že uložená pokuta ve výši 309 000 Kč je vzhledem ke skutkovým okolnostem nepřiměřeně přísná. Správní orgány obou stupňů dle jejího názoru nezohlednily všechny polehčující okolnosti, které při stanovení výše pokuty zohlednit měly. Mezi tyto okolnosti stěžovatelka řadila to, že osobní údaje dotčených subjektů byly po dobu jednoho týdne znepřístupněny, nedošlo však k jejich úniku. Notifikační povinnost o kybernetickém útoku stěžovatelka nahlásila své mateřské společnosti, od níž očekávala, že ji ve lhůtě ohlásí ÚOOÚ. Pacienti byli o porušení zabezpečení osobních údajů informováni prostřednictvím webových stránek, jejich podobu si však stěžovatelka neuložila. Splnění této povinnosti proto dokládala čestným prohlášením své jednatelky. Stěžovatelka měla za to, že je trestána dvakrát, nejen uloženou pokutou, ale i kybernetickým incidentem jako takovým. V doplnění žaloby pak nově uvedla, že přestupek podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů nespáchala, neboť měla všechna data zašifrována, a pro útočníky proto z tohoto důvodu nedostupná. V takovém případě nemuselo dle nařízení GDPR dojít k oznámení dané události subjektům údajů.
[5] Městský soud v odůvodnění napadeného rozsudku poukázal na to, že námitka ohledně zašifrování osobních údajů, ze které stěžovatelka poprvé až v doplnění žaloby dovozovala, že přestupek podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů nespáchala, byla dle § 71 odst. 2 s. ř. s. vznesena opožděně.
[6] Dále uvedl, že po celou dobu průběhu řízení stěžovatelka napadala pouze výši pokuty, kterou považovala za nepřiměřeně vysokou. Městský soud zdůraznil, že výčet polehčujících a přitěžujících okolností obsažených v § 39 a § 40 zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich (dále jen „přestupkový zákon“), je demonstrativní, a tedy je na správním orgánu, které okolnosti zohlední a které nikoli. Povinností správního orgánu je však argumentaci řádně odůvodnit. Městský soud se dále vyjádřil ke každé ze skutkových okolností, které stěžovatelka považovala za polehčující s odůvodněním, proč na tyto okolnosti jako na polehčující pohlížet nelze. Shledal, že výši uložené pokuty správní orgány obou stupňů velmi podrobně odůvodnily. Vycházely přitom z okolností v čl. 83 nařízení GDPR, k jehož uplatňování byl přijat dokument Evropského sboru pro ochranu osobních údajů – pokyn č. 04/2022 pro výpočet správních pokut podle obecného nařízení o ochraně osobních údajů (dále jen „pokyn“). Stěžovatelce mohla být uložena pokuta až do výše 20 milionů EUR, proto v daném případě nelze jí uloženou pokutu považovat za zjevně nepřiměřenou. Městský soud tak neshledal důvody pro zrušení žalobou napadeného rozhodnutí, ani pro moderaci uložené pokuty. II. Kasační stížnost a další podání účastníků
[7] V podané kasační stížnosti stěžovatelka namítala, že rozsudek městského soudu je nepřezkoumatelný, neboť přezkoumal nepřezkoumatelné rozhodnutí žalovaného. Přestupek podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů spáchán nebyl, a nebyl li přestupek, nebylo možné ani zkoumat adekvátnost za něj uložené sankce.
[8] K tomu stěžovatelka uvedla, že přestupku podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů se správce údajů může dopustit tím, že poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo čl. 9 nařízení GDPR. V čl. 5 odst. 2 nařízení GDPR [k jehož porušení mělo dojít u prvního přestupku výše specifikovaného v bodě 2 písm. a) tohoto rozsudku] není uvedena žádná „zásada“, kterou by bylo možno porušit. Hovoří se pouze o povinnosti správce osobních údajů dodržet odstavec 1 (tedy dodržet základní zásady) a schopnost dodržení zásad doložit. Základní zásady jsou uvedeny pouze v čl. 5 odst. 1 nařízení GDPR a nikoli v odst. 2 tohoto nařízení. I pokud by došlo ze strany stěžovatelky k porušení povinnosti vyplývající z čl. 5 odst. 2 nařízení GDPR, nemohlo dojít k porušení žádné ze „základních zásad“, neboť v daném ustanovení se žádná zásada nenachází. Městský soud tak měl ex offo přihlédnout k tomu, že přestupek spáchán nebyl, v opačném případě porušil zásadu nullum crimen sine lege, nulla poena sine lege.
[9] Dle stěžovatelky měl městský soud ex offo zkoumat nepřezkoumatelnost rozhodnutí žalovaného, která byla způsobena tím, že se žalovaný nezabýval stěžovatelčinou námitkou ohledně zašifrování osobních údajů, které byly znepřístupněny hackerským útokem. Stěžovatelka se domnívala, že vzhledem k zašifrování osobních údajů neměla povinnost oznámit subjektům údajů, že došlo k porušení zabezpečení osobních údajů. Neexistovala ani povinnost stěžovatelky ohlásit příslušnému dozorovému úřadu, že došlo k porušení zabezpečení těchto údajů [čl. 34 odst. 3 písm. a) nařízení GDPR a čl. 33 odst. 1 nařízení GDPR].
[10] Stěžovatelka dále namítala, že sankce uložená žalovaným ve výši 309 000 Kč je vzhledem k okolnostem, za nichž došlo ke spáchání přestupku, nepřiměřeně přísná. Správní orgány obou stupňů dostatečně nezohlednily všechny okolnosti, jež při stanovení výše pokuty zohlednit měly. Toto zohlednění následně neprovedl ani městský soud. Mezi polehčující okolnosti, které měly vliv na výši uložené pokuty, mělo být zahrnuto, že i stěžovatelka je obětí kybernetického útoku. Stěžovatelce byla chybně kladena k tíži okolnost, že subjekty údajů byly vůči ní ve výrazně slabším postavení. Stěžovatelka se ale nedopustila žádného zneužití „silnějšího“ postavení vůči pacientům. Uložená sankce je dle jejího názoru zjevně nespravedlivá, sankce měla být uložena ve výši do 5 000 Kč.
[11] Žalovaný ve vyjádření ke kasační stížnosti odkázal na odůvodnění napadeného rozsudku městského soudu a obsah vydaných správních rozhodnutí. Zdůraznil, že stěžovatelka nikdy nedoložila, že by údaje byly zašifrovány, ačkoli to z hlediska doložení existence výjimky z plnění oznamovací povinnosti bylo její povinností. Dokument mateřské společnosti stěžovatelky „Ohlášení porušení zabezpečení osobních údajů dle GDPR“, který byl ke dni 23. 11. 2021 vztažen ke stěžovatelce, žádnou relevantní zmínku o šifrování napadených dat neobsahoval. V bodě 10.4 dokumentu bylo zmíněno „HW šifrování disků na diskovém poli“. Toto šifrování však nemá vliv na přístup k datům ze spuštěného operačního systému. Data se jeví jako nešifrovaná a jako k nešifrovaným k nim má přístup i útočník. Takové šifrování chrání data pouze pro případ fyzického odcizení disku nebo vyjmutí disku z diskového pole. Žalovaný zdůraznil, že tvrzení stěžovatelky ohledně šifrování je účelové. Odkázal na bod 11.3 výše uvedeného dokumentu, kde stěžovatelka uvedla, že důvodem nesplnění informační činnosti bylo nepřiměřené úsilí informovat každou fyzickou osobu individuálně (zaměstnanci měli být informování e mailem a pacienti na webových stránkách). Dokument (formulář) ale v bodě 11.3 výslovně nabízel jako jeden z důvodů nesplnění informační povinnosti přijetí technických a organizačních opatření, jako je šifrování, která činí osobní údaje nesrozumitelné pro všechny neoprávněné osoby.
[12] K problematice šifrování se v doplňujících podáních opětovně vyjádřila stěžovatelka a následně i žalovaný. Oba setrvali na svých argumentačních stanoviscích. III. Posouzení Nejvyšším správním soudem
[13] Nejvyšší správní soud kasační stížnost posoudil a dospěl k závěru, že není důvodná.
[14] Nejvyšší správní soud nejprve uvádí, že vzhledem k obsahu stěžovatelčiných kasačních námitek byl povinen se nejprve zabývat otázkou (ne)přezkoumatelnosti rozsudku krajského (městského) soudu a rozhodnutí žalovaného. Bylo li by rozhodnutí žalovaného stiženo vadou nepřezkoumatelnosti (jak tvrdí stěžovatelka), byl by i napadený rozsudek městského soudu bez dalšího nepřezkoumatelný, neboť městský soud by přezkoumal nepřezkoumatelné rozhodnutí žalovaného (rozsudky Nejvyššího správního soudu ze dne 13. 6. 2007, č. j. 5 Afs 115/2006 91, či ze dne 27. 1. 2021, č. j. 7 As 222/2019 45). Taková situace však v nyní posuzované věci nenastala.
[15] Stěžovatelka namítá, že nespáchala přestupek podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů, konkrétně specifikovaný v bodě 2 písm. a) tohoto rozsudku. K této skutečnosti měli dle jejího názoru žalovaný i městský soud přihlédnout ex offo, neboť vypořádávali námitky stěžovatelky směřující do výše pokuty. V rámci vypořádání námitek směřujících do výše pokuty tak měli dle stěžovatelky konstatovat, že přestupek se nestal, neboť tato povinnost vyplývá ze zásady nullum crimen sine lege, nulla poena sine lege.
[16] V obecné rovině lze konstatovat, že městský soud by byl povinen přihlédnout – bez ohledu na stěžovatelčiny námitky – k porušení zásady nullum crimen sine lege, nulla poena sine lege (čl. 39 Listiny základních práv a svobod). V takovém případě by se jednalo o jednu z výjimek z § 75 odst. 2 s. ř. s., neboť judikatura již dospěla k závěru, že (některé) protiústavnosti rozhodnutí není třeba namítat a krajský soud je povinen k nim přihlédnout i bez návrhu (nad rámec uplatněných žalobních námitek). Příkladem je např. retroaktivní aplikace nové hmotněprávní úpravy ve prospěch pachatele správního deliktu (rozsudek Nejvyššího správního soudu ze dne 13. 6. 2008, č. j. 2 As 9/2008 77) nebo porušení zásady ne bis in idem (rozsudek Nejvyššího správního soudu ze dne 4. 3. 2009, č. j. 6 As 44/2008 142). V opačném případě by byla soudní rozhodnutí protiústavní [usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 16. 11. 2016, č. j. 5 As 104/2013 46; podrobněji k tomu viz Kühn, Z. In: Kühn, Z., Kocourek, T. a kol. Soudní řád správní. Komentář. Praha: Wolters Kluwer ČR, 2019, s. 605 (§ 75)]. Povinností městského soudu však nebylo se explicitně vyjadřovat ke všem v úvahu připadajícím ex offo vadám za situace, kdy v dané věci nenastaly.
[17] Tyto závěry městského soudu, se kterými se Nejvyšší správní soud ztotožňuje, nemění ani nyní vznesená argumentace stěžovatelky. Jak již bylo uvedeno výše, přestupku podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů se správce údajů může dopustit tím, že poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo čl. 9 nařízení GDPR. Dle stěžovatelčina názoru ale v čl. 5 odst. 2 nařízení GDPR není uvedena žádná „zásada“, kterou by bylo možno porušit.
[18] Dikce čl. 5 odst. 2 nařízení GDPR ovšem jednoznačně odkazuje na základní zásady zakotvené pod písmeny a) až f) čl. 5 odst. 1 nařízení GDPR. Podle čl. 5 odst. 2 GDPR správce odpovídá za dodržování zásad stanovených formou povinností v odstavci 1 tohoto článku a musí být schopen prokázat, že jsou tyto zásady dodržovány (viz rozsudek Soudního dvora EU ze dne 11. 1. 2024, C 231/22, bod 41).
[19] Dle výroku I prvostupňového rozhodnutí ÚOOÚ stěžovatelka od spáchání kybernetického útoku dne 14. 3. 2021 do zahájení předmětného řízení o přestupku nedoložila, že by ve smyslu čl. 34 nařízení GDPR, jenž promítá zásadu transparentnosti podle čl. 5 odst. 1 písm. a) nařízení GDPR, oznámila subjektům údajů porušení zabezpečení osobních údajů následkem kybernetického útoku na servery, na kterých stěžovatelka měla uloženy databáze s osobními údaji. Tím porušila povinnost stanovenou v čl. 5 odst. 2 nařízení GDPR, tedy povinnost správce doložit dodržení souladu se základními zásadami uvedenými v odst. 1 daného článku. Stěžovatelka tak byla uznána vinnou z toho, že nedodržela povinnost zpracovávat osobní údaje transparentním způsobem, jak vyplývá z čl. 5 odst. 1 písm. a) a čl. 34 nařízení GDPR, přičemž neunesla důkazní břemeno ve smyslu čl. 5 odst. 2 nařízení GDPR o opačném závěru.
[20] Je tedy zřejmé, jaké jednání je stěžovatelce kladeno za vinu (nedoložení oznámení subjektům údajů o kybernetickém útoku) a k porušení jakých ustanovení nařízení GDPR jejím jednáním došlo. Toto porušení zároveň vedlo k naplnění skutkové podstaty přestupku podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů.
[21] Za nedůvodnou považuje Nejvyšší správní soud také kasační námitku týkající se problematiky zašifrování osobních údajů dotčených subjektů, resp. že žalovaný se dle stěžovatelčina tvrzení touto námitkou vůbec nezabýval.
[22] V dané souvislosti je třeba zdůraznit, že obsahem rozkladu podaného stěžovatelkou proti prvostupňovému rozhodnutí ÚOOÚ byly skutečně pouze námitky směřující do výše uložené pokuty, kterou stěžovatelka navrhovala snížit do výše 5 000 Kč. V rozkladu se domáhala pouze změny či zrušení výroku IV rozhodnutí ÚOOÚ, kterým byla uložena peněžitá pokuta ve výši 309 000 Kč za celkem tři spáchané přestupky. Obdobě argumentovala i v podané žalobě, kde eventuálním petitem navrhovala též moderaci uložené pokuty. Není tedy pravda, že by stěžovatelka před správními orgány namítala, že osobní údaje byly v době kybernetického útoku zašifrovány, jak tvrdí v kasační stížnosti. Tuto argumentaci původně nevznesla ani v podané žalobě proti rozhodnutí žalovaného.
[23] V dalším podání adresovaném městskému soudu dne 25. 10. 2023 stěžovatelka nově (a v rozporu se svým dosavadním žalobním tvrzením) uvedla, že k vytýkaným přestupkům vůbec nemohlo dojít, resp. že nebyla naplněna jejich skutková podstata. Stěžovatelka se nově dovolávala toho, že na ni dopadá čl. 34 odst. 3 písm. a) nařízení GDPR, který upravuje výjimku z plnění oznamovacích (ve vztahu k subjektům údajů) a ohlašovacích (ve vztahu k dozorovému orgánu, tedy ÚOOÚ) povinností při kybernetickém útoku. Rozhodnutí žalovaného bylo stěžovatelce oznámeno dne 8. 8. 2023 a posledním dnem lhůty pro podání žaloby, resp. pro její rozšíření o nové žalobní body, bylo dle § 72 odst. 1 s. ř. s. pondělí 9. 10. 2023. Stěžovatelčina argumentace v podaní ze dne 25. 10. 2023 proto představovala nově uplatněné žalobní body, a byla tak nepřípustným rozšířením žaloby. Městský soud proto správně uvedl, že se těmito novými námitkami v souladu se zásadou koncentrace řízení zakotvenou v citovaném § 71 odst. 2 větě třetí s. ř. s. nemůže zabývat.
[24] Nad rámec výše uvedeného je nicméně vhodné na tomto místě poznamenat, jak upozornil již žalovaný ve vyjádření ke kasační stížnosti, že stěžovatelka na šifrování údajů v souvislosti s její oznamovací a ohlašovací povinností neupozorňovala ani při samotném ohlášení kybernetického útoku. V dokumentu, kterým prostřednictvím své mateřské společnosti ohlašovala kybernetický útok, v bodě 11.3 uvedla, že důvodem nesplnění (individuální) informační povinnosti bylo nepřiměřené úsilí informovat každou fyzickou osobu jednotlivě (pacienti měli být informováni na webových stránkách). Tento formulář v bodě 11.3 výslovně nabízel jako jeden z důvodů nesplnění informační povinnosti i přijetí technických a organizačních opatření (jako je šifrování), která činí osobní údaje nesrozumitelné pro všechny neoprávněné osoby.
[25] K namítané nepřiměřenosti výše uložené pokuty Nejvyšší správní soud připomíná, že stanovení výše pokuty je věcí správního uvážení, které podléhá přezkumu ze strany správních soudů pouze v omezeném rozsahu, a sice zda správní orgán uvážení nezneužil či zda je nepřekročil (usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 23. 3. 2005, č. j. 6 A 25/2002 42, č. 906/2006 Sb. NSS). Úkolem soudu tak není nahradit správní orgán v jeho odborné kompetenci ani nahradit správní uvážení uvážením soudním, ale naopak posoudit, zda se správní orgán v napadeném rozhodnutí dostatečně vypořádal se zjištěným skutkovým stavem. Tedy zda řádně a úplně zjistil skutkový stav řádným procesním postupem, a zda tam, kde se jeho rozhodnutí opíralo o správní uvážení, nedošlo k vybočení z mezí a hledisek stanovených zákonem. Pokud jsou tyto předpoklady splněny, nemůže soud z týchž skutečností vyvozovat jiné nebo přímo opačné závěry.
[26] Nejvyšší správní soud odkazuje především na rozsudek ze dne 3. 4. 2012, č. j. 1 Afs 1/2012 36, č. 2671/2012 Sb. NSS, v němž vyslovil následující závěry: „Při posuzování zákonnosti uložené sankce správní soud k žalobní námitce přezkoumá, zda správní orgán při stanovení výše sankce zohlednil všechna zákonem stanovená kritéria, zda jeho úvahy o výši pokuty jsou racionální, ucelené, koherentní a v souladu se zásadami logiky, zda správní orgán nevybočil z mezí správního uvážení nebo jej nezneužil, ale rovněž, zda uložená pokuta není likvidační (…) Při hodnocení zákonnosti uložené sankce správními soudy není dán soudu prostor pro změnu a nahrazení správního uvážení uvážením soudním, tedy ani prostor pro hodnocení prosté přiměřenosti uložené sankce. Přiměřenost by při posuzování zákonnosti uložené sankce měla význam jedině tehdy, pokud by se správní orgán dopustil některé výše popsané nezákonnosti, v jejímž důsledku by výše uložené sankce neobstála, a byla by takříkajíc nepřiměřená okolnostem projednávaného případu. Používání výrazu ‚přiměřenost uložené pokuty‘ v této souvislosti je však do jisté míry nepřesné, neboť soudní řád správní umožňuje správnímu soudu zohlednit hledisko přiměřenosti jen v rámci posuzování individualizace trestu, tj. v situaci, kdy je správní soud podle § 78 odst. 2 s. ř. s. na návrh žalobce nadán pravomocí nahradit správní uvážení a výši uložené sankce moderovat a zároveň je správním orgánem uložená sankce zjevně nepřiměřená. Ani v takovém případě ale pro zásah do správního uvážení soudem nepostačí běžná nepřiměřenost, ale je nutné, aby nepřiměřenost dosáhla kvalitativně vyšší míry a byla zjevně nepřiměřená“ (bod 26).
[27] Městský soud správně připomněl, že v obecné rovině lze za polehčující označit takovou okolnost, která snižuje společenskou škodlivost přestupku a působí ve prospěch pachatele. Městský soud zdůraznil, že byť je výčet polehčujících a přitěžujících okolností v přestupkovém zákoně demonstrativní, je na uvážení správních orgánů, jaké konkrétní okolnosti při úvaze o ukládané sankci zohlední.
[28] Ke konkrétním okolnostem, které stěžovatelka považovala za nezohledněné polehčující okolnosti, se městský soud podrobně vyjádřil v bodech 37, 39, 48, 49 až 52 a 64 a 65 napadeného rozsudku. Ve vztahu k těm okolnostem, které stěžovatelka namítala v kasační stížnosti, pak uvedl, že nelze přistoupit na její argumentaci, dle které samotný kybernetický útok byl pro stěžovatelku trestem. Kybernetický útok, kterému stěžovatelka čelila, byl událostí, která stěžovatelce jistě po dobu jeho trvání zkomplikovala běžný provoz. Stěžovatelka ovšem nebyla sankcionována za kybernetický útok, ale za to, že nesplnila své povinnosti podle čl. 5, 33 a 34 nařízení GDPR. Tím se dopustila přestupků podle § 62 odst. 1 písm. a) a b) zákona o zpracování osobních údajů, za což jí byla uložena pokuta. Provozní komplikace způsobené kybernetickým útokem nelze považovat za trest a nelze je zohlednit ani při ukládání sankce.
[29] Žalovaný v této souvislosti zmínil, že v daném případě měly chráněné osobní údaje charakter zvláštní kategorie a týkaly se převážně pacientů, což závažnost skutku zvyšovalo. Nutno však dodat, že žalovaný jako příklad důvodu snížení závažnosti skutku také uvedl, že pouze jeden ze subjektů údajů pociťoval zvýšenou míru poškození svých práv vyplývajících z čl. 34 nařízení GDPR, jakož i to, že zpracování osobních údajů není hlavní činností stěžovatelky. Není tedy pravdivým stěžovatelčino tvrzení, že se správní orgány nezabývaly individuálními a konkrétními okolnostmi nad rámec těch vyjmenovaných v § 39 a § 40 přestupkového zákona. Městský soud správně shrnul, že okolnosti, které stěžovatelka považovala za polehčující, takovými okolnostmi reálně nebyly. Stejně tak se městský soud podrobně zabýval výší uložené pokuty, kterou neshledal zjevně nepřiměřenou, proto nepřistoupil k její moderaci, jak je uvedeno v bodě 69 jeho rozsudku. Způsob výpočtu pokuty je potom velmi podrobně odůvodněn v bodech 60 až 62 rozsudku. Neshledal li městský soud správně nepřiměřenost výše uložené pokuty, tím spíše se nejedná o nepřiměřenost zjevnou, která jedině by podle § 78 odst. 2 s. ř. s. zakládala možnost soudu k moderaci trestu.
[30] Nejvyšší správní soud uzavírá, že nemá argumentaci městského soudu co vytknout. Stěžovatelka proti ucelené argumentaci městského soudu nestaví vlastní argumentační rámec, pouze opakuje námitku, původně vznesenou již v řízení před městským soudem. Pokud stěžovatelka neprezentuje dostatečně konkrétní názorovou oponenturu vůči závěrům městského soudu, není Nejvyšší správní soud povinen hledat způsob pro alternativní vyjádření závěrů, k nimž již před ním dospěl městský soud (k tomu viz rozsudek Nejvyššího správního soudu ze dne 12. 11. 2014, č. j. 6 As 54/2013 128, bod 16). IV. Závěr a náklady řízení
[31] Nejvyšší správní soud dospěl k závěru, že kasační stížnost není důvodná, a proto ji podle § 110 odst. 1 poslední věty s. ř. s. zamítl.
[32] O nákladech řízení o kasační stížnosti Nejvyšší správní soud rozhodl podle § 60 odst. 1 a 7 s. ř. s. ve spojení s § 120 s. ř. s. Žalobkyně (stěžovatelka) neměla ve věci úspěch, nemá proto právo na náhradu nákladů řízení. Úspěšnému žalovanému žádné náklady nad rámec obvyklé úřední činnosti nevznikly, náhrada nákladů řízení se mu tudíž nepřiznává.
Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné. V Brně dne 21. května 2025
Mgr. Ing. Veronika Juřičková předsedkyně senátu