(rozsudek Nejvyššího správního soudu ČR ze dne 11. listopadu 2021, sp. zn. 1 As 238/2021)

NSS posuzoval otázku, zda se žalobce dopustil přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb. o ochraně osobních údajů („ZOOÚ") tím, že nepřijal opatření pro zajištění bezpečnosti zpracovávaných osobních údajů dle ustanovení § 13 odst. 1 ZOOÚ, které stanov í, že správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů․ Tato povinnost platí i po ukončení zpracování osobních údajů. V projednávané věci uznal ÚOOÚ žalobce, společnost Internet Mall, a.s. („žalobce“ nebo „stěžovatel“), vinnou ze spáchání přestupku, když nepřijala opatření pro zajištění bezpečnosti zpracovávaných osobních údajů. Konkrétně nezabezpečila osobní údaje nejméně 735.956 zákazníků (v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefonní číslo) před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017, v důsledku čehož došlo v době od 27. července 2017 do 25. srpna 2017 k jejich zpřístupnění neznámým hackerem na internetových stránkách www.ulozto.cz. Za spáchání uvedeného přestupku uložil ÚOOÚ pokutu ve výši 1.500.000 Kč. Žalobce podal proti prvostupňovému rozhodnutí rozklad, který byl zamítnut.

Následně se žalobce bránil podáním správní žaloby, kterou městský soud zamítl. V kasační stížnosti podané u NSS žalobce (stěžovatel) argumentoval, že městský soud vycházel ze skutečnosti, že přestupek podle citovaného ustanoveni je konstruován jako odpovědnost za následek, jímž je ohrožení bezpečnosti zpracovávaných osobních údajů. Uvedený výklad je v rozporu s textem zákona a úmyslem zákonodárce. Dotčené ustanovení vychází z norem evropského práva, jejichž autoři si byli vědomi toho, že veškerá bezpečnostní opatření jsou vždy pozadu za jakýmikoliv hrozbami, pročež antivirové, ani jiné softwarové prostředky nikdy neposkytnou 100% ochranu. Výklad aplikovaný městským soudem by znamenal, že veškeré subjekty, které byly obětí takových [kybernetických] útoků, by se dopustily přestupku, bez ohledu na to, jaká opatření reálně přijaly. Stěžovatel tvrdil, že podle § 13 zákona ZOOÚ není povinností správce údajů přijmout za účelem jejich ochrany všechna myslitelná opatření. Tento výklad dle stěžovatele koresponduje i s textem GDPR, které nepožaduje přijetí veškerých možných opatření ale v čl. 24 a čl. 32 GDPR hovoří o vhodných opatřeních a vhodné úrovni bezpečnosti.

Dle NSS v posuzované věci nebylo sporné, že stěžovatel nezabránil neoprávněnému přístupu k osobním údajům více než 700 tisíc jeho zákazníků. Odcizení údajů pak odhalil až se značným časovým odstupem, a to v návaznosti na jejich zveřejnění na internetových stránkách. Domníval se však, že jak žalovaný ÚOOÚ, tak i městský soud interpretovali ustanovení ZOOÚ chybně a trval na tom, že bylo povinností ÚOOÚ zkoumat, jaká opatření stěžovatel za účelem předejití neoprávněného přístupu k osobním údajům přijal.

NSS dovodil, že odpovědnost správců a zpracovatelů osobních údajů není bezbřehá, ale klade důraz na to, aby dotčené subjekty vynaložily za účelem ochrany osobních údajů náležité úsilí a nelze na ně přenášet neomezenou odpovědnost za jakoukoliv (mnohdy i protiprávní či dokonce trestnou) činnost jiných subjektů. Stěží lze očekávat, že přijatá bezpečnostní opatření budou natolik silná, aby byla schopná odrazit případně i sofistikovaný a cílený kybernetický útok. Kasační soud připomíná, že pro vznik odpovědnosti za přestupek není rozhodující, zda se osobní údaje v konečném důsledku podaří ochránit či nikoliv, ale zda je zjištěn deficit v přijetí náležitých opatření za účelem jejich ochrany. V daném případě k neoprávněnému přístupu k osobním údajům došlo zjevně v důsledku cíleného protiprávního jednání jiného subjektu. Stěžovatel přitom sice musí obdobné jednání předvídat, nemůže však za něj nést automaticky odpovědnost bez ohledu na to, jaká opatření za účelem ochrany osobních údajů přijal, a nakolik promyšlený a propracovaný byl útok neznámého subjektu, který údaje z databáze odcizil. NSS tedy souhlasil se stěžovatelem a přikročil ke zrušení napadeného správního rozhodnutí. Bude tak na ÚOOÚ, aby zohlednil všechna stěžovatelem přijatá opatření a zabýval se tím, jestli byla s ohledem na dostupnou úroveň ochrany v rozhodném období, charakter činnosti stěžovatele a rozsah jím zpracovávaných údajů dostatečná.