Z rozhodnutí: Krajský soud v Praze rozhodl senátu složeném z předsedy senátu Josefa Straky, soudkyně Johany Jandusové a soudce Karla Ulíka ve věci…
51 A 34/2025- 27 - text
11 51 A 34/2025
[OBRÁZEK]ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Krajský soud v Praze rozhodl senátu složeném z předsedy senátu Josefa Straky, soudkyně Johany Jandusové a soudce Karla Ulíka ve věci
žalobce: J. H.
bytem X
zastoupený advokátkou Mgr. Rebekou Moťovskou Židuliakovou
sídlem Husovo náměstí 139, 584 01 Ledeč nad Sázavou
proti
žalovanému: Krajský úřad Středočeského kraje
sídlem Zborovská 81/11, 150 21 Praha
o žalobě proti rozhodnutí žalovaného ze dne 20. 2. 2025, č. j. 031946/2025/KUSK,
takto:
I. Žaloba se zamítá.
II. Žádný z účastníků nemá právo na náhradu nákladů řízení.
Odůvodnění:
I. Vymezení věci
1. Žalobce podal dne 3. 12. 2024 k Městskému úřadu Votice (dále „povinný subjekt“) žádost podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím (dále „InfZ“). Předmětem žádosti bylo celkem 16 dotazů, které se týkaly rychloměru umístěného na silnici č. I/3 v obci Miličín ve směru od Prahy na Tábor. Povinný subjekt na většinu dotazů odpověděl a požadovanou informaci poskytl. Odmítl však poskytnout informaci v rozsahu dvou otázek, které zněly:
· Z jakého serveru a jakým způsobem stahují strážníci snímky z rychloměru?
· Jaká je IP adresa prvého serveru, na který jsou snímky přenášeny z rychloměru?
2. Odmítnutí poskytnout informace v rozsahu shora zmiňovaných dvou otázek vyřídil povinný subjekt rozhodnutím ze dne 29. 1. 2025, 4432/2025/SD-Ho (dále „prvostupňové rozhodnutí“). Poukázal primárně na § 11 odst. 1 písm. d) InfZ, podle něhož lze omezit poskytnutí informace, pokud její poskytnutí významně nebo přímo ohrožuje účinnost bezpečnostního opatření stanoveného na základě zvláštního předpisu pro účel ochrany bezpečnosti osob, majetku a veřejného pořádku. Současně s poukazem na zákon č. 181/2014 Sb., o kybernetické bezpečnosti (dále „zákon o kybernetické bezpečnosti“), shledal, že za bezpečnostní opatření je třeba považovat souhrn úkonů, jejichž cílem je zajištění bezpečnosti informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických komunikací v kybernetickém prostoru. Dospěl přitom k závěru, že jeho vlastní bezpečnostní opatření, jichž je zapotřebí k ochraně informačních systému nebo služeb a sítí elektronických komunikací před hrozbou v oblasti kybernetické bezpečnosti nebo před kybernetickým bezpečnostním incidentem či jeho řešením, by v případě poskytnutí žalobcem požadovaných informací mohlo být ohroženo. Proto shledal, že zájem na ochraně bezpečnosti osob, majetku a veřejného pořádku je třeba v tomto případě upřednostnit.
3. Proti prvostupňovému rozhodnutí podal žalobce odvolání, ve kterém namítal, že odůvodnění prvostupňového rozhodnutí je nedostatečné a založené na absurdních závěrech, a proto žádá, aby mu požadované informace byly plně poskytnuty. Žalovaný však rozhodnutím ze dne 20. 2. 2025, č. j. 031946/2025/KUSK (dále „napadené rozhodnutí“), odvolání žalobce zamítl a prvostupňové rozhodnutí potvrdil. Předně se ztotožnil se skutkovými i právními závěry povinného subjektu. Připomněl, že sdělení IP adresy je s ohledem na ochranu dat, datového toku a s tím souvisejících osobních údajů citlivou bezpečnostní záležitostí. Pokud jakákoli nepovolaná osoba disponuje IP adresou, skrze kterou probíhá tok dat souvisejících s výkonem veřejné moci, jejíž součástí je i správa osobních údajů, lze zcela legitimně uvažovat o riziku kybernetického útoku. Doplnil, že orgány veřejné moci v případě spolupráce s externími dodavateli podepisují dohody o mlčenlivosti, jejímž předmětem je mimo jiné i závazek nesdělovat citlivá data, přičemž IP adresa je jednou z nich.
4. Proti napadenému rozhodnutí nyní žalobce brojí žalobou podle § 65 a násl. zákona č. 150/2002 Sb., soudního řádu správního (dále jen „s. ř. s.“).
II. Obsah podání účastníků
5. Žalobce považuje napadené i prvostupňové rozhodnutí za nepřezkoumatelné. Nenalézá v nich důvod, proč jím požadovaná informace byla odmítnuta. Správní orgány sice odkazovaly na § 11 odst. 1 písm. d) InfZ, nicméně podmínky plynoucí z tohoto ustanovení nebyly dle jeho názoru dostatečně prokázány. Žalobce se sice obecně ztotožňuje se správními orgány odkazovanou definicí bezpečnostního opatření ve smyslu zákona o kybernetické bezpečnosti, zároveň má však za to, že povinností správních orgánů bylo také vymezit konkrétní bezpečnostní opatření, jehož účinnost by byla poskytnutím informace snížena. Takové vymezení však postrádá. Povinný subjekt v prvostupňovém rozhodnutí pouze uvedl, že poskytnutím požadované informace by mohlo dojít k ohrožení jeho bezpečnostního opatření. Dle názoru žalobce však pouze hypotetická možnost ohrožení nepostačuje. Právní předpis vyžaduje, aby účinnost bezpečnostního opatření byla snížena buď významně, nebo přímo. Povinný subjekt však nevymezil bezpečnostní opatření ani typově, ani neprokázal, že by jeho účinnost byla významně a přímo ohrožována v důsledku poskytnutí informace. Tento nedostatek neodstranil ani žalovaný v napadeném rozhodnutí, které je proto nepřezkoumatelné.
6. Žalobce rovněž nesouhlasí s argumentací žalovaného, že by sdělení IP adresy představovalo citlivou bezpečnostní záležitost. Naopak má za to, že IP adresa je veřejný údaj, který je srovnatelný s webovou adresou a který lze zjistit například z doručeného e-mailu. Takto si žalobce například zobrazil IP adresu žalovaného z e-mailu jeho podatelny (epodatelna@kr-s.cz), a podobně si zobrazil i IP adresu povinného subjektu z webových stránek města Votice (www.mesto-votice.cz). V této souvislosti připojuje hypertextové odkazy na konkrétní webové stránky včetně návodu k zobrazení IP adresy. Z toho dovozuje, že IP adresa není v žádném případě tajným údajem, její znalost nijak neohrožuje bezpečnost dat. Zároveň má za to, že tímto odůvodnil, proč IP adresu lze považovat za běžně dostupný údaj, zatímco žalovaný ani povinný subjekt nijak neodůvodnili, proč by IP adresa měla být tajným a nezveřejnitelným údajem. Tvrdí-li povinný subjekt, že poskytnutím IP adresy lze uvažovat o zvýšení rizika kybernetického útoku, pak dle žalobce se tímto riziko nezvyšuje, k čemuž opět argumentuje snadným získáním IP adresy z hlavičky e-mailu žalovaného. Žalovaný tedy odmítá poskytnout informaci, kterou neexistuje důvod tajit, aniž by doložil podmínky odůvodňující její neposkytnutí.
7. Žalobce připouští, že informaci o IP adrese považuje za kriticky důležitou, neboť vypovídá o tom, na jaký server jsou přenášeny fotografie pořizované z veřejného prostranství, jejichž součástí jsou osobní údaje. Buď jsou přenášeny na server obce, jejího obecního úřadu nebo obecní policie, nebo na server společnosti GEMOS CZ, spol. s r. o. (dále „GEMOS“), což je soukromá společnost, která je dle vyjádření povinného subjektu provozovatelem rychloměru. Pokud je však osobou, která měří rychlost, soukromá společnost, může se jednat o zásadní nezákonnost při měření a nakládání s osobními údaji zachycenými na snímcích. K tomu žalobce poukazuje na nezákonnou participaci obchodních společností zjištěnou v judikatuře ve věcech pojednávajících o měření rychlosti v obcích Varnsdorf, Chotěboř či Šternberk. Žalobce se domnívá, že právě to je skutečným důvodem, proč povinný subjekt nechce informaci poskytnout.
8. Žalovaný ve vyjádření k žalobě uvedl, že odůvodnění napadeného rozhodnutí považuje za dostačující. V momentě, kdy by nepovolaná osoba disponovala IP adresou, skrze kterou probíhá tok dat souvisejících s výkonem veřejné moci a osobní data zúčastněných osob, mohl by případný kybernetický útok tato data ohrozit. Zveřejnění údajů o serveru samo o sobě není nebezpečné, ale v kombinaci s informací o IP adrese se může výrazně zvýšit riziko útoku. IP adresa interního systému veřejné správy je neveřejná, na rozdíl od IP adresy webového serveru, který je veřejně přístupný. Omezení přístupu k IP adrese představuje legitimní bezpečnostní opatření k zajištění úrovně bezpečnosti, která odpovídá míře hrozícího rizika. Záměrné znepřístupnění IP adresy veřejnosti tím, že na IP adresu není navázána žádná veřejná doména, je v praxi nazíráno jako forma síťové segmentace, což je doporučovaný bezpečnostní přístup. Z řečeného je zřejmé, co vedlo žalovaného k odmítnutí žádosti o informace v rozsahu výše uvedeném. Byť to prvostupňový orgán výslovně neuvedl, je z jeho odůvodnění zřejmé, že stejné odůvodnění se vztahuje i k informacím o serveru, ze kterého se stahují snímky.
III. Posouzení věci soudem
9. Soud ověřil, že žaloba byla podána včas, osobou k tomu oprávněnou, po vyčerpání řádných opravných prostředků a splňuje všechny formální náležitosti na ni kladené. Soud vycházel při přezkumu napadeného rozhodnutí ze skutkového a právního stavu, který tu byl v době rozhodování žalovaného (§ 75 odst. 1 s. ř. s.), přičemž napadené rozhodnutí přezkoumal v mezích uplatněných žalobních bodů, jimiž je vázán (§ 75 odst. 2 věta první s. ř. s.).
10. Soud o žalobě rozhodl bez jednání, jelikož účastníci ani na výzvu soudu ve stanovené lhůtě nesdělili, že by s tímto postupem nesouhlasili (§ 51 odst. 1 s. ř. s.). Soud nepovažoval z
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.