CS · EN DE FR brzy

10 As 69/2025 — Nejvyšší správní soud

ECLI: ECLI:CZ:NSS:2025:10.As.69.2025.55
Datum: 2025-04-09
Z rozhodnutí: Nejvyšší správní soud rozhodl v senátu složeném z předsedy Ondřeje Mrákoty, soudkyně Michaely Bejčkové a soudce Vojtěcha Šimíčka v právní věci žalobkyně: Allegro Retail a. s., U garáží 1611/1, Praha 7, zastoupená advokátem Mgr. Luďkem Šrubařem, U garáží 1611/1, Praha 7, proti žalovanému: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedy žalovaného ze dne 2. 5. 2…
10 As 69/2025- 55 - text  10 As 69/2025 - 62 pokračování [OBRÁZEK] ČESKÁ REPUBLIKA ROZSUDEK JMÉNEM REPUBLIKY Nejvyšší správní soud rozhodl v senátu složeném z předsedy Ondřeje Mrákoty, soudkyně Michaely Bejčkové a soudce Vojtěcha Šimíčka v právní věci žalobkyně: Allegro Retail a. s., U garáží 1611/1, Praha 7, zastoupená advokátem Mgr. Luďkem Šrubařem, U garáží 1611/1, Praha 7, proti žalovanému: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedy žalovaného ze dne 2. 5. 2023, čj. UOOU04073/1850, v řízení o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 12. 3. 2025, čj. 5 A 24/202382, takto: I. Rozsudek Městského soudu v Praze ze dne 12. 3. 2025, čj. 5 A 24/202382, se ruší. II. Rozhodnutí předsedy žalovaného ze dne 2. 5. 2023, čj. UOOU04073/1850, se ruší a věc se vrací žalovanému k dalšímu řízení. III. Žalovaný je povinen zaplatit žalobkyni na náhradě nákladů řízení částku 29 497 Kč do 30 dní od právní moci tohoto rozsudku k rukám jejího zástupce, advokáta Mgr. Luďka Šrubaře. Odůvodnění: 1. Vymezení věci [1] Žalovaný uznal žalobkyni rozhodnutím ze dne 23. 5. 2018 vinnou ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „ZOOÚ“), kterého se měla dopustit tím, že nepřijala nebo neprovedla dostatečná opatření pro zajištění bezpečnosti zpracování osobních údajů ve smyslu § 13 odst. 1 ZOOÚ. Nezabezpečila tak nejméně od 31. 12. 2014 do srpna 2017 osobní údaje svých zákazníků, čímž došlo k úniku nejméně 766 421 záznamů o jejích zákaznících z roku 2014 (v rozsahu jméno, příjmení, emailová adresa, heslo k uživatelskému účtu a některá telefonní čísla), z nichž 735 956 obsahovaly unikátní emailovou adresu zákazníka, a jejich zpřístupnění na internetových stránkách ulozto.cz. Tímto jednáním žalobkyně porušila povinnost stanovenou v § 13 odst. 1 ZOOÚ a byla jí uložena pokuta ve výši 1 500 000 Kč. [2] Žalobkyně podala proti prvostupňovému rozhodnutí rozklad, který předsedkyně žalovaného rozhodnutím ze dne 21. 9. 2018 zamítla. Žalobkyně se dále bránila u městského soudu, jenž její žalobu rozsudkem ze dne 24. 6. 2021 zamítl. [3] Ke kasační stížnosti žalobkyně zrušil NSS rozsudkem ze dne 11. 11. 2021, čj. 1 As 238/202133, napadený rozsudek městského soudu i rozhodnutí předsedkyně žalovaného. Podle NSS považoval městský soud za zásadní, že žalobkyně osobní údaje neochránila a ani včas neodhalila jejich odcizení. Je proto bez potřeby dalšího zkoumání zjevné, že přijatá opatření nebyla dostatečná. NSS se s tímto postojem neztotožnil. Přestupek podle § 45 odst. 1 písm. h) ZOOÚ je tzv. ohrožovací, pro naplnění skutkové podstaty tak není nutná existence následku v podobě neoprávněného nakládání s osobními údaji. To však neznamená, že by existence takového následku vedla bez dalšího k závěru, že si správce či zpracovatel osobních údajů počínal v rozporu s § 13 odst. 1 ZOOÚ. Uvedené ustanovení je podle NSS zapotřebí vykládat souladně s čl. 17 odst. 1 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, který nepředpokládá, že by odpovědnost správců a zpracovatelů osobních údajů byla bezbřehá; klade důraz na to, aby dotčené subjekty vynaložily za účelem ochrany osobních údajů náležité úsilí. Žalovaný a městský soud pochybili tím, že se nezabývali kvalitou přijatých opatření a vycházeli z chybného předpokladu, že k naplnění skutkové podstaty posuzovaného přestupku postačí, došloli k neoprávněnému přístupu k osobním údajům a současně žalobkyně tuto skutečnost v rozhodné době neodhalila. Postupovali tak v rozporu se zásadou nullum crimen sine lege, podle níž může být přestupkem pouze takové jednání, u něhož tak zákon výslovně stanoví. [4] Žalovaný opětovně rozhodoval ve věci žalobkyně a rozhodnutím ze dne 17. 6. 2022 shledal žalobkyni vinnou ze spáchání přestupku podle § 45 odst. 1 písm. h) ZOOÚ a uložil jí pokutu ve výši 140 000 Kč. Ve výroku výslovně uvedl, že se žalobkyně dopustila přestupku tím, že: „v období ode dne 31. prosince 2014 nejméně do dne 27. srpna 2017 jako správce osobních údajů svých zákazníků používala k hashování nejméně 735 956 hesel k zákaznickým účtům nedostatečně odolné hashovací algoritmy, a to algoritmus MD5 a algoritmus SHA1 s kryptografickou solí, přičemž opatření spočívající v resetování stávajících hesel k zákaznickým účtům hashovaných výše uvedenými hashovacími algoritmy a hashování nově vygenerovaných hesel dostatečně odolným hashovacím algoritmem bcrypt provedla až ke dni 27. srpna 2017, poté, co se dozvěděla, že po úniku databáze jejích zákazníků byla hesla zákazníků hashovaná hashovacími algoritmy MD5 a SHA1 s kryptografickou solí v plně čitelné podobě spolu s dalšími kategoriemi osobních údajů jejích zákazníků nejméně v rozsahu jméno, příjmení a emailová adresa zveřejněna neznámou osobou na internetových stránkách www.ulozto.cz“. [5] Předseda žalovaného rozhodnutím ze dne 2. 5. 2023 změnil výrok II prvostupňového rozhodnutí tak, že vypustil slova „podle § 35 písm. b) zákona č. 250/2016 Sb. a“ a do výroku III doplnil slova „a vyhlášky č. 520/2005 Sb., o rozsahu hotových výdajů a ušlého výdělku, které správní orgán hradí jiným osobám, a o výši paušální částky nákladů řízení, ve znění vyhlášky č. 112/2017 Sb.“. Ve zbytku prvostupňové rozhodnutí potvrdil. Žalobkyně podle názoru žalovaného při volbě prostředků ochrany osobních údajů používala zastaralý a nedostatečně odolný hashovací algoritmus a včas nepřijala dostatečná opatření k zamezení neoprávněného přístupu k heslům zákaznických účtů a jejich zneužití. [6] Žalobkyně podala i proti druhému rozhodnutí žalovaného žalobu, kterou městský soud opět zamítl. 2. Shrnutí argumentů kasační stížnosti a vyjádření žalovaného [7] Žalobkyně (stěžovatelka) podala proti rozsudku městského soudu kasační stížnost. Stěžovatelka trvá na tom, že ve věci nebylo bez důvodných pochybností prokázáno, že naplnila skutkovou podstatu tvrzeného přestupku. Žalovaný se v rozporu s čl. 17 směrnice 95/46/ES ve svém rozhodnutí věnoval výhradně kritériu stavu techniky. Jeho závěry jsou založeny pouze na závěrech odborného posouzení ze dne 11. 4. 2022 poskytnutého Národním úřadem kybernetické bezpečnosti (NÚKIB), to však zde nelze použít jako důkaz. NÚKIB nevzal v potaz konkrétní skutkové okolnosti věci, posouzení je zkratkovité a jeho závěry nejsou ničím podloženy. Žalovaný i městský soud se těmito námitkami odmítli zabývat. Městský soud dovolil, aby žalovaný zhojil vady správního řízení až během soudního řízení tím, že mu umožnil doplnit napadené rozhodnutí o zhodnocení kritéria nákladnosti. [8] Stěžovatelka poukázala na to, že k úniku dat došlo před rokem 2014 (zjevně v roce 2012). V tu dobu byla data uživatelů chráněna hashovacím algoritmem SHA1 s kryptografickou solí. Nejpozději v listopadu 2016 přešly všechny aktivní uživatelské účty na algoritmus bcrypt. V rozhodném období tak bylo starším algoritmem chráněno zhruba 350 000 neaktivních účtů. Městský soud založil závěr, podle něhož stěžovatelka nepřijala v rozhodném období nezbytná opatření, na záznamu o bezpečnostním incidentu. Ten ovšem pouze uvádí, že určité množství uživatelských účtů bylo dotčeno daným incidentem. [9] Pro posouzení odpovědnosti stěžovatelky je zásadní běh času. Údajné protiprávní jednání bylo ukončeno zavedením algoritmu bcrypt v listopadu 2016. Odpovědnost stěžovatelky proto s ohledem na § 46 odst. 3 ZOOÚ ve znění účinném do 30. 6. 2017 zanikla nejpozději v listopadu 2019. I pokud by stěžovatelka měla být odpovědná též ve vztahu k neaktivní databázi, je třeba přihlédnout k jejímu resetu dne 27. 8. 2017. Městský soud se nezabýval použitelností dřívější právní úpravy a námitku, jíž se stěžovatelka domáhala zohlednění délky správního řízení při stanovení výše trestu, odmítl pro opožděnost. [10] Stěžovatelka poukázala na chybný výrok o vině. Nejpozději v listopadu 2016 byla většina uživatelských účtů chráněna nejbezpečnější metodou bcrypt. Přesto výrok o vině uvádí, že protiprávní jednání se nejméně do 27. 8. 2017 týkalo nejméně 735 956 účtů. Městský soud si byl této nejasnosti vědom. Namísto nestranného posouzení rozhodnutí žalovaného předložil vlastní úvahy, jak to žalovaný vlastně myslel. Stěžovatelka nesouhlasí s městským soudem, že z odůvodnění rozhodnutí žalovaného je zřejmé, že stěžovatelka byla sankciována za únik dat pouze k 350 000 účtů. Rozhodnutí není v rozsahu uloženého trestu a určení jeho výše přezkoumatelné. [11] Závěrem stěžovatelka namítla, že jí je v rozporu s rušícím rozsudkem 1 As 238/202133 nadále kladen k tíži následek bezpečnostního incidentu. [12] Žalovaný v úvodu vyjádření sdělil, že se ztotožňuje se závěry městského soudu. Stěžovatelka v zásadě jen opakuje shodné argumenty jako v předchozích řízeních. Žalovaný připomněl, že NÚKIB je kompetentním orgánem pro zpracování odborného vyjádření v této věci. To obsahuje posouzení konkr

Citovaná ustanovení

§ 45 (101/2000 Sb.)§ 110 (150/2002 Sb.)§ 120 (150/2002 Sb.)§ 77 (150/2002 Sb.)§ 78 (150/2002 Sb.)§ 2 (250/2016 Sb.)§ 30 (250/2016 Sb.)§ 35 (250/2016 Sb.)§ 37 (250/2016 Sb.)
DomůŽivotní situaceŽivnostiOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.