Z rozhodnutí: Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně JUDr. Lenky Kaniové a soudců JUDr. Josefa Baxy a JUDr. Ivo Pospíšila v právní věci žalobce: Internet Mall, a.s., se sídlem U Garáží 1611/1, Praha 7, zastoupen Mgr. Luďkem Šrubařem, advokátem se sídlem Hanusova 1537/1, Praha 4, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem pplk. Sochora 27, Praha 7, o žalobě proti rozhodnu…
1 As 238/2021- 33 - text
1 As 238/2021 - 38
pokračování
[OBRÁZEK]
ČESKÁ REPUBLIKA
R O Z S U D E K
J M É N E M R E P U B L I K Y
Nejvyšší správní soud rozhodl v senátu složeném z předsedkyně JUDr. Lenky Kaniové a soudců JUDr. Josefa Baxy a JUDr. Ivo Pospíšila v právní věci žalobce: Internet Mall, a.s., se sídlem U Garáží 1611/1, Praha 7, zastoupen Mgr. Luďkem Šrubařem, advokátem se sídlem Hanusova 1537/1, Praha 4, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem pplk. Sochora 27, Praha 7, o žalobě proti rozhodnutí předsedkyně žalovaného ze dne 21. 9. 2018, č. j. UOOU04073/1811, v řízení o kasační stížnosti žalobce proti rozsudku Městského soudu v Praze ze dne 24. 6. 2021, č. j. 6 A 188/2018 57,
takto:
I. Rozsudek Městského soudu v Praze ze dne 24. 6. 2021, č. j. 6 A 188/2018 57, se zrušuje.
II. Rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 21. 9. 2018, č. j. UOOU04073/1811, se zrušuje a věc se vrací žalovanému k dalšímu řízení.
III. Žalovaný nemá právo na náhradu nákladů řízení o žalobě ani kasační stížnosti.
IV. Žalovaný je povinen uhradit žalobci k rukám jeho zástupce Mgr. Luďka Šrubaře, advokáta se sídlem Hanusova 1537/1, Praha 4, na náhradě nákladů řízení částku ve výši 25.456 Kč, a to do 30 dnů od právní moci tohoto rozsudku.
Odůvodnění:
I. Vymezení věci
[1] Předmětem sporu v projednávané věci je výklad § 13 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zodpovězení otázky, zda se žalobce dopustil přestupku podle § 45 odst. 1 písm. h) téhož zákona.
[2] Žalovaný uznal žalobce rozhodnutím ze dne 23. 5. 2018, č. j. UOOU04073/185 (dále jen „prvostupňové rozhodnutí“), vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů, jehož se měl dopustit tím, že nepřijal opatření pro zajištění bezpečnosti zpracovávaných osobních údajů. Konkrétně bylo zjištěno, že žalobce nezabezpečil osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, emailová adresa, heslo uživatelského účtu, případně telefonní číslo před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017, v důsledku čehož došlo v době od 27. července 2017 do 25. srpna 2017 k jejich zpřístupnění na internetových stránkách www.ulozto.cz. Tímto jednáním žalobce porušil povinnost stanovenou v § 13 odst. 1 zákona o ochraně osobních údajů. Za spáchání uvedeného přestupku mu žalovaný uložil pokutu ve výši 1.500.000 Kč.
[3] Žalobce podal proti prvostupňovému rozhodnutí rozklad, který předsedkyně žalovaného rozhodnutím ze dne 21. 9. 2018, č. j. UOOU04073/1811, zamítla.
II. Rozsudek městského soudu
[4] Žalobce se dále bránil správní žalobou, kterou Městský soud v Praze (dále jen „městský soud“) v záhlaví specifikovaným rozsudkem zamítl.
[5] Předně neshledal, že by byla správní rozhodnutí nepřezkoumatelná či dokonce nicotná. Pokud se jedná o zákonnost napadeného rozhodnutí, zdůraznil, že žalobce odcizení osobních údajů po dobu několika let vůbec nezaznamenal, a to, že k němu došlo, zjistil náhodou. Nadto došlo ke zneužití dat, která se nezjištěnému subjektu podařilo dešifrovat a zveřejnit. Již z těchto skutečností je zjevné, že žalobcem přijatá opatření byla neúčinná. Soud přitom považoval za nerozhodné, že k prolomení zabezpečení šifrovaných údajů zřejmě došlo až po několika letech díky technologickému vývoji. Šifrování musí být vždy provedeno tak, aby zabránilo zneužití dat. To se v daném případě nestalo, pročež soud nepřisvědčil tvrzení žalobce, že provedení šifrování představovalo okolnost, která jej zbavovala odpovědnosti za daný delikt.
[6] Soud dále uvedl, že povinnost chránit osobní údaje nemůže být absolutní, neboť z podstaty věci nelze předvídat všechny potenciální scénáře, které mohou nastat. Vždy je proto třeba zohlednit adekvátnost učiněných opatření ze strany správce údajů. To však žalovaný učinil a shledal, že opatření jako celek nedosáhla potřebné úrovně. Jako měřítko přiměřenosti žalovaný uplatnil skutečnost, že pro vznik deliktní odpovědnosti není rozhodné, zda k neoprávněnému přístupu či ke zneužití osobních údajů skutečně došlo. Skutková podstata je naplněna již nepřijetím nezbytných opatření. Nebyloli detekováno bezpečnostní riziko ani po odcizení dat, nemohla být přijatá opatření dostatečně kvalitní. Žalovaný nemusel komentovat jednotlivá žalobcem přijatá opatření a jejich dostatečnost, neboť vycházel ze skutečnosti, že zákonná dikce ponechává způsob a prostředky zabezpečení na vlastní úvaze správců a klade důraz pouze na výsledný účinek. Ten považoval žalovaný v posuzovaném případě za nedostatečný.
[7] Soud nepřisvědčil ani tvrzení žalobce, že žalovaný nezkoumal všechny znaky přestupku a nesprávně dovodil naplnění skutkové podstaty přestupku podle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů. Za nedůvodnou označil i námitku existence liberačních důvodů. Uvedl, že liberační důvody jsou určené pouze pro aplikaci ve výjimečných případech. Žalobce v této souvislosti neunesl důkazní břemeno, neboť ani žalovanému ani městskému soudu nepodal důkaz o provedení takových opatření, která by představovala maximální možné úsilí směřující k zabránění vzniku bezpečnostní události.
[8] Soud se zabýval rovněž námitkou prekluze odpovědnosti za přestupek. Ztotožnil se s názorem žalovaného, že se jednalo o trvající delikt, neboť k ukončení protiprávního stavu došlo až přijetím nových opatření pro zabezpečení osobních údajů, k čemuž žalobce přikročil až po zveřejnění odcizené databáze. Protiprávní stav tedy trval minimálně od 31. 12. 2014 do srpna 2017. Lhůta pro uložení pokuty či zahájení správního řízení tedy počala běžet až od okamžiku ukončení trvajícího protiprávního stavu a k prekluzi proto nedošlo.
[9] Konečně se soud zabýval i přiměřeností uložené pokuty. Uvedl, že odůvodnění výše pokuty v prvostupňovém rozhodnutí je stručné, ale obstojí. Žalovaný uložil žalobci pokutu na úrovni méně než třetiny zákonného rozmezí. Soud považoval porušení povinností za závažné, přičemž poukázal i na skutečnost, že žalobce je profesionálem v oboru a provádí rozsáhlé zpracování osobních údajů včetně uživatelských hesel. Na druhou stranu přihlédl soud k iniciativě žalobce při nápravě nezákonného stavu. S ohledem na všechny konkrétní okolnosti pak neshledal, že by byla pokuta uložena v nepřiměřené výši.
III. Obsah kasační stížnosti
[10] Žalobce (stěžovatel) podal proti rozsudku městského soudu kasační stížnost z důvodu podle § 103 odst. 1 písm. a) zákona č. 150/2002 Sb., soudní řád správní (dále jen „ s. ř. s.“). Má za to, že soud nesprávně vyložil § 45 odst. 1 písm. h) zákona o ochraně osobních údajů ve spojení s § 13 odst. 1 téhož zákona.
[11] Soud vycházel ze skutečnosti, že přestupek podle citovaného ustanovení je konstruován jako odpovědnost za následek, jímž je ohrožení bezpečnosti zpracovávaných osobních údajů. S tímto závěrem se však stěžovatel neztotožňuje a domnívá se, že uvedený výklad je v rozporu s textem zákona a úmyslem zákonodárce. Dotčené ustanovení vychází z norem evropského práva, jejichž autoři si byli vědomi toho, že veškerá bezpečnostní opatření jsou vždy pozadu za jakýmikoliv hrozbami, pročež antivirové, ani jiné softwarové prostředky nikdy neposkytnou 100% ochranu. To lze ostatně ilustrovat i na sérii kybernetických útoků, jimiž byla zasažena např. některá zdravotnická zařízení v ČR. Výklad aplikovaný městským soudem by znamenal, že veškeré subjekty, které byly obětí takových útoků, by se dopustily přestupku, bez ohledu na to, jaká opatření reálně přijaly. Pokud se jedná o zmiňovaná zdravotnická zařízení, ta měla oproti stěžovateli „výhodu“, neboť osoby, které data odcizily, jim znemožnily přístup k těmto datům a současně požadovaly výkupné. Proto se dotčené subjekty o útoku (na rozdíl od stěžovatele) dozvěděly. Pouze v případě, kdy by se stěžovatel o úniku dat dozvěděl ihned, by pak dle logiky městského soudu přicházelo v úvahu, aby se žalovaný zabýval jím přijatými opatřeními. Takový přístup je zcela chybný a stěžovatel trvá na tom, že pro naplnění skutkové podstaty uvedeného přestupku není podstatné, zda se osobní údaje podařilo ochránit či nikoliv, ale jaká opatření subjekt za účelem ochrany osobních údajů přijal.
[12] Podle § 13 zákona o ochraně osobních údajů pak není povinností správce údajů přijmout za účelem jejich ochrany všechna myslitelná opatření. Tento výklad koresponduje i s textem nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 (dále jen „obecné nařízení“), přičemž městský soud dospěl k závěru, že aplikace uvedeného předpisu není na místě, protože je pro stěžovatele přísnější. Pokud tedy ani přísnější předpis nepožaduje přijetí veškerých možných opatření, stěží lze uvedený výklad přijmout v nynější věci. Proto je nezbytné zabývat se povahou přijatých opatření. Pouze na základě jejich posouzení lze učinit závěr o odpovědnosti za přestupek podle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů. Stěžovatel předložil žalovanému i městskému soudu bohaté penzum důkazů
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.