I. Cílem právní úpravy obsažené v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, je naplnit právo každého na ochranu před neoprávněným zasahováním do soukromí a uvést práva a povinnosti při zpracování osobních údajů do souladu se směrnicí č. 95/46/ES.
II. "Zabezpečení osobních údajů" ve smyslu § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, není jednou z činností zahrnutých pod pojem "zpracování osobních údajů" a demonstrativně vypočtených v § 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, byť vzájemně provázané, neboť povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ustanovení § 47 odst. 2 a 3 zákona se tudíž na povinnost upravenou v ustanovení § 13 zákona nevztahují.
Úřad pro ochranu osobních údajů rozhodnutím ze dne 19. 6. 2002 uložil žalobkyni pokutu ve výši 3 000 000 Kč za porušení právní povinnosti uvedené v § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen "zákon č. 101/2000 Sb."), jehož se měla dopustit tím, že minimálně ještě ke dni 23. 1. 2001 nepřijala všechna potřebná opatření, aby nemohlo dojít k neoprávněnému přístupu, neoprávněnému zpracování či jinému zneužití osobních údajů jejích klientů. V důsledku uvedeného porušení právní povinnosti došlo v časovém rozmezí od 20. 1. 2001 do 23. 1. 2001 k neoprávněnému přístupu a k odcizení záznamového média, obsahujícího významné množství osobních údajů klientů žalobkyně, čímž osobní údaje klientů byly vystaveny nebezpečí jejich neoprávněného zpracování či jiného zneužití.
Předseda Úřadu pro ochranu osobních údajů rozhodnutím ze dne 13. 11. 2002 rozklad žalobkyně zamítl a napadené rozhodnutí potvrdil.
Městský soud v Praze rozsudkem ze dne 14. 10. 2004 žalobu zamítl. Ztotožnil se se závěrem správních orgánů, že žalobkyně nedostála povinnosti uložené jí ustanovením § 13 zákona, a to jednáním v úplnosti a v konkrétu popsaným v odůvodnění obou rozhodnutí. Tato zjištění ostatně žalobkyně ani nijak nenapadla. Namítala-li, že žalovaný nebyl oprávněn k uložení pokuty s odkazem na § 47 odst. 2 a 3 zákona, přisvědčil Městský soud v Praze názoru správních orgánů, že je zde v obsahové náplni zákonných pojmů zpracování a zabezpečení rozdíl, jakož i závěru, že vyvození sankce za porušení povinností stanovených zákonem bylo po dobu vymezenou v přechodných ustanoveních vyloučeno výslovně pouze v případech, kdy správce nebo zpracovatel neuvedl do souladu s novou právní úpravou vlastní zpracování osobních údajů, tj. nesplnil povinnosti stanovené novou úpravou pro toto zpracování oproti právní úpravě původní. Povinnost dle § 13 zákona byla zákonem stanovena od 1. 6. 2000, a její porušení bylo proto od tohoto data podle § 46 odst. 1 zákona pod hrozbou sankce. Pravomoc Úřadu uložit za nesplnění povinností stanovených zákonem pokutu je dána výslovně a v daném případě není dotčena shora uvedenou výjimkou. Namítala-li přesto žalobkyně, že k porušení povinnosti nemohlo dojít, neboť zákon nestanoví, jaká konkrétní opatření měla být učiněna, doplnil Městský soud v Praze nad argumentaci uvedenou v odůvodnění žalobou napadeného rozhodnutí, že rámec pro řádné plnění této povinnosti musí vymezit sám zpracovatel či správce podle prostředků a způsobů zpracování a zajistit jej odpovídajícím způsobem finančně, technicky i organizačně. Dle názoru soudu existuje v oblasti bezpečnostních opatření k ochraně majetku obecně a při nakládání s osobními údaji, resp. jejich ochraně zvláště, určitý soubor bezpečnostních opatření považovaný za standard, aniž by musel být v zákoně výslovně vymezen.
V kasační stížnosti žalobkyně (stěžovatelka) tvrdila, že Městský soud v Praze se nedostatečně vypořádal s otázkou dopadu § 47 odst. 2 zákona na daný případ. Z § 13, § 47 odst. 2, 3 a § 46 odst. 1 zákona jasně vyplývá, že neuvedl-li správce či zpracovatel osobních údajů, který prováděl zpracování osobních údajů před účinností zákona, toto do souladu se zákonem do 31. 12. 2001, nemohl být za takovéto jednání sankcionován, a to až do 31. 12. 2002. Podle stěžovatelky se jedná o klasický model zmírnění dopadů nové právní úpravy na správce a zpracovatele osobních údajů, kterým zákonodárce umožnil, aby mohlo být ve stanovené lhůtě učiněno zadost všem povinnostem novou právní úpravou uloženým. Za situace, kdy Úřad dospěl ke zjištění o údajném porušení § 13 zákona až v kontrolním protokolu ze dne 31. 8. 2001, má stěžovatelka za to, že i pokud by k uvedenému porušení skutečně došlo, nebyl Úřad oprávněn pokutu uložit, neboť v té době již byla novela zákona č. 177/2001 Sb. více než tři měsíce účinná. Stěžovatelka nesouhlasila dále se závěrem soudu, podle kterého vyvození sankce za porušení povinností stanovených zákonem bylo po dobu vymezenou v přechodných ustanoveních výslovně vyloučeno pouze v těch případech, kdy správce (zpracovatel) neuvedl do souladu s novou úpravou vlastní zpracování osobních údajů, tj. nesplnil povinnosti novou úpravou pro toto zpracování stanovené oproti původní právní úpravě. Uvedený výklad považovala stěžovatelka za účelový, resp. odporující základním právním zásadám právního řádu České republiky, konkrétně zákazu retroaktivity zákona. Takový postup by umožnil ukládat sankce za nesplnění povinností stanovených zákonem č. 256/1992 Sb. poté, co byl tento zrušen zákonem č. 101/2000 Sb. Podle stěžovatelky však není přípustné, aby za porušení povinností stanovených již derogovanou právní úpravou byly ukládány sankce podle úpravy nové. Za nesprávný považovala stěžovatelka rovněž názor soudu, podle něhož existují určité standardy bezpečnostních opatření, které lze realizovat, aniž by musely být výslovně stanoveny zákonem. Uvedený závěr je podle stěžovatelky protiústavní, neboť státní orgány nemohou nutit stěžovatelku činit, co zákon neukládá, resp. jí za to následně ukládat sankce.
Nejvyšší správní soud kasační stížnost zamítl.
Z odůvodnění:
Stěžovatelka napadla rozhodnutí Městského soudu v Praze z důvodu podle § 103 odst. 1 písm. a) s. ř. s. Soud se podle jejího názoru především nedostatečně vypořádal s otázkou dopadu § 47 odst. 2 a 3 zákona na daný případ. Z ustanovení § 13, § 47 odst. 2, 3 a § 46 odst. 1 zákona je podle ní zřejmé, že pokud by správce či zpracovatel osobních údajů, který prováděl zpracování osobních údajů před účinností zákona, neuvedl toto do souladu se zákonem do 31. 12. 2001, nemohl by být za takovéto jednání sankcionován, a to až do 31. 12. 2002. Své přesvědčení o tom, že z uvedených ustanovení podaný závěr jasně vyplývá, ovšem nijak blíže neodůvodňuje ani nerozvádí. Nejvyšší správní soud se s tímto názorem stěžovatelky neztotožnil.
Klíčová pro rozhodnutí o této námitce je dle názoru Nejvyššího správního soudu otázka výkladová, a to, zda lze povinnost zabezpečit osobní údaje stanovenou ustanovením § 13 zákona posoudit jako jejich "zpracování" ve smyslu § 4 písm. e) zákona, jinak řečeno, zda je možné pojem "zabezpečení" pojmu zpracování podřadit. V případě kladné odpovědi na tuto otázku pak bude nutno posoudit, zda se na takové "zpracování" vztahuje § 47 odst. 2 a 3 zákona.
Co se týká první otázky, vycházel Nejvyšší správní soud ze znění zákona č. 101/2000 Sb., důvodové zprávy k němu, a zejména pak ze znění a způsobu užití předmětných pojmů směrnicí Evropského parlamentu a Rady 95/46/ES, která byla jedním z hlavních východisek při zpracování nové právní úpravy, již citovaný zákon představuje. Podle § 4 písm. e) zákona se zpracováním osobních údajů rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Podle § 13 zákona je povinností správce a zpracovatele při zabezpečení osobních údajů přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Posléze citované ustanovení je pak zahrnuto do části první hlavy druhé zákona, nazvané Práva a povinnosti při zpracování osobních údajů. Zabezpečení osobních údajů tak na jednu stranu není zahrnuto do demonstrativního výčtu výkladového ustanovení § 4 písm. e) zákona, na druhou stranu je systematicky zařazeno do hlavy druhé zákona, jež upravuje práva a povinnosti související se zpracováním osobních údajů, mimo jiné i taková, která zákonodárce do výčtu ustanovení § 4 písm. e) pojal ("shromažďování"; "uchovávání").
Dle důvodové zprávy k § 13 vládního návrhu zákona o ochraně osobních údajů se tímto ustanovením upravují obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněnému i nahodilému přístupu, zpracování a zneužívání (využívání) osobních údajů. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči tzv. průnikářům
(hackerům)
. Důvodová zpráva tak sice vysvětluje, jaká opatření je zapotřebí přijmout, aby správce (zpracovatel) dostál své povinnosti uložené mu ustanovením § 13 zákona, řešení terminologického problému výkladu a aplikace předmětného ustanovení zákona však nepřináší. Za významnou nicméně v této souvislosti Nejvyšší správní soud považuje skutečnost, že jak důvodová zpráva, tak i zákon sám, včetně jeho názvu, užívají shodně slovních spojení "ochrana osobních údajů" a "zabezpečení osobních údajů".
Vzhledem k tomu, že zákon č. 101/2000 Sb. je svou podstatou implementací směrnice ES/95/46 do právního řádu České republiky, vycházel Nejvyšší správní soud při hledání odpovědi na výše položenou výkladovou otázku zejména z jejího znění. Jelikož je směrnice jako pramen evropského práva závazná, pokud jde o výsledek, jehož má být dosaženo, resp. váže členský stát ve vztahu ke svému cíli, zatímco formy a prostředky ponechává na volbě členského státu, zaměřil se Nejvyšší správní soud primárně na účel takto implementované právní úpravy. Podle rozsudku Evropského soudního dvora ve věci 14/83,
Sabine von Colson and Elisabeth Kamann v Land Nordrhein-Westfalen
[1984] ECR 1891, bod 26, je národní soud při aplikaci práva členského státu, a obzvláště při aplikaci ustanovení zákona, jenž byl přijat za účelem implementace směrnice, povinen vykládat takový zákon ve světle pojmosloví (dikce) a účelu směrnice. Jak již Nejvyšší správní soud judikoval, toto pravidlo se vztahuje i na případy, kdy se posuzují skutkové okolnosti, k nimž došlo před vstupem České republiky do Evropské unie, a rozhodným právem je právo tehdy účinné. I pak je nutno ustanovení českého právního předpisu, přijatého nepochybně za účelem sbližování českého práva s právem Evropských společenství a majícího svůj předobraz v právní normě obsažené v právu Evropských společenství, vykládat konformně s touto normou (podle rozsudku ze dne 29. 9. 2005, čj. 2 Afs 92/2005-45; publikováno pod č. 741/2006 Sb. NSS).
Směrnice 95/46/ES, jejíž název zní "
o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat
", zakotvuje ve svém článku 1 povinnost členských států zajistit ochranu základních svobod a práv fyzických osob, zejména jejich soukromí v souvislosti se zpracováním osobních údajů. Podle úvodního ustanovení odst. 46 směrnice vyžaduje ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů, aby byla přijata odpovídající technická a organizační opatření, a to jak při přípravě zpracování, tak při jeho provádění, zejména za účelem zajištění bezpečnosti a zabránění jakémukoli nepovolenému zpracování; tato opatření musí zajistit úroveň bezpečnosti odpovídající stavu technického rozvoje a nákladům na jejich zavedení a zároveň přiměřenou rizikům takového zpracování a povaze údajů, které mají být chráněny. Článek 17 směrnice, pojmenovaný Bezpečnost zpracování, pak říká, že správce je povinen přijmout odpovídající technická a organizační opatření tak, aby nemohlo dojít k nahodilému nebo neoprávněnému zničení osobních údajů, jejich ztrátě, změně či neoprávněnému přístupu, zejména tam, kde zpracování zahrnuje přenos dat prostřednictvím sítě, a proti jakýmkoli jiným způsobům neoprávněného zpracování.
Přestože zákon č. 101/2000 Sb., ve znění účinném v době rozhodování správních orgánů, výslovné, se směrnicí konformní označení účelu neobsahoval (doplněno zákonem č. 439/2004 Sb.) a i v současnosti se nadále drží slovních spojení ochrana osobních údajů, resp. zabezpečení osobních údajů, je z výše uvedeného zřejmé, že jeho účelem, shodným s cíly směrnice, byla od počátku jednoznačně ochrana jednotlivců v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem jsou pak správci ukládány povinnosti při zabezpečení zpracování těchto údajů. Zabezpečeno tedy má být jakékoli nakládání s osobními údaji zahrnované pod pojem zpracování
("processing")
. Bezpečné zpracování osobních údajů má pak nutně za následek jednak bezpečnost dat samých (následek jaksi samozřejmý), především však zajišťuje ochranu subjektů těchto údajů, resp. jejich soukromí, tzn. primární účel právní úpravy. Nejvyšší správní soud proto uzavírá, že s ohledem na znění směrnice, jakož i současné znění § 1 zákona, byla a je cílem právní úpravy v této oblasti ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování.
Z dikce směrnice tedy vyplývá, že zabezpečení osobních údajů ve smyslu § 13 zákona č. 101/2000 Sb. není jednou z činností zahrnovaných pod pojem zpracování osobních údajů, demonstrativně vypočtených v § 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, které jsou nicméně ve vzájemném, pro správce (zpracovatele) osobních údajů velmi podstatném vztahu, kdy povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ustanovení § 47 odst. 2 a 3 zákona se tudíž na povinnost podle jeho § 13 nevztahují.
Byť je odpověď na první položenou otázku záporná, považuje Nejvyšší správní soud za vhodné vyjádřit se rovněž k otázce druhé, tj. k tomu, jakých případů se tedy § 47 odst. 2 a 3 zákona týká, a v dalším textu tak proto činí.
Změna § 47 odst. 2 a doplnění § 47 odst. 3 byly včleněny do zákona č. 101/2000 Sb. zákonem č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů. Jelikož jsou tyto zřejmě bez vztahu k ostatním konkrétním změnám, které pro správce (zpracovatele) z novely vyplývají, nebylo úmyslem zákonodárce v daném případě zjevně nic jiného než prodloužit již původním zněním zákona upravené přechodné období a nově zavést beztrestnost porušení povinností nově vzniklých pro správce a zpracovatele osobních údajů v důsledku přijetí zákona č. 101/2000 Sb. Vztah je zde tedy jednoznačně mezi povinnostmi vyplývajícími ze zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, a zákonem č. 101/2000 Sb., o ochraně osobních údajů, kdy posléze uvedený zákon rozsah povinností souvisejících se zpracováním osobních údajů (dříve provozováním informačního systému) značně rozšiřuje. Přechodné období beztrestnosti porušení povinností vyplývajících ze zákona č. 101/2000 Sb. se pak nutně vztahuje pouze na povinnosti nově stanovené zákonem č. 101/2000 Sb. ve srovnání se zákonem č. 256/1992 Sb., jak správně uzavřely soud i žalovaný správní orgán. Jedná se zejména o povinnosti vyplývající z ustanovení § 10, § 11 odst. 2 (poučovací povinnost ve vztahu k subjektům údajů) a odst. 6, § 16 a § 19 (oznamovací povinnost vůči Úřadu) zákona.
Námitka stěžovatelky, že Úřadem byla sankcionována povinnost uložená podle zákona v době rozhodování správního orgánu již derogovaného, a závěr soudu je tudíž v tomto ohledu v rozporu se zákazem retroaktivity, není důvodná. Městský soud v Praze v dané souvislosti pouze konstatoval, že povinnost podle § 13 zákona již byla zahrnuta i do předcházející právní úpravy v § 17 písm. i), a že se tedy nejedná o povinnost, kterou by stěžovatelka za účinnosti zákona č. 256/1992 Sb. neměla. Bez ohledu na dezinterpretaci názoru Městského soudu v Praze stěžovatelkou však Úřad v daném případě prokazatelně rozhodoval podle zákona č. 101/2000 Sb. a ve výroku svého rozhodnutí konstatuje porušení § 13 tohoto zákona, za které ve smyslu jeho § 46 odst. 1, v tehdy platném znění, uložil pokutu ve výši 3 000 000 Kč. Úřad tedy v žádném případě svým rozhodnutím nezaložil zpětnou účinnost zákona č. 256/1992 Sb., neboť podle tohoto zákona nerozhodoval.
K tvrzené protiústavnosti názoru soudu, podle něhož existují určité standardy bezpečnostních opatření, které lze při ochraně osobních údajů realizovat, aniž by musely být výslovně stanoveny zákonem, Nejvyšší správní soud uvádí, že právní názor Městského soudu v Praze sdílí a na podporu tohoto názoru odkazuje na výše citovanou důvodovou zprávu k § 13 zákona, kde se mimo jiné říká, že opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Zákonodárce tak do textu důvodové zprávy v podstatě zahrnul část znění čl. 17 směrnice (rovněž viz výše), kterou zřejmě neshledal nezbytnou při formulaci § 13 zákona, a tu ještě doplnil o opatření právní a jiná. Jisté skouposti zákonodárce při formulaci tohoto ustanovení zákona ve srovnání s textem směrnice lze jistě litovat a Nejvyšší správní soud připouští, že užitá dikce klade na správce a zpracovatele v jistém smyslu vyšší nároky, když způsob a prostředky zabezpečení osobních údajů ponechává na jednu stranu jejich vlastní úvaze, na druhou stranu za nesplnění předmětné povinnosti hrozí poměrně vysokými sankcemi. Nelze však akceptovat směr, kterým se ubírá argumentace stěžovatelky, neboť ten by v konečném důsledku vedl k nepoužitelnosti § 13 zákona jako celku. V tomto bodu lze poukázat na publikaci PhDr. Miroslavy Matoušové: Osobní údaje a jejich ochrana. Povinnosti správce při zpracování, ASPI Publishing 2003, kde autorka uvádí, že ke každé technologii existuje soubor bezpečnostních opatření považovaný za standard. Obecně využitelné jsou mezinárodní technické normy (např. ISO/IEC 17799:2000
Information Technology - Code of Practice of Information Security Management
), z nichž řada byla vydána jako české technické normy (např. ČSN ISO/IEC TR 13335 Informační technologie - Směrnice pro řízení bezpečnosti IT 1 - 3). Nejvyšší správní soud tak uzavírá, že výklad Městského soudu v Praze je zcela legitimní, neboť obecná formulace § 13 zákona nutně předpokládá přijetí naprosto konkrétních opatření organizačních a technických, kdy "standard" by měl představovat jakési nutné minimum. Nejvyšší správní soud považuje v této souvislosti rovněž za významné, že po incidentu s odcizením zálohovacího zařízení přijala stěžovatelka množství opatření, kterými se snažila zabránit možnému opakování podobných událostí (zavedení kontroly režimu vstupu do budov společnosti; evidence přidělování klíčů; evidence vstupu osob do servroven atd.), a výše naříkaná skromnost formulace § 13 zákona jí v tom nijak nebránila. Předmětnou námitku je tudíž na místě posoudit také jako účelovou. Výše uvedené lze vztáhnout rovněž na tvrzení stěžovatelky o tom, že byla v dobré víře o splnění své povinnosti podle § 13 zákona, neboť zajistila střežení objektu bezpečnostní agenturou. O formálnosti této "ostrahy" pojednává správní spis dostatečně.