Přístupové údaje do datové schránky se doručují dle § 10 odst. 1 a odst. 3 zákona č. 300/2008 Sb., o elek-tronických úkonech a autorizované konverzi dokumentů, do vlastních rukou. Pokud je adresát přístu-pových údajů držitelem datové schránky, doručují se tyto údaje do jeho datové schránky způsobem do vlastních rukou.
[20] Nejvyšší správní soud se dále zabýval tím, zda přesto žalovaný nepostupoval správným způsobem, pokud zaslal přístupové údaje nikoliv elektronicky do datové schránky statutárního orgánu stěžovatele, ale v listinné podobě na adresu jeho trvalého pobytu.
[21] Dle § 10 odst. 1 zákona o elektronických úkonech „[m]inisterstvo zašle do vlastních rukou přístupové údaje k datové schránce osobě uvedené v § 8 odst. 1 až 4 bezodkladně po zřízení datové schránky“. Obdobně pak pod-le § 10 odst. 3 zákona o elektronických úkonech „[n]a žádost osoby uvedené v § 8 odst. 1 až 4 nebo administrátora zašle ministerstvo přístupové údaje k datové schránce pověřené osobě do vlastních rukou“. Jak již bylo uvedeno výše, systém datových zpráv umožňuje zasílání zpráv do vlastních rukou.
[22] Podle § 17 odst. 1 zákona o elektronických úkonech platí, že „[u]možňuje-li to povaha dokumentu, orgán veřejné moci jej doručuje jinému orgánu veřejné moci prostřednictvím datové schránky, pokud se nedoručuje na místě. Umožňuje-li to povaha dokumentu a má-li fyzická osoba, podnikající fyzická osoba nebo právnická osoba zpřístupněnu svou datovou schránku, orgán veřejné moci doručuje dokument této osobě prostřednictvím datové schránky, pokud se ne-doručuje veřejnou vyhláškou nebo na místě. Doručuje-li se způsobem podle tohoto zákona, ustanovení jiných právních předpisů upravující způsob doručení se nepoužijí.“ Toto ustanovení stanoví přednost doručování do datových schrá-nek před doručováním jiným způsobem, s výjimkou doručování na místě a ve specifických případech i veřejnou vyhláškou. Dané ustanovení ovšem stanoví i podmínku k užití systému datových schránek, a to „umožňuje-li to povaha dokumentu“.
[23] Je tedy nutné posoudit, zda specifika zprávy obsahující přístupové údaje jsou natolik podstatná, aby bylo možno skrz „povahu dokumentu“ prolomit výslovně vyjádřenou vůli zákonodárce stanovenou v § 10 odst. 1 záko-na o elektronických úkonech a doručovat přístupové údaje nikoliv zákonem předvídaným způsobem „do vlastních rukou“ a zároveň prolomit základní myšlenku datových schránek, a to očekávání uživatelů datových schránek, že zprávy budou v naprosté většině případů doručovány právě prostřednictvím datových schránek. Nejvyšší správní soud k takovému postupu neshledal dostatek důvodů.
[23] Je tedy nutné posoudit, zda specifika zprávy obsahující přístupové údaje jsou natolik podstatná, aby bylo možno skrz „povahu dokumentu“ prolomit výslovně vyjádřenou vůli zákonodárce stanovenou v § 10 odst. 1 záko-na o elektronických úkonech a doručovat přístupové údaje nikoliv zákonem předvídaným způsobem „do vlastních rukou“ a zároveň prolomit základní myšlenku datových schránek, a to očekávání uživatelů datových schránek, že zprávy budou v naprosté většině případů doručovány právě prostřednictvím datových schránek. Nejvyšší správní soud k takovému postupu neshledal dostatek důvodů.
[24] Doručování přístupových údajů do datové schránky přichází v úvahu pouze vůči fyzickým osobám. Osoby, které mají přístup do datové schránky ze zákona, jsou uvedeny v § 8 odst. 1 až odst. 4 zákona o elektronic-kých úkonech (dále jen „primárně oprávněné osoby“). V případech uvedených v § 8 odst. 1, 2 a 4 tohoto zákona
je zřejmé, že se může jednat jen o fyzické osoby. V případě § 8 odst. 3 (datová schránka právnické osoby) pak zá-kon počítá s přístupem pro statutární orgán právnické osoby, člena statutárního orgánu právnické osoby nebo ve-doucího organizační složky podniku zahraniční právnické osoby zapsané v obchodním rejstříku. Od 1. 1. 2014, tedy od účinnosti občanského zákoníku, však může být statutárním orgánem či jeho členem i osoba právnická (viz zejména § 152 odst. 2 a § 154 občanského zákoníku). Nicméně i občanský zákoník počítá s tím, že je-li čle-nem orgánu právnické osoby jiná právnická osoba, musí zmocnit konkrétní fyzickou osobu k tomu, aby ji zastu-povala, případně za ni jedná její statutární orgán (§ 154 občanského zákoníku). Sama právnická osoba totiž jako právní fikce jednat nemůže. S tím, že i v takovém případě se má do datové schránky přihlašovat konkrétní fyzická osoba, a nikoliv právnická osoba, která je statutárním orgánem, počítá i zákon o elektronických úkonech. Z § 5 odst. 4 písm. d) daného zákona vyplývá, že náležitostí žádosti o zřízení datové schránky právnické osoby je též jméno, popřípadě jména, příjmení, datum narození a adresa pobytu osoby oprávněné jednat jménem právnické osoby. Takové údaje je možné uvést jen u fyzické osoby. Podle § 14 odst. 3 písm. j) zákona o elektronických úko-nech se pak v informačním systému datových schránek vedou informace o jménu, popřípadě jménech, příjmení, datu narození, adrese místa trvalého pobytu nebo jiného pobytu na území České republiky anebo adrese bydliště mimo území České republiky osoby oprávněné k přístupu do datové schránky, přístupových údajích, vazbě pří-stupových údajů na přístupové údaje k individuálním uživatelským účtům podle § 14a stejného zákona, rozsahu přístupu a datu vzniku a zániku oprávnění k přístupu do datové schránky s uvedením hodiny, minuty a sekun-dy. I zde vyjmenované údaje se opět mohou týkat jen osob fyzických. Zákon tedy evidentně vychází z toho, že osobou oprávněnou k přístupu do datové schránky může vždy být pouze konkrétní jednoznačně identifikovatelná fyzická osoba. Primárně oprávněné osoby pak mohou pověřit přístupem do datové schránky i další osoby (§ 8 odst. 6 zákona o elektronických úkonech) nebo určit administrátora (§ 8 odst. 7 posledně citovaného zákona). Již z textu daných ustanovení vyplývá, že tyto pověřené osoby nebo administrátor musí být opět jen fyzické osoby.
[24] Doručování přístupových údajů do datové schránky přichází v úvahu pouze vůči fyzickým osobám. Osoby, které mají přístup do datové schránky ze zákona, jsou uvedeny v § 8 odst. 1 až odst. 4 zákona o elektronic-kých úkonech (dále jen „primárně oprávněné osoby“). V případech uvedených v § 8 odst. 1, 2 a 4 tohoto zákona
je zřejmé, že se může jednat jen o fyzické osoby. V případě § 8 odst. 3 (datová schránka právnické osoby) pak zá-kon počítá s přístupem pro statutární orgán právnické osoby, člena statutárního orgánu právnické osoby nebo ve-doucího organizační složky podniku zahraniční právnické osoby zapsané v obchodním rejstříku. Od 1. 1. 2014, tedy od účinnosti občanského zákoníku, však může být statutárním orgánem či jeho členem i osoba právnická (viz zejména § 152 odst. 2 a § 154 občanského zákoníku). Nicméně i občanský zákoník počítá s tím, že je-li čle-nem orgánu právnické osoby jiná právnická osoba, musí zmocnit konkrétní fyzickou osobu k tomu, aby ji zastu-povala, případně za ni jedná její statutární orgán (§ 154 občanského zákoníku). Sama právnická osoba totiž jako právní fikce jednat nemůže. S tím, že i v takovém případě se má do datové schránky přihlašovat konkrétní fyzická osoba, a nikoliv právnická osoba, která je statutárním orgánem, počítá i zákon o elektronických úkonech. Z § 5 odst. 4 písm. d) daného zákona vyplývá, že náležitostí žádosti o zřízení datové schránky právnické osoby je též jméno, popřípadě jména, příjmení, datum narození a adresa pobytu osoby oprávněné jednat jménem právnické osoby. Takové údaje je možné uvést jen u fyzické osoby. Podle § 14 odst. 3 písm. j) zákona o elektronických úko-nech se pak v informačním systému datových schránek vedou informace o jménu, popřípadě jménech, příjmení, datu narození, adrese místa trvalého pobytu nebo jiného pobytu na území České republiky anebo adrese bydliště mimo území České republiky osoby oprávněné k přístupu do datové schránky, přístupových údajích, vazbě pří-stupových údajů na přístupové údaje k individuálním uživatelským účtům podle § 14a stejného zákona, rozsahu přístupu a datu vzniku a zániku oprávnění k přístupu do datové schránky s uvedením hodiny, minuty a sekun-dy. I zde vyjmenované údaje se opět mohou týkat jen osob fyzických. Zákon tedy evidentně vychází z toho, že osobou oprávněnou k přístupu do datové schránky může vždy být pouze konkrétní jednoznačně identifikovatelná fyzická osoba. Primárně oprávněné osoby pak mohou pověřit přístupem do datové schránky i další osoby (§ 8 odst. 6 zákona o elektronických úkonech) nebo určit administrátora (§ 8 odst. 7 posledně citovaného zákona). Již z textu daných ustanovení vyplývá, že tyto pověřené osoby nebo administrátor musí být opět jen fyzické osoby.
[25] Pokud jde o doručování přístupových údajů, lze tedy uvažovat pouze o doručování do datové schránky fyzické osoby.
[25] Pokud jde o doručování přístupových údajů, lze tedy uvažovat pouze o doručování do datové schránky fyzické osoby.
[26] Dle § 8 odst. 1 zákona o elektronických úkonech „[k] přístupu do datové schránky fyzické osoby je opráv-něna fyzická osoba, pro niž byla datová schránka zřízena“. Dle odst. 5 stejného ustanovení „[n]ení-li dále stanoveno jinak, pouze osoby uvedené v odstavcích 1 až 4 jsou oprávněny činit úkony uvedené v § 11 odst. 5 a 7. Rozsah přístupu osob uvedených v odstavcích 1 až 4 do datové schránky zahrnuje i přístup k dokumentům určeným do vlastních rukou adresáta“. Podle § 9 odst. 2 „[o]soba oprávněná k přístupu do datové schránky je povinna zacházet s přístupovými údaji tak, aby nemohlo dojít k jejich zneužití“. Dle § 12 odst. 1 zákona o elektronických úkonech „[m]inisterstvo zneplatní přístupové údaje osoby oprávněné k přístupu do datové schránky neprodleně po jejím oznámení, zejména při ztrátě či odcizení přístupových údajů, a současně zašle této osobě do vlastních rukou nové přístupové údaje“. Podle § 18 odst. 2 stejného zákona „[ú]kon učiněný osobou uvedenou v § 8 odst. 1 až 4 nebo pověřenou osobou, pokud k tomu byla pověřena, prostřednictvím datové schránky má stejné účinky jako úkon učiněný písemně a podepsaný, ledaže jiný právní předpis nebo vnitřní předpis požaduje společný úkon více z uvedených osob“.
[27] Z výše citovaných ustanovení vyplývá, že v obecné rovině lze přisvědčit žalovanému, že přístupové údaje k datové schránce by měly být doručeny pouze primárně oprávněnému k přístupu do datové schránky (konkrétní fyzické osobě), a nikomu jinému. Přístup do datové schránky totiž například znamená, že jakékoliv úkony učiněné prostřednictvím dané datové schránky jsou automaticky přičitatelné tomu, pro koho byla datová schránka zřízena, nebo zakládá možnost primárně oprávněné osoby pověřovat další osoby přístupem do datové schránky. Pokud by přístupové údaje byly již od prvotního přihlášení zneužity třetí osobou, mohlo by to mít velmi závažné důsledky pro danou osobu a zprostředkovaně i pro primárně oprávněného, jelikož tato třetí osoba by se mohla jednoduchým způsobem za primárně oprávněného vydávat.
[27] Z výše citovaných ustanovení vyplývá, že v obecné rovině lze přisvědčit žalovanému, že přístupové údaje k datové schránce by měly být doručeny pouze primárně oprávněnému k přístupu do datové schránky (konkrétní fyzické osobě), a nikomu jinému. Přístup do datové schránky totiž například znamená, že jakékoliv úkony učiněné prostřednictvím dané datové schránky jsou automaticky přičitatelné tomu, pro koho byla datová schránka zřízena, nebo zakládá možnost primárně oprávněné osoby pověřovat další osoby přístupem do datové schránky. Pokud by přístupové údaje byly již od prvotního přihlášení zneužity třetí osobou, mohlo by to mít velmi závažné důsledky pro danou osobu a zprostředkovaně i pro primárně oprávněného, jelikož tato třetí osoba by se mohla jednoduchým způsobem za primárně oprávněného vydávat.
[28] Nicméně zákonodárce výslovně v § 10 odst. 1 zákona o elektronických úkonech uvedl, že přístupové údaje budou zasílány „do vlastních rukou“ (obdobně tuto formu doručování určil též pro zasílání přístupových údajů pro další osoby nebo v jiných případech v § 10 odst. 3 a § 12 odst. 1 zákona o elektronických úkonech). Jak již bylo uvedeno v bodě [19], zákon o elektronických úkonech výslovně počítá s doručováním „do vlastních rukou“ prostřednictvím informačního systému datových schránek. Při respektování premisy rozumného záko-nodárce lze jen těžko akceptovat, že by týmž pojmem v témže zákoně zákonodárce myslel pokaždé něco jiného,
tedy že by měl mít pojem „do vlastních rukou“ uvedený v § 10 odst. 1 zákona (a dalších shora uvedených) zcela odlišný význam od pojmu „do vlastních rukou“ například podle § 8 nebo § 19 odst. 2 zákona o elektronických úkonech. I jednotlivé procesní předpisy s doručováním „do vlastních rukou“ počítají a jedná se vždy o doručování důležitých dokumentů, u kterých si musí držitel datové schránky rozmyslet, komu je zpřístupní, protože k nim budou mít přístup všechny osoby, které k přijímání písemností do vlastních rukou pověřil.
[28] Nicméně zákonodárce výslovně v § 10 odst. 1 zákona o elektronických úkonech uvedl, že přístupové údaje budou zasílány „do vlastních rukou“ (obdobně tuto formu doručování určil též pro zasílání přístupových údajů pro další osoby nebo v jiných případech v § 10 odst. 3 a § 12 odst. 1 zákona o elektronických úkonech). Jak již bylo uvedeno v bodě [19], zákon o elektronických úkonech výslovně počítá s doručováním „do vlastních rukou“ prostřednictvím informačního systému datových schránek. Při respektování premisy rozumného záko-nodárce lze jen těžko akceptovat, že by týmž pojmem v témže zákoně zákonodárce myslel pokaždé něco jiného,
tedy že by měl mít pojem „do vlastních rukou“ uvedený v § 10 odst. 1 zákona (a dalších shora uvedených) zcela odlišný význam od pojmu „do vlastních rukou“ například podle § 8 nebo § 19 odst. 2 zákona o elektronických úkonech. I jednotlivé procesní předpisy s doručováním „do vlastních rukou“ počítají a jedná se vždy o doručování důležitých dokumentů, u kterých si musí držitel datové schránky rozmyslet, komu je zpřístupní, protože k nim budou mít přístup všechny osoby, které k přijímání písemností do vlastních rukou pověřil.
[29] Nelze ani přehlédnout, že některé procesní předpisy počítají i při listinném doručování s tím, že doručo-vání „do vlastních rukou“ neznamená, že by písemnost nemohla převzít jiná osoba. Správní řád z roku 2004 tak již od počátku své účinnosti (1. 1. 2006) počítal s tím, že se písemnosti „do vlastních rukou“ mohou doručovat nejen tomu, pro koho je písemnost určena, ale i tomu, koho adresát k přijetí písemnosti zmocnil písemnou pl-nou mocí s úředně ověřeným podpisem, nebo udělenou před doručujícím orgánem (viz § 20 odst. 2 správního rádu). Obdobně i podle občanského soudního řádu ve znění účinném od 20. 7. 2009 neznamená pojem „do vlastních rukou“ to, že by nebylo možno písemnost předat nikomu jinému než jen adresátovi, neboť i při tomto způsobu doručování se uplatní § 50a odst. 1 daného zákona, podle nějž „[z]a fyzické osoby jsou oprávněny písemnost přijmout osoby, které k tomu byly adresátem zmocněny na základě písemné plné moci udělené před provozovatelem poštovních služeb“. Adresát písemnosti podle správního řádu nebo občanského soudního řádu je tedy i v případě listinného doručování oprávněn kvalifikovaně zmocnit k přebírání jiné osoby, ke kterým má zjevně dostatečnou důvěru, aby za něj písemnosti určené do vlastních rukou přebíraly a nakládaly s nimi tak, jak mají.
[30] Je samozřejmě na vůli a odpovědnosti adresáta písemností, komu udělí takové oprávnění, ať půjde o do-ručování do datových schránek nebo doručování listinné. Není tedy zřejmé, proč by zákonodárce v případě doručování přístupových údajů k datové schránce požadoval větší míru zabezpečení, ale použil pro to stejný výraz „do vlastních rukou“.
[30] Je samozřejmě na vůli a odpovědnosti adresáta písemností, komu udělí takové oprávnění, ať půjde o do-ručování do datových schránek nebo doručování listinné. Není tedy zřejmé, proč by zákonodárce v případě doručování přístupových údajů k datové schránce požadoval větší míru zabezpečení, ale použil pro to stejný výraz „do vlastních rukou“.
[31] Nejvyšší správní soud souhlasí se stěžovatelem, že důvodová zpráva rovněž potvrzuje záměr historického zákonodárce doručovat přístupové údaje „do vlastních rukou“ tak, jak je tento pojem užíván standardně. Důvo-dová zpráva (sněmovní tisk č. 445, V. volební období Poslanecké sněmovny) totiž výslovně uváděla: „V případě, že o získání přístupových údajů k datové schránce právnické osoby žádá jménem právnické osoby fyzická osoba, a zá-roveň již má tato fyzická osoba zřízenou a zpřístupněnou datovou schránku fyzické osoby, orgán veřejné moci zašle přístupové údaje do datové schránky této fyzické osoby.“
[32] Pokud jde o riziko, že by se k přístupovým údajům dostala jiná osoba než ta, jíž mají být přístupové údaje doručeny, pak jej Nejvyšší správní soud považuje z následujících důvodů za velmi nízké a v mnoha ohledech srovnatelné s doručováním, které volí bez zákonné opory žalovaný.
[32] Pokud jde o riziko, že by se k přístupovým údajům dostala jiná osoba než ta, jíž mají být přístupové údaje doručeny, pak jej Nejvyšší správní soud považuje z následujících důvodů za velmi nízké a v mnoha ohledech srovnatelné s doručováním, které volí bez zákonné opory žalovaný.
[33] Jak již bylo uvedeno, dle § 8 odst. 1 zákona o elektronických úkonech „[k] přístupu do datové schránky fyzické osoby je oprávněna fyzická osoba, pro niž byla datová schránka zřízena“. Pokud se tedy fyzická osoba o své vůli nerozhodne jinak, nikdo jiný do její datové schránky přístup nemá. Při doručování přístupových údajů k pří-stupu do jiné datové schránky přichází v úvahu jejich doručování prostřednictvím informačního systému da-tových schránek téměř vždy pouze v případě, že bude mít daná primárně oprávněná osoba zřízenu datovou schránku fyzické osoby nepodnikající. Jen zřídkakdy bude totiž nastávat situace, že by primárně oprávněná osoba zastávala funkci statutárního orgánu právnické osoby z titulu své vlastní podnikatelské činnosti. V úvahu by snad přicházel jen insolvenční správce, který by byl právě z důvodu zápisu v seznamu insolvenčních správců soudem jmenován likvidátorem právnické osoby podle § 191 odst. 4 občanského zákoníku, přičemž podle § 193 občanského zákoníku pak likvidátor nabývá působnosti statutárního orgánu okamžikem svého povolání. Při do-ručování do datových schránek je totiž třeba respektovat, pro jakou oblast činnosti byla datová schránka fyzické osoby zřízena (k tomu viz např. bod 64 stanoviska pléna Nejvyššího soudu ČR ze dne 5. 1. 2017, sp. zn. Plsn 1/2015, č. 1/2017 Sb. NS). U datových schránek nepodnikajících fyzických osob tak nebude z povahy věci příliš časté, že jejich držitel zmocnil další osoby k přístupu do své datové schránky. To je totiž praktické zejména u těch datových schránek, které jsou ve větším rozsahu používány k přijímání dokumentů a činění úkonů, což nebude typická situace nepodnikající fyzické osoby. I kdyby navíc držitel datové schránky z různých důvodů chtěl využít možnosti pověření další osoby k přístupu do datové schránky, v souladu s § 8 odst. 8 zákona o elektronických úkonech by jí musel udělit výslovné oprávnění i k přístupu k dokumentům určeným do vlastních rukou adresáta.
[33] Jak již bylo uvedeno, dle § 8 odst. 1 zákona o elektronických úkonech „[k] přístupu do datové schránky fyzické osoby je oprávněna fyzická osoba, pro niž byla datová schránka zřízena“. Pokud se tedy fyzická osoba o své vůli nerozhodne jinak, nikdo jiný do její datové schránky přístup nemá. Při doručování přístupových údajů k pří-stupu do jiné datové schránky přichází v úvahu jejich doručování prostřednictvím informačního systému da-tových schránek téměř vždy pouze v případě, že bude mít daná primárně oprávněná osoba zřízenu datovou schránku fyzické osoby nepodnikající. Jen zřídkakdy bude totiž nastávat situace, že by primárně oprávněná osoba zastávala funkci statutárního orgánu právnické osoby z titulu své vlastní podnikatelské činnosti. V úvahu by snad přicházel jen insolvenční správce, který by byl právě z důvodu zápisu v seznamu insolvenčních správců soudem jmenován likvidátorem právnické osoby podle § 191 odst. 4 občanského zákoníku, přičemž podle § 193 občanského zákoníku pak likvidátor nabývá působnosti statutárního orgánu okamžikem svého povolání. Při do-ručování do datových schránek je totiž třeba respektovat, pro jakou oblast činnosti byla datová schránka fyzické osoby zřízena (k tomu viz např. bod 64 stanoviska pléna Nejvyššího soudu ČR ze dne 5. 1. 2017, sp. zn. Plsn 1/2015, č. 1/2017 Sb. NS). U datových schránek nepodnikajících fyzických osob tak nebude z povahy věci příliš časté, že jejich držitel zmocnil další osoby k přístupu do své datové schránky. To je totiž praktické zejména u těch datových schránek, které jsou ve větším rozsahu používány k přijímání dokumentů a činění úkonů, což nebude typická situace nepodnikající fyzické osoby. I kdyby navíc držitel datové schránky z různých důvodů chtěl využít možnosti pověření další osoby k přístupu do datové schránky, v souladu s § 8 odst. 8 zákona o elektronických úkonech by jí musel udělit výslovné oprávnění i k přístupu k dokumentům určeným do vlastních rukou adresáta.
[34] I pokud by primárně oprávněná osoba pověřila jinou osobu k přístupu do své datové schránky dle § 8 odst. 6 zákona o elektronických úkonech (dále jen „pověřené osoby“) včetně oprávnění k přístupu k dokumen-tům určeným do vlastních rukou adresáta, je soud přesvědčen, že riziko zneužití je značně nízké. Pověřená oso-ba by v prvé řadě musela jednat v úmyslu přístupové údaje zneužít. I takové jednání by však bylo relativně záhy odhaleno. Přístupové údaje se skládají z uživatelského jména a bezpečnostního hesla (§ 1 odst. 1 vyhláš-ky č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek). Soudu je z úřední činnosti známo, že systém datových schránek vyžaduje po prvním přihlášení do datové schrán-ky změnu hesla. Odpovídá to i veřejně dostupnému návodu k používání datových schránek (dostupný na https://www.mojedatovaschranka.cz/static/ISDS/help/page1.html [cit. 21. 8. 2019]). Po přihlášení do systému datových schránek je také rozpoznatelné, které datové zprávy byly již přečteny a které nikoliv. V případě, že by tedy k za-slaným přístupovým údajům získala přístup jiná osoba než primárně oprávněná, a tato jiná osoba by zprávu obsahující přístupové údaje k nově zřízené datové schránce otevřela, primárně oprávněná osoba by to jednoduše zjistila, neboť by se jí daná zpráva zobrazovala již jako otevřená. Pokud by se primárně oprávněná osoba přihlásila přístupovými údaji jako první, byla by nucena změnit heslo, čímž by nově zřízená datová schránka již byla za-bezpečená před neoprávněným přístupem. Ten, kdo by zaslané přístupové údaje totiž chtěl zneužít, by je nemohl již nadále použít k přihlášení. Pokud by se osoba, která by neoprávněně chtěla přístupové údaje využít, stihla přihlásit do nově zřízené datové schránky a změnit heslo, pak by to primárně oprávněná osoba zjistila, jakmile by se pokusila přihlásit prostřednictvím zaslaných přístupových údajů. Ty by totiž již nebyly funkční, neboť by musely být v mezidobí neoprávněně změněny třetí osobou při prvním přihlášení do systému. Na základě tohoto zjištění by primárně oprávněná osoba mohla okamžitě zažádat o zneplatnění přístupových údajů (§ 12 odst. 1 stejného zákona).
[34] I pokud by primárně oprávněná osoba pověřila jinou osobu k přístupu do své datové schránky dle § 8 odst. 6 zákona o elektronických úkonech (dále jen „pověřené osoby“) včetně oprávnění k přístupu k dokumen-tům určeným do vlastních rukou adresáta, je soud přesvědčen, že riziko zneužití je značně nízké. Pověřená oso-ba by v prvé řadě musela jednat v úmyslu přístupové údaje zneužít. I takové jednání by však bylo relativně záhy odhaleno. Přístupové údaje se skládají z uživatelského jména a bezpečnostního hesla (§ 1 odst. 1 vyhláš-ky č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek). Soudu je z úřední činnosti známo, že systém datových schránek vyžaduje po prvním přihlášení do datové schrán-ky změnu hesla. Odpovídá to i veřejně dostupnému návodu k používání datových schránek (dostupný na https://www.mojedatovaschranka.cz/static/ISDS/help/page1.html [cit. 21. 8. 2019]). Po přihlášení do systému datových schránek je také rozpoznatelné, které datové zprávy byly již přečteny a které nikoliv. V případě, že by tedy k za-slaným přístupovým údajům získala přístup jiná osoba než primárně oprávněná, a tato jiná osoba by zprávu obsahující přístupové údaje k nově zřízené datové schránce otevřela, primárně oprávněná osoba by to jednoduše zjistila, neboť by se jí daná zpráva zobrazovala již jako otevřená. Pokud by se primárně oprávněná osoba přihlásila přístupovými údaji jako první, byla by nucena změnit heslo, čímž by nově zřízená datová schránka již byla za-bezpečená před neoprávněným přístupem. Ten, kdo by zaslané přístupové údaje totiž chtěl zneužít, by je nemohl již nadále použít k přihlášení. Pokud by se osoba, která by neoprávněně chtěla přístupové údaje využít, stihla přihlásit do nově zřízené datové schránky a změnit heslo, pak by to primárně oprávněná osoba zjistila, jakmile by se pokusila přihlásit prostřednictvím zaslaných přístupových údajů. Ty by totiž již nebyly funkční, neboť by musely být v mezidobí neoprávněně změněny třetí osobou při prvním přihlášení do systému. Na základě tohoto zjištění by primárně oprávněná osoba mohla okamžitě zažádat o zneplatnění přístupových údajů (§ 12 odst. 1 stejného zákona).
[35] Zneplatnění přístupových údajů je provedeno neprodleně po oznámení oprávněné osoby. Určité časové období, ve kterém by bylo možno zneužít přístupové údaje, tu sice existuje, Nejvyšší správní soud je však názoru, že tato možnost je natolik výjimečná, že neodůvodňuje prolomení výslovné zákonné úpravy způsobu doručování. Zpravidla bude navíc zpětně dohledatelné, která konkrétní fyzická osoba se k přístupovým údajům v datové schránce oprávněné osoby dostala. Informační systém datových schránek podle § 14 odst. 3 písm. c) záko-na o elektronických úkonech uchovává též údaje o datu přihlášení do datové schránky osobou oprávněnou k pří-stupu do této datové schránky s uvedením hodiny, minuty a sekundy a údaj identifikující tuto osobu.
[35] Zneplatnění přístupových údajů je provedeno neprodleně po oznámení oprávněné osoby. Určité časové období, ve kterém by bylo možno zneužít přístupové údaje, tu sice existuje, Nejvyšší správní soud je však názoru, že tato možnost je natolik výjimečná, že neodůvodňuje prolomení výslovné zákonné úpravy způsobu doručování. Zpravidla bude navíc zpětně dohledatelné, která konkrétní fyzická osoba se k přístupovým údajům v datové schránce oprávněné osoby dostala. Informační systém datových schránek podle § 14 odst. 3 písm. c) záko-na o elektronických úkonech uchovává též údaje o datu přihlášení do datové schránky osobou oprávněnou k pří-stupu do této datové schránky s uvedením hodiny, minuty a sekundy a údaj identifikující tuto osobu.
[36] Pokud by navíc primárně oprávněná osoba nechtěla podstoupit výše uvedené nepravděpodobné riziko, má možnost dočasně odebrat pověřeným osobám oprávnění k přístupu ke zprávám určeným do vlastních rukou na nutnou dobu. Tato doba by ve většině případů neměla být nijak dlouhá. Dle § 10 odst. 1 zákona o elektronic-kých úkonech musí totiž žalovaný zaslat přístupové údaje bezodkladně. Je sice možné, že žádost žadatele o zřízení datové schránky nebude kompletní a bude ji nutno doplnit (§ 3 odst. 5, § 4 odst. 6, § 5 odst. 6 nebo § 6 odst. 4 zákona o elektronických úkonech), v takovém případě by osoba označená v žádosti pro zaslání přístupových úda-jů musela ponechat odebrané oprávnění pověřeným osobám ke čtení zpráv určených do vlastních rukou o něco delší dobu, ale ani tak by se nemělo jednat o dobu nepřiměřeně dlouhou.
[37] Nelze přehlédnout, že i žalovaným zvolený způsob doručování, snad kromě samotného okamžiku doru-čení, skýtá obdobná rizika. Jakmile jsou oprávněné osobě doručeny přístupové údaje, může si je přečíst kdokoliv, kdo se k nim, ať již vinou neopatrnosti oprávněné osoby, nebo úmyslným protiprávním jednáním, dostane. Nelze to zcela vyloučit dokonce ani při předání přístupových údajů – například chybou poštovního doručovatele, nebo zneužitím osobních dokladů adresáta písemnosti jinou osobou. Jak navíc poukázal stěžovatel, služba „Do vlastních rukou výhradně jen adresáta“ je jen soukromoprávní službou České pošty, s. p. Soudu není vůbec zřejmé, jak by chtěl žalovaný zajistit jím prosazované podmínky doručování, pokud by pošta tuto službu dobrovolně nenabízela.
[38] Nejvyšší správní soud tedy dospěl k závěru, že zákon o elektronických úkonech nevyžaduje doručení přístupových údajů výlučně a pouze primárně pověřené osobě, ale postačuje doručení „do vlastních rukou“ tak, jak jej definuje zákon o elektronických úkonech, případně správní řád.
[39] Není samozřejmě vyloučeno, aby zákonodárce provedl patřičné změny v zákoně a výslovně uvedl jiná pravidla pro doručování přístupových údajů, než je doručování do vlastních rukou. Taková změna zákona by mohla například zavést i možnost zaslat datovou zprávu, kterou by mohla otevřít pouze primárně oprávněná
osoba, a nikoliv i osoby pověřené, tedy obdobu soukromoprávní služby „Do vlastních rukou výhradně jen adre-sáta“.
[39] Není samozřejmě vyloučeno, aby zákonodárce provedl patřičné změny v zákoně a výslovně uvedl jiná pravidla pro doručování přístupových údajů, než je doručování do vlastních rukou. Taková změna zákona by mohla například zavést i možnost zaslat datovou zprávu, kterou by mohla otevřít pouze primárně oprávněná
osoba, a nikoliv i osoby pověřené, tedy obdobu soukromoprávní služby „Do vlastních rukou výhradně jen adre-sáta“.
[40] Nejvyšší správní soud pro přehlednost uvádí, že ze shora citovaných ustanovení zákona o elektronic-kých úkonech je zřejmé, že výše uvedené závěry o doručování přístupových údajů do vlastních rukou primárně oprávněných osob se vztahují i na případy, ve kterých budou doručovány přístupové údaje do datové schránky pro pověřené osoby, které samy mají datovou schránku (viz shora citovaný § 10 odst. 3 zákona o elektronických úkonech, který hovoří o doručování přístupových údajů pro tyto osoby také do vlastních rukou). I těm mají být doručovány přístupové údaje do jejich datové schránky, a to opět do vlastních rukou.
[41] Pro posuzovanou věc je nepodstatné, zda stěžovatel byl, či nebyl informován o tom, že mu budou přístu-pové údaje posílány poštou. I kdyby takto informován byl, žalovaný měl stejně povinnost doručovat přístupové údaje do datové schránky statutárního orgánu stěžovatele.
[42] Žalovaný v duplice uvedl, že stěžovatel fakticky nemá zájem užívat datovou schránku a snaží se pou-ze o vznik stavu, ve kterém bude moci doručení dodaných datových zpráv zpětně zpochybňovat. Nejvyšší správní soud se v tomto rozsudku zabývá pouze tím, zda se může stěžovatel po žalovaném domáhat toho, aby byly zaslány přístupové údaje jeho statutárnímu orgánu do datové schránky. Tímto rozsudkem však nepředjímá, jak bude pří-padně posuzováno doručení datových zpráv, které byly doručovány do fakticky zpřístupněné datové schránky stě-žovatele. V případě, že by existovaly indicie, dle kterých celá stěžovatelova obrana proti nezákonnému zásahu byla skutečně pouze procesní strategií za účelem maření doručování, bylo by vhodné uvažovat nad tím, zda má být takovému postupu poskytnuta ochrana a i přes vadné doručení přístupových údajů nemají být považovány doku-menty dodané do dané datové schránky stěžovatele za platně doručené. Soudu je totiž známo, že smyslem řízení, ve kterých vystupuje Petr Kocourek v různých postaveních, jsou často pouze procesní obstrukce bez reálné snahy bránit procesní práva účastníků řízení. Srov. např. rozsudek Nejvyššího správního soudu ze dne 27. 9. 2017, čj. 6 As 37/2017-31, ve kterém soud uvedl: „s ohledem na okolnosti postupu zástupce Petra Kocourka v projednávané věci, je nutné nepodepsané podání z června 2014, které je označeno jako odvolání proti rozhodnutí […], přičemž absence příslušného podpisu nebyla zhojena ani na výzvu správního orgánu, vyhodnotit jako zneužití práva a cílenou procesní obstrukci, jež není možné při posuzování včasnosti odvolání pominout“. Více ke zneužití práva při obstrukčních taktikách souvisejících s doručováním viz též body [27] až [30] rozsudku rozšířeného senátu ze dne 18. 12. 2018, čj. 4 As 113/2018-39, č. 3836/2019 Sb. NSS.
(…)