Z rozhodnutí: Krajský soud v Ústí nad Labem rozhodl v senátu složeném z předsedy Ing. Mgr. Martina Jakuba Bruse a soudců JUDr. Jiřího Derfla a Mgr. Vojtěcha Salamánka ve věci…
141 A 13/2025- 29 - text
12 141 A 13/2025
[OBRÁZEK]ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Krajský soud v Ústí nad Labem rozhodl v senátu složeném z předsedy Ing. Mgr. Martina Jakuba Bruse a soudců JUDr. Jiřího Derfla a Mgr. Vojtěcha Salamánka ve věci
žalobce:
J. H., narozený X
bytem X
zastoupený advokátkou Mgr. Rebekou Moťovskou Židuliakovou
sídlem Husovo náměstí 139, 584 01 Ledeč nad Sázavou
proti
žalovanému:
Krajský úřad Ústeckého kraje
sídlem Velka Hradební 3118/48, 400 02 Ústí nad Labem
o žalobě proti rozhodnutí žalovaného ze dne 3. 1. 2025, č. j. KUUK/000227/2025
takto:
I. Žaloba se zamítá.
II. Žádný z účastníků nemá právo na náhradu nákladů řízení.
Odůvodnění:
1. Magistrát města Chomutova (dále též „povinný subjekt“) rozhodnutím ze dne 4. 12. 2024, č. j. MMCH/155541/2024/OIA/Kuhn (dále též „prvostupňové rozhodnutí“), podle § 15 odst. 1 ve spojení s § 11 odst. 1 písm. d) zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění zákona č. 197/2024 (dále jen „InfZ“) odmítl žalobcovu žádost o poskytnutí informace v části, jíž bylo žádáno o sdělení IP adresy prvního serveru, na který jsou přenášeny snímky ze silničního rychloměru, který je umístěn na pozemní komunikaci R02_Písečná v Chomutově na souřadnicích 50° 29' 24,179" severní šířky a 13° 26' 39,222" východní délky.
2. Prvostupňové rozhodnutí bylo potvrzeno a proti němu směřující odvolání zamítnuto rozhodnutím žalovaného ze dne 3. 1. 2025, č. j. KUUK/000227/2025 (dále jen „napadené rozhodnutí“), které žalobce napadl posuzovanou žalobou.
Žaloba
3. Žalobce předeslal, že dle odůvodnění prvostupňového rozhodnutí by bylo poskytnutí požadované informace „schopno narušit či ohrozit kybernetickou bezpečnost“, jelikož „poskytnutí IP adresy je rovno potenciálnímu ohrožení kybernetické bezpečnosti celého systému“, neboť IP adresa může být zneužita pro kybernetické útoky, např. DDoS útoky. V odůvodnění žalobou napadeného rozhodnutí k tomu bylo připodotknuto, že „i když se v případě IP adresy serveru nejedná o utajovanou skutečnost, její zpřístupnění by mohlo vést k významnému ohrožení zařízení, jehož prostřednictvím je naplňováno zákonné zmocnění“ a že znalost IP adresy daného serveru není věcí veřejného zájmu.
4. Žalobce považuje prvostupňové rozhodnutí i rozhodnutí žalovaného za nepřezkoumatelná. Zákonné důvody, které zakládají povinnému subjektu právo omezit poskytnutí informace, totiž nebyly v rozhodnutích vyjasněny a odůvodněny. Povinný subjekt nemůže dle žalobce odmítnout poskytnout informaci, která je schopna narušit kybernetickou bezpečnost, ale jen takovou informaci, která významně nebo přímo ohrožuje konkrétní bezpečnostní opatření, stanovené zvláštním právním předpisem. Povinný subjekt ani žalovaný však nespecifikovali konkrétní bezpečnostní opatření, jehož účinnost může být poskytnutím informace narušena, ani nevyjasnili, kterým zvláštním právním předpisem je toto bezpečnostní opatření stanoveno.
5. Podle žalobce je pravdou, že při znalosti IP adresy může být realizován DDoS útok. Stejně tak ale při znalosti fyzické adresy úřadu může být úřad vykraden a mohou z něj být odneseny spisy, které obsahují citlivé osobní údaje. To však dle žalobce neznamená, že by byl povinný subjekt oprávněn tajit fyzickou adresu úřadu. IP adresa přitom není dle žalobcova názoru žádným chráněným údajem. Například IP adresa serveru povinného subjektu (Magistrátu města Chomutov) je 217.75.213.173. Každý, kdo má zájem tuto IP adresu zjistit, tak může vcelku jednoduše učinit zadáním příkazu tracert s označením domény do příkazového řádku. Nepodléhá-li tedy utajení internetová adresa webové prezentace úřadu, nepodléhá dle žalobce utajení ani IP adresa úřadu, která je z takové internetové adresy zjistitelná. Žalobci tudíž není zřejmé, proč by měla podléhat utajení IP adresa prvního serveru, na který jsou ukládány záznamy z radaru.
6. Žalobce poznamenal, že na serveru povinného subjektu se nacházejí tatáž data, která se nacházejí na serveru, jehož IP adresu požadoval žalobce (tedy na prvním serveru, na který jsou snímky z radaru přenášeny). Žalobce se tak domnívá z důvodu, že povinnému subjektu jsou tato data následně postupována za účelem projednávání přestupků. Je-li tedy veřejně známa IP adresa jednoho serveru, na kterém jsou data (v důsledku) uložena, pak není důvod tajit IP adresu jiného serveru, přes který jsou tato data transferována.
7. Žalobce se rovněž vymezil vůči závěru žalobou napadeného rozhodnutí, že není dán veřejný zájem na veřejnosti IP adresy prvního serveru. Žalobce se pouze snažil zjistit, zda data z rychloměru jsou ukládána přímo na server úřadu či obecní policie, anebo jsou nejprve ukládána na serverech třetích stran (např. obchodních společností participujících na měření). Dle žalobcova názoru je ve veřejném zájmu vědět, jak je nakládáno s osobními údaji zaznamenanými rychloměrem a zda jsou tyto od samého počátku v ryzí dispozici orgánu veřejné moci, anebo také v dispozici soukromoprávních společností. To platí dle žalobce tím spíše, je-li na základě těchto údajů přistupováno ke správnímu trestání.
8. Žalobce proto navrhl, aby soud napadené rozhodnutí zrušil.
Vyjádření žalovaného k žalobě
9. Žalovaný ve svém vyjádření ze dne 8. 4. 2025 uvedl, že povinnost chránit bezpečnost a integritu informačních systémů základní služby a elektronických komunikací vyplývá ze zákona č. 127/2005 Sb., o elektronických komunikacích a změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů (dále jen „zákon o elektronických komunikacích“) a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“). Dle žalovaného je nepochybné, že jedním ze základních způsobů ochrany informačních systémů a elektronické komunikace [v tomto případě základní služby v odvětví dopravy dle § 2 písm. j) bodu dva zákona o kybernetické bezpečnosti] je prosté nesdělování informací, které by kybernetický útok umožnily. Zveřejňování IP adres systémů povinného subjektu není možné z důvodu ochrany důvěrnosti a integrity informační infrastruktury; tyto informace jsou považovány za citlivé a jejich zveřejnění by mohlo vést k ohrožení bezpečnosti provozovaných systémů, přičemž zveřejnění IP adres lze chápat jako porušení principu minimalizace zveřejňování technických detailů, které spadají pod chráněné části dokumentace.
10. Za absurdní označil žalovaný žalobcem užitý příměr s vykradením sídla povinného subjektu při znalosti jeho adresy. Budovy úřadu jsou chráněny bezpečnostními systémy (mechanickými, elektronickými či personální ostrahou); samozřejmě přístupové kódy k zabezpečení budov nejsou a nemohou být veřejně přístupné. Kybernetická bezpečnost je dle žalovaného z povahy věci podstatně odlišná od bezpečnosti fyzické. K realizaci kybernetického útoku skutečně postačí pouhá znalost IP adresy, přičemž útok může být veden na dálku a spočívat jen v prostém sledování, ale i zahlcení IP adresy či zablokování s následným vydíráním provozovatele či vyřazení zařízení. Znalost IP adresy je prvním a nezbytným krokem k takovým útokům.
11. Žalovaný dále upozornil, že žalobci bylo v odpovědi na bod 10 dané žádosti o poskytnutí informací povinným subjektem sděleno, že „snímky jsou v pravidelných intervalech odesílány automaticky na server Městské policie, kde se zpracovávají v programu ARCHIV“. Dle žalovaného je z takovéto odpovědi dostatečně zřejmé, že prvým serverem, na který jsou snímky přenášeny, je server Městské policie Chomutov, a jsou tedy od počátku až do konce v dispozici orgánů veřejné moci.
12. V návaznosti na žalobcův argument, že není-li z důvodů kybernetické bezpečnosti utajována IP adresa internetových stránek povinného subjektu, nemá být tajena ani IP adresa prvního serveru k přijímání radarem pořízených záznamů, žalovaný odkázal na odůvodnění žalobou napadeného rozhodnutí. V němž totiž popsal, že právě kvůli veřejné dostupnosti IP adresy internetových stránek se staly terčem kybernetického útoku například internetové stránky Městského úřadu v Ostrově, což je dle žalovaného naopak argumentem pro neposkytnutí IP adresy serveru sloužícího k přijímání radarových záznamů, a to v zájmu prevence podobného bezpečnostního incidentu.
13. Podle žalovaného rovněž není pravdou, že je-li známa IP adresa koncového serveru, na němž jsou data uložena, není třeba chránit důvěrnost IP adresy mezičlánků (serverů) transferu dat mezi radarem a koncovým serverem. Případným kybernetickým útokem totiž může být napaden právě přenos dat mezi radarem a prvním serverem, případně mezi prvním serverem a koncovým serverem, a data tak mohou být zničena či zneužita. Na cílovém serveru naopak mohou být data chráněna například jejich stažením na síti nepřístupné médium.
14. Závěrem žalovaný zopakoval, že ke získání informací o způsobu nakládání s osobními údaji zaznamenanými rychloměrem, resp. ověření, zda jsou tyto údaje od počátku do konce pouze v dispozici orgánů veřejné moci (anebo se naopak alespoň v některé fázi oci
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.