Ochrana osobních údajů: automatizované zpracování osobních údajů
k § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákonů č. 439/2004 Sb. a č. 170/2007 Sb. (v textu jen "ZOOÚ")
I. Správa automatického daňového informačního systému ADIS není vyňata z působnosti § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů.
II. Přijetí opatření v oblasti automatizovaného zpracování osobních údajů podle § 13 odst. 4 zákona č. 101/2000 Sb., o ochraně osobních údajů, není ponecháno na vůli správce či zpracovatele osobních údajů.
III. Splnění povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) podle § 13 odst. 4 písm. c) zákona č. 101/2000 Sb., o ochraně osobních údajů, se nelze vyhnout poukazem na dodržení podmínek § 13 odst. 1 tohoto zákona.
IV. Cílem opatření podle § 13 odst. 4 písm. c) zákona č. 101/2000 Sb., o ochraně osobních údajů, je víceméně s určitostí zjistit, kdo a kdy učinil jakou operaci s osobními údaji. Nepostačuje tedy přijetí opatření, která umožňují zjistit tytéž skutečnosti pouze s relativně vysokou mírou pravděpodobnosti.
(Podle rozsudku Nejvyššího správního soudu ze dne 30. 1. 2013, čj. 7 As 150/2012-35)
Prejudikatura:
rozsudky Soudního dvora ze dne 19. 1. 1982, Becker (8/81, Recueil, s. 53), ze dne 6. 10. 1982, CILFIT (283/81, Recueil, s. 3415), ze dne 22. 6. 1989, Costanzo (103/88, Recueil, s. 1839), ze dne 1. 6. 1999, Kortas (C-319/97, Recueil, s. I-3143), ze dne 11. 7. 2002, Marks & Spencer (C-62/00, Recueil, s. I-6325), ze dne 6. 11. 2003, Lindqvist (C-101/01, Recueil, s. I-12971), ze dne 16. 12. 2008, Huber (C-524/06, Sb. rozh., s. I-9705), ze dne 16. 12. 2008, Tietosuojavaltuutettu (C-73/07, Sb. rozh., s. I-9831), a ze dne 24. 11. 2011, ASNEF (C-468/10 a C-469/10).
Věc:
Česká republika - Generální finanční ředitelství proti Úřadu pro ochranu osobních údajů o uložení pokuty, o kasační stížnosti žalobce.
Žalovaný rozhodnutím ze dne 30. 9. 2009 uložil České republice - Ministerstvu financí pokutu ve výši 350 000 Kč za správní delikt dle § 45 odst. 1 písm. h) ZOOÚ.
Žalobce podal proti rozhodnutí žalovaného rozklad, který předseda žalovaného zamítl rozhodnutím ze dne 21. 12. 2009.
Žalobce podal proti rozhodnutí o rozkladu žalobu u Městského soudu v Praze, který ji zamítl rozsudkem ze dne 8. 8. 2012, čj. 10 A 46/2010-62. Působnost Ministerstva financí jakožto správce, resp. zpracovatele osobních údajů v rámci automatizovaného daňového informačního systému (ADIS) v průběhu řízení o žalobě [v důsledku účinnosti zákona č. 199/2010 Sb., kterým se mění zákon č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů, a zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, a některé další zákony] přešla na Generální finanční ředitelství. Jako se žalobcem proto bylo v řízení před městským soudem posléze jednáno s Českou republikou - Generálním finančním ředitelstvím.
Městský soud v odůvodnění rozsudku odkázal na čl. 1, čl. 17 a bod 46 preambule směrnice Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Účelem zákona o ochraně osobních údajů, shodným s cíli směrnice 95/46/ES, je ochrana jednotlivců v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem jsou správci ukládány povinnosti při zabezpečení zpracování těchto údajů. Zabezpečeno má být jakékoli nakládání s osobními údaji zahrnované pod pojem zpracování ("
processing
"). Cílem právní úpravy v této oblasti je ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování. Zabezpečení osobních údajů ve smyslu § 13 ZOOÚ není činností zahrnovanou pod pojem zpracování osobních údajů dle § 4 písm. e) téhož zákona.
Ustanovení § 3 odst. 6 citovaného zákona stanoví výjimku pro zpracování osobních údajů, kterou je nutno vykládat restriktivně. Tato výjimka nepředstavuje vynětí orgánů daňové správy z působnosti ZOOÚ. Znamená, že správce (či zpracovatele) osobních údajů výjimečně nezavazují pouze § 5 odst. 1 a § 11 a § 12 ZOOÚ pro zpracování osobních údajů nezbytných pro plnění povinností správce, a to v případě, kdy jedná v zájmu zajištění např. významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření. I v případech, kdy žalobce zpracovává osobní údaje nezbytné pro plnění povinností stanovených touto výjimkou dle § 3 odst. 6 citovaného zákona, a kdy není vázán jen § 5 odst. 1 a § 11 a § 12 téhož zákona, je vázán jeho § 13. Vztažení výjimky pro zpracování osobních údajů na správu daní ve smyslu "
běžn
é" činnosti (jakékoli "
daňov
é" opatření) by bylo proti smyslu
"správy daní"
, jak je tento institut vymezen v § 1 odst. 2 zákona č. 280/2009 Sb., daňový řád. Článek 13 směrnice 95/46/ES nezavazuje přijmout legislativní opatření s cílem omezit ve vyjmenovaných oblastech rozsah práv a povinností uvedených v jejím čl. 17 (Bezpečnost zpracování). Ani z důvodové zprávy k zákonu č. 439/2004 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, není možno dovodit, že výjimka daná § 3 odst. 6 ZOOÚ znamená vyloučení aplikace celého zákona (včetně § 13).
Městský soud neshledal opodstatněnou námitku, že daňový řád jako procesní právní předpis pro správu daní a zákon č. 531/1990 Sb., o územních finančních orgánech, představují speciální právní předpis s autonomní úpravou ochrany osobních údajů. Tyto zákony neobsahují autonomní celistvou právní úpravu pro zpracování osobních údajů v oblasti daňové správy s cílem ochrany jednotlivce, a nemohou tak vyloučit aplikaci obecné úpravy, kterou představuje ZOOÚ. Zakotvení toliko povinnosti mlčenlivosti a sankce za její nedodržení nemohou garantovat samy o sobě vyšší ochranu zpracovávaným osobním údajům, nahrazující či dokonce přesahující rámec vymezený pravidly pro zpracování osobních údajů ZOOÚ. Povinnost mlčenlivosti je upravena jak v obecném předpise pro správní řízení (správním řádu), tak i v řadě dalších předpisů upravujících konkrétní oblasti veřejné, resp. státní správy.
Z podkladů, jichž se žalobce dovolává nelze jen proto, že je v nich užit pojem
"opatření"
, dovozovat, že na žalobce nedopadají povinnosti § 13 ZOOÚ, resp. že výjimka zakotvená v § 3 odst. 6 písm. f) či g) citovaného zákona pod pojmem
"daňová opatření"
rozumí správu daní jako takovou. Žalobce pomíjí, že musí jít o
"opatření"
zajišťující významný finanční zájem České republiky či Evropské unie.
Původně obecná úprava § 13 ZOOÚ doznala změny, a kromě ustanovení odstavec 3 byla výslovně v odstavci 4 stanovena pro případ automatizovaného zpracování osobních údajů vedle opatření podle odstavce 1 obecně vymezených konkrétně také povinnost mj. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. V případě automatizovaného zpracování osobních údajů již není ponecháno úvaze správce, jako u volby opatření podle odstavce 1, jaké konkrétní technické či organizační opatření provede, aby zajistil vyloučení rizik dle odstavce 3. Je zde přímo založena povinnost správce, aby systém pro automatizované zpracování osobních údajů zaznamenával, kdy, kým a z jakého důvodu byly osobní údaje do něj vloženy a jinak zpracovány. Volba tohoto prostředku tak není již ponechána na úvaze konkrétního správce o vyhodnocení rizik, ale jde o prostředek, který v případě automatizovaného zpracování osobních údajů představuje určitý standard, požadovaný zákonem od všech adresátů právní normy, zpracovávají-li osobní údaje automatizovaně. Z článku 17 směrnice 95/46/ES vyplývá, že členským státům bylo ponecháno vymezení povinností, jimiž správce zaváže, s přihlédnutím ke stavu techniky a nákladům na provedení tak, aby opatření zajistila přiměřenou úroveň bezpečnosti odpovídající rizikům. Pro automatizované zpracování osobních údajů představuje uvedený požadavek s ohledem na stav techniky a náklady standard. Městský soud neshledal, že by při zpracování osobních údajů v rámci správy daní daňové orgány měly či mohly být takto stanovené povinnosti zproštěny.
Žalobce (stěžovatel) podal proti rozsudku městského soudu kasační stížnost, v níž namítal, že § 13 ZOOÚ je implementován do českého právního řádu na základě směrnice 95/46/ES. Je třeba odlišovat povinnost členského státu provést směrnici a uložení povinnosti členskému státu, resp. jeho organizační jednotce provést určitá opatření proti neoprávněnému nebo nahodilému přístupu k osobním údajům v rámci automatizovaných informačních systémů. Pokud je povaha § 13 odst. 1 a 4 písm. c) citovaného zákona preventivní, je třeba při ukládání povinností vyjít ze znění ZOOÚ a směrnice 95/46/ES (čl. 17 odst. 1 transponovaný do § 13 odst. 1 uvedeného zákona). Při volbě postupů a opatření ve vnitrostátním právním předpisu k zajištění účelu a smyslu směrnice se na základě principu proporcionality musí poměřovat na jedné straně stav techniky, náklady na provedení příslušných opatření i přiměřená úroveň bezpečnosti odpovídající rizikům zpracování a povaze údajů, na druhé straně i samotné preventivní funkce opatření. Tato
interpretace
odráží obecný princip, že primárním prostředkem ochrany před nezákonným zásahem je především jeho prevence, ovšem s přihlédnutím k povaze každého konkrétního případu. Před novelizací zákonem č. 170/2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru, byly povinnosti správce nebo zpracovatele upraveny relativně neurčitě, kdy bylo na nich, aby sami zhodnotili rizika při zpracování osobních údajů. Důvodem byla ta skutečnost, že podmínky zpracování osobních údajů se u každého správce nebo zpracovatele natolik liší, že jakákoli paušalizace by nebyla efektivní. Technická a organizační opatření volil správce nebo zpracovatel dle úvahy limitované účelem tohoto ustanovení a čl. 17 směrnice 95/46/ES. Stanovení limitů povinností dle čl. 17 této směrnice je nutné vykládat i s přihlédnutím k jejímu bodu 46 preambule. Z uvedeného limitu vyplývá, že testu proporcionality se musí podrobit: odpovídající bezpečnostní opatření zabraňující neoprávněnému zpracování osobních údajů a náklady na jejich provedení, míra rizika ze zpracování údajů, povaha údajů a procesy, které se k nim váží. Rizikovost procesů je snížena technickými opatřeními, kdy je dána úzká souvislost mezi konkrétním daňovým subjektem a konkrétní úřední osobou spravující jeho daň. Je třeba mít dále na zřeteli specifika systému ADIS i samotné správy daní. Opatření dle § 13 odst. 4 písm. c) ZOOÚ by mohlo vést ke zpomalení systému, aniž by současně přineslo odpovídající snížení míry bezpečnostního rizika, přičemž vytvoření nového systému by s sebou neslo značné náklady. Pokud český zákonodárce nepromítl limit aplikace čl. 17 směrnice 95/46/ES, jedná se o porušení povinnosti transponovat směrnici jednotně ve všech členských státech. První věta čl. 17 se jeví spíše obecná. Členský stát může přijmout podrobnější úpravu, ale nemůže netransponovat obecně vyjádřené limity ve větě druhé, jež se vztahují jak k poměřování povinnosti vycházející explicitně z čl. 17 citované směrnice, tak i jeho konkretizování ve vnitrostátním právním předpise. Tímto je totiž explicitním jazykovým výkladem české právní normy v rozporu s uvedenou směrnicí rozšířena povinnost pro všechny správce a zpracovatele, nezávisle na jejich veřejnoprávní nebo soukromoprávní povaze.
Přímý účinek směrnice 95/46/ES vede k jejímu použití namísto chybějícího ustanovení, které by zakládalo limity povinnosti správce nebo zpracovatele dle § 13 odst. 1 ZOOÚ. Podmínky jasnosti, přesnosti i úplnosti a bezpodmínečnosti evropské normy jsou splněny. Jsou splněny i specifické podmínky pro přímý účinek směrnice: marné uplynutí lhůty k řádné implementaci, nedochází k přímému uložení povinnosti, zlepšení právního postavení aktivně legitimovaných přímých či nepřímých beneficiantů směrnice (z hlediska věty druhé čl. 17 směrnice 95/46/ES je beneficiantem správce nebo zpracovatel). Při interpretaci § 13 ZOOÚ je tudíž třeba aplikovat přímý účinek čl. 17 věty druhé citované směrnice. Správní orgán dohledu i soudní orgán je povinen aplikovat i směrnicí stanovené limity.
Přijetím zákona č. 170/2007 Sb. byly do § 13 ZOOÚ zařazeny odstavce 3 a 4, které měly doplnit a upřesnit jeho odstavec 1 s tím, že povinnost správce a zpracovatele zůstala i dle důvodové zprávy stejná. Ustanovení § 13 odstavec 4 uvedeného zákona jen návodně upřesňuje obecnou povinnost správce nebo zpracovatele, což potvrzuje i odborná literatura. Opatření mohou být technická, organizační, právní a jiná. Organizačně-právním opatřením, jež má preventivně působit na úřední osoby a tím jim zabraňovat v neoprávněném zpracování osobních údajů, je v prvé řadě povinnost mlčenlivosti stanovená v § 52 odst. 1 daňového řádu. Porušením této povinnosti, která má stejný charakter i účel jako povinnost dle § 13 odst. 1 ZOOÚ a kterou i doplňuje a rozvíjí, se úřední osoba vystavuje přestupkovému řízení s možnou pokutou až 500 000 Kč. Takovou úpravu lze chápat jako velmi přísnou, tedy z hlediska prevence velmi účinnou. Nadto je každý zaměstnanec o této povinnosti a možných následcích poučen. Stěžovatel dále konkretizoval technická opatření, jež zabraňují v přístupu jakékoli úřední osoby ke všem údajům v systému ADIS, přiblížil přihlašování do systému, přidělování přístupového práva a určování jeho rozsahu a uzavřel, že je ve stávajícím stavu systému ADIS ve spojení s organizačními i technickými opatřeními daňové správy možné s relativně vysokou mírou pravděpodobnosti zjistit, která úřední osoba mohla neoprávněně zpracovávat osobní údaje.
V § 3 odst. 6 ZOOÚ je mezi oblastmi, na které se povinnosti správce uvedené v § 5 odst. 1, § 11 a § 12 nevztahují, uvedena i oblast správy daní. Uvedené povinnosti správce osobních údajů se neaplikují v případě významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření. Z důvodové zprávy vyplývá, že původní znění neodpovídalo znění směrnice 95/46/ES. Demonstrativním výčtem právních předpisů, uvedeným v poznámce pod čarou, jsou do jisté míry stanoveny okruhy činností, jež mají výjimku z uvedených povinností. Pro správu daní je zde uveden zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb., přičemž tento byl s účinností k 1. lednu 2004 zrušen. I tak je ale jednoznačně dána výjimka pro správu daní a její jednotlivá daňová řízení (daňová opatření). Pojem
"daňová opatření"
je třeba vyložit s ohledem na jeho běžné použití v českých právních předpisech. Jde o každé individuální rozhodnutí v daňové oblasti. Vzhledem k § 5 odst. 1 ZOOÚ, který uvozuje systematicky jeho Hlavu II pojednávající o právech a povinnostech při zpracování osobních údajů, je dána výjimka i v oblasti zaznamenávání logů, protože vysvětlení povinnosti dle § 13 odst. 1 citovaného zákona je třeba chápat jako součást obecné povinnosti správce dle § 5 odst. 1 téhož zákona, zejména pod písm. b).
Žalovaný ve svém vyjádření ke kasační stížnosti uvedl, že ZOOÚ byl do českého právního řádu implementován také na základě směrnice 95/46/ES, nicméně povinnost zajistit vysokou úroveň ochrany osobních údajů České republice ukládá již Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (č. 115/2001 Sb. m. s.). Vzhledem k bodu 2 preambule a čl. 1 směrnice 95/46/ES je tato směrnice prostředkem ochrany základních práv a svobod fyzických osob, zejména jejich soukromí v souvislosti se zpracováním osobních údajů, a beneficientem práv ze směrnice jsou tedy fyzické osoby (subjekty údajů). Podle bodu 10 preambule implementace směrnice nesmí vést k oslabení této ochrany. Podle jejího čl. 5 je úkolem příslušného státu upřesnit podmínky, za kterých je zpracování osobních údajů přípustné, a stanovit též povinnosti týkající se bezpečnosti zpracování osobních údajů, jak je vymezuje čl. 17. Druhá věta čl. 17 směrnice 95/46/ES stanoví, jakého cílového stavu má být prostřednictvím příslušných opatření dosaženo, a to s ohledem na zde vyjmenované aspekty. Nejedná se o stanovení limitů v rámci bezpečnostních opatření, případně o úlevy pro beneficienta směrnice, za kterého se bezdůvodně považuje sám stěžovatel. V souladu s uvedenými ustanoveními směrnice zákonodárce zakotvil obecnou povinnost přijímat opatření k zabezpečení osobních údajů (§ 13 odst. 1 ZOOÚ) a dále určil, jaká rizika musí být předmětnými opatřeními zohledněna (§ 13 odst. 3 téhož zákona). V § 13 odst. 4 ZOOÚ výslovně nařídil, jaká opatření musí být provedena. Povinnost uložená v § 13 odst. 4 písm. c) citovaného zákona zvyšuje standard bezpečnosti zpracování osobních údajů. Plněním této povinnosti je umožňováno přímo identifikovat osoby mající přístup k osobním údajům, a tedy identifikovat i původce případného narušení bezpečnosti zpracování osobních údajů. Značná část narušitelů bezpečnosti zpracování osobních údajů pochází z řad zaměstnanců správce, případně zpracovatele osobních údajů. Zakotvení tohoto ustanovení svědčí o vysokém stupni implementace směrnice. Ze samotné dikce návětí § 13 odst. 4 téhož zákona ("
povinen tak
é") je evidentní, že má
kogentní
povahu a není ustanovením, které jen návodně upřesňuje obecnou povinnost správce nebo zpracovatele s přihlédnutím k rozumným a pro konkrétní případ efektivním opatřením. Závaznost povinností podle tohoto ustanovení potvrzuje i odborná literatura.
Z § 3 odst. 6 uvedeného zákona je především zřejmé, že výjimky nezahrnují správu daní jako takovou, ale pouze určité její části. Významnějším je, že předmětné výjimky zahrnují pouze určitá výslovně uvedená ustanovení ZOOÚ, a nikoliv povinnosti podle § 13. Povinnosti stanovené v § 5 odst. 1 a § 13 citovaného zákona se týkají problematiky zpracování osobních údajů a patří mezi klíčové, což je logickým důvodem pro jejich zařazení do hlavy II. Nicméně jsou obsahově rozdílné a plnění povinnosti podle § 13 nelze chápat jako neoddělitelnou součást povinností zakotvených v § 5 odst. 1 téhož zákona. Článek 13 směrnice 95/46/ES vůbec nepřipouští výjimku z povinnosti zajistit bezpečnost zpracování podle čl. 17 téže směrnice.
Relevantní
daňové předpisy nezakotvují žádnou povinnost při zabezpečení osobních údajů korespondující s povinnostmi podle § 13 ZOOÚ. Za takovou povinnost nelze považovat povinnost mlčenlivosti ani přidělování přístupových práv úředním osobám [to koresponduje pouze s povinností dle § 13 odst. 4 písm. a) citovaného zákona]. Účelem povinnosti dle § 13 odst. 4 písm. c) uvedeného zákona je přímo identifikovat osobu, která mohla neoprávněně zpracovávat osobní údaj, a ověřit její jednání.
Nejvyšší správní soud kasační stížnost zamítl.
Z odůvodnění:
IV. Posouzení Nejvyšším správním soudem
(...) Nedůvodnou shledal Nejvyšší správní soud také námitku vynětí oblasti správy daní z povinnosti stanovené v § 13 ZOOÚ.
Podle § 3 odst. 6 téhož zákona se pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění taxativně vyjmenovaných zájmů nepoužijí
"§ 5 odst. 1 a § 11 a 12"
. V taxativním výčtu zájmů je pod písmenem f) uveden také významný finanční zájem
"České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření".
Jak je nicméně zřejmé z citované pasáže, § 3 odst. 6 citovaného zákona vyjímá správce plnící povinnosti stanovené pro zajištění vyjmenovaných zájmů explicitně pouze z působnosti § 5 odst. 1 a § 11 a § 12 téhož zákona. Takoví správci tedy nejsou vázaní pouze povinnostmi stanovenými v těchto ustanoveních. Nelze přitom přisvědčit tvrzení stěžovatele, že povinnosti dle § 13 ZOOÚ jsou součástí povinnosti dle § 5 odst. 1 ZOOÚ, zejména pod písm. b).
Podle § 5 odst. 1 uvedeného zákona je správce povinen
"a) stanovit účel, k němuž mají být osobní údaje zpracovány, b) stanovit prostředky a způsob zpracování osobních údajů, c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům, d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné, f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem souhlas, g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, h) nesdružovat osobní údaje, které byly získány k rozdílným účelům."
Podle § 13 odst. 1 citovaného zákona jsou správce a zpracovatel "povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů."
Podle § 13 odst. 2 ZOOÚ je správce nebo zpracovatel "povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy". Odstavec 3 pak stanoví správci nebo zpracovateli povinnost v rámci opatření podle odstavce 1 posuzovat rizika týkající se vyjmenovaných oblastí.
Podle § 13 odst. 4 ZOOÚ je správce nebo zpracovatel povinen v oblasti automatizovaného zpracování osobních údajů v rámci opatření podle odstavce 1 také
"a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům".
Povinnosti stanovené v § 5 odst. 1 citovaného zákona na jedné straně a § 13 téhož zákona na straně druhé jsou svou povahou zcela odlišné. Zatímco § 5 odst. 1 stanoví povinnosti při zpracování osobních údajů, § 13 povinnosti při zabezpečení osobních údajů. Posledně uvedené ustanovení tedy směřuje k zamezení neoprávněného přístupu ke zpracovávaným a zpracovaným osobním údajům (popř. jejich neoprávněné změně, zničení, ztrátě, přenosům, zpracování či jinému zneužití). Při zabezpečení osobních údajů se nejedná o zpracování ve smyslu § 4 písm. e) ZOOÚ. Ustanovení § 13 citovaného zákona tedy nelze chápat pouze jako upřesnění § 5 odst. 1 téhož zákona. Toto ustanovení přitom neobsahuje žádné srovnatelné povinnosti a plnění povinností v něm zakotvených ani jinak nezaručuje bezpečnost osobních údajů. V žádném případě pak nelze takové povinnosti podřadit pod jeho § 5 odst. 1 písm. b). Tím, že správce stanoví prostředky a způsob zpracování osobních údajů [tedy splní povinnosti dle § 5 odst. 1 písm. b) ZOOÚ], nijak neplní povinnost přijmout opatření k zabezpečení osobních údajů.
Provedený
taxativní
výčet ustanovení, která se podle § 3 odst. 6 ZOOÚ na správce ve vyjmenovaných oblastech nepoužijí, je nutno považovat za zcela jednoznačně projevenou vůli zákonodárce nevyjímat tyto správce z povinnosti dle § 13 citovaného zákona. Navíc se výjimky dle § 3 odst. 6 uvedeného zákona výslovně uplatní pouze pro zpracování osobních údajů, pod které nelze zahrnout zabezpečení osobních údajů (viz výše). Takto projevená vůle zákonodárce přitom plně koresponduje s čl. 13 odst. 1 směrnice 95/46/ES, podle něhož mohou členské státy přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, čl. 10, čl. 11 odst. 1, čl. 12 a čl. 13, pokud je to nezbytné pro zajištění vyjmenovaných zájmů.
tak členské státy nemohou učinit v případě povinnosti dle čl. 17 téže směrnice. Nemožnost rozšíření takové výjimky lze dovodit i z cíle směrnice, jak je vyjádřen například v jejím desátém bodu odůvodnění nebo čl. 1 odst. 1. Podle nich členské státy zajišťují ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů. Sblížení vnitrostátních právních předpisů použitelných v dané oblasti nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany v Evropské unii [v tomto smyslu viz také rozsudky Soudního dvora ve věcech ze dne 6. 11. 2003, Lindqvist, C-101/01, Recueil, s. I-12971, bod 95; ze dne 16. 12. 2008, Huber, C-524/06, Sb. rozh., s. I-9705, bod 50; ze dne 16. 12. 2008, Tietosuojavaltuutettu, C-73/07, Sb. rozh., s. I-9831, bod 52, a ze dne 24. 11. 2011, ASNEF, C-468/10 a C-469/10, bod 28]. Také eurokonformní výklad ZOOÚ, tj. výklad přibližující se co nejvíce obsahu a účelu směrnice, potvrzuje nutnost restriktivního posuzování výjimek dle § 3 odst. 6 citovaného zákona. Pokud by český zákonodárce vyňal správce v oblastech, které jsou v tomto ustanovení vyjmenovány, i z povinnosti stanovené v § 13 téhož zákona, překročil by své oprávnění k přijetí výjimky dle čl. 13 odst. 1 směrnice 95/46/ES. O tom, že tento článek připouští výjimky pouze z vyjmenovaných ustanovení směrnice, přitom zjevně nemá pochybnosti ani Soudní dvůr (srov. jeho rozsudek ve shora citované věci Tietosuojavaltuutettu, bod 47).
Jelikož tedy správa systému ADIS není vyňata z působnosti § 13 ZOOÚ, je zcela nadbytečné zabývat se otázkou, v jakém rozsahu spadá správa daní pod výjimku dle § 3 odst. 6 zmíněného zákona a jaký je přesný obsah pojmu "daňová opatření" dle tohoto ustanovení. V předmětné věci totiž byla stěžovateli uložena pokuta za porušení § 13 ZOOÚ, nikoliv § 5, § 11 či § 12 téhož zákona.
Další námitky stěžovatele se týkají výkladu samotných § 13 ZOOÚ a čl. 17 směrnice 95/46/ES. Především podle něj mají zpracovatel či správce povinnost podle § 13 odst. 4 písm. c) ZOOÚ pouze tehdy, je-li to proporcionální s ohledem na stav techniky, náklady na provedení opatření, přiměřenou úroveň bezpečnosti, rizika vyplývající ze zpracování údajů a povahu chráněných údajů. Ačkoliv totiž tato hlediska nebyla podle něj do citovaného zákona řádně transponována, je potřeba je zohlednit.
Podle čl. 17 odst. 1
alinea
prvá směrnice 95/46/ES
"[č]lenské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování".
Podle čl. 17 odst. 1
alinea
druhá téže směrnice
"[t]ato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny".
Jak již Soudní dvůr několikrát potvrdil, samotná směrnice 95/46/ES obsahuje pravidla vyznačující se jistou pružností a v mnoha případech ponechává na členských státech, aby upravily podrobnosti nebo si vybraly z daných možností. Je proto potřeba vždy posoudit, zda byla vnitrostátní opatření přijata a v konkrétním případě také aplikována v rámci směrnicí nastaveného prostoru pro uvážení (srov. např. výše uvedené rozsudky Soudního dvora ve věcech
Lindqvist
, body 83 až 85, a
ASNEF
, body 35-36).
Je nutno také vzít v úvahu, že čl. 17 odst. 1
alinea
druhá směrnice 95/46/ES je nejen z povahy tohoto pramene práva (viz čl. 288
alinea
třetí Smlouvy o fungování EU) ale i ze své dikce adresována samotným členským státům. Jedná se o hlediska, která musejí členské státy zohlednit při stanovení vhodných technických a organizačních opatření na ochranu osobních údajů, tj. jakýsi konkretizovaný požadavek proporcionality vnitrostátní legislativy. Jde tedy o pokyn, jakým způsobem má být směrnice v této části transponována, nikoliv o pravidlo, které by měl český zákonodárce vtělit také do vnitrostátního předpisu. V žádném případě proto z tohoto ustanovení nevyplývá povinnost členských států ponechat na zpracovatelích a správcích, jaká opatření na ochranu osobních údajů přijmou, pokud při tom řádně zohlední všechna hlediska uvedená v tomto ustanovení. Na druhou stranu směrnice nevylučuje přijetí takové úpravy, pokud je zároveň zaručeno dodržení přiměřené úrovně bezpečnosti osobních údajů. Směrnice tedy požaduje určitý minimální standard bezpečnosti osobních údajů, přičemž ponechává na členských státech, jakými konkrétními opatřeními tento standard zajistí a zda případně přistoupí k vytvoření vyššího standardu bezpečnosti osobních údajů. V tomto jsou však členské státy limitovány právě například požadavkem proporcionality dle čl. 17 odst. 1
alinea
druhá směrnice 95/46/ES.
Je proto potřeba posoudit, zda byla výše uvedená hlediska respektována při legislativním zakotvení povinností dle § 13 ZOOÚ, jakož i při jeho aplikaci v daném konkrétním případě. Samotným přijetím odpovídající právní úpravy se totiž požadavek řádné implementace směrnice nevyčerpává (srov. rozsudek Soudního dvora ze dne 11. 7. 2002,
Marks & Spencer
, C-62/00, Recueil, s. I-6325, body 27-28). Před tím je však nutno poukázat rozdílný režim § 13 odst. 1 a § 13 odst. 4 ZOOÚ.
Český zákonodárce v § 13 uvedeného zákona zvolil kombinaci obecně stanovené povinnosti přijmout opatření na ochranu osobních údajů (odst. 1) a dále, pouze pro oblast automatizovaného zpracování osobních údajů, povinnosti přijmout konkrétní opatření (odst. 4). V prvém případě je volba konkrétních opatření ponechána na správci a zpracovateli, ovšem tak, aby byl naplněn požadavek odstavce 1 - tj. aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. V případě konkrétních opatření dle odstavce 4 již tomu tak není, ta je nutno přijmout bezvýjimečně.
Odstavec 4 lze skutečně chápat jako upřesnění § 13 odst. 1 citovaného zákona, ovšem nikoliv ve smyslu demonstrativního výčtu opatření ponechaných na volbě správce nebo zpracovatele. Určitý vztah mezi dvěma ustanoveními nutně neznamená, že musejí také sdílet totožný režim. Zatímco obecně zákon požaduje dosažení určitého cíle bez ohledu na konkrétní zvolená opatření (odst. 1), ve speciálních situacích (automatizované zpracování osobních údajů) již trvá "
tak
é" na provedení konkrétních opatření (odst. 4). Obě pravidla jsou proto relativně samostatná. Z hlediska samotného odstavce 4 není rozhodné, zda a do jaké míry dochází zároveň k naplnění cíle dle odstavce 1. Jelikož je však nutno opatření dle odstavce 4 přijmout
"také"
, jejich přijetím není povinnost dle odstavce 1 dotčena. Totéž platí pro opačnou vazbu mezi oběma odstavci. Splněním povinnosti dle odstavce 1 nejsou nijak dotčeny povinnosti podle odstavce 4, neboť ty je nutno splnit
"také"
. Jakkoliv tedy odstavec 4 obsahuje opatření, která jsou svou povahou zároveň opatřeními v režimu odstavce 1 (nikoliv však nutně postačujícími), jejich přijetí zjevně není oproti obecnému pravidlu v odstavci 1 ponecháno na vůli správce nebo zpracovatele.
Opačný výklad nelze dovodit ani z novelizace § 13 ZOOÚ provedené zákonem č. 170/2007 Sb., respektive z důvodové zprávy k této novelizaci (Sněmovní tisk Poslanecké sněmovny Parlamentu České republiky v V. volebním období č. 187/0, dostupný na www.psp.cz). Na jednu stranu sice důvodová zpráva hovoří o konkretizaci opatření požadovaných již na základě odstavce 1, na druhou stranu zdůrazňuje, že nové odstavce 3 a 4 představují
"vyjádření konkrétních povinností správců a zpracovatelů"
a
"stanoví přesný obsah opatření v rámci plnění povinnosti správců (a zpracovatelů) pro zabezpečení osobních údajů".
Důvodová zpráva tedy jen potvrzuje skutečnost, že povinnost dle § 13 odst. 4 písm. c) citovaného zákona je nutno plnit bez ohledu na to, jaká další opatření podle odstavce 1 jsou správcem či zpracovatelem přijata. Stanovením konkrétní povinnosti s přesným obsahem zjevně nebylo zamýšleno ponechat na vůli správce či zpracovatele, zda danou povinnost bude plnit, či nikoliv.
Ustanovení § 13 odst. 1 a 4 ZOOÚ tedy obsahují dvě relativně samostatné povinnosti, jimiž je proveden čl. 17 odst. 1 směrnice 95/46/ES. V posuzované věci je přitom sporný soulad zákona se směrnicí pouze co do povinnosti dle § 13 odst. 4 písm. c) ZOOÚ. Konkrétně je potřeba posoudit, zda byla tato povinnost zakotvena v souladu s požadavkem proporcionality konkretizovaným v čl. 17 odst. 1
alinea
druhá směrnice 95/46/ES.
Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy (tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval) je nutno vzít v úvahu její výslovné omezení na případy automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů tímto způsobem, tedy za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití. Je tomu proto, že výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat (zejména jejich strukturované uspořádání a analýzu podle zadaných kombinací kritérií), jakož i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného. Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky, jež svojí podstatou jsou typický potenciální objekt zneužití osobních údajů v masovém měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nikterak nepřiměřené náklady. Je-li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného systému na zpracování osobních údajů další vedlejší funkci - zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Takovéto opatření má vysoký preventivní účinek proti zneužití údajů z informačního systému, neboť každý, kdo s ním oprávněně pracuje, si musí být vědom, že je možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo oprávněně. Zároveň si lze stěží představit jiné adekvátní opatření, které by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů. V případě splnění povinnosti dle § 13 odst. 4 ZOOÚ si totiž každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno. Požadavek na zaznamenávání logů proto Nejvyšší správní soud považuje ve všech případech automatizovaného zpracování osobních údajů za plně legitimní, žádoucí a s ohledem na jeho omezení pouze na případy automatizovaného zpracování také přiměřený. Povinnost dle § 13 odst. 4 citovaného zákona tedy odpovídá požadavkům čl. 17 odst. 1 směrnice 95/46/ES.
Splnění uvedené povinnosti se nelze vyhnout poukazem na dodržení podmínek § 13 odst. 1 ZOOÚ, potažmo tvrzením, že bezpečnost osobních údajů je dostatečná. Stěžovatel se proto bez dalšího nemohl zprostit odpovědnosti za nesplnění povinnosti dle § 13 odst. 4 téhož zákona tím, že přijal jiná organizační a technická opatření. To platí, i kdyby tato opatření umožňovala
"s relativně vysokou mírou pravděpodobnosti zjistit tu stejnou skutečnost"
jako opatření dle § 13 odst. 4 uvedeného zákona. Cílem tohoto opatření je totiž zjistit, kdo a kdy učinil jakou operaci s osobními údaji, víceméně s určitostí, nikoliv pouze s relativně vysokou mírou pravděpodobnosti. Jak již bylo uvedeno, tento cíl je legitimní a prostředky k němu vedoucí [opatření dle § 13 odst. 4 písm. c) zmíněného zákona] proporcionální. V žádném případě tohoto cíle nelze dosáhnout hrozbou sankce za porušení speciálně (v § 52 odst. 1 daňového řádu) upravené povinnosti mlčenlivosti úředních osob. Taková povinnost je stanovena i v § 15 ZOOÚ a nelze tvrdit, že by pouhá možnost uložení vyšší sankce v případě porušení povinnosti mlčenlivosti podle daňového řádu měla vést k vyloučení aplikace § 13 odst. 4 citovaného zákona toliko v oblasti daňové správy. Nejvyšší správní soud proto dospěl k závěru, že ani aplikací zákonné úpravy žalovaným v daném konkrétním případě nedošlo k rozporu se zněním a účelem směrnice 95/46/ES.
Jelikož tedy byl čl. 17 odst. 1 směrnice 95/46/ES řádně implementován, nelze přisvědčit ani námitce jeho přímého účinku. Otázka přímého účinku směrnice totiž vyvstává vždy až v okamžiku chybějící či špatně provedené implementace (srov. rozsudky Soudního dvora ze dne 19. 1. 1982,
Becker
, 8/81, Recueil, s. 53, bod 20; ze dne 22. 6. 1989,
Costanzo
, 103/88, Recueil, s. 1839, bod 29; ze dne 1. 6. 1999,
Kortas
, C-319/97, Recueil, s. I-3143, bod 21). Není proto vůbec namístě zkoumat další podmínky nastoupení přímého účinku směrnice, které stěžovatel považuje za naplněné.
Výše provedený výklad čl. 13 odst. 1 i čl. 17 odst. 1 směrnice 95/46/ES Nejvyšší správní soud i s ohledem na dosavadní judikaturu Soudního dvora považuje za natolik jasný, že neshledal důvod položit Soudnímu dvoru za tímto účelem předběžnou otázku (srov. rozsudek Soudního dvora ze dne 6. 10. 1982,
CILFIT
, 283/81, Recueil, s. 3415, body 10-20).