č. j. 3 As 21/2005-105

ČESKÁ REPUBLIKA

ROZSUDEK JMÉNEM REPUBLIKY

Nejvyšší správní soud rozhodl v senátě složeném z předsedy senátu JUDr. Jaroslava Vlašína a soudců JUDr. Milana Kamlacha a JUDr. Marie Součkové v právní věci žalobkyně K., a.s., zast. JUDr. Tomášem Prokopcem, advokátem se sídlem Praha 1, Štěpánská 20, proti žalovanému Úřadu pro ochranu osobních údajů, sídlem Praha 7, Pplk. Sochora 27, o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze č. j. 10 Ca 118/2003-61 ze dne 14. 10. 2004,

takto:

I. Kasační stížnost s e z a m í t á .

II. Žalovanému s e n e p ř i z n á v á náhrada nákladů řízení o kasační stížnosti.

Odůvodnění: Včas podanou kasační stížností napadla žalobkyně (dále též stěžovatelka ) v záhlaví uvedený rozsudek Městského soudu v Praze, kterým byla zamítnuta její žaloba proti rozhodnutí žalovaného č. j. 3047/767/02-SP/R1 ze dne 13. 11. 2002. Předseda Úřadu pro ochranu osobních údajů jím zamítl rozklad žalobkyně proti rozhodnutí Úřadu pro ochranu osobních údajů (dále jen Úřad ) č. j. 86/02148/INSP/6 ze dne 19. 6. 2002 a napadené rozhodnutí potvrdil. Prvoinstančním rozhodnutím Úřadu byla žalobkyni uložena pokuta ve výši 3 000 000 Kč za porušení právní povinnosti uvedené v ust. § 13 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen zákon ), jehož se měla dopustit tím, že minimálně ještě ke dni 23. 1. 2001 nepřijala všechna potřebná opatření, aby nemohlo dojít k neoprávněnému přístupu, neoprávněnému zpracování či jinému zneužití osobních údajů jejích klientů. V důsledku uvedeného porušení právní povinnosti došlo v časovém rozmezí od 20. 1. 2001 do 23. 1. 2001 k neoprávněnému přístupu a k odcizení záznamového média, obsahujícího významné množství osobních údajů klientů K., a.s., čímž osobní údaje klientů byly vystaveny nebezpečí jejich neoprávněného zpracování či jiného zneužití.

Městský soud v Praze se ztotožnil se závěrem správních orgánů, že žalobce nedostál povinnosti uložené mu ustanovením § 13 zákona, a to jednáním v úplnosti a v konkrétu popsaným v odůvodnění obou rozhodnutí. Tato zjištění ostatně žalobce ani nijak nenapadl. Namítá-li, že žalovaný nebyl oprávněn k uložení pokuty s odkazem na ust. § 47 odst. 2 a 3 zákona, přisvědčil Městský soud v Praze názoru správních orgánů, že je zde v obsahové náplni zákonných pojmů zpracování a zabezpečení rozdíl, jakož i závěru, že vyvození sankce za porušení povinností stanovených zákonem bylo po dobu vymezenou v přechodných ustanoveních vyloučeno výslovně pouze v případech, kdy správce nebo zpracovatel neuvedl do souladu s novou právní úpravou vlastní zpracování osobních údajů, tj. nesplnil povinnosti stanovené novou úpravou pro toto zpracování oproti právní úpravě původní. Povinnost dle § 13 zákona byla zákonem stanovena od 1. 6. 2000 a její porušení bylo proto od tohoto data podle ust. § 46 odst. 1 zákona pod hrozbou sankce. Pravomoc Úřadu uložit za nesplnění povinností stanovených zákonem pokutu je dána výslovně a v daném případě není dotčena shora uvedenou výjimkou. Namítá-li přesto žalobce, že k porušení povinnosti nemohlo dojít, neboť zákon nestanoví, jaká konkrétní opatření měla být učiněna, doplnil Městský soud v Praze nad argumentaci uvedenou v odůvodnění žalobou napadeného rozhodnutí, že rámec pro řádné plnění této povinnosti musí vymezit sám zpracovatel či správce podle prostředků a způsobů zpracování a zajistit jej odpovídajícím způsobem finančně, technicky i organizačně. Dle názoru soudu existuje v oblasti bezpečnostních opatření k ochraně majetku obecně a při nakládání s osobními údaji, resp. jejich ochraně zvláště, určitý soubor bezpečnostních opatření považovaný za standard, aniž by musel být v zákoně výslovně vymezen. Jako nedůvodnou posoudil Městský soud v Praze rovněž námitku vytýkající napadenému rozhodnutí nedostatek posouzení výše sankce ve smyslu ust. § 46 odst. 5 zákona. S ohledem na výčet skutečností svědčících jak ve prospěch, tak v neprospěch žalobce neshledal soud sankci v dolní třetině zákonné sazby zjevně nepřiměřenou. Podle soudu také ze spisu nesporně vyplývá, že žalobce nebyl zkrácen v právu na řádný proces a na svou obhajobu tím, že jeho zástupci nebylo umožněno nahlédnout do spisu v den tvrzený v žalobě, tj. 2. 5. 2002. Řízení bylo zahájeno oznámením doručeným dne 17. 4. 2002, žádosti o prodloužení lhůty ze dne 26. 4. 2002 bylo vyhověno a současně byla stanovena lhůta k vyjádření do 17. 5. 2002. Z protokolu o jednání ze dne 5. 6. 2002 vyplývá, že práva nahlédnout do spisu bylo následně využito, že žalobce podal vyjádření k zahájenému řízení a mohl se do doby vydání rozhodnutí správního orgánu I. stupně vyjádřit ke všem podkladům a zjištěním Úřadu, jakož i že tak učinil. Důvodnou nakonec soud neshledal ani námitku podjatosti pracovníka správního úřadu. Důvody vyloučení pracovníka přesně vymezuje zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění pozdějších předpisů (dále jen správní řád ). Poměr k věci, k účastníkům nebo zástupcům nebyl v daném případě zjištěn a není ani ve smyslu ust. § 9 správního řádu namítán. Předseda Úřadu pak ani vyloučen být nemůže, neboť jako vedoucí ústředního orgánu státní správy má obdobné postavení jako ministr a není tak dle judikatury Nejvyššího správního soudu pracovníkem správního orgánu. Samotná okolnost, že předseda Úřadu podal veřejnoprávnímu médiu obecnou informaci o zákonem předpokládaném postupu Úřadu v dané věci nakonec není v rozporu se zákonem. Vhodnost podávání této informace před tím, než uplyne dotčenému účastníkovi lhůta k vyjádření, je pak podle názoru soudu otázkou profesionálního postoje a přístupu. Podání obecné informace o tom, jaké řízení probíhá, podle jakého předpisu, že se provádí zjišťování, resp. že je Úřad, pakliže zjistí porušení zákona, povinen (nikoli pouze oprávněn) uložit sankci, předpokládá konečně i zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Z uvedených důvodů Městský soud v

Praze žalobu podle ust. § 78 odst. 7 zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů (dále jen s. ř. s. ) jako nedůvodnou zamítl.

Podanou kasační stížností napadla stěžovatelka rozsudek Městského soudu v Praze z důvodu podle ust. § 103 odst. 1 písm. a) s. ř. s., tedy pro nezákonnost spočívající v nesprávném posouzení právní otázky soudem. Městský soud v Praze se podle jejího názoru nedostatečně vypořádal s otázkou dopadu ust. § 47 odst. 2 zákona na daný případ, a to přesto, že se jedná o jádro předmětného sporu. Stěžovatelka dále cituje ust. § 13, § 47 odst. 2, 3 a § 46 odst. 1 zákona. Z těchto podle ní jasně vyplývá, že neuvedl-li správce či zpracovatel osobních údajů, který prováděl zpracování osobních údajů před účinností zákona, toto do souladu se zákonem do 31. 12. 2001, nemohl být za takovéto jednání sankcionován, a to až do 31. 12. 2002. Podle stěžovatelky se jedná o klasický model zmírnění dopadů nové právní úpravy na správce a zpracovatele osobních údajů, kterým zákonodárce umožnil, aby mohlo být ve stanovené lhůtě učiněno zadost všem povinnostem novou právní úpravou uloženým. Za situace, kdy Úřad dospěl ke zjištění o údajném porušení § 13 zákona až v kontrolním protokole ze dne 31. 8. 2001, má stěžovatelka za to, že i v případě, pokud by k uvedenému porušení skutečně došlo, nebyl Úřad oprávněn pokutu uložit, neboť v té době již byla novela zákona č. 177/2001 Sb. více než tři měsíce účinná. Stěžovatelka nesouhlasí dále se závěrem soudu, podle kterého vyvození sankce za porušení povinností stanovených zákonem bylo po dobu vymezenou v přechodných ustanoveních výslovně vyloučeno pouze v těch případech, kdy správce (zpracovatel) neuvedl do souladu s novou úpravou vlastní zpracování osobních údajů, tj. nesplnil povinnosti novou úpravou pro toto zpracování stanovené oproti původní právní úpravě. Uvedený výklad považuje stěžovatelka za účelový, resp. odporující základním právním zásadám právního řádu České republiky, konkrétně zákazu retroaktivity zákona. Takový postup by umožnil ukládat sankce za nesplnění povinností stanovených zákonem č. 256/1992 Sb. poté, co byl tento zrušen zákonem č. 101/2000 Sb. Podle stěžovatelky však není přípustné, aby za porušení povinností stanovených již derogovanou právní úpravou byly ukládány sankce podle úpravy nové. Za nesprávný považuje stěžovatelka rovněž názor soudu, podle něhož existují určité standardy bezpečnostních opatření, které lze realizovat, aniž by musely být výslovně stanoveny zákonem. Uvedený závěr je podle stěžovatelky protiústavní, neboť státní orgány nemohou nutit stěžovatelku činit, co zákon neukládá, resp. jí za toto následně ukládat sankce. Soud také nepřihlédl ke skutečnosti, že stěžovatelka byla v dobré víře, že splnila povinnosti uložené jí ustanovením § 13 zákona tím, že zajistila střežení objektu agenturou A.S.S. a přijala další bezpečnostní opatření, což soudu také doložila. Namítá proto neúměrnost výše uložené pokuty a opakuje, že byla zkrácena na svých procesních právech tím, že jejímu právnímu zástupci nebylo umožněno nahlédnout do spisu a seznámit se s důkazními prostředky, jakož i že ve věci rozhodovali podjatí pracovníci Úřadu.

Žalovaný ve svém vyjádření ke kasační stížnosti ze dne 28. 2. 2005 mimo jiné uvádí, že opatření pro přechodné období (§ 47 odst. 2 a 3 zákona) bylo zřejmě přijato proto, aby umožnilo správcům a zpracovatelům dat uvést svou dosavadní praxi do souladu s novým zákonem, tzn. vytvořit časové podmínky pro zavedení nové legislativní úpravy, nikoliv za účelem prolomení podmínek ochrany osobních údajů do té doby předchozím zákonem upravené. Tzv. ochranná lhůta tedy jistě nepředstavuje obecný zákaz použití pokut ve stanoveném období. V dalším zejména odkazuje na obsah svého vyjádření k žalobě a na odůvodnění rozhodnutí předsedy Úřadu v dané věci.

Ze správního spisu zjistil Nejvyšší správní soud tyto pro posouzení věci rozhodné skutečnosti: Dne 19. 6. 2002 vydal Úřad pro ochranu osobních údajů na základě kontrol provedených ve dnech 28. 5. 2001 až 20. 6. 2001 a 1. 8. 2001 a z nich vyplynuvšího protokolu ze dne 31. 8. 2001 rozhodnutí, jímž za porušení povinnosti uvedené v § 13 zákona č. 101/2000 Sb. ve smyslu ust. 46 odst. 1 tohoto zákona v tehdy platném znění uložil stěžovatelce pokutu ve výši 3 000 000 Kč. Vzhledem k tomu, že od doby ztráty záznamového média do zahájení kontroly uskutečnila stěžovatelka množství organizačně technických opatření vedoucích ke zlepšení zabezpečení informačního systému, neodpovídala jeho úroveň stavu zabezpečení v době ztráty. Úřad proto při posuzování skutkového stavu vycházel i ze skutečností zjištěných v odpovídající době Policií ČR. Pracovníci Služby kriminální policie zjistili, že klíče od místnosti, z níž bylo zařízení odcizeno, vlastnilo osm osob a správce. Ke klíčům správce byl volný přístup prostřednictvím vrátného. Místnost nebyla nijak zabezpečena. K celkové ostraze budovy bylo zjištěno, že tato sice byla střežena agenturou K.S.S ., leč ze strany této agentury nebyla prováděna žádná kontrola či ztotožnění osob, které vcházely nebo vycházely z budovy. Policií vyslechnutí pracovníci stěžovatelky pak shodně uvedli, že do místnosti, kde bylo záznamové zařízení, se vstupovalo dle potřeby, o vstupech se nevedly žádné záznamy. Vést takové záznamy neukládalo pracovníkům Odboru informačních systémů stěžovatelky ani rozhodnutí ředitele K. ze dne 8. 9. 1997 ( Zajištění ochrany majetku a. s. K. ), ani pokyn ze dne 10. 1. 2000 Zálohování a ochrana dat . Tento upravoval ochranu dat pouze z hlediska přístupových práv uživatelů a technický způsob zálohování dat; zabezpečení z hlediska ust. § 13 zákona neřešil a neukládal v tomto ohledu zaměstnancům stěžovatelky žádné povinnosti. K námitce, že není možno před datem 31. 12. 2002 užít ust. § 46 odst. 1 z důvodů podle ust. § 47 odst. 2 a 3 Úřad uvedl, že posléze uvedená ustanovení na danou věc nedopadají, neboť bezpečnostní opatření, zejména jejich organizačně technickou část, nelze považovat za zpracování osobních údajů ve smyslu ust. § 4 písm. e) zákona.

Podaný rozklad proti rozhodnutí Úřadu jeho předseda zamítl a napadené rozhodnutí potvrdil. Po posouzení průběhu správního řízení v prvním stupni v celém rozsahu, zhodnocení důkazů z hlediska materiální pravdy a souladu se zákonem, dospěl totiž k závěru, že správní orgán I. stupně ve svém rozhodování nepochybil, že došlo k porušení § 13 zákona, které je dostatečně prokázané a že výše sankce odpovídá závažnosti spáchaného správního deliktu vzhledem k rozsahu osobních údajů, jež byly odcizeny spolu se zálohovacím zařízením.

O žalobě proti rozhodnutí předsedy Úřadu rozhodl Městský soud v Praze, jak bylo uvedeno výše.

Nejvyšší správní soud přezkoumal napadený rozsudek v rozsahu důvodů uplatněných v kasační stížnosti a dospěl k závěru, že tato není důvodná.

Stěžovatelka napadla rozhodnutí Městského soudu v Praze z důvodu podle ust. § 103 odst. 1 písm. a) s. ř. s. Soud se podle jejího názoru především nedostatečně vypořádal s otázkou dopadu ust. § 47 odst. 2 a 3 zákona na daný případ. Z ustanovení § 13, § 47 odst. 2, 3 a § 46 odst. 1 zákona je podle ní zřejmé, že pokud by správce či zpracovatel osobních údajů, který prováděl zpracování osobních údajů před účinností zákona, neuvedl toto do souladu se zákonem do 31. 12. 2001, nemohl by být za takovéto jednání sankcionován, a to až do 31. 12. 2002. Své přesvědčení o tom, že z uvedených ustanovení podaný závěr jasně vyplývá, ovšem nijak blíže neodůvodňuje ani nerozvádí. Nejvyšší správní soud se s tímto názorem stěžovatelky neztotožnil.

Klíčovou pro rozhodnutí o této námitce je dle názoru Nejvyššího správního soudu otázka výkladová, a to zda lze povinnost zabezpečit osobní údaje stanovenou ustanovením

§ 13 zákona posoudit jako jejich zpracování ve smyslu ust. § 4 písm. e) zákona, jinak řečeno, zda je možné pojem zabezpečení pojmu zpracování podřadit. V případě kladné odpovědi na tuto otázku pak bude nutno posoudit, zda se na takové zpracování vztahují ust. § 47 odst. 2 a 3 zákona.

Co se týká první otázky, vycházel Nejvyšší správní soud ze znění zákona č. 101/2000 Sb., důvodové zprávy k němu, a zejména pak ze znění a způsobu užití předmětných pojmů směrnicí Evropského parlamentu a Rady ES/95/46 (dále též směrnice ), která byla jedním z hlavních východisek při zpracování nové právní úpravy, již citovaný zákon představuje. Podle ust. § 4 písm. e) zákona se zpracováním osobních údajů rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Podle ust. § 13 zákona je povinností správce a zpracovatele při zabezpečení osobních údajů přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Posléze citované ustanovení je pak zahrnuto do části první, hlavy druhé zákona, nazvané Práva a povinnosti při zpracování osobních údajů. Zabezpečení osobních údajů tak na jednu stranu není zahrnuto do demonstrativního výčtu výkladového ustanovení § 4 písm. e) zákona, na druhou stranu je systematicky zařazeno do hlavy druhé zákona, jež upravuje práva a povinnosti související se zpracováním osobních údajů, mimo jiné i taková, která zákonodárce do výčtu ust. § 4 písm. e) pojal ( shromažďování ; uchovávání ).

Dle důvodové zprávy k § 13 vládního návrhu zákona o ochraně osobních údajů se tímto ustanovením upravují obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněnému i nahodilému přístupu, zpracování a zneužívání /využívání/ osobních údajů. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči tzv. průnikářům (hackerům) Důvodová zpráva tak sice vysvětluje, jaká opatření je zapotřebí přijmout, aby správce (zpracovatel) dostál své povinnosti uložené mu ustanovením § 13 zákona, řešení terminologického problému výkladu a aplikace předmětného ustanovení zákona však nepřináší. Za významnou nicméně v této souvislosti Nejvyšší správní soud považuje skutečnost, že jak důvodová zpráva, tak i zákon sám, včetně jeho názvu užívají shodně slovních spojení ochrana osobních údajů a zabezpečení osobních údajů .

Vzhledem k tomu, že zákon č. 101/2000 Sb. je svou podstatou implementací směrnice ES/95/46 do právního řádu České republiky, vycházel Nejvyšší správní soud při hledání odpovědi na výše položenou výkladovou otázku zejména z jejího znění. Jelikož je směrnice jako pramen evropského práva závazná, pokud jde o výsledek, jehož má být dosaženo, resp. váže členský stát ve vztahu ke svému cíli, zatímco formy a prostředky ponechává na volbě členského státu, zaměřil se Nejvyšší správní soud primárně na účel takto implementované právní úpravy. Podle rozsudku Evropského soudního dvora ve věci 14/83, Sabine von Colson and Elisabeth Kamann v Land Nordrhein-Westfalen [1984] ECR 1891, bod 26. je národní soud při aplikaci práva členského státu, a obzvláště při aplikaci ustanovení zákona, jenž byl přijat za účelem implementace směrnice, povinen vykládat takový zákon ve světle pojmosloví(dikce) a účelu směrnice. Jak již Nejvyšší správní soud judikoval, toto pravidlo se vztahuje i na případy, kdy se posuzují skutkové okolnosti, k nimž došlo před vstupem České republiky do Evropské unie, a rozhodným právem je právo tehdy účinné. I pak je nutno ustanovení českého právního předpisu, přijatého nepochybně za účelem sbližování českého práva s právem Evropských společenství a majícího svůj předobraz v právní normě obsažené v právu Evropských společenství, vykládat konformně s touto normou (podle rozsudku ze dne 29. 9. 2005, čj. 2 Afs 92/2005-45; publikováno ve Sbírce rozhodnutí Nejvyššího správního soudu pod č. 741/2006).

Směrnice ES/95/46, jejíž název zní o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat, zakotvuje ve svém článku 1 povinnost členských států zajistit ochranu základních svobod a práv fyzických osob, zejména jejich soukromí v souvislosti se zpracováním osobních údajů. Podle úvodního ustanovení odst. 46 směrnice vyžaduje ochrana práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů, aby byla přijata odpovídající technická a organizační opatření, a to jak při přípravě zpracování, tak při jeho provádění, zejména za účelem zajištění bezpečnosti a zabránění jakémukoli nepovolenému zpracování; tato opatření musí zajistit úroveň bezpečnosti odpovídající stavu technického rozvoje a nákladům na jejich zavedení a zároveň přiměřenou rizikům takového zpracování a povaze údajů, které mají být chráněny. Článek 17 směrnice, pojmenovaný Bezpečnost zpracování pak říká, že správce je povinen přijmout odpovídající technická a organizační opatření tak, aby nemohlo dojít k nahodilému nebo neoprávněnému zničení osobních údajů, jejich ztrátě, změně či neoprávněnému přístupu, zejména tam, kde zpracování zahrnuje přenos dat prostřednictvím sítě, a proti jakýmkoli jiným způsobům neoprávněného zpracování.

Přestože zákon č. 101/2000 Sb. ve znění účinném v době rozhodování správních orgánů výslovné, se směrnicí konformní označení účelu neobsahoval (doplněno zákonem č. 439/2004 Sb.) a i v současnosti se nadále drží slovních spojení ochrana osobních údajů, resp. zabezpečení osobních údajů, je z výše uvedeného zřejmé, že jeho účelem, shodným s cíly směrnice, byla od počátku jednoznačně ochrana jednotlivců v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem jsou pak správci ukládány povinnosti při zabezpečení zpracování těchto údajů. Zabezpečeno tedy má být jakékoli nakládání s osobními údaji zahrnované pod pojem zpracování ( processing ). Bezpečné zpracování osobních údajů má pak nutně za následek jednak bezpečnost dat samých (následek jaksi samozřejmý), především však zajišťuje ochranu subjektů těchto údajů, resp. jejich soukromí, tzn. primární účel právní úpravy. Nejvyšší správní soud proto uzavírá, že s ohledem na znění směrnice, jakož i současné znění ust. § 1 zákona byla a je cílem právní úpravy v této oblasti ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování.

Z dikce směrnice tedy vyplývá, že zabezpečení osobních údajů ve smyslu ust. § 13 zákona č. 101/2000 Sb. není jednou z činností zahrnovaných pod pojem zpracování osobních údajů, demonstrativně vypočtených v ust. § 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, které jsou nicméně ve vzájemném, pro správce (zpracovatele) osobních údajů velmi podstatném vztahu, kdy povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění). Ust. § 47 odst. 2 a 3 zákona se tudíž na povinnost podle jeho § 13 nevztahují.

Byť je odpověď na první položenou otázku záporná, považuje Nejvyšší správní soud za vhodné vyjádřit se rovněž k otázce druhé, tj. k tomu, jakých případů se tedy ust. § 47 odst. 2 a 3 zákona týkají, a v dalším textu tak proto činí.

Změna ust. § 47 odst. 2 a doplnění ust. § 47 odst. 3 byly včleněny do zákona č. 101/2000 Sb. zákonem č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů. Jelikož jsou tyto zřejmě bez vztahu k ostatním konkrétním změnám, které pro správce (zpracovatele) z novely vyplývají, nebylo úmyslem zákonodárce v daném případě zjevně nic jiného, než prodloužit již původním zněním zákona upravené přechodné období a nově zavést beztrestnost porušení povinností nově vzniklých pro správce a zpracovatele osobních údajů v důsledku přijetí zákona č. 101/2000 Sb. Vztah je zde tedy jednoznačně mezi povinnostmi vyplývajícími ze zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech a zákonem č. 101/2000 Sb., o ochraně osobních údajů, kdy posléze uvedený zákon rozsah povinností souvisejících se zpracováním osobních údajů (dříve provozováním informačního systému) značně rozšiřuje. Přechodné období beztrestnosti porušení povinností vyplývajících ze zákona č. 101/2000 Sb. se pak nutně vztahuje pouze na povinnosti nově stanovené zákonem č. 101/2000 Sb. ve srovnání se zákonem č. 256/1992 Sb, jak správně uzavřely soud i žalovaný správní orgán. Jedná se zejména o povinnosti vyplývající z ustanovení § 10, § 11 odst. 2 (poučovací povinnost ve vztahu k subjektům údajů) a odst. 6, § 16 a § 19 (oznamovací povinnost vůči Úřadu) zákona.

Námitka stěžovatelky, že Úřadem byla sankcionována povinnost uložená podle zákona v době rozhodování správního orgánu již derogovaného a závěr soudu je tudíž v tomto ohledu v rozporu se zákazem retroaktivity, není důvodná. Městský soud v Praze v dané souvislosti pouze konstatoval, že povinnost podle ust. § 13 zákona již byla zahrnuta i do předcházející právní úpravy v ust. § 17 písm. i) a že se tedy nejedná o povinnost, kterou by stěžovatelka za účinnosti zákona č. 256/1992 Sb. neměla. Bez ohledu na dezinterpretaci názoru Městského soudu v Praze stěžovatelkou však Úřad v daném případě prokazatelně rozhodoval podle zákona č. 101/2000 Sb. a ve výroku svého rozhodnutí konstatuje porušení ust. § 13 tohoto zákona, za které ve smyslu jeho ust. § 46 odst. 1 v tehdy platném znění uložil pokutu ve výši 3 000 000 Kč. Úřad tedy v žádném případě svým rozhodnutím nezaložil zpětnou účinnost zákona č. 256/1992 Sb., neboť podle tohoto zákona nerozhodoval.

K tvrzené protiústavnosti názoru soudu, podle něhož existují určité standardy bezpečnostních opatření, které lze při ochraně osobních údajů realizovat, aniž by musely být výslovně stanoveny zákonem, Nejvyšší správní soud uvádí, že právní názor Městského soudu v Praze sdílí a na podporu tohoto názoru odkazuje na výše citovanou důvodovou zprávu k ust. § 13 zákona, kde se mimo jiné říká, že opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Zákonodárce tak do textu důvodové zprávy v podstatě zahrnul část znění čl. 17 směrnice (rovněž viz výše), kterou zřejmě neshledal nezbytnou při formulaci ust. § 13 zákona, a tuto ještě doplnil o opatření právní a jiná. Jisté skouposti zákonodárce při formulaci tohoto ustanovení zákona ve srovnání s textem směrnice lze jistě litovat a Nejvyšší správní soud připouští, že užitá dikce klade na správce a zpracovatele v jistém smyslu vyšší nároky, když způsob a prostředky zabezpečení osobních údajů ponechává na jednu stranu jejich vlastní úvaze, na druhou stranu za nesplnění předmětné povinnosti hrozí poměrně vysokými sankcemi. Nelze však akceptovat směr, kterým se ubírá argumentace stěžovatelky, neboť tento by v konečném důsledku vedl k nepoužitelnosti ust. § 13 zákona jako celku. V tomto bodu lze poukázat na publikaci

PhDr. Miroslavy Matoušové, Osobní údaje a jejich ochrana. Povinnosti správce při zpracování; ASPI Publishing; 2003, kde autorka uvádí, že ke každé technologii existuje soubor bezpečnostních opatření považovaný za standard Obecně využitelné jsou mezinárodní technické normy (např. ISO/IEC 17799:2000 Information Technology-Code of Practice of Information Security Management), z nichž řada byla vydána jako české technické normy (např. ČSN ISO/IEC TR 13335 Informační technologie-Směrnice pro řízení bezpečnosti IT 1-3). Nejvyšší správní soud tak uzavírá, že výklad Městského soudu v Praze je zcela legitimní, neboť obecná formulace ust. § 13 zákona nutně předpokládá přijetí naprosto konkrétních opatření organizačních a technických, kdy standard by měl představovat jakési nutné minimum. Nejvyšší správní soud považuje v této souvislosti rovněž za významné, že po incidentu s odcizením zálohovacího zařízení přijala stěžovatelka množství opatření, kterými se snažila zabránit možnému opakování podobných událostí (zavedení kontroly režimu vstupu do budov společnosti; evidence přidělování klíčů; evidence vstupu osob do servroven; etc.), a výše naříkaná skromnost formulace ust. § 13 zákona jí v tom nijak nebránila. Předmětnou námitku je tudíž na místě posoudit také jako účelovou. Výše uvedené lze vztáhnout rovněž na tvrzení stěžovatelky o tom, že byla v dobré víře o splnění své povinnosti podle ust. § 13 zákona, neboť zajistila-li střežení objektu bezpečnostní agenturou. O formálnosti této ostrahy pojednává správní spis dostatečně.

Co se týká námitky neúměrnosti výše uložené pokuty, ztotožňuje se Nejvyšší správní soud s odůvodněním napadeného rozsudku, jakož i obou rozhodnutí správního orgánu. Má-li pokuta naplnit vedle své penalizační funkce i úlohu preventivní, musí mít postih sílu odradit od nezákonného postupu i jiné nositele stejných zákonných povinností; tento účinek pak může vyvolat jen postih odpovídající významu chráněného zájmu, včas a věcně správně vyvozený. Jde-li o finanční postih, musí být znatelný v majetkové sféře delikventa, tedy být nikoli pro něho zanedbatelný, a nutně tak musí v sobě obsahovat i represivní složku. V opačném případě by totiž postih delikventa smysl postrádal. Moderační právo soudu upravené v § 78 odst. 2 s. ř. s., tj. možnost upustit od potrestání či snížení postihu, má proto místo toliko tam, kde jde o postih zjevně nepřiměřený (podle rozsudku Městského soudu v Praze ze dne 16. 11. 2004, č. j. 10 Ca 250/2003-48; publikováno ve sbírce rozhodnutí Nejvyššího správního soudu pod č. 560/2005). Nejvyšší správní soud stanovenou výši pokuty zjevně nepřiměřenou neshledal.

K opakované námitce zkrácení na procesních právech stěžovatelky tím, že jejímu zástupci nebylo dne 2. 5. 2002 umožněno nahlédnutí do spisu, Nejvyšší správní soud uvádí, že bylo pouze na rozhodnutí stěžovatelky, zda podá své vyjádření k oznámení o zahájení správního řízení hned 3. 5. 2002, nebo využije možnosti nahlédnout do spisu v jiném termínu do 17. 5. 2002 (konec prodloužené lhůty) tak, aby ve svém vyjádření mohla na případné nové poznatky reagovat. Stěžovatelka se rozhodla pro první variantu. Z protokolu o ústním jednání ze dne 5. 6. 2002 pak vyplývá, že zástupce stěžovatelky využil svého práva nahlédnout do spisu ve dnech 16. a 20. 5. 2002, jakož i že byla stěžovatelka vyzvána, aby předložila další důkazy, případně se ke spisu vyjádřila. Těchto svých práv využila. Ze samotné skutečnosti, že zástupci stěžovatelky nebylo dne 2. 5. 2002 z objektivních důvodů (viz odůvodnění rozhodnutí o rozkladu) umožněno, aby nahlédl do spisu, proto nelze usoudit na porušení práva stěžovatelky na řádný proces. Co se nakonec týká námitky podjatosti předsedy Úřadu, ztotožňuje se Nejvyšší správní soud se závěrem soudu potud, že v daném případě nejsou splněny podmínky vyloučení z projednávání a rozhodování věci tak, jak je upravuje ust. § 9 správního řádu. Předseda Úřadu pro ochranu osobních údajů je do funkce jmenován prezidentem a jeho postavení předsedy nezávislého úřadu je obdobné postavení ministra. Podle judikatury správních soudů námitka podjatosti ministra nepřichází v úvahu, neboť jeho postavení v řízení o rozkladu je výlučné a nezastupitelné (podle rozsudku Vrchního soudu v Praze ze dne 28. 2. 2002, č. j. 7 A 138/99-38). Dle názoru Nejvyššího správního soudu pak z úryvků novinového článku citovaných stěžovatelkou v žalobě proti druhoinstančnímu rozhodnutí správního orgánu obecně nevyplývá zaujatost předsedy Úřadu vůči stěžovatelce. Lze jí nicméně přisvědčit, že větou bude to precedenční rozhodnutí, takže musíme stanovit laťku výše pokut, předseda Úřadu nepřímo předjímá, že bude v daném případě porušení povinnosti shledáno. (Věta, podle níž úřad rozhodl, že bude sankcionovat Komerční pojišťovnu kvůli loňské krádeži dat , je formulována autorkou článku, nikoli předsedou Úřadu.) Ze samotné skutečnosti, že pracovníci Úřadu rozhodli, že se na tento případ nevztahuje ochranná lhůta , jakož ani z ostatních stěžovatelkou citovaných výroků, však žádné předsudky předsedy Úřadu nevyplývají. Jak správně uvádí Městský soud v Praze, podání základních obecných informací o probíhajícím řízení předpokládá zákon č. 106/1999 Sb., o svobodném přístupu k informacím. Svou roli konečně bezesporu sehrál i způsob, jakým byl podaný rozhovor zpracován do finální podoby novinového článku. Nejvyšší správní soud proto uzavírá, že byť lze způsob (předčasnost) podání informací předsedou Úřadu posoudit snad jako neprofesionální, nelze z něj-v důsledku jedné nevhodně formulované věty-usoudit na zaujatost Úřadu či jeho předsedy vůči stěžovatelce, zejména s ohledem na jinak objektivní způsob, jakým bylo celé správní řízení vedeno, jakož i kvalifikovaná správní rozhodnutí, která byla jeho výsledkem.

Ze všech shora uvedených důvodů dospěl Nejvyšší správní soud k závěru, že rozsudek Městského soudu v Praze netrpí vadou podle ustanovení § 103 odst. 1 písm. a) s. ř. s. a kasační stížnost proto podle § 110 odst. 1 s. ř. s. jako nedůvodnou zamítl.

Stěžovatelka neměla ve věci úspěch, nemá proto právo na náhradu nákladů řízení o kasační stížnosti ze zákona (§ 60 odst. 1 ve spojení s § 120 s. ř. s.). Žalovaný měl ve věci úspěch, nevznikly mu však náklady řízení o kasační stížnosti přesahující rámec jeho běžné úřední činnosti. Soud mu proto právo na náhradu nákladů řízení nepřiznal (§ 60 odst. 1 ve spojení s § 120 s. ř. s.).

P o u č e n í : Proti tomuto rozsudku n e j s o u opravné prostředky přípustné (§ 53 odst. 3 s. ř. s.).

V Brně dne 10. května 2006

JUDr. Jaroslav Vlašín předseda senátu