Objednat předplatné Zákony pro lidi PLUS
Přidej k oblíbeným

10 A 46/2010 - 62Rozsudek MSPH ze dne 08.08.2012

Prejudikatura

2 Afs 92/2005

Oprav. prostředek / ústav. stíž.
7 As 150/2012 (zamítnuto)

přidejte vlastní popisek

Číslo jednací: 10A 46/2010 - 62-79

ČESKÁ REPUBLIKA

ROZSUDEK

JMÉNEM REPUBLIKY

Městský soud v Praze rozhodl v senátě složeném z předsedkyně Mgr. Jany Brothánkové a soudců JUDr. Viery Horčicové a Mgr. Jana Kašpara v právní věci žalobce: Česká republika – Generální finanční ředitelství, se sídlem Lazarská 15/7, Praha 1, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, Praha 7, v řízení o žalobě proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 21.12.2009, zn. SPR-4263/09-20,

takto:

I. Žaloba se zamítá. II.Žádný z účastníků nemá právo na náhradu nákladů řízení.

Odůvodnění:

Včas podanou žalobou, doručenou Městskému soudu v Praze dne 25.2.2010, se žalobce (původně Česká republika-Ministerstvo financí) domáhá zrušení rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 21.12.2009, zn. SPR-4263/09-20, kterým byl zamítnut rozklad žalobce proti rozhodnutí Úřadu pro ochranu osobních údajů (dále též jen „Úřad“ nebo „orgán prvního stupně“) ze dne 30.9.2009, zn. SPR-4263/09-13. Tímto rozhodnutím Úřadu byla žalobci uložena podle § 45 odst. 3 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“) pokuta ve výši 350.000,-Kč za spáchání správního deliktu dle ustanovení § 45 odst. 1 písm. h/ téhož zákona, kterého se dopustil porušením povinností stanovených v ust. § 13 odst. 1 a § 13 odst. 4 písm.c) zákona o ochraně osobních údajů tím, že v souvislosti se zpracováním osobních údajů v automatizovaném systému daňové správy ADIS v tomto systému nepořizoval do okamžiku zahájení tohoto správního řízení elektronické záznamy, které umožní určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovávány, a dále uloženo nahradit náklady řízení v částce 1.000,-Kč

Vzhledem k právní úpravě provedené zákonem č. 199/2010Sb., části páté, čl. VI.,bod 2 a 3 s účinností od 1.1.2011, protože práva k užívání automatizovaného daňového informačního systému „ADIS“ přešla z České republiky-Ministerstva financí na Českou republiku-Generální finanční ředitelství, která od uvedeného data vykonává povinnosti správce resp. zpracovatele ADIS, soud dále v soudním řízení jednal na straně žalobce s Českou republikou-Generálním finančním ředitelstvím.

Žalobce uvedl, že dne 23.11.2008 byla u něho zahájena kontrola dodržování povinností v automatizovaném daňovém informačním systému ADIS (dále jen „ADIS“) stanovených zákonem na ochranu osobních údajů, specielně povinnosti dle ust. § 13 odst. 4 písm.c). Proti závěrům kontrolního protokolu podal námitky, o nichž rozhodl žalovaný dne 30.6.2009 tak, že jim nevyhověl, a proto se žalobce obrátil na soud žalobou dne 2.9.2009, o níž nebylo dosud (tj. k datu podání této žaloby 25.2.2010, pozn. soudu) rozhodnuto. V návaznosti na to bylo zahájeno správní řízení ve věci správního deliktu dle § 45 odst. 1 písm.h) zákona o ochraně osobních údajů a žalobce požádal o přerušení tohoto řízení, neboť měl za to, že posouzení předběžné otázky správním soudem týkající se porušení uvedeného ustanovení § 13 je otázkou předběžnou, tomuto návrhu však vyhověno nebylo a bylo rozhodnuto o uložení pokuty.

V bodě II. žalobce namítá nesprávnou interpretaci ustanovení § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů, ve znění po novelizaci provedené zákonem č. 170/2007 Sb., pro oblast daňového řízení, resp. pro oblast systému ADIS, provedenou žalovaným. Uvedené ustanovení § 13 bylo novelizací rozšířeno o nové odstavce 3 a 4, které dle důvodové zprávy jsou konkretizací opatření již požadovaných dle odstavce 1 předchozího znění, kterých si dle důvodové zprávy musí být vědom každý správce a zpracovatel osobních údajů. Dle důvodové zprávy tak posuzování rizik nepřináší nové povinnosti ani byrokratickou zátěž (nemusí mít písemnou podobu) a nová ustanovení tedy pouze konkretizují opatření, jichž si musí být správce či zpracovatel osobních údajů vědom a která musí hodnotit před i v průběhu plnění jednotlivých povinností při zpracování takovýchto osobních údajů (srov. § 5 odst. 1 zákona o ochraně osobních údajů).

V této souvislosti žalobce upozorňuje, že ustanovení § 5 odst. 1 zákona o ochraně osobních údajů je dle jeho názoru vyloučeno uplatňovat na běžnou činnost daňové správy a to díky výjimce zakotvené v ustanovení § 3 odst. 6 písm. f) zákona o ochraně osobních údajů.

V ust. § 3 odst. 6 zákona o ochraně osobních údajů jsou definováni správci, na které se povinnosti dle ustanovení § 5 odst. 1 a § 11 a § 12 téhož zákona nevztahují. Z § 3 odst. 6 písm. f/ a g/ vyplývá, že se ustanovení § 5 odst. 1 také nepoužije pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření. Zde je také odkaz na zákon č. 212/1992 Sb., o soustavě daní, který přestože byl zrušen, je z něj patrné, že se ustanovení § 5 odst. 1 zákona o ochraně osobních údajů nepoužije pro zpracování osobních údajů nezbytných pro plnění povinností souvisejících s daňovou oblastí.

Zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů (dále jen „daňový řád“) a zákon č. 531/1990 Sb., o územních finančních orgánech, ve znění pozdějších předpisů (dále jen „zákon o finančních orgánech“) upravují dle žalobce primárně činnost finančních úřadů a svěřují jim právo činit v daňové oblasti opatření. Zdůrazňuje, že daňové výnosy převádějí finanční úřady nejen do státního rozpočtu, ale i územních rozpočtů a fondů, tudíž má jejich činnost dopad na hospodářství státu. V neposlední řadě je třeba reflektovat důvodovou zprávu zákona č. 439/2004 Sb., o změně zákona o ochraně osobních údajů, kterou došlo k odstranění dosavadních pochybností o výčtu subjektů a oblastí, na něž dopadají výjimky a výčet výjimek je stanoven obecně pro všechny vyjmenované oblasti. Z toho dovozuje, že zákonodárce měl v úmyslu v souladu s článkem 13 odst. 1 Směrnice Evropského parlamentu a Rady 95/46/ES (dále jen „Směrnice“) daňovou oblast (resp. daňové řízení) zahrnout do oblastí na něž dopadají výše citované výjimky. Z toho všeho shora je dle žalobce nutné i povinnosti pro správce a zpracovatele plynoucí z ustanovení § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů interpretovat optikou samotné Směrnice, ve vztahu k zákonné povinnosti zachovávat mlčenlivost, která váže taktéž veškeré pracovníky správce daně podle ustanovení § 24 daňového řádu. Žalobce je tudíž přesvědčen a tvrdí, že právě v daňové oblasti, i díky povinnosti zachovávat mlčenlivost, jsou rizika plynoucí ze zpracování osobních údajů minimální a požadovaná automatická aplikace ustanovení § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů i na systém ADIS bez uvážení míry rizika je pouze formalistickým přístupem žalovaného. Tento systém je v oblasti bezpečnostních rizik při zpracování osobních údajů daleko bezpečnější, než stav ve sféře soukromoprávních osob.

Za nepominutelnou skutečnost považuje žalobce to, že daňový řád speciálním způsobem upravuje práva a povinnosti správce a subjektu údajů a jejich vzájemné vztahy a zvláštní autonomní úpravu mlčenlivosti, poskytující vyšší ochranu všem zpracovávaným údajům. Jako příklad uvádí ustanovení § 25 daňového zákona, dle kterého lze také pracovníkovi správce daně za porušení povinnosti zachovávat mlčenlivost uložit pokutu až do výše 500.000,-Kč, pokud se nejedná o čin přísněji trestný (když ustanovení § 44 odst. 1 zákona o ochraně osobních údajů umožňuje uložit pokutu jen do výše 100.000,-Kč). Jako další příklad uvádí, že přestože je oznamovací povinnost pracovníků správce daně vůči orgánům činným v trestním řízení limitována zákonným ustanovením § 24 odst. 5 písm. b/ až d/ daňového zákona, takovouto limitaci však nemají kontrolní pracovníci žalovaného.

I ve Směrnici v článku 13 je obsažena výjimka a omezení rozsahu povinností a práv čl. 6 odst. 1, článku 10, článku 11 odst. 1 a článcích 12 a 21, která obsahově odpovídá výjimce v § 3 odst. 6 zákona o ochraně osobních údajů. Výjimky ve Směrnici shodně s výjimkami v zákoně o ochraně osobních údajů je pak nutno vztáhnout i pro běžnou činnost daňové správy, neboť jen těžko si lze představit významnější finanční zájem České republiky i Evropské Unie, než právě stanovení a vybírání daní tak, aby nebyly kráceny příjmy a zabezpečení řádného financování státu. Dle žalobce je tak daňovým opatřením každé individuální rozhodnutí v daňové oblasti a na podporu svého názoru uvádí, že pojem daňového opatření ve smyslu individuálního rozhodnutí v daňovém řízení lze vysledovat také v § 1 odst. 2 daňového řádu, v rozhodnutí Evropského soudu pro lidská práva ve věci Hozee proti Nizozemí ze dne 22.5.1998 a dalších.

V souladu s rozsudkem Nejvyššího správního soudu ze dne 29.9.2005, č.j. 2 Afs 92/2005-45 nutno dle žalobce ustanovení českého právního předpisu vykládat konformně s normou Evropských společenství a tudíž i ustanovení § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů poměřovat v interpretaci souladně s čl. 17 odst. 1 Směrnice, tedy aby bezpečnostní opatření pro ochranu osobních údajů byla stanovena též s ohledem na stav techniky a náklady na jejich provedení, které by ještě poskytly úroveň bezpečnosti přiměřenou rizikům.

Obdobně i ze systematického řazení ustanovení § 13 zákona o ochraně osobních údajů – odst. 3 lze dovodit, že zákon v souladu se Směrnicí předpokládá, že míra zjištěného rizika se promítne do konkrétního rozsahu, v jakém budou jednotlivá opatření uvedená v ustanovení § 13 odst. 4 zákona o ochraně osobních údajů provedena. S ohledem na to tak žalobce považuje stávající rozsah ochrany dat v systému ADIS za dostatečný a vyhovující § 13 uvedeného zákona.

Žalobce je názoru, že nebyla a není dána jeho deliktní odpovědnost za spáchání správního deliktu dle ustanovení § 45 odst. 1 písm.h) zákona o ochraně osobních údajů. Má za to, že jsou dány předpoklady pro zánik této odpovědnosti za správní delikt podle ustanovení § 46 odst. 1, jelikož již stávající úprava zákonné povinnosti zachovávat mlčenlivost dle ustanovení § 2 odst. 4 a § 24 daňového řádu a míra bezpečnostních opatření v systému ADIS představuje sama o sobě míru úsilí, které by bylo možno po žalobci spravedlivě požadovat.

Dne 11.8.2010 bylo Městskému soudu v Praze doručeno vyjádření žalovaného k žalobě, ve kterém předně uvádí, že žalobce toliko opakuje argumenty, které uplatnil již v průběhu kontroly a následně i v rámci správního řízení a s nimiž se žalovaný dle svého názoru vypořádal. K námitkám blíže uvádí:

K argumentaci žalobce o nesprávné aplikaci ust. § 13 odst. 4 písm.c) zákona o ochraně osobních údajů na oblast daňové zprávy žalovaný zdůrazňuje, že předmětem správního řízení bylo zpracování údajů v ADIS, konkrétně způsob jejich zabezpečení, tedy plnění povinností dle § 13 zákona o ochraně osobních údajů. Tyto přitom nepodléhají výjimce dle § 3 odst. 6 tohoto zákona, jak plyne ze znění tohoto ustanovení. Úřad plnění § 13 standardně kontroluje, případně sankcionuje neplnění u všech subjektů bez výjimky, argumentaci žalobce proto považuje za nesprávnou.

Žalobce zakládá své tvrzení o neaplikovatelnosti § 13 zákona o ochraně osobních údajů na důvodové zprávě k zákonu č. 170/2007 Sb., ve které se (ve vztahu k nově doplněným odstavcům 3 a 4 v § 13) uvádí odkaz na § 5 odst. 1 zákona o ochraně osobních údajů, jakožto na ustanovení obsahující základní povinnosti správců a zpracovatelů osobních údajů, které jsou doplněny mj. právě o povinnost zpracovaná data řádně zabezpečit. Žalovaný je přesvědčen, že z této zmínky v důvodové zprávě nelze v žádném případě dovodit, že ustanovení § 13 odst. 4 zákona o ochraně osobních údajů platí pouze tam, kde platí § 5 odst. 1 tohoto zákona, natož že celá daňová agenda nepodléhá povinnosti zabezpečit osobní údaje zpracovávané automatizovaně v informačních systémech.

Povinnost dnes výslovně vyjádřená v § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů vyplývala i před novelou provedenou zákonem č. 170/2007 Sb. z obecného ustanovení § 13 odst. 1, neboť v případě informačních systémů(zejména tak rozsáhlých jako je ADIS) je pořizování elektronických auditních záznamů, tzv. logů, neodmyslitelnou součástí opatření směřujících k prevenci zneužití osobních údajů, Úřad vždy tuto funkčnost vyžadoval a kontroloval. Změna novelou zákona tedy jen tuto povinnost výslovně upravila.

Žalovaný dále odmítá názor žalobce, že veškerá činnost daňové správy podléhá výjimce dle § 3 odst. 6 písm. f/ zákona o ochraně osobních údajů, a taktéž má za nepodložené tvrzení žalobce, že každé daňové řízení představuje významný finanční zájem České republiky nebo Evropské Unie. Naopak ani Směrnice, ani žádný jiný relevantní právní předpis komunitárního či mezinárodního práva žádnou takto široce pojatou výjimku neobsahují. Proto nemohlo být úmyslem zákonodárce zahrnout novelou provedenou zákonem č. 439/2004 Sb. celou daňovou správu pod výjimku dle § 3 odst. 6 písm. f/ zákona o ochraně osobních údajů, neboť šlo o nahrazení výčtu orgánů výčtem agend, při jejichž výkonu je uplatnění výjimek dle zákona o ochraně osobních údajů skutečně důvodné. Tento postup tedy směřoval spíše k zúžení, nikoliv k rozšíření dopadu výjimek.

Zdůrazňuje, že povinnost zajistit vysokou úroveň ochrany osobních údajů vyplývá pro Českou republiku nejen ze Směrnice, nýbrž i Úmluvy ETS č. 108 o ochraně osob s ohledem na automatizované zpracovaní osobních dat, tedy z mezinárodní smlouvy, a v neposlední řadě je jednou z podmínek členství České republiky v Evropské unii i v Schengenském prostoru.

S ohledem na smysl právní úpravy musí být výjimky aplikovány restriktivně. Paušální aplikace některé z výjimek pro celou činnost určitého odvětví státní správy je zcela nepochybně v rozporu s aplikací Směrnice i zákona o ochraně osobních údajů a pokud by soud považoval za nezbytné pro své rozhodnutí posoudit uplatnění § 3 odst. 6 písm. f/ zákona o ochraně osobních údajů na činnost daňové správy, pak se žalovaný domnívá, že by bylo namístě požádat Evropský soudní dvůr o rozhodnutí o předběžné otázce ohledně výkladu Směrnice, když § 3 odst. 6 zákona o ochraně osobních údajů odráží téměř doslovně znění Směrnice.

K argumentaci žalobce, že opatření omezující bezpečnostní rizika mají být zaváděna s ohledem na stav techniky a náklady potřebné k jejich zavedení, kdy v daňové oblasti vzhledem k povinnosti mlčenlivosti jsou rizika minimální, že jde o formalistický přístup Úřadu, kdy stav bezpečnostních rizik v ADIS je nesrovnatelně nižší než v soukromé sféře, spolu s odkazem na euro- konformní výklad právních předpisů a čl. 17 odst. 1 Směrnice, žalovaný konstatuje, že naplnění povinnosti § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů je zákonnou povinností žalobce, čímž je jeho argumentace formalistickým přístupem žalovaného zjevně nepřípadná.

Zdůrazňuje, že povinnost zabezpečit osobní údaje nevyplývá z žádného jiného předpisu, který by tak mohl aplikaci § 13 zákona o ochraně osobních údajů vyloučit. Odkaz na povinnost mlčenlivosti je irelevantní, když se jedná o odlišný právní institut, který nemůže nahradit požadavky adekvátních technických a organizačních opatření k zabezpečení zpracovávaných osobních údajů.

Mlčenlivost ohledně osobních údajů zákon o ochraně osobních údajů sám upravuje ve svém § 15, přičemž tato pro svůj odlišný charakter platí paralelně s povinností dle daňového řádu.

K otázce konformity výkladu zákona o ochraně osobních údajů s čl. 17 Směrnice žalovaný uvádí, že Směrnice obecně stanoví povinnost České republice přijmout právní úpravu ukládající správcům dat přijmout vhodná opatření k zabezpečení zpracovávaných osobních údajů, čl. 17 však nevylučuje provedení např. demonstrativním výčtem základních opatření, jak je tomu právě v § 13 odst. 4 zákona o ochraně osobních údajů. Nicméně i tak je § 13 zákon o ochraně osobních údajů natolik obecný, že správcům umožňuje zvolit konkrétní řešení, prostředky ochrany odpovídající stavu techniky i nákladům. Úřad má za to, že čl. 17 Směrnice nelze vykládat jako omezující podmínku, správce má zvážit situaci a provést vhodná opatření, která budou v rozumné míře odrážet vývoj technologií. Pokud správce standardní, potřebná a výslovně zákonem požadovaná opatření neprovede, musí nést riziko, že Úřad jeho počínání vyhodnotí jako odporující zákonu.

Pro posouzení, zda požadavek dle § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů odpovídá čl. 17 Směrnice odkazuje žalovaný znovu na Evropský soudní dvůr.

Jako neopodstatněný odmítá žalovaný názor žalobce ohledně bezrizikovosti zpracování dat v ADIS, či že jsou tato rizika menší než v soukromé sféře. Naopak má ze svých zkušeností za to, že právě informační systémy veřejné správy s ohromným objemem citlivých dat nepochybně riziko možného zneužití představují a mohou mít i závažnější dopady do sféry práv dotčené osoby.

Tvrzení žalobce, že daňový řád je speciální úpravou práv a povinností správce osobních údajů a subjektu údajů poskytující zpracovávaným osobním údajům vyšší ochranu, žalovaný oponuje s tím, že mu není známa žádná zvláštní právní úprava ochrany osobních údajů ve vztahu k daňové sféře. Daňový řád (z.č. 337/1992 Sb.), ani nový daňový řád č. 280/2009 Sb. žádné povinnosti ohledně nakládání s osobními údaji obdobné povinnostem dle zákona o ochraně osobních údajů neobsahují. Procesní úpravu daňového řízení, resp. obecné zmocnění správce daně disponovat nezbytnými osobními údaji nelze zaměňovat s autonomní úpravou pravidel pro ochranu osobních údajů.

Samotná povinnost mlčenlivosti nemůže nahradit komplexní právní úpravu zákona o ochraně osobních údajů a tento zákon se na činnost daňové správy (zpracování osobních údajů v ADIS) plně vztahuje.

Žalobce s ohledem na vnitřní systematiku § 13 zákona o ochraně osobních údajů vyvozuje, že správce provede opatření vyjmenovaná v § 13 odst. 4 zákona o ochraně osobní údajů pouze v takovém rozsahu, v jakém odpovídají míře rizika posouzené dle odst. 3 tohoto ustanovení.

Dle žalovaného se v případě § 13 odst. 4 písm. c/ jedná o povinnost správce výslovně vyjádřenou v zákoně, není tedy zřejmé, na čem žalobce zakládá své tvrzení o možnosti zvážit, zda tuto povinnost plnit bude či nikoliv. Názor žalobce je platný pouze ve vztahu k opatřením, která nejsou v demonstrativním výčtu § 13 odst. 3 a 4 citovaného zákona výslovně uvedena, nicméně s ohledem na okolnosti byla vyhodnocena jako nezbytná k eliminaci rizik.

Při pořizování auditních záznamů lze navíc jen těžko nastavit vyšší či nižší rozsah tohoto opatření – záznamy buď jsou, nebo nejsou v požadovaném rozsahu pořizovány. Povinnost pořizovat auditní záznamy žalobci vznikla účinností zákona o ochraně osobních údajů k 1.6.2000 dle § 13 odst. 1 (resp. ještě na základě dříve platného § 17 písm. i/ zákona č. 256/1992 Sb.), jde přitom o zcela standardní opatření směřující k prevenci zneužití a současně k zajištění kontroly.

K uvedenému doplňuje, že s námitkou, že zavedení auditních záznamů není možné či důvodné se Úřad ještě nesetkal.

K námitce žalobce, že mu nevznikla deliktní odpovědnost, neboť splnil předpoklady pro aplikaci ust. § 46 odst. 1 zákona o ochraně osobních údajů, žalovaný uvádí, že kontrolou inspektorky Úřadu bylo zjištěno, že v ADIS nejsou pořizovány auditní záznamy požadované dle § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů. Tento fakt musí směřovat k závěru, že byly naplněny znaky skutkové podstaty správního deliktu dle § 45 odst. 1 písm. h/ citovaného zákona. Existence povinnosti mlčenlivosti, ani názor žalobce, že dosavadní opatření jsou dostatečná, nemohou vést k nerespektování povinnosti výslovně uložené zákonem. Zde není dle žalovaného žádný prostor pro dokazování ve smyslu § 46 odst. 1 tohoto zákona, že správce učinil vše potřebné, aby porušení povinnosti předešel.

V replice doručené soudu dne 15.9.2010 k vyjádření žalovaného k žalobě žalobce uvádí, že právě jeho opakované argumenty spočívající v rozdílné interpretaci jednotlivých ustanovení zákona o ochraně osobních údajů jsou jím považovány za klíčové při řešení nastalé sporné situace. Skutečnost, že se žalovaný dle textu vyjádření dostatečně vypořádal v odůvodnění jednotlivých rozhodnutí s argumenty žalobce, nemůže znamenat, že tento výklad plně odpovídá a je v souladu s textem dotčeného právního předpisu a Směrnice.

Ohrazuje se proti tvrzení, že jeho argumentace je zcela účelová a nesprávná a povede k ohrožení zpracovávaných citlivých údajů v systému ADIS. Svou argumentaci má za vyjádření svého pohledu na aplikaci konkrétních ustanovení zákona o ochraně osobních údajů. Je přesvědčen, že se výše uvedené povinnosti na oblast daňové správy nevztahují.

Trvá na tom, že vzhledem k tomu, že vybrané daňové výnosy jsou ze strany správce daně převáděny nejen do státního rozpočtu, má za to, že činnost správců daně má významný dopad na hospodaření státu.

Žalobce nesouhlasí s tvrzením, že aplikací ustanovení § 3 odst. 6 písm. f/ zákona o ochraně osobních údajů na celou daňovou oblast by se ochrana osobních údajů v České republice významně snížila pod komunitárním právem požadovanou úroveň, z důvodu vázanosti pracovníků správce daně povinností mlčenlivosti. Touto povinností jsou dle něj rizika plynoucí ze zpracování osobních údajů v ADIS minimální.

Souhlasí, že závazný výklad Směrnice je oprávněn podat pouze Evropský soudní dvůr. Žalobci se jeví vhodné požádat jej o rozhodnutí o předběžné otázce ve věci výkladu Směrnice na činnost daňové správy, neboť posouzení výkladu ustanovení § 3 odst. 6 zákona o ochraně osobních údajů považuje za klíčový bod celého sporu.

Ze správního spisu vyplývají pro rozhodnutí následující podstatné skutečnosti:

Úřad vydal dne 3.8.2009, pod zn. SPR-4263/09-9 Oznámení o zahájení správního řízení s žalobcem pro podezření ze spáchání správního deliktu podle § 45 odst. 1 písm. h/ zákona o ochraně osobních údajů v souvislosti se zpracováním osobních údajů v automatizovaném systému daňové správy ADIS s tím, že v tomto systému nepořizuje elektronické záznamy, které umožňují určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, čímž žalobce porušil povinnost stanovenou v § 13 odst. 1 a § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů. Podkladem pro zahájení správního řízení byl dle oznámení písemný matriál shromážděný v rámci kontroly provedené ve dnech 20.11.2008 až 31.3.2009 dle kontrolního protokolu zn. INSP1-6632/08-2/BYT.

Žalobce v reakci na toto oznámení, po nahlédnutí do spisu dne 13.8.2009, kdy si vyžádal kopie z kontrolního spisu, podal dne 17.9.2009 návrh na přerušení správního řízení z důvodu podané žaloby proti rozhodnutí orgánu prvního stupně o námitkách Ministerstva financí ze dne 30.6.2009, zn. INSP1/6632/08-5. Požadavek na přerušení řízení pak má za zcela opodstatněný z důvodu, že posouzení požadavku Úřadu zavést v systému ADIS též bezpečnostní opatření uvedené v ust. § 13 odst. 4 písm.c) zákona o ochraně osobních údajů správním soudem je ve vztahu ke správnímu řízení pro podezření ze spáchání správního deliktu považovat za předběžnou otázku ve smyslu § 57 správního řádu. Pokud by nebylo řízení přerušeno, pak žalobce uplatnil naprosto totožné námitky, jako později v žalobě ze dne 2.9.2009 podané soudu proti rozhodnutí Úřadu o námitkách ze dne 30.6.2009, které jsou obdobné ohledně nesprávného právního posouzení věci jako v nyní projednávané žalobě.

Dne 17.9.2009 sdělil orgán prvního stupně žalobci, že ve shora zahájeném správním řízení SPR-4263/09 jsou podle jeho názoru shromážděny dostatečné podklady potřebné pro vydání rozhodnutí a dne 30.9.2009 Úřad vydal rozhodnutí zn. SPR-4263/09-13. V něm konstatoval, že je prokázáno, že žalobce při zpracování údajů v automatizovaném systému ADIS nepořizoval do okamžiku zahájení tohoto správního řízení ověřující elektronické záznamy a uložil mu pokutu ve výši 350.000,-Kč a dále náhradu nákladů řízení ve výši 1.000,-Kč, jak uvedeno shora.

Úřad neshledal důvodným vyhovět žádosti žalobce o přerušení správního řízení dle § 64 odst. 3 správního řádu, neboť skutečnost, že se účastník neztotožňuje s právním názorem Úřadu vyjádřeném v kontrolním protokole a brojí proti němu žalobou, není dle něj dostatečně důležitým důvodem, pro který by se řízení mělo přerušovat. Podotýká, že na takové přerušení nemá účastník řízení právní nárok. Ani argumentace předběžnou otázkou ve smyslu § 57 správního řádu dle něj neobstojí, neboť dle citovaného ustanovení je předběžnou otázkou řešení takové otázky, jíž nepřísluší správním orgánu rozhodnout a to v tomto případě orgán prvního stupně dle zákona o ochraně o osobních údajů může.

Účastník řízení je nepochybně správcem osobních údajů dle § 4 písm. j/ zákona o ochraně osobních údajů vedených v systému ADIS a vztahují se na něj vždy i povinnosti uvedené v § 13 tohoto zákona. K argumentaci ohledně aplikace § 3 odst. 6 téhož zákona se nevyjadřuje, i kdyby byla případná, uvedené ustanovení nevylučuje aplikaci § 13 zákona o ochraně osobních údajů.

Účastník se dle něj snaží zpochybnit především závaznost povinnosti v § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů, gramatickým výkladem normy dle znění návětí § 13 odst. 4 však nelze dospět k jinému závěru, než že vyjadřuje jednoznačnou povinnost a k témuž závěru lze dle něj současně dospět i dalšími výkladovými metodami.

Ke konformnímu výkladu s právem Evropských společenství zdůrazňuje předně, že tento může být použit až tehdy, pokud by gramatický výklad normy vedl k vícero možným závěrům, což není tento případ. Současně ale znění § 13 odst. 4 zákona o ochraně osobních údajů není dle něj v rozporu s čl. 17 odst. 1 Směrnice, když tato dává členským státům volnost, jakým způsobem bezpečností opatření vymezí, a § 13 odst. 4 a/ až d/ zákona o ochraně osobních údajů je jedním z legitimních způsobů vymezení konkrétních opatření pro konkrétní oblast zpracování(automatizovaná zpracování), který není v rozporu s cíly a účely Směrnice.

K důvodové zprávě k zákonu č. 170/2007 Sb. konstatuje, že uvedená tvrzení nejsou v rozporu se současnou ani minulou právní úpravu, povinnost logovat přístupy k jednotlivým osobním údajům v automatizovaném informačním systému existovala již na základě předchozího výkladu a její výslovné zakotvení do § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů krom výslovného stanovení nepřináší v tomto nic nového, krom snadnější seznatelnosti této povinnosti pro jednotlivé správce a žalobci tak povinnost logovat nevznikla až přijetím zákona č. 170/2007 Sb.

K vyjádření, že žalobce vynaložil veškeré úsilí, aby porušení právní povinnosti zabránil ve smyslu § 46 odst. 1 zákona o ochraně osobních údajů, jelikož již stávající úprava zákonné povinnosti zachovávat mlčenlivost v daňovém zákoně a míra bezpečnosti v systému ADIS sama o sobě tuto míru představují, konstatoval Úřad, že se žalobce mýlí, pokud spojuje právní úpravu s vlastním úsilím. Ani argumentace stávajícími bezpečnostními opatřeními nemá souvislost s tím, proč nepřijal opatření uložená mu zákonem. Navíc liberační ustanovení § 46 zmiňovaného zákona vyžaduje aktivní jednání směřující k naplnění zákonné povinnosti, resp. zabránění jejímu porušení, které nebylo z objektivních důvodů(např. vyšší moc) úspěšné.

V další části odůvodnění Úřad uvedl okolnosti k nimž přihlédl při stanovení výše sankce (opatření dle § 13 odst. 4 zákona o ochraně osobních údajů představují minimální standard pro opatření pro automatizované zpracování osobních údajů, dále že jde o informační systém s řádově milióny subjektů a že protiprávního jednání se žalobce dopouští dlouhodobě).

Proti tomuto rozhodnutí podal žalobce rozklad dne 19.10.2009, v němž uplatnil námitky v podstatě shodné jako ve vyjádření k oznámení o zahájení řízení či později v žalobě.

Předseda Úřadu dne 21.12.2009 rozhodl napadeným rozhodnutím, v němž se plně ztotožnil se závěry orgánu prvního stupně v tom, že v rámci systému ADIS dochází ke zpracování osobních údajů, které podléhají zákonu o ochraně osobních údajů a za které odpovídá správce těchto údajů ve smyslu § 4 písm. j/ uvedeného zákona. Konstatuje, že předmětem tohoto řízení je výhradně dodržování ustanovení § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů a plnění jiných povinností je zcela nerozhodné a absence opatření požadovaných tímto ustanovením je ze spisu zcela zjevná.

K tvrzení, že daňový řád obsahuje zvláštní úpravu povinností správce údajů, včetně mlčenlivosti a tudíž poskytuje vyšší ochranu než zákon o ochraně osobních údajů uvádí, že daňový řád není lex specialis, protože neobsahuje pravidla pro zpracování osobních údajů v oblasti daňové správy, ale představuje právní titul pro zpracování určitých dat v rámci daňového řízení ve smyslu ust. § 5 odst. 2 písm.a) zákona o ochraně osobních údajů, což v žádném případě nemůže vést k vyloučení aplikace povinností dle zákona o ochraně osobních údajů. Povinnost mlčenlivosti v § 25 daňového řádu pak existuje paralelně a nelze ji považovat za dostatečnou, natož vyšší ochranu.

K návrhu na přerušení správního řízení dodává, že podání žaloby proti jinému rozhodnutí Úřadu, tedy skutečnost, že žalobce zastává jiný právní názor než Úřad není důležitým důvodem opodstatňujícím přerušení tohoto řízení ve smyslu § 64 odst. 3 správního řádu a nejde tu ani o předběžnou otázku, když není splněna základní podmínka stanovená v § 57 odst. 1 správního řádu, neboť Úřad je v souladu s § 29 odst. 1 zákona o ochraně kompetentní posoudit, zda je třeba v dané věci § 13 odst. 4 písm. c/ na ADIS aplikovat či nikoliv.

Požadavek na zohlednění stavu techniky zmíněný v článku 17 odst. 1 Směrnice je nutno chápat zcela opačně, než jak uvádí žalobce, a to tak, že je povinností správce přijmout nejvhodnější opatření na ochranu osobních údajů, která jsou technicky možná a náklady na jejich přijmutí nemohou ospravedlnit porušování zákonné povinnosti, nadto, když povinnost platí již více než 9 let a správce dat je orgán veřejné moci s rozsáhlým systémem státní správy s řádově několika miliony subjektů dat.

Předseda Úřadu odmítá názor, že rizika ztráty či zneužití osobních údajů v daňovém řízení jsou minimální a aplikace opatření dle uvedeného ustanovení zákona o ochraně osobních údajů je formalistická. Odmítá i tvrzení, že zpracování osobních údajů v systémech státní správy vykazovalo nižší rizikovost, než zpracování takových údajů v soukromé sféře.

Argumentace důvodovou zprávou k Novele je zcela nepřípadná, když odkaz na ustanovení § 5 odst. 1 je zde použit ve zcela jiném kontextu, než jak jej vykládá účastník a nelze z něj v žádném případě dovodit, že by se snad § 13 odst. 4 písm. c/ zákona o ochraně osobních údajů řídil režimem dle § 3 odst. 6 tohoto zákona. Dále uvádí, že Směrnice nijak neomezuje možnost výslovně zakotvit požadavek na logování přístupu k osobním údajům.

Ohledně aplikace výjimky dle § 3 odst. 6 písm. f/ zákona o ochraně osobních údajů na činnost daňové správy předseda Úřadu uvádí, že tato se v žádném případě neuplatňuje paušálně na všechna daňová řízení. Ve vztahu k předmětnému řízení je podstatné, že ust. § 3 odst. 6 zákona o ochraně osobních údajů nijak nevylučuje aplikaci § 13 citovaného zákona.

K námitce, že účastník vynaložil veškeré úsilí, které lze při ochraně údajů v ADIS požadovat, přičemž povinnost dle § 13 odst. 4 zákona o ochraně osobních údajů je třeba provést, až správce vyhodnotí tyto jako nezbytné s ohledem na riziko zpracování, předseda Úřadu uvádí, že jde o dezinterpretaci uvedeného zákona. Ust. § 13 odst. 1 tohoto zákona obecně vyžaduje přijetí veškerých opatření, které zaručí bezpečnost dat, ust. § 13 odst. 4 písm.c) nadto ukládá některé konkrétní povinnosti v případě automatizovaného zpracování osobních údajů. Podklady obsažené ve správním spisu navíc neprokazují, že by účastník vynaložil veškeré úsilí, které by bylo možno na něm požadovat, aby porušení povinnosti zabránil, když zcela prokazatelně opatření požadovaná v § 13 odst. 4 písm. c/ uvedeného zákona nepřijal. Názor, že se uvedená povinnost nevztahuje na zpracování osobních údajů v ADIS, tj. vědomé neplnění povinnosti stanovené zákonem na ochranu osobních údajů, nelze v žádném případě posoudit jako liberační okolnost dle § 46 odst. 1 tohoto zákona.

Městský soud v Praze přezkoumal žalobou napadené rozhodnutí a jemu předcházející řízení před správním úřadem z hlediska žalobních námitek uplatněných v podané žalobě a při přezkoumání vycházel ze skutkového a právního stavu, který tu byl v době vydání žalobou napadeného rozhodnutí podle ustanovení § 75 zákona č. 150/2002 Sb., soudního řádu správního ve znění pozdějších předpisů (dále jen s. ř. s.). O žalobě rozhodl rozsudkem bez jednání, neboť obě strany s tímto vyslovily souhlas (§ 51 s. ř. s.), žalobce sdělením došlým soudu dne 11.8.2010 a žalovaný zároveň s vyjádřením k žalobě ze dne 11.8.2010.

Před vlastním posouzením žalobních námitek soud k úvodnímu poukazu žalobce (v části I. žaloby) na to, že podal žalobu dne 2.9.2009 i proti rozhodnutí Úřadu o námitkách proti kontrolnímu protokolu, uvádí, že je mu z úřední činnosti známo, že tato žaloba byla usnesením zdejšího soudu ze dne 28.7.2010 č.j. 9Ca 266/2009-36 odmítnuta, ke kasační stížnosti žalobce bylo rozsudkem Nejvyššího správního soudu ze dne 28.7.2011 č.j. 5As 14/2011-64 toto usnesení zrušeno a věc vrácena k dalšímu řízení, které probíhá pod sp.zn. 9A 251/2011 a je v něm nařízeno jednání na 17.10.2012.

Toto řízení souběžně probíhající u tohoto soudu nepředstavuje překážku pro rozhodnutí v dané konkrétní věci i když s ní souvisí. V obou řízeních sice soud musí posoudit stejnou právní otázku aplikace ust. § 13 odst. 4 písm.c) zákona o ochraně osobních údajů, nicméně v tom, kterém případě vždy ve vztahu k jinému rozhodnutí a předmětu řízení, přičemž senáty téhož soudu nejsou navzájem vázány výkladem právního předpisu vysloveným tím, kterým z nich.

O námitkách žalobce uvážil soud takto:

Směrnice ES/95/46, jejíž název zní o ochraně fyzických osob ve vztahu ke zpracování osobních údajů a o volném pohybu těchto údajů, zakotvuje ve svém článku 1 povinnost členských států zajistit ochranu základních práv a svobod fyzických osob, zejména jejich soukromí v souvislosti se zpracováním osobních údajů. Podle úvodního ustanovení odst. 46 Směrnice vyžaduje, aby v zájmu ochrany práv a svobod subjektů údajů v souvislosti se zpracováním osobních údajů byla přijata odpovídající technická a organizační opatření, a to jak při přípravě systému zpracování, tak v průběhu vlastního zpracování s cílem zajistit především bezpečnost a tím také zabránit jakémukoli neoprávněnému zpracování; je povinností členských států dbát na dodržování těchto opatření správci a tato opatření musí zajistit odpovídající úroveň bezpečnosti s ohledem na odbornou úroveň a náklady na jejich provedení v souvislosti s riziky vyplývajícími ze zpracování údajů a povahy údajů, které mají být chráněny. Článek 17 Směrnice, pojmenovaný Bezpečnost zpracování zavazuje členské státy stanovit povinnost správci přijmout odpovídající technická a organizační opatření na ochranu osobních údajů tak, aby nemohlo dojít k náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování. Z výše uvedeného zřejmé, že účelem zákona o ochraně osobních údajů, shodným s cíly Směrnice je ochrana jednotlivců v souvislosti se zpracováním jejich osobních údajů. Za tímto účelem jsou správci ukládány povinnosti při zabezpečení zpracování těchto údajů. Zabezpečeno tedy má být jakékoli nakládání s osobními údaji zahrnované pod pojem zpracování (“processing“). Bezpečné zpracování osobních údajů má nutně za následek jednak bezpečnost dat samých (následek jaksi samozřejmý), především však zajišťuje ochranu subjektů těchto údajů, resp. jejich soukromí, tzn. primární účel právní úpravy. Cílem právní úpravy v této oblasti je ochrana osob ve vztahu ke zpracování osobních údajů, resp. naplnění jejich práva na ochranu před neoprávněným zasahováním do jejich soukromí v souvislosti se zpracováváním osobních údajů, nikoli ochrana údajů sama o sobě. Rovněž povinnost zabezpečení se netýká údajů samotných, nýbrž celé škály úkonů zahrnovaných pod zákonný pojem zpracování.

Zabezpečení osobních údajů ve smyslu ust. § 13 zákona o ochraně osobních údajů tak není jednou z činností zahrnovaných pod pojem zpracování osobních údajů, demonstrativně vypočtených v ust. § 4 písm. e) cit. zákona. Tyto termíny označují aktivity druhově odlišné, které jsou nicméně ve vzájemném, pro správce (zpracovatele) osobních údajů velmi podstatném vztahu, kdy povinnost zabezpečení dopadá na veškeré úkony zahrnované pod zákonný pojem zpracování osobních údajů (jeho přípravu i samotné provádění).

Působnost zákona o ochraně osobních údajů je vymezena v ust. § 3 jednak pozitivně tak, že zákon se vztahuje (odst.1) na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby; (odst. 2) na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky, dále speciálně v odst. 5. Dále i negativně: (odst. 3) zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu, (odst. 4) zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

Ust. § 3 odst. 6 zákona o ochraně osobních údajů stanoví výjimku pro zpracování osobních údajů tak, že ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění a) bezpečnosti České republiky,4)

b) obrany České republiky,5)

c) veřejného pořádku a vnitřní bezpečnosti,6)

d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7)

e) významného hospodářského zájmu České republiky nebo Evropské unie,8)

f) významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,9)

g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10) nebo

h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.10a)

Uvedenou výjimku je nutno vykládat restriktivně již s ohledem na účel zákona resp. jeho primární cíl, jak byl shora vymezen. Již z úvodních ustanovení Směrnice odst. 13 a z čl. 3 Směrnice vyplývá, že Směrnice se nevztahuje na zpracování osobních údajů prováděné pro výkon činností, které nespadají do oblasti působnosti práva Společenství a jsou uvedeny v hlavě V a VI Smlouvy o Evropské unii, a v každém případě na zpracování, které se týká veřejné bezpečnosti, obrany, bezpečnost státu (včetně hospodářské stability státu, pokud jsou taková zpracování spojená s otázkami bezpečnosti státu) a činnosti státu v oblasti trestního práva. Tato výjimka nepředstavuje, jak se žalobce konstrukcí své argumentace přes odkaz na ust. § 5 odst. 1 zákona o ochraně osobních údajů snaží navodit, vynětí orgánů daňové správy z působnosti zákona o ochraně osobních údajů, tzn. že by nepodléhaly, jako státní orgány, tomuto zákonu při zpracování osobních údajů daňových subjektů vůbec (i při zpracování osobních údajů při správě daní), ale znamená, že je, jako správce (či zpracovatele) osobních údajů výjimečně nezavazují jen ust. § 5 odst. 1 a § 11 a 12 tohoto zákona pro zpracování osobních údajů nezbytných pro plnění povinností správce v případě, kdy jedná v zájmu zajištění např. významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření. Tato výjimka tak znamená, že zpracování osobních údajů je subjekt - i státní orgán – povinen provádět v mezích zákona o ochraně osobních údajů, ve vyjmenované oblasti pak s využitím výjimky z jeho ustanovení § 5 odst. 1 a § 11 a 12 téhož zákona. Uvedené ustanovení tak nelze vykládat tak, jak činí žalobce, že je jako správce osobních údajů – a to orgán daňové správy- vyňat zcela z působnosti tohoto zákona, a že tak na něho nedopadá ani ust. § 13 tohoto zákona, stanovící povinnosti při zabezpečení osobních údajů. Právě naopak, i v případech, kdy žalobce zpracovává osobní údaje nezbytné pro plnění povinností stanovených touto výjimkou dle § 3 odst. 6, a kdy není vázán jen ust. § 5 odst. 1 a § 11 a § 12 tohoto zákona pro zpracování osobních údajů, je vázán ust. § 13 zákona o ochraně osobních údajů a je povinen i osobní údaje zpracovávané pro takto vymezený zvláštní účel chránit a zabezpečit je.

Ustanovení § 3 odst. 6 zákona o ochraně osobních údajů vychází, jak i žalobce připouští, z čl. 13 Směrnice. S ním plně koresponduje právě tím, že jako výjimku – při opatření nezbytných pro zajištění (písm.e) např. významného hospodářského nebo finančního zájmu členského státu nebo Evropské unie, včetně měnové, rozpočtové a daňové oblasti, vylučuje použití § 5 odst. 1 zákona o ochraně osobních údajů, odpovídající čl. 6 odst. 1 Směrnice (Zásady pro kvalitu údajů), dále použití § 11 zákona o ochraně osobních údajů odpovídající článkům 10 a 11 odst. 1 Směrnice (Informování subjektu údajů), obdobně pak použití § 12 zákona o ochraně osobních údajů, jehož text vychází z čl. 12 Směrnice (Právo na přístup) atd. Vymezení výluky pro zpracování osobních údajů odpovídá povaze oblastí, v nichž může být při zpracování osobních údajů užita, nejsou proto vyloučeny pro zpracování osobních údajů v oblastech vymezených ust. § 3 odst. 6 zákona o ochraně osobních údajů jiná ustanovení (např. § 5 odst. 2), než výslovně vyjmenovaná. Vztažení výjimky pro zpracování osobních údajů na správu daní ve smyslu „běžné“ činnosti (jakékoli „daňové“ opatření) a tedy i neuplatnění ust. § 5 odst. 1 zákona o ochraně osobních údajů v takovém případě by bylo proti smyslu „správy daní“, jak je tento institut vymezen v ust. § 1 odst. 2 daňového řádu, neboť právě zde je nutno dbát na kvalitu údajů, jejich zpracování zákonným způsobem, jejich přesnost, aktualizaci, jejich zpracování pouze v souladu s účelem, k němuž byly shromážděny. Konečně dle ust. § 5 odst. 1 písm.f) zákona o ochraně osobních údajů výslovně rovněž stanoví, že zpracovávat osobní údaje k jinému účelu než stanovenému lze jen v mezích ust. § 3 odst. 6, nebo pokud k tomu dal subjekt údajů svůj souhlas. Výjimku pro zpracování osobních údajů z obecné závaznosti zákona o ochraně osobních údajů nelze proto vyložit tak, jak to činí žalobce. Argumentace žalobce s odkazem na důvodovou zprávu k novele zákona provedenou zákonem č. 170/2007 Sb. je nesprávná, neboť odkaz na ust. § 5 odst. 1 zákona o ochraně osobních údajů nelze interpretovat, z důvodů předně uvedených, žalobcem dovozovaným způsobem.

Nadto výjimka uvedená v § 3 odst. 6 zákona o ochraně osobních údajů je výjimkou pro zpracování osobních údajů, nikoli pro zabezpečení těchto údajů. Ani čl. 13 Směrnice nezavazuje přijmout legislativní opatření s cílem omezit ve vyjmenovaných oblastech rozsah práv a povinností uvedených v čl. 17 Směrnice (Bezpečnost zpracování). Soud proto neshledal závěr Úřadu ani předsedy Úřadu vyslovený k této námitce žalobce v odůvodnění jejich rozhodnutí v rozporu se zákonem, tvrzení žalobce, že ust. § 13 odst. 4 písm.c) zákona o ochraně osobních údajů nelze aplikovat na systém ADIS z důvodů výjimky uvedené v § 3 odst. 6 téhož zákona tak nemá opodstatnění.

Ani z důvodové zprávy k zákonu č. 439/2004 Sb., o změně zákona o ochraně osobních údajů, jíž se žalobce dovolává s poukazem na zavedení výjimky při poskytování informací o osobních údajích právě pro daňovou oblast, není možno dovodit, že výjimka daná ust. § 3 odst. 6 zákona o ochraně osobních údajů znamená vyloučení aplikace celého zákona o ochraně osobních údajů na správu daní (daňová opatření) včetně jeho ust. § 13. Jak z této důvodové zprávy rovněž vyplývá, ke změně ust. § 3 odst. 6 zákona o ochraně osobních údajů vedla skutečnost, že rámec výjimek ve Směrnici je vymezen podle jednotlivých oblastí zájmu správce nebo zpracovatele, zejména oblasti bezpečnosti státu, obrany, bezpečnosti osob....významného hospodářského nebo finančního zájmu státu, zatímco původní text zákona koncipoval výjimky pro určité druhy činnosti v zákoně vyjmenovaných subjektů, tato koncepce se jevila překonaná, a proto uvedenou „euronovelou“ byla nastolena úprava vycházející z čl. 13 odst. 1 Směrnice, jak je shora uvedena, jíž bylo nahrazeno původní znění ust. § 3 odst. 6), jímž byla výjimka z působnosti zákona stanovena takto: „Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů

a) zpravodajskými službami,4) b) Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti,5)

c) Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního právního předpisu,6) d) Národním bezpečnostním úřadem při provádění bezpečnostních prověrek a ověřování bezpečnostní způsobilosti fyzických osob podle zvláštního právního předpisu,7) e) Ministerstvem vnitra při vydávání osvědčení podle zvláštního právního předpisu,8) při vydávání krycích dokladů9) a při činnosti útvaru inspekce ministra vnitra,10) f) orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona,10a) pokud tento zvláštní zákon nestanoví jinak.“

K písm.c) byl učiněn odkaz na zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění zákona č. 15/1998 Sb.

Soud z uvedených důvodů proto ani neshledal v daném konkrétním případě aplikace práva nutnost požádat Evropský soudní dvůr o rozhodnutí o předběžné otázce, a to i s ohledem na dále uvedené důvody.

Shodně se závěry vyjádřenými v rozhodnutí žalovaného soud rovněž neshledal opodstatněnou námitku žalobce, že daňový řád jako procesní právní předpis pro správu daní a zákon č. 531/1990 Sb. o územních finančních orgánech představují speciální právní předpis s autonomní úpravou ochrany osobních údajů. Vztah mezi těmito předpisy z hlediska dosažení cíle ochrany osobních údajů není možno chápat, jak žalobce dovozuje, již s ohledem na předmět právní úpravy tím, kterým zákonem vymezený. Daňový řád ani zákon o územních finančních orgánech neobsahují autonomní celistvou právní úpravu pro zpracování osobních údajů v oblasti daňové zprávy s cílem ochrany jednotlivce a nemohou tak vyloučit aplikaci obecné úpravy, kterou představuje zákon o ochraně osobních údajů. Zakotvení toliko povinnosti mlčenlivosti a sankce za její nedodržení v ust. § 24 a 25 daňového řádu, jako samostatný institut, tak nemohou garantovat samy o sobě vyšší ochranu zpracovávaným osobním údajům, nahrazující či dokonce přesahující rámec vymezený pravidly pro zpracování osobních údajů zákonem o ochraně osobních údajů. Konečně povinnost mlčenlivosti je upravena jak v obecném předpise pro správní řízení (zákon č. 500/2004 Sb.,správní řád) tak i v řadě dalších předpisů upravujících konkrétní oblasti veřejné, resp. státní správy.

Soud tak rovněž nemohl přisvědčit námitce žalobce, že výjimky obsažené v ust. § 3 odst. 6 písm.f) a g) zákona o ochraně osobních údajů je nutné vztáhnout na běžnou činnost daňové správy a že vylučují aplikaci ust. § 13 zákona o ochraně osobních údajů pro zpracování osobních údajů, když pod pojem „daňové opatření“ je nutno zahrnout „každé individuální rozhodnutí v daňové oblasti“. Takový závěr nelze dovodit ani z ust. § 1 odst.2 daňového řádu („Správou daně se rozumí právo činit opatření potřebná ke správnému a úplnému zjištění, stanovení a splnění daňových povinností, zejména právo vyhledávat daňové subjekty, daně vyměřit, vybrat, vyúčtovat, vymáhat nebo kontrolovat podle tohoto zákona jejich splnění ve stanovené výši a době. Správce daně má způsobilost být účastníkem občanského soudního řízení ve věcech správy daní a v tomto rozsahu má i procesní způsobilost.“), tím méně pak z rozsudku Evropského soudu pro lidská práva z 22.5.1998, kde se poukazuje na to že „ačkoli společnostem bylo vyměřeno daňové penále, má takové opatření pouze vzácně za důsledek trestní stíhání“. Metodický pokyn pro posuzování veřejné podpory určené pro podporu vzdělávání pracovníků dle zák.č. 59/2000Sb. pak již nadto hovoří o všeobecných opatřeních, jimiž míní obecné programy daňových pobídek. Z podkladů, jichž se žalobce dovolává, jen proto, že je v nich užit pojem „ opatření“ nelze dovozovat, že na žalobce, jako správce (zpracovatele) osobních údajů nedopadají povinnosti ust. § 13 stanovené pro zabezpečení osobních údajů, resp. že výjimka zakotvená v § 3 odst. 6 písm.f) či g) uvedeného zákona pod pojmem „daňová opatření“ rozumí správu daní jako takovou. Žalobce pomíjí, že musí jít o taková „opatření“ zajišťující významný finanční zájem České republiky či Evropské unie, jak je demonstrativně vytčen.

Zákon o ochraně osobních údajů je implementací Směrnice do právního řádu České republiky, soud se proto, jak předně uvedeno, jelikož je Směrnice jako pramen evropského práva závazná, pokud jde o výsledek, jehož má být dosaženo, resp. váže členský stát ve vztahu ke svému cíli, zatímco formy a prostředky ponechává na volbě členského státu, zaměřil při výkladu primárně na účel takto implementované právní úpravy. Podle rozsudku Evropského soudního dvora ve věci 14/83, Sabine von Colson and Elisabeth Kamann v Land Nordrhein-Westfalen [1984] ECR 1891, bod 26. je národní soud při aplikaci práva členského státu, a obzvláště při aplikaci ustanovení zákona, jenž byl přijat za účelem implementace Směrnice, povinen vykládat takový zákon ve světle pojmosloví(dikce) a účelu Směrnice. Toto pravidlo soud aplikoval proto i dále ve vztahu k znění čl. 17 Směrnice a §13 zákona o ochraně osobních údajů.

Žalobce oponuje závěrům žalovaného ohledně aplikace samotného ust. § 13 zákona o ochraně osobních údajů tím, že ze systematického řazení ustanovení § 13, a to odst. 3 plyne, že má správce nejprve posoudit rizika a poté s přihlédnutím k míře a závažnosti provést ve smyslu ust. § 13 odst. 4 citovaného zákona opatření zde vyjmenovaná.

Čl. 17 bod 1. Směrnice (Bezpečnost zpracování) zavazuje členské státy k tomu, aby stanovily povinnost správci přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování. Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.

Implementace tohoto článku byla provedena ust. § 13 (Povinnosti osob při zabezpečení osobních údajů) zákona o ochraně osobních údajů, který ve znění provedeném novelou zákona č. 170/2007 Sb., kterou bylo vloženo ust. odst. 3) a odst. 4), stanoví:

(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se

a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a

d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

(4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také

a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,

b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,

c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a

d) zabránit neoprávněnému přístupu k datovým nosičům.

Není sporné, že i podle původního znění ust. § 13 před uvedenou novelou bylo povinností správce a zpracovatele při zabezpečení osobních údajů přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě,neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Byly tak upraveny obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněnému i nahodilému přístupu, zpracování a zneužívání /využívání/ osobních údajů. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči tzv. průnikářům (hackerům). Pořizování elektronických auditních záznamů tak nesporně spadalo pod opatření, jejichž účelem je zabránit zneužití osobních údajů. Jestliže původně obecná úprava doznala změny, a kromě ust. odst. 3 výslovně v odst. 4 stanovila pro případ automatizovaného zpracování osobních údajů povinnost správce, vedle opatření podle odst. 1) obecně vymezených, konkrétně také povinnost mj. pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, znamená to, že v případě automatizovaného zpracování osobních údajů již není ponecháno úvaze správce, jako u volby opatření podle odst. 1), jaké konkrétní technické či organizační opatření provede, aby zajistil vyloučení rizik dle odst. 3, ale je zde přímo založena povinnost správci, aby systém pro automatizované zpracování osobních údajů, který užívá, zaznamenával, kdy, kým a z jakého důvodu byly osobní údaje do něj vloženy a jinak zpracovány, tzn. aby po celou dobu zpracování osobních údajů v systému bylo možno určit a ověřit, kdo, kdy a z jakého důvodu s osobními údaji vedenými v systému nakládal. Volba tohoto prostředku tak není již ponechána na úvaze konkrétního správce o vyhodnocení rizik, ale jde o prostředek, který v případě automatizovaného zpracování osobních údajů představuje určitý standard, požadovaný zákonem od všech adresátů právní normy, zpracovávají-li osobní údaje automatizovaně. Z ustanovení čl. 17 Směrnice vyplývá, že členským státům bylo ponecháno vymezení povinností, jimiž správce zaváže, a to s přihlédnutím ke stavu techniky a nákladům na provedení tak, aby opatření zajistila přiměřenou úroveň bezpečnosti odpovídající rizikům. Pro automatizované zpracování osobních údajů představuje uvedený požadavek s ohledem na stav techniky a náklady standard, soud shodně s orgány obou stupňů neshledal, že by při zpracování osobních údajů v rámci správy daní daňové orgány měly, či mohly být takto stanovené povinnosti zproštěny.

Důvodnou soud neshledal proto ani námitku žalobce, že jsou zde dány předpoklady pro zánik odpovědnosti za správní delikt dle § 46 odst. 1 zákona o ochraně osobních údajů. Podle tohoto ustanovení právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila. V textu sankčních ustanovení je tak obecně uveden liberační důvod, tedy podmínky, kdy a z jakých důvodů lze shledat, že právnická osoba za správní delikt neodpovídá (zprostí se odpovědnosti). Obecně požadavek vynaložení veškerého úsilí k zabránění porušení právní povinnosti představuje aktivní konání osoby v případech, kdy dodržení právní povinnosti z jeho strany je ohroženo okolnostmi na jeho vůli či jednání nezávislými a porušení právní povinnosti tak bezprostředně hrozí či již nastává a adresát právní povinnosti učiní veškeré konkrétní dostupné a možné kroky k tomu, aby hrozbu odvrátil, a své povinnosti dostál. Ač se mu to nepodaří a k porušení povinnosti dojde, prokáže-li, že více nebylo možno učinit, je odpovědnosti zproštěn. Žalobce se nedovolává žádných svých konkrétních kroků či úsilí, které vynaložil v zájmu splnění uvedené zákonné konkrétní povinnosti, odvolává se toliko na jej zavazující právní úpravu mlčenlivosti v daňovém řádu a tvrdí, že automatizovaný systém ADIS jako takový představuje míru úsilí, kterou lze po něm požadovat. Žalobce se tak domnívá, že opatření, která učinil jsou dostatečná, je však nesporné, že kontrolou provedenou u žalobce bylo zjištěno, že jím provozovaný systém ADIS není nastaven tak, aby pořizoval auditní záznamy, jak je v ust. § 13 odst. 4 písm.c) zákona o ochraně osobních údajů požadováno. Žádné kroky, které žalobce učinil k tomu, aby tento systém plnil i uvedený zákonný požadavek ze spisu neplynou a žalobce se jich také nedovolává. Soud proto shodně s orgány obou stupňů musí uzavřít, že aplikace ust. § 46 odst. 1 zákona o ochraně osobních údajů nepřipadala vůbec v úvahu.

Z uvedených důvodů soud neshledal v daném případě porušení zákona žalobou namítané, a proto žalobu jako nedůvodnou podle § 78 odst. 7 s. ř. s. zamítl. O nákladech řízení soud rozhodl podle § 60 odst. 1 s. ř. s., když žalobce ve věci úspěch neměl a žalovanému žádné náklady přesahující rámec jeho běžné úřední činnosti nevznikly.

Poučení: Proti tomuto rozhodnutí lze podat kasační stížnost ve lhůtě dvou týdnů ode dne jeho doručení. Kasační stížnost se podává ve dvou (více) vyhotoveních u Nejvyššího správního soudu, se sídlem Moravské náměstí 6, Brno. O kasační stížnosti rozhoduje Nejvyšší správní soud.

Lhůta pro podání kasační stížnosti končí uplynutím dne, který se svým označením shoduje se dnem, který určil počátek lhůty (den doručení rozhodnutí). Připadne-li poslední den lhůty na sobotu, neděli nebo svátek, je posledním dnem lhůty nejblíže následující pracovní den. Zmeškání lhůty k podání kasační stížnosti nelze prominout.

Kasační stížnost lze podat pouze z důvodů uvedených v § 103 odst. 1 s. ř. s. a kromě obecných náležitostí podání musí obsahovat označení rozhodnutí, proti němuž směřuje, v jakém rozsahu a z jakých důvodů jej stěžovatel napadá, a údaj o tom, kdy mu bylo rozhodnutí doručeno.

V řízení o kasační stížnosti musí být stěžovatel zastoupen advokátem; to neplatí, má-li stěžovatel, jeho zaměstnanec nebo člen, který za něj jedná nebo jej zastupuje, vysokoškolské právnické vzdělání, které je podle zvláštních zákonů vyžadováno pro výkon advokacie.

Soudní poplatek za kasační stížnost vybírá Nejvyšší správní soud. Variabilní symbol pro zaplacení soudního poplatku na účet Nejvyššího správního soudu lze získat na jeho internetových stránkách: www.nssoud.cz.

V praze dne 8.srpna 2012

Mgr. Jana Brothánková, v.r.

předsedkyně senátu

Zdroj dat je volně dostupný na http://www.nssoud.cz
Přesunout nahoru