7 As 186/2012-31

ČESKÁ REPUBLIKA

ROZSUDEK JMÉNEM REPUBLIKY Nejvyšší správní soud rozhodl v senátě složeném z předsedkyně JUDr. Elišky Cihlářové a soudců JUDr. Jaroslava Hubáčka a JUDr. Karla Šimky v právní věci žalobce: Generální finanční ředitelství, se sídlem Lazarská 15/7, Praha 1, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, Praha 7, v řízení o kasační stížnosti žalobce proti rozsudku Městského soudu v Praze ze dne 17. 10. 2012, č. j. 9 A 251/2011-90,

takto:

I. Kasační stížnost s e z a m í t á .

II. Žádný z účastníků n e m á právo na náhradu nákladů řízení.

Odůvodnění:

Rozsudkem Městského soudu v Praze ze dne 17. 10. 2012, č. j. 9 A 251/2011-90, byla zamítnuta žaloba podaná Ministerstvem financí proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 30. 6. 2009, zn. INSP1-6632/08-5, kterým nebylo vyhověno námitkám Ministerstva financí podaným proti kontrolnímu protokolu ze dne 31. 3. 2009, zn. INSP1-6632/08-2 pořízenému v rámci kontroly, jejímž předmětem bylo dodržování povinností stanovených v ust. § 13 odst. 4 písm. c) zákona č. 101/2000 Sb. ve znění pozdějších předpisů (dále jen zákon o ochraně osobních údajů ) v systému ADIS. V odůvodnění rozsudku městský soud uvedl, že podle kontrolního protokolu vyhotoveného Úřadem pro ochranu osobních údajů (dále jen Úřad ) dne 31. 3. 2009 o výsledcích kontroly dodržování zákona o ochraně osobních údajů bylo Ministerstvu financí uloženo podle ust. § 40 odst. 1 citovaného zákona nápravné opatření-upravit ve lhůtě do 6 měsíců systém ADIS tak, aby pořizoval elektronické záznamy, které umožní, určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Za předmět sporu označil městský soud to, zda Ministerstvo financí bylo vázáno právní úpravou ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Na základě dikce ust. § 13 citovaného zákona nelze podle městského soudu přisvědčit žalobní námitce, že Ministerstvo financí není vázáno ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů a že k zajištění povinnosti uložené v ust. § 13 odst. 1 citovaného zákona postačovaly záruky dané jinými právními prostředky, příp. že oblast daňové správy je z plnění uvedené povinnosti vyňata. Ust. § 13 zákona o ochraně osobních údajů je třeba vykládat a aplikovat vcelku a jeho odst. 4 písm. c) je konkretizací povinnosti obecně stanovené v odst. 1 citovaného ustanovení. V ust. § 13 odst. 1 zákona o ochraně osobních údajů je stanovena obecná povinnost správců a zpracovatelů údajů přijmout preventivní opatření k neoprávněnému přístupu k osobním údajům či k jejich zneužití. Jaká to jsou opatření je stanoveno v ust. § 13 odst. 2 zákona o ochraně osobních údajů, podle něhož má jít o technicko-organizační opatření. Jiné právní prostředky (namítaná povinnost mlčenlivosti podle zákona č. 337/1992 Sb., ve znění pozdějších předpisů, nebo ukládání pokut) nemají povahu technicko-organizačních opatření ve smyslu ust. § 13 odst. 2 citovaného zákona a v případě pokut nemají ani povahu preventivních opatření ve smyslu ust. § 13 odst. 1 citovaného zákona. Právní úprava obsažená v ust. § 13 zákona o ochraně osobních údajů vymezuje, jaká opatření jsou žádoucí a případná pro evidenci nakládání s daty a přitom i preventivně pro účely zamezení neoprávněného nakládání s osobními údaji tak, aby bylo přímo zjistitelné kým a jakým způsobem jsou údaje zpracovávány. Uvedené zcela koresponduje úvaze Úřadu, že zvláštní právní předpisy v daňové správě neupravují požadavky na ochranu osobních údajů natolik komplexně a v takové míře, která by odpovídala rizikům v daňovém systému. Zákon č. 170/2007 Sb., kterým byl s účinností od 12. 7. 2007 změněn zákon o ochraně osobních údajů (dále jen zákon č. 170/2007 ) nestanovil sice konkrétní opatření, které má být přijato, ale stanovil typ opatření, které má v systému automatizovaného zpracování osobních údajů zaručit účel ust. § 13 odst. 1 zákona o ochraně osobních údajů. Tedy citované ustanovení skutečně konkretizoval a doplnil, avšak pro systém ADIS, a to tím, jak má tento systém pracovat a jakou metodiku pro zajištění cíle v citovaném ustanovení zvolit, totiž metodiku elektronických záznamů, tzv. logování, které umožní zjistit a ověřit dispozici s daty. Znění ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů je jednoznačné a jako zákonná norma je zavazující. Opatření, která Ministerstvo financí přijalo, odpovídají spíše povinnostem uvedeným v ust. § 13 odst. 4 písm. a) a b) citovaného zákona. Nemíří však na zachycení konkrétního zpracování dat jednotlivými osobami. Dodržování ust. § 13 odst. 4 zákona o ochraně osobních údajů vedoucí k naplnění zásady uvedené v odst. 1 citovaného ustanovení je koncipováno jako povinnost, nikoliv jako alternativa, která by závisela na úvaze správce údajů. Z textu důvodové zprávy k zákonu č. 170/2007 Sb. vyplývá to, co správně posoudil Úřad, totiž potřeba konkrétní povinnosti technicko-organizačních opatření v rámci obecně stanovené, avšak nedostatečně a nekonkrétně vymezené, povinnosti podle ust. § 13 odst. 1 zákona o ochraně osobních údajů, v oblasti ADIS, tedy systémů, které existují zejména u správců údajů, kteří disponují (jako finanční úřady) velkým množstvím osobních dat. Žalobní námitky o nepřiměřené povinnosti označil městský soud za nedůvodné, zvláště dopadá-li zákon č. 170/2007 Sb. na automatizované systémy dat a požaduje elektronickou evidenci kontaktu konkrétních osob s konkrétními daty.

Jako nedůvodnou posoudil městský soud také žalobní námitku, že povinnost stanovená v ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů se nevztahuje na zpracovávání osobních údajů v oblasti daňové správy z důvodu výjimky podle ust. § 3 odst. 6 písm. f) a g) zákona o ochraně osobních údajů. Z dikce ust. § 3 odst. 6 citovaného zákona nevyplývá, že by se pro zpracování osobních údajů nepoužilo ust. § 13 citovaného zákona. Pro zpracování osobních údajů je jedině legitimní účel daný činností či působností správce údajů. To neplatí jde-li o jiný účel a závažný celospolečenský zájem deklarovaný v ust. § 3 odst. 6 pod písm. a) až h) citovaného zákona. Správci daně budou vždy zpracovávat údaje pro účely daňových opatření či jiných úkonů daňové správy, a proto se na ně nemůže vztahovat výjimka podle ust. § 3 odst. 6 písm. f) a g) zákona o ochraně osobních údajů ohledně daňových opatření a dopadající zase na výkon daňové správy, nikoliv na jiný účel. Uvedenými výjimkami jsou správci daně vázáni pro jiné případy, tj. pro případy v ust. § 3 odst. 3 písm. a) až e) a h) citovaného zákona, zatímco jiní správci údajů, odlišní od správců daně, budou vázáni i v závažných případech daňových opatření výjimkami podle ust. § 3 odst. 6 písm. f) a g) citovaného zákona, neboť to bude vyžadovat společenský zájem zde zakotvený. Argumentace ministerstva financí je tak právně pokračování nelogická, neboť se dovolává výjimky, která by nevyjadřovala smysl ust. § 3 odst. 6 citovaného zákona, tj. úpravu nakládání s osobními údaji správci údajů mimo účel jim příznačný, ale v podstatě by negovala povinnost správců údajů, jimiž jsou správci daně podle ust. § 5 odst. 1 písm. f) citovaného zákona. Z uvedených důvodů je tedy výklad Ministerstva financí s odkazem na judikaturu Soudního dvora EU, že rozhodnutí vydaná správcem daně jsou daňovými opatřeními ve smyslu ust. § 3 odst. 6 písm. f) zákona o ochraně osobních údajů, irelevantní.

Uložené nápravné opatření není ani v rozporu s čl. 17 Směrnice Evropského parlamentu a Rady (ES) č. 95/46/ES (dále jen směrnice ). Dikce tohoto článku byla transponována do českého právního řádu zákonem č. 170/2007 Sb., neboť tento zákon ze směrnice převzal potřebu technicko-organizačních opatření v rámci systému ADIS, a to právě k účelu stanovenému ve směrnici. Postup Úřadu nebyl ani v rozporu s čl. 17 věta druhá směrnice, neboť tak učinil v rámci daného stavu techniky. Nákladnost funkce elektronické evidence (tzv. logování), která by dosáhla zjevné nepřiměřenosti oproti vyhodnocení rizik, není z námitek Ministerstva financí zřejmá, neboť Ministerstvo financí nevyhodnotilo rizika nakládání s údaji bez potřeby elektronické evidence. Také v žalobní námitce nepřiměřené lhůty k opatření k nápravě neuvedlo konkrétní kvalifikované argumenty k technické náročnosti a finanční nákladovosti provedení uloženého opatření. Protože jeho tvrzení o nepřiměřených výdajích a stagnaci běžné činnosti daňové správy v důsledku provedení elektronické evidence nakládání s daty stojí proti tvrzení Úřadu, že jde o standardní opatření přijaté a fungující u jiných správců údajů, není to důvod pro zrušení napadeného rozhodnutí. Městský soud nepřijal argumentaci ohledně závaznosti čl. 17 věty druhé směrnice. Ministerstvo financí se také podle názoru městského soudu mýlí, považuje-li směrnici za předpis práva EU s přímým účinkem. Přímým účinkem se vyznačují nařízení Rady, zatímco směrnice jsou předpisem doporučujícího charakteru s cílem uvést úpravu členských států do souladu s evropským právem. Doporučená transpozice byla provedena zákonem č. 170/2007 Sb. s tím, že konkrétní úprava byla ponechána na národním zákonodárci. Městský soud proto nepovažoval danou problematiku za potřebnou vyložit v řízení o předběžné otázce. Otázka přiměřenosti nákladů Ministerstva financí není řešitelná přímou aplikací čl. 17 věty druhé směrnice. Žalobní námitka přiměřenosti uloženého opatření souvisí i s námitkou nepřiměřenosti lhůty k nápravě. Tato námitka proti kontrolnímu protokolu nebyla uplatněna, a proto Úřad v napadeném rozhodnutí neposuzoval dostatečnost stanovené lhůty. Městský soud tedy neměl k posouzení této námitky nejen kvalifikované důvody zabývající se technickou a finanční náročností uloženého opatření, ale ani procesní podmínky, aby vypořádání neexistující námitky proti kontrolnímu protokolu ohledně nepřiměřenosti lhůty k nápravě přezkoumal.

Proti tomuto rozsudku podalo Generální finanční ředitelství (dále jen stěžovatel ) v zákonné lhůtě kasační stížnost z důvodu uvedeného v ust. § 103 odst. 1 písm. a) s. ř. s. V kasační stížnosti stěžovatel uvedl, že považuje napadený rozsudek za nezákonný, protože spočívá na nesprávném posouzení právních otázek. Městský soud označil za spornou otázku, zda bylo Ministerstvo financí vázáno právní úpravou v ust. § 13 odst. 1 a odst. 4 písm. c) zákona o ochraně osobních údajů. Pokud je povaha ust. § 13 odst. 1 a odst. 4 písm. c) zákona o ochraně osobních údajů generálně preventivní, tj. nemůže sama o sobě neoprávněnému nebo nahodilému přístupu a zpracování osobních údajů zabránit, je třeba vyjít při ukládání povinností osobám soukromého i veřejného práva ze znění zákona o ochraně osobních údajů a především ze znění čl. 17 odst. 1 směrnice. Ze směrnice přímo vyplývá, že ust. § 13 zákona o ochraně osobních údajů je třeba chápat kontextuálně a nikoli čistě jazykově tak, jak učinil v napadeném rozsudku městský soud i správní orgán ukládající nápravné opatření. Při volbě postupů a opatření ve vnitrostátním právním předpisu k zajištění účelu a smyslu směrnice se na základě principu proporcionality musí poměřovat na jedné straně stav techniky, náklady na provedení příslušných opatření i přiměřenou úroveň bezpečnosti odpovídající rizikům zpracování a povaze údajů, na druhé straně preventivní funkce opatření k naplnění účelu směrnice i ust. § 13 zákona o ochraně osobních údajů. Před účinností zákona č. 170/2007 Sb. byly povinnosti správce nebo zpracovatele při zabezpečení osobních údajů upraveny relativně neurčitě a bylo na nich, aby si sami zhodnotili rizika při zpracování osobních údajů. Technická a organizační opatření správce nebo zpracovatel volil podle úvahy limitované účelem citovaného ustanovení i jeho vzoru v čl. 17 směrnice. Právě vzhledem k různorodosti povah osobních údajů, rizikům jejich neoprávněného zpracování byly a jsou povinnosti uložené v ust. § 13 zákona o ochraně osobních údajů limitovány principem proporcionality podle faktorů uvedených v čl. 17 odst. 1 směrnice. Český právní předpis tyto limity explicitně neobsahoval, implicitně však vyplývaly ze směrnice i povahy těchto povinností s preventivním charakterem. Relativní neurčitost a obecnost povinnosti v ust. § 13 odst. 1 zákona o ochraně osobních údajů odráží právě nemožnost paušalizovaně a taxativně stanovit pro všechny situace, všechny osobní údaje i všechny správce nebo zpracovatele stejná opatření, kdy navíc účelem ust. § 13 zákona o ochraně osobních údajů, a zejména čl. 17 směrnice, je přijetí těch opatření, která se nejvíce přiblíží ideálnímu stavu nemožnosti neoprávněného zpracování osobních údajů. Stanovení limitů povinností podle čl. 17 směrnice je nutné vykládat i s přihlédnutím k bodu 46 (recitálu) směrnice. Z uvedeného limitu v aplikaci čl. 17 věty první směrnice, tedy i ust. § 13 zákona o ochraně osobních údajů, vyplývá, že se musí testu proporcionality podrobit odpovídající bezpečnostní opatření zabraňující neoprávněnému zpracování osobních údajů a náklady na jejich provedení. Tato opatření se dále musí poměřovat i s mírou rizika ze zpracování údajů, jejich povahou a procesy, které se k nim váží. Rizikovost procesů je snížena technickými opatřeními, kdy je dána úzká souvislost mezi konkrétním daňovým subjektem a konkrétní úřední osobou spravujícího jeho daň, včetně přístupových práv pouze těchto úředních osob, i přísnou povinností mlčenlivosti. Je třeba mít dále na zřeteli specifika systému ADIS i samotné správy daní. V systému ADIS je evidováno cca 6,5 mil daňových subjektů, přičemž celkový počet uživatelů je přibližně 15.000 s tím, že ke konkrétnímu údaji o konkrétním daňovém subjektu se dostane jen velmi omezený okruh uživatelů. Kvůli nárokům, které klade účel a smysl správy daní na systém ADIS, je tento systém po stránce informační velmi robustní, kdy v jeho jednotlivých součástech paralelně běží velmi mnoho operací, které lze jen velmi těžko zaznamenat, aby nedošlo ke zpomalení systému, a tím i do značné míry k jeho nefunkčnosti. Návodné opatření uvedené v ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů by tedy mohlo vést ke zpomalení systému, aniž by současně přineslo odpovídající snížení míry bezpečnostního rizika, přičemž vytvoření nového systému odpovídajícího citovanému ustanovení by s sebou neslo značné náklady. Nepromítl-li zákonodárce směrnicí předpokládaný limit aplikace čl. 17 do českého právního řádu, jedná se o porušení povinnosti transponovat směrnici. Pokud je právní norma obsažená ve směrnici dostatečně podrobná, jsou členské státy odkázány jen na převzetí jejího znění do vnitrostátního pramene práva. Z tohoto úhlu pohledu se čl. 17 věta první směrnice jeví po obsahové stránce spíše obecná. Členský stát tedy může přijmout podrobnější úpravu, ale nemůže netransponovat obecně vyjádřené limity v čl. 17 věta druhá směrnice. V daném případě je tak explicitním jazykovým výkladem české právní normy v rozporu se směrnicí rozšířena povinnost pro všechny správce a zpracovatele. S výše uvedeným souvisí i posouzení přímého účinku směrnice. V případě směrnice jako sekundárního právního aktu EU je na základě závazné judikatury Soudního dvora EU za splnění určitých podmínek připuštěn přímý účinek. Specifické podmínky pro přímý účinek směrnice zahrnují: marné uplynutí lhůty k řádné implementaci (tato podmínka je splněna, neboť v ust. § 13 odst. 1 zákona o ochraně osobních dat nejsou uvedeny limity jeho použití a zdánlivě se tak ust. § 13 odst. 4 písm. c) citovaného zákona prostřednictví odstavce prvého vztahuje na všechny zpracovatele a správce bez ohledu na konkrétní okolnosti, což vychází např. z rozsudku Soudního dvora č. 41/74, Yvonne Van Duyn), nedochází k přímému uložení povinnosti (přímým účinkem směrnice nesmí vzniknout nová povinnost jednotlivci, subjektivní právo však vzniknout může, což vyplývá např. z rozsudku Soudního dvora č. C-60/02 Rolex; za takovou situaci by šlo extenzivně považovat i limit povinností podle ust. § 13 odst. 1 zákona pokračování o ochraně osobních dat), zlepšení právního postavení aktivně legitimovaných přímých či nepřímých beneficiantů směrnice (vzhledem ke směrnicí uložené povinnosti je z hlediska čl. 17 věty druhé směrnice nepřímým beneficientem správce nebo zpracovatel; tato podmínka byla judikována např. v rozsudku Soudního dvora č. 87-89/90 Verholen). Uvedené specifické podmínky byly v daném případě splněny, tudíž je třeba při interpretaci ust. § 13 zákona o ochraně osobních dat aplikovat přímý účinek čl. 17 věty druhé směrnice, který stanovuje zároveň i test proporcionality k povinnosti přijetí bezpečnostních opatření. Z uvedeného plyne, že správní i soudní orgán je povinen aplikovat v rámci interpretace ust. § 13 odst. 1 zákona o ochraně osobních dat i směrnicí stanovené limity. Přijetím zákona č. 170/2007 Sb. byly do ust. § 13 zákona o ochraně osobních dat zařazeny odst. 3 a 4, jež měly doplnit a upřesnit jeho odst. 1 s tím, že povinnost správce nebo zpracovatele zabezpečit osobní údaje zůstala i podle důvodové zprávy stejná ve srovnání se stavem před účinností zákona č. 170/2007 Sb. Ust. 13 odst. 4 zákona o ochraně osobních dat tedy jen návodně upřesňuje obecnou povinnost správce nebo zpracovatele s přihlédnutím k rozumným a pro konkrétní případ efektivním opatřením k zabránění nezákonného zpracování osobních údajů v rámci automatizovaného informačního systému. Stěžovatel vyjádřil nesouhlas s právním názorem městského soudu, že není možné splnit návodné doplnění ust. § 13 odst. 1 zákona o ochraně osobních údajů o odst. 4 písm. c) citovaného ustanovení jinými opatřeními. Těmito opatřeními mohou být opatření technická, organizační, právní a jiná. Je to v prvé řadě povinnost mlčenlivosti stanovená v ust. § 52 odst. 1 zákona č. 280/2009 Sb., ve znění pozdějších předpisů (dále jen daňový řád ). Porušením této povinnosti, jež má stejný charakter i účel jako povinnost uložená v ust. § 13 odst. 1 zákona o ochraně osobních dat a kterou i doplňuje a rozvíjí, se úřední osoba vystavuje možnému přestupkovému řízení. Takovou úpravu lze chápat ve srovnání s jinými správními řízeními jako velmi přísnou, tedy z hlediska prevence velmi účinnou. Technickým opatřením, jež zabraňuje v přístupu jakékoli úřední osoby ke všem údajům v systému ADIS je heslo, přičemž přístupová oprávnění schvaluje ředitel finančního úřadu a vždy se vztahuje pouze na daňové subjekty v rámci stanovené náplně práce úřední osoby. Přidělování přístupových práv úředním osobám se řídí interní směrnicí, již je třeba chápat jako další organizační opatření vzhledem k ust. § 13 odst. 1 a 4 písm. c) zákona o ochraně osobních údajů. Rozsah přidělení přístupových práv je zdokumentován v systému ADIS a kdykoli je množné vypsat k určitému dni přístupová práva aktuální i historická včetně údaje, kdo přístupová práva přidělil. V systému ADIS je obsažena i evidence písemností, jež sleduje, kdo vložil a kdo realizoval konkrétní akci, a má-li písemnost elektronický podpis, existuje také údaj o přesném okamžiku jejího vložení. U vedoucích pracovníků lze také zjistit, kdy spustili systém ADIS. Je-li tedy jedinou funkcí návodu uvedeného v ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů působit preventivně a ex post zjistit, která úřední osoba mohla neoprávněně zpracovávat osobní údaje, je ve stávajícím stavu systému ADIS ve spojení s organizačními i technickými opatřeními daňové správy možné s relativně vysokou mírou pravděpodobnosti zjistit tu stejnou skutečnost, kdy tato úřední osoba navíc má povinnost mlčenlivosti a uložení vysoké pokuty za její porušení garantuje vyšší míru prevence zabránění v neoprávněném nebo nahodilém zpracování osobních údajů. Uvedené skutečnosti měl již ve správním řízení Úřad zohlednit.

Stěžovatel v kasační stížnosti rovněž namítal nesprávné právní posouzení věci ve vztahu k ust. § 3 odst. 6 zákona o ochraně osobních údajů, v němž jsou s účinností od 25. 7. 2004 po přijetí zákona č. 439/2004 Sb. uvedeny oblasti, na které se povinnosti správce uvedené v ust. § 5 odst. 1 a 11 a 12 nevztahují. Touto oblastí je podle ust. § 3 odst. 6 písm. f) a g) zákona o ochraně osobních údajů i oblast správy daní, tj. uvedené povinnosti správce osobních údajů se neaplikují v případě významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření. Z důvodové zprávy vyplývá, že původní znění neodpovídalo znění směrnice. Dále se v důvodové zprávě uvádí, že ustanovení je doplněno souborem poznámek pod čarou, které obsahují demonstrativní výčet těch nejvýznamnějších zákonů, na které uvedené výjimky dopadají. Těmito uvedenými právními předpisy jsou do jisté míry stanoveny okruhy činností, jež mají výjimku z uvedených povinností. Zákonodárce použil pojem daňová opatření , jež je třeba vyložit s ohledem na jeho běžné použití v českých právních předpisech. Za daňové opatření stěžovatel považuje každé individuální rozhodnutí v daňové oblasti, neboť z již nejbližšího právního předpisu, který by měl vymezit pojem daňové opatření , uvedený názor vyplývá. Podle ust. § 1 odst. 2 zákona č. 337/1992 Sb., ve znění pozdějších předpisů, se správou daní rozumí právo činit opatření potřebná ke správnému a úplnému zjištění, stanovení a splnění daňových povinností, zejména právo vyhledávat daňové subjekty, daně vyměřit, vybrat, vyúčtovat, vymáhat nebo kontrolovat podle tohoto zákona jejich splnění ve stanovené výši a době. Stejně tento pojem vyložil i Evropský soud pro lidská práva v rozsudku ve věci I-Iozen proti Nizozemí ze dne 22. 5. 1998, kde je pod pojmem opatření uváděno vyměření daňového penále. Je-li podle čl. 13 směrnice i ust. § 3 odst. 6 písm. f) a g) zákona o ochraně osobních údajů stanovena výjimka pro správu daní a navazující působnost např. podle zákona č. 218/2000 Sb., o rozpočtových pravidlech, ve znění pozdějších předpisů, vzhledem k ust. § 5 odst. 1 zákona o ochraně osobních údajů, který uvozuje systematicky Hlavu II citovaného zákona pojednávající o právech a povinnostech při zpracování osobních údajů, je dána výjimka i v oblasti zaznamenávání logů, protože toto návodné vysvětlení povinnosti podle ust. § 13 odst. 1 citovaného zákona je třeba chápat jako součást obecné povinnosti správce podle ust. § 5 odst. 1 citovaného zákona, zejména pod písm. b) tohoto ustanovení. V podáních správnímu orgánu i městskému soudu byly podrobně vyloženy důvody, pro které lze dojít k závěru, že Ministerstvo financí vynaložilo veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránilo, např. v rámci přísné úpravy mlčenlivosti i velmi omezeného přístupu úředních osob do systému ADIS ve smyslu ust. § 13 odst. 1 zákona o ochraně osobních údajů. I vzhledem k paralelně probíhajícímu řízení o kasační stížnosti vedené pod sp. zn. 7 As 150/2012 ve věci uložené sankce a souhlasnému vyjádření Úřadu s předložením interpretace čl. 17 směrnice s ohledem na jeho transpozici do ust. § 13 odst. 1 odst. 4 zákona o ochraně osobních údajů se stěžovatel přiklání k tomu, aby sporná otázka byla předložena do řízení o předběžné otázce k Soudnímu dvoru Evropské unie. Ze všech uvedených důvodů stěžovatel navrhl, aby Nejvyšší správní soud rozsudek městského soudu zrušil a věc vrátil tomuto soudu k dalšímu řízení.

Úřad ve vyjádření ke kasační stížnosti uvedl, že stěžovatel uvádí v zásadě tytéž argumenty, které byly uplatněny v žalobě a ve správním řízení a s nimiž se již jak Úřad, tak městský soud, zcela dostatečně vypořádaly. Hlavním argumentem je údajný nesoulad zákona o ochraně osobních údajů se směrnicí, resp. nedostatečná transpozice směrnice do právního řádu České republiky. Je možno souhlasit s tím, že citovaný zákon byl do českého právního řádu implementován také na základě směrnice, nicméně povinnost zajistit vysokou úroveň ochrany osobních údajů České republice ukládá již Úmluva ETS č. 108, o ochraně osob se zřetelem na automatizované zpracování osobních údajů, přijatá dne 28. 1. 1981 ve Štrasburku. Je třeba zdůraznit, že podle bodu 2 preambule a čl. 1 je směrnice prostředkem ochrany základních práv a svobod fyzických osob, zejména jejich soukromí v souvislosti se zpracováním osobních údajů, a beneficientem těchto práv jsou fyzické osoby (subjekty údajů). S tím souvisí i bod 10 preambule, podle něhož implementace směrnice nesmí vést k oslabení této ochrany. Podle čl. 5 směrnice je úkolem příslušného státu upřesnit podmínky, za kterých je zpracování osobních údajů přípustné, a stanovit také povinnosti týkající se bezpečnosti zpracování osobních údajů, jak je vymezuje čl. 17 směrnice. Citovaný článek stanoví obecnou povinnost přijímat vhodná opatření k zajištění bezpečnosti zpracování osobních údajů a také jakého cílového stavu má být prostřednictvím příslušných opatření dosaženo, a to s ohledem na vyjmenované aspekty. V žádném případě se nejedná o stanovení limitů v rámci bezpečnostních opatření, případně o jakési úlevy pro beneficienta směrnice, za kterého se nadto zcela bezdůvodně Ministerstvo pokračování financí, potažmo stěžovatel, jako správce osobních údajů považuje. V souladu se směrnicí zákonodárce v ust. § 13 odst. 1 zákona o ochraně osobních údajů zakotvil obecnou povinnost přijímat opatření k zabezpečení osobních údajů. Dále v ust. § 13 odst. 3 citovaného zákona určil, jaká rizika musí být předmětnými opatřeními zohledněna, a v ust. § 13 odst. 4 citovaného zákona výslovně nařídil, jaká opatření musí být provedena, a to včetně povinnosti pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Z věcného hlediska je evidentní, že povinnost uložená v ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů zvyšuje standard bezpečnosti zpracování osobních údajů. V této souvislosti není bez významu, že podle poznatků Úřadu značná část narušitelů bezpečnosti zpracování osobních údajů pochází z řad zaměstnanců správce, případně zpracovatele, osobních údajů. Uvedené ustanovení proto nelze prostřednictvím čl. 17 směrnice jakkoli zpochybňovat. Navíc by takové zpochybňování bylo v rozporu se zásadou vyjádřenou v bodě 10 preambule směrnice. Zakotvení povinnosti v ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů rozhodně není důsledkem nedostatečné implementace směrnice. Z dikce návětí ust. § 13 odst. 4 zákona o ochraně osobních údajů je evidentní, že toto ustanovení má kogentní povahu a není ustanovením, které jen návodně upřesňuje obecnou povinnost správce nebo zpracovatele s přihlédnutím k rozumným a pro konkrétní případ efektivním opatřením , jak se domnívá stěžovatel. Argumentoval-li stěžovatel dále ust. § 3 odst. 6 písm. f) a g) zákona o ochraně osobních údajů, je z jeho textu především zřejmé, že výjimka nezahrnuje správu daní jako takovou, ale pouze určité její části, což v tomto případě komplexní aplikaci ust. § 3 odst. 6 písm. f) i g) zákon o ochraně osobních údajů předem vylučuje. V souvislosti s ust. § 3 odst. 6 citovaného zákona Úřad považuje za významnější, že předmětné výjimky zahrnují pouze určitá výslovně uvedená ustanovení citovaného zákona a v žádném případě nikoli povinnosti podle ust. § 13 citovaného zákona. Dále Úřad také poukázal na to, že relevantní daňové předpisy žádnou povinnost při zabezpečení osobních údajů korespondující s povinnostmi podle ust. § 13 zákona o ochraně osobních údajů nezakotvují. Akceptovat názor Ministerstva financí by znamenalo, že není povinen osobní údaje zabezpečit žádnými technicko-organizačními opatřeními, což by bylo evidentně absurdní. Ochrana osobních údajů ve smyslu zákona o ochraně osobních údajů i směrnice představuje celou škálu vzájemně sice skloubených a doplňujících se, nicméně odlišných, povinností. Povinnost mlčenlivosti zakotvenou v daňových předpisech tudíž nelze vnímat jako jakousi komplexní právní úpravu ochrany osobních údajů představující náhradu za zákon o ochraně osobních údajů. Je možno ji chápat pouze jako jistou paralelu vůči ust. § 15 citovaného zákona. Obdobně nelze za plnění povinnosti podle ust. § 13 odst. 4 písm. c) citovaného zákona považovat přidělování přístupových práv úředním osobám, jak je popisováno stěžovatelem. Tento postup totiž koresponduje pouze s povinností uloženou v ust. § 13 odst. 4 písm. a), příp. písm. b) zákona o ochraně osobních dat. Účelem povinnosti podle ust. § 13 odst. 4 písm. c) citovaného zákona totiž není ex post a s určitou mírou pravděpodobnosti zjistit, která z úředních osob mohla neoprávněně zpracovávat osobní údaj, nýbrž takovou osobu přímo identifikovat a ověřit její jednání. S ohledem na uvedené není kasační stížnost důvodná, a proto Úřad navrhl, aby byla zamítnuta.

Nejvyšší správní soud přezkoumal napadený rozsudek v souladu s ust. § 109 odst. 3 a 4 s. ř. s., vázán rozsahem a důvody, které uplatnil stěžovatel v podané kasační stížnosti, a přitom neshledal vady uvedené v odstavci 4, k nimž by musel přihlédnout z úřední povinnosti.

Nejprve je nutno uvést, že s ohledem na změny zákona č. 531/1990 Sb., ve znění pozdějších předpisů provedené zákonem č. 199/2010Sb. (část V., čl. VI. bod 2 a 3) s účinností od 1. 1. 2011 přešla práva k užívání automatizovaného daňového informačního systému ADIS z České republiky-Ministerstva financí na Českou republiku-Generální finanční ředitelství, které od uvedeného data vykonává povinnosti správce, resp. zpracovatele, ADIS, městský soud

(byť nedůsledně), a také Nejvyšší správní soud, dále v soudním řízení jednal na straně žalobce a poté stěžovatele s Generálním finančním ředitelstvím.

V řízení o kasační stížnosti nemohlo být podle ust. § 109 odst. 5 s. ř. s. přihlíženo ke skutečnostem, které stěžovatel uplatnil poté, kdy bylo vydáno napadené rozhodnutí. To platí pro velkou část faktických informací vztahujících se k systému ADIS, které byly uvedeny v kasační stížnost a nikoliv v žalobě. Nejvyšší správní soud proto nemohl zohlednit tvrzení o počtu evidovaných daňových subjektů, o počtu uživatelů systému ADIS, o fungování tohoto systému, o jeho zpomalení v případě zaznamenávání tzv. logů, o technických opatřeních zabraňujících v přístupu do systému a o rozsahu přístupových práv. Pokud by měly být tyto skutečnosti zohledněny při přezkumu napadeného rozhodnutí, Ministerstvu financí nic nebránilo v tom, aby je uplatnilo již v žalobě.

Nedůvodnou shledal Nejvyšší správní soud stížní námitku vynětí oblasti správy daní z povinnosti stanovené v ust. § 13 zákona o ochraně osobních údajů.

Podle ust. § 3 odst. 6 zákona o ochraně osobních údajů se pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění taxativně vyjmenovaných zájmů nepoužijí ustanovení § 5 odst. 1 a § 11 a 12 . V taxativním výčtu zájmů je pod písmenem f) uveden také významný finanční zájem České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření.

Citované ustanovení tak vyjímá správce plnící povinnosti stanovené pro zajištění vyjmenovaných zájmů explicitně pouze z působnosti ust. § 5 odst. 1 a § 11 a § 12 zákona o ochraně osobních údajů. Takoví správci tedy nejsou vázání pouze povinnostmi stanovenými v těchto ustanoveních. Nelze proto souhlasit s Ministerstvem financí v tom, že povinnosti podle ust. § 13 zákona o ochraně osobních údajů jsou součástí povinnosti podle ust. § 5 odst. 1 citovaného zákona.

Podle ust. § 5 odst. 1 zákona o ochraně osobních údajů je správce povinen a) stanovit účel, k němuž mají být osobní údaje zpracovány, b) stanovit prostředky a způsob zpracování osobních údajů, c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům, d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné, f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem souhlas, g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, h) nesdružovat osobní údaje, které byly získány k rozdílným účelům. pokračování Podle ust. § 13 odst. 1 zákona o ochraně osobních údajů jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Podle odst. 2 citovaného ustanovení je správce nebo zpracovatel povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. V odst. 3 citovaného ustanovení je správci nebo zpracovateli stanovena povinnost v rámci opatření podle odst. 1 posuzovat rizika týkající se vyjmenovaných oblastí.

Podle ust. § 13 odst. 4 zákona o ochraně osobních údajů je správce nebo zpracovatel povinen v oblasti automatizovaného zpracování osobních údajů v rámci opatření podle odstavce 1 také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům.

Povinnosti stanovené v zákona o ochraně osobních údajů v ust. § 5 odst. 1 na straně jedné a v ust. § 13 na straně druhé jsou svou povahou zcela odlišné. Zatímco v prvém citovaném ustanovení jsou stanoveny povinnosti při zpracování osobních údajů, ve druhém citovaném ustanovení jsou stanoveny povinnosti při zabezpečení osobních údajů. Posledně uvedené ustanovení tedy směřuje k zamezení neoprávněného přístupu ke zpracovávaným a zpracovaným osobním údajům, popř. jejich neoprávněné změně, zničení, ztrátě, přenosům, zpracování či jinému zneužití. Při zabezpečení osobních údajů se nejedná o zpracování ve smyslu ust. § 4 písm. e) zákona o ochraně osobních údajů. Ust. § 13 citovaného zákona tedy nelze chápat pouze jako upřesnění ust. § 5 odst. 1 citovaného zákona. Toto ustanovení nestanoví žádné srovnatelné povinnosti ani plnění povinností v něm zakotvených a ani jinak nezaručuje bezpečnost osobních údajů. Tím, že správce stanoví prostředky a způsob zpracování osobních údajů, tedy splní povinnosti podle ust. § 5 odst. 1 písm. b) zákona o ochraně osobních údajů, nijak neplní povinnost přijmout opatření k zabezpečení osobních údajů.

Taxativní výčet ustanovení, která se podle ust. § 3 odst. 6 zákona o ochraně osobních údajů na správce údajů ve vyjmenovaných oblastech nepoužijí, je nutno považovat za zcela jednoznačně projevenou vůli zákonodárce nevyjímat tyto správce z povinnosti podle ust. § 13 citovaného zákona. Navíc se výjimky podle ust. § 3 odst. 6 citovaného zákona výslovně uplatní pouze pro zpracování osobních údajů, pod které nelze zahrnout zabezpečení osobních údajů. Takto projevená vůle zákonodárce přitom plně koresponduje s čl. 13 odst. 1 směrnice, podle něhož mohou členské státy přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, čl. 10, čl. 11 odst. 1 a čl. 12 a čl. 13, pokud je to nezbytné pro zajištění vyjmenovaných zájmů. A contrario tak členské státy nemohou učinit v případě povinnosti podle čl. 17. Nemožnost rozšíření takové výjimky lze dovodit i z cíle směrnice, jak je vyjádřen například v bodě 10. odůvodnění nebo v čl. 1 odst. 1. Podle nich členské státy zajišťují ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů. Sblížení vnitrostátních právních předpisů použitelné v dané oblasti nesmí vést k oslabení ochrany, kterou zajišťují, ale musí mít naopak za cíl zajištění vysoké úrovně ochrany v Evropské unii [v tomto smyslu viz rozsudky Soudního dvora EU ve věcech C-101/01 Lindqvist, Sb. rozh. 2003, s. I 12971, bod 95; C-524/06 Huber, Sb. rozh. 2008, s. I 9705, bod 50; C-73/07 Tietosuojavaltuutettu, Sb.roh. 2008, s. I-9831, bod 52; a C-468/10 a C-469/10 ASNEF, dosud nepublikováno ve Sb. rozh., bod 28; všechny dostupné na http://curia.europa.eu]. Také eurokonformní výklad zákona o ochraně osobních údajů, tj. výklad přibližující se co nejvíce obsahu a účelu směrnice, potvrzuje nutnost restriktivního posuzování výjimek podle ust. § 3 odst. 6 citovaného zákona. Pokud by český zákonodárce vyňal správce údajů v oblastech, které jsou v tomto ustanovení vyjmenovány, i z povinnosti stanovené v ust. § 13 zákona o ochraně osobních údajů, překročil by své oprávnění k přijetí výjimky podle čl. 13 odst. 1 směrnice. O tom, že tento článek připouští výjimky pouze z vyjmenovaných ustanovení směrnice, přitom nemá pochybnosti ani Soudní dvůr EU (srov. rozsudek ve věci C-73/07 Tietosuojavaltuutettu, Sb. roh. 2008, s. I-9831, bod 47).

Jelikož tedy správa systému ADIS není vyňata z působnosti ust. § 13 zákona o ochraně osobních údajů, je zcela nadbytečné zabývat se otázkou, v jakém rozsahu spadá správa daní pod výjimku podle ust. § 3 odst. 6 citovaného zákona a jaký je přesný obsah pojmu daňová opatření podle tohoto ustanovení.

Další námitky Ministerstva financí se týkají výkladu ust. § 13 zákona o ochraně osobních údajů a čl. 17 směrnice.

Podle čl. 17 odst. 1 směrnice stanoví členské státy, že správce údajů musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování. Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.

Jak již Soudní dvůr několikrát potvrdil, směrnice obsahuje pravidla vyznačující se jistou pružností a v mnoha případech ponechává na členských státech, aby upravily podrobnosti nebo si vybraly z daných možností. Je proto potřeba vždy posoudit, zda byla vnitrostátní opatření přijata, a v konkrétním případě také aplikována, v rámci směrnicí nastaveného prostoru pro uvážení (srov. např. rozsudky Soudního dvora ve věcech C-101/01 Lindqvist, Sb. rozh. 2003, s. I 12971, body 83 až 85; a C-468/10 a C-469/10 ASNEF, dosud nepublikováno ve Sb. rozh., body 35-36).

Je nutno také vzít v úvahu, že čl. 17 odst. 1 věta druhá směrnice je nejen z povahy tohoto pramene práva (viz čl. 288 věta třetí Smlouvy o fungování Evropské unie), ale i ze své dikce adresován členským státům. Jedná se o hlediska, která musí členské státy zohlednit při stanovení vhodných technických a organizačních opatření na ochranu osobních údajů, tj. jakýsi konkretizovaný požadavek proporcionality vnitrostátní legislativy. Jde tedy o pokyn, jakým způsobem má být směrnice v této části transponována, nikoliv o pravidlo, které by měl český zákonodárce vtělit do vnitrostátního předpisu. V žádném případě proto z tohoto článku nevyplývá povinnost členských států ponechat na zpracovatelích a správcích, jaká opatření na ochranu osobních údajů přijmou, pokud při tom řádně zohlední všechna uvedená hlediska. Směrnice požaduje určitý minimální standard bezpečnosti osobních údajů, přičemž ponechává na členských státech, jakými konkrétními opatřeními tento standard zajistí a zda případně přistoupí k vytvoření vyššího standardu bezpečnosti osobních údajů. V tomto jsou členské státy limitovány právě například požadavkem proporcionality podle čl. 17 odst. 1 věta druhá směrnice.

Je proto potřeba posoudit, zda byla výše uvedená hlediska respektována při legislativním zakotvení povinností podle ust. § 13 zákona o ochraně osobních údajů a při jeho aplikaci. Pouhým přijetím odpovídající právní úpravy se totiž požadavek řádné implementace směrnice pokračování nevyčerpává (srov. rozsudek Soudního dvora ve věci C-62/00 Marks & Spencer, Sb.rozh. 2002, s. I-6325, body 27-28). Před tím je však nutno poukázat na rozdílný režim ust. § 13 odst. 1 a odst. 4 zákona o ochraně osobních dat.

Český zákonodárce v ust. § 13 zákona o ochraně osobních dat zvolil kombinaci obecně stanovené povinnosti přijmout opatření na ochranu osobních údajů (odst. 1) a dále, pouze pro oblast automatizovaného zpracování osobních údajů, povinnosti přijmout konkrétní opatření (odst. 4). V prvém případě je volba konkrétních opatření ponechána na správci a zpracovateli, ovšem tak, aby byl naplněn požadavek odst. 1 citovaného ustanovení, tj. aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. V případě konkrétních opatření podle odst. 4 citovaného ustanovení již tomu tak není. Ta je nutno přijmout bezvýjimečně.

Ust. § 13 odst. 4 zákona o ochraně osobních dat lze skutečně chápat jako upřesnění odst. 1 citovaného ustanovení, ovšem nikoliv ve smyslu demonstrativního výčtu opatření ponechaných na volbě správce nebo zpracovatele. Určitý vztah mezi nimi neznamená, že musí také sdílet totožný režim. Zatímco citované ustanovení obecně požaduje dosažení určitého cíle bez ohledu na konkrétní zvolená opatření (odst. 1), ve speciálních situacích (automatizované zpracování osobních údajů) již trvá také na provedení konkrétních opatření (odst. 4). Obě pravidla jsou proto relativně samostatná. Z hlediska odst. 4 citovaného ustanovení není rozhodné, zda a do jaké míry dochází zároveň k naplnění cíle podle odst. 1 citovaného ustanovení. Jelikož je však nutno opatření podle odst. 4 citovaného ustanovení přijmout také , jejich přijetím není dotčena povinnost podle odst. 1 citovaného ustanovení. Totéž platí pro opačnou vazbu mezi oběma odstavci. Splněním povinnosti podle odst. 1 citovaného ustanovení nejsou nijak dotčeny povinnosti podle odst. 4 citovaného ustanovení, neboť ty je nutno splnit také . Jakkoliv tedy ust. § 13 odst. 4 zákona o ochraně osobních údajů obsahuje opatření, která jsou svou povahou zároveň opatřeními v režimu odst. 1 citovaného ustanovení (nikoliv však nutně postačujícími), jejich přijetí zjevně není, oproti obecnému pravidlu v odst. 1, ponecháno na vůli správce nebo zpracovatele.

Opačný výklad nelze dovodit ani z novelizace ust. § 13 zákona o ochraně osobních údajů provedené zákonem č. 170/2007 Sb., respektive z důvodové zprávy k tomuto zákonu. Na jednu stranu sice důvodová zpráva hovoří o konkretizaci opatření požadovaných již na základě odst. 1 citovaného ustanovení, ale na druhou stranu zdůrazňuje, že nové odstavce 3 a 4 představují vyjádření konkrétních povinností správců a zpracovatelů a stanoví přesný obsah opatření v rámci plnění povinnosti správců (a zpracovatelů) pro zabezpečení osobních údajů. Důvodová zpráva tedy jen potvrzuje skutečnost, že povinnost podle ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů je nutno plnit bez ohledu na to, jaká další opatření podle odst. 1 citovaného ustanovení jsou správcem či zpracovatelem přijata. Stanovením konkrétní povinnosti s přesným obsahem zjevně nebylo zamýšleno ponechat na vůli správce či zpracovatele, zda danou povinnost bude plnit či nikoliv.

Ust. § 13 odst. 1 a 4 zákona o ochraně osobních údajů tedy obsahují dvě relativně samostatné povinnosti, jimiž je proveden čl. 17 odst. 1 směrnice. V posuzované věci je přitom sporný soulad zákona se směrnicí pouze co do povinnosti podle ust. § 13 odst. 4 písm. c) citovaného zákona. Konkrétně je potřeba posoudit, zda byla tato povinnost zakotvena v souladu s požadavkem proporcionality konkretizovaným v čl. 17 odst. 1 věta druhá směrnice.

Při posuzování přiměřenosti povinnosti zaznamenávat tzv. logy, tj. pořizovat záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval, je nutno vzít v úvahu její výslovné omezení na případy automatizovaného zpracování osobních údajů. Obecně ze zpracování osobních údajů tímto způsobem, tedy za použití výpočetní techniky, plynou vyšší rizika úniku osobních údajů, jejich neoprávněné změny, zničení, ztráty, zpracování či jiného zneužití, protože výpočetní technika umožňuje rychlé a detailní zpracování velkého množství dat, jakož i jejich snadné a bez zvláštních opatření následně jen obtížně zjistitelné kopírování, včetně kopírování nepovoleného. Ve své podstatě jsou to právě informační systémy provozované pomocí výpočetní techniky, jež jsou svoji podstatou typickým potenciálním objektem zneužití osobních údajů v masovém měřítku, a to způsobem, co do komerčních i jiných možností využití takto získaných dat vysoce společensky nebezpečným. Toto vyšší riziko pak odůvodňuje zakotvení specifické povinnosti, jejíž plnění s sebou navíc nenese nepřiměřené náklady. Je-li automatizované zpracování osobních údajů využíváno, nemůže činit za současného stavu techniky problém implementovat do používaného systému na zpracování osobních údajů další vedlejší funkci-zaznamenávání určitých operací tak, aby byla zpětně dohledatelná jejich povaha a rozsah. Takové opatření má vysoký preventivní účinek zabraňující zneužití údajů z informačního systému, neboť každý, kdo s ním pracuje, si musí být vědom toho, že je možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo oprávněně. Zároveň si lze stěží představit jiné adekvátní opatření, které by se srovnatelnou účinností zajišťovalo bezpečnost osobních údajů. V případě splnění povinnosti podle ust. § 13 odst. 4 zákona o ochraně osobních údajů totiž každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, si musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno. Požadavek na zaznamenávání tzv. logů proto Nejvyšší správní soud považuje ve všech případech automatizovaného zpracování osobních údajů za plně legitimní, žádoucí a s ohledem na jeho omezení pouze na případy automatizovaného zpracování také přiměřený. Povinnost podle ust. § 13 odst. 4 zákona o ochraně osobních údajů tedy odpovídá požadavkům čl. 17 odst. 1 směrnice.

Splnění uvedené povinnosti se nelze vyhnout poukazem na dodržení podmínek ust. § 13 odst. 1 zákona o ochraně osobních údajů, potažmo tvrzením, že bezpečnost osobních údajů je dostatečná. Ministerstvo financí proto nesplnilo povinnosti podle ust. § 13 odst. 4 zákona o ochraně osobních údajů tím, že přijalo jiná organizační a technická opatření. A to i v případě, že by tato opatření umožňovala s relativně vysokou mírou pravděpodobnosti zjistit tu stejnou skutečnost . Cílem opatření je totiž zjistit, kdo a kdy konkrétně provedl určitou operaci s osobními údaji, nikoliv pouze s relativně vysokou mírou pravděpodobnosti. Tento cíl je legitimní a prostředky k němu vedoucí [opatření podle ust. § 13 odst. 4 písm. c) zákona o ochraně osobních údajů] proporcionální. V žádném případě tohoto cíle nelze dosáhnout hrozbou sankce za porušení povinnosti mlčenlivosti stanovené v ust. § 52 odst. 1 daňového řádu. Taková povinnost je stanovena i v ust. § 15 zákona o ochraně osobních údajů a nelze tvrdit, že by pouhá možnost uložení vyšší sankce v případě porušení povinnosti mlčenlivosti podle daňového řádu měla vést k vyloučení aplikace ust. § 13 odst. 4 zákona o ochraně osobních údajů pouze v oblasti daňové správy. Nejvyšší správní soud proto dospěl k závěru, že ani aplikací zákonné úpravy v daném případě nedošlo k rozporu se zněním a účelem směrnice.

Jelikož tedy čl. 17 odst. 1 směrnice byl řádně implementován, není opodstatněná ani námitka jeho přímého účinku. Otázka přímého účinku směrnice se totiž stává aktuální vždy teprve až v okamžiku chybějící či špatně provedené implementace (srov. rozsudky Soudního dvora ve věcech 8/81 Becker, Sb. rozh. 1982, s. 53, bod 20; 103/88 Costanzo, Sb. rozh. 1989, s. 1839, bod 29; C-319/97 Kortas, Sb. rozh. 1999, s. I-3143, bod 21). Není proto důvod zkoumat další podmínky nastoupení přímého účinku směrnice. pokračování Výklad čl. 13 odst. 1 a čl. 17 odst. 1 směrnice považuje Nejvyšší správní soud, i s ohledem na dosavadní judikaturu Soudního dvora EU, za natolik jasný, že neshledal důvod položit Soudnímu dvoru EU v tomto směru předběžnou otázku (srov. rozsudek Soudního dvora ve věci 283/81 CILFIT, Sb. rozh. 1982, s. 3415, body 10-20).

S ohledem na výše uvedené dospěl Nejvyšší správní soud k závěru, že kasační stížnost je nedůvodná, a proto ji zamítl (§ 110 odst. 1 věta druhá s. ř. s.).

Ve věci rozhodl v souladu s ust. § 109 odst. 2 s. ř. s., podle něhož rozhoduje Nejvyšší správní soud o kasační stížnosti zpravidla bez jednání, když neshledal důvody pro jeho nařízení.

Výrok o náhradě nákladů řízení se opírá o ust. § 60 odst. 1 věta první ve spojení s ust. § 120 s. ř. s. podle kterého, nestanoví-li tento zákon jinak, má účastník, který měl ve věci plný úspěch právo na náhradu nákladů řízení před soudem, které důvodně vynaložil proti účastníkovi, který ve věci úspěch neměl. Nejvyšší správní soud žádnému z účastníků náhradu nákladů nepřiznal, protože stěžovatel v řízení úspěch neměl a Úřadu žádné náklady s tímto řízením nevznikly.

P o u č e n í : Proti tomuto rozsudku n e j s o u opravné prostředky přípustné.

V Brně dne 4. dubna 2013

JUDr. Eliška Cihlářová předsedkyně senátu