Nejvyšší správní soud rozsudek správní

6 As 32/2023

ze dne 2024-03-26
ECLI:CZ:NSS:2024:6.AS.32.2023.40

Plný text rozhodnutí

6 As 32/2023- 40 - text

 6 As 32/2023 - 45 pokračování

[OBRÁZEK]

ČESKÁ REPUBLIKA

ROZSUDEK

JMÉNEM REPUBLIKY

Nejvyšší správní soud rozhodl v senátu složeném z předsedy Filipa Dienstbiera a soudců Tomáše Langáška a Tomáše Blažka v právní věci žalobkyně: Česká republika – Ministerstvo vnitra, sídlem Nad Štolou 963/3, Praha 7, proti žalovanému: Úřad pro ochranu osobních údajů, sídlem Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedkyně žalovaného ze dne 5. 12. 2019, č. j. UOOU 09383/18

17, o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 4. 1. 2023, č. j. 8 A 16/2020 40,

I. Kasační stížnost se zamítá.

II. Žalobkyně nemá právo na náhradu nákladů řízení o kasační stížnosti.

III. Žalovanému se nepřiznává náhrada nákladů řízení o kasační stížnosti.

[1] Rozhodnutím ze dne 7. 8. 2019 Úřad pro ochranu osobních údajů rozhodl, že žalobkyně je vinna přestupkem 1) podle § 62 odst. 1 písm. b) zákona č. 110/2019 Sb., o zpracování osobních údajů, tedy že porušila některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), a to tím, že ke dni 4. 7. 2018 uchovávala v souvislosti se zasláním „Žádosti o založení státního zaměstnance – cizince bez možnosti ztotožnění podle registru obyvatel – do rejstříku státních zaměstnanců a přidělení evidenčního čísla“ ve 144 případech osobní údaje uvedené v kopiích osobních dokladů, minimálně v rozsahu fotografie a případně podpis držitele dokladu, a to v rozporu s účelem, k němuž byly shromážděny, tedy za účelem ověření totožnosti subjektu údajů, čímž porušila povinnost stanovenou v čl. 5 odst. 1 písm. b) nařízení (EU) 2016/679, bez relevantního právního titulu, čímž porušila povinnost stanovenou v čl. 6 odst. 1 nařízení (EU) 2016/679, a 2) podle § 62 odst. 1 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů, tedy porušila některou z povinností podle čl. 8, 11, 25 až 39, 42 až 49 nařízení (EU) 2016/679 nebo hlavy II, a to tím, že v době nejméně od 1. 7. 2015 do 7. 8. 2018 v ISoSS nevedla záznamy o přístupech oprávněných zaměstnanců služebních úřadů do tohoto systému, tedy záznamy, které umožní určit, kdo k údajům konkrétního subjektu údajů přistoupil a za jakým účelem, čímž porušila povinnost stanovenou v čl. 32 odst. 1 nařízení (EU) 2016/679. Úřad podle § 62 odst. 5 zákona o zpracování osobních údajů upustil od uložení správního trestu.

[2] Rozhodnutím ze dne 11. 9. 2019 byla opravena zřejmá nesprávnost v druhé části výroku rozhodnutí spočívající v záměně zákona č. 110/2019 Sb., o zpracování osobních údajů, za zákon č. 101/2000 Sb., o ochraně osobních údajů.

[3] Rozklad žalobkyně předsedkyně Úřadu rozhodnutím ze dne 5. 12. 2019 zamítla a rozhodnutí správního orgánu I. stupně potvrdila.

[4] Rozhodnutí o rozkladu napadla žalobkyně žalobou, kterou Městský soud v Praze zamítl.

[5] Námitku, že řízení bylo zahájeno příkazem, který byl v rozporu se zákonem, neboť jím nebyla uložena povinnost, neobsahoval poučení o procesních právech a nedostatečně vymezil věc, městský soud neshledal důvodnou. Příkaz může být prvním úkonem v řízení, takže vydáním příkazu ze dne 26. 6. 2019 bylo řízení zahájeno. Příkaz obsahuje dostatečně určité popisy jednání žalobkyně žalovaným kvalifikované jako přestupky. Příkazem byla žalobkyně zpravena jednak o tom, že se s ní vede řízení o přestupku, jednak o tom, jakých jednání se řízení týká. Příkaz obsahoval poučení o odporu, právě takové poučení bylo v tomto stádiu na místě. Z logiky věci je vyloučeno, aby příkaz obsahoval poučení o procesních právech.

[6] Dále městský soud shrnul, že žalobkyně odpor podala, načež byla sdělením Úřadu ze dne 3. 7. 2019 vyrozuměna o tom, že příkaz byl zrušen, v řízení se pokračuje, že byly shromážděny dostatečné podklady pro vydání rozhodnutí, a byla poučena o svých procesních právech.

[7] K námitkám týkajícím se příkazu městský soud zdůraznil, že příkaz byl v důsledku odporu zrušen, nemá tedy hmotněprávní účinky, v okamžiku podání žaloby tedy příkaz neexistoval, a žalobní námitky proti příkazu proto nelze vypořádat. Jediný účinek příkazu, který byl zachován, byl efekt zahájení řízení. Účinek zahájení řízení by byl vyloučen pouze v případě, že by příkaz trpěl vadami, které by jej činily nicotným. Takové vady však městský soud neshledal. Ze zákona dle městského soudu nevyplývá, že by nebylo možné příkazem rozhodnout o upuštění od uložení správního trestu.

[8] Městský soud neshledal důvodné ani námitky proti formulaci výroku příkazu „obviněný porušil některou ze zásad a nesplnil některé povinnosti dle hlavy II zákona, a proto se odsuzuje…“, a námitku, že až z odůvodnění prvostupňového rozhodnutí se žalobkyně dozvěděla podrobnější, stále však „sběrnou“ kvalifikaci. Znovu zdůraznil, že příkaz nebyl předmětem přezkumu, neboť byl podáním odporu zrušen. Výrok rozhodnutí správního orgánu I. stupně obsahuje popis jednání, v němž je spatřován přestupek, a právní kvalifikace. Formulace „porušení některých ze základních zásad“ je citací normy definující přestupek. Jediným pochybením je v 2. části výroku nesprávný odkaz na zákon č. 101/2000 Sb., je však nesporné, že oba přestupky jsou definovány zákonem o zpracování osobních údajů. Tato vada tak neměla vliv na zákonnost rozhodnutí, šlo jen o vadu v psaní.

[9] Důvodnou neshledal městský soud ani námitku porušení zásady legitimního očekávání spatřované žalobkyní v tom, že Úřad nejdříve uzavřel kontrolu s tím, že netřeba dalších opatření, poté zahájil řízení o uložení nápravných opatření, které následně autoremedurou zastavil, posléze informoval veřejnou tiskovou zprávou, že neuložil opatření k nápravě a od uložení pokuty upustil, načež zahájil řízení o přestupku. Městský soud uvedl, že rozhodnutí o uložení nápravných opatření nesouvisí s odpovědností žalobkyně za přestupky. Zveřejnění tiskové zprávy nepředstavuje nic na způsob překážky zahájeného řízení či překážky věci pravomocně rozhodnuté.

[10] Důvodné neshledal městský soud ani námitky týkající se hmotněprávní kvalifikace jednání žalobkyně.

[11] Pokud jde o uchovávání kopií dokladů za účelem ověření totožnosti, městský soud se ztotožnil s argumentací správních orgánů. Žalobkyně by mohla uchovávat údaje cizinců žádajících o přijetí do státní služby jen tehdy, pokud by k tomu byla zmocněna konkrétní právní normou. Taková norma však neexistuje. Nejde ani o zpracování nezbytné pro účely oprávněných zájmů správce či třetí strany, které by nezasahovalo významně do základních práv a svobod subjektů údajů, neboť tento právní titul se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů. Mohlo by se jednat o zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, nicméně v tomto případě nebyla splněna podmínka nezbytnosti takového zpracování. Souhlas získaný způsobem, jenž zvolila žalobkyně, není svobodným a jednoznačným svolením subjektu údajů se zpracováním osobních údajů.

[12] K námitce, že v průběhu správního řízení žalobkyně nemohla uplatnit všechny argumenty, jimiž by mohla podpořit svůj názor, že k vytýkanému zacházení s osobními údaji měla zákonný důvod, neboť nemohla předvídat všechny případné námitky Úřadu, městský soud zdůraznil, že již z protokolu o kontrole ze dne 7. 8. 2018 a nejpozději z příkazu ze dne 26. 6. 2019 bylo žalobkyni zřejmé, co je jí kladeno za vinu, a mohla tedy koncipovat svou protiargumentaci.

[13] Se závěry správních orgánů se městský soud ztotožnil, rovněž pokud jde o přestupek, spočívající v tom, že žalobkyně v konkrétní době v ISoSS nevedla záznamy o přístupech oprávněných zaměstnanců služebních úřadů do tohoto systému, tedy záznamy, které umožní určit, kdo k údajům konkrétního subjektu údajů přistoupil a za jakým účelem. Městský soud shrnul, že bylo zjištěno, že žalobkyně v rámci provozu informačního systému ISoSS má instalovanou aplikaci, jejímž prostřednictvím jsou ukládány záznamy o přístupech do systému (logování), avšak použité prostředky pro logování (nástroje pro prohlížení/analýzu logování) neumožňují získat informace o tom, kdo k údajům konkrétního subjektu údajů přistoupil a za jakým účelem. Žalobkyně sama připustila, že logování je jen částečné, neboť v některých případech neprobíhalo. II. Kasační stížnost a vyjádření žalovaného

[14] Proti rozsudku městského soudu podala žalobkyně (stěžovatelka) kasační stížnost dle § 102 a násl. zákona č. 150/2002 Sb., soudní řád správní (dále jen „s. ř. s.“).

[15] Stěžovatelka zopakovala námitku nesprávného zahájení řízení příkazem. Úprava příkazu jasně hovoří o uložení povinnosti, upuštění od trestu pod uložení povinnosti podřadit nelze.

[16] Správní orgány i soud opomíjí, že povinnost, která byla stěžovatelce vytýkána, byla v mezidobí zrušena a zákon o zpracování osobních údajů ani nařízení (EU) 2016/679 takovou povinnost nevyžaduje. Správní orgány ani soud se s touto námitkou nijak nevypořádaly. Odkazy na zákon o ochraně osobních údajů jsou proto dle stěžovatelky klíčové, neboť byly těžištěm závěrů. Stěžovatelka správní orgány opakovaně upozorňovala, přesto bylo porušení zrušeného zákona hlavním důvodem deklarace viny. Pojem „záznamy o činnostech zpracování“ správní orgány v části řízení vykládaly jinak, než jaký je skutečný obsah tohoto pojmu v nařízení (EU) 2016/679.

[17] Stěžovatelka dále namítla, že žalovaný rutinně nepoučuje o právech obviněných, konstantně se drží špatné praxe. Stěžovatelka zdůraznila, že netvrdila, že by takové poučení mělo být obsahem příkazu. Ustanovení § 4 odst. 2 zákona č. 500/2004 Sb., správní řád však platí i v řízení zahajovaném příkazem. Příkaz zde nebylo možné vydat, proto se materiálně jedná spíše o oznámení o zahájení řízení. Oznámení o zahájení řízení poučení o procesních právech musí obsahovat, a to nejen poučení podle § 36 správního řádu. V „trestním“ řízení však obviněnému svědčí i další procesní práva.

[18] Stěžovatelka dále namítala, že příkaz má účinky i po zrušení v důsledku podání odporu, a to minimálně ohledně vymezení předmětu řízení a například též ohledně zákazu změny k horšímu, což uznává i judikatura Nejvyššího správního soudu.

[19] Stěžovatelka dále uvedla, že nepovažuje za standard, že úřad něco veřejně deklaruje a po půl roce koná za nezměněného stavu opačně. Takový postup je svévolný.

[20] Stěžovatelka dále nesouhlasila s tím, že nemá povinnost uchovávat kopie dokladů. Stěžovatelka má podle nařízení (EU) 2016/679 povinnost zpracovávat přesné osobní údaje, přičemž při přepisech dochází k chybám, proces ztotožnění nelze rozdělovat na fáze a na každou fázi žádat nový titul. Výkon veřejné správy je založen na zpracovávání osobních údajů, pokud má být někdo zařazen do autoritativní státní evidence, nelze akceptovat, že se to nijak nekontroluje, neověřuje a není to využitelné pro plnění dalších, jinými zákony uložených povinností.

[21] Pokud jde o postup dle čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679, dle stěžovatelky Úřad ani soud nerozlišují pojem nezbytnost, resp. potřebnost, a pojem „strictly necessary“.

[22] Chybné je dle stěžovatelky též tvrzení soudu, že zpracování mohla stěžovatelka založit leda na souhlasu subjektu osobních údajů, jde o titul určený primárně soukromému sektoru a souhlas lze kdykoli odvolat. Nesrozumitelný je dle stěžovatelky argument soudu aktualizací kopií dokumentů.

[23] Dále stěžovatelka namítla, že není pravdou, že neuvedla žádný relevantní důvod, který by zpochybnil potřebu logování. Logování není jediným možným opatřením. Stěžovatelka namítla, že vše se odvíjí od aplikace zrušené normy a dezinterpretace normy nové. Nová úprava je založena na riziku, v konkrétním případě však nebylo ilustrováno žádné představitelné riziko. Nebylo vysvětleno, proč nestačí logování částečné nebo logování do určitého segmentu či úrovně systému, Úřad i soud opomíjí, že logování nebylo nulové. Žalovaný by měl být schopen vysvětlit potřebu logování, když nařízení (EU) 2016/679 potřebu logování nezmiňuje a neukládá, zejména ne v případě, kdy v systému jsou k vidění základní údaje (jméno a příjmení), přičemž jména úředních osob musí být stejně dostupná komukoli.

[24] Stěžovatelka dále nesouhlasila s tolerantním přístupem soudu k formulaci výroku o trestním obvinění, konkretizaci porušení povinnosti nic nebránilo.

[25] Stěžovatelka dále odkázala na znění žaloby a navrhla, aby Nejvyšší správní soud rozsudek městského soudu a rozhodnutí správních orgánů obou stupňů zrušil.

[26] V doplnění stěžovatelka zdůraznila, že orgán veřejné moci je oprávněn zpracovávat osobní údaje, které ke své činnosti potřebuje. Uvedený přístup je v souladu s čl. 6 odst. 1 písm. c) a písm. e) nařízení (EU) 2016/679. Upozornil na § 5 odst. 1 zákona č. 111/2009 Sb., o základních registrech. Též uvedla, že městský soud měl zohlednit nastalé změny právní úpravy: nahrazení zákona o ochraně osobních údajů zákonem o zpracování osobních údajů, resp. nařízení (EU) 2016/679.

[27] Žalovaný ve svém vyjádření uvedl, že s ohledem na upuštění od uložení správního trestu není zřejmé, zda vůbec nebo jakým způsobem samotný výrok o vině zasahuje do právní sféry stěžovatelky, kasační stížnost neobsahuje explicitní tvrzení takového zásahu.

[28] Dále žalovaný uvedl, že předmětem žaloby je řízení o přestupku, nikoli předchozí řízení o uložení nápravných opatření nebo předchozí kontrola. Žalovaný zdůraznil zásadní rozdíl mezi účely kontroly, řízení o uložení opatření k odstranění nedostatků a řízení o přestupku. Samo zahájení a vedení řízení o přestupku není podmíněno provedením kontroly nebo řízením o uložení opatření k nápravě. Tisková zpráva nepředstavuje překážku pro pozdější přestupkové řízení. Ustanovení § 40a zákona o ochraně osobních údajů platného ke dni 25. 1. 2019 umožňovalo na základě správní úvahy upustit od uložení pokuty, pokud došlo k nápravě protiprávního stavu; § 62 odst. 5 zákona o zpracování osobních údajů výslovně předepisuje, aby vůči orgánům veřejné moci bylo upuštěno od uložení správního trestu, a představuje tedy pro stěžovatelku příznivější právní úpravu. Pokud nastaly okolnosti pro vedení přestupkového řízení, není vyloučeno, aby o přestupku bylo rozhodnuto příkazem. Upuštění od správního trestu příkazem zákon nevylučuje. I kdyby byl příkaz shledán vadným, řízení by bylo nutné mít za zahájené na základě oznámení Úřadu ze dne 3. 7. 2019, neboť toto oznámení splňuje náležitosti § 46 odst. 1 správního řádu a oznámení o zahájení řízení může být spojeno s jiným úkonem v řízení.

[29] Žalovaný dále nesouhlasil s námitkou týkající se nedostatečné specifikace skutku, v rozhodnutí správního orgánu I. stupně byly formulovány jednotlivé výroky tak, aby bylo zjevné, jaká ustanovení byla porušena.

[30] K logování (vedení záznamů o přístupu k osobním údajům) žalovaný uvedl, že přestupek podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů spočívající v opomenutí pořizovat příslušné záznamy v ISoSS se týká období mezi 1. 7. 2015 a 7. 8. 2018, tudíž období, v němž platily povinnosti zakotvené v § 13 odst. 4 písm. c) zákona o ochraně osobních údajů, přičemž bylo doloženo, že stěžovatelka těmto povinnostem nedostála. Jedinou otázkou tak bylo, zda zrušení zákona o ochraně osobních údajů a jeho nahrazení novou úpravou, která již povinnost logování výslovně neukládá, představuje pro pachatele příznivější úpravu znemožňující vyslovit závěr o spáchání přestupku podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů. Žalovaný uvedl, že i po zrušení zákona o ochraně osobních údajů považuje logování přístupů k osobním údajů za jeden z nejzákladnějších prvků zabezpečení, který má být vnímán jako běžná součást technických a organizačních opatření pro zajištění důvěrnosti a integrity zpracovávaných osobních údajů. Logování je neoddělitelnou součástí plnění povinností uložených nařízením (EU) 2016/679. Záznamy o přístupu k osobním údajům (logování) nelze ztotožňovat se záznamy o činnostech zpracování podle čl. 30 nařízení (EU) 2016/679.

[31] K přestupku spočívajícímu v neoprávněném uchovávání osobních údajů uvedených v kopiích osobních dokladů žalovaný zdůraznil, že právní titul zpracování dle čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679 sice obecně svědčí orgánům veřejné moci, jeho aplikace však musí být stanovena, zákon o státní službě upravující vedení ISoSS však takové zpracování stěžovatelce neukládají. Osobní údaje zjevně nebyly zpracovány ani v režimu zákona č. 499/2004 Sb., o archivnictví a spisové službě. Stěžovatelka překročila právní titul pro zpracování osobních údajů. Pro případ kvalifikace skutkové podstaty přestupku je změna právních předpisů irelevantní, neboť předchozí i stávající právní úprava obsahují obdobné instituty. III. Posouzení věci Nejvyšším správním soudem

[32] Nejvyšší správní soud při posuzování kasační stížnosti hodnotil, zda jsou splněny podmínky řízení, přičemž dospěl k závěru, že stížnost má požadované náležitosti, byla podána včas a osobou oprávněnou, a je tedy projednatelná.

[33] Nejvyšší správní soud se neztotožnil s argumentací žalovaného, podle níž rozhodnutí, jímž bylo konstatováno spáchání přestupku a zároveň upuštěno od uložení správního trestu, nezasahuje právní sféru adresáta takového rozhodnutí. I samotný deklaratorní výrok o vině za spáchaný přestupek nepochybně právní sféru zasahuje a takové rozhodnutí splňuje znaky rozhodnutí dle § 65 s. ř. s.

[34] Poté Nejvyšší správní soud přezkoumal napadený rozsudek městského soudu v rozsahu kasační stížnosti a v rámci uplatněných důvodů, ověřil při tom, zda napadené rozhodnutí netrpí vadami, k nimž by musel přihlédnout z úřední povinnosti (§ 109 odst. 3 a 4 s. ř. s.), a dospěl k závěru, že kasační stížnost není důvodná.

[35] Nejvyšší správní soud souhlasí se stěžovatelkou potud, že příkazem nelze upustit od potrestání. Podle zvláštní úpravy § 90 odst. 1 věty druhé zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, příkazem lze uložit správní trest napomenutí, pokuty, zákazu činnosti, nebo propadnutí věci nebo náhradní hodnoty. Jiné druhy správních trestů, nestanoví li zvláštní zákon jinak, příkazem uložit nelze, neboť výčet v ustanovení uvedený je taxativní. Ani možnost příkazem upustit od uložení správního trestu zákon správnímu orgánu nedává (§ 42 a § 43 zákona o odpovědnosti za přestupky). Podle obecné úpravy § 150 odst. 1 věta první správního řádu platí, že v řízení z moci úřední a ve sporném řízení lze uložit povinnost formou písemného příkazu. Jestliže rozhodnutí deklaruje vinu za přestupek, ale upouští od uložení správního trestu, pak není splněn předpoklad § 150 odst. 1 věty první správního řádu, neboť takovým rozhodnutím žádná povinnost adresátovi příkazu uložena nebyla. Tedy ani podle zvláštní, ani podle obecné úpravy nelze příkazem konstatovat spáchání přestupku a zároveň upustit od potrestání. Odborná literatura též zdůrazňuje, že upuštění od uložení správního trestu předpokládá, že samotné projednání věci před správním orgánem postačí k nápravě pachatele, čehož je možné dosáhnout pouze v nezkráceném řízení (Prášková, Helena. Příkaz v řízení o přestupku. Acta Universitatis Carolinae – Iuridica, 2/2020, s. 121 144).

[36] Nejvyšší správní soud tedy nesouhlasí s dílčím závěrem městského soudu, že ze zákona nevyplývá, že příkazem není možné rozhodnout o upuštění od uložení správního trestu a Úřad nepochybil, jestliže příkazem ze dne 26. 6. 2019 konstatoval vinu stěžovatelky za uvedené přestupky a současně upustil od uložení správního trestu.

[37] Příkaz Úřadu ze dne 26. 6. 2019 tedy v tomto ohledu byl v rozporu se zákonem. Nejvyšší správní soud však souhlasí s městským soudem, že tato vada není tak závažnou vadou, která by příkaz činila nicotným, již od počátku neexistentním. Podáním odporu tedy byla zrušena funkce příkazu coby nepravomocného rozhodnutí, zachovány však zůstaly účinky příkazu coby alternativy k oznámení zahájení řízení (k tomu srov. rozsudky Nejvyššího správního soudu ze dne 23. 12. 2015, č. j. 2 As 216/2015 44, 16. 4. 2021, č. j. 5 As 306/2020 27, 5. 4. 2023, č. j. 4 As 67/2023 27). V tomto ohledu Nejvyšší správní soud s městským soudem souhlasí.

[38] Stran významu vymezení předmětu skutku v příkazu pro další řízení Městský soud uvedl, že příkaz obsahuje dostatečně určité popisy jednání žalobkyně, jež žalovaný kvalifikoval jako přestupky. Příkazem byla žalobkyně zpravena jednak o tom, že je s ní vedeno řízení o přestupku, jednak o tom, jakých jednání se řízení týká. Námitkami vůči výroku příkazu se městský soud výslovně nezabýval s argumentací, že příkaz ze dne 26. 6. 2019 nebyl předmětem soudního přezkumu, neboť byl okamžikem podání odporu proti němu zrušen. Nejvyšší správní soud za takové situace neshledává pochybení městského soudu v tom, že neporovnal výrok příkazu ze dne 26. 6. 2019 a rozhodnutí Úřadu ze dne 7. 8. 2019 z hlediska totožnosti skutku a žalobní námitku nejasné formulace výroku příkazu výslovně nevypořádal též vzhledem k problematice totožnosti skutku. Stěžovatelka totiž v žalobě nenamítala, že správní orgány požadavek totožnosti skutku porušily či nepřípustně rozšířily předmět řízení. Lze dodat, že při posuzování obsahu příkazu jakožto úkonu, jímž došlo k zahájení řízení o přestupku, je nerozhodné, zda byly požadované skutečnosti uvedeny v jeho výroku či odůvodnění.

[39] K námitce absence poučení stěžovatelky o procesních právech již městský soud shrnul, že ve sdělení Úřadu ze dne 3. 7. 2019 o tom, že příkaz byl v důsledku podaného odporu zrušen, byla stěžovatelka poučena o svých procesních právech, konkrétně o právu navrhovat důkazy, činit jiné návrhy, vyjádřit v řízení své stanovisko a vyjádřit se k podkladům rozhodnutí podle § 36 správního řádu, o právu nahlížet do spisu podle § 38 správního řádu, o právu být informován o totožnosti oprávněné úřední osoby podle § 15 odst. 4 správního řádu a o právu podle § 80 odst. 2 zákona o odpovědnosti za přestupky žádat o nařízení ústního jednání. Není tedy pravdou, že jiné poučení než poučení o právech ve smyslu § 36 správního řádu městský soud nenalezl, jak v kasační stížnosti tvrdí stěžovatelka. Pokud stěžovatelka namítala, že žalovaný rutinně nepoučuje o procesních právech, takto formulovaná námitka není ve správním soudnictví přípustná, neboť v řízení před správními soudy se lze domáhat ochrany toliko ve své věci, jež byla předmětem právě napadeného rozhodnutí, a nikoli v jiných blíže nespecifikovaných věcech.

[40] Důvodem pro zrušení není ani námitka, že Úřad postupoval svévolně, když nejprve deklaroval, že neshledal pochybení, resp. shledal pochybení nevýznamná, načež zahájil se stěžovatelkou řízení o přestupku. Žalobou bylo napadeno rozhodnutí předsedkyně Úřadu ze dne 5. 12. 2019, jímž bylo rozhodnuto o přestupku. Nejvyšší správní soud souhlasí s městským soudem, že rozhodnutí o uložení opatření k nápravě ani tisková zpráva nevytvářejí legální překážku řízení o přestupku ani vydání rozhodnutí o přestupku. V tiskové zprávě, kterou stěžovatelka přiložila k žalobě a na niž se odvolává, nadto Úřad výslovně uvedl, že stěžovatelka povinnosti při zpracování osobních údajů porušila. Nejvyšší správní soud tedy neshledává ani nekonzistentnost v postojích správních orgánů.

[41] Nejvyšší správní soud souhlasí rovněž s hodnocením městského soudu, že výrok rozhodnutí Úřadu ze dne 7. 8. 2019 obsahuje dostatečně jasný popis jednání, v němž byl spatřován přestupek, a jasnou právní kvalifikaci tohoto jednání. Odkaz na porušení některých ze základních zásad v první části výroku rozhodnutí Úřadu, resp. některé ze základních povinností v druhé části výroku rozhodnutí Úřadu není porušením požadavku na srozumitelnost či jednoznačnost výroku rozhodnutí, neboť prostřednictvím těchto sousloví jsou v zákoně vymezeny skutkové podstaty přestupků dle § 62 odst. 1 písm. b) a § 62 odst. 1 písm. a) zákona o zpracování osobních údajů, o nichž bylo rozhodováno.

[42] Dále stěžovatelka namítla, že povinnost logování byla zrušena a že soud se s touto námitkou nevypořádal.

[43] Podle § 13 zákona o ochraně osobních údajů platilo (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány. (4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům.

[44] Podle čl. 32 odst. 1 nařízení (EU) 2016/679 platí (1) S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně: a) pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů; d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování. (2) Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim. (3) Jedním z prvků, jimiž lze doložit soulad s požadavky stanovenými v odstavci 1 tohoto článku, je dodržování schváleného kodexu chování uvedeného v článku 40 nebo uplatňování schváleného mechanismu pro vydávání osvědčení uvedeného v článku 42. (4) Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo členského státu.

[45] Je pravdou, že nařízení (EU) 2016/679 explicitně neuvádí povinnost vytvářet záznamy o přístupu k osobním údajům, resp. ke zpracování osobních údajů, ukládá však správci obecněji formulovanou povinnost vyhodnotit situaci ochrany osobních dat a dle tohoto vyhodnocení aplikovat přiměřená opatření [čl. 32 nařízení (EU) 2016/67]. Z argumentace městského soudu je zřejmé, že aproboval výklad správních orgánů, že povinnost logování je i v nařízení obsažena.

[46] V rozsudku ze dne 30. 1. 2013, čj. 7 As 150/2012 35, Nejvyšší správní soud vysvětlil, že tzv. logy podle § 13 odst. 4 písm. c) zákona o ochraně osobních údajů jsou „záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval“ a též uvedl, že „každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, si musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno“. V rozsudku ze dne 27. 6. 2019, č. j. 4 As 140/2019 27, z nějž v žalobě citovala i stěžovatelka, Nejvyšší správní soud výslovně odmítl, že by nová úprava obsažená v nařízení (EU) 2016/679 a zákonu o zpracování osobních údajů byla v tomto ohledu příznivější z toho důvodu, že takovou povinnost výslovně neukládá. Tento právní názor byl potvrzen rovněž rozsudkem ze dne 25. 2. 2022, č. j. 10 As 190/2020 39, v němž se Nejvyšší správní soud ztotožnil s výkladem, že ačkoli úprava obsažená v nařízení (EU) 2016/679 výslovně nestanoví povinnost, která by odpovídala § 13 odst. 4 písm. c) zákona o ochraně osobních údajů, lze tuto povinnost dovodit z čl. 32 nařízení (EU) 2016/679.

[47] Pokud jde o nesprávný odkaz na zákon o ochraně osobních údajů ve výroku rozhodnutí správního orgánu I. stupně, jak je uvedeno v části I. tohoto rozsudku, rozhodnutím Úřadu ze dne 11. 9. 2019 byla uvedená zřejmá nesprávnost ve výroku rozhodnutí opravena. Nejvyšší správní soud se neztotožnil s námitkou stěžovatelky, že nesprávný odkaz na zrušený zákon byl pro právní posouzení klíčový nebo že by indikoval dezinterpretaci rozhodné úpravy.

[48] Namítá li stěžovatelka v kasační stížnosti, že nebylo ilustrováno žádné představitelné riziko, zejména pro případ, kdy v systému jsou viditelné základní údaje (jméno a příjmení), které musí být přístupné komukoli, již v rozhodnutí ze dne 5. 12. 2019 předsedkyně Úřadu uvedla, že veřejná přístupnost zpracovávání osobních údajů nemůže být argumentem zpochybňujícím potřebu logování, neboť osobní údaje mají být chráněny i před pozměňováním a neoprávněné pozměnění, likvidace nebo zpřístupnění osobních údajů obsažených v ISoSS by měly závažný dopad i do práv a svobod dotčených fyzických osob. Nejvyšší správní soud souhlasí s výkladem, že jde o součást opatření pro zajištění důvěrnosti a integrity zpracovávaných osobních údajů dle čl. 5 odst. 1 písm. f) a čl. 32 nařízení (EU) 2016/679.

[49] Tvrzení stěžovatelky, že Úřad i soud pomíjí, že logování nebylo nulové, není pravdivé. Úřad na str. 10 svého rozhodnutí mj. uvedl, že „v průběhu kontroly bylo … prokázáno, že nejsou logovány přístupy oprávněných zaměstnanců služebních úřadů, tedy záznamy, které umožní určit, kdo k údajům konkrétního subjektu údajů přistoupil a za jakým účelem. … Výrok je tudíž zcela přesný a vystihující zjištěné porušení právních předpisů, když popisuje skupinu osob, jejíž přístupy nejsou logovány, a následek tohoto chybějícího logování (tj. nemožnost zjistit, kdo a za jakým účelem k údajům přistoupil). Správní orgán v něm v žádném případě nekonstatuje, že nedochází v rámci ISoSS k žádnému logování.“ Toto reflektoval i městský soud (bod 104 rozsudku městského soudu).

[50] K námitkám týkajícím se titulu pro uchování kopií osobních dokladů předsedkyně Úřadu v rozhodnutí shrnula, že právní titul pro takové zpracování stěžovatelka neměla, přičemž též zdůraznila, že přestupek spočívá v uchovávání osobních údajů obsažených v kopiích osobních dokladů, nikoli ve vyžadování dokladů pro účely jednorázového ověření totožnosti (zejména str. 6 rozhodnutí předsedkyně Úřadu). S hodnocením správních orgánů se městský soud ztotožnil (bod 85 rozsudku městského soudu) a souhlasí s ním též Nejvyšší správní soud.

[51] V kasační stížnosti stěžovatelka argumentuje potřebou zpracovávat přesné údaje a potřebou osobní údaje ověřit při zavedení do evidence. Jak však již vysvětlila předsedkyně Úřadu ve svém rozhodnutí, objektivní stránka přestupku, z nějž byla stěžovatelka uznána vinnou, spočívá v uchovávání osobních údajů obsažených v kopiích osobních dokladů, nikoli v ověření totožnosti dle osobního dokladu, neboť takové ověření není zpracováním osobních údajů, a proto ani nespadá do působnosti nařízení (EU) 2016/679 a zákona o zpracování osobních údajů. Právní titul stěžovatelky ke zpracování osobních údajů nemůže založit skutečnost, že při přepisu údajů z osobních dokladů může docházet k chybám.

[52] Námitka stěžovatelky, že správní orgány i soud nesprávně vykládají nezbytnost zpracování, a že titul je dán čl. 6 odst. 1 písm. e) nařízení (EU) 2016/679, podle nějž zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, pomíjí argumentaci žalovaného, že takový právní titul by sice bylo možné obecně akceptovat, nicméně korespondující úprava obsažená v § 180 § 183 zákona č. 234/2014 Sb., o státní službě, odpovídající povinnost takového zpracování osobních údajů neukládá.

[53] Stěžovatelka rovněž namítala, že chybná je argumentace soudu týkající se titulu zpracování spočívajícího v uděleném souhlasu subjektem osobních údajů. Městský soud však pouze v reakci na argumentaci stěžovatelky uplatněnou ve správním řízení shrnul z rozhodnutí správních orgánů, že souhlas by mohl být titulem za předpokladu, že by splnil náležitosti dle čl. 4 bodu 11 nařízení (EU) 2016/679. Stěžovatelka též namítala, že argument soudu aktualizací kopií dokumentů je nesrozumitelný. Taková argumentace však v rozsudku městského soudu není. Pouze v rekapitulační části rozsudku, v níž je shrnuto vypořádání argumentace stěžovatelky uplatněné ve správním řízení, soud zmínil, že k aktualizaci údajů nedocházelo. V rozhodnutí předsedkyně Úřadu je v reakci na argumentaci potřebou zpracovávat přesné údaje vysvětleno, že stěžovatelka nijak neobjasnila, jak vedení souboru osobních údajů mohlo k plnění takové povinnosti přispět, navíc je nutno upozornit, že pro takový případ by bylo nutné údaje pravidelně aktualizovat (str. 6 rozhodnutí předsedkyně Úřadu). IV. Závěr a náklady řízení

[54] Z výše uvedených důvodů Nejvyšší správní soud neshledal kasační stížnost důvodnou, a proto ji podle § 110 odst. 1 věty druhé s. ř. s. zamítl.

[55] O náhradě nákladů řízení Nejvyšší správní soud rozhodl v souladu s § 60 odst. 1 a 7 s. ř. s. za použití § 120 s. ř. s. Stěžovatelka ve věci neměla úspěch, a proto nemá právo na náhradu nákladů řízení o kasační stížnosti. Žalovanému v řízení o kasační stížnosti žádné náklady nad rámec běžné úřední činnosti nevznikly, proto soud rozhodl, že se mu náhrada nákladů řízení o kasační stížnosti nepřiznává.

Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné. V Brně dne 26. března 2024

JUDr. Filip Dienstbier, Ph.D. předseda senátu

⚖ Zeptejte se AI asistenta na toto rozhodnutí