č. j. 6 A 188/2018- 57
Citované zákony (22)
- o ochraně osobních údajů a o změně některých zákonů, 101/2000 Sb. — § 13 § 13 odst. 1 § 45 § 45 odst. 1 písm. h § 45 odst. 3 § 46 odst. 3
- soudní řád správní, 150/2002 Sb. — § 60 odst. 1 § 76 odst. 2 § 103 odst. 1
- správní řád, 500/2004 Sb. — § 68 odst. 3 § 77 § 77 odst. 1 § 79 odst. 5 § 89 odst. 2 § 152 odst. 2
- o odpovědnosti za přestupky a řízení o nich, 250/2016 Sb. — § 8 § 21 odst. 1 § 31 odst. 2 písm. c § 37 § 38 § 39 § 40
Rubrum
Městský soud v Praze rozhodl v senátě složeném z předsedy JUDr. Ladislava Hejtmánka a soudkyň JUDr. Naděždy Treschlové a JUDr. Hany Kadaňové, Ph.D., ve věci žalobce: XXXXXXXXXXXXXX a.s. sídlem XXXXXXXXXXXXXXXXXXXXXXXX zastoupený advokátem Mgr. Luďkem Šrubařem sídlem Hanusova 1537/1, Praha 4 proti žalovanému: Úřad pro ochranu osobních údajů sídlem pplk. Sochora 27, Praha 7 o žalobě proti rozhodnutí předsedkyně žalovaného ze dne 21. 9. 2018, č.j. UOOU-04073/18-11 takto:
Výrok
I. Žaloba se zamítá.
II. Žádný z účastníků nemá právo na náhradu nákladů řízení.
Odůvodnění
1 Žalobce se žalobou domáhal zrušení výše uvedeného rozhodnutí dne 21. 9. 2018, č.j. UOOU- 04073/18-11 (dále jen „napadené rozhodnutí“), kterým předsedkyně Úřadu pro ochranu osobních údajů (dále jen „žalovaný“, kterým je obecně označován i správní orgán 1. stupně, nemá-li rozlišení význam pro kontext odůvodnění) rozhodla o odvolání žalobce proti rozhodnutí Úřadu pro ochranu osobních údajů (dále též „správní orgán 1. stupně“ nebo „Úřad“) ze dne 23. 5. 2018 č.j. UOOU-04073/18-5. 2 Prvostupňovým rozhodnutím byl žalobce uznán vinným ze spáchání přestupku podle ust. § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), neboť nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů, tím, že nezabezpečil osobní údaje nejméně 735 956 zákazníků v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu, případně telefon, před neoprávněným přístupem v období minimálně od 31. prosince 2014 do srpna 2017, v důsledku čehož došlo v době od 27. července 2017 do 25. srpna 2017 k jejich zpřístupnění na serveru www.ulozto.cz. cz. Tímto jednáním žalobce porušil povinnost stanovenou v ust. § 13 odst. 1 zákona o ochraně osobních údajů, tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Za uvedený přestupek byla žalobci prvostupňovým rozhodnutím dle ust. § 35 písm. b) zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, ve znění pozdějších předpisů (dále jen „zákon o odpovědnosti za přestupky“) a v souladu s ust. § 45 odst. 3 zákona o ochraně osobních údajů uložena pokuta ve výši 1.500.000 Kč a dále dle ust. § 79 odst. 5 zákona č. 500/2004 Sb., správního řádu, ve znění pozdějších předpisů (dále jen „správní řád“) povinnost nahradit náklady řízení ve výši 1.000 Kč. 3 Napadeným rozhodnutím bylo prvostupňové rozhodnutí potvrzeno. 4 Z obsahu správního spisu vyplývá, že žalobce v rámci svého podnikání provozuje e-shop a spravuje uživatelské účty svých zákazníků. Dne 27. 8. 2017 žalobce žalovanému sdělil, že dne 25. 8. 2017 zaznamenal narušení bezpečnosti při správě osobních údajů. Mělo se jednat o uživatelské účty, které obsahovaly jednoduchá hesla. V systémech žalobce dochází k tzv. „hashování hesel“, kdy jsou hesla uložena v zakódované podobě. Dotčená databáze byla zakódována starším, dnes již nepoužívaným způsobem, tzv. metodou SHA1 + unikátní solí. Žalobce oznámil, že učinil kroky k minimalizaci následků narušení bezpečnosti, konkrétně resetoval hesla všech potencionálně ohrožených uživatelských účtů a také posílil centrum zákaznické péče. 5 Mezi účastníky řízení není sporu, že k bezpečnostní události došlo nejpozději dne 31. 12. 2014, kdy neznámá osoba odcizila žalobci databázi záznamů o zákaznících. K nahrání souboru obsahujícího databázi zákazníků žalobce na server ulozto.cz, která obsahovala osobní údaje v rozsahu jméno, příjmení, e-mailová adresa, heslo uživatelského účtu a v některých případech také telefonní číslo, došlo dne 27. 7. 2017 nepřihlášeným uživatelem. Incident se týkal 766 421 záznamů z roku 2014, z nichž 735 956 obsahovalo unikátní e- mailovou adresu zákazníka. 6 Dne 3. 10. 2017 bylo žalobci doručeno oznámení o zahájení kontroly čj. UOOU- 08428/17-9 ze dne 2. 10. 2017. Předmětem kontroly bylo dodržování povinností správce osobních údajů stanovených zákonem o ochraně osobních údajů při zpracování osobních údajů zákazníků žalobce, se zaměřením na podezření z porušení povinností dle ust. § 13 zákona o ochraně osobních údajů v souvislosti s podezřením na neoprávněné zpřístupnění osobních údajů zákazníků žalobce. 7 Otázku technicko-organizačních opatření přijatých žalobcem v oblasti ochrany osobních údajů před zmíněnou bezpečnostní událostí žalovaný zjistil zejména z interního předpisu „Pravidla pro využívání informačních a komunikačních technologií“ ze dne 1. 1. 2011, z interního předpisu „Bezpečnostní politika“ ze dne 1. 1. 2013, a z interního předpisu „Směrnice o ochraně osobních údajů zákazníků“, aktualizovaného ke dni 1. 1. 2013. Žalobce dále žalovanému předložil evidenci případů porušení ochrany zpracovávání dat, informoval ho o průběžných školeních, o tom, jak prověřuje své dodavatele pracující se systémy žalobce, a dále žalovaného informoval o přijetí konkrétních opatření pro ochranu dat, databází, serverů. 8 Žalovaný v prvostupňovém rozhodnutí shledal žalobce správcem osobních údajů ve smyslu ust. § 4 písm. j) zákona o ochraně osobních údajů, usoudil, že se na něj vztahuje povinnost stanovená v ust. § 13 odst. 1 zákona o ochraně osobních údajů, tedy povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. 9 Uvedl, že skutková podstata přestupku podle ust. § 45 odst. 1 písm. h) zákona o ochraně osobních údajů je naplněna již v situaci, kdy zpracovávaným osobním údajům hrozí (v důsledku nepřijetí či neprovedení dostatečných organizačních a technických opatření) riziko nesprávného či neoprávněného zpracování. V případě žalobce je přitom zřejmé, že prokazatelně došlo k odcizení databáze zákazníků, a to již v roce 2014, přičemž tuto událost zjistil až následně poté, co došlo k jejímu zveřejnění. 10 Dále zdůraznil, že povinnost dle ust. § 13 odst. 1 zákona o ochraně osobních údajů a této povinnosti odpovídající skutková podstata je formulovaná jako odpovědnost za následek. Dojde- li tedy k následku předvídanému v ust. § 13 odst. 1 zákona (neoprávněnému přístupu k osobním údajům apod.), což je v této věci nepochybné, znamená to, že se správce osobních údajů dopustil také přestupku. Odpovědnost za přestupek právnických osob je přitom postavena na objektivní odpovědnosti (tedy bez ohledu na zavinění), přičemž zákon o odpovědnosti za přestupky upravuje v ust. § 21 odst. 1 liberační důvod. K němu žalovaný uvedl, že je to žalobce, kdo musí k prokázání liberace navrhovat důkazy. Poznamenal, že z hlediska liberace vynaložení veškerého úsilí, které bylo možno požadovat, neznamená jakékoliv úsilí, které správce vynaloží, ale musí se ve vztahu ke každému, konkrétně posuzovanému případu, jednat o úsilí maximálně možné, které je správce objektivně schopen vynaložit. Žalovaný přitom dospěl k závěru, že žalobce v posuzované věci nevynaložil maximálně možné úsilí k ochraně zpracovávaných osobních údajů, neboť jím nastavené mechanismy pro zabezpečení osobních údajů nedokázaly detekovat ani vznik bezpečnostního incidentu, tj. odcizení databáze, a rovněž tak mu nedokázaly zabránit. 11 Při posouzení možného zániku odpovědnosti ze strany žalobce vycházel žalovaný ze skutečnosti, že nesplnění povinnosti podle ust. § 13 zákona o ochraně osobních údajů je svou povahou deliktem trvajícím, neboť došlo k vyvolání protiprávního stavu, který byl po daný čas udržován. Doba pro zánik odpovědnosti přitom běží od ukončení protiprávního stavu, neboť tato skutečnost je rozhodná pro spáchání přestupku. K ukončení protiprávního stavu však došlo až resetováním hesel uživatelských účtů, tedy přijetím nových opatření pro zabezpečení osobních údajů zákazníků ze strany žalobce, a to po té, co došlo k zveřejnění zcizené databáze prostřednictvím serveru ulozto.cz. 12 K uložené pokutě žalovaný odkázal na ust. § 37 zákona o odpovědnosti za přestupky, dle nějž se při určení druhu správního trestu a jeho výměry přihlédne zejména k povaze a závažnosti přestupku, k přitěžujícím a polehčujícím okolnostem a k povaze činnosti obviněného. Uvedl, že přihlédl především k povaze a závažnosti přestupku, přičemž má na základě ust. § 38 zákona o odpovědnosti za přestupky za to, že závažnost přestupku zvyšuje počet dotčených subjektů údajů, jejichž osobní údaje nebyly řádně zabezpečeny. Závažnost také zvyšuje doba, po kterou protiprávní stav trval, a skutečnost, že součástí databáze byla i uživatelská hesla. Pokud se týká povahy činnosti žalobce, usoudil žalovaný, že je profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů, což míru škodlivosti přestupku zvyšuje. Skutečnost, že po zjištění incidentu žalobce učinil okamžité kroky k nápravě, hodnotil žalovaný jako polehčující okolnost podle ust. § 39 zákona o odpovědnosti za přestupky. Přitěžující okolnosti ve smyslu ust. § 40 zákona o odpovědnosti za přestupky žalovaný neshledal. 13 V napadeném rozhodnutí žalovaný objasnil, že je to žalobce, který má povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, a to v takové kvalitě, aby bylo zabráněno zneužití osobních údajů. Dojde-li tedy k předmětnému incidentu, je toto nutno a priori chápat jako nesplnění předmětné povinnosti. 14 Dle žalovaného správce osobních údajů, který nezabránil úniku osobních údajů, zároveň nezajistil bezpečnost zpracování osobních údajů tak, aby byly splněny podmínky stanovené v ust. § 13 zákona o ochraně osobních údajů. V případě žalobce bylo zcela nepochybně prokázáno odcizení části databáze záznamů o jeho zákaznících, jak k tomu došlo, žalobce nezjistil ani v průběhu času, ani na základě jím deklarované aktualizace přijatých opatření. Je tudíž zjevné, že opatření přijatá k zabezpečení zpracovávaných údajů nesplňovala podmínky, které stanoví zákon o ochraně osobních údajů. Navíc vzhledem k těmto okolnostem nelze opatření existující v době incidentu jakkoli spolehlivě hodnotit, a tudíž je již pojmově vyloučeno přiznat žalobci liberační důvody dle ust. § 21 odst. 1 zákona o odpovědnosti za přestupky, kdy se vyžaduje prokázat veškeré, tedy maximální úsilí, které je možno požadovat. 15 Žalovaný označil za dobu ukončení protiprávního stavu okamžik zjištění úniku dat a přikročení k resetu hesel. Tím byla dle žalovaného eliminována bezpečnostní slabina. Teprve tímto dnem dle žalovaného počala běžet tříletá promlčecí lhůta. K odvolací námitce žalobce, dle níž je třeba trvání protiprávního jednání vztáhnout na část databáze, která byla předmětem incidentu, žalovaný konstatoval, že skutek nebyl dosud dokonán, jelikož tato databáze není nadále v držení žalobce, a to se všemi důsledky. Z druhé strany ovšem samotný fakt, že se osobní údaje dostaly do držení jiné osoby, nezbavuje žalobce jeho povinností resp. odpovědnosti ve vztahu k údajům, které jsou předmětem zpracování, které provádí, neboť on byl jejich správce a měl právě takovémuto jednání resp. stavu předejít. Jako počátek vzniku protiprávního stavu pak bylo stanoveno datum odcizení databáze, což je ve prospěch žalobce, jelikož tento teoreticky mohl být posunut resp. rozšířen k datu, od kterého fungovala opatření představující relevantní bezpečnostní slabinu. Dodal, že dle zákonné dikce by se kterýkoli správce údajů dopustil předmětného přestupku i za situace naprosté absence předmětných opatření anebo za situace přijetí zjevně nedostatečných opatření, a to aniž by došlo k jakémukoli bezpečnostnímu incidentu. 16 Dále žalovaný v napadeném rozhodnutí uvedl, že byla posouzena i nová právní úprava obsažená v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – dále též „Směrnice 95/46/ES“), nicméně tato, jak žalovaný shledal, nemá na posouzení věci žádný vliv. 17 Proti tomuto rozhodnutí směřuje podaná žaloba. 18 Žalobce v ní především nesouhlasil s tím, že mu žalovaný přiřkl odpovědnost za dané jednání. Připustil, že ve věci se jedná o tzv. objektivní odpovědnost, nezkoumá se tedy zavinění, ale skutečnost, jaký a zda vznikl škodlivý následek. Aby však žalovaný mohl relevantně vyvodit odpovědnost žalobce za přestupek, měl při svém rozhodování provést podrobnější právní posouzení věci i dokazování. 19 K právnímu posouzení žalobce namítl, že žalovaný měl v prvé řadě posoudit veškeré znaky přestupku, mimo jiné též učinit přesvědčivý a realistický výklad (nikoli účelový, vedoucí pouze k uložení správního trestu) dotčených právních norem, tj. ust. § 13 a § 45 zákona o ochraně osobních údajů - tedy komu a jaká povinnost je ukládána, jaký je způsob a následek jejího nesplnění apod. Žalobce je přesvědčen, že smyslem zákonné úpravy je uložení povinnosti přijmout opatření s cílem naplnit ochranu osobních údajů. Tato opatření mají být samozřejmě účinná, nicméně vždy přiměřená povaze zpracovávaných údajů a dalším okolnostem. Naopak, smyslem právním normy není uložení povinnosti absolutně kdykoli zabránit jakémukoli neoprávněnému nebo nahodilému přístupu k osobním údajům, respektive není smyslem právní úpravy trestat jakoukoli (byť marginální) absenci nějakého opatření, které by bylo způsobilé umožnit vznik následku spočívajícího v ohrožení osobních údajů. O takovou interpretaci se ale žalovaný pokouší, a to snad i z důvodu důkazní nouze, kdy by však bylo namístě spíše využít zásady in dubio pro reo. Žalovaný v napadeném rozhodnutí nesprávně posoudil otázku následku, neboť takovým následkem není únik osobních údajů, ale nepřijetí opatření proti neoprávněnému nebo nahodilému přístupu k nim. Toto však dle žalobce v napadeném rozhodnutí nezaznělo. 20 Dále žalobce nesouhlasil s tím, jak žalovaný posoudil samotný rozsah povinnosti podle ust. § 13 zákona o ochraně osobních údajů. Žalovaný opomenul, že uvedenou právní normu nelze zkoumat izolovaně pouze v rámci zákona o ochraně osobních údajů, ale je třeba ji interpretovat ve vzájemných souvislostech. Žalovaný řádně nezohlednil Směrnici 95/46/ES ani Úmluvu Rady Evropy č. 108 ze dne 28. ledna 1981 o ochraně osob se zřetelem na automatizované zpracování osobních dat, vyhlášenou pod č. 115/2001 Sb. m. s., z nichž plyne, že členské státy mají za úkol stanovit v národních právních předpisech správcům osobních údajů prevenční povinnost na obranu proti zneužití osobních údajů, tato prevenční povinnost však není absolutní, ale je vystavěná na testu proporcionality. Žalovaný však princip proporcionality opatření naprosto opomíjí. Podle žalovaného totiž dotčená právní norma ukládá správcům povinnost absolutně zabránit neoprávněnému přístupu k osobním údajům, neboť žalovaný dovozuje, že dojde-li k incidentu, je to a priori nutno chápat jako nesplnění povinnosti přijmout opatření v dostatečné kvalitě. Taková interpretace je ale nesprávná, přičemž je praktickým příkladem přepjatého formalismu a nepřípustného rozšiřujícího výkladu právní normy. Navíc ani neodpovídá reálným možnostem správců osobních údajů a je tak svou povahou nepřiměřeně extenzivní a ohýbá smysl právní normy tak, že povinnost jí daná je ve skutečnosti nesplnitelná. S ohledem na technologický pokrok a rychlost vývoje by se muselo veškeré úsilí správců osobních údajů zaměřit na kontinuální implementaci nejmodernějších technologií vždy v okamžiku jejich uvedení na trh, přičemž s ohledem na technologický pokrok by jakákoliv zvolená technologie byla v okamžiku její implementace obsoletní a správce by byl odpovědný ze spáchání přestupku. Mimo jiné by taková činnost byla spojena se skutečně nepřiměřenými náklady na absolutní ochranuosobních údajů - navíc časově omezenou. Je tudíž vždy nutné posuzovat jak efektivitu přijatých opatření, tak jejich přiměřenost povaze chráněných osobních údajů, způsobu jejich zpracování u správce atp., jakož i způsob provedení a intenzitu útoku proti opatřením přijatým na obranu osobních údajů podle ust. § 13 o ochraně osobních údajů. Naopak skutečnost, zda reálně došlo či nedošlo k neoprávněnému přístupu k osobním údajům, dle žalobce pro hodnocení spáchání přestupku relevantní není. 21 K dokazování žalobce namítl, že žalovaný měl tedy zejména vyhodnotit efektivitu a proporcionalitu žalobcem přijatých opatření. K tomu však ve správním řízení nedošlo, když přijatá opatření nebyla nijak zvlášť posuzována, i když o nich žalobce žalovaného informoval. Žalovaný tak nesprávně hodnotil pouze skutečnost úniku způsobeného útokem na integritu žalobce, a z ní automaticky vyvodil porušení prevenční povinnosti. Uplatnil tak vlastně zásadu presumpce viny. 22 Žalobce následně v žalobě zrekapituloval organizační a technická opatření, která přijal (str. 8 – 9 žaloby), a jejichž existenci žalovaný konstatoval v protokolu o kontrole ze dne 21. 3. 2018. Dodal, že veškerá opatření reálně implementoval a jejich plnění kontroloval. Šlo o opatření odpovídající aktuálnímu stavu technologií a znalostí v daném oboru, přičemž jednotlivé technologie zajišťující implementaci technických opatření jsou zároveň v průběhu času aktualizovány či kompletně měněny s ohledem na technický pokrok. Žalovaný k těmto opatřením nezaujal prakticky žádná stanoviska, pouze ve vztahu k liberaci uvedl, že opatření existující v době incidentu nelze jakkoli spolehlivě hodnotit. Pokud však žalovaný skutečně nemohl opatření hodnotit, pak tedy nemohl ani shledat, že jsou nedostatečná a v důsledku nedostatečnosti rozhodnout o odpovědnosti za přestupek. Nelze-li hodnotit existující opatření tak, že jim nelze spolehlivě přiznat liberační účinky, nelze ani na druhou stranu spravedlivě z takového stavu bez vzniku dalších pochybností dovozovat, že skutečně došlo k porušení zákonné povinnosti. Je vyloučeno, aby správní orgán určitou skutečnost vyložil výlučně ve svůj prospěch, resp. v neprospěch žalobce, a ignoroval rovinu opačnou. Žalovaný měl postupovat tak, aby zjistil skutkový stav, o kterém pochybnosti nebudou, a pokud toto nebylo možné, pak měl aplikovat zásadu in dubio pro reo a řízení o přestupku zastavit. Důkazní břemeno totiž nese žalovaný, a jeho povinností je v souladu se zásadou materiální pravdy zjišťovat skutečnosti svědčící ve prospěch i v neprospěch žalobce. Pro učinění závěru o tom, že by ze strany žalobce mělo dojít ke spáchání přestupku podle ust. § 45 odst. 1 písm. h) zákona o ochraně osobních údajů, by proto bylo nezbytné posoudit opatření přijatá pro zajištění bezpečnosti zpracování osobních údajů a současně dospět k závěru, že tato opatření nejsou dostatečná. To, zda došlo či nedošlo k neoprávněnému přístupu dat, je pro naplnění dané skutkové podstaty zcela bez významu. Pokud přesto správní orgán prvního stupně takové rozhodnutí učinil a žalovaný jej pouze nekriticky aproboval, neoprávněně tím zasáhl do ústavně zaručených práv žalobce. Napadené rozhodnutí i prvostupňové rozhodnutí pak nemůže obstát a musí dojít k jejich zrušení, resp. vyslovení jejich nicotnosti. 23 Dále žalobce brojil proti tomu, jak žalovaný posoudil jednání žalobce, a jaký tomuto jednání přiřkl následek. Ve věci došlo k tomu, že blíže neztotožněná osoba v blíže nespecifikované době, nejpozději dne 31. 12. 2014, od žalobce neoprávněně získala data tak, že překonala veškerá technická opatření aplikovaná žalobcem. Samotný přístup k systému žalobce byl chráněn přístupovými údaji a technickými prostředky - zjednodušeně řečeno šifrováním. Stejně tak byla především přístupová hesla v databázi dále chráněna mj. tzv. hashováním s unikátní solí (tedy vlastně dalším šifrováním - uložením hesel v zakódované podobě). Proto pachatel získal mj. data obsahující nic neříkající směs písmen a číslic, bez dešifrovacího klíče nepoužitelnou. Teprve dne 27. 7. 2017 došlo k jejímu zveřejnění na serveru ulozto.cz, s vysokou mírou pravděpodobnosti tak teprve nedlouho před tímto datem došlo k prolomení zabezpečení šifrované části ukradené žalobcovy databáze, což bylo cílem pachatele, pravděpodobně za účelem získat majetkový prospěch. K prolomení ochrany hesel došlo pouze u hesel jednoduchých, která nekorespondovala s bezpečnostními standardy. Nelze pak považovat za neoprávněný přístup k osobním údajům ani za trvající nežádoucí stav, když se v podstatné části šifrováním zabezpečená databáze dostala jednoznačně mimo sféru vlivu žalobce. A navíc, pokud i vzhledem k rychlému technologickému rozvoji došlo k rozšifrování části odcizené databáze až po více než dvou a půl letech od protiprávního jednání neznámé osoby, je dle názoru žalobce třeba mít povinnost ve smyslu ust. § 13 zákona o ochraně osobních údajů za splněnou a odpovědnost žalobce za přestupek podle ust. § 45 odst. 1 písm. h) zákona o ochraně osobních údajů za neexistující. 24 V další žalobní námitce žalobce namítl prekluzi odpovědnosti za přestupek. Nesouhlasil se závěrem žalovaného, že se jedná o delikt trvající, kdy došlo k vyvolání a udržování protiprávního stavu po daný čas. Dle žalobce vztáhne-li se trvání protiprávního jednání k části databáze, která byla předmětem bezpečnostního incidentu, nemůže jít o trvající delikt, neboť tato databáze není nadále v držení žalobce, a žalobce tedy okamžikem jejího oddělení od jeho systému nad touto databází ztratil faktický vliv. V takovém případě se jednalo o dokonaný delikt, který byl dokonán okamžikem oddělení zašifrované databáze od celku. Za situace, že databáze byla žalobci odcizena dne 31. 12. 2014, byl dnem dokonání přestupku tento den. S ohledem na ust. § 112 odst. 1, druhou větu zákona o odpovědnosti za přestupky, se odpovědnost za přestupek, resp. jiný správní delikt, posoudí podle dosavadních právních předpisů, jelikož k jednání zakládajícímu odpovědnost došlo přede dnem nabytí účinnosti zákona o odpovědnosti za přestupky. Rozhodným předpisem tedy je zákon o ochraně osobních údajů ve znění účinném ke dni 31. 12. 2014, a dle něj došlo k zániku odpovědnosti za přestupek, neboť žalovaný nezahájil řízení do jednoho roku ode dne, kdy se o něm dozvěděl, nejpozději však do tří let ode dne, kdy byl spáchán. Lhůta tak skončila dne 31. 12. 2017. 25 V další žalobní námitce žalobce namítl nesprávné posouzení otázky liberace žalovaným. Žalobce nejprve poukázal na rozpornost prvostupňového a napadeného rozhodnutí, když v prvostupňovém rozhodnutí je konstatováno, že ze strany žalobce se nejednalo o vynaložení maximálně možného úsilí k ochraně zpracovávaných osobních údajů, zatímco z napadeného rozhodnutí naopak vyplývá, že správními orgány nebylo, resp. nemohlo být provedeno dokazování, které by skutkový stav a zejména některé podrobnosti týkající se existujících opatření prokázalo bez dalších pochybností. Žalobce v tomto spatřuje nepřezkoumatelnost obou rozhodnutí, neboť pokud nadřízený správní orgán tvrdí něco jiného, než správní orgán podřízený, aniž by se nadřízený správní orgán vymezil proti posouzení podřízeného správního orgánu, svědčí to o libovůli v rozhodování. 26 Pro případ, že by správní soud argumentaci žalobce ohledně liberace neakceptoval, zopakoval žalobce, že zkoumání naplnění liberačního důvodu je třeba provádět ve vztahu k jednání, které ze strany žalobce předcházelo nepřijetí opatření dle ust. § 13 zákona o ochraně osobních údajů. Pouze v případě prokázaného zjištění, že povinnosti stanovené v tomto ustanovení zákona nebyly splněny, je na místě zkoumat, zda náhodou nedošlo k naplnění liberačního důvodu, který by odpovědnost pachatele vyloučil. Liberační důvody, tedy vynaložení potřebného úsilí, by se pak zkoumalo ve vztahu k tomu, jaké jednání pachatel vykonal, aby povinnost dle ust. § 13 zákona o ochraně osobních údajů splnil. Po žalobci lze požadovat pouze to, aby v souladu s ust. § 13 zákona o ochraně osobních údajů přijal přiměřená opatření k ochraně osobních údajů. I pokud by neplatilo, že se tato přiměřenost musí zkoumat u posouzení odpovědnosti za přestupek, pak zcela určitě platí, že se proporcionalita musí zkoumat v případě možné liberace. Žalovaný však takto nepostupoval. 27 V poslední žalobní námitce se žalobce brání proti uloženému správnímu trestu, když především jeho výši považuje za nepřezkoumatelnou a nepřiměřenou. Upozornil, že v prvostupňovém rozhodnutí je otázce správního trestu věnován pouze jediný odstavec, v napadeném rozhodnutí se žalovaný otázce správního trestu nevěnuje vůbec. V rozhodování správních orgánů zásadně chybí úvahy o výši ukládané pokuty, když v prvostupňovém rozhodnutí byly pouze velmi stručně a obecně vylíčeny okolnosti zvyšující míru škodlivosti přestupku a jedna polehčující okolnost. Jakékoli hlubší uvažování a posouzení všech okolností ale prvostupňové rozhodnutí postrádá. Nebyl tak dodržen postup podle ust. § 37 až 40 zákona o odpovědnosti za přestupky, což činí prvostupňové rozhodnutí nezákonným. Přitom zákonnost správního rozhodnutí má být automaticky předmětem přezkumu v rozkladovém řízení ve smyslu ust. § 89 odst. 2 ve spojení s ust. § 152 odst. 2 správního řádu. To znamená, že i pokud žalobce přímo nenamítal nezákonnost rozhodnutí v části týkající se uložení správního trestu, bylo na žalovaném, aby učinil zadost své zákonné povinnosti a vadu prvostupňového rozhodnutí i v této části napravil. To však žalovaný neučinil, a naopak vadné rozhodnutí pouze bez dalšího aproboval, když uvedl, že v postupu správního orgánu 1. stupně neshledal žádná pochybení. 28 Ze všech uvedených důvodů žalobce navrhl, aby soud vyslovil nicotnost napadeného i prvostupňového rozhodnutí, eventuálně aby napadené i prvostupňové rozhodnutí zrušil pro nezákonnost. 29 Žalovaný v písemném vyjádření navrhl zamítnutí žaloby. Vzhledem k podobnosti odvolacích a žalobních námitek odkázal na odůvodnění napadeného rozhodnutí a věcně se vyjádřil se stejnými závěry jako v napadeném rozhodnutí. 30 Při jednání, které se před Městským soudem v Praze konalo dne 24. 6. 2021, účastníci řízení setrvali na svých dosavadních stanoviscích. 31 Městský soud v Praze přezkoumal žalobou napadené rozhodnutí a jemu předcházející řízení před správním orgánem z hlediska žalobních námitek, uplatněných v podané žalobě, podle skutkového a právního stavu, který tu byl v době vydání napadeného rozhodnutí (ust. § 75 zákona č. 150/2000 Sb., soudního řádu správního, ve znění pozdějších předpisů – dále jen „s. ř. s.“). 32 Po provedeném řízení Městský soud v Praze dospěl k závěru, že žaloba není důvodná. 33 K otázce nicotnosti posuzovaných správních rozhodnutí soud obecně uvádí, že je legislativně vymezena ust. § 77 správního řádu, přičemž se jedná o závažnou kvalitativní vadu rozhodnutí, ke které správní soudy přihlížejí z úřední činnosti (ust. § 76 odst. 2 s. ř. s.). 34 Dle odkazovaného ust. § 77 odst. 1 správního řádu nicotné je rozhodnutí, k jehož vydání nebyl správní orgán vůbec věcně příslušný; to neplatí, pokud je vydal správní orgán nadřízený věcně příslušnému správnímu orgánu. Nicotné je dále rozhodnutí, které trpí vadami, jež je činí zjevně vnitřně rozporným nebo právně či fakticky neuskutečnitelným, anebo jinými vadami, pro něž je nelze vůbec považovat za rozhodnutí správního orgánu. 35 Za nicotné rozhodnutí doktrína považuje případ, „… kdy úkon, který správní orgán učinil, není v důsledku určité závažné vady (či více vad) vůbec správním aktem, tj. projevem výkonu pravomoci správního orgánu v právním smyslu, ale paaktem, který není způsobilý vyvolat žádné právní následky. Nulitní správní akt není nadán presumcí správnosti, nikoho (ani správní orgán, ani účastníky řízení) de iure nezavazuje a není vůbec považován za projev výkonu působnosti orgánu veřejné správy“ (Vedral, J.: Správní řád: Komentář. 2. vydání. Praha: Bova Polygon, 2012. s. 662). 36 Judikatura správních soudů postupně zpřesňovala výklad pojmu nicotného rozhodnutí. Za nicotná rozhodnutí jsou tak například považována rozhodnutí, k jejichž vydání nemá správní orgán pravomoc nebo není absolutně věcně příslušný (srovnej rozsudky Nejvyššího správního soudu ze dne ze dne 4. 2. 2009, č.j. 3 As 7/2008- 99; ze dne 2. 11. 2006, č.j. 5 A 35/2002-73; ze dne 25. 11. 2004, č.j. 6 A 44/2001-71, č. 502/2005 Sb. NSS; ze dne 21. 8. 2003, č.j. 5 A 116/2001-46, č. 20/2003 Sb. NSS.), rozhodnutí vydaná proti neexistujícímu subjektu (rozsudek Nejvyššího správního soudu ze dne 13. 5. 2008, č.j. 8 Afs 78/2006-74, č. 1629/2008 Sb. NSS) nebo pokud správní orgán rozhodl o nepodaném odvolání (rozsudek Nejvyššího správního soudu ze dne 3. 6. 2003, sp.zn. 7 A 18/2001). 37 K podobným závěrům dospěla též odborná literatura. Jak například uvádí J. Staša (viz D. Hendrych a kol. Správní právo. Obecná část. 5. vydání. Praha: C. H. Beck, 2003, s. 136-141), nicotný správní akt trpí vadami takové intenzity, že již vůbec nelze o správním aktu hovořit. Typicky jsou takovými vadami neexistence zákonného podkladu pro rozhodnutí, nedostatek pravomoci, nejtěžší vady příslušnosti, absolutní nedostatek formy, absolutní omyl v osobě adresáta, neexistence skutkového základu způsobující bezobsažnost, požadavek trestného plnění, požadavek plnění fakticky nemožného, neurčitost, nesmyslnost či neexistence vůle. 38 Naopak nicotnost nezpůsobují méně závažné vady správních aktů. Nicotnými nejsou rozhodnutí, která například obsahují písařskou chybu (rozsudek Nejvyššího správního soudu ze dne 29. 12. 2005, č.j. 4 As 53/2004-73), která jsou podepsána v rubrice za správnost jinou osobou (rozsudek Nejvyššího správního soudu ze dne 21. 4. 2004, č.j. 2 Azs 5/2004-48), a jež byla vydaná v rozporu s překážkou věci pravomocně rozhodnuté (rozsudek Nejvyššího správního soudu ze dne 21. 2. 2008, č.j. 7 Afs 68/2007-82). 39 Již z uvedeného je tedy zřejmé, že nicotnost rozhodnutí způsobují jen ty nezávažnější vady rozhodnutí (srov. například rozsudek rozšířeného senátu Nejvyššího správního soudu ze dne 22. 7. 2005, č.j. 6 A 76/2001-96, rozsudek Nejvyššího správního soudu ze dne 29. 11. 2007, č.j. 5 Afs 75/2007-161). 40 Městský soud v Praze tak nemohl se žalobcem souhlasit v tom, že by byla rozhodnutí vydaná správními orgány v této věci nicotná. Žalobcem namítané vady nedosahují takové míry závažnosti, aby byly způsobilé naplnit pojem nicotnosti, neboť žalobce namítá nepřezkoumatelnost obou správních rozhodnutí, vady dokazování a zejména nesprávné právní posouzení zjištěného skutkového stavu, kam lze podřadit i námitku prekluze a námitku nesprávného hodnocení liberačních důvodů. Tyto námitky, i kdyby byly důvodné, nemohou způsobit nicotnost správního aktu. Ani námitka vnitřní rozpornosti obou přezkoumávaných rozhodnutí není v tomto konkrétním případě takového charakteru, aby byla způsobilá přivodit nicotnost těchto rozhodnutí, neboť žalobce namítá vnitřní rozpornost pouze v tom rozsahu, že žalovaný ve vztahu k odpovědnosti za přestupek hodnotil žalobcem přijatá opatření jako nedostatečná, a zároveň ve vztahu k liberaci dospěl k závěru o nemožnosti přijatá opatření spolehlivě hodnotit, a dále v tom rozsahu, že žalovaný ohodnotil dostatečnost dokazování skutečností potřebných pro posouzení existence liberace odlišně od správního orgánu 1. stupně, aniž se výslovně vypořádal s touto odlišností a správnímu orgánu 1. stupně vytkl pochybení. Toto však nejsou vady nicotnosti ve smyslu, jak nicotnost chápe právní úprava a též judikatura správních soudů, tedy vady, pro něž by napadené rozhodnutí vůbec nebylo možno považovat za rozhodnutí správního orgánu. 41 Žalobce nicméně ze stejných důvodů, z jakých namítá nicotnost, namítá též nezákonnost napadeného i prvostupňového rozhodnutí. Proto se městský soud žalobními námitkami zabýval též z hlediska naplnění kritérií jejich zákonnosti. 42 Z logiky žalobních námitek soud nejprve posoudil námitku nepřezkoumatelnosti napadeného rozhodnutí. 43 Městský soud v Praze k této námitce předesílá, že také zrušení správního rozhodnutí pro nepřezkoumatelnost je vyhrazeno závažným vadám správních rozhodnutí, kdy pro absenci důvodů či pro nesrozumitelnost skutečně nelze správní rozhodnutí meritorně přezkoumat. Nepřezkoumatelnost pro nedostatek důvodů musí být však vykládána ve svém skutečném smyslu, tj. jako nemožnost přezkoumat určité rozhodnutí pro nemožnost zjistit v něm jeho obsah nebo důvody, pro které bylo vydáno (srov. usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 19. 2. 2008, č.j. 7 Afs 212/2006-76). Na odůvodnění rozhodnutí správních orgánů tak nelze klást nepřiměřeně vysoké požadavky. Není přípustné institut nepřezkoumatelnosti rozšiřovat a vztáhnout jej i na případy, kdy se například správní orgán podstatou námitky účastníka řízení řádně zabývá a vysvětlí, proč nepovažuje argumentaci účastníka správnou, byť výslovně v odůvodnění rozhodnutí nereaguje na všechny myslitelné aspekty vznesené námitky a dopustí se dílčího nedostatku odůvodnění (viz například rozsudek Nejvyššího správního soudu ze dne 17. 1. 2013, č.j. 1 Afs 92/2012-45, bod 28). Pro dílčí pochybení v odůvodnění není tedy rozhodnutí nepřezkoumatelné, kdy je také třeba vzít v potaz, že správní řízení tvoří jeden celek a orgánu druhého stupně nic nebrání v tom se pouze ztotožnit a odkázat na odůvodnění prvoinstančního rozhodnutí. 44 Nepřezkoumatelnost ve výše uvedeném smyslu městský soud u napadeného rozhodnutí neshledal. Městský soud konstatuje, že žalovaný v napadeném rozhodnutí i správní orgán 1. stupně v prvostupňovém rozhodnutí odpovídajícím způsobem předestřeli své úvahy a vysvětlili, proč dospěli k vyřčeným závěrům o odpovědnosti žalobce za spáchaný přestupek. Zároveň se pečlivě věnovali podstatě daného přestupku, jakož i jednání, za které byl žalobce postižen. Takto především zhodnotili, zdali žalobce řádně splnil svoji povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Jejich závěry jsou přitom jednoznačné a nevzbuzují jakékoli pochybnosti nad tím, jakými úvahami byly správní orgány ve svém rozhodování vedeny. 45 Jestliže žalobce poukazuje na fakt, že v prvostupňovém rozhodnutí nebylo podrobně odůvodněno rozhodnutí o výši trestu, a v napadeném rozhodnutí nebylo o výši trestu pojednáno vůbec, musí soud zdůraznit, že tato okolnost v daném případě nezakládá nepřezkoumatelnost napadených rozhodnutí. Z odůvodnění napadeného rozhodnutí je zřejmé, že správní orgán 1. stupně učinil komplexní úvahu o výši pokuty, když zohlednil postavení žalobce, rozsah jím zpracovávaných údajů, rozsah úniku informací, a jako polehčující okolnost přijetí kroků k nápravě po zjištění incidentu. Z uvedeného je patrné, že správní orgán 1. stupně otázku výše trestu v dostatečné míře uvážil. Je pravdou, že žalovaný se v napadeném rozhodnutí uloženým trestem a jeho přiměřeností explicitně nezabýval. Je však třeba přihlédnout k tomu, že žalobce v podaném rozkladu proti uložené pokutě a její výši nijak nebrojil, neuvedl nic, co by svědčilo o nedostatečném či nesprávném posouzení správního trestu. Pokud účastník řízení v opravném prostředku neuvede žádné konkrétní námitky proti uloženému trestu, pak nelze nadřízenému správnímu orgánu vyčítat, že se výši trestu nezabýval. V postupu žalovaného nelze v tomto směru spatřovat pochybení s dopady na přezkoumatelnost napadeného rozhodnutí. 46 Soud tedy shledal, že žalovaný postupoval v souladu s ust. § 68 odst. 3 správního řádu a napadené rozhodnutí netrpí vnitřní rozporností, nesrozumitelností či nedostatečným odůvodněním. Námitka nepřezkoumatelnosti tedy není důvodná. 47 Při posouzení dalších žalobních námitek soud vyšel zejména z následujících právních předpisů. 48 Podle ust. § 13 odst. 1 zákona o ochraně osobních údajů jsou správce a zpracovatel povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. 49 Podle ust. § 4 odst. 1 zákona o ochraně osobních údajů se pro účely tohoto zákona rozumí osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 50 Podle ust. § 4 písm. j) zákona o ochraně osobních údajů je správcem osobních údajů každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. 51 Podle ust. § 4 písm. e) zákona o ochraně osobních údajů je zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. 52 Podle ust. § 45 odst. 1 písm. h) zákona o ochraně osobních údajů se právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (odkaz na § 13). 53 Povinnost uvedená v ust. § 13 zákona o ochraně osobních údajů vychází z čl. 17 odst. 1 směrnice 95/46/ES, která byla s účinností od 25. 5. 2018, tedy v daném případě krátce po vydání prvostupňového rozhodnutí, nahrazena nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 (dále jen „nařízení č. 2016/679“ nebo též „nařízení GDPR“). Na tomto místě lze stručně uvést, že nařízení č. 2016/679 nezměnilo základní pojmy projednávané věci, jako je „správce údajů“, „subjekt údajů“, „osobní údaj“, dále mimo jiné zpřísnilo odpovědnost správců, rozšířilo jejich povinnosti, a za porušení povinností stanoví sankce s vyšší trestní sazbou než zákon o ochraně osobních údajů. Nařízení č. 2016/679 tedy ohledně posouzení projednávaného případu není pro žalobce příznivější, a žalovaný proto správně posoudil projednávaný případ podle dosavadních předpisů. 54 V odkazované směrnici je členským zemím EU mimo jiné uloženo zajistit, aby každý správce osobních údajů byl povinen přijmout taková vhodná opatření na ochranu osobních údajů, která by byla dostatečně účinná proti neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování. 55 Stejně tak odkazované nařízení č. 2016/679 (zejm. čl. 32) ukládá správcům povinnost přijmout vhodná a dostatečně účinná technická a organizační opatření na ochranu osobních údajů, která odpovídají danému riziku, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. 56 Smyslem těchto opatření je zajistit, s ohledem na stav techniky a na náklady na provedení těchto opatření, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny. S ohledem na pestrost praxe při zpracování osobních údajů a neustálý vývoj v oblasti prostředků zpracování dat i možností jejich ochrany (zejména v oblasti výpočetní techniky) je logické, že právní normy nemohou obsahovat detailní nebo přímo taxativní výčet opatření potřebných k zajištění bezpečnosti zpracovávaných dat, a bude záležet na konkrétních okolnostech u jednotlivých správců, jaká opatření přijmout, aby došlo k splnění povinnosti stanovené ust. § 13 odst. 1 zákona o ochraně osobních údajů. 57 K namítanému nedostatečně zjištěnému skutkovému stavu městský soud uvádí následující. V případě žalobce je skutkový stav charakteristický tím, že je známo, jaká jednotlivá technická a organizační opatření učinil žalobce s cílem dostát povinnosti dle ust. § 13 odst. 1 zákona o ochraně osobních údajů, nepodařilo se však zjistit, jaké konkrétní technické kroky učinil nezjištěný subjekt, který (nezjištěným způsobem) odcizil žalobci databázi obsahující osobní údaje. Nadto je třeba uvést, že žalobce odcizení osobních údajů po dobu několika let vůbec nezaznamenal, a že k němu došlo, zjistil náhodou. Ani po aktualizaci svých opatření se žalobci zpětně nepodařilo zjistit, kdy, jak a kým došlo k odcizení předmětné databáze s osobními údaji. Souvztažně s tím, že u žalobce došlo k úniku dat, pak v posuzovaném případě došlo i k následnému zneužití těchto dat, když se nezjištěnému subjektu podařilo data dešifrovat a poté byla data zveřejněna. Neúčinnost přijatých opatření žalobcem je markantní. Žalovaný tak správně dovodil, že žalobcem přijatá opatření byla zcela jistě nefunkční a nedostatečná, a nepochybil, pokud již nedoplňoval skutková zjištění detailním zkoumáním a hodnocením konkrétní podoby a účinnosti jednotlivých opatření. 58 Městský soud v Praze shodně s žalovaným považuje za nerozhodné, že se osobní údaje z odcizené databáze dostaly mimo žalobcovu sféru v zašifrované podobě, přičemž prolomení zabezpečení šifrované části bylo zřejmě technicky možné až po několika letech díky technologickému rozvoji. 59 K tomu není od věci poznamenat, že nařízení č. 2016/679, které, jak již soud uvedl, nabylo účinnosti v mezidobí mezi vydáním prvostupňového a napadeného rozhodnutí, v čl. 32, bodu 1 a) doporučuje šifrování jako jedno z vhodných opatření. To však neznamená, že při šifrování není nutné posoudit míru rizika jako celku. Šifrování z podstaty svého účelu musí být vždy provedeno tak, aby při úniku dat dokázalo zabránit jejich zneužití. To se v daném případě nestalo, neboť šifrovací klíč byl prolomen (byť i jen u údajů s jednoduchými hesly), došlo k dešifraci a následně k zneužití (zveřejnění) dat. Podle názoru soudu pak není rozhodující, zda k dešifraci došlo až s odstupem času, neboť se tak prokazatelně stalo před tím, než žalovaný s žalobcem zahájil správní řízení. Námitka, že žalovaný měl k existenci šifrování přihlédnout a že tato okolnost zbavila žalobce odpovědnosti za daný delikt, tak není důvodná. 60 Městský soud v Praze v obecné rovině souhlasí s žalobcem, že odpovědnost za porušenou povinnost podle ust. § 13 odst. 1 zákona o ochraně osobních údajů nemůže být absolutní, neboť dokonalosti z podstaty věci nelze nikdy dosáhnout a nelze nikdy předvídat vše, co může nastat. Je tedy vždy třeba zohlednit adekvátnost učiněných opatření ze strany správce. To však žalovaný v projednávané věci učinil. Soud považuje za dostačující, učinil-li tak žalovaný v dané věci souhrnně, kdy shledal, že opatření jako celek nedosáhla potřebné úrovně. Jako měřítko přiměřenosti žalovaný uplatnil skutečnost, že pro vznik deliktní odpovědnosti žalobce není rozhodné, zda k neoprávněnému přístupu či ke zneužití osobních údajů skutečně došlo, skutková podstata deliktu je naplněna již nepřijetím nezbytných opatření, a žalovaný dovodil, že nebylo-li detekováno bezpečnostní riziko ani po odcizení dat, nemohla být přijatá opatření dostatečně kvalitní. Žalovaný pak již nemusel komentovat jednotlivá žalobcem přijatá opatření a jejich dostatečnost, když vycházel ze skutečnosti, že zákonná dikce ponechává způsob a prostředky zabezpečení na vlastní úvaze správců, nestanoví ani příkladmo konkrétní povinnosti správců. Klade důraz pouze na výsledný účinek. Ten byl v dané věci žalovaným spolehlivě shledán a řádně odůvodněn jako nedostatečný. 61 V tomto smyslu soud považuje za zavádějící námitku žalobce, v níž upozorňoval, že žalovaný sám konstatoval nemožnost jakkoli spolehlivě hodnotit žalobcem přijatá opatření. Uvedené totiž žalovaný vyjádřil nikoli ve vztahu zjištění skutkového stavu potřebného pro posouzení, zda byla naplněna daná skutková podstata, ale pro posouzení existence liberačního důvodu na straně žalobce. Zde však nese důkazní břemeno žalobce, nikoli žalovaný, jak bude uvedeno dále v odůvodnění rozsudku. 62 Městský soud v Praze tedy uzavírá, že zjišťování skutkového stavu v dané věci považuje i přes určitou strohost obou přezkoumávaných rozhodnutí za zcela dostačující. 63 K námitce právního posouzení městský soud uvádí, že se nedomnívá, že by žalovaný nedostál zákonné povinnosti posoudit veškeré znaky přestupku. Žalovaný náležitě vyložil, že daná skutková podstata dopadá na žalobce jakožto na správce osobních údajů, vyložil obsah dané povinnosti (se zaměřením na následek, neboť zákon vymezuje samotnou povinnost pouze neurčitě), řádně posoudil přiměřenost přijatých opatření. Žalovaný též správně klasifikoval posuzovaný přestupek jako ohrožující, když uvedl, že skutková podstata je naplněna již při vzniku určitého rizika, i kdyby ke ztrátě, zničení či zneužití dat nedošlo. Skutečnost, že v daném případě byl dokonce naplněn následek poruchový, a nikoli „pouze“ ohrožovací, žalovaný použil na podporu úvahy o nedostatečnosti přijatých opatření. 64 Žalobce se mýlí, tvrdí-li, že žalovaný dovodil nesplnění povinnosti přijmout opatření v dostatečné kvalitě ze samotné skutečnosti, že došlo k bezpečnostnímu incidentu. Takto zjednodušeně nelze závěry žalovaného vyložit. Žalovaný jako důležitou zohlednil též skutečnost, že k bezpečnostnímu incidentu došlo prokazatelně již před několika lety, přičemž žalobce událost zjistil až následné poté, co došlo k zveřejnění databáze. Námitka přepjatého formalizmu a nepřípustného rozšiřujícího výkladu právní normy pak nemůže obstát, neboť vychází jiného závěru, k němuž však žalovaný nedospěl. 65 Lze uzavřít, že žalovaný nepochybil, pokud shledal, že k naplnění skutkové podstaty deliktu ve smyslu ust. § 45 odst. 1 písm. h) zákona o ochraně osobních údajů došlo. 66 Městský soud v Praze se dále zabýval námitkou, dle níž na straně žalobce existovaly liberační důvody, které jej zprostily odpovědnosti za daný přestupek, a k nimž měl žalovaný přihlédnout. 67 Podle ust. § 21 odst. 1 zákona o odpovědnosti za přestupky právnická osoba za přestupek neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila. 68 Z citovaného ustanovení vyplývá, že odpovědnost právnické osoby za přestupek je založena na objektivní odpovědnosti s možností liberace, právnická osoba se tedy může své objektivní odpovědnosti zprostit (liberovat), jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby přestupku zabránila. 69 Vynaložení veškerého úsilí, které bylo možno požadovat, však neznamená jakékoliv úsilí, které právnická osoba vynaloží, ale musí se jednat o úsilí maximálně možné, které je právnická osoba objektivně schopna vynaložit. 70 Žalobce namítá, že žalovaný důvody pro liberaci neposoudil dostatečně, ani nemohl, když sám připustil, že opatření existující v době incidentu nemohl spolehlivě hodnotit. Zároveň je žalobce přesvědčen, že dostatečně prokázal vynaložení veškerého možné úsilí, aby zabránil porušení zákonné povinnosti. 71 Městský soud v Praze však nemůže argumentaci žalobce přisvědčit. Především je třeba uvést, že liberační důvody jsou určené pro aplikaci pouze ve výjimečných případech, jelikož představují výjimku z principu objektivní odpovědnosti. Představují nástroj, jehož cílem je předejít aplikaci neúměrné tvrdosti zákona. Pokud tedy existují okolnosti, ve kterých je nutné posuzovat, zda právnická osoba vynaložila veškeré úsilí k zabránění porušení povinnosti, správní orgán se jimi musí skutečně zabývat a ne pouze konstatovat, že podmínky nebyly splněny. Subjekt, který se chce dovolávat liberačního důvodu, musí ovšem prokázat, že provedl technicky možná opatření způsobilá účinně zabránit porušení zákona. Nelze se spokojit s tvrzením, že vynaložil přiměřené úsilí, aby ke správnímu deliktu nedošlo či s poukazem na to, že další opatření po něm nebylo možné spravedlivě požadovat, protože by jejich provádění bylo neekonomické (viz rozsudek Nejvyššího správního soudu ze dne 19. 9. 2014, č.j. 4 As 123/2014-34). 72 Důkazní břemeno tedy v posuzované věci, při níž žalovaný správně vycházel z konstrukce předmětného správního deliktu, jehož skutková podstata je založena na objektivní odpovědnosti, leží co do tvrzení a prokázání liberačních důvodů na žalobci. Žalobce však své důkazní břemeno neunesl, neboť ani žalovanému, ani městskému soudu nepředestřel tvrzení, ani nepodal důkaz o provedení takových opatření, která by v dané věci představovala maximální možné úsilí směřující k zabránění vzniku bezpečnostní události. Naopak žalobce argumentoval tím, že jím přijatá opatření byla s ohledem na tehdejší dobu a poměry přiměřená, čili dle jeho názoru dostatečná, a víc po něm nebylo možno spravedlivě požadovat. Jelikož však žalobcem nastavené mechanizmy nedokázaly detekovat ani vznik bezpečnostního incidentu, jak trefně uvádí žalovaný, je jednoznačné, že žalobcem přijatá opatření se za maximálně možná označit nedají. Pak již není nutné jednotlivá opatření z hlediska liberace hodnotit. 73 Podle městského soudu tedy nelze než dospět k závěru, že maximální úsilí k zabránění přestupku nevynaložil. Důkazní prostředky, které žalobce v dané věci nabídl, měly prokázat skutečnosti, které, i kdyby byly prokázány, nemohly žalobce z objektivní odpovědnosti vyvázat. Je tedy správný závěr žalovaného, že žalobcem namítané skutečnosti nemohou představovat liberační důvod dle ust. § 21 odst. 1 zákona o odpovědnosti za přestupky. Námitka tak není důvodná. 74 Následně se městský soud zabýval námitkou prekluze odpovědnosti za posuzovaný přestupek, kterou žalobce dovozuje na základě právního závěru o dokonání posuzovaného přestupku nejpozději dne 31. 12. 2014. V takovém případě by dle ust. § 46 odst. 3 zákona o ochraně osobních údajů, ve znění účinném do 31. 12. 2014, odpovědnost žalobce za správní delikt zanikla, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán. Odpovědnost by tak zanikla nejpozději dne 31. 12. 2017, tedy před vydáním napadeného rozhodnutí. 75 Pro posouzení této žalobní námitky je klíčové posoudit povahu správního deliktu, kterého se žalobce dopustil. 76 Podle ust. § 8 zákona o odpovědnosti za přestupky trvající přestupek je takový přestupek, jehož znakem je jednání pachatele spočívající ve vyvolání a následném udržování protiprávního stavu nebo jednání pachatele spočívající v udržování protiprávního stavu, který nebyl pachatelem vyvolán. 77 Dle žalovaného šlo o delikt trvající, neboť došlo k vyvolání protiprávního stavu, který byl po daný čas udržován, a k jeho ukončení došlo až přijetím nových opatření pro zabezpečení osobních údajů zákazníků ze strany žalobce, a to až poté, co došlo k zveřejněné odcizené databáze prostřednictvím serveru ulozto.cz v červenci roku 2017. 78 Městský soud v Praze se s právním hodnocením žalovaného ztotožňuje. Je třeba uvést, že trestnost správních deliktů se řídí obdobnými principy jako trestnost trestných činů. Trvající trestný čin je podle teorie trestního práva hmotného takový čin, kterým pachatel vyvolá protiprávní stav a ten pak udržuje, nebo udržuje protiprávní stav, aniž zákon vyžaduje, aby jej také vyvolal. Trvající trestný čin se posuzuje jako jediné jednání, které trvá tak dlouho, dokud je protiprávní stav udržován. Jeho podstatným znakem je, že se postihuje právě ono udržování protiprávního stavu (viz rozsudek Nejvyššího správního soudu ze dne 31. 5. 2007, č.j. 8 As 17/2007-135, nebo rozsudek Nejvyššího správního soudu ze dne 22. 2. 2005, č.j. 5 A 164/2002- 44, popř. rozsudek ze dne 31. 10. 2008, č.j. 5 Afs 9/2008-328). 79 V dané věci trval protiprávní stav nejméně od 31. 12. 2014 do srpna 2017, kdy byl teprve ukončen. Posuzovaný skutek nebyl dokonán jednorázovým aktem - okamžikem odcizení databáze, jak argumentuje žalobce. Protiprávnost spočívala v nepřijetí a neprovedení dostatečných opatření pro zajištění bezpečnosti osobních údajů svých zákazníků před neoprávněným přístupem, kdy tyto údaje prokazatelně nebyly zabezpečeny od konce roku 2014 a byly zabezpečeny až v srpnu roku 2017. Protiprávní stav tedy trval několik let, neboť v průběhu uvedené doby žalobce setrvale neplnil povinnost předmětné údaje odpovídajícím způsobem ochránit. 80 Podle ust. § 30 písm. b) zákona o odpovědnosti za přestupky činí promlčecí doba tři roky, jde-li o přestupek, za který zákon stanoví sazbu pokuty, jejíž horní hranice je alespoň 100 000 Kč. 81 Podle ust. § 31 odst. 2 písm. c) zákona o odpovědnosti za přestupky počíná promlčecí doba u trvajícího přestupku běžet dnem následujícím po dni, kdy došlo k poslednímu útoku. 82 Žalovaný postupoval správně, pokud dovodil, že jednání žalobce vykazuje znaky trvajícího deliktu a k zániku odpovědnosti za jednání žalobce uplynutím promlčecí doby nedošlo. Platí totiž, že jednání, jímž pachatel udržuje protiprávní stav, závadný z hlediska správního práva, tvoří jeden skutek a jeden správní delikt až do okamžiku ukončení deliktního jednání, tj. až do okamžiku odstranění protiprávního stavu. Lhůta pro uložení pokuty, případně pro zahájení řízení o uložení pokuty, začne běžet teprve od okamžiku ukončení trvajícího správního deliktu. Ani tuto žalobní námitku Městský soud v Praze proto nepokládá za důvodnou. 83 Následně se městský soud zabýval námitkou přiměřenosti uložené pokuty. 84 Podle ust. § 45 odst. 3 zákona o ochraně osobních údajů se za správní delikt podle ust. § 45 odst. 1 cit. zákona uloží pokuta do výše 5 000 000 Kč. 85 Podle ust. § 37 zákona o odpovědnosti za přestupky se při určení druhu správního trestu a jeho výměry se přihlédne zejména a) k povaze a závažnosti přestupku, b) k tomu, že o některém z více přestupků, které byly spáchány jedním skutkem nebo více skutky, nebylo rozhodnuto ve společném řízení, c) k přitěžujícím a polehčujícím okolnostem. Dále se při určení druhu správního trestu a jeho výměry se přihlédne zejména g) u právnické nebo podnikající fyzické osoby k povaze její činnosti. 86 Správní orgán 1. stupně v prvostupňovém rozhodnutí uvedl, že při stanovení výše trestu přihlédl „především k povaze a závažnosti přestupku, přičemž má na základě § 38 zákona č. 250/2016 Sb. za to, že závažnost přestupku zvyšuje počet dotčených subjektů údajů, jejichž osobní údaje nebyly řádně zabezpečeny. Závažnost také zvyšuje doba, po kterou protiprávní stav trval, a skutečnost, že součástí databáze byla i uživatelská hesla. Pokud se týká povahy činnosti obviněného, je dle správního orgánu profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů, což míru škodlivosti přestupku zvyšuje. Skutečnost, že po zjištění incidentu, učinila obviněná okamžité kroky k nápravě, hodnotil správní orgán jako polehčující okolnost podle § 39 zákona č. 205/2016 Sb. Přitěžující okolnosti ve smyslu 40 zákona č. 250/2016 Sb. ve věci správní orgán neshledal.“. 87 Žalovaný pak úvahy správního orgánu 1. stupně aproboval jako správné, aniž se k nim konkrétněji vyjádřil. 88 V této souvislosti je ovšem třeba zdůraznit, že z hlediska soudního přezkumu tvoří rozhodnutí správních orgánů obou stupňů jeden celek (viz např. usnesení rozšířeného senátu Nejvyššího správního soudu ze dne 12. 10. 2004, č.j. 5 Afs 16/2003-56, publikováno pod č. 534/2005 Sb. NSS, nebo rozsudek Nejvyššího správního soudu ze dne 28. 12. 2007, č.j. 4 As 48/2007-80. Touto optikou soud nahlížel na napadené rozhodnutí při hodnocení úvah žalovaného o uložené pokutě, přičemž soud zdůrazňuje, že žalobce v podaném rozkladu proti uložené pokutě výslovně nebrojil, nebylo tedy povinností žalovaného zaujímat k úvahám správního orgánu 1. stupně explicitní stanovisko. 89 K argumentaci správního orgánu 1. stupně pak Městský soud v Praze konstatuje, že je velmi stručná, ale ještě obstojí, neboť splňuje požadavky kladené ust. § 37 zákona o odpovědnosti za přestupky. Pokuta ve výši 1.500.000 Kč se pohybuje v mezích zákonného rozpětí pro uložení pokuty podle ust. 45 odst. 3 zákona o ochraně osobních údajů, které je v rozpětí od 0 do 5.000.000 Kč. Sankce uložená žalobci je tedy na úrovni méně než 1/3 zákonného rozpětí, tedy se blíží dolní hranici zákonného rozpětí. 90 Zákonné rozpětí pokuty, které je široké, má umožnit potrestání jak bagatelních, tak zcela mimořádně závažných přestupků podle ust. § 45 odst. 1 zákona o ochraně osobních informací, a tomu musí odpovídat i úvaha správního orgánu při ukládání pokuty. Ve shodě se správním orgánem 1. stupně, s jehož závěrem se žalovaný ztotožnil, má Městský soud v Praze za to, že jednáním žalobce, jímž byl umožněn neoprávněný přístup k osobním údajům jako zákazníků, (cca v 750 000 případech), došlo k závažnému poškození zákonem chráněného zájmu na ochraně osobních údajů, a to po značnou dobu (cca dva a půl roku). Míru závažnosti zvýšila skutečnost, že žalobce je profesionálem v oboru, kde dochází k rozsáhlému zpracování osobních údajů, jakož i skutečnost, že součástí databáze byla i uživatelská hesla. Na druhou stranu správní orgány přihlédly k iniciativě žalobce při nápravě nezákonného stavu, které nejen žalovaný, ale i Městský soud v Praze, hodnotí velmi kladně. Žalobce na základě zjištění o odcizení databáze poměrně rychle zamezil přístupu k zveřejněným osobním údajům a následně přijal taková opatření, aby nemohlo tak dojít k opakování dané situace. Správní orgány tedy zvolily adekvátní výši pokuty při dolní hranici její sazby. 91 S ohledem na tyto zjištěné skutečnosti městský soud dospěl k závěru, že pokuta nebyla uložena v nepřiměřené výši. 92 Městský soud v Praze tak uzavírá, že žalobce se svými námitkami neuspěl, v řízení o žalobě nevyšly najevo žádné vady, k nimž je nutno přihlížet z úřední povinnosti. Městský soud v Praze proto žalobu zamítl jako nedůvodnou. 93 O náhradě nákladů řízení rozhodl soud v souladu s ust. § 60 odst. 1 s. ř. s. Žalobce neměl ve věci úspěch, a nemá proto právo na náhradu nákladů řízení; žalovanému pak v řízení o žalobě nevznikly žádné účelné náklady nad rámec běžné úřední činnosti.