Správní řízení: zablokování konkrétní elektronické adresy pro doručování za účelem ochrany podatelny
k § 4 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
Zablokování určité IP adresy prostřednictvím jejího zařazení na tzv. blacklist poskytovatelem služeb v oblasti kybernetické bezpečnosti za účelem ochrany elektronické podatelny správního orgánu (§ 4 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů) není nezákonným zásahem do práv podatele, ledaže správní orgán zablokoval IP adresu svévolně.
(Podle rozsudku Nejvyššího správního soudu ze dne 6. 3. 2019, čj. 2 As 153/2018-31)
Věc:
Petr B. proti Městskému úřadu Domažlice o ochranu před nezákonným zásahem, o kasační stížnosti žalobce.
Žalobou na ochranu před nezákonnými zásahy žalovaného se u Krajského soudu v Plzni domáhal žalobce mimo jiné vydání rozhodnutí, že zásah žalovaného spočívající v zařazení IP adresy 78.X.X.X na
blacklist
a v její vedení na
blacklistu
v rámci spamového filtru jeho elektronické podatelny je nezákonný.
Krajský soud podanou žalobu usnesením ze dne 28. 2. 2017, čj. 57 A 118/2016-21, odmítl, neboť žalobce nebyl jednáním žalovaného přímo dotčen na svých právech, navíc se měl domáhat obrany prostřednictvím žaloby na ochranu před nečinností správního orgánu. Toto usnesení krajského soudu zrušil Nejvyšší správní soud rozsudkem ze dne 17. 1. 2018, čj. 2 As 129/2017-57. Uvedl, že zmocněnec vystupuje ve správním řízení jménem zastoupeného, čili z úkonů zástupce vznikají práva a povinnosti přímo zastoupenému, pročež dotčen na svých právech mohl být naopak pouze žalobce, nikoliv jeho zmocněnec. Krajský soud měl taktéž posoudit, zdali vůbec bylo odvolací řízení zahájeno, či nikoliv, tedy jestli bylo namístě proti jednání žalovaného brojit žalobou proti nečinnosti správního orgánu nebo žalobou na ochranu před nezákonným zásahem. Nejvyšší správní soud tak ve smyslu § 110 odst. 4 s. ř. s. zavázal krajský soud, aby v dalším řízení znovu posoudil aktivní procesní legitimaci žalobce a řádně se zabýval meritem věci, především otázkou zahájení odvolacího řízení.
Rozsudkem ze dne 20. 3. 2018, čj. 57 A 118/2016-69 (dále též „napadený rozsudek“), krajský soud žalobu zamítl. Konstatoval, že Nejvyšším správním soudem akcentovaná otázka, tj. zda bylo vůbec zahájeno odvolací řízení, již byla v mezidobí vyřešena rozsudkem Nejvyššího správního soudu ze dne 29. 11. 2017, čj. 1 As 214/2017-32, který se týkal totožné věci a týchž účastníků řízení. Na základě obsáhlé citace tohoto rozhodnutí pak krajský soud shrnul, že odvolání nebylo správnímu orgánu doručeno, proto nebylo odvolací řízení vůbec zahájeno. Žalovaný se nezákonného zásahu nedopustil blokací předmětné IP adresy, neboť správní orgán je z důvodu zabezpečení fungování své elektronické podatelny oprávněn využít služeb společnosti, která poskytuje bezpečnostní produkty v této oblasti, z nichž jedním je též
blacklist
potenciálně nebezpečných blokovaných adres, přičemž v daném případě krajský soud neshledal, že by došlo ke zneužití tohoto práva.
Proti rozsudku krajského soudu podal žalobce (stěžovatel) kasační stížnost, ve které navrhl napadený rozsudek zrušit a věc vrátit krajskému soudu k dalšímu řízení. Stěžovatel měl za to, že názor krajského soudu (založený na rozsudku Nejvyššího správního soudu ze dne 29. 11. 2017, čj. 1 As 214/2017-32) představuje nesprávné posouzení právní otázky. Připustil sice, že Nejvyšší správní soud svůj názor v této věci již vyjádřil, podle stěžovatele však existuje i opačná
judikatura
, při hlubším zamyšlení jsou navíc některé názory Nejvyššího správního soudu protichůdné, resp. ve skutečnosti svědčící v jeho prospěch. Stěžovatel proto navrhl, aby byla věc postoupena rozšířenému senátu k definitivnímu vyjasnění předmětné právní otázky.
Stěžovatel se bránil proti právnímu názoru, že za účelem zabezpečení podatelny proti příjmu nevyžádaných obchodních sdělení je správní orgán oprávněn využít služeb třetí společnosti. Považoval jej za nezákonný, neboť právní předpis stanoví správnímu orgánu povinnost zřídit elektronickou podatelnu a přijímat elektronická podání, ovšem ve skutečnosti o tom, která e-mailová podání budou skutečně přijata, rozhoduje státem neaprobovaná společnost na základě neprůhledných kritérií. Právní předpis dle stěžovatele nedává správnímu orgánu právo zabezpečit svou podatelnu před příjmem obchodních sdělení, nýbrž pouze před příjmem škodlivých zpráv (e-mailů obsahujících viry), k čemuž však slouží antivirový program kontrolující každou zprávu individuálně. Tímto postupem by navíc správní orgán pouze obcházel své povinnosti a s poukazem na třetí osobu, jejíchž služeb využívá, by se zbavoval povinnosti přijímat elektronická podání. Nejvyšší správní soud totiž v rozsudku ze dne 15. 12. 2015, čj. 9 As 223/2015-35, č. 3351/2016 Sb. NSS, zaujal názor, že v situaci, kdy správní orgán zprávu přijme, avšak vyhodnotí ji jako nevyžádané obchodní sdělení, a proto ji (automatizovaně) přesune do složky spamu a dále se jí nevěnuje, je nutné v případě zpochybnění takového postupu, aby správní orgán prokázal, že se skutečně o spam jednalo; v opačném případě je nezbytné ke zprávě přihlížet tak, jako by byla řádně doručena. Pokud ovšem správní orgán provede „
trik
“ a k posouzení toho, zda se jedná o spam, využije namísto svého vlastního spam filtru produkt externí společnosti, je již dle prvním senátem Nejvyššího správního soudu zaujatého právního názoru nerozhodné, zda zpráva fakticky byla, či nebyla spamem, správní orgán ji totiž jednoduše může ignorovat, což je zcela
absurdní
závěr. Jestliže správní orgán zvolí spolupráci se společností, která za spam vyhodnocuje úřední podání, pak nelze jinak než tuto skutečnost přičítat k tíži správního orgánu, neboť je zjevné, že svůj spamový filtr nastavil špatně. Dle stěžovatele nemůže obstát ani argumentace, že si měl sám hlídat doručenou poštu, zda správní orgán potvrdil přijetí jeho zprávy, nebo jestli náhodou jeho zprávu z neznámých důvodů neodmítl zpracovat, neboť stěžovatel má právo činit podání elektronicky, ovšem správní orgán nemá právo takové podání svévolně odmítat. Za řádně učiněné podání je proto třeba považovat takový e-mail, který se dostane do dispozice správního orgánu, nikoliv ten, jehož přijetí správní orgán potvrdí.
Žalovaný ve svém vyjádření ke kasační stížnosti uvedl, že za státem garantované elektronické doručování lze považovat pouze systém datových schránek, jehož provoz je regulován zákonnou úpravou. Běžná internetová komunikace však probíhá na základě obchodních vztahů mezi uživateli a poskytovateli různých internetových služeb, přičemž jejich zřízení a používání, stejně jako přístupnost či ochrana, je záležitostí obchodních podmínek těchto smluvních stran. Nelze tak požadovat po orgánu veřejné správy, aby vstupoval do jejich smluvních vztahů, řešil smluvní podmínky jednotlivých poskytovatelů či ponechal svoji činnost bez ochrany proti bezpečnostním rizikům. Dle žalovaného je totiž zařazování do
blacklistů
záležitostí smluvních podmínek uživatele a poskytovatele internetových služeb. Skutečnost, že celý server poskytovatele internetových služeb stěžovatele byl vyhodnocen jako bezpečnostní riziko renomovanými společnostmi zabývajícími se touto problematikou, jistě nebyla z bezpečnostního hlediska nedůvodná. Je na rozhodnutí stěžovatele, jaký soukromý subjekt poskytovatele takových služeb ke své činnosti využije. Žalovaný taktéž poukázal na to, že je nejenom oprávněn, ale jednoznačně i povinen zabezpečit své systémy proti bezpečnostním rizikům, a to v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „zákon o kybernetické bezpečnosti“), a vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „vyhláška o kybernetické bezpečnosti“). Žalovaný dále poukázal na zákonná ustanovení upravující v případě žádosti doručování na elektronickou adresu účastníkům správních řízení (viz § 19 odst. 4, 9 a 10 správního řádu), z nichž plyne, že zákonodárce připustil jistou chybovost a s tím související neprůkaznost doručování pomocí veřejné datové sítě, a proto osvědčení doručení upravil výslovným potvrzením o převzetí písemnosti, přičemž analogicky je tato povinnost dána orgánu provozujícímu elektronickou podatelnu. V projednávaném případě však písemnost na adresu elektronické podatelny nebyla doručena a samotným provozovatelem internetového připojení stěžovatele bylo oznámeno, že k úspěšnému doručení nedošlo. Podstatná je skutečnost, že stěžovatel obdržel informaci o tom, že písemnost nebyla doručena, a neučinil nic pro to, aby ji doručil jiným způsobem, pročež je žalovaný přesvědčen, že stěžovatel se cestou kasační stížnosti pouze snaží napravit své dřívější pochybení.
Nejvyšší správní soud kasační stížnost zamítl.
Z odůvodnění:
[13] Nejvyšší správní soud již rozhodoval o kasační stížnosti téhož stěžovatele brojící proti rozsudku krajského soudu ze dne 26. 4. 2017, čj. 30 A 3/2017-33, kterým byla zamítnuta jeho žaloba proti nečinnosti správního orgánu, jíž se domáhal uložení povinnosti Krajskému úřadu Plzeňského kraje rozhodnout ve správním řízení o podaném odvolání; toto podání je přitom předmětem i v nyní projednávané věci. Nejvyšší správní soud v rozsudku ze dne 29. 11. 2017, čj. 1 As 214/2017-32, konstatoval, že „
spornou otázkou je zde skutečnost, zda správnímu orgánu bylo doručeno podání zástupce stěžovatele, které odeslal e-mailem z IP adresy serveru, kterou společnost Fortinet, Inc. zařadila na tzv.
‚blacklist‘
potenciálně nebezpečných IP adres a z toho důvodu byl příjem emailů z takové adresy blokován.
[…]
Po správním orgánu není možné požadovat, aby nechal svou elektronickou podatelnu nezabezpečenou proti jakýmkoliv možným e-mailovým útokům či zahlcení nevyžádanou poštou. Správní orgán je naopak povinen zabezpečit fungování své elektronické podatelny a z toho důvodu je zřejmé, že přistoupí k použití jistých bezpečnostních opatření – v současném případě např. využití služeb společnosti, která poskytuje bezpečnostní produkty v této oblasti, z nichž jedním je též
blacklist
potenciálně nebezpečných blokovaných adres.
[…]
Nejvyšší správní soud se též ztotožňuje se závěrem krajského soudu, že z pravidel pro doručování prostřednictvím emailu by bylo možno připustit výjimky jen v případech zvláštního zřetele hodných, např. při zjevně svévolném nastavení spamového filtru či
blacklistu
správním orgánem. V případě, že by správní orgán blokoval podání z různých emailových adres zjevně za účelem vyhnout se příjmu podání, jednalo by se o zneužití jeho pravomoci. V nynějším případě se však o takovou možnost nejedná, neboť z odborného vyjádření vedoucího IT oddělení správního orgánu vyplývá, že IP adresa 78.X.X.X byla na FortiGuard
blacklistu
ještě dne 31. 10. 2016 a FortiGuard
blacklist
nebyl jediným světovým
blacklistem
, na kterém se nacházela
. […]“ (…)
[15] Stěžovatel tvrdí, že v projednávané věci je nepochybné, že předmětné podání se dostalo do dispozice správního orgánu, neboť to byl výlučně správní orgán, který způsobem nastavení své elektronické podatelny rozhodoval o tom, zda zprávu zpracuje, či její přijetí odmítne. S tímto názorem Nejvyšší správní soud nesouhlasí, neboť z jeho ustálené judikatury plyne, že elektronická zpráva se považuje za doručenou teprve tehdy, pokud je dostupná elektronické podatelně, tedy na rozdíl od poštovních zásilek není rozhodné její odeslání, ale doručení správnímu orgánu (srov. rozsudek Nejvyššího správního soudu ze dne 11. 6. 2015, čj. 7 Azs 113/2015-34). Co se týče námitky stěžovatele, že k zabezpečení elektronické podatelny má sloužit antivirový program, a nikoliv spamový filtr, případně že přiměřeným zabezpečením může být zablokování pouze konkrétní e-mailové adresy, přičemž ale žádné opatření nesmí být k újmě podatelů, Nejvyšší správní soud uvádí, že je na správním orgánu, jaký bezpečnostní produkt pro ochranu své elektronické podatelny si zvolí, pakliže není zjevně nepřiměřený či není využíván za účelem zneužití práva čili cíleného odmítání zpráv od určitých podatelů. Stěžovatel taktéž tvrdí, že za účelem zabezpečení elektronické podatelny proti příjmu nevyžádaných obchodních sdělení není správní orgán oprávněn využít služeb třetí společnosti. Nejvyšší správní soud s tímto názorem nesouhlasí, neboť považuje za technicky nereálné, aby správní orgán sám bez využití služeb externích profesionálů v tomto oboru zabezpečil své systémy proti bezpečnostním rizikům v souladu se zákonem o kybernetické bezpečnosti a s vyhláškou o kybernetické bezpečnosti, přičemž nemá za to, že by jediným dovoleným produktem měl být pouze antivirový program. V případě
black listu
jakožto jednoho z možných bezpečnostních produktů na ochranu elektronické podatelny správního orgánu je třeba konstatovat, že se jedná v kombinaci s dalšími produkty o vhodný nástroj, který proporcionálně směřuje k legitimnímu cíli a jeho užití samo o sobě bez dalšího není nezákonné. Ve věci stěžovatele je třeba zdůraznit, že jeho zmocněnci obratem po pokusu o odeslání podání přišlo sdělení, že zpráva nebyla doručena, tudíž zvolenému bezpečnostnímu nástroji nelze vytýkat, že by ponechával odesílatele v nejistotě, jestli jeho podání bylo učiněno, či nikoliv. Stěžovatel má sice pravdu, že jistě není jeho povinností si hlídat svou doručenou poštu, zdali mu nebylo sděleno, že se doručení odesílané zprávy nezdařilo; stejně tak je však třeba odkázat na ustálenou judikaturu, že je odpovědností účastníka řízení, jaké komunikační prostředky včetně
akceptace
rozdílů, které z jejich povahy plynou, zvolí (podpůrně srov. rozsudky Nejvyššího správního soudu ze dne 28. 7. 2008, čj. 8 Afs 55/2008-70, ze dne 4. 9. 2015, čj. 8 As 6/2015-37, ze dne 15. 9. 2015, čj. 8 As 57/2015-46). Jestliže se tedy stěžovatelův zmocněnec nechtěl zajímat o další „
osud
“ odesílané zprávy a ověřit si potvrzení ze strany správního orgánu o jejím doručení, čímž by zjistil i informaci o nemožnosti jejího odeslání, pak měl zvolit některý z komunikačních prostředků (datovou zprávu či poskytovatele poštovních služeb), který mu garantuje jistotu úspěšného doručení i bez další činnosti z jeho strany po odeslání předmětné zprávy.
[16] Nejvyšší správní soud se přiklonil k právnímu názoru již dříve vyslovenému v rozsudku čj. 1 As 214/2017-32, v jehož mezích rozhodl v této věci krajský soud. Uzavírá proto, že zablokování určité IP adresy prostřednictvím jejího zařazení na
blacklist
poskytovatelem služeb v oblasti kybernetické bezpečnosti za účelem ochrany elektronické podatelny správního orgánu není nezákonným zásahem do práv stěžovatele. Je třeba dále zdůraznit, že v tamní věci bylo Nejvyšším správním soudem již s konečnou platností vysloveno, že stěžovatel nepodal v zákonné lhůtě odvolání proti prvostupňovému rozhodnutí, a že žalovaný proto žádné takové odvolání nemůže projednat, z čehož plyne, že na správním rozhodnutí byla vyznačena právní moc v souladu se zjištěnými skutečnostmi i se zákonem. Mimo to je třeba poukázat na skutečnost, že neprojednání odvolání je důvodem k nečinnostní žalobě, která také byla podána a projednána (viz rozsudek čj. 1 As 214/2017-32). Nejvyšší správní soud zde vážil, zda v případě žalobního návrhu ad VI., který parafrázuje nečinnostní žalobu, neměl krajský soud v této části žalobu odmítnout, a případně zda tak nemá učinit Nejvyšší správní soud postupem podle § 110 odst. 1, věta prvá za středníkem s. ř. s. Dospěl k závěru, že při složitosti a provázanosti žalobního návrhu lze akceptovat věcné projednání žaloby jako celku. (…)
[17] Žalovanému rovněž nemohla být uložena povinnost, aby se zdržel vedení citované IP adresy stěžovatelova zástupce na
blacklistu
. Ostatně stěžovatel nekonkretizoval, jaké dotčení z vedení dané IP adresy na
blacklistu
pro něho do budoucna plyne; těžko takové dotčení lze shledat v tom, že by v případném dalším stěžovatelově řízení vedeném u téhož správního orgánu, pokud by byl zastoupen týmž zástupcem, bylo tomuto zástupci třeba umožnit, aby komunikoval právě z této IP adresy. S ohledem na osobu stěžovatelova zástupce, tomuto soudu dostatečně známou z jiných řízení, lze spíše konstatovat, že způsob komunikace vedený v této věci, kdy je určitým způsobem s úřadem komunikováno, načež je odvolání odesláno z dané IP adresy, aniž je reagováno na zprávu o nedoručení, a následně jsou podány soudní žaloby, je součástí jím běžně užívaných obstrukcí při zastupování pachatelů dopravních přestupků a testováním jejich průchodnosti v soudním řízení. Volba zástupce je ovšem věcí stěžovatele (k tomu srovnej rozsudek rozšířeného senátu tohoto soudu ze dne 18. 12. 2018, čj. 4 As 113/2018-39, č. 3836/2019 Sb. NSS, odst. 37). Nejvyšší správní soud konstatuje, že nepřicházelo v úvahu vyhovět žalobnímu návrhu ve všech jeho bodech a napadený rozsudek krajského soudu pohledem kasačních námitek plně obstál jako zákonný.