Objednat předplatné Zákony pro lidi PLUS
Přidej k oblíbeným

9 A 251/2011 - 90Rozsudek MSPH ze dne 17.10.2012

Oprav. prostředek / ústav. stíž.
7 As 186/2012 (zamítnuto)

přidejte vlastní popisek


Číslo jednací: 9A 251/2011 - 90-96

ČESKÁ REPUBLIKA

ROZSUDEK

JMÉNEM REPUBLIKY

Městský soud v Praze rozhodl v senátě složeném z předsedkyně JUDr. Naděždy Řehákové a soudců JUDr. Ivanky Havlíkové a Mgr. Martina Kříže v právní věci žalobce: Ministerstvo financí ČR se sídlem Letenská 15, Praha 1, proti žalovanému: Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, Praha 7, o žalobě na přezkoumání rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 30.6.2009, zn. INSP1-6632/08-5,

takto:

I. Žaloba se zamítá

II. Žádný z účastníků nemá právo na náhradu nákladů řízení.

Odůvodnění:

Žalobce se podanou žalobou domáhal přezkoumání předsedy Úřadu pro ochranu osobních údajů ze dne 30.6.2009, jímž nebylo vyhověno námitkám žalobce ze dne 21.4.2009 podaným proti kontrolnímu protokolu žalovaného ze dne 31.3.2009, zn. INSP1-6632/08-2 pořízeném při kontrole dodržování povinností stanovených zákonem č. 101/2000 Sb., o ochraně osobních údajů a změně některých zákonů ve znění pozdějších předpisů. Předmětem kontroly bylo zejména dodržování ust. § 13 odst. 4 písm. c) uvedeného zákona, podle kterého správce osobních údajů je v oblasti automatizovaného zpracování dat ( systém ADIS) povinen pořizovat elektronické záznamy umožňující určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, aby tak nemohlo dojít k neoprávněnému zpracování osobních údajů.

Kontrola daňové správy z hlediska zákona č. 101/2000 Sb. byla provedena na základě poznatků o řízení před Obvodním soudem pro Prahu 5, týkajícím se žaloby proti Finančnímu úřadu pro Prahu 5 a dále na základě stížnosti na postup zaměstnankyně Finančního úřadu v Hradci Králové. Kontrolami na příslušných finančních úřadech vzniklo podezření, že systém ADIS nesplňuje požadavky citovaného zákona, přičemž za nastavení tohoto systému odpovídá žalobce. Z výsledků kontroly bylo zjištěno, že vstup do systému ADIS je možný jen s využitím hesla a že pracovníci správce daně mají přistup pouze k osobním údajům subjektů údajů v rámci stanovené náplně práce. Dále bylo zjištěno, že systém ADIS nepořizuje elektronické záznamy (tzv. logy), které umožňují určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Z důvodu zjištěné absence funkce tzv. logování v souladu se zákonem bylo konstatováno nesplnění povinností podle § 13 odst. 4 písm. c) zákona č. 101/2000 Sb., tedy porušení § 13 odst. 1 zákona o žalobci bylo uloženo nápravné opatření v souladu s § 40 odst. 1 zákona spočívající v tom, že ve lhůtě 6 měsíců je třeba upravit systém ADIS tak, aby pořizoval uvedené elektronické záznamy.

Žalovaný se dále v napadeném rozhodnutí vypořádával s námitkami žalobce proti uvedenému kontrolnímu protokolu, v nichž byly uplatněny tři výhrady.

1. Žalobce v námitkách vyjádřil názor, že včlenění odstavců 3 a 4 do ust. § 13 zákona č. 101/2000 Sb. znamená pouhou konkretizaci opatření stávajícího odstavce 1 citovaného ustanovení, neboť těchto opatření je si každý správce a zpracovatel osobních údajů vědom a musí je vyhodnotit při zpracování osobních údajů s odkazem na § 5 odst. 1 citovaného zákona. Žalobce proto nepovažoval ust. § 13 odst. 4 písm. c) za normativní text, kterým by byl vázán.

Žalovaný nesouhlasil s uvedeným názorem a přisvědčil jen tomu, že ust. § 13 odst. 3 a 4 lze chápat jako konkretizaci povinnosti vyjádřené v § 13 odst. 1 citovaného zákona s tím, že je třeba současně vnímat, že zde jsou přímo stanoveny konkrétní povinnosti, kterými jsou správci údajů povinni se řídit. To vyplývá zjevně z textu předmětného ustanovení.

2. Žalobce dále v námitkách uplatnil výhrady vůči závěru v kontrolním protokolu, že absence předmětné elektronické evidence vyvolává nemožnost zajištění kontroly legality veřejné správy.

K tomu žalovaný vysvětlil, že i přes stávající nastavení přístupových práv, vzhledem k velkému počtu osob oprávněných se systémem ADIS pracovat, nelze v případě nezákonného zpřístupnění, zveřejnění či neoprávněného zpracování možné zjistit, která konkrétní osoba tak učinila. To vedlo k uvedenému názoru v kontrolním protokolu. I když je v systému ADIS každé spuštění úlohy zaznamenáno, není ochrana dle § 13 odst. 4 písm. c) zákona provedena do důsledku, neboť nelze určit osoby, které konkrétní údaje v systému ADIS zpracovávaly. Absence naplnění citovaného ustanovení je o to závažnější, že se systémem ADIS pracuje celkem 15 000 uživatelů, z toho 13 000 jich je přihlášeno souběžně a zpracovávány jsou údaje týkající se cca. 6 500 000 daňových subjektů. Obavy vyjádřené v kontrolním protokolu jsou tak opodstatněné.

3. Žalobce dále uplatnil námitku proti uloženému opatření k nápravě, které by dle jeho názoru znamenalo nezbytnost vybudovat paralelní systém na evidování záznamů umožňujících určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, což by vedlo k narušení rychlosti práce a přineslo by značné finanční náklady. Považoval za nereálně vybudovat tento systém ve lhůtě 6 měsíců.

K uvedené námitce žalovaný vyjádřil názor, že uložené nápravné opatření nepožaduje vytvoření dalšího systému, ale rozšíření dosavadního systému spějícímu ke konkretizaci osoby, která osobní údaje zpracovávala. Konkrétní způsob realizace uloženého opatření tak je ponechán na žalobci, přičemž k otázce délky lhůty stanovené k provedení uloženého opatření žalovaný konstatoval, že předmětná povinnost již platí od 12.7.2007, kdy nabyl účinnosti zákon č. 170/2007 Sb., kterým došlo k novelizaci kontrolovaného zákonného ustanovení. Obdobnou povinnost však bylo možné dovodit i ze znění ust. § 13 odst. 1 zákona před jeho novelou.

4. Žalovaný se dále vyjádřil k názoru žalobce, že aplikace ust. § 5 odst. 1 zákona č. 101/2000 Sb. je v oblasti daňového řízení vyloučena díky výjimkám zakotveným v § 3 odst. 6 písm. f) a g) zákona č. 101/2000 Sb. (nad rámec § 17 zákona č. 552/1991 Sb.).

Žalovaný uvedl, že výjimku dle § 3 odst. 6 písm. f) zákona č. 101/2000 Sb. nelze na činnost daňové správy uplatnit, neboť jednotlivé daňové řízení nelze považovat za zajišťování významného hospodářského zájmu České republiky nebo EU a k výjimce dle § 3 odst. 6 zákona je třeba přistupovat restriktivně. Je nepřijatelné, aby z působnosti zákona byla paušálně vyňata celá oblast daňových řízení, když současně zvláštní předpisy v daňové oblasti neupravují požadavky na zpracování osobních údajů natolik komplexně, aby bylo možno vyloučit aplikaci zákona č. 101/2000 Sb. jako obecné normy. Aplikace výjimky dle § 3 odst. 6 písm. g) zákona je pak úzce svázáno s výjimkou dle § 3 odst. 6 písm. f) zákona, uplatní se tedy pouze tam, kde je dána předchozí výjimka. Argumentaci žalobce použitím ust. § 3 odst. 6 zákona pak žalovaný považoval ze zcela nesouvisející s předmětem kontroly, neboť z požadavku § 13 zákona nejsou činnosti spadající pod § 3 odst. 6 uvedeného zákona jakkoliv vyňaty. Žalovaný odmítl názor žalobce, že právní předpisy upravující postupy v rámci daňové správy poskytují vyšší ochranu zpracovávaným osobním údajům. Procesní ustanovení těchto předpisů nelze považovat za rovnocenné ucelenému systému zásad ochrany osobních údajů vyjádřenému v zákoně č. 101/2000 Sb.

Žalovaný na závěr uvedl, že kontrolní závěr podporuje i nález Ústavního soudu pod sp. zn. I.ÚS1835/07, který byl k závěrům kontrolního protokolu v tomto protokolu použit. Z uvedených důvodů žalovaný rozhodl tak, jak je uvedeno ve výroku napadeného rozhodnutí.

Proti uvedenému směřuje podaná žaloba.

Žalobce v podané žalobě namítal nesprávné posouzení věci spočívající v nesprávné interpretaci ust. § 13 odst. 4 písm. c) zákona č. 101/2000 Sb. pro oblast automatizovaného daňového informačního systému. Žalovaný z důvodové zprávy k novelizaci zákona provedené zákonem č. 170/2007 Sb. dovodil, že rozšíření ust. § 13 o nové odstavce 3 a 4 jsou konkretizací opatření již požadovaných z předchozího znění odst. 1, kterých si musí být každý správce a zpracovatel osobních údajů. Podle důvodové zprávy posuzování rizik nepřináší nové povinnosti ani další byrokratickou zátěž, neboť nová ustanovení pouze konkretizují již stávající opatření.

Žalobce namítal, že ust. § 5 odst. 1 zákona č. 101/2000 Sb. nelze uplatňovat na běžnou činnost daňové správy díky výjimce zakotvené v § 3 odst. 6 písm. f) a g) zákona. Z těchto ustanovení vyplývá, že se ust. § 5 odst. 1 nepoužije pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony, mezi které náleží i daňová opatření. Zde zákon odkazuje na zákon č. 212/1992 Sb. o soustavě daní a přestože tento zákon byl ke dni 1.1.2004 zrušen, je patrné, že se ust. § 5 odst. 1 nepoužije pro zpracování osobních údajů nezbytných pro plnění povinností související s daňovou oblastí. Oblast daňových opatření je upravena zákonem č. 337/1992 Sb. o správě daní a poplatků a práce správců daně má dopad na hospodářství státu. Podle důvodové zprávy k zákonu č. 439/2004 Sb. byla s účinností od 26.7.2004 zavedena výjimka při poskytování informací o osobních údajích právě pro daňovou oblast tzn., že zákonodárce sám měl v úmyslu v souladu s článkem 13 odst. 1 Směrnice Evropského parlamentu a Rady 95/46/ES daňovou oblast zahrnout do oblastí, na nějž dopadají výše citované výjimky. Proto povinnosti podle ust. § 13 odst. 4 písm. c) zákona je třeba interpretovat optikou samotné směrnice a ve vztahu k zákonné povinnosti zachovávat mlčenlivost vážící se na pracovníky správce daně podle § 24 zákona o správě daní a poplatků. Díky této povinnosti zachovávat mlčenlivost jsou rizika plynoucí ze zpracování osobních údajů minimální a požadovaná automatická aplikace ust. § 13 odst. 4 písm. c) zákona i na systém ADIS, aniž by byla jakkoliv uvážena míra rizika a modifikován rozsah požadovaného nápravného opatření je pouhým formalistickým přístupem ze strany žalovaného. Zákon o správě daní a poplatků také obsahuje zvláštní autonomní právní úpravu mlčenlivosti poskytující vyšší ochranu všem zpracovávaným údajům, které byly získány při správě daní než zákon o ochraně osobních údajů. Příkladem zvýšené ochrany je ust. § 25 zákona o správě daní a poplatků umožňující uložit pokutu za porušení zákonné povinnosti mlčenlivosti, zatímco úprava obsažená v ust. § 44 odst. 1 zákona č. 101/2000 Sb. umožňuje za přestupek porušení mlčenlivosti podle § 15 uložit pokutu pouze do výše 100 000 Kč. Dalším argumentem je, že oznamovací povinnost pracovníků správce daně je limitována zákonným ust. § 24 odst. 5 písm. b) až d) zákona o správě daní a poplatků, zatímco takovouto zákonnou limitaci nemají kontrolující pracovníci Úřadu pro ochranu osobních údajů.

Žalobce dále citoval ze samotné směrnice, která byla východiskem nové úpravy obsažené v zákoně č. 101/2000 Sb., konkrétně z článku 13 odst. 1 písm. e) a f), z něhož dovozuje, že tyto výjimky shodně jako výjimky v § 3 odst. 6 písm. f) a g) vnitrostátního zákona je nutné vztáhnout i pro běžnou činnost daňové správy s tím, že významný finanční zájem se právě projeví v každém individuálním rozhodnutí v daňové oblasti. Skutečnost, že daňové opatření je individuálním rozhodnutím v daňovém řízení vyplývá i z rozhodnutí Evropského soudu pro lidská práva ve věci HOzee proti Nizozemí ze dne 22.5.1998 ESLP4/1998. Žalobce poukázal na rozsudek NSS č.j. 2Afs 92/2005-45, podle kterého je třeba vnitrostátní právo vykládat konformně s normou práva evropských společenství a v tomto duchu je také třeba interpretoval ust. § 13 odst. 4 písm. c) a poměřovat jej s článkem 17 odst. 1 směrnice. V uvedeném článku směrnice je vyjádřen požadavek, že stanovení bezpečnostních opatření pro ochranu osobních údajů je třeba činit s ohledem na stav techniky a náklady na jejich provedení tak, aby byla poskytnuta přiměřená úroveň bezpečnosti odpovídajícím rizikům, vyplývajícím ze zneužití zpracování údajů a z povahy údajů, které mají být chráněny. Toto lze dovodit i ze systematického řazení ust. § 13 odst. 3 zákona, které předpokládá nejprve posoudit rizika dle ust. § 13 odst. 1 a poté přihlédnout k míře a závaznosti těchto rizik a následně provedení opatření ve smyslu § 13 odst. 4. Zákon tak dle názoru žalobce předpokládá, že míra zjištěného rizika se promítne do konkrétního rozsahu, v němž budou provedena jednotlivá opatření dle § 13 odst. 4 zákona. Postupem žalovaného i jeho požadavky na uložení nápravného opatření však došlo k zásahu do práv žalobce, kdy tento je donucován vynaložit značné finanční prostředky na vybudování takovéhoto systému. Žalobce v řízení namítal, že ani uvádění důvodu v systému ADIS nijak nemůže přispět ke snížení bezpečnostního rizika při zpracování osobních údajů, přičemž dojde ke zpomalení výkonu správy daní. Tuto námitku však žalovaný nedostatečně vypořádal s důrazem na respektování jasně určených úkonů dle právních předpisů, aniž by reagoval na žalobcem tvrzená specifika daňového řízení. Nevypořádal se také s jeho námitkou ohledně zaznamenání důvodu zpracování osobních údajů pracovníky údržby systému ADIS, který již ze samotné povahy věci musí mít přistup k celému systému.

Žalobce konečně namítal, že nápravné opatření mu bylo uloženo provést ve zcela nepřiměřené lhůtě šesti měsíců, přestože byla namítána nereálnost lhůty pro vybudování systému, včetně zabezpečení finančních prostředků, výpisu výběrového řízení a uzavření smluvních vztahů. Lhůta pro realizace nápravného opatření je nesplnitelná a žalobce je vystavován sankci za správní delikt. Žalobce proto v tomto směru bez ohledu na úspěšnost jeho věcných námitek požadoval prodloužení stanovené lhůty pro realizaci nápravného opatření tak, aby byla lhůtou splnitelnou, tj. minimálně na 18 měsíců od právní moci rozsudku. Tuto prodlouženou lhůtu vyžaduje z důvodu vybudování paralelního systému tak, aby provedení nápravného opatření neomezilo primární funkcionalitu práce správců daní se systémem ADIS. Žalobce považuje za nedostatečné konstatování žalovaného, že pro účely dodržení požadavků na ADIS není třeba požadovat vytvoření dalšího systému, ale rozšíření dosavadního systému tak, aby bylo možné určit osobu, která konkrétní osobní údaje zpracovávala ve smyslu § 4 písm. e) zákona. Takový cíl je možný pouze při vybudování paralelního systému vedle systému ADIS.

Z uvedených důvodů žalobce navrhl, aby soud napadené rozhodnutí zrušil.

Ve svém vyjádření k podané žalobě žalovaný uvedl, že kontrolovaná činnost-způsob zabezpečení osobních údajů v systému ADIS nepodléhá výjimce dle § 3 odst. 6 zákona č. 101/2000 Sb. a tuto povinnost žalovaný standardně kontroluje i sankcionuje u všech soukromoprávních i veřejnoprávních subjektů bez výjimky, např. včetně Policie ČR. Důrazně odmítl názor, že by veškerá činnost daňové správy podléhala výjimce dle ust. § 3 odst. 6 písm. f) zákona a že každé jednotlivé daňové řízení představuje významný finanční zájem ČR nebo EU. Toto není nijak podloženo, naopak směrnice, kterou zákon č. 101/2000 Sb. provádí ani žádný jiný právní předpis komunitárního práva takto široce pojatou výjimku neobsahuje. Proto také nebylo úmyslem zákonodárce zahrnout novelou provedenou zákonem č. 439/2004 Sb. celou daňovou správu pod výjimku dle § 3 odst. 6 písm. f) zákona, neboť by se tím ochrana osobních údajů v ČR významně snížila pod komunitárním právem požadovanou úroveň. Povinnost zajistit vysokou úroveň ochrany osobních údajů vyplývá České republice nejen ze směrnice, ale také z Úmluvy ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat přijaté 28.1.1981 ve Štrasburku, která je mezinárodní smlouvou ve smyslu článku 10 Ústavy ČR a podmínkou členství ČR v Schengenském prostoru. Výjimky z uplatnění směrnice a zákona č. 101/2000 Sb. pak s ohledem a právní úpravu ochrany osobních údajů musí být aplikovány maximálně restriktivně. Výjimku nelze aplikovat na celou činnost určitého odvětví státní správy, přičemž směrnici je dle článku 234 písm. b) smlouvy o založení ES závazně oprávněn vykládat pouze Evropský soudní dvůr. V případě uplatnění § 3 odst. 6 písm. f) zákona na činnost daňové správy by to znamenalo, že charakter každého jednotlivého daňového řízení by musel být posuzován jakožto významný finanční nebo hospodářský zájem ČR i EU a pak by bylo namístě vyžádat ESD o rozhodnutí o předběžné otázce. Pokud žalobce zakládá své tvrzení o neaplikovatelnosti § 13 zákona na důvodové zprávě k zákonu č. 170/2007 Sb., kde ve vztahu k nově doplněným odstavcům § 13 odst. 3 a 4 se uvádí odkaz na § 5 odst. 1 zákona, pak z této zmínky v důvodové zprávě nelze dovodit, že ust. § 13 odst. 4 platí pouze tam, kde platí § 5 odst. 1 tohoto zákona a že celá daňová agenda nepodléhá povinnost zabezpečit osobní údaje v systému ADIS. Žalovaný přisvědčil tomu, že povinnost, která je dnes výslovně vyjádřena v § 13 odst. 4 písm. c) zákona vyplývala i před novelou z obecného ustanovení § 13 odst. 1 zákona, neboť v případě informačních systémů je pořizování elektronických auditních záznamů, tzv. logů neodmyslitelnou součástí opatření směřující v prevenci zneužití osobních údajů. Novela zákona pak přinesla změnu pouze v tom, že tuto povinnost zákon výslovně upravil a že absence řádných auditních záznamů není v současné době kvalifikována jako porušení § 13 odst. 1, ale § 13 odst. 4 písm. c) tohoto zákona.

K námitkám žalobce, že opatření omezující bezpečnostní rizika mají být zaváděna s ohledem na stav techniky a na náklady potřebné na jejich zavedení, žalovaný uvedl, že požadavek na naplnění zákonné povinnosti žalobce dle § 13 odst. 4 písm. c) neznamená formalistický přístup. Žalovaný akcentoval, že povinnost zabezpečit osobní údaje nevyplývá žalobci z žádného právního předpisu, který by mohl § 13 zákona 101/200 Sb. vyloučit. Odkaz na povinnost mlčenlivosti je irelevantní, neboť jde o odlišný právní institut, který představuje jeden z aspektů ochrany osobních údajů a nemůže nahradit požadavky na opatření technické a organizační povahy směřující k zabezpečení zpracovávaných osobních údajů. Zákon č. 101/2000 Sb. ostatně sám upravuje povinnost mlčenlivosti ve svém § 15, přičemž tato povinnost má odlišný charakter a platí paralelně s povinností dle § 24 zákona č. 337/1992 Sb.

K námitce žalobce článkem 17 směrnice žalovaný uvedl, že tento článek nikterak nevylučuje, aby členské státy tuto povinnost provedly tam, kde to považují za potřebné a důvodné např. demonstrativním výčtem základních opatření, jako je to např. v § 13 odst. 4 zákona a správci daně mají možnost volby konkrétního řešení odpovídajícího jak charakteru zpracovávaných dat, tak zvoleným prostředkům, tak i stavu techniky a nákladům. Článek 17 směrnice však nelze vykládat jako omezující podmínku a je na správcích daně přijmout vhodná opatření, která budou v rozumné míře odrážet vývoj technologií. Žalovaný vzal za neopodstatněný názor žalobce, že zpracováním dat v ADIS nejsou spojena žádná rizika, respektive, že jsou nižší než v soukromé sféře. Naopak ze zkušeností úřadů z kontrol informačních systému veřejné správy obdobný závěr nevyplývá a vzhledem k velkému množství osobních údajů na nich závisí výkon státní správy je nepochybně riziko možného zneužití dat mnohem závažnější. Ze zákona č. 337/1992 Sb. není žalovanému známa žádná zvláštní úprava ochrany osobních údajů ve vztahu k daňové sféře ani nový daňový řád zákon č. 280/2009 Sb. neobsahuje žádné povinnosti ohledně nakládání s osobními údaji. Procesní úpravu daňového řízení nelze zaměňovat s autonomní úpravou pravidel pro ochranu osobních údajů.

K námitkám systematiky ust. § 13 odst. 3 a 4 žalovaný uvedl, že toto tvrzení nezakládá možnost žalobce zvážit, zda povinnost výslovně uvedenou v § 13 odst. 4 písm. c) zákona bude plnit či nikoliv. Názor žalobce ohledně posouzení, jaká opatření bude plnit, platí ve vztahu k opatřením, která nejsou v demonstrativním výčtu v § 13 odst. 3 a 4 citovaného zákona výslovně uvedena. Navíc v případě pořizování auditních záznamů v informačních systémech lze obtížně nastavit vyšší či nižší rozsah tohoto opatření – záznamy buď jsou nebo nejsou pořizovány. Žalovaný požadoval toliko standardní opatření směřující k prevenci zneužití a současně k zajištění následné kontroly. Oba tyto aspekty jsou součástí bezpečnostní politiky každého správce dat. Žalovaný se nesetkal nikdy s námitkou, že zavedení auditních záznamů není možné či důvodné a naopak díky těmto tzv. logům bylo v minulosti prokázáno zneužití dat konkrétní osobou.

K námitce nepřiměřenosti lhůty nápravného opatření žalovaný uvedl, že mělo jít o námitku proti kontrolnímu protokolu a jako taková měla být také uplatněna postupem podle § 17 zákona č. 551/1992 Sb. Tato argumentace v žalobě je tedy nepřípadná. Doplnil, že včasné neprovedení nápravy může být toliko předmětem řízení o pořádkové pokutě, když skutková podstata správního deliktu, spočívající v porušení § 13 odst. 4 písm. c) již byla naplněna neexistencí požadovaných opatření. V rámci řízení o pořádkové pokutě v případě opožděné nápravy může žalobce uplatnit veškeré své argumenty a důkazy.

Z uvedených důvodů žalovaný navrhl, aby soud podanou žalobu odmítl dle § 46 odst. 2 zákona č. 150/2002 Sb., neboť v době, kdy toto vyjádření podával, procesně také namítal, že rozhodnutí o námitkách žalobce je v souladu s judikaturou NSS není úkonem správního orgánu ve smyslu § 65 s.ř.s. a je tedy jako úkon vyloučen ze soudního přezkumu podle § 70 písm. a) s.ř.s.

Městský soud v Praze podanou žalobu projednal v důsledku právního názoru Nejvyššího správního soudu, který v rozsudku ze dne 28.7.2011 č.j. 5 As 14/2011-63 judikoval, že rozhodnutí o námitkách je v případě, kdy je rozhodováno o uložení konkrétní povinnosti ( zde opatření k nápravě) rozhodnutím ve smyslu § 65 s.ř.s a jako takové je přezkoumatelné soudem ve správním soudnictví.

Při jednání před soudem zástupce žalobce uvedl, že ust. § 13 zákona č. 101/2000 Sb. je výsledkem částečné transpozice článku 17 Směrnice EU 95/46/ES do českého právního řádu a to, pokud jde o první část článku 17, který byl vtělen do textu ust. § 13 odst. 1 citovaného zákona. Druhou větu článku 17 již český právní řád neprovedl v konkrétní transpozici, neboť nestanovil limity, které zcela podrobně upravuje tato Směrnice pro dodržování povinnosti při nakládání s osobními údaji. Žalobce je toho názoru, že pokud evropská směrnice hovoří o tom, že správce a zpracovatel osobních údajů, musí zajistit ochranu těchto osobních údajů, pak systém ADIS toto plně splňuje, nicméně v českém zákoně chybí limit vyvěrající z tohoto článku 17 směrnice, které by povinnosti správce osobních údajů omezovalo tak, aby zde byly dodrženy i jiné principy směrnice, tzn., aby nemusel český stát vynakládat velké finanční prostředky na další opatření. Žalobce je toho názoru, že ust. § 13 odst. 1 zákona ve spojení s § 13 odst. 4 písm. c) zákona je třeba vykládat jednak pro účely článku 17 cit. směrnice EU a jednak tak, že hlavní povinností správce a zpracovatele osobních údajů dle § 13 odst. 1 je zabránit neoprávněnému nakládání s těmito údaji a další odstavce již představují jen návod, jak tohoto cíle v odst. 1 docílit. Žalobce odkazuje na Komentář k zákonu o ochraně osobních údajů autorů Bártík, Janečková, z něhož cituje k ust. § 13 odst. 4 písm. c) názor, že aplikace tohoto ustanovení závisí na konkrétním vyhodnocení rizik samotného zpracovatele osobních údajů a plnění jeho povinností musí být zvažováno i v kombinaci s vhodnými organizačními opatřeními. Za tato vhodná organizační opatření žalobce považuje jednak úpravu mlčenlivosti v zákoně o daňovém řízení v daňovém řádu, dále i v zákoně č. 101/2000 Sb., neboť tento zákon obsahuje ustanovení garantující ochranu osobních údajů v případě jejich zneužití i možností žalovat subjekt, který tyto osobní údaje zneužil. Pokud se tak stane při výkonu veřejné moci, pak je zde další prostředek jak docílit nápravy postupem podle zákona č. 82/1998 Sb. To jsou všechny okolnosti, které by měl soud zvážit jako celek, neboť ust. § 13 zákona jako celek žalobce vnímá jako ustanovení směřující nebo mající charakter preventivní. Na základě svého výkladu, že článek 17 Směrnice EU byl transponován pouze v části první ve větě první do ustanovení § 13 odst. 1 a jeho další podrobná úprava nebyla zcela přenesena do českého právního řádu a také s odkazem na judikaturu Evropského soudního dvora má žalobce zato, že by věta druhá, týkající se limitu povinností správců údajů měla mít přímý účinek. Upozorňuje, že daňové řízení má významný cíl vybrat daně a je založeno na shromáždění velkého množství osobních údajů daňových subjektů, které tyto subjekty dobrovolně poskytují úřadům, a proto je nemožné, aby nebylo zaručeno dodržování jiných prostředků ochrany těchto osobních údajů daných např. daňovým řádem. Zdůrazňuje prvek efektivity, jímž je systém ADIS. Pokud by mělo dojít ke změně tohoto systému v rámci nařízených opatření, pak by to znamenalo veliký nárok na velké finanční prostředky, neboť ADIS není jeden systém, je to spojení deseti databází, mezi jejímiž částmi je obrovský tok informací a při povinnosti logovat by došlo ke zpomalení celého systému při tak významném plnění úkolů, jímž je daňové řízení a stanovování daní. Dále uvedl, že u jednotlivých finančních úřadů je vstup do databáze ADIS ošetřen jednak hesly, jednak dvojím potvrzením vstupu a i tím, že přímý vstup do této databáze pro účely daňové nemá přibližně 40 osob, jak je uváděno ve vztahu k finančnímu úřadu, ale asi 4-5 osob, když ostatní vstupují do této databáze i v souvislosti s vlastním technickým zajištěním a pokynem finančních ředitelů je garantována vysoká pravděpodobnost zjištění, kdo měl přístup k osobním údajů pro účely svého rozhodování a vlastně i z těchto rozhodnutí.

Zástupce žalovaného uvedl, že věta druhá čl. 7 cit. směrnice uvádí, že tato věta stanoví opatření, které musí zajistit odpovídající úroveň bezpečnosti z hlediska ochrany osobních údajů. Toto právě zákon České republiky stanoví a zajišťuje v ust. § 13 odst. 4 písm. c) zákona tzv. logováním. Tato povinnost je realizací povinností na úseku ochrany osobních údajů, nikoliv kontradikcí k druhé větě článku 17 směrnice. Zástupce žalovaného odkázal na odst. 10 preambule ke Směrnici Evropského parlamentu a Rady 95/46/ES a na čl. 11 Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat a uvádí, že pokud České republika přistoupila k těmto předpisům, pak má přímou povinnost zajistit ochranu osobních údajů či Radě Evropy i vůči EU, což učinil český stát právě článkem 13 odst. 4 písm. c) zákona. Upozornil, že český právní řád obsahuje celou škálu povinností, jak i na úseku ochrany osobních údajů, ovšem generální ochranu a základní návod, jak toto činit je obsažen v zákoně č. 101/2000 Sb. a z tohoto zákona nelze vyvinit jednotlivé správce a zpracovatele osobních údajů v rámci jednotlivých zákonů. Vyjádřil názor, že smyslem ochrany osobních údajů, jak dle evropských předpisů, tak i vnitrostátních předpisů je stanovit opatření právě k prevenci zneužití těchto osobních údajů. K nákladnosti nápravného opatření uvedl, že jiné subjekty při zajišťování ochrany dle § 13 odst. 4 písm. c) nemají problémy, např. v Schengenském informačním systému je systém logování zcela zaveden a nebrání např. činnosti na úseku trestního stíhání.

Zástupce žalobce poukázal na bod 46 preambule evropské směrnice s tím, že tento bod uvádí limity, jak plnit opatření na úseku ochrany a prevence osobních údajů a tyto limity jsou naznačeny v čl. 17 , větě druhé cit. směrnice, podle které není nutné činit nákladná opatření z hlediska technických možností, ale je třeba zvažovat míru rizika. Poukazuje nato, že u Městského soudu v Praze je pod sp. zn. 10A 46/2010. vedeno řízení ohledně přezkumu rozhodnutí, kterým byla finančnímu ředitelství uložena sankce za správní delikt dle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. právě pro porušení ust. § 13 zákona a je otázkou, zda tedy celý § 13 je skutkovou podstatou tohoto správního deliktu a je tak pojímán jako jeden celek při dodržování povinností, které jsou zde v něm stanoveny.

Podle žalovaného je § 13 odst. 4 v textu významově analogický jako v článku 17. Prostě v tom, že příslušným státům přísluší zvážení, jakými opatřeními zajistí povinnost článku 17 a vlastně i ust. § 13 odst. 1 zákona č. 101/2000 Sb. Ust. 13 odst. 4 pak žalovaný chápe jako demonstrativní výčet povinností, jak zajistit povinnosti stanovené v § 13 odst. 1 i tím, že je zde tato povinnost stanovena jako povinnost také k zajištění určitých opatření.

Městský soud v Praze přezkoumal napadené rozhodnutí, jakož i řízení, které předcházelo jeho vydání dle § 65 a násl. zákona č. 150/2002 Sb. soudního řádu správního (dále jen s.ř.s.) v mezích žalobních bodů a dospěl k závěru, že žaloba není důvodná.

V dané věci ze správního spisu vyplývá, že dle kontrolního protokolu Úřadu pro ochranu osobních údajů ze dne 31.3.2009 o výsledcích kontroly dodržování zákona č. 101/2000 Sb. bylo žalobci uloženo nápravné opatření – povinnost upravit systém ADIS tak, aby pořizoval elektronické záznamy, které umožní, určit a ověřit kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Uvedená povinnost byla žalobci uložena dle ust. § 40 odst. 1 zákona ve lhůtě do 6 měsíců, a to na základě zjištění , že žalobce nesplnil povinnost uloženou mu v ust. § 13 odst. 4 písm. c) zákona č. 101/2000 Sb. a elektronické záznamy nepořizoval, ačkoliv provozuje automatizovaný systém daňové správy ( ADIS).

Předmětem sporu mezi účastníky řízení je otázka, zda je žalobce vázán konkrétní právní úpravou danou ust. § 13 odst. 4 písm. c) zákona č. 101/2000 Sb. tak, že je povinen v oblasti daňové správy pořizovat elektronické záznamy, které umožní, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány. Od zodpovězení této otázky se pak odvíjí úsudek o zákonnosti nápravného opatření uloženého žalobci.

Soud vyšel z následující právní úpravy

Podle § 13 odst. 1 zákona č. 101/2000 Sb. správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

Podle § 13 odst.2 zákona č. 101/2000 Sb. správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

Podle § 13 odst.3 zákona č. 101/2000 Sb. v rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

Podle § 13 odst. 4 zákona č. 101/2000 Sb. v oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,

c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům.

Na základě uvedené právní úpravy nelze přisvědčit žalobcově námitce, že žalobce není vázán konkrétním zněním ust. § 13 odst. 4 písm. c) zákona a že k zajištění povinnosti uložené mu v ust. § 13 odst. 1 postačovaly záruky dané jinými právními prostředky zakotvené v zákonech č. 337/1992 Sb. a č. 101/2000 Sb., případně, že oblast daňové správy je z plnění uvedené povinnosti vyňata.

Předně je třeba přisvědčit žalobci v tom, že úpravu danou ust. § 13 zákona č. 101/2000 Sb. je třeba vykládat a aplikovat v celku tohoto ustanovení a také, ostatně jak to učinil i žalovaný, že ust. § 13 odst. 4 písm. c) je konkretizací povinnosti obecně stanovené v § 13 odst. 1 zákona. Je také třeba přisvědčit žalobci v tom, že rozhodná je i systematika celého ust. § 13 zákona , a proto tato shodná argumentace jde na podporu závěru žalovaného o povinnosti správců údajů plnit povinnost konkrétně uloženou v ust. § 13 odst. písm. c) zákona.

Je tomu tak proto, že ust. § 13 odst. 1 stanoví obecnou povinnost správců a zpracovatelů údajů přijmout preventivní opatření k neoprávněnému přístupu k osobním údajům či k jejich zneužití Jaká opatření správce či zpracovatel osobních údajů učiní je stanoveno následně v ust. § 13 odst. 2 zákona ( viz systematika ustanovení), v němž se uvádí, že má jít o technicko- organizační opatření. Již to znamená, že povinnost preventivních opatření se s ohledem na povahu ochrany ( ochrana osobních údajů – dat) v rámci zákona č. 101/2000 Sb. zajišťuje technicko organizačními opatřeními, neboť jiné právní prostředky (žalobcem namítaná povinnost mlčenlivosti dle zákona č. 337/1992 Sb. či ukládání pokut dle zákona č. 337/1992 Sb. či zákona č. 101/2000 Sb.) nemají povahu technicko- organizačních opatření ve smyslu § 13 odst. 2 a v případě pokut nemají ani povahu preventivních opatření ve smyslu § 13 odst. 1 zákona. Tyto právní prostředky nepůsobí také přímo k zamezení neoprávněného nakládání či zneužívání osobních údajů, ale buď stanoví limity nakládání s osobními daty ( mlčenlivost) nebo již postih za porušení práva ( pokuty). Oproti tomu právní úprava daná ust. § 13 vymezuje, jaká opatření jsou žádoucí a případná pro evidenci nakládání s daty a přitom i preventivně pro účely zamezení neoprávněného nakládání s osobními údaji tak, aby z nich bylo přímo zjistitelné kým a jakým způsobem jsou údaje zpracovávány. Za taková opatření jsou pokládána opatření technicko- organizační povahy, přičemž dle § 13 odst. 3 zákona ( viz systematika ustanovení) se tato opatření přijímají dle vyhodnocení rizika vyvěrajícího z konkrétních činnosti taxativně uvedených pod písm. a)-d) cit. ustanovení, mezi něž náleží i činnosti nepokryté povinností mlčenlivosti ( neoprávněné čtení, vytváření ( jiných) záznamů obsahujících osobní údaje apod.). Uvedené tedy zcela koresponduje úvaze žalovaného, že zvláštní právní předpisy v daňové správě neupravují požadavky na ochranu osobních údajů natolik komplexně a v takové míře, která by odpovídala rizikům v daňovém systému odůvodněným velkým rozsahem zpracovávaných údajů, že je lze posuzovat jako zvláštní a dostačující ochranu proti zneužití osobních dat.

Právě z důvodu uvedeného pak úprava ochrany osobních údajů byla konkretizována v ust. § 13 odst. 4 zákona v technicko- organizačních opatřeních, která mají být přijata tam, kde jsou osobní údaje zpracovávány v oblast automatizovaného systému zpracování osobních údajů. Novela zákona učiněná zákonem č. 170/2007 Sb. nestanovila sice konkrétní opatření, které má být přijato, ale stanovila typ opatření, které má v systému automatizovaného zpracování osobních údajů zaručit účel ust. § 13 odst. 1, novela tedy ustanovení § 13 odst. 1 skutečně konkretizovala a doplnila, avšak pro sytém ADIS a to tím, jak má tento systém pracovat a jakou metodiku pro zajištění cíle v ust. § 13 odst. 1 zákona zvolit, totiž metodiku elektronických záznamů, tzv. logování, které umožní zjistit a ověřit dispozici s daty. Znění ust. § 13 odst. 4 písm. c) zákona je jednoznačné a jako zákonná norma je zavazující. Žalobce odkazující na plnění povinnosti dle § 13 odst. 1 zákona ani neuvedl, jak obecnou povinnost dle § 13 odst. 1 pro účely § 13 odst. 4 písm. c) zákona splnil, jakou míru rizika v rámci množství osobních údajů shromažďovaných daňovou správou vyhodnotil a jaká jiná opatření přijal, když dle výsledků daňové kontroly opatření ve stávajícím systému ADIS umožňují toliko zaznamenání spuštění úlohy, nikoliv však již to, kdo a jaké konkrétní údaje v systému zpracovával, tedy neumožňují do důsledků dosáhnout cíle ust. § 13 odst. 1 konkretizované v ust. § 13 odst. 4 písm. c) zákona. Opatření, která žalobce přijal tedy odpovídají spíše povinnostem uvedeným v § 13 odst. 4 písm. a) a b), nemíří však na zachycení konkrétního zpracování dat jednotlivými osobami.

Dodržování ustanovení § 13 odst. 4 vedoucí k naplnění zásady uvedené v § 13 odst. 1 zákona je koncipováno jako povinnost, nikoliv jako alternativa –možnost v rámci postupu dle § 13 odst. 1 zákona, která by závisela na úvaze správce údajů. Tento výklad není v protikladu s důvodovou zprávou k novele zákona provedenou zákonem č, 170/2007 Sb., jak namítá žalobce. Důvodová zpráva shodně konstatuje , že cílem navrhovaného ustanovení je vyjádření konkrétních povinností správců a zpracovatelů k zajištění plnění dříve příliš obecně vyjádřené povinnosti, a to zejména s ohledem na rozsáhlé databáze osobních údajů, mezi něž patří i SIS, a to dle požadavků na zabezpečení a důvěrnost údajů stanovených pro agendy SIS novými evropskými předpisy. Do ustanovení § 13 se proto navrhuje vložit nové odstavce 3 a 4, jimiž se stanoví přesný obsah opatření v rámci plnění povinnosti správců (a zpracovatelů) pro zabezpečení osobních údajů. Podpůrnými pro tento návrh se jeví i požadavky odborné veřejnosti aplikující předmětné ustanovení v praxi, v nichž bylo požadováno podrobněji vysvětlit, v zákoně o ochraně osobních údajů zakotvit a alespoň rámcově vymezit náležitosti dokumentace technicko-organizačních opatření k zajištění ochrany osobních údajů, a podrobněji stanovit povinnosti v oblasti automatizovaného zpracování osobních údajů, zejména pokud jde o zabezpečení osobních údajů. Posuzování rizik nepřináší nové povinnosti, ani další byrokratickou zátěž, neboť nemusí mít písemnou podobu. Nová ustanovení konkretizují opatření požadovaná již v současné době podle platného a účinného odstavce 1, kterých si každý správce a zpracovatel osobních údajů musí být vědom a které musí vyhodnotit před i v průběhu plnění jednotlivých povinností při zpracování osobních údajů (srov. § 5 odst. 1 zákona).

Z textu důvodové zprávy k novelizaci zákona tedy vyplývá to, co správně posoudil žalovaný, totiž potřeba konkrétní povinnosti technicko organizačních opatření v rámci obecně stanovené, avšak nedostatečně a nekonkrétně vymezené povinnosti podle § 13 odst. 1, a co je podstatné, v oblasti ADIS, tedy systémů, které existují zejména u správců údajů, kteří disponují ( jako finanční úřady) s velkým množstvím osobních dat. Konstatování důvodové zprávy , že nepůjde o nové povinnosti a byrokratickou zátěž se vztahuje ke způsobu zpracování dat ( nemusejí mít písemnou podobu) a počítá s tím, že tyto povinnosti nemohou správce daně zatěžovat, neboť existovaly již v rámci aplikace ust. § 13 odst. 1 zákona. Vzhledem k uvedenému jsou námitky žalobce o nepřiměřené povinnosti nedůvodné, zvláště, jestliže novela zákona dopadá na automatizované systémy dat a požaduje elektronickou evidenci kontaktu konkrétních osob s konkrétními daty. To dle názoru soudu není nepřiměřeným opatřením za situace, kdy už na jedné straně správce údajů automatizovaný systém uchovávání dat provozuje a jde o vylepšení elektronické služby, přičemž na straně druhé je správcem údajů jako správce daně, tedy jako státní orgán shromažďující závažné osobní údaje velkého množství daňových subjektů. K nákladům na elektronickou evidenci se důvodová zpráva nevyjadřuje, dle náhledu soudu proto, že toto opatření při vtělení do zákona, považoval zákonodárce s ohledem na účel a smysl jeho zavedení – závažný společenský zájem na garanci ochrany osobních údajů – za přiměřený.

Není důvodná námitka žalobce, že povinnost stanovená v ust. § 13 odst. 4 písm. c) zákona se nevztahuje na zpracovávání osobních údajů správci daně, tedy na oblast daňové správy z důvodu výjimky dle § 3 odst. 6 písm. f) a g) zákona.

Z dikce ustanovení § 3 odst. 6 zákona č. 101/2000 Sb. nevyplývá, že by se pro zpracování osobních údajů nepoužilo ust. § 13, natož ust. § 13 odst. 4 písm. c). zákona. Žalobce ostatně výjimku pro daňovou správu dovozuje z ust. § 3 odst. 6 ve spojení s § 5 odst. 1 zákona, což je ustanovení stanovující správci údajů výčet všech povinností, které má při zpracovávání osobních údajů. Z ust. § 5 odst. 1 písm. f) zákona pro správce údajů vyplývá povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, přičemž k jinému účelu lze osobní údaje zpracovávat jen v mezích ust. § 3 odst. 6 zákona. To znamená, že ust. § 5 odst. 1 stanoví povinnost zpracovávat osobní údaje pouze pro účely činnosti či působnosti správců údajů ( pro žalobce v oblasti daňové správy), k jiným účelům pak jen v případě závažného zájmu daného v ust. § 3 odst. 6 zákona. Stručně řečeno, pro zpracování osobních údajů je jedině legitimní účel daný činností či působností správce údajů, to neplatí a výjimka je dána, když jde o jiný účel a závažný celospolečenský zájem deklarovaný v ust. § 3 odst. 6 pod písm. a)-h) zákona. Výklad žalobce tedy poněkud ustupuje smyslu namítaných výjimek. Správci daně budou vždy zpracovávat údaje pro účely daňových opatření či jiných úkonů daňové správy, a proto se v rámci daňové správy na ně nemůže vztahovat výjimka daná ust. § 3 odst. 6 písm. f) a g) ohledně daňových opatření a dopadající zase na výkon daňové správy, nikoliv na jiný účel. Uvedenými výjimkami jsou správci daně vázáni pro jiné případy, tj. pro případy v ust. § 3 odst. 3 písm. a)-e) a h), zatímco jiní správci údajů odlišní od správců daně budou vázáni i v závažných případech daňových opatření výjimkami podle § 3 odst. 6 písm. f) a g), neboť to bude vyžadovat společenský zájem zde zakotvený ( budou v určitých případech nápomoci správcům daní). Výklad , jímž argumentuje žalobce je tak právně nelogický, neboť se dovolává výjimky, která by nevyjadřovala smysl ust. § 3 odst. 6 zákona, tj. úpravu nakládání s osobními údaji správci údajů mimo účel jim příznačný, ale v podstatě by negovala povinnost správců údajů, jimiž jsou správci daně dle § 5 odst. 1 písm. f) zákona.

Z uvedených důvodů je tedy výklad žalobce s odkazem na judikaturu ESD, že rozhodnutí vydaná správcem daně jsou daňovými opatřeními ve smyslu 3 odst. 6 písm. f) zákona irelevantní. Nicméně soud neodporuje tomu, že individuální správní akty, jimiž se stanoví daňové povinnosti, nejsou daňovými opatřeními. Těmi jsou jistě ve smyslu daňových zákonů i zákona o správě daní a poplatků, případně dnes platného daňového řádu. Pro účely zákona č. 101/2000 Sb. a namítané výjimky dle § 3 odst. 6 písm. f) zákona pak dle náhledu soudu by případně při posuzování této výjimky nemělo být vycházeno pouze z obecného pojmu „ daňové opatření“ ale i z úsudku tom, zda určité daňové opatření je natolik závažné, že je obdobou a má váhu celospolečenských zájmů uvedených v § 3 odst. 6 pod písm. a)-e) a h) zákona. Toto posouzení by se však týkalo, jak byl výše uvedeno, výjimek u jiných správců údajů s jinou činností či působností než u správců daní.

Uložené nápravné opatření není ani v rozporu s čl. 17 Směrnice Evropského parlamentu a Rady ( ES) č. 95/46/ES, podle kterého, cit:

Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování. Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.

Dikce čl. 17 směrnice byla transponována do českého právního řádu právě novelou č. 170/2007 Sb., neboť zákon ze směrnice převzal potřebu technicko- organizačních opatření v rámci systému ADIS, a to právě k účelu stanovenému ve směrnici. Postup žalovaného nebyl ani v rozporu s větou druhou čl. 17 směrnice, neboť, jak již bylo výše naznačeno, učinil tak v rámci daného stavu techniky ( v rámci existence systému ADIS u správců údajů). Nákladnost funkce elektronické evidence ( tzv. logování), která by dosáhla zjevné nepřiměřenosti oproti vyhodnocení rizik, není z námitek žalobce zřejmá, neboť žalobce nikterak nevyhodnotil rizika nakládání s údaji bez potřeby elektronické evidence ( oproti tomu žalovaný provedl kontrolu na základě konkrétních poznatků o podezření ze zneužívání osobních údajů) a dále žalobce také v rámci své žalobní námitky nepřiměřené lhůty k opatření k nápravě ani neuvedl konkrétní kvalifikované argumenty k technické náročnosti a finanční nákladovosti provedení uloženého opatření. Protože tvrzení žalobce o nepřiměřených výdajích a stagnaci běžné činnosti daňové správy v důsledku provedení elektronické evidence nakládání s daty stojí toliko jako konstatování oproti tvrzení žalovaného, že jde o standardní opatření přijaté a fungující u jiných správců údajů, nemohlo toto tvrzení žalobce obstát jako důvod pro zrušení napadeného rozhodnutí. Soud také nemohl přijmout argumentaci ohledně závaznosti druhé věty čl. 17 směrnice, předestřenou žalobcem při jednání před soudem. Žalobce se mýlí, pokud považuje směrnici za předpis práva EU s přímým účinkem. Přímým direktivním účinkem, tj. přímou závazností se vyznačují nařízení Rady, směrnice jsou předpisem doporučujícího charakteru s cílem uvést úpravu členských států do souladu s evropským právem. V dané věci toto novela zákona provedená zákonem č. 170/2007 Sb. doporučenou transpozici splnila a konkrétní úpravu ponechala na národním zákonodárci. Soud proto nepovažuje danou problematiku za potřebnou vyložit v řízení o předběžné otázce. Otázka přiměřenosti nákladů žalobce není řešitelná přímou aplikaci druhé věty článku 17 citované směrnice .

Uvedená námitka přiměřenosti uloženého opatření souvisí i s námitkou žalobce o nepřiměřené lhůtě k nápravě. Tato námitka nebyla žalobcem proti kontrolnímu protokolu uplatněna, žalovaný proto v napadeném rozhodnutí neposuzoval dostatečnost stanovené lhůty a soud tedy nemá k posouzení této námitky nejen kvalifikované důvody zabývající se technickou a finanční náročností uloženého opatření, ale ani procesní podmínky, aby vypořádání neexistující námitky žalobce proti kontrolnímu protokolu ohledně nepřiměřenosti lhůty k nápravě přezkoumal.

Na základě všech shora uvedených skutečností dospěl Městský soud v Praze k závěru, že žaloba není důvodná, a proto podle § 78 odst. 7 s.ř.s. podanou žalobu zamítl.

Výrok o nákladech řízení se opírá o ust. § 60 odst. 1 s.ř.s. Žalobce neměl ve věci úspěch, proto nemá právo na náhradu nákladů řízení před soudem , žalovanému správnímu orgánu náklady řízení před soudem nevznikly. Z uvedených důvodů soud vyslovil, že žádný z účastníků nemá právo na náhradu nákladů řízení.

Poučení: Proti tomuto rozsudku lze podat kasační stížnost ve lhůtě dvou týdnů ode dne jeho doručení. Kasační stížnost se podává ve dvou vyhotoveních u Nejvyššího správního soudu, se sídlem Moravské náměstí 6, Brno. O kasační stížnosti rozhoduje Nejvyšší správní soud. Kasační stížnost lze podat pouze z důvodů uvedených v § 103 odst. 1 s.ř.s. a kromě obecných náležitostí podání musí obsahovat označení rozhodnutí, proti němuž směřuje, v jakém rozsahu a z jakých důvodů jej stěžovatel napadá, a údaj o tom, kdy mu bylo rozhodnutí doručeno. V řízení o kasační stížnosti musí být stěžovatel zastoupen advokátem; to neplatí, má-li stěžovatel, jeho zaměstnanec nebo člen, který za něj jedná nebo jej zastupuje, vysokoškolské právnické vzdělání, které je podle zvláštních zákonů vyžadováno pro výkon advokacie.

V Praze dne 17. října 2012

JUDr. Naděžda Řeháková, v.r.

předsedkyně senátu

.

Za správnost vyhotovení: Matznerová, DiS.

Zdroj dat je volně dostupný na http://www.nssoud.cz
Přesunout nahoru