Vydání 5/2013

Číslo: 5/2013 · Ročník: XI

2811/2013

Ochrana osobních údajů: nahodilé zpracování osobních údajů; dokazování v daňovém řízení

Ochrana osobních údajů: nahodilé zpracování osobních údajů; dokazování v daňovém řízení
k § 3 odst. 4 a § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákonů č. 177/2001 Sb. a č. 439/2004 Sb.
Vyžádání konkrétní listiny obsahující osobní údaje fyzické osoby správcem daně v rámci dokazování, její založení do spisu a hodnocení jejího obsahu je nahodilým shromážděním osobních údajů, při kterém nedochází k jejich dalšímu zpracování ve smyslu zákona o ochraně osobních údajů [§ 3 odst. 4 a § 4 písm. e) zákona č. 101/2000 Sb., o ochraně osobních údajů]. Cílem takového postupu je získat a následně vyhodnotit důkazní prostředky z hlediska jejich daňové relevantnosti, nikoli získat osobní údaje pro účely jejich dalšího zpracování.
(Podle rozsudku Nejvyššího správního soudu ze dne 22. 1. 2013, čj. 9 Aps 5/2012-56)
Prejudikatura:
č. 1572/2008 Sb. NSS
Věc:
Finanční úřad pro Moravskoslezský kraj proti Úřadu pro ochranu osobních údajů o uložení pokuty, o kasační stížnosti žalobce.
Žalovaný rozhodnutím ze dne 13. 10. 2008 uložil žalobci pokutu ve výši 10 000 Kč za neposkytnutí součinnosti při kontrole ve věci zpracování osobních údajů stěžovatelem na základě incidenční kontroly. Kontrola byla zaměřena na dodržování povinností stanovených zákonem o ochraně osobních údajů, konkrétně zpracovávání osobních údajů poplatníků, jejich předávání a zpřístupňování.
Proti rozhodnutí správního orgánu I. stupně podal žalobce rozklad. Předseda žalovaného rozhodnutím ze dne 27. 1. 2009 rozklad zamítl.
Proti rozhodnutí předsedy žalovaného podal žalobce žalobu u Městského soudu v Praze. Podstatou sporu bylo posouzení otázky, zda žalovaný byl oprávněn po žalobci v rámci incidenční kontroly požadovat ze spisu daňového subjektu, akciové společnosti OSTROJ, písemnosti získané jako důkazní prostředky v rámci prováděné daňové kontroly správcem daně týkající se trestního řízení vedeného proti předsedovi představenstva této společnosti.
Městský soud ze spisu ověřil, že v oznámení o zahájení incidenční kontroly ze dne 22. 8. 2007 je uvedeno, že kontrola má být zaměřena na zpracování osobních údajů žalobcem, jejím předmětem je dodržování povinností stanovených zákonem o ochraně osobních údajů, zejména povinností stanovených v § 5 odst. 1 a § 13 uvedeného zákona. Dále je zde uvedeno, že se kontrola bude týkat zpracování osobních údajů poplatníků, jejich shromažďování a uchovávání v papírové či elektronické podobě, jejich předávání a zpřístupňování. Předmět kontroly tak byl vymezen dostatečně jasně, navíc v průběhu kontroly žalovaný své požadavky přesně specifikoval, a to dopisem ze dne 18. 12. 2007, v rámci kterého požádal o předložení kopie daňového spisu společnosti OSTROJ, resp. písemností, které se týkají trestního řízení vedeného proti předsedovi představenstva této společnosti a které se v daňovém spisu údajně nalézaly.
Námitku, dle které důvodem pro nepředložení příslušné části spisu je skutečnost, že předseda představenstva není poplatníkem žalobce, a není o něm tedy veden daňový spis, městský soud odmítl. Žalobce v rámci své činnosti shromažďuje do daňového spisu údaje a listiny týkající se konkrétních osob, a není tedy možné, aby se hájil tím, že získané údaje jsou nahodilé, že je nezpracovává, a proto je nemůže žalovanému vydat. Takový postup by umožnil finančním úřadům shromažďovat jakékoliv listiny osob odlišných od účastníka řízení bez toho, aby vůbec nějaký zákonný orgán mohl dohlížet na zákonnost jejich pořízení a dalšího nakládání s nimi. Působnost zákona o ochraně osobních údajů je vymezena charakterem osobních údajů, jakožto informací vztahujících se k fyzické osobě a nikoli procesním postavením této osoby. Žalobce musel mít pro získání a uchování údajů z trestního spisu konkrétní zákonný důvod a právě posouzení, zda byly předmětné údaje získány v souladu se zákonem o ochraně osobních údajů i v souladu s principem legality zakotveným v čl. 2 odst. 3 Ústavy, je předmětem činnosti žalovaného.
Dle městského soudu se nemohlo jednat o nahodilé shromažďování osobních údajů, pokud si žalobce v rámci plnění zákonem svěřené pravomoci přímo vyžádal určité podklady, které hodlal použít v daňovém řízení, tak jak tomu bylo pravděpodobně i v případě požadovaných údajů týkajících se trestního stíhání předsedy představenstva. Pokud totiž byla informace vyžádána a po jejím poskytnutí zařazena do spisu, což žalobce nepopírá, měl městský soud za to, že již tímto zařazením do spisu pravděpodobně došlo ke zpracování osobního údaje ve smyslu zákona o ochraně osobních údajů.
Výjimku zakotvenou v § 3 odst. 6 písm. f) zákona o ochraně osobních údajů, dle které se určitá ustanovení tohoto zákona nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění významného finančního zájmu ČR nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakožto i rozpočtová a daňová opatření, je nutno aplikovat vždy s ohledem na konkrétní situaci, nikoli na daňové řízení obecně. Tuto otázku by měl v součinnosti se žalobcem posoudit právě žalovaný.
Zákon č. 337/1992 Sb., o správě daní a poplatků (dále jen "daňový řád z roku 1992"), je sice ve vztahu k zákonu o ochraně osobních údajů zákonem speciálním, komplexní úpravu povinností při zpracovávání osobních údajů však neobsahuje.
Městský soud proto dospěl k závěru, že žalovaný je orgánem oprávněným provádět u stěžovatele kontrolní činnost, a proto byl stěžovatel povinen žalovanému poskytnout požadovaný daňový spis a kontrolní činnost nelze považovat za nezákonný zásah. Žalobu tedy rozsudkem ze dne 5. 6. 2012 zamítl.
Žalobce (stěžovatel) se kasační stížností domáhal zrušení rozsudku městského soudu. Tvrdil, že údaje týkající se předsedy představenstva, jakožto osoby odlišné od daňového subjektu, jsou údaji získanými nahodile, a protože se nejedná o zpracovávané osobní údaje, nepodléhají ochraně dle zákona o ochraně osobních údajů. Vzhledem k uvedenému představuje stále pokračující kontrola, v rámci které jsou vyžadovány pouze shora uvedené listiny, nezákonný zásah.
Shromažďováním osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů, což se však neděje v rámci důkazního řízení, a proto údaje získané v rámci dokazování nejsou shromažďováním údajů ve smyslu zákona o ochraně osobních údajů.
Stěžovatel nesouhlasil s tvrzením soudu, dle kterého se nejedná o nahodilé údaje, neboť tyto údaje stěžovatel získal na základě vyžádání. Stěžovatel vyžádáním získal důkazní prostředky, které mohly, ale také nemusely osobní údaje obsahovat. Takový postup a následné získání osobních údajů není systematickou činností, jejímž účelem by bylo získání osobního údaje pro jeho další zpracování. Obdobně není ani případné zařazení důkazního prostředku obsahujícího osobní údaje do spisu systematickou činností, kterou dochází ke zpracování tohoto údaje.
Stěžovatel tvrdil, že je státním orgánem, jehož postupy a činnosti jsou jednoznačně upraveny zákony, podle kterých jsou shromažďovány a zpracovávány jen osobní údaje místně příslušných daňových subjektů a ty také podléhají kontrole žalovaného. Jinou zákonnou pravomoc žalovaný nemá. Závěr soudu, že je to žalovaný, kdo je oprávněn posuzovat, zda byly údaje týkající se předsedy představenstva získány zákonným způsobem, je v rozporu s § 29 zákona o ochraně osobních údajů. Případná nezákonnost způsobu, kterým byly důkazy opatřeny, mohla být namítána v trestním řízení podle § 157a trestního řádu v průběhu řízení před soudem či v daňovém řízení, potažmo v řízení před správním soudem.
Stěžovatel uvedl, že práva a povinnosti při zpracování osobních údajů jsou řešeny zákonem o správě daní a poplatků komplexně s tím, že působnost Úřadu pro ochranu osobních údajů na stěžovatele dopadá toliko v rozsahu § 13 uvedeného zákona. Připuštěním možnosti hodnocení způsobu nabytí a přípustnosti důkazních prostředků z pohledu osobních údajů, které byly jejich součástí, by bylo přímým zásahem do vedení daňového řízení a tím do zákonných kompetencí správců daně.
Nejvyšší správní soud rozsudek Městského soudu v Praze zrušil a věc mu vrátil k dalšímu řízení.
Z odůvodnění:
(...) Předmětem sporu je tedy pouze otázka, zda získáním konkrétního důkazního prostředku, který obsahuje osobní údaje fyzické osoby, a to v rámci zákonem stanovené působnosti stěžovatele, došlo ke shromáždění osobních údajů ve smyslu zákona o ochraně osobních údajů, a dále zda založením takové listiny do daňového spisu dochází ke zpracování osobních údajů ve smyslu uvedeného zákona, a zda má tedy žalovaný pravomoc takový postup správce daně prověřovat z hlediska dodržování příslušných ustanovení zákona o ochraně osobních údajů, případně zda takový postup správce daně spadá pod výjimky stanovené v § 3 odst. 6 uvedeného zákona.
Smyslem zákona o ochraně osobních údajů, kterým byla do právního řádu České republiky implementována ustanovení Směrnice Evropského Parlamentu a Rady č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, je bezesporu chránit právo na soukromí občanů. Právo na respekt k soukromému životu je deklarováno v Listině základních práv a svobod (např. čl. 7 odst. 1, čl. 10, čl. 12 a čl. 13 Listiny). Ochranu soukromí nalezneme i v právu občanském. Právo na soukromí nepochybně zahrnuje také právo jednotlivce rozhodnout podle vlastního uvážení, zda, popř. v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům. Z uvedených důvodů je také základním atributem celé koncepce zákona o ochraně osobních údajů souhlas subjektu údajů se zpracováním takových údajů.
S masovým rozšířením výpočetní techniky se současně zvýšila potřeba ochrany soukromí. Na rozdíl od ručně vedených databází, souborů či seznamů, obsahujících osobní údaje, mohou totiž být z každého elektronicky vedeného informačního systému jakákoliv data poměrně rychle a jednoduše předána jinam, a to bez vědomí jejich adresátů, čímž se nepoměrně zvýšilo riziko jejich zneužití. Požadavky respektu k soukromí a jeho ochrana jsou tedy úzce navázány na rozvoj technických a technologických možností. V této souvislosti je vhodné připomenout, že zákon o ochraně osobních údajů se vztahuje jak na automatizované zpracování osobních údajů, tak na zpracovávání osobních údajů jiným způsobem, včetně způsobu manuálního.
Se žalovaným lze souhlasit v tom, že působnost zákona o ochraně osobních údajů je koncipována velmi široce a nevztahuje se pouze na fyzické a právnické osoby, které osobní údaje zpracovávají, ale zjednodušeně řečeno na všechny subjekty, které osobní údaje zpracovávají, včetně státních orgánů. Při výkonu veřejné moci však zákon sám logicky souhlas subjektů údajů se zpracováním svých údajů nevyžaduje, neboť výkon veřejné moci, v rámci kterého dochází ze zákona ke zpracování osobních údajů, nemůže být závislý na poskytnutí takového souhlasu. Jedinou plošnou výjimkou z obecné působnosti zákona jsou zpravodajské služby (§ 29 citovaného zákona). Pokud jde o negativní vymezení působnosti, nevztahuje se zákon o ochraně osobních údajů jednak na fyzické osoby, pokud se jedná o zpracování výlučně pro osobní potřebu fyzické osoby, a dále na nahodilé shromažďování osobních údajů, které nejsou dále systematicky zpracovány.
Nelze tedy konstatovat, že jakékoliv získání osobního údaje je automaticky podřazeno pod režim upravený zákonem o ochraně osobních údajů.
Zákon o ochraně osobních údajů rozumí "
shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování
" [§ 4 písm. f) zákona].
Samotná skutečnost, že si stěžovatel v rámci důkazního řízení při výkonu své činnosti vyžádal konkrétní listiny, nečiní z tohoto postupu postup, jehož cílem bylo získání osobních údajů pro jejich další zpracování ve smyslu zákona o ochraně osobních údajů. Cílem tohoto postupu bylo získat důkazní prostředky, které by mohly být rozhodné pro správné stanovení daňové povinnosti. Jinými slovy, ani vědomé vyžádání těchto listin nesledovalo získání osobního údaje. Skutečnost, že vyžádané listiny osobní údaje obsahovaly, je vedlejším, nahodilým důsledkem příslušného postupu správce daně. Ostatně takové údaje obsahuje většina smluv, účetních či daňových dokladů, jejichž kopie jsou běžně součástí daňových spisů. Považovat získání každé takové listiny obsahující osobní údaj za záměrné shromažďování osobních údajů za účelem jejich dalšího zpracování ve smyslu § 3 odst. 4 zákona o ochraně osobních údajů se kasačnímu soudu jeví jako značně extenzivní výklad.
Aby mohlo jít o zpracování osobních údajů ve smyslu uvedeného zákona, musí jít o systematickou činnost prováděnou přímo s osobními údaji. Nejčastější formou takové činnosti bude nepochybně vytvoření určitého uspořádaného souboru osobních údajů, nebo pomocí technických prostředků uspořádání docílit. Skutečnost, že důkazní prostředky jsou po jejich získání založeny do daňového spisu, tam jsou uchovávány a v rámci jednotlivých fází daňového řízení či postupů při správě daně jsou následně v různých daňových souvislostech hodnoceny, nemůže naplnit pojem zpracování ve smyslu zákona o ochraně osobních údajů. Účelem takového postupu nepochybně není žádná systematická zpracovatelská operace s osobními údaji, tak jak definuje tento pojem zákon o ochraně osobních údajů. Účelem založení důkazních prostředků do daňového spisu není evidence osobního údaje či jeho strukturované užívání, které má za cíl identifikovat konkrétní fyzickou osobu. Účelem založení takové listiny do daňového spisu je uchování této listiny pro následné hodnocení její daňové relevantnosti. Ostatně si lze jen velmi obtížně představit, že by správci daně při vyhodnocování smluv či daňových dokladů dostáli např. zákonem o ochraně osobních údajů stanovené povinnosti zpracovávat pouze přesné osobní údaje, či po zjištění, že tyto nejsou s ohledem na stanovený účel přesné, byli povinni bez zbytečného odkladu provést přiměřená opatření, zejména zpracování blokovat, osobní údaje opravit či doplnit, jinak osobní údaje zlikvidovat.
Závěr žalovaného, že každý spis vytvořený podle příslušného procesního předpisu bude představovat zpracování osobních údajů, bez ohledu na to, jakým způsobem se takový údaj stal jeho součástí, a že je to žalovaný, který kontroluje nejen soulad zpracování osobních údajů se zákonem o ochraně osobních údajů, ale také se zákony zvláštními, vede v konečném důsledku k natolik extenzivnímu výkladu pravomoci žalovaného, který má za následek porušení dělby moci uvnitř exekutivy. Každá zákonem svěřená
kompetence
by měla být vykládána spíše restriktivně než extenzivně. Účelem příslušné úpravy jistě nebylo vytvořit úřad, který by měl pravomoc hodnotit způsob, rozsah a relevantnost jednotlivých důkazů, které si různé správní orgány při výkonu své působnosti opatřují a vyhodnocují. Účelem příslušné úpravy je zabránit zneužití osobních údajů fyzických osob. Způsob, rozsah a relevantnost jednotlivých podkladů či důkazních prostředků, které správní orgány v rámci výkonu své působnosti opatřují a vyhodnocují, neupravuje zákon o ochraně osobních údajů, ale je pro jednotlivé správní orgány stanoven přímo příslušnými zákony, v rámci kterých jsou oprávněny a současně povinny při výkonu veřejné moci postupovat.
Kompetence
žalovaného je vymezena pouze zákonem o ochraně osobních údajů a žádné hodnocení podkladů či důkazních prostředků z hlediska jejich relevantnosti pro ten který úsek veřejné správy tento zákon neupravuje.
Posouzení relevantnosti získaných důkazních prostředků, případně i způsobu, jakým byly správcem daně získány, tak nepřísluší žalovanému, ale samotným správcům daně, případně správním soudům. Způsob, kterým správce daně důkazy opatřuje, jakož i jejich případná relevantnost, nepochybně podléhá soudní kontrole. Prostředkem, který má v oblasti správy daně zabránit neoprávněnému opatřování důkazních prostředků, tak disponuje samotný daňový subjekt. Ze shora provedené rekapitulace je ostatně patrno, že se ochrany před případným neoprávněným shromažďováním důkazních prostředků v daňovém spise společnost Ostroj před Nejvyšším správním soudem prostřednictvím žaloby na ochranu před nezákonným zásahem úspěšně dovolala.
V této souvislosti lze odkázat také na rozsudek Nejvyššího správního soudu ze dne 30. 1. 2008, čj. 2 Afs 24/2007-119, č. 1572/2008 Sb. NSS , ve věci
EURO PRIM spol. s r. o.
, který se zabýval relevantností listin, které byly získány správcem daně z jiných řízení a který k výkladu § 31 odst. 4 daňového řádu z roku 1992 vyslovil následující: "
Listiny, z nichž je patrný obsah výpovědí svědků z jiných řízení, mohou ovšem být za splnění určitých podmínek také podkladem pro rozhodnutí: V první řadě musí být pořízeny nezávisle na příslušném daňovém řízení (tj. zejména nesmí být v jiném řízení pořízeny účelově proto, aby se správce daně vyhnul povinnosti umožnit daňovému subjektu být přítomen výslechu svědka a klást mu otázky). Dále je třeba, aby v onom jiném řízení byly pořízeny v souladu se zákonem (tuto předběžnou otázku správce daně vyřeší podle § 28
[daňového řádu z roku 1992]
) a aby se do sféry správce daně dostaly zákonným způsobem (nelze tedy například jako důkazu užít listiny, jež byla součástí spisu, k jehož obsahu správce daně z těch či oněch důvodů neměl podle zákona přístup). Konečně musí být uvedené listiny daňovému subjektu zpřístupněny, aby se mohl seznámit s jejich obsahem a případně navrhnout další důkazy, které by zjištění vyplývající z dotyčných listin upřesnily, korigovaly či vyvrátily
".
Závěry, ke kterým v projednávané věci kasační soud dospěl, neznamenají, že by správci daně byli z působnosti zákona o ochraně osobních údajů absolutně vyjmuti. Stěžovatel se mýlí, domnívá-li se, že zákon o ochraně osobních údajů dopadá pouze na ty případy, kdy jsou systematicky zpracovávány osobní údaje místně příslušných daňových subjektů. Naopak, všude tam, kde správce daně systematicky pracuje s osobními údaji jakýchkoliv fyzických osob, tj. vytváří různé evidence subjektů, seznamy konkrétně vybraných fyzických osob, např. dlužníků, či "
daňově nespolehlivých subjektů
", či jakékoliv soubory, ve kterých jsou osobní údaje správcem daně systematicky členěny či tříděny, půjde o zpracování osobních údajů ve smyslu zákona o ochraně osobních údajů. Stejně tak se bude zákon na ochranu osobních údajů vztahovat na situace, kdy správci daně poskytují systematicky členěné osobní údaje získané v daňovém řízení jiným orgánům veřejné správy.
S ohledem na skutečnost, že kasační soud dospěl k závěru, že ani vyžádání konkrétní listiny obsahující osobní údaje správcem daně v rámci dokazování, ani její založení do spisu či hodnocení její daňové relevantnosti, nečiní z tohoto postupu shromažďování či zpracování osobních údajů ve smyslu zákona o ochraně osobních údajů, nezabýval se již kasační námitkou týkající se aplikace výjimky stanovené v § 3 odst. 6 zákona o ochraně o osobních údajů. Tato výjimka je totiž
relevantní
pouze ve vztahu k té činnosti správce daně, která do působnosti tohoto zákona naopak patří.

Zasílání aktuálního vydání na e-mail


Zadejte Vaši e-mailovou adresu a budeme Vám nové vydání zasílat automaticky.