<!DOCTYPE html> <html lang="cs"> <head> <title> 1 As 238/2021- 33 - text</title> </head> <body> ÿþ 1 As 238/2021 - 38<br/>pokra ování<br/><br/>[OBRÁZEK]<br/> ESKÁ REPUBLIKA<br/><br/><br/>R O Z S U D E K<br/>J M É N E M R E P U B L I K Y<br/><br/><br/>Nejvyaaí správní soud rozhodl v senátu slo~eném z pYedsedkyn JUDr. Lenky Kaniové a soudco JUDr. Josefa Baxy a JUDr. Ivo Pospíaila v právní vci ~alobce: Internet Mall, a.s., se sídlem U Gará~í 1611/1, Praha 7, zastoupen Mgr. Lukem `rubaYem, advokátem se sídlem Hanusova 1537/1, Praha 4, proti ~alovanému: ÚYad pro ochranu osobních údajo, se sídlem pplk. Sochora 27, Praha 7, o ~alob proti rozhodnutí pYedsedkyn ~alovaného ze dne 21. 9. 2018, . j. UOOU04073/1811, v Yízení o kasa ní stí~nosti ~alobce proti rozsudku Mstského soudu v Praze ze dne 24. 6. 2021, . j. 6 A 188/2018  57,<br/><br/><br/>takto:<br/><br/><br/>I. Rozsudek Mstského soudu v Praze ze dne 24. 6. 2021, . j. 6 A 188/2018  57, se zruauje. <br/><br/>II. Rozhodnutí pYedsedkyn ÚYadu pro ochranu osobních údajo ze dne 21. 9. 2018, . j. UOOU04073/1811, se zruauje a vc se vrací ~alovanému k dalaímu Yízení. <br/><br/>III. }alovaný nemá právo na náhradu náklado Yízení o ~alob ani kasa ní stí~nosti. <br/><br/>IV. }alovaný je povinen uhradit ~alobci k rukám jeho zástupce Mgr. Luka `rubaYe, advokáta se sídlem Hanusova 1537/1, Praha 4, na náhrad náklado Yízení ástku ve výai 25.456 K , a to do 30 dno od právní moci tohoto rozsudku. <br/><br/><br/>Odovodnní:<br/><br/><br/>I. Vymezení vci<br/><br/>[1] PYedmtem sporu v projednávané vci je výklad § 13 odst. 1 zákona . 101/2000 Sb., o ochran osobních údajo a o zmn nkterých zákono, a zodpovzení otázky, zda se ~alobce dopustil pYestupku podle § 45 odst. 1 písm. h) tého~ zákona. <br/><br/>[2] }alovaný uznal ~alobce rozhodnutím ze dne 23. 5. 2018, . j. UOOU04073/185 (dále jen  prvostupHové rozhodnutí ), vinným ze spáchání pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo, jeho~ se ml dopustit tím, ~e nepYijal opatYení pro zajiatní bezpe nosti zpracovávaných osobních údajo. Konkrétn bylo zjiatno, ~e ~alobce nezabezpe il osobní údaje nejmén 735 956 zákazníko v rozsahu jméno, pYíjmení, emailová adresa, heslo u~ivatelského ú tu, pYípadn telefonní íslo pYed neoprávnným pYístupem v období minimáln od 31. prosince 2014 do srpna 2017, v dosledku eho~ doalo v dob od 27. ervence 2017 do 25. srpna 2017 k jejich zpYístupnní na internetových stránkách www.ulozto.cz. Tímto jednáním ~alobce poruail povinnost stanovenou v § 13 odst. 1 zákona o ochran osobních údajo. Za spáchání uvedeného pYestupku mu ~alovaný ulo~il pokutu ve výai 1.500.000 K .<br/><br/>[3] }alobce podal proti prvostupHovému rozhodnutí rozklad, který pYedsedkyn ~alovaného rozhodnutím ze dne 21. 9. 2018, . j. UOOU04073/1811, zamítla.<br/><br/>II. Rozsudek mstského soudu<br/><br/>[4] }alobce se dále bránil správní ~alobou, kterou Mstský soud v Praze (dále jen  mstský soud ) v záhlaví specifikovaným rozsudkem zamítl.<br/><br/>[5] PYedn neshledal, ~e by byla správní rozhodnutí nepYezkoumatelná i dokonce nicotná. Pokud se jedná o zákonnost napadeného rozhodnutí, zdoraznil, ~e ~alobce odcizení osobních údajo po dobu nkolika let vobec nezaznamenal, a to, ~e k nmu doalo, zjistil náhodou. Nadto doalo ke zneu~ití dat, která se nezjiatnému subjektu podaYilo deaifrovat a zveYejnit. Ji~ z tchto skute ností je zjevné, ~e ~alobcem pYijatá opatYení byla neú inná. Soud pYitom pova~oval za nerozhodné, ~e k prolomení zabezpe ení aifrovaných údajo zYejm doalo a~ po nkolika letech díky technologickému vývoji. `ifrování musí být v~dy provedeno tak, aby zabránilo zneu~ití dat. To se v daném pYípad nestalo, pro e~ soud nepYisvd il tvrzení ~alobce, ~e provedení aifrování pYedstavovalo okolnost, která jej zbavovala odpovdnosti za daný delikt. <br/><br/>[6] Soud dále uvedl, ~e povinnost chránit osobní údaje nemo~e být absolutní, neboe z podstaty vci nelze pYedvídat vaechny potenciální scénáYe, které mohou nastat. V~dy je proto tYeba zohlednit adekvátnost u inných opatYení ze strany správce údajo. To vaak ~alovaný u inil a shledal, ~e opatYení jako celek nedosáhla potYebné úrovn. Jako mYítko pYimYenosti ~alovaný uplatnil skute nost, ~e pro vznik deliktní odpovdnosti není rozhodné, zda k neoprávnnému pYístupu i ke zneu~ití osobních údajo skute n doalo. Skutková podstata je naplnna ji~ nepYijetím nezbytných opatYení. Nebyloli detekováno bezpe nostní riziko ani po odcizení dat, nemohla být pYijatá opatYení dostate n kvalitní. }alovaný nemusel komentovat jednotlivá ~alobcem pYijatá opatYení a jejich dostate nost, neboe vycházel ze skute nosti, ~e zákonná dikce ponechává zposob a prostYedky zabezpe ení na vlastní úvaze správco a klade doraz pouze na výsledný ú inek. Ten pova~oval ~alovaný v posuzovaném pYípad za nedostate ný.<br/><br/>[7] Soud nepYisvd il ani tvrzení ~alobce, ~e ~alovaný nezkoumal vaechny znaky pYestupku a nesprávn dovodil naplnní skutkové podstaty pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo. Za nedovodnou ozna il i námitku existence libera ních dovodo. Uvedl, ~e libera ní dovody jsou ur ené pouze pro aplikaci ve výjime ných pYípadech. }alobce v této souvislosti neunesl dokazní bYemeno, neboe ani ~alovanému ani mstskému soudu nepodal dokaz o provedení takových opatYení, která by pYedstavovala maximální mo~né úsilí smYující k zabránní vzniku bezpe nostní události. <br/><br/>[8] Soud se zabýval rovn~ námitkou prekluze odpovdnosti za pYestupek. Ztoto~nil se s názorem ~alovaného, ~e se jednalo o trvající delikt, neboe k ukon ení protiprávního stavu doalo a~ pYijetím nových opatYení pro zabezpe ení osobních údajo, k emu~ ~alobce pYikro il a~ po zveYejnní odcizené databáze. Protiprávní stav tedy trval minimáln od 31. 12. 2014 do srpna 2017. Lhota pro ulo~ení pokuty i zahájení správního Yízení tedy po ala b~et a~ od okam~iku ukon ení trvajícího protiprávního stavu a k prekluzi proto nedoalo. <br/><br/>[9] Kone n se soud zabýval i pYimYeností ulo~ené pokuty. Uvedl, ~e odovodnní výae pokuty v prvostupHovém rozhodnutí je stru né, ale obstojí. }alovaný ulo~il ~alobci pokutu na úrovni mén ne~ tYetiny zákonného rozmezí. Soud pova~oval poruaení povinností za záva~né, pYi em~ poukázal i na skute nost, ~e ~alobce je profesionálem v oboru a provádí rozsáhlé zpracování osobních údajo v etn u~ivatelských hesel. Na druhou stranu pYihlédl soud k iniciativ ~alobce pYi náprav nezákonného stavu. S ohledem na vaechny konkrétní okolnosti pak neshledal, ~e by byla pokuta ulo~ena v nepYimYené výai. <br/><br/>III. Obsah kasa ní stí~nosti<br/><br/>[10] }alobce (st~ovatel) podal proti rozsudku mstského soudu kasa ní stí~nost z dovodu podle § 103 odst. 1 písm. a) zákona . 150/2002 Sb., soudní Yád správní (dále jen  s. Y. s. ). Má za to, ~e soud nesprávn vylo~il § 45 odst. 1 písm. h) zákona o ochran osobních údajo ve spojení s § 13 odst. 1 tého~ zákona. <br/><br/>[11] Soud vycházel ze skute nosti, ~e pYestupek podle citovaného ustanovení je konstruován jako odpovdnost za následek, jím~ je ohro~ení bezpe nosti zpracovávaných osobních údajo. S tímto závrem se vaak st~ovatel neztoto~Huje a domnívá se, ~e uvedený výklad je v rozporu s textem zákona a úmyslem zákonodárce. Dot ené ustanovení vychází z norem evropského práva, jejich~ autoYi si byli vdomi toho, ~e veakerá bezpe nostní opatYení jsou v~dy pozadu za jakýmikoliv hrozbami, pro e~ antivirové, ani jiné softwarové prostYedky nikdy neposkytnou 100% ochranu. To lze ostatn ilustrovat i na sérii kybernetických útoko, jimi~ byla zasa~ena napY. nkterá zdravotnická zaYízení v R. Výklad aplikovaný mstským soudem by znamenal, ~e veakeré subjekty, které byly obtí takových útoko, by se dopustily pYestupku, bez ohledu na to, jaká opatYení reáln pYijaly. Pokud se jedná o zmiHovaná zdravotnická zaYízení, ta mla oproti st~ovateli  výhodu , neboe osoby, které data odcizily, jim znemo~nily pYístup k tmto datom a sou asn po~adovaly výkupné. Proto se dot ené subjekty o útoku (na rozdíl od st~ovatele) dozvdly. Pouze v pYípad, kdy by se st~ovatel o úniku dat dozvdl ihned, by pak dle logiky mstského soudu pYicházelo v úvahu, aby se ~alovaný zabýval jím pYijatými opatYeními. Takový pYístup je zcela chybný a st~ovatel trvá na tom, ~e pro naplnní skutkové podstaty uvedeného pYestupku není podstatné, zda se osobní údaje podaYilo ochránit i nikoliv, ale jaká opatYení subjekt za ú elem ochrany osobních údajo pYijal. <br/><br/>[12] Podle § 13 zákona o ochran osobních údajo pak není povinností správce údajo pYijmout za ú elem jejich ochrany vaechna myslitelná opatYení. Tento výklad koresponduje i s textem naYízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 (dále jen  obecné naYízení ), pYi em~ mstský soud dospl k závru, ~e aplikace uvedeného pYedpisu není na míst, proto~e je pro st~ovatele pYísnjaí. Pokud tedy ani pYísnjaí pYedpis nepo~aduje pYijetí veakerých mo~ných opatYení, st~í lze uvedený výklad pYijmout v nynjaí vci. Proto je nezbytné zabývat se povahou pYijatých opatYení. Pouze na základ jejich posouzení lze u init závr o odpovdnosti za pYestupek podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo. St~ovatel pYedlo~il ~alovanému i mstskému soudu bohaté penzum dokazo ohledn pYijatých opatYení, ani jeden z nich k nim vaak nepYihlédl. Jedinou výjimku pYedstavuje problematika aifrování, které vaak soud pova~oval za nedostate né, bye k jeho prolomení doalo a~ po nkolika letech. Skute nost, ~e k prolomení aifrování doalo a~ se zna ným asovým odstupem, pYitom dle mínní st~ovatele prokazuje, ~e v rozhodném období bylo zcela dostate né. V dob, kdy se ho neznámému hackerovi podaYilo prolomit, ji~ pou~íval ~alobce zcela jiný, pokro ilejaí typ zabezpe ení. <br/><br/>[13] St~ovatel je pYesvd ený, ~e jím dolo~ená opatYení (která vyjmenoval i v kasa ní stí~nosti, Nejvyaaí správní soud je vaak nepova~uje za nezbytné na tomto míst rekapitulovat) mají dostate nou kvalitu pro to, aby mohla být posouzena jako adekvátní opatYení dle § 13 zákona o ochran osobních údajo. Proto vobec nedoalo k naplnní skutkové podstaty pYestupku podle § 45 tého~ zákona. Pro pYípad, ~e by kasa ní soud této argumentaci nepYisvd il, uvádí st~ovatel, ~e pYijatá opatYení obstojí i jako libera ní dovod dle § 21 zákona . 250/2016 Sb., o odpovdnosti za pYestupky a Yízení o nich. <br/><br/>[14] Pro úplnost st~ovatel poukazuje i na nedostate né odovodnní výae ulo~ené pokuty, které z vtainy sestává pouze z obecných formulací. Tvrzení soudu, ~e je profesionálem v oboru, pova~uje st~ovatel za zavádjící, neboe osobní údaje zpracovává výlu n proto, aby mohl provozovat svoji podnikatelskou innost, která spo ívá v prodeji zbo~í. <br/><br/>[15] St~ovatel tedy navrhuje, aby Nejvyaaí správní soud rozsudek mstského soudu zruail a vc mu vrátil k dalaímu Yízení. <br/><br/>IV. VyjádYení ~alovaného<br/><br/>[16] }alovaný k obsahu kasa ní stí~nosti uvádí, ~e prvotním smyslem § 13 odst. 1 zákona o ochran osobních údajo sice bylo stanovení povinnosti pYijmout ur itá opatYení. Tato opatYení vaak musí mít takovou kvalitu, aby zabránila zneu~ití osobních údajo. Jak potvrdil i mstský soud, v pYípad § 45 odst. 1 písm. h) citovaného zákona se jedná o tzv. ohro~ovací delikt a pro vznik odpovdnosti tedy posta í potencialita ohro~ení chránného objektu. Výklad zastávaný st~ovatelem pova~uje ~alovaný za lichý, neboe jeho pYijetí by vedlo k nepYimYenému zú~ení okruhu posti~itelných jednání. <br/><br/>[17] }alovaný dále poukazuje na specifické skutkové okolnosti pYípadu, které spo ívají v tom, ~e doalo k odcizení databáze obsahující údaje o více ne~ 700 000 zákazníko st~ovatele. Tento únik pYitom nebyl v reálném ase zjiatn a st~ovatel jej neodhalil jeat nkolik následujících let. Takto se stalo a~ po zpYístupnní údajo na internetových stránkách www.ulozto.cz. Je tedy zjevné, ~e st~ovatelem pYijatá opatYení byla jako celek neú inná a k naplnní skutkové podstaty pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo doalo. Za panujícího skutkového stavu nelze uva~ovat ani o naplnní libera ních dovodo. <br/><br/>[18] Tvrzení st~ovatele, ~e k prolomení zabezpe ení aifrované ásti databáze doalo a~ o nkolik let pozdji, je pouhou spekulací (nebylo zjiatno, kdy k prolomení doalo) a nejedná se o relevantní okolnost. Pokud se jedná o st~ovatelem odkazované obecné naYízení, to je tYeba vykládat stejn jako dYívjaí právní úpravu. Navíc vaak umo~Huje ulo~it za obdobné jednání podstatn pYísnjaí sankci. <br/><br/>[19] }alovaný má rovn~ za to, ~e dostate ným zposobem odovodnil výai ulo~ené pokuty. K tomu dodává, ~e st~ovatel patYí mezi nejvtaí internetové nákupní galerie. Zpracování osobních údajo zákazníko proto tvoYí imanentní sou ást jeho podnikatelské innosti. }alovanému je nadto z jeho úYední innosti známo, ~e st~ovatel osobní údaje zpracovává i pro marketingové ú ely. <br/><br/>[20] Z uvedených dovodo ~alovaný navrhuje, aby Nejvyaaí správní soud kasa ní stí~nost jako nedovodnou zamítl. <br/><br/>V. Posouzení vci Nejvyaaím správním soudem<br/><br/>[21] Nejvyaaí správní soud posuzoval splnní podmínek Yízení, pYi em~ shledal, ~e kasa ní stí~nost byla podána v as, osobou oprávnnou a jedná se o kasa ní stí~nost, která je ve smyslu § 102 s. Y. s. pYípustná. Dovodnost kasa ní stí~nosti posoudil v mezích jejího rozsahu a uplatnných dovodo, sou asn zkoumal, zda napadené rozhodnutí netrpí vadami, k nim~ by byl nucen pYihlédnout z úYední povinnosti (§ 109 odst. 3 a 4 s. Y. s.).<br/><br/>[22] Kasa ní stí~nost je dovodná.<br/><br/>[23] V posuzované vci není sporné, ~e st~ovatel nezabránil neoprávnnému pYístupu k osobním údajom (blí~e specifikovaným v bod [2] tohoto rozsudku) více ne~ 700 tisíc jeho zákazníko. Odcizení údajo pak odhalil a~ se zna ným asovým odstupem, a to v návaznosti na jejich zveYejnní na internetových stránkách www.ulozto.cz. St~ovatel nicmén v kasa ní stí~nosti zpochybnil, ~e tyto skute nosti samy o sob posta ují k tomu, aby jej ~alovaný uznal vinným ze spáchání pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo. Domnívá se, ~e jak ~alovaný, tak mstský soud interpretovali citované ustanovení chybn, a trvá na tom, ~e bylo povinností ~alovaného zkoumat, jaká opatYení st~ovatel za ú elem pYedejití neoprávnného pYístupu k osobním údajom pYijal. <br/><br/>[24] Nejvyaaí správní soud pYedesílá, ~e v posuzované vci vycházeli ~alovaný i mstský soud z dYívjaí (dnes ji~ neú inné) právní úpravy. Mstský soud se mimo jiné zabýval otázkou, zda není na míst pou~ití pozdjaích pYedpiso, dovodil vaak, ~e úprava obsa~ená v obecném naYízení by byla pro st~ovatele pYísnjaí. Proto vycházel ze zákona o ochran osobních údajo (jako~ i z norem evropského práva), ve znní ú inném v dob spáchání pYestupku. Relevantní ustanovení dot ených právních pYedpiso rekapituluje kasa ní soud ní~e. <br/><br/>[25] Podle § 13 odst. 1 zákona o ochran osobních údajo  [s]právce a zpracovatel jsou povinni pYijmout taková opatYení, aby nemohlo dojít k neoprávnnému nebo nahodilému pYístupu k osobním údajom, k jejich zmn, zni ení i ztrát, neoprávnným pYenosom, k jejich jinému neoprávnnému zpracování, jako~ i k jinému zneu~ití osobních údajo. Tato povinnost platí i po ukon ení zpracování osobních údajo. <br/><br/>[26] Podle § 45 odst. 1 písm. h) tého~ zákona  [p]rávnická nebo podnikající fyzická osoba se jako správce nebo zpracovatel dopustí pYestupku tím, ~e pYi zpracování osobních údajo nepYijme nebo neprovede opatYení pro zajiatní bezpe nosti zpracování osobních údajo (§ 13)[.]<br/><br/>[27] Uvedená úprava je odrazem (ji~ zruaené) smrnice Evropského parlamentu a Rady 95/46/ES o ochran fyzických osob v souvislosti se zpracováním osobních údajo a o volném pohybu tchto údajo (dále jen  smrnice 95/46/ES ), její~ l. 17 odst. 1 znl:  lenské státy stanoví, ~e správce musí pYijmout vhodná technická a organiza ní opatYení na ochranu osobních údajo proti náhodnému nebo nedovolenému zni ení, náhodné ztrát, úpravám, neoprávnnému sdlování nebo pYístupu, zejména pokud zpracování zahrnuje pYedávání údajo v síti, jako~ i proti jakékoli jiné podob nedovoleného zpracování. Tato opatYení mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, pYimYenou úroveH bezpe nosti odpovídající rizikom vyplývajícím ze zpracování údajo a z povahy údajo, které mají být chránny.<br/><br/>[28] Pokud se jedná o pozdjaí právní úpravu, kasa ní soud pYipomíná pYedevaím l. 24 odst. 1 obecného naYízení, který stanoví, ~e  [s] pYihlédnutím k povaze, rozsahu, kontextu a ú elom zpracování i k rozn pravdpodobným a rozn záva~ným rizikom pro práva a svobody fyzických osob zavede správce vhodná technická a organiza ní opatYení, aby zajistil a byl schopen dolo~it, ~e zpracování je provádno v souladu s tímto naYízením. Tato opatYení musí být podle potYeby revidována a aktualizována. <br/><br/>[29] Podle l. 32 odst. 1 naYízení pak platí, ~e  [s] pYihlédnutím ke stavu techniky, nákladom na provedení, povaze, rozsahu, kontextu a ú elom zpracování i k rozn pravdpodobným a rozn záva~ným rizikom pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organiza ní opatYení, aby zajistili úroveH zabezpe ení odpovídající danému riziku. l. 32 odst. 2 naYízení dále pYedepisuje, ~e  [p]Yi posuzování vhodné úrovn bezpe nosti se zohlední zejména rizika, která pYedstavuje zpracování, zejména náhodné nebo protiprávní zni ení, ztráta, pozmHování, neoprávnné zpYístupnní pYedávaných, ulo~ených nebo jinak zpracovávaných osobních údajo, nebo neoprávnný pYístup k nim.<br/><br/>[30] Nejvyaaí správní soud se výkladem citované právní úpravy áste n zabýval v nkolika svých rozhodnutích. Ji~ v rozsudku ze dne 10. 5. 2006, . j. 3 As 21/2005  105, upozornil, ~e znní § 13 odst. 1 zákona o ochran osobních údajo klade na správce a zpracovatele osobních údajo vysoké nároky, neboe na jednu stranu ponechává zposob a prostYedky zabezpe ení na jejich vlastní úvaze, na stranu druhou vaak v pYípad nedostate nosti opatYení stanoví pomrn vysoké sankce. <br/><br/>[31] V rozsudku ze dne 30. 1. 2013, . j. 7 As 150/2012  35, dále zdoraznil, ~e smrnice 95/46/ES obsahuje pravidla vyzna ující se jistou pru~ností, pYi em~ ponechává na lenských státech, jakým zposobem podrobn upraví povinnosti dot ených subjekto. Z judikatury Soudního dvora EU vaak vyplývá, ~e je tYeba posuzovat, zda byla vnitrostátní opatYení pYijata a aplikována v rámci smrnicí nastaveného prostoru pro uvá~ení. V tomto ohledu jsou lenské státy limitovány zejména po~adavkem proporcionality vyplývajícím práv z l. 17 smrnice (srov. napY. rozsudky ve vcech C101/01 Lindqvist, body 8385; a C468/10 a C469/10 ASNEF, body 3536).<br/><br/>[32] Pokud se jedná o nyní projednávanou vc, je zjevné, ~e mstský soud pova~oval za zásadní, zda doalo k ochran osobních údajo, pota~mo zda st~ovatel zneu~ití osobních údajo v as odhalil. Vzhledem k tomu, ~e se tak nestalo, nebylo dle nj zapotYebí zabývat se kvalitou st~ovatelem pYijatých opatYení. Jinak Ye eno, pokud st~ovatel osobní údaje neochránil a ani v as nezjistil, ~e k odcizení doalo, je dle mínní mstského soudu bez dalaího zjevné, ~e jím pYijatá opatYení byla nedostate ná. Na podporu svého tvrzení poukázal i na skute nost, ~e pYestupek dle § 45 odst. 1 písm. h) pYedstavuje tzv. ohro~ovací delikt, pro e~ posta í, pokud pouze hrozí (v dosledku nedostate ných opatYení) neoprávnné nakládání s osobními údaji. Jestli~e vaak k uvedenému negativnímu následku v posuzované vci doalo, neml mstský soud o naplnní skutkové podstaty pYestupku pochyb.<br/><br/>[33] Se zde nastínným výkladem se vaak Nejvyaaí správní soud neztoto~Huje. S ~alovaným a mstským soudem lze souhlasit potud, ~e pro vznik odpovdnosti za pYestupek podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo posta í ohro~ení bezpe nosti osobních údajo. Znakem skutkové podstaty dot eného pYestupku tedy není existence následku v podob neoprávnného nakládání s osobními údaji (viz rozsudek Nejvyaaího správního soudu ze dne 28. 12. 2016, . j. 3 As 121/2014  35). To vaak jeat neznamená, ~e by existence takového následku vedla bez dalaího k závru, ~e správce i zpracovatel osobních údajo si po ínal v rozporu s § 13 odst. 1 zákona o ochran osobních údajo. Posledn citované ustanovení upravuje povinnost  pYijmout taková opatYení, aby nemohlo dojít neoprávnnému nebo nahodilému pYístupu k osobním údajom, k jejich zmn, zni ení i ztrát, neoprávnným pYenosom, k jejich jinému neoprávnnému zpracování, jako~ i k jinému zneu~ití osobních údajo . PYesto~e jeho dikce vyznívá ponkud striktn, nelze z ní init kategorický závr, ~e za dostate ná lze pova~ovat pouze taková opatYení, která v ka~dém myslitelném pYípad zabrání zneu~ití osobních údajo. Nejvyaaí správní soud zdorazHuje, ~e nelze vycházet toliko z jazykového výkladu, ale je tYeba mít na zYeteli rovn~ smysl a ú el citovaného ustanovení. V této souvislosti poslou~í jako výkladové vodítko evropská úprava, v ní~ nachází citované ustanovení svoj pYedobraz. l. 17 odst. 1 smrnice 95/46/ES pak hovoYí o nutnosti pYijetí  vhodných opatYení , která mají zajistit  s ohledem na stav techniky a na náklady na jejich provedení pYimYenou úroveH bezpe nosti . Uvedená úprava tedy nevyznívá ani zdaleka tak pYísn jako § 13 odst. 1 zákona o ochran osobních údajo. <br/><br/>[34] Jak kasa ní soud vylo~il ji~ v rozsudku . j. 7 As 150/2012  35, smrnice 95/46/ES sice ponechávala lenským státom jistou volnost v tom, jakým zposobem upraví povinnosti správco a zpracovatelo osobních údajo. lenské státy jsou vaak limitovány práv kritériem pYimYenosti vyplývajícím z l. 17 smrnice (viz bod [31] tohoto rozsudku). Nejvyaaí správní soud je tedy pYesvd ený, ~e § 13 odst. 1 zákona o ochran osobních údajo je tYeba vykládat souladn s tímto lánkem smrnice, který nepYedpokládá, ~e by odpovdnost správco a zpracovatelo osobních údajo byla bezbYehá, ale klade doraz na to, aby dot ené subjekty vynalo~ily za ú elem ochrany osobních údajo nále~ité úsilí. <br/><br/>[35] K velmi obdobným závrom ostatn kasa ní soud dospl ji~ v rozsudku ze dne 27. 6. 2019, . j. 4 As 140/2019  27, který se zabýval srovnáním úpravy obsa~ené v obecném naYízení a § 13 odst. 1 zákona o ochran osobních údajo. PYitom vyslovil, ~e citované ustanovení nelze vykládat tak, ~e  stanoví ,absolutistický po~adavek na zabezpe ení osobních údajo oproti l. 24 a l. 32 [obecného naYízení], které hovoYí o ,vhodných opatYeních a ,vhodné úrovni bezpe nosti . Obecné opatYení, stejn jako pYed ním smrnice 95/46/ES povinnosti dot ených subjekto relativizuje (ne iní je zcela absolutními) a obdobným zposobem je tYeba pYistupovat rovn~ k interpretaci § 13 odst. 1 zákona o ochran osobních údajo. Takový postup je ostatn zcela logický, neboe jak správn poznamenal mstský soud v bod 60 rozsudku, správce i zpracovatel osobních údajo nemo~e pYedvídat vaechny potenciální scénáYe, které mohou nastat. Mstský soud nicmén ihned vzáptí svoji tezi popYel, neboe dovodil, ~e st~ovatel svým povinnostem nemohl dostát, jeliko~ jím pYijatá opatYení nezabránila bezpe nostnímu incidentu a ani jej neodhalila. Takový závr pova~uje Nejvyaaí správní soud za vskutku absurdní. Je tYeba si uvdomit, ~e v nyní projednávané vci ~alovaný nezjistil (a zYejm ani nezjiaeoval) jakým zposobem k úniku dat doalo. Sou asn se odmítl zabývat tím, jaká byla kvalita opatYení, která st~ovatel pYijal a dodr~oval v dob odcizení dat. }alovaný tedy st~ovatele shledal vinným ze spáchání pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo, a koliv neznal ~ádnou ze stran rovnice, z nich~ jednu tvoYí práv opatYení za ú elem ochrany osobních údajo, druhou pak zposob odcizení dat ze strany neznámého subjektu. <br/><br/>[36] Nejvyaaí správní soud nezpochybHuje, ~e primárním smyslem a ú elem § 13 odst. 1 zákona o ochran osobních údajo je zajiatní bezpe nosti osobních údajo. Na zpracovatele a správce osobních údajo vaak nelze pYenáaet neomezenou odpovdnost za jakoukoliv (mnohdy i protiprávní i dokonce trestnou) innost jiných subjekto. Tento po~adavek se obzvláae siln projevuje práv v oblasti kybernetických útoko, o nj~ se zYejm mohlo jednat i v projednávané vci (~alovaný se k této otázce ~ádným zposobem nevyjádYil, tvrzení st~ovatele nicmén nezpochybnil). A koliv toti~ musel být st~ovatel pYipraven i na mo~nost takového protiprávního jednání, st~í lze o ekávat, ~e jím pYijatá bezpe nostní opatYení budou natolik silná, aby byla schopná odrazit pYípadn i sofistikovaný a cílený kybernetický útok. <br/><br/>[37] Kasa ní soud pYipomíná, ~e odpovdnost za pYestupek podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo není vázána na vznik poruchového negativního následku spo ívajícího v neoprávnném nakládání s osobními údaji, ale na zjiatný deficit v pYijetí nále~itých opatYení za ú elem jejich ochrany. Jinak Ye eno, pro vznik odpovdnosti za pYestupek není rozhodující, zda se osobní údaje v kone ném dosledku podaYí ochránit i nikoliv (na co~ správn poukázal i st~ovatel). V praxi to pak znamená, ~e pYestupku podle citovaného ustanovení se dopustí osoba, která nepYijme dostate ná opatYení za ú elem ochrany osobních údajo, a to i v situaci, kdy k neoprávnnému nakládání s tmito údaji nedojde. astjaí variantu pak bude pYedstavovat situace, kdy k negativnímu následku v podob neoprávnného nakládání s údaji dojde. V takovém pYípad se vaak musí ~alovaný zabývat tím, jaká opatYení dot ený subjekt pYijal a dodr~oval. Bylali opatYení nedostate ná, nastupuje odpovdnost za uvedený pYestupek. Pakli~e vaak opatYení odpovídají kritériím vyplývajícím z l. 17 smrnice 95/46/ES, pota~mo l. 24 odst. 1 a l. 32 odst. 1 obecného naYízení, a pYesto k poruaení bezpe nosti osobních údajo dojde, nejsou znaky pYestupku podle § 45 odst. 1 písm. h) naplnny a odpovdnost za pYestupek nevzniká. Za nále~itá je pYitom potYeba (s ohledem na odkazovanou evropskou úpravu) pova~ovat pYedevaím taková opatYení, která zajiaeují pYimYenou úroveH ochrany, a to s ohledem na stav techniky a náklady na jejich provedení. PYimYenost a vhodnost opatYení je pak nezbytné vnímat rovn~ jako kategorii, její~ obsah se bude také odvíjet od rozsahu a obsahu zpracovávaných údajo. <br/><br/>[38] V pYípad st~ovatele, který je významným subjektem na trhu zpracovávajícím osobní údaje Yádov minimáln nkolika set tisíc osob (jak je patrné z nyní projednávané vci), pak budou po~adavky na pYijatá opatYení nesrovnateln vyaaí, ne~ kupYíkladu u subjekto které zpracovávají osobní údaje pouze jednotek osob (napY. vlastních zamstnanco). Nejvyaaí správní soud tedy nemá pochyb o tom, ~e st~ovatel ml pYedvídat i pYípadné riziko kybernetického útoku. To vaak neznamená, ~e musel být schopen se jakémukoliv obdobnému jednání skute n ubránit. Z tohoto dovodu bylo povinností ~alovaného, aby se zabýval pYijatými opatYeními a zjistil, nakolik odpovídala dostupné úrovni ochrany v rozhodném období. Pouze ze skute nosti, ~e k odcizení údajo doalo (ani~ by tuto skute nost st~ovatel toho asu zjistil), nelze dovozovat nedostate nost pYijatých opatYení, a to zejména za situace, kdy ~alovaný ani nemá povdomost o tom, jakým zposobem k odcizení údajo doalo a nakolik bylo jednání pYípadného hackera ( i jiné osoby, která údaje získala) sofistikované. Jakkoliv zYejm nemusí být v mo~nostech ~alovaného zjistit, jak pYesn a za pou~ití jakých prostYedko k neoprávnnému pYístupu do databáze osobních údajo doalo, nepochybn je schopen za pou~ití výae uvedených hledisek vyhodnotit kvalitu st~ovatelem pYijatých a dodr~ovaných opatYení. Jak toti~ sám uvádí ve vyjádYení ke kasa ní stí~nosti, touto problematikou se dlouhodob zabývá a je v ní nále~it orientovaný. <br/><br/>[39] }alovaný ani mstský soud se vaak opatYeními, která st~ovatel dokládal, ~ádným zposobem nezabývali a nevyjádYili se k nim. Díl í výjimku pYedstavuje problematika aifrování, jí~ se mstský soud vnoval pYedevaím v bodech 58 a 59 rozsudku s tím, ~e aifrování bylo zjevn nedostate né, neboe se jej podaYilo prolomit. PYitom nepova~oval za rozhodné, zda se tak stalo a~ s odstupem nkolika let. S touto argumentací se nicmén Nejvyaaí správní soud neztoto~Huje, neboe má ve shod se st~ovatelem za to, ~e s ohledem na technologický pokrok je po~adavek na absolutní neprolomitelnost aifrování (kdykoliv do budoucna) zcela nesplnitelný. A koliv ~alovaný uvádí, ~e tvrzení o prolomení aifrování a~ nkolik let po odcizení databáze je irou spekulací, nelze popYít, ~e mstský soud s touto domnnkou v rámci své argumentace pracoval a pou~il ji na podporu své argumentace.<br/><br/>[40] Kasa ní soud dodává, ~e nedostatky výkladu zastávaného ~alovaným (a aprobovaného mstským soudem) lze ilustrovat i na skute nosti, ~e st~ovatele shledal vinným ze spáchání trvajícího pYestupku. PYitom za po átek protiprávního stavu pova~oval okam~ik odcizení osobních údajo, za jeho konec pak pYijetí nových opatYení v srpnu roku 2017. Je tedy zjevné, ~e protiprávní stav ~alovaný spojoval s existencí nedostate ných opatYení za ú elem ochrany osobních údajo, to vaak za situace, kdy se kvalitou tchto opatYení vobec nezabýval (jejich nedostate nost dovodil toliko ze vzniku bezpe nostního incidentu, resp. ze samotného nepYíznivého následku, jím~ byl únik osobních údajo a jejich zveYejnní), ani neYeail otázku, zda v mezidobí (od odcizení osobních údajo do jejich zveYejnní) nepYijal st~ovatel opatYení nová. Obdobn pak podrobnji nevysvtlil, v em jsou opatYení pYijatá v srpnu roku 2017 vhodnjaí, a zda by zabránila opakování bezpe nostního incidentu. <br/><br/>[41] Nejvyaaí správní soud tedy shrnuje, ~e mstský soud a ~alovaný pochybili, neboe vycházeli z chybného pYedpokladu, ~e k naplnní skutkové podstaty pYestupku podle § 45 odst. 1 písm. h) zákona o ochran osobních údajo posta í, doaloli k neoprávnnému pYístupu k osobním údajom a sou asn st~ovatel tuto skute nost v rozhodné dob neodhalil. Zákon o ochran osobních údajo toti~ nestanoví absolutní povinnost k ochran osobních údajo a vznik odpovdnosti za uvedený pYestupek nevá~e na vznik nepYíznivého následku, ale na nepYijetí nále~itých opatYení za ú elem zajiatní bezpe nosti osobních údajo (§ 13 odst. 1 zákona o ochran osobních údajo). Za daných okolností si tedy ~alovaný i mstský soud po ínali v rozporu se zásadou nullum crimen sine lege, podle ní~ mo~e být pYestupkem pouze takové jednání, u nho~ tak zákon výslovn stanoví.<br/><br/>[42] Pro úplnost soud doplHuje, ~e projednávaná vc se naprosto zásadn odliauje od pYípadu posuzovaného v rozsudku ze dne 28. 12. 2016, . j. 3 As 121/2014  35 (na který odkazoval ~alovaný), v nm~ tento soud dovodil, ~e pokud v nkolika pYípadech prokazateln doalo k neoprávnnému nakládání s osobními údaji (neprovedení likvidace doklado, ale pouze jejich vyhození na skládku), svd í ji~ sama o sob tato skute nost o tom, ~e pYijatá opatYení byla nedostate ná. V odkazované vci se toti~ jednalo o chybný postup na stran správce i zpracovatele osobních údajo, který odpovídá za likvidaci doklado s osobními údaji, a tato innost je pYímo v jeho dispozici. Odpovdnosti za její Yádné provedení se pYitom nemohl zprostit pYenesením uvedené innosti na tYetí osobu na základ soukromoprávního jednání (smlouvy). V nyní projednávané vci se jedná o situaci od základu odlianou, neboe k neoprávnnému pYístupu k osobním údajom doalo zjevn v dosledku cíleného protiprávního jednání jiného subjektu. St~ovatel pYitom sice musí obdobné jednání pYedvídat, nemo~e vaak za nj nést automaticky odpovdnost bez ohledu na to, jaká opatYení za ú elem ochrany osobních údajo pYijal, a nakolik promyalený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil. <br/><br/>[43] Nejvyaaí správní soud tedy souhlasí se st~ovatelem, ~e rozsudek mstského soudu trpí vadou ve smyslu § 103 odst. 1 písm. a) s. Y. s., neboe soud nesprávn posoudil rozhodnou právní otázku. Vzhledem k tomu, ~e v zásad z toto~ného chybného právního náhledu vycházel ji~ ~alovaný, nepova~uje kasa ní soud za ú elné vracet vc k dalaímu Yízení mstskému soudu, ale bez dalaího pYikro il i ke zruaení napadeného správního rozhodnutí. Soud pYitom nepYedjímá výsledek správního Yízení a ne iní jakékoliv závry ohledn toho, zda se st~ovatel pYestupku dopustil i nikoliv. Bude vaak na ~alovaném, aby zohlednil vaechna st~ovatelem pYijatá opatYení a zabýval se tím, jestli byla s ohledem na dostupnou úroveH ochrany v rozhodném období, charakter innosti st~ovatele a rozsah jím zpracovávaných údajo dostate ná. V této souvislosti by ml pYihlédnout také ke kritériím vyplývajícím z evropské úpravy. <br/><br/>[44] Pro úplnost soud dodává, ~e se nezabýval námitkou týkající se nepYimYenosti ulo~ené sankce, neboe dosud nebylo ani postaveno na jisto, zda se st~ovatel pYestupku dopustil. V této fázi by tedy bylo posuzování pYimYenosti výae pokuty pYed asné. <br/><br/>VI. Závr a náklady Yízení<br/><br/>[45] Nejvyaaí správní soud pova~uje kasa ní stí~nost za dovodnou, a proto rozsudek mstského soudu zruail (§ 110 odst. 1 s. Y. s.) a sou asn za pou~ití § 110 odst. 2 písm. a) s. Y. s. zruail i napadené rozhodnutí pYedsedkyn ~alovaného a vc vrátil ~alovanému k dalaímu Yízení (§ 78 odst. 3 a 4 s. Y. s.). }alovaný je vázán právním názorem vysloveným Nejvyaaím správním soudem v tomto zruaujícím rozhodnutí (§ 110 odst. 2 s. Y. s. ve spojení s § 78 odst. 5 s. Y. s.). <br/><br/>[46] Nejvyaaí správní soud je soudem, který o vci rozhodl jako poslední, proto musí ur it náhradu náklado soudního Yízení. Ve vztahu k výsledku celého soudního Yízení je pak nutno posuzovat procesní úspanost ú astníko Yízení. Podle § 60 odst. 1 s. Y. s. ve spojení s § 120 s. Y. s. má úspaný ú astník právo na náhradu dovodn vynalo~ených náklado proti ú astníku Yízení, který úspch ve vci neml. Ve vci ml úspch ~alobce, pro e~ mu soud pYiznal náhradu náklado Yízení.<br/><br/>[47] Náklady Yízení spo ívají v prvé Yad v náhrad za zaplacený soudní poplatek ve výai 4.000 K  v Yízení o ~alob (3.000 K  podání ~aloby, 1.000 K  návrh na pYiznání odkladného ú inku) a 5.000 K  v Yízení o kasa ní stí~nosti. <br/><br/>[48] St~ovatel byl v Yízení o ~alob i o kasa ní stí~nosti na základ plné moci zastoupen advokátem Mgr. Lukem `rubaYem, který u inil tyYi úkony právní slu~by  pYevzetí a pYíprava zastoupení, sepsání ~aloby, ú ast na ústním jednání a sepsání kasa ní stí~nosti [§ 11 odst. 1 písm. a), d) a g) vyhláaky . 177/1996 Sb., o odmnách advokáto a náhradách advokáto za poskytování právních slu~eb (advokátní tarif)]. Za tyto úkony nále~í odmna ve výai 4 x 3.100 K  [§ 7, § 9 odst. 4 písm. d) advokátního tarifu], a pauaální ástka ve výai 4 x 300 K  (§ 13 odst. 4 advokátního tarifu). Vzhledem tomu, ~e uvedený advokát jen plátcem DPH, zvýail soud ástku odmny o pYísluanou daH. Náklady za právní zastoupení proto iní 16.456 K . <br/><br/>[49] }alovaný je tedy povinen uhradit st~ovateli na náhrad náklado Yízení celkovou ástku 25.456 K , a to ve lhot stanovené ve výroku IV tohoto rozsudku, k rukám jeho zástupce.<br/><br/>P o u  e n í : Proti tomuto rozhodnutí n e j s o u opravné prostYedky pYípustné.<br/><br/>V Brn dne 11. listopadu 2021 <br/><br/><br/><br/><br/>JUDr. Lenka Kaniová <br/>pYedsedkyn senátu<br/><br/><br/><br/><br/></body> </html>