Z rozhodnutí: Městský soud v Praze rozhodl v senátě složeném z předsedy JUDr. Ladislava Hejtmánka a soudkyň JUDr. Hany Kadaňové, Ph.D. a Mgr. Hany Janotové ve věci…
6 A 154/2025- 32 - text
pokračování 10 6 A 154/2025
[OBRÁZEK]ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Městský soud v Praze rozhodl v senátě složeném z předsedy JUDr. Ladislava Hejtmánka a soudkyň JUDr. Hany Kadaňové, Ph.D. a Mgr. Hany Janotové ve věci
žalobce: J. C.
bytem X
proti
žalovanému: Ministerstvo pro místní rozvoj
sídlem Staroměstské náměstí 6, Praha
o žalobě proti rozhodnutí žalovaného ze dne 24. října 2025, č. j. MMR-70418/2025-31,
takto:
I. Rozhodnutí Ministerstva pro místní rozvoj ze dne 24. října 2025, č. j. MMR-70418/2025-31, se ruší, a věc se vrací žalovanému k dalšímu řízení.
II. Žalovaný je povinen žalobci zaplatit náhradu nákladů řízení tvořených zaplaceným soudním poplatkem ve výši 3 000 Kč, a to do 30 dnů od právní moci tohoto rozsudku.
Odůvodnění:
I. Vymezení věci
[1] Žalobce podal dne 14. 2. 2025 žádost o poskytnutí zpráv z provedeného penetračního testování systémů Digitálního stavebního řízení (dále též „DSŘ“), a to k Ministerstvu pro místní rozvoj (dále též „povinný subjekt“ nebo „žalovaný“). Podanou žalobou brojí proti neposkytnutí informace pod č. 4 žádosti, kde se domáhal „poskytnutí výsledných zpráv z penetračního testování systémů digitálního stavebního řízení, zpracovaných společnostmi ESET a DCIT (zakázky č. VZ/2024/034/1064 a VZ/2024/034/1074)“.
[2] Žádost byla dne 25. 4. 2025 povinným subjektem částečně odmítnuta rozhodnutím č. j. MMR-33456/2025-31. V rámci jeho vydání nebyla dodržena zákonná lhůta pro vydání rozhodnutí. Žalobce nejdříve musel neúspěšně vyčerpat ochranné prostředky proti nečinnosti. Poté musel podat žalobu na ochranu proti nečinnosti ke zdejšímu soudu. V usnesení ze dne 30. 6. 2025, č. j. 17 A 34/2025-32, zdejší soud uvedl, že ke dni podání žaloby byl povinný subjekt nečinný ve věci (řízení bylo zastaveno z důvodu zpětvzetí žaloby, neboť žalovaný po podání nečinnostní žaloby vydal rozhodnutí).
[3] Žalobce následně podal v dané věci rozklad. O něm opět při nedodržení zákonné lhůty rozhodoval ministr pro místní rozvoj, který dané rozhodnutí zrušil a věc vrátil povinnému subjektu k novému projednání. Povinný subjekt byl i nadále nečinný. Ministr pro místní rozvoj ani v tomto případě nic neučinil k odstranění nečinnosti. Žalobce se proto znovu obrátil za zdejší soud. Byl vydán rozsudek ze dne 10. 11. 2025, č. j. 18 A 75/2025-33, kterým byla znovu konstatována nečinnost povinného subjektu.
[4] Žalobce se obával, že povinný subjekt zaujme nečinnostní postoj i „napotřetí“. Z toho důvodu se rozhodl využít možnosti, kterou uvedl Nejvyšší správní soud ve svém rozsudku ze dne 24. 10. 2018, č. j. 7 As 192/2017-35, a podanou žalobou napadl přímo rozhodnutí povinného subjektu ze dne 24. 10. 2025, č. j. MMR-70418/2025-31 /pozn. soudu: proto je v nyní posuzované věci povinným subjektem i žalovaným týž orgán/.
II. Žalobní argumentace
[5] Žalobce se v podané žalobě vymezuje proti tvrzení žalovaného, který odmítl poskytnout jakékoli požadované informace, a to včetně údajů o počtech nalezených zranitelností a informaci o použité metodě testování IT systémů. Dle žalobce není tento postup souladný s ustanovením § 11 odst. 1 písm. d) zákona č. 106/1999 Sb., o svobodném přístupu k informacím (dále jen „informační zákon“) a s ustanovením § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „kybernetický zákon“).
[6] Žalobce argumentuje zákazem extenzivního výkladu omezení práva na informace a odkazuje na nález Ústavního soudu ze dne 30. 3. 2010, sp. zn. Pl. ÚS 2/10. Dále poukazuje na znění § 12 informačního zákona.
[7] Uvádí, že i v situaci, kdy by zprávy z penetračního testování obsahovaly takové skutečnosti, které by nemohly být zveřejněny z důvodu ochrany před ohrožením bezpečnosti testovaných systémů, není tím ospravedlněno neposkytnutí celého materiálu. Dle žalobce tak žalovaný musí přesně určit, které informace musí být chráněny a anonymizovat je. Současně musí v odůvodnění svého rozhodnutí jejich vyloučení dostatečně odůvodnit.
[8] Žalobce poukazuje na odůvodnění napadeného rozhodnutí, konkrétně na str. 3 a 4. Zdůrazňuje, že ačkoli žalovaný zmiňuje, že redakci požadovaných dokumentů zvažoval, tuto možnost následně vyloučil. Dle žalobce však absentuje uvedení důvodu, proč nebyla redakce možná. Postrádá zdůvodnění, z jakého důvodu nebylo možné poskytnout informaci o tom, „jakou metodou testování probíhalo (např. OWASP TOP 10), a jaký počet zranitelností v jednotlivých stupních závažnosti (kritická, vysoká, střední, nízká) byl zjištěn“. Dále žalobce postrádá odůvodnění nemožnosti poskytnout údaje o časovém a personálním rozsahu testování.
[9] Žalobce se vymezuje taktéž vůči odmítnutí poskytnutí těch částí předmětných zpráv, o jejichž detailech se bylo možné dočíst v médiích. Jedná se o informaci o chybě systému, která dávala všem uživatelům možnost prohlédnout si a změnit dokumenty uživatelů jiných. Zároveň se uživatelé mohli do geoportálu územního plánování přihlásit pomocí uhodnutého číselného identifikátoru. Žalobce dodává, že obě tyto zranitelnosti byly již odstraněny, a proto poskytnutí daných informací nemůže vést ke zneužití těchto chyb.
[10] Dle žalobce mohl žalovaný poskytnout také „alespoň rámcové“ údaje o dalších zranitelnostech, které byly taktéž odstraněny. Poskytnutí mohlo být provedeno předně u částí systému, jež nebyly zprovozněny.
[11] Závěrem žalobce odkazuje na rozsudky zdejšího soudu, věnující se otázce kyberbezpečnosti, ve věci 9 A 161/2019 a ve věci 8 A 82/2023.
[12] Z výše uvedených důvodů žalobce navrhuje zrušení napadeného rozhodnutí a uložení povinnosti žalovanému poskytnout požadované informace do 7 dnů od právní moci rozsudku.
III. Shrnutí odůvodnění napadeného rozhodnutí
[13] V rámci odůvodnění napadeného rozhodnutí žalovaný zdůvodnil nemožnost poskytnutí výsledných zpráv z penetračního testovánu systému DSŘ následovně.
[14] Žalovaný se odvolává na odborné stanovisko Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) a na určení DSŘ za informační systém kritické infrastruktury (položka 534 – Informační systému podporující služby stavebního řízení a územního plánování), které bylo provedeno po meziresortním projednání vládou České republiky. Uvádí, že systém podléhá režimu ochrany dle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (dále jen „krizový zákon“) a dle kybernetického zákona. Poukazuje na povinnost k zajišťování bezpečnostních opatření dle § 5 kybernetického zákona a na omezení možnosti poskytovat informace, jejichž zpřístupněním by mohlo dojít k ohrožení zajišťování kybernetické bezpečnosti dle § 10 téhož zákona.
[15] Popisuje, ze kterých částí se skládají předmětné zprávy z penetračního testování. Jedná se o „detailní technické popisy nalezených zranitelností, konfigurací a přístupových mechanismů, architekturu systému, síťové typologie a rozhraní, popisy využitých metod testování a simulací útoků a doporučení k nápravě a vyhodnocení zbytkového rizika“. Dle žalovaného představují výše uvedené informace citlivé bezpečnostní údaje. V případě jejich zveřejnění by bylo možné odhalit slabiny systému, čímž by byla usnadněna příprava cílených kybernetických útoků. Rovněž by byla ohrožena funkce systému DSŘ, jenž je připojen k dalším státním systémům.
[16] V souvislosti s výše uvedeným žalovaný argumentuje zněním ustanovení § 11 odst. 1 písm. d) informačního zákona. Rovněž uvádí ustanovení § 10a kybernetického zákona, přičemž tento předpis označuje za zvláštní úpravu ve vztahu k informačnímu zákonu, která se vztahuje na veškeré informace týkající se ochrany, bezpečnostních opatření a zranitelností prvků kritické infrastruktury.
[17] Žalovaný dále popisuje, jak prováděl test proporcionality, v jehož rámci zkoumal, zda nelze poskytnout alespoň částečnou informaci ve smyslu § 12 informačního zákona. Nejprve se zabýval zhodnocením celkové citlivosti informací. K tomuto uvádí, že jelikož obsahem předmětné zprávy jsou nejen izolované zranitelnosti, nýbrž i celkový kontext systému (jeho architektura, síťové topologie, nastavení přístupových mechanismů a metodika testování), v důsledku vzájemné propojenosti jednotlivých prvků by i při odstranění detailů o jednotlivých zranitelnostech bylo možné, aby potenciální útočníci zbylé informace (strukturu sítí, typy používaných komponent atd.) použili k rekonstrukci celkového obrazu systému. Tím by bylo možné odhadnout, jaké další slabiny daný systém vykazuje.
[18] Dále se žalovaný zabýval tím, zda by případné redakční úpravy představovaly efektivní řešení. Uvádí, že i při částečné anonymizaci daného dokumentu provedené zakrytím IP adres, názvů serverů a konkrétních CVE by stále nebylo zabráněno odvození architektury systému včetně jeho obranných mechanismů. Dodává, že „[v] praxi by takto upravené (anonymizované) verze ztratily informační hodnotu, jednalo by se pak pouze o fragmentární souhrn, který by nemohl mít dostatečnou užitečnost pro veřejnou kontrolu“.
[19] Ve vztahu k variantě částečného poskytnutí informace dle § 12 informačního zákona žalovaný uvádí, že
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.