17 A 109/2023– 54

Rubrum

Městský soud v Praze rozhodl v senátě složeném z předsedy Milana Taubera, soudce Vadima Hlavatého a soudkyně Pavly Klusáčkové ve věci žalobkyně: proti žalovanému: Poliklinika IPP s.r.o., IČO 250 57 065, sídlem Praha 2, Legerova 389/56, PSČ 12000 zastoupena advokátem JUDr. Milanem Vašíčkem, MBA, sídlem Dominikánské náměstí 656/2, 602 00 Brno Úřad pro ochranu osobních údajů sídlem Pplk. Sochora 27, 170 00 Praha 7 o žalobě proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů ze dne 7. 8. 2023, č. j. UOOU–00414/23–30, takto:

Výrok

I. Žaloba se zamítá.

II. Žádný z účastníků nemá právo na náhradu nákladů řízení.

Odůvodnění

I. Základ sporu

1. Žalobou napadeným rozhodnutím předseda Úřadu pro ochranu osobních údajů (dále také jen „ÚOOÚ“) zamítl rozklad žalobkyně proti rozhodnutí ÚOOÚ č. j. UOOU–00414/23–20 ze dne 10. 5. 2023 a napadené rozhodnutí potvrdil.

2. Rozhodnutím ÚOOÚ byla žalobkyně jako správce osobních údajů přibližného počtu 58 zaměstnanců a 247 000 pacientů (dále jen „subjekty údajů“) podle čl. 4 bodu 7 nařízení (EU) 2016/679 uznána vinnou: – ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 5 odst. 2 nařízení (EU) 2016/679 (dále také jen „nařízení“ nebo „nařízení GDPR“), tedy povinnosti správce doložit dodržení souladu se základními zásadami uvedenými v odst. 1 daného článku, čímž spáchala přestupek podle § 62 odst. 1 písm. b) zákona č. 110/2019 Sb.; – ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 33 odst. 1 nařízení, tedy povinnosti správce ohlásit dozorovému úřadu jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, čímž spáchala přestupek podle § 62 odst. 1 písm. a) zákona č. 110/2019 Sb.; – a ze spáchání přestupku spočívajícího v porušení povinnosti dle čl. 33 odst. 5 nařízení, tedy povinnosti správce dokumentovat veškeré případy porušení zabezpečení osobních údajů, včetně uvedení skutečností, které se daného porušení týkají, jeho účinky a přijatá nápravná opatření, čímž spáchala přestupek podle § 62 odst. 1 písm. a) zákona č. 110/20219 Sb.; 3. za což jí byla dle § 41 zákona č. 250/2016 Sb. a v souladu s čl. 83 odst. 4 písm. a) a čl. 83 odst. 5 písm. a) nařízení uložena pokuta ve výši 309 000 Kč, a dále jí byla uložena povinnost nahradit náklady řízení ve výši 1 000 Kč.

II. Obsah žaloby a související vyjádření

4. Žalobkyně v podané žalobě nejprve popisuje kybernetický útok ze dne 14. 3. 2021, při kterém se útočníkům podařilo osobní údaje o zaměstnancích a pacientech žalobkyně po dobu přibližně jednoho týdne žalobkyni znepřístupnit, přičemž však nedošlo k žádnému úniku dat, jejich ztrátě, poškození, vymazání apod. Zdůrazňuje, že nebylo zjištěno žádné pochybení, pokud jde o způsob nakládání s osobními údaji či jejich zabezpečení před vnějším útokem.

5. Žalobkyně dále zmiňuje, že svěřila svoji notifikační povinnost, kterou má vůči žalovanému, tzv. pověřenci osobních údajů (mateřské společnosti žalobkyně), která kybernetický útok žalovanému nahlásila. Mateřská společnost žalobkyně však v oznámení omylem formálně neuvedla, že se útok týká nikoli přímo jí, ale žalobkyně, což později vedlo k zahájení správního řízení žalovaného s žalobkyní za to, že mu neoznámila kybernetický útok a že subjektům údajů neoznámila, že jsou jejich data znepřístupněna. Žalobkyně přitom své pacienty o porušení zabezpečení osobních údajů řádně informovala prostřednictvím webových stránek, jejichž podobu si ale neuložila, neboť nepředpokládala, že by to bylo v budoucnosti třeba.

6. Žalobkyně podala rozklad proti výroku IV. rozhodnutí I. stupně, tedy proti výroku, jímž jí byla uložena pokuta, protože s výší sankce nesouhlasila. Podanou žalobou se žalobkyně domáhá zrušení rozhodnutí orgánů obou stupňů.

7. Žalobkyně nerozporuje, že formálně mohlo dojít k naplnění skutkové podstaty popisovaných přestupků, ale je přesvědčena, že citelná sankce uložená žalovaným ve výši 309 000 Kč je vzhledem k okolnostem, za kterých došlo k jejich spáchání, nepřiměřeně přísná, neboť správní orgán dostatečně nezohlednil všechny okolnosti, které při stanovení výše pokuty zohlednit měl a mohl. Žalobkyně však nesouhlasí s tím, že by přímo na její straně došlo k zaviněnému spáchání přestupků, neboť žalobkyně evidentně vyvinula prokázanou snahu splnit všechny zákonné povinnosti a žádný přestupek nespáchat. Pokud i přes veškeré snažení žalobkyně k naplnění skutkové podstaty přestupků došlo, nestalo se tak z důvodu nedbalosti přímo žalobkyně, ale vlivem formálního pochybení na straně mateřské společnosti žalobkyně, obchodní společnosti MEDIRECO a.s. (dále též jen „mateřská společnost“), vystupující v systému ochrany osobních údajů jako tzv. pověřenec osobních údajů, prostřednictvím kterého se žalobkyně pokoušela splnit svoji notifikační povinnost vůči žalovanému. Žalobkyně má za to, že ve správním řízení mělo být hodnoceno jako polehčující okolnost, že nešlo o nedbalost přímo žalobkyně, ale mateřské společnosti.

8. Žalobkyně dále uvádí, že v ohlášení porušení zabezpečení osobních údajů je v bodě 11.3. uvedeno, že zaměstnanci budou informováni prostřednictvím emailové zprávy a pacienti budou informováni na webových stránkách; žádný předpis přitom žalobkyni neukládá, že je povinna si uchovávat právě screen–shot svých webových stránek ke splnění povinností plynoucích pro ni z právních předpisů. Má za to, že je to právě její neschopnost doložit obsah svých webových stránek z rozhodné doby, za co je postihována nepřiměřeně vysokou pokutou, přestože informování pacientů na webových stránkách doložila čestným prohlášením své bývalé jednatelky, a žádný předpis jí povinnost doložit obsah svých webových stránek neukládá.

9. Žalobkyně má pocit, že je de facto trestána dvakrát, když už samotný kybernetický útok jí způsobil provozní problémy a újmu, a ještě byla potrestána vysokou pokutou. Zdůrazňuje, že reálné následky kybernetického útoku přitom fakticky nenastaly, neboť nedošlo k odcizení chráněných osobních údajů pacientů a zaměstnanců, ale pouze k jejich znepřístupnění po určitou dobu, a subjektům žádná újma nevznikla. Účinky útoku tak nastaly pouze ve sféře žalobkyně. Nadto nebylo přerušeno ani poskytování lékařské péče. Žalobkyně má to, že tato skutečnost měla být ve správním řízení hodnocena jako polehčující okolnost při vyměřování sankce. Shrnuje, že o útoku informovala kromě svých webových stránek rovněž osobně na recepci polikliniky a jednatelka žalobkyně o útoku informovala také v médiích. I to považuje žalobkyně za polehčující okolnost, kterou měly správní orgány vzít v potaz.

10. Dodává, že prostřednictvím mateřské společnosti nahlásila kybernetický útok také Národnímu úřadu pro kybernetickou bezpečnost a podala trestní oznámení na Policii ČR. Dle názoru žalobkyně jsou i toto okolnosti, které je potřeba považovat za polehčující, přičemž popsané počínání žalobkyně rozhodně nesvědčí o tom, že by přistupovala ke kybernetickému útoku nezodpovědně či ledabyle, jak je naznačováno v napadeném rozhodnutí.

11. Žalobkyně má za to, že polehčující okolnosti v § 39 zákona č. 250/2016, o odpovědnosti za přestupky a řízení o nich (dále jen „přestupkový zákon“), nejsou vyjmenovány taxativně, a proto měl žalovaný při stanovení výše sankce přihlédnout i k takovým okolnostem, které se váží ke spáchaným přestupkům a které nejsou výslovně uvedeny v předmětném ustanovení.

12. Žalovaný užil na případ žalobkyně takové přitěžující okolnosti ve smyslu § 40 přestupkového zákona, které rovněž nejsou v zákoně vyjmenovány. Žalobkyně má za to, že shodně měl žalovaný postupovat i v případě okolností polehčujících. Rovněž považuje za nesprávné, že za přitěžující okolnost byl označen fakt, že se osobní údaje týkaly pacientů, tedy osob ve slabším postavení vůči žalobkyni. Žalobkyně zdůrazňuje, že se žádného zneužití svého silnějšího postavení vůči subjektům nedopustila, a proto charakter vztahu mezi ní a subjekty údajů nemůže hrát žádnou roli z hlediska přitěžujících okolností ani z hlediska stanovení výše sankce.

13. Pokud žalovaný uvádí, že znepřístupnění osobních údajů představuje určitý negativní následek kybernetického útoku, pak žalobkyně poukazuje na to, že na tomto negativním následku nenese žádnou vinu, nemohla mu předejít ani ho zmírnit tím, že by formálně nenaplnila skutkovou podstatu přestupků, za které byla uznána vinnou.

14. Žalobkyně má dále za to, že k formálnímu nezaviněnému porušení z její strany došlo fakticky jednočinným souběhem, a dle jejího názoru nebylo na místě, aby bylo na tuto okolnost nahlíženo jako na přitěžující, pokud se jednání, které jí je kladeno za vinu de facto odehrálo jedním skutkem, a navíc omylem a v návaznosti na mimořádnou nečekanou událost.

15. Žalobkyně dále uvádí, že ze znění výroku III. napadeného rozhodnutí je zřejmé, že při ukládání trestu žalobkyni bylo přihlédnuto také k okolnosti, jež byla závislá na výkladu ze strany žalobkyně, která si špatně vyložila pojem „účinky porušení zabezpečení osobních údajů“, což by podle názoru žalobkyně nemělo být (v principu) hodnoceno jako přitěžující okolnost.

16. Žalobkyně vnímá výši peněžité sankce, která jí byla uložena, jako zjevně nespravedlivou až drakonickou. Má za to, že pokud jí vůbec měla být ukládána sankce, tak ve výši do 5 000 Kč. Dodává, že se již v důsledku šetření a projednávání přestupku ve správním řízení dostatečně poučila o tom, jakým způsobem má v obdobných situacích napříště postupovat. K přiměřenosti pokuty a jejímu ukládání žalobkyně odkazuje na rozsudek Nejvyššího správního soudu (NSS) ze dne 19. 4. 2012, č. j. 7 As 22/2012–27, a rozsudek NSS ze dne 30. 9. 2010, č. j. 7 As 71/2010–97. Žalobkyně má za to, že v projednávané věci nebyly dodrženy základní principy ukládání sankce, neboť není jasné, proč byla uložena pokuta v objektivně vysoké výši 309 000 Kč.

17. Žalobkyně navrhuje zrušení rozhodnutí správních orgánů obou stupňů. Pro případ, že by soud neshledal důvody pro zrušení napadených rozhodnutí, navrhuje, aby byla pokuta 309 000 Kč snížena na 5 000 Kč; pokuta v takové výši by dle názoru žalobkyně měla výchovný charakter a plně korespondovala se závažností spáchaného správního deliktu a dostatečně reflektovala pochybení, které nastalo.

18. Žalovaný ve vyjádření k podané žalobě k tvrzení, že k naplnění skutkové podstaty přestupků došlo vlivem pochybení společnosti MEDIREKO a.s., uvádí, že skutek byl spáchán právnickou osobou, které nese objektivní odpovědnost. Dodává, že skutečnost, že pochybní bylo způsobeno mateřskou společností, je v souvislosti se samotným spácháním předmětných přestupků irelevantní, stejně jako nahlášení kybernetického útoku Národnímu úřadu pro kybernetickou bezpečnost a podání trestního oznámení Policii ČR.

19. K námitce, že žalobci žádný předpis neukládá uchovávat si screen–shoty svých webových stránek, žalovaný připomíná, že povinnost ve smyslu čl. 34 nařízení promítá zásadu transparentnosti podle čl. 5 odst. 1 písm. a) nařízení, přičemž splnění této povinnosti byla žalobkyně povinna doložit. Předmětné důkazní břemeno žalobkyně neunesla. Dodává, že podání informací při návštěvě polikliniky nemůže být pokládáno za řádné splnění povinnosti, a to především z důvodu svého dosahu, a zprávy v médiích zřejmě nebyly zveřejněny z iniciativy žalobkyně a z obsahového hlediska také nekorespondují s náležitostmi podle čl. 34 nařízení.

20. K tvrzení žalobkyně, že je de facto trestána dvakrát, žalovaný uvádí, že žalobkyně nebyla trestána za nezabránění předmětnému kybernetickému útoku. Žalovaný odmítá názor žalobkyně, podle něhož žádné reálné následky útoku fakticky nenastaly, jelikož odblokování předmětného systému trvalo přibližně týden a po tuto dobu trvající nedostupnost osobních údajů by se mohla negativně odrazit v kvalitě poskytovaných zdravotních služeb.

21. K námitce spočívající v nesprávnosti určení výše pokuty žalovaný uvádí, že § 39 a § 40 přestupkového zákona nijak nelimitují možnost použití jednotlivých vyjmenovaných či naopak výslovně neuvedených polehčujících či přitěžujících okolností. Zároveň však žalovaný připomíná, že při ukládání pokut týkajících se porušení předmětného nařízení je třeba primárně vzít v úvahu okolnosti uvedené v čl. 83 nařízení, k jehož uplatňování byl přijat dokument Evropského sboru pro ochranu osobních údajů „Pokyny č. 04/2022 pro výpočet správních pokut podle obecného nařízení o ochraně osobních údajů“ (dále jen „Pokyny“). Při určení výše pokuty byla vzata v úvahu především finanční situace žalobkyně, přičemž bylo dbáno, aby pokuta neměla likvidační charakter, dále byla posuzována závažnost přestupků, přičemž jako přitěžující okolnost byl vzat v úvahu vyšší počet dotčených subjektů údajů, charakter zpracovávaných osobních údajů, které měly také povahu zvláštní kategorie osobních údajů, i to, že se žalobkyně dopustila více přestupků. Jako polehčující okolnost byla vzata skutečnost, že nebyl detekován úmysl jednajících osob porušit předmětné povinnosti, že zpracování osobních údajů není hlavní činností žalobkyně a také to, že pouze jeden stěžovatel pociťoval zvýšenou míru poškození svých práv. Žalovaný tak má za to, že vzal v úvahu všechny konkrétní okolnosti, na které žalobkyně poukazovala.

22. K námitce, že měla být projednávaná věc kvalifikována jako jednočinný souběh, žalovaný uvádí, že šlo jednoznačně o vícečinný souběh přestupků, protože přestupky nebyly spáchány jedním skutkem, ale každý samostatným a odlišitelným skutkem, navíc v různou dobu. Zároveň žalovaný zdůrazňuje, že při stanovení výše pokuty správní orgán I. stupně vycházel z absorpční zásady, když pro výchozí částku pro výpočet pokuty určil nejzávažnější přestupek ze všech spáchaných přestupků a zbylé přestupky hodnotil pouze jako přitěžující okolnosti k přestupku nejzávažnějšímu.

23. K námitce, že klasifikace přestupku měla být založena na chybném výkladu pojmu předmětného ustanovení, což by vzhledem k okolnostem nemělo být hodnoceno jako přitěžující okolnost, žalovaný uvádí, že konstatování, podle nějž se v rámci kvalifikace předmětného přestupku jednalo pouze o chybný výklad předmětného ustanovení, a tudíž nebyl shledán úmysl osob jednajících jménem žalobkyně porušit předmětné povinnosti vyplývající z nařízení, bylo vysloveno evidentně ve prospěch žalobkyně, nikoliv jako přitěžující okolnost. Tomu svědčí i skutečnost, že přestupek podle § 61 odst. 1 písm. a) zákona č. 110/2019 Sb., o zpracování osobních údajů, nebyl vyhodnocen jako nejzávažnější.

24. K námitce týkající se neadekvátní výše sankce, žalovaný konstatuje, že uloženou sankci považuje za zcela adekvátní, zákonně vyměřenou na základě konkretizovaných a individualizovaných skutečností s ohledem na posouzení míry porušení chráněných hodnot a zájmů, a nijak neodporující judikatorním kritériím. Dle názoru žalovaného není dán důvod pro uplatnění moderačního práva soudu.

25. Žalovaný navrhuje, aby soud žalobu jako nedůvodnou zamítl.

26. V replice ze dne 25. 10. 2023 žalobkyně polemizuje se závěry žalovaného. Nad rámec již přednesených tvrzení uvádí, že přestupek podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů se nestal, resp. se stát nemohl, protože formální stránka, zkonstruovaná žalovaným, ani neexistuje. Žalobkyně má svá data uložena na externím uložišti a data jsou zašifrována a zůstala tak pro útočníky nedostupná, tedy nedošlo k žádné újmě pacientů. Pokud vzhledem k šifrování osobních údajů neexistovala povinnost žalobkyně oznámit subjektům údajům, že došlo k porušení zabezpečení osobních údajů, nemohla žalobkyně porušit čl. 34 odst. 1 nařízení promítající zásadu transparentnosti dle čl. 5 odst. 1 písm. a) nařízení, a tedy nemohla porušit čl. 5 odst. 1 písm. a) nařízení, na ni navazující povinnost stanovenou v čl. 5 odst. 2 nařízení, a tedy nemohla ani naplnit skutkovou podstatu přestupku ve smyslu ustanovení § 62 odst. 1 písm. b) zákona o zpracování osobních údajů.

27. Přestupek podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů se také nestal s ohledem na šifrování znepřístupněných osobních údajů, k čemuž žalovaný v rozporu se svojí povinností nepřihlédl, v důsledku čehož je napadené rozhodnutí nepřezkoumatelné.

28. K podání ze dne 30. 10. 2023 žalobkyně přiložila důkaz o tom, že osobní údaje na cloudu, jež se v důsledku kybernetického útoku staly pro žalobkyni dočasně nedostupnými, byly šifrovány, e–mailovou komunikaci mezi pověřencem žalobkyně pro ochranu osobních údajů (MEDIRECO a.s.) a společností MyCom Solutions s.r.o., jejíž servery byly napadeny. Z této komunikace jednoznačně vyplývá, že data byla šifrována.

29. Žalovaný v podání ze dne 29. 11. 2023 poukazuje na posun v argumentaci žalobkyně, která v rozkladovém řízení i v žalobě připouštěla spáchání předmětných přestupků a v podání ze dne 25. 10. 2023 spáchání přestupků zcela popírá.

30. K námitce, že nedošlo ke spáchání přestupku podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů, žalovaný konstatuje, že žádné zašifrování žalobkyně spolehlivě nedoložila. Připomíná, že dokument „Ohlášení porušení zabezpečení osobních údajů dle GDPR“, který byl ke dni 23. 11. 2021 vztažen k žalobci, žádnou relevantní zmínku o šifrování napadených dat ze strany správce, resp. žalobce (na rozdíl od zašifrování dat ze strany hackera) neobsahuje. Tvrzení žalobkyně ohledně šifrování osobních dat považuje žalovaný za účelové.

31. K námitce, že nedošlo ke spáchání přestupku podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů žalovaný uvádí, že plnění povinnosti dle § 33 nařízení není podmíněno existencí újmy. Pokud jde o další námitky, žalovaný nadále odmítá tvrzení žalobce a setrvává na závěrech, které přednesl ve svém vyjádření k podané žalobě.

III. Posouzení žaloby

32. Městský soud v Praze přezkoumal žalobou napadené rozhodnutí v rozsahu uplatněných žalobních bodů, jimiž je vázán (§ 75 odst. 2 věta první s. ř. s.), a vycházel přitom ze skutkového i právního stavu, který tu byl v době rozhodování správního orgánu (§ 75 odst. 1 s. ř. s.).

33. Soud rozhodl v souladu s § 51 odst. 1 s. ř. s. bez jednání, protože žádná ze stran s takovým postupem nevyjádřila nesouhlas.

34. Žaloba není důvodná.

35. Podle § 71 odst. 2 věta třetí s. ř. s. rozšířit žalobu na dosud nenapadené výroky rozhodnutí nebo ji rozšířit o další žalobní body může jen ve lhůtě pro podání žaloby.

36. Soud předesílá, že žalobkyně v podané žalobě nerozporuje, že formálně mohlo dojít k naplnění skutkové podstaty popisovaných přestupků, a její žalobní argumentace směřuje převáženě k uložené pokutě, resp. její výši. V podání ze dne 25. 10. 2023 však žalobkyně nově (a v rozporu se svým žalobním tvrzením) uvádí, že k předmětným přestupkům vůbec nemohlo dojít, resp. že nebyla naplněna jejich skutková podstata. Napadené rozhodnutí bylo žalobkyni oznámeno dne 8. 8. 2023 a posledním dnem lhůty pro podání žaloby, resp. pro její rozšíření o nové žalobní body, dle § 72 odst. 1 s. ř. s., bylo pondělí 9. 10. 2023. Argumentace žalobkyně v podaní ze dne 25. 10. 2023 představuje nově uplatněné žalobní body, a je tak nepřípustným rozšířením žaloby, protože nerozvíjí tvrzení uvedená v žalobě, ale vznáší nové žalobní námitky. Soud k těmto novým námitkám v souladu se zásadou koncentrace řízení zakotvenou v citovaném § 71 odst. 2 věta třetí s. ř. s. nemohl přihlížet a nemohl se jimi při posouzení věci vůbec zabývat.

37. K žalobní námitce spočívající v tvrzení, že k naplnění skutkové podstaty předmětných přestupků nedošlo vlivem nedbalosti žalobkyně, ale vlivem formálního pochybení na straně mateřské společnosti žalobkyně (MEDIRECO a.s.), soud uvádí, že tento fakt je pro projednávanou věc zcela nepodstatný. Komentářová literatura uvádí: „Odpovědnost právnické osoby za přestupek je založena na objektivní odpovědnosti s možností liberace, a není tak nutno zkoumat subjektivní stránku odpovědnosti za přestupek, neboť právnická osoba odpovídá za přestupek bez ohledu na zavinění. Skutkovou podstatu přestupku tak reálně naplní svým jednáním fyzická osoba, jejíž jednání se přičítá právnické osobě při činnosti právnické osoby, v souvislosti s činností právnické osoby, ku prospěchu právnické osoby nebo v jejím zájmu bez ohledu na zavinění této fyzické osoby. Přestupek právnické osoby je potom projevem právnické osoby navenek, a tedy objektivním následkem jednání fyzických osob, které je právnické osobě přičitatelné.“ (Bohadlo, David. Zákon o odpovědnosti za přestupky a řízení o nich: komentář. 2. vydání. Komentáře (Wolters Kluwer ČR). Praha: Wolters Kluwer, 2022.).

38. Odpovědnost právnických osob za přestupek je odpovědností objektivní (s možností liberace) a neposuzuje se u ní zavinění. Na odpovědnost žalobkyně tak nemůže mít žádný vliv, že měla soukromoprávní vztah se svou mateřskou společností, jejímž obsahem bylo mimo jiné i splnění předmětné oznamovací povinnosti za žalobkyni. Tuto námitku žalobkyně tak soud seznal nedůvodnou.

39. Pokud jde o námitku žalobkyně, který spočívá v tvrzení, že nebyla povinna uchovávat screen–shot svých webových stránek, pak soud souhlasí s názorem žalovaného, podle kterého byla žalobkyně povinna doložit splnění své oznamovací povinnosti.

40. Podle čl. 5 odst. 1 písm. a) nařízení GDPR osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“).

41. Podle čl. 5 odst. 2 nařízení GDPR správce odpovídá za dodržení odstavce 1 a musí být schopen toto dodržení souladu doložit („odpovědnost“).

42. Podle čl. 33 odst. 1 nařízení GDPR jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

43. Podle čl. 33 odst. 5 nařízení GDPR správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

44. Podle čl. 34 odst. 1 nařízení GDPR, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.

45. Podle č. 34 odst. 2 nařízení GDPR v oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 33 odst. 3 písm. b), c) a d).

46. Podle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že poruší některou z povinností podle čl. 8, 11, 25 až 39, 42 až 49 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II.

47. Podle § 62 odst. 1 písm. b) zákona o zpracování osobních údajů správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679.

48. Žalobkyni lze přisvědčit v tom, že žádný právní předpis jí výslovně nestanovuje povinnost uložit si právě screen–shot webových stránek. Je ale zřejmé, že čl. 5 odst. 2 nařízení GDPR jí ukládá povinnost doložit splnění předmětné oznamovací povinnosti. To, že se žalobkyně rozhodla informovat subjekty údajů na svých webových stránkách, bylo její rozhodnutí. Právní předpis nezakotvuje způsob, jakým má správce údajů subjektům porušení zabezpečení osobních údajů oznámit. Stanoví pouze povinnost je bez zbytečného odkladu a v daném rozsahu informovat a doložit, že tak učinila. Námitka žalobkyně tedy není důvodná, protože neunesla své důkazní břemeno a splnění své povinnosti nedoložila.

49. Žalobkyně dále namítá, že byla de facto trestána dvakrát, když už samotný kybernetický útok jí způsobil provozní problémy, a ještě byla potrestána vysokou pokutou. K tomu soud uvádí, že nelze přistoupit na argumentaci žalobkyně, která má za to, že samotný kybernetický útok byl pro ni trestem. Kybernetický útok, kterému žalobkyně čelila, je politováníhodnou událostí, která žalobkyni jistě po dobu jeho trvání zkomplikovala běžný provoz. Žalobkyně ovšem za kybernetický útok nijak sankcionována nebyla, byla potrestána za to, že nesplnila své povinnosti podle čl. 5, 33 a 34 nařízení GDPR, čímž se dopustila přestupků podle § 62 odst. 1 písm. a) a b) zákona o zpracování osobních údajů. Za to jí byla uložena pokuta. Provozní komplikace způsobené kybernetickým útokem nelze považovat za trest a nelze je zohlednit ani při ukládání sankce. Námitka žalobkyně, že byla trestána dvakrát, tak není důvodná.

50. K tvrzení žalobkyně, že reálné následky kybernetického útoku fakticky nenastaly, neboť nedošlo k odcizení chráněných osobních údajů pacientů a zaměstnanců, ale pouze k jejich znepřístupnění po určitou dobu, a subjektům žádná újma nevznikla, soud uvádí následující. Předmětem přezkumu v projednávané věci je rozhodnutí, kterým žalovaný potvrdil uložení pokuty pro žalobkyni za přestupky spočívající především v nesplnění oznamovací povinnosti žalobkyně. Otázka, do jaké míry nastaly účinky kybernetického útoku, resp. zda došlo k úniku chráněných informací, přitom není v tomto řízení podstatná, a soud tedy tuto námitku vyhodnotil jako nedůvodnou.

51. Relevantní není ani informace o tom, že žalobkyně kybernetický útok nahlásila Národnímu úřadu pro kybernetickou bezpečnost a podala trestní oznámení Polici ČR. Nelze souhlasit s názorem žalobkyně, že tyto okolnosti je nutno považovat za polehčující, protože tyto okolnosti nijak nezmírňují či plausibilně nevysvětlují nesplnění povinností, za něž byla žalobkyně sankcionována.

52. Žalobkyně má dále za to, že žalovaný měl při stanovení výše sankce přihlédnout i k takovým okolnostem, které se váží ke spáchaným přestupkům a které nejsou výslovně uvedeny v § 39 přestupkového zákona, a považuje za nesprávné, že za přitěžující okolnost byl označen fakt, že se osobní údaje týkaly pacientů, tedy osob ve slabším postavení vůči žalobkyni. Uloženou pokutu žalobkyně vnímá jako zjevně nespravedlivou až drakonickou a má za to, že jí měla být ukládána pokuta do 5 000 Kč.

53. Podle čl. 83 odst. 3 nařízení GDPR pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

54. Podle § 41 odst. 1 přestupkového zákona za dva nebo více přestupků téhož pachatele projednaných ve společném řízení se uloží správní trest podle ustanovení vztahujícího se na přestupek nejpřísněji trestný. Jsou–li horní hranice sazeb pokut stejné, uloží se správní trest podle ustanovení vztahujícího se na přestupek nejzávažnější.

55. Podle čl. 83 odst. 5 nařízení GDPR za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná–li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší: a) základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9; b) práva subjektů údajů podle článků 12 až 22; c) předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49; d) jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX; e) nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.

56. Podle čl. 4.1 bodu 49 Pokynů téměř všechny povinnosti správců a zpracovatelů vyplývající z nařízení jsou rozděleny do kategorií dle své povahy v čl. 83 odst. 4 až 6 GDPR.21 GDPR stanoví dvě kategorie porušení: porušení, která jsou postižitelná podle čl. 83 odst. 4 GDPR, a porušení, která jsou postižitelná podle čl. 83 odst. 5 a 6 GDPR. První kategorie porušení se trestá pokutou v maximální výši 10 milionů EUR nebo 2 % ročního obratu podniku podle toho, která částka je vyšší, zatímco druhá kategorie porušení se trestá pokutou v maximální výši 20 milionů EUR nebo 4 % ročního obratu podniku podle toho, která částka je vyšší.

57. Podle čl. 4.2.3 bodu 60 Pokynů na základě vyhodnocení výše uvedených faktorů lze konstatovat, že míra závažnosti porušení je i) nízká, ii) střední nebo iii) vysoká. Uvedenými kategoriemi není nijak dotčena otázka, zda lze pokutu uložit, či nikoli. * Při výpočtu správní pokuty za porušení s nízkou mírou závažnosti stanoví dozorový úřad výchozí částku pro další výpočet v rozmezí od 0 do 10 % platného zákonného maxima. * Při výpočtu správní pokuty za porušení se střední mírou závažnosti stanoví dozorový úřad výchozí částku pro další výpočet v rozmezí od 10 do 20 % platného zákonného maxima. * Při výpočtu správní pokuty za porušení s vysokou mírou závažnosti stanoví dozorový úřad výchozí částku pro další výpočet v rozmezí od 20 do 100 % platného zákonného maxima.

58. Podle článku 4.3 bodu 65 Pokynů z výše uvedených důvodů může dozorový úřad zvážit úpravu výchozí částky odpovídající závažnosti porušení v případech, kdy se tohoto porušení dopustí podnik s ročním obratem nepřesahujícím 2 miliony EUR, s ročním obratem nepřesahujícím 10 milionů EUR nebo s ročním obratem nepřesahujícím 50 milionů EUR30. * U podniků s ročním obratem <= 2 miliony EUR mohou dozorové úřady při výpočtu vycházet z částky mezi 0,2 % a 0,4 % zjištěné výchozí částky. * U podniků s ročním obratem od 2 do 10 milionů EUR mohou dozorové úřady při výpočtu vycházet z částky mezi 0,3 % a 2 % zjištěné výchozí částky. * U podniků s ročním obratem od 10 do 50 milionů EUR mohou dozorové úřady při výpočtu vycházet z částky mezi 1,5 % a 10 % zjištěné výchozí částky.

59. Správní orgán I. stupně vycházel při výpočtu pokuty z Pokynů. To je nepochybně žádoucí, neboť právě takovýto postup má zaručit obdobná porušení povinností uložených nařízením GDPR boudou v rámci celé Evropské unie sankcionována obdobným způsobem.

60. V souladu s čl. 83 odst. 5 nařízení GDPR žalovaný nejprve zjišťoval, jaká je horní hranice pokuty. Uvedl, že dle obchodního rejstříku měla žalobkyně v roce 2021 čistý obrat 88 425 000 Kč, hodnota 20 000 000 EUR je tedy vyšší, a proto vzal tuto částku pro stanovení výše pokuty jako výchozí.

61. Správní orgán I. stupně hodnotil jako nezávažnější z vytýkaných přestupků přestupek dle výroku I. svého rozhodnutí. Dále zhodnotil stupeň závažnosti tohoto přestupku dle jeho povahy a individuální závažnosti jako středně závažný, a proto v souladu s čl. 4.2.3 bodu 60 Pokynů stanovil základ pro výpočet pokuty mezi 10 a 20 % maximální zákonné sazby. Z důvodu nižší střední závažnosti stanovil základ pro výpočet pokuty při dolní hranici sazby, konkrétně ve výši 2 000 000 Kč, což odpovídá přibližně částce 46 830 000 Kč, která představuje 10 % z maximální výše pokuty dle čl. 83 odst. 5 nařízení GDPR. Tuto částku správní orgán dále snížil dle čistého ročního obratu žalobkyně. Vyhodnotil, že s obratem 88 425 000 Kč se dle čl. 4.3 bodu 65 Pokynů jedná o společnost druhé kategorie a přistoupil s ohledem ke střední závažnosti a počtu dotčených subjektů údajů ke snížení na 0,5 % a určil tak základ pro výpočet pokuty ve výši 234 150 Kč.

62. Podle § 39 přestupkového zákona jako k polehčující okolnosti se přihlédne zejména k tomu, že pachatel a) spáchal přestupek ve věku blízkém věku mladistvých, b) spáchal přestupek, aby odvrátil útok nebo jiné nebezpečí, aniž byly zcela naplněny podmínky nutné obrany nebo krajní nouze, nebo překročil meze jiné okolnosti vylučující protiprávnost, c) napomáhal k odstranění škodlivého následku přestupku nebo dobrovolně nahradil způsobenou škodu, d) oznámil přestupek správnímu orgánu a při jeho objasňování účinně napomáhal, nebo e) spáchal přestupek pod vlivem hrozby nebo nátlaku anebo pod tlakem podřízenosti nebo závislosti na jiném.

63. Podle § 40 přestupkového zákona jako k přitěžující okolnosti se přihlédne zejména k tomu, že pachatel a) spáchal přestupek tak, že využil něčí bezbrannosti, podřízenosti nebo závislosti na jiné osobě, b) spáchal více přestupků, c) spáchal přestupek opakovaně, d) zneužil ke spáchání přestupku svého zaměstnání, postavení nebo funkce, e) spáchal přestupek jako člen organizované skupiny, nebo f) spáchal přestupek na dítěti, osobě těhotné, nemocné, zdravotně postižené, vysokého věku nebo nemohoucí.

64. Jako přitěžující okolnost shledal správní orgán skutečnost, že žalobkyně nepostupovala transparentně vůči velkému množství subjektů údajů, což promítla do výše pokuty tak, že ji zvýšila o 10 %, tedy na částku 257 565 Kč. Soud uvádí, že zvýšení pokuty o 23 415 Kč považuje s ohledem na počet dočtených subjektů údajů (58 zaměstnanců a 247 000 pacientů) v projednávaném případě za přiměřené a dodává, že není pravdivé tvrzení žalobkyně, že ke zvýšení pokuty došlo z důvodu podřízeného vztahu subjektů údajů k žalobkyni. Správní orgán I. stupně negativně hodnotil počet subjektů údajů a na tomto postupu neshledal soud nic nezákonného.

65. Množství dotčených subjektů je v projednávaném případě velké, a navíc se jedná z velké části o pacienty zdravotnického zařízení, může tedy jít o zvlášť choulostivé údaje. Žalovaný v napadeném rozhodnutí zmínil, že chráněné osobní údaje měly charakter zvláštní kategorie a týkaly se vesměs pacientů, tedy osob ve výrazně slabším postavení vůči žalobkyni, což závažnost skutku zvyšuje. Žalovaný v tomto případě pouze uváděl příklady, které dle jeho názoru odůvodňují hodnocení skutku jako středně závažného. Nutno dodat že žalovaný také jako příklad důvodu snížení závažnosti skutku uvedl, že pouze jeden stěžovatel pociťoval zvýšenou míru poškození svých práv vyplývajících z čl. 34 nařízení GDPR, a také to, že zpracování osobních údajů není hlavní činností žalobkyně. Není tedy důvodná námitka žalobkyně, že by se správní orgány nezabývaly individuálními a konkrétními okolnostmi nad rámec těch vyjmenovaných v § 39 a 40 přestupkového zákona.

66. Správní orgány vycházely při stanovení výše pokuty ze sazby za nejzávažnější ze spáchaných přestupků. Ostatní dva pak vyhodnotily jako přitěžující okolnosti a pokutu zvýšil o 10 % za každý z nich, celkově tedy na částku 309 087 Kč, kterou zaokrouhlil na celé tisíce dolů (309 000 Kč). I toto zvýšení považuje soud s ohledem na souběh přestupků za uvážené.

67. Pokud žalobkyně namítá, že k formálnímu nezaviněnému porušení došlo z její strany jednočinným souběhem a nebylo na místě, aby bylo na tuto okolnost nahlíženo jako na přitěžující, pak soud uvádí, že otázka, zda se jednalo o jednočinný či vícečinný souběh nemůže na závěru správního orgánu ničeho změnit, když pravidla pro ukládání pokuty se v tomto případě aplikují stejně. Soud proto tuto námitku shledal nedůvodnou.

68. S ohledem na výše popsaný výpočet pokuty, které soud považuje za přehledný, správný a souladný s přestupkovým zákonem, nařízením GDPR i Pokyny, soud nesouhlasí s námitkou žalobkyně, že při ukládání sankce nebyly dodrženy základní principy a že není jasné, proč byla uložena pokuta v dané výši. Naopak správní orgán v rozhodnutí I. stupně velmi pečlivě popsal postup, jakým dospěl k částce, kterou nakonec uložil žalobkyni jako pokutu, vysvětlil jednotlivé kroky výpočtu pokuty a své úvahy řádně odůvodnil. Nadto je pokuta stanovena při dolní hranici sazby, nelze tak souhlasit s tvrzením žalobkyně, že je pokuta zjevně nepřiměřená až drakonická. Ani tato námitka tak není důvodná.

69. Co se týče návrhu žalobkyně, aby soud uloženou pokutu moderoval, soud konstatuje, že jeho moderační právo ve smyslu § 78 odst. 2 s. ř. s. má místo jen tehdy, je–li uložená pokuta zjevně nepřiměřená; nejedná se o nástroj, který by sloužil k hledání „ideální“ výše pokuty. Zákonem stanovenou podmínkou pro moderaci uloženého trestu je tedy zjevná nepřiměřenost jeho výše; pouhá nepřiměřenost trestu postup podle § 78 odst. 2 s. ř. s. neumožňuje. Jinými slovy, uložený trest musí být na první pohled excesivní. Ze shora uvedeného plyne, že se soud v otázce výměry pokuty ztotožnil s hodnocením správních orgánů obou stupňů, včetně hodnocení polehčujících a přitěžujících okolností, a že pokuta je v projednávané věci adekvátní zjištěným skutkovým okolnostem a že je vyměřena zcela v souladu z Pokyny, jež mají významnou unifikační roli a mají garantovat dodržení zásady materiální ekvity, resp. legitimního očekávání. Ze všech těchto důvodů soud nepokládá výši uložené pokuty za zjevně nepřiměřenou závažnosti spáchaného správního deliktu.

IV. Závěr a rozhodnutí o nákladech řízení

70. Na základě shora uvedeného soud dospěl k závěru, že žaloba není důvodná, a proto ji dle § 78 odst. 7 s. ř. s. zamítl.

71. O nákladech řízení soud rozhodl podle § 60 odst. 1 s. ř. s., podle kterého má účastník, který měl ve věci plný úspěch, právo na náhradu nákladů řízení před soudem, které důvodně vynaložil, proti účastníkovi, který ve věci úspěch neměl. Ve věci měl plný úspěch žalovaný, avšak žalovanému v řízení žádné náklady nad rámec jeho běžných činností nevznikly. Soud proto rozhodl, že žádný z účastníků nemá právo na náhradu nákladů tohoto řízení.

Poučení

I. Základ sporu II. Obsah žaloby a související vyjádření III. Posouzení žaloby IV. Závěr a rozhodnutí o nákladech řízení