Rozsudek Nejvyššího správního soudu ze dne 9. 8. 2018, č. j. 9 Azs 49/2018 - 50

(citace)

Rozšířený senát v usnesení ze dne 4. 9. 2012, č. j. 1 As 93/2009 - 273 (publ. pod č. 2732/2013 Sb. NSS), uvedl, že „[v] § 29 svěřuje zákon o ochraně osobních údajů žalovanému pravomoc provádět dozor nad dodržováním povinností stanovených tímto zákonem (např. formou kontroly), projednávat přestupky a jiné správní delikty a udělovat pokuty dle tohoto zákona [§ 29 odst. 1 písm. a) a f)]. Žalovaný je povinen přijímat podněty a stížnosti jednotlivců a informovat je o jejich vyřízení [§ 29 odst. 1 písm. c) téhož zákona]. Zákon nicméně v § 29 výslovně nestanoví, že žalovaný má vést správní řízení a rozhodovat o žádostech, jimiž se subjekt údajů domáhá zjednání nápravy při neoprávněném zpracování osobních údajů. […] Rozšířený senát tedy shrnuje, že § 29 zákona o ochraně osobních údajů nezakládá žalovanému pravomoc vést správní řízení o žádostech subjektů údajů…".

Na relevanci výše uvedeného podle přesvědčení soudu nic nemění ani nová úprava nařízení GDPR. Úřad pro ochranu osobních údajů nadále zůstává dozorovým a kontrolním orgánem na úseku ochrany osobních údajů (k tomu viz zejména čl. 51, čl. 57 odst. 1, čl. 58 a čl. 77 nařízení GDPR). Podle čl. 57 odst. 1 písm. f) nařízení GDPR se dozorový úřad (v našich podmínkách Úřad pro ochranu osobních údajů – pozn. soudu) i nadále zabývá stížnostmi, které mu podá subjekt údajů nebo subjekt, organizace či sdružení v souladu s článkem 80, a ve vhodné míře prošetřuje předmět stížnosti a v přiměřené lhůtě informuje stěžovatele o vývoji a výsledku šetření, zejména v případech, kdy je zapotřebí další šetření nebo koordinace s jiným dozorovým úřadem. Čl. 77 nařízení GDPR pak upravuje právo subjektu údajů podat stížnost a podle odstavce 2 tohoto ustanovení dozorový úřad, kterému byla stížnost podána, informuje stěžovatele o pokroku v řešení stížnosti a o jeho výsledku, jakož i o možnosti soudní ochrany podle článku 78. Právní úprava se tedy – z pohledu obsahového – v této otázce podstatně nemění, nadále mají subjekty údajů možnost podat stížnost Úřadu pro ochranu osobních údajů a ten je uvědomí o jejím vyřízení, případně alespoň o „pokroku" ve vyřizování stížnosti. Nově upraveno je pouze právo na účinnou soudní ochranu, pokud se dozorový úřad […] stížností nezabývá nebo pokud neinformuje subjekt údajů do tří měsíců o pokroku v řešení stížnosti (čl. 78 odst. 2 nařízení GDPR); to však nic nemění na právním charakteru stížnosti, na kterou lze nadále aplikovat závěry rozšířeného senátu v usnesení č. j. 1 As 93/2009 - 273.

V souvislosti s výše uvedeným platí, že podnět či stížnost k Úřadu pro ochranu osobních údajů není řádným opravným prostředkem [ve smyslu § 5 ve spojení s § 68 písm. a) s. ř. s.] proti sdělení žalovaného vydaného v souladu s § 83 odst. 5 zákona o Policii ČR. Jedná se pouze o prostředek směřující k uplatnění dozorčí pravomoci Úřadu pro ochranu osobních údajů, se kterým nejsou bez dalšího spojeny účinky návrhu na zahájení řízení. Stěžovatel tedy není povinen před podáním žaloby proti rozhodnutí žalovaného uplatnit podnět, resp. podat stížnost k Úřadu pro ochranu osobních údajů, tato stížnost není opravným prostředkem. Jedná se toliko o jeho právo, jehož může, ale nemusí využít, aniž by to mělo vliv na závaznost rozhodnutí (sdělení) žalovaného podle § 83 odst. 5 zákona o Policii ČR. Tomu ostatně odpovídá i dikce § 83 odst. 5, věty poslední, zákona o Policii ČR (žadatel má právo obrátit se na úřad). Případné uplatnění tohoto práva logicky nemá ani vliv na běh lhůty pro podání žaloby proti rozhodnutí žalovaného (§ 72 odst. 1 s. ř. s.), která počne běžet doručením písemného sdělení o vyřízení žádosti podle § 83 odst. 5 zákona o Policii ČR žadateli.

Sdělení žalovaného podle § 83 odst. 5 zákona o Policii ČR, které je dle svého obsahu úkonem správního orgánu s účinky rozhodnutí, není vydáváno ve správním řízení (viz § 83 odst. 6 zákona o Policii ČR, dle kterého se na postup při vyřizování žádosti nepoužijí 9 Azs 49/2018 ustanovení správního řádu o správním řízení). Zákon proti tomuto rozhodnutí nepřipouští žádné řádné opravné prostředky, s nimiž by byla spjata povinnost správního orgánu o nich zákonem stanoveným způsobem rozhodnout (např. ve smyslu § 90 správního řádu). Domáhá-li se proto stěžovatel likvidace údajů evidovaných v ENO a v SIS II ve smyslu § 83 odst. 2 písm. a) zákona o Policii ČR a žalovaný jeho žádosti nevyhoví, může se poté rovnou obrátit se žalobou proti rozhodnutí ke správnímu soudu.

Nejvyšší správní soud pro úplnost zdůrazňuje, že nepřehlédl, že spolu s nařízením GDPR byla přijata rovněž směrnice Evropského parlamentu a Rady (EU) č. 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále jen „směrnice 2016/680"). V oblasti dodržování povinností při zpracování osobních údajů za uvedenými účely, a to včetně jejich zpracování za účelem zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, se nařízení GDPR neuplatní [srov. čl. 2 odst. 2 písm. d) nařízení GDPR]. Postup označení cizince za nežádoucí osobu a zaevidování jeho osobních údajů do ENO a případně i do SIS II s ochranou veřejného pořádku a bezpečnosti státu úzce souvisí (srov. § 154 odst. 1 a odst. 6 zákona o pobytu cizinců). Dozorová působnost Úřadu pro ochranu osobních údajů je dána i zde (viz výše v odst. [32] a [37]). Jelikož jde však o směrnici, je potřebná její transpozice do českého právního řádu. Ta má být provedena zákonem o zpracování osobních údajů (též tzv. adaptačním zákonem), jehož vládní návrh je v současné době projednáván v Poslanecké sněmovně Parlamentu ČR spolu se zákonem změnovým. Navrhovaná právní úprava navazuje na nařízení GDPR a zapracovává směrnici 2016/680. V souvislosti s posuzovaným případem je nutno zmínit, že stávající § 83 zákona o Policii ČR má být zrušen a tato úprava se s určitými změnami přesune do zákona o zpracování osobních údajů. Nelze předjímat, s jakým obsahem budou uvedené předpisy nakonec přijaty, avšak vládní návrh adaptačního zákona v daném směru koncepčně žádné zásadní změny nepřináší. Subjekty údajů se nadále budou moci stanoveným postupem domáhat informací a též opravy, změny, likvidace apod. osobních údajů zpracovávaných orgány Policie ČR, tedy i údajů evidovaných v ENO a v SIS II, ochranu jim kromě Úřadu pro ochranu osobních údajů budou v této oblasti i nadále poskytovat správní soudy (viz k tomu také čl. 16 odst. 2 a 4 směrnice 2016/680).