Telekomunikace
V zásadě je přípustné plošné a nerozlišující uchovávání IP adres přidělených zdroji připojení, a to po nezbytně nutnou dobu, jakož i plošné a nerozlišující uchovávání údajů o totožnosti uživatelů prostředků elektronické komunikace.
Přípustnost plošného a nerozlišujícího uchovávání IP adres a údajů o totožnosti uživatelů nevede ke snížené intenzitě zásahu uchováváním „zbylých“ údajů, samotná přípustnost uchovávání tohoto omezeného rozsahu údajů je podmíněna tím, že „zbylé“ údaje takto uchovávány nejsou.
(Rozsudek Nejvyššího soudu České republiky č.j. 30 Cdo 2556/2025-335 ze dne 30.12.2025)
Nejvyšší soud rozhodl v právní věci žalobce J. C., zastoupeného Mgr. et Mgr. J.V., advokátem, sídlem v P., proti žalované České republice – Ministerstvu průmyslu a obchodu, sídlem v P., o náhradu nemajetkové újmy, vedené u Obvodního soudu pro Prahu 1 pod sp. zn. 31 C 22/2021, o dovolaní žalované proti rozsudku Městského soudu v Praze ze dne 22. 4. 2025, č. j. 54 Co 89/2025-276, tak, že dovolání se v rozsahu, ve kterém směřuje proti výroku I rozsudku Městského soudu v Praze ze dne 22. 4. 2025, č. j. 54 Co 89/2025-276, zamítá, ve zbývajícím rozsahu se odmítá.
Z odůvodnění:
Předmět rozhodování:
Tento rozsudek řeší otázku, zda tuzemská právní úprava uchovávání provozních a lokalizačních údajů obsažená v § 97 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, je souladná s požadavky práva Evropské unie, pokud směřuje k preventivnímu uchovávání údajů prakticky všech uživatelů služeb elektronických komunikací.
I. Dosavadní průběh řízení
1. Obvodní soud pro Prahu 1 (dále jen „soud prvního stupně“) svým (v pořadí již druhým) rozsudkem ze dne 23. 10. 2024, č. j. 31 C 22/2021-235, zamítl žalobu, kterou se žalobce po žalované domáhal zaslat datovou schránkou omluvu formulovanou tak, že „Česká republika se Vám prostřednictvím Ministerstva průmyslu a obchodu omlouvá za to, že přijetím právní úpravy ukládající poskytovatelům služeb elektronických komunikací dle § 97 odst. 3 a 4 zákona o elektronických komunikacích uchovávat provozní a lokalizační údaje o Vaší elektronické komunikaci porušila a nadále porušuje ustanovení čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích. Tím dochází k neoprávněnému zásahu do Vašich osobnostních práv“ (výrok I). Soud prvního stupně dále rozhodl o nákladech řízení (výrok II).
2. Městský soud v Praze (dále jen „odvolací soud“) v záhlaví označeným rozsudkem (dále také „napadené rozhodnutí“) rozsudek soudu prvního stupně k odvolání žalobce změnil tak, že žalovaná je mu povinna zaslat datovou schránkou omluvu následujícího znění: „Česká republika se Vám prostřednictvím Ministerstva průmyslu a obchodu omlouvá za to, že přijetím právní úpravy ukládající poskytovatelům služeb elektronických komunikací dle § 97 odst. 3 a 4 zákona o elektronických komunikacích povinnost uchovávat provozní a lokalizační údaje o Vaší elektronické komunikaci porušila a nadále porušuje ustanovení čl. 15 odst. 1 Směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronické komunikaci). Tím dochází k neoprávněnému zásahu do Vašich osobnostních práv“ (výrok I rozsudku odvolacího soudu). Odvolací soud také rozhodl o nákladech před soudy všech stupňů (výrok II rozsudku odvolacího soudu).
3. Takto soudy rozhodly v návaznosti na předchozí kasační zásah Nejvyššího soudu ve věci žaloby, kterou se žalobce domáhal náhrady nemajetkové újmy, která mu podle něj vznikla nesprávnou implementací Směrnice Evropského parlamentu a Rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (dále též „směrnice o soukromí a elektronických komunikacích“ nebo „směrnice 2002/58“) vedoucí k plošnému shromažďování a zpracování provozních a lokalizačních údajů, které podle žalobních tvrzení vedlo k zásahu do práv žalobce.
4. Ve fázi řízení před kasačním zásahem Nejvyššího soudu [tj. rozsudkem Obvodního soudu pro Prahu 1 ze dne 8. 2. 2023, č. j. 31 C 22/2021-116, a rozsudkem Městského soudu v Praze ze dne 13. 6. 2023, č. j. 54 Co 134/2023-143] soudy nižších stupňů původně žalobu zamítly s argumentací, že žalobcem tvrzená újma je toliko újmou potenciální a že žalobce netvrdil, tím méně prokázal, vznik konkrétní újmy v důsledku toho, že mobilní operátor uchovává na základě zákona po určitou dobu provozní a lokalizační údaje týkající se žalobce. Žalobce se tak spíše než ochrany vlastních osobnostních práv podle soudů nižších stupňů domáhal ochrany veřejného zájmu, jemuž se civilněprávní ochrana osobnosti člověka a jeho přirozených práv neposkytuje. Odvolací soud nadto doplnil, že normotvorná činnost státu nemůže být posuzována jako nesprávný úřední postup; i tato podmínka nástupu odpovědnosti státu za újmu tak chyběla.
5. Výše uvedené rozsudky zrušil Nejvyšší soud svým rozsudkem ze dne 27. 3. 2024, sp. zn. 30 Cdo 3909/2023, uveřejněným za účelem sjednocení praxe nižších soudů pod číslem 14/2025 ve Sbírce soudních rozhodnutí a stanovisek (dále také „předchozí kasační rozhodnutí“). V něm Nejvyšší soud v obecné rovině upozornil, že z práva Evropské unie vyplývá povinnost státu nahradit újmu vzniklou porušením unijních norem a že tato povinnost se uplatní i tehdy, pokud k porušení unijního práva došlo legislativní činností [tedy např. i v případě porušení spočívajícího v absentující, nesprávné či neúplné implementaci směrnic Evropské unie], a to i přesto, že normotvornou (ne)činnost tuzemského zákonodárce obecně nelze ve smyslu vnitrostátního zákona č. 82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem a o změně zákona České národní rady č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů [dále též „OdpŠk“], považovat za nesprávný úřední postup, a tento zákon se tak v čistě vnitrostátních situacích na legislativní činnost státu nevztahuje. Dále Nejvyšší soud poukázal na to, že z důvodu koherence odškodňování zásahů do základních práv [v tomto případě práv na soukromí a informační sebeurčení] je třeba v případě, kdy je stát skrze svou legislativní činnost zodpovědný za zpracovávání osobních údajů třetí osobou, které by ovšem v případě řádné implementace směrnice 2002/58 nenastalo, vznik nemajetkové újmy posuzovat obdobně, jako by byl posuzován v intencích čl. 82 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Přestože jde v nynějším řízením co do subjektů o odlišnou situaci než tu, na kterou míří čl. 82 GDPR, z důvodu zajištění stejného přístupu ve srovnatelných situacích je nutné zohlednit závěry Soudního dvora [„Soudní dvůr“ v textu tohoto rozsudku odkazuje na Soudní dvůr Soudního dvora Evropské unie, neboť Soudní dvůr EU je tvořen dvěma soudy – Soudním dvorem a Tribunálem] týkající se odškodnitelné újmy přijaté v kontextu čl. 82 GDPR i v poměrech, jejichž úprava jinak zásadně náleží tuzemskému právnímu řádu; tedy i v nynější věci. Z předmětné rozhodovací činnosti Soudního dvora Evropské unie (dále jen „Soudní dvůr“, popř. též „Tribunál“) potom vyplývá, že pro závěr ohledně vzniku nemajetkové újmy bude zpravidla stačit, že se pocit zásahu do morální integrity dotčené osoby, vzhledem ke konkrétním okolnostem případu a k postavení této osoby, nejeví nepravděpodobným. Nejvyšší soud tak dřívější rozhodnutí obou soudů zrušil a věc jim vrátil k dalšímu řízení, především k vyřešení otázky vzniku odškodnitelné nemajetkové újmy na straně žalobce.
6. Soud prvního stupně ve svém druhém rozhodnutí ve věci žalobu opět zamítl, neboť „neuvěřil, že v případě žalobce došlo ke vzniku škody představující duševní útrapy či pocity nejistoty a obavy o profesní budoucnost“, ale naopak žalobce „spíše než zadostiučinění za vlastní újmu žalobce sledoval především odborný zájem o projednávanou problematiku“. Z těchto důvodů soud prvního stupně dospěl k závěru, že na straně žalobce nedošlo ke vzniku újmy, jež je nutným předpokladem k uložení jejího odčinění, proto žalobu zamítl.
7. Odvolací soud v nyní napadeném rozhodnutí závěrům soudu prvního stupně (obsaženým v jeho druhém rozsudku) nepřisvědčil a jeho rozsudek změnil tak, že žalobě vyhověl, když žalované uložil povinnost omluvit se žalobci. Odvolací soud předně uzavřel, že Soudní dvůr institut preventivního plošného a nerozlišujícího ukládání provozních a lokalizačních údajů shledal přípustným pouze v případě závažného ohrožení národní bezpečnosti, které je bezprostřední, aktuální a reálné, a to odůvodněným příkazem přezkoumatelným soudem nebo jiným nezávislým orgánem na dobu nezbytně nutnou při zachování zásady minimalizace zásahu na to, co je nezbytně nutné. Judikatura Soudního dvora je podle odvolacího soudu natolik výmluvná, že i jen plošné a nerozlišující uchovávání provozních a lokalizačních údajů je v rozporu se směrnicí 2002/58, kdy navíc se tak děje na dobu 6 měsíců bez ohledu na to, že se stát nachází či nenachází v bezprostředním ohrožení národní bezpečnosti. Na těchto závěrech nemůže podle mínění odvolacího soudu ničeho změnit ani žalovanou v řízení zdůrazňovaný rozsudek Soudního dvora ze dne 30. 4. 2024 ve věci C-470/21, La Quadrature du Net a další (dále „La Quadrature du Net II“), neboť toto rozhodnutí sice za určitých podmínek umožňuje stanovit povinnost uchovávání osobních údajů, předmětná česká úprava však tyto podmínky nenaplňuje. Odvolací soud proto uzavřel, že vnitrostátní úprava vtělená do zákona č. 127/2005 Sb. je v rozporu se směrnicí 2002/58, a lze tak stát činit odpovědným za nedostatečnou implementaci unijní legislativy do vnitrostátní právní úpravy. K otázce samotné újmy potom odvolací soud rozdílně od soudu prvního stupně shledal, že „v případě osoby, která se o posuzovanou problematiku data retention zajímá, má nečinnost státu ohledně přijetí adekvátní vnitrostátní právní úpravy tíživější následky než v případě osoby, které je ‚vlastně jedno‘, že jsou její elektronická data shromažďována a uchovávána.“ Pakliže platí, že již samotné uchovávání údajů a s tím spojená možnost jejich zneužití jsou způsobilé do základního práva na ochranu soukromí zasáhnout, a žalobce navíc pro odvolací soud srozumitelně vyložil, že jako novinář má zájem na ochraně svých informačních zdrojů, kterou mu současná právní úprava náležitě negarantuje, o vzniku žalobcem tvrzené újmy, nebylo namístě pochybovat. Odvolací soud proto žalobcem v tomto řízení uplatněný požadavek na poskytnutí satisfakce ve formě jím formulované písemné omluvy shledal oprávněným.
II. Dovolání
8. Proti rozsudku odvolacího soudu, patrně v celém jeho rozsahu, podala žalovaná [dále též „dovolatelka“] včasné dovolání.
9. Jeho přípustnost odvozovala od toho, že napadené rozhodnutí závisí na vyřešení otázek hmotného a procesního práva, které dosud nebyly v rozhodovací praxi Nejvyššího soudu vyřešeny. Tyto otázky však dovolatelka expressis verbis neuvádí, z textu dovolání potom ani implicitně nevyplývá, o jaké otázky by se přesně mělo jednat. Dovolatelka však upozorňuje na řadu podle jejího názoru nesprávných právních úvah odvolacího soudu, Nejvyšší soud tak její nosnou argumentaci krátce zrekapituluje.
10. Dovolatelka nejprve namítá, že (1) se odvolací soud nedostatečně zabýval naplněním tří podmínek odpovědnosti státu za újmu způsobenou porušením unijního práva, tj. že dotčené pravidlo unijního práva zakládá práva jednotlivců, že existuje dostatečně závažné porušení a že je zjištěna příčinná souvislost mezi porušením a utrpěnou škodou. Odvolacímu soudu dovolatelka především vytýká, že se „vůbec nezabýval“ naplněním první podmínky, tedy tím, zda bylo předmětnou nesprávnou implementací porušeno pravidlo, jehož cílem je přiznání práv jednotlivcům. Dále se dovolatelka (2) „vymezuje proti závěru, že z judikatury SDEU vyplývá možnost domáhat se nemajetkové újmy na základě nesprávného zpracování osobních údajů“. Poukazuje na to, že ne každé porušení GDPR samo o sobě zakládá právo na náhradu újmy a pouhé tvrzení o obavě z možného zneužití osobních údajů bez prokázaného negativního důsledku nemůže vést k náhradě újmy podle čl. 82 GDPR. Dovolatelka také uvádí, že (3) „vznik nemajetkové újmy nebyl v dosavadním řízení prokázán a způsob, jakým se odvolací soud s touto otázkou vypořádal […], je zcela neadekvátní a nedostačující.“ K zásahu do práv žalobce a tím případně ke vzniku újmy mohlo dojít pouze uchováváním té podmnožiny dat, jejichž plošné a neadresné uchovávání nepřipouští unijní právo. K této části dovolání potom dovolatelka poněkud nesouvisle dodává, že pokud by tuzemská úprava uchovávání osobních údajů byla shledána rozpornou s unijním právem, měl odvolací soud zkoumat, „zda k porušení [žalobcových] práv došlo ze strany ČR zaviněně“. Jako další námitku dovolatelka uvádí (4) posun v rozhodovací činnosti Soudního dvora. Podle dovolatelky zejména z výše citovaného rozsudku Soudního dvora La Quadrature du Net II vyplývá odklon Soudního dvora od jeho dřívějšího striktního přístupu k posuzování protiprávnosti plošného a neadresného uchovávání osobních údajů. Dovolatelčinu argumentaci zde lze shrnout tak, že jelikož Soudní dvůr v rozhodnutí La Quadrature du Net II vyslovil, že uchovávání souboru, byť i velkého, statických a dynamických IP adres používaných osobou v určitém období, nepřestavuje nutně závažný zásah do základních práv, měl odvolací soud jednoznačně určit, které z uchovávaných údajů tuzemská právní úprava požaduje uchovávat v rozporu s unijním právem a uchovávání kterých naopak lze s ohledem na uvedené závěry Soudního dvora tolerovat. V další části potom dovolatelka namítá, že (5) jelikož povinnost uchovávat provozní a lokalizační údaje dopadá pouze na vymezené fyzické nebo právnické osoby a zároveň nejsou uchovávána všechna data v telekomunikačním provozu vznikající, nejde ve skutečnosti o plošný a nerozlišující sběr údajů ve smyslu rozhodovací praxe Soudního dvora. Dovolatelka také uvádí, že (6) předmětem řízení nebylo konkretizování záruk proti zneužití dat, předchozí instance se touto otázkou nezabývaly a dovolatelce není jasné, v jakém aspektu mají být poskytnuté záruky nedostatečné. Naopak má za to, že současné nastavení poskytuje vysokou úroveň ochrany. Dovolatelka je toho názoru, že omezení uchovávání údajů u poskytovatelů, kteří dle české právní úpravy mají v současné době takovou povinnost, by vedlo ke značnému ztížení a narušení odhalování závažné trestné činnosti. Dovolatelka se dále (7) neztotožňuje se závěrem odvolacího soudu o neprokázání ohrožení pro národní bezpečnost nebo bezprostředního nebezpečí pro stát. V kontextu zejména války na Ukrajině, jenž byla vyvolána invazí vojsk Ruské federace, upozornila na tzv. hybridní aktivity směřované proti České republice. Podle dovolatelky je třeba připomenout, že v České republice stále platí stupeň B ohrožení terorismem, tedy stav, kdy není známa konkrétní hrozba teroristických aktivit na území ČR, došlo však k výraznému zhoršení mezinárodní situace, a to do takové míry, že její projevy mohou významně ovlivnit bezpečnostní situaci v České republice. Další námitku dovolatelka předkládá ve formě výhrady, podle níž (8) odvolací soud měl zohlednit, že s využitím provozních a lokalizačních údajů počítají i zcela nové právní předpisy, jako např. Nařízení Evropského parlamentu a Rady (EU) 2023/1114 ze dne 31. 5. 2023, o trzích kryptoaktiv a o změně nařízení (EU) č. 1093/2010 a (EU) č. 1095/2010 a směrnic 2013/36/EU a (EU) 2019/1937 (dále též jen „nařízení MiCA“), které bylo nově implementováno do českého právního řádu zákonem č. 31/2025 Sb., o implementaci předpisů Evropské unie v oblasti digitalizace finančního trhu (zákon o digitalizaci finančního trhu), nebo směrnice Evropského parlamentu a Rady (EU) 2022/2555, ze dne 14. 12. 2022, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o změně nařízení (EU) č. 910/2014 a směrnice (EU) 2018/1972 a o zrušení směrnice (EU) 2016/1148 (dále jen „směrnice NIS2“). Bez systematického zaznamenávání údajů o elektronické komunikaci však podle dovolatelky není možné dostát požadavkům zajištění kybernetické bezpečnosti, kterou směrnice předpokládají, přičemž uchovávání technických údajů o elektronické komunikaci a dalších záznamů je tedy nezbytné, byť není směrnicemi výslovně jmenováno. Odvolací soud měl podle dovolatelky tento kontext zohlednit minimálně při výkladu rozsahu možné újmy, proporcionality a systematického zasazení dané právní úpravy do rámce unijního práva. Jako předposlední dovolatelka namítá, že (9) uložená omluva je formulována příliš široce. Materiálně jde o zasazení argumentace uvedené výše pod bodem (4) týkající se potřeby diferenciace jednotlivých typů údajů do kontextu formulace omluvy: dovolatelka soudí, že jelikož podle jejích tvrzení některé skupiny údajů nepodléhají tak přísným požadavkům jako jiné, měla by formulace omluvy toto rozlišování náležitě reflektovat. Nakonec potom dovolatelka uvádí, že (10) klasifikace legislativní činnosti státu jako nesprávný úřední postup bez existence rozhodnutí Ústavního soudu o protiústavnosti posuzovaného předpisu „porušuje princip dělby moci“. Upozorňuje také na to, že Komise (míněna tzv. Evropská komise), která kontroluje, zda jsou vnitrostátní prováděcí opatření úplná a zda splňují cíle stanovené směrnicí, a která je oprávněna zahájit řízení o nesplnění povinnosti, Českou republiku k nápravě předmětného stavu nevyzvala.
11. K podanému dovolání se vyjádřil žalobce. V něm zdůraznil, že se ztotožňuje se závěrem odvolacího soudu ohledně dostatečně závažného porušení práva EU a s tím, že tuzemská právní úprava požadavkům unijního práva neodpovídá. Co se týče dopadů dovolatelkou uváděného rozsudku La Quadrature du Net II, podle žalobce tuzemská právní úprava nesplňuje ani mírnější režim zde aplikovaný na IP adresy, jelikož podle bodu 83 uvedeného rozsudku se členský stát musí ujistit, že způsoby uchovávání údajů mohou zaručit, že je vyloučeno jakékoli kombinování uvedených IP adres s ostatními uchovávanými údaji, které by umožnilo vyvodit přesné závěry o soukromém životě osob, jejichž údaje jsou takto uchovávány. Takový přístup však tuzemská úprava nezaujímá. Co do otázky existence a rozsahu způsobené újmy, žalobce má za to, že hodnocení odvolacím soudem je plně v souladu se závěry kasačního rozhodnutí dovolacího soudu v nynějším řízení. K argumentu dovolatelky, že z rozhodnutí Soudního dvora nevyplývá, jaká data by měla být uchovávána a jakým způsobem, uvádí žalobce, že to je pro nynější věc irelevantní, neboť z judikatury „vyplývá naprosto jednoznačně, jakým způsobem sběr a uchovávání dat probíhat nemá, a to je způsobem plošného a nevýběrového uchovávání dat.“ Argumentaci dovolatelky ohledně ohrožení bezpečnosti státu považuje žalobce za irelevantní. Z těchto důvodů žalobce dovolacímu soudu navrhl, aby dovolání odmítl, případně aby jej zamítl.
12. K replice žalobce podala dovolatelka dupliku doplněnou obsáhlým přílohovým materiálem. Mimo opakování své argumentace obsažené v dovolání se zde dovolatelka vyjadřuje k „tvrzení o nadužívání dat“. K tomu uvádí, že tato argumentace žalobce je zřetelně nepřiléhavá, neboť z uchovávaného množství údajů je oprávněnými orgány ve skutečnosti vyžadován pouze zlomek z nich. K údaji uvedenému žalobcem o žádostech o přístup k uchovávaným údajům za roky 2023 a 2024, dovolatelka doplňuje, že přibližně čtvrtina z těchto žádostí byla učiněna se souhlasem uživatele zařízení. Za povšimnutí podle dovolatelky stojí, že od roku 2022 dochází ke zněkolikanásobení počtu žádostí se souhlasem uživatele [zatímco v roce 2021 tyto žádosti tvořily přibližně 9 % všech žádostí, v roce 2024 již tvořily přes 28 % všech žádostí; pozn. Nejvyššího soudu], což je v rozporu s tvrzením žalobce o tom, že by „převážná část obyvatel ČR byla uchováváním dat nějak ohrožena“. Ke své duplice dovolatelka přiložila jako přílohu též část dokumentu nazvaného Analýza odposlechů a záznamů telekomunikačního provozu a sledování osob a věcí dle trestního řádu a rušení provozu elektronických komunikací Policií ČR za rok 2024, nedoprovází jej však žádnou argumentací, ani jinak neuvádí, jakým způsobem daný dokument souvisí s nynějším řízením.
13. Žalobce možnost reakce na dupliku dovolatelky nevyužil s tím, že by již ničím novým nepřispěla k právnímu posouzení věci.
III. Přípustnost dovolání
14. Nejvyšší soud v dovolacím řízení postupoval a o dovolání rozhodl podle zákona č. 99/1963 Sb., občanský soudní řád, ve znění účinném od 1. 1. 2022 (viz čl. II a XII zákona č. 286/2021 Sb.), dále jen „o. s. ř.“.
15. Dovolání bylo podáno včas (§ 240 odst. 1 o. s. ř.), osobou k tomu oprávněnou (účastníkem řízení), za splnění podmínky § 241 o. s. ř.
16. Podle § 236 odst. 1 o. s. ř. lze dovoláním napadnout pravomocná rozhodnutí odvolacího soudu, jestliže to zákon připouští.
17. Podle § 237 o. s. ř. není-li stanoveno jinak, je dovolání přípustné proti každému rozhodnutí odvolacího soudu, kterým se odvolací řízení končí, jestliže napadené rozhodnutí závisí na vyřešení otázky hmotného nebo procesního práva, při jejímž řešení se odvolací soud odchýlil od ustálené rozhodovací praxe dovolacího soudu nebo která v rozhodování dovolacího soudu dosud nebyla vyřešena nebo je dovolacím soudem rozhodována rozdílně anebo má-li být dovolacím soudem vyřešená právní otázka posouzena jinak.
18. V tom rozsahu, ve kterém je dovoláním napaden výrok II napadeného rozhodnutí je dovolání nepřípustné, neboť dovolání není podle § 238 odst. 1 písm. h) o. s. ř. objektivně přípustné v rozsahu, v němž bylo rozhodnuto o náhradě nákladů odvolacího řízení, resp. řízení před soudem prvního stupně. Nejvyššímu soudu tak nezbylo, než v této části dovolání jako nepřípustné odmítnout (§ 243c odst. 1 o. s. ř.) a dále se zabýval již jen přípustností dovolání směřujícího proti měnícímu výroku I rozsudku odvolacího soudu.
19. Přípustnost dovolání nemohou ve smyslu § 237 o. s. ř. založit námitky (2) a (3), jejichž společnou podstatou je nesouhlas dovolatelky se závěrem odvolacího soudu ohledně vzniku nemajetkové újmy žalobce. Dovolatelka zde předpokládá, že odvolací soud v rozporu se závěry Nejvyššího soudu vyslovenými v předchozím kasačním rozhodnutí vyvozuje závěry o existenci újmy ze samotného porušení unijního práva. Takový závěr však odvolací soud neučinil. Naopak, v bodě 26 napadeného rozhodnutí odvolací soud náležitým způsobem převzal závěry předchozího kasačního rozhodnutí ohledně toho, že předmětná újma může spočívat již v pouhé „ztrátě kontroly“ žalobce nad údaji a v obavě ze zneužití osobních údajů samotných (viz body 55-56). Na tomto základě následně odvolací soud uzavřel, že má takovou újmu vzhledem k osobě žalobce, a to s přihlédnutím k subjektivní, profesní a společenské rovině, za prokázanou. Tomuto hodnocení nelze v rovině právního posouzení ničeho vytknout. Tvrzení dovolatelky, že odvolací soud dovozuje újmu ze samotného porušení, je tak nesprávné a míjí se se závěry odvolacího soudu, což danou námitku bez dalšího diskvalifikuje z možnosti jejího věcného přezkumu ve smyslu § 237 o. s. ř. (srovnej usnesení Nejvyššího soudu ze dne 27. 5. 1999, sp. zn. 2 Cdon 808/97, uveřejněné pod č. 27/2001 ve Sbírce soudních rozhodnutí a stanovisek). Hodnocení odvolacího soudu tak není rozporné ani se závěry předchozího kasačního rozhodnutí, ani se závěry dovolatelkou citovaného rozsudku Soudního dvora ze dne 20. 6. 2024 ve věci C-590/22, AT. Toto rozhodnutí ostatně jen reprodukuje závěry jiných rozhodnutí Soudního dvora, ze kterých Nejvyšší soud v předchozím kasačním rozhodnutí vycházel.
20. Pokud má dovolatelka za to, že nebyl prokázán negativní důsledek obavy z možného zneužití údajů se zohledněním postavení (konkrétního) žalobce, jedná se o nepřípustnou kritiku skutkových závěrů odvolacího soudu, jejich správnosti či úplnosti, která přitom nevystihuje jediný způsobilý dovolací důvod v podobě nesprávného právního posouzení věci [podle § 241a odst. 1 o. s. ř.] a současně ani nezakládá žádnou kvalifikovanou otázku hmotného či procesního práva, způsobilou odůvodnit přípustnost dovolání podle § 237 o. s. ř. (k tomu srovnej např. usnesení Nejvyššího soudu ze dne 12. 12. 2011, sp. zn. 28 Cdo 1663/2009; shodně též usnesení Ústavního soudu ze dne 5. 5. 2009, sp. zn. IV. ÚS 710/09). Proto ani případný odlišný názor dovolatelky na to, jaké skutečnosti lze mít na základě provedených důkazů za prokázané, popřípadě zda provedené důkazy stačí k prokázání relevantních skutečností, není s ohledem na zásadu volného hodnocení důkazů (§ 132 o. s. ř.) způsobilý zpochybnit zjištěný skutkový stav ani právní posouzení odvolacího soudu (srovnej rozsudek Nejvyššího soudu ze dne 17. 12. 2012, sp. zn. 25 Cdo 617/2012).
21. Přípustnost nemůže založit ani námitka (6), kterou dovolatelka přednáší řadu argumentů týkajících se stupně zabezpečení uchovávaných údajů a možnosti přístupu k nim. Jakékoliv případné vyřešení otázky míry zabezpečení uchovávaných údajů by se totiž nijak nemohlo projevit ve výsledku nynějšího sporu.
22. Soudní dvůr sice určil, že právní úprava, která preventivně umožňuje cílené uchovávání provozních a lokalizačních údajů za účelem boje proti závažné trestné činnosti, musí zajistit, aby osoby, jejichž údaje jsou uchovávány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití (rozsudek Soudního dvora ze dne 21. 12. 2016, ve spojených věcech C-203/15 a C-698/15, Tele2 Sverige, dále jen „Tele2 Sverige“, bod 109). Úroveň zabezpečení tak na první pohled není bez relevance. Tento požadavek je ovšem vztažen na cílené uchovávání, nikoliv na uchovávání plošné a nerozlišující. Přitom ovšem zároveň platí, že přístup k uchovávaným údajům, ke kterému se vztahuje argumentace týkající se bezpečnostních záruk, představuje odlišný a samostatný zásah do základních práv oproti samotnému uchovávání těchto údajů (srovnej La Quadrature du Net, body 115 a 116; La Quadrature du Net II, bod 69). Nehledě na pravidla upravující zabezpečení proti zneužití tak z rozhodovací praxe Soudního dvora potom vyplývá, že právní úprava souladná s požadavky unijního práva každopádně musí být založena na objektivních skutečnostech, na jejichž základě lze vymezit okruh osob z řad veřejnosti, jejichž údaje mohou vykázat minimálně nepřímou souvislost se závažnou trestnou činností nebo určitým způsobem přispívat k boji proti závažné trestné činnosti či k předcházení závažného ohrožení veřejné bezpečnosti (Tele2 Sverige, bod 111). Vnitrostátní právní předpisy týkající se zabezpečení uchovávaných údajů a přístupu k nim tak nemohou být z povahy věci způsobilé omezit, či dokonce zhojit závažný zásah do práv zaručených v článcích 5 a 6 směrnice 2002/58 a čl. 7 a 8 Listiny EU (rozsudek Soudního dvora ze dne 5. 4. 2022 ve věci C-140/20, Commissioner of An Garda Síochána, dále „Commissioner of An Garda Síochána“, bod 47).
23. Jinými slovy, dokud jsou uchovávané údaje shromažďovány preventivně o téměř veškerém obyvatelstvu bez jakéhokoli rozlišování, omezení či výjimky [k obsahu kritéria plošného a nerozlišujícího uchovávání srovnej oddíl IV. b) tohoto rozhodnutí], nezpůsobí ani jakékoliv hypotetické či skutečné bezpečnostní záruky soulad takové právní úpravy s právem EU, neboť rozpor s unijním právem je dán již samotným shromažďováním (k danému ostatně obdobně srovnej také předchozí kasační rozhodnutí a jeho bod 80).
24. Nepřípustná je z hlediska § 237 o. s. ř. také námitka žalované (7) týkající se ohrožení národní bezpečnosti. Dovolatelka k ní uvádí, že prokazování ohrožení národní bezpečnosti dosud nebylo předmětem dokazování v žádné předchozí soudní instanci a vzhledem k předmětu sporu nepovažovala za nutné tuto skutečnost prokazovat. Ve svém dovolání potom zejména argumentuje, že se bezpečnostní situace podstatně změnila po vypuknutí ozbrojeného konfliktu na území Ukrajiny, jenž byl vyvolán vojenskou invazí vojsk Ruské federace. Ani toto tvrzené ohrožení národní bezpečnosti, pokud by bylo v řízení prokázáno, by však nebylo způsobilé se projevit na úspěchu dovolatelky v této věci.
25. Je pravdou, že Soudní dvůr uvedl, že plošné a nerozlišující uchovávání údajů je přípustné v situacích, kdy stát čelí závažnému ohrožení národní bezpečnosti, které se jeví jako skutečné a aktuální nebo předvídatelné, přičemž ovšem příkaz k takovému uchovávání musí být vydán pouze na dobu nezbytně nutnou, avšak s možností prodloužení, přičemž rozhodnutí o uložení tohoto příkazu může být předmětem účinného přezkumu soudem nebo nezávislým správním orgánem (srovnej bod 81 předchozího kasačního rozhodnutí a judikaturu Soudního dvora tam uvedenou). Zároveň je ovšem třeba mít na paměti, že každý podobný příkaz představuje výjimku z obecného pravidla, kterým je obecný zákaz plošného a nerozlišujícího uchovávání údajů. V tomto směru potom nicméně platí, že požadavek, aby každé omezení výkonu základních práv bylo stanoveno zákonem, implikuje, že právní základ dovolující zásah do těchto práv musí sám definovat rozsah omezení výkonu dotyčného práva (srovnej např. rozsudky Soudního dvora ze dne 20. 11. 2025 ve věci C-57/23, Policejní prezidium, bod 58; ze dne 6. 10. 2020 ve věci C-623/17, Privacy International, bod 65; ze dne 16. 7. 2020 ve věci C-311/18, Facebook Ireland a Schrems, bod 175; nebo ze dne 6. 10. 2015 ve věci C-362/14, Schrems, bod 91).
26. Promítnuto do nynější věci uvedené znamená, že vztah mezi (přípustným) plošným a nerozlišujícím uchováváním údajů na straně jedné a závažným ohrožením národní bezpečnosti či obdobným stavem na straně druhé musí vyplývat ze samotné právní úpravy. To se ostatně podává také z výše uvedeného požadavku, že naplnění zákonných podmínek pro takové uchovávání údajů musí být způsobilé být předmětem soudního či správního přezkumu. Jinak řečeno, výše zmiňované podmínky kategoricky formulované Soudním dvorem směřují vůči nastavení právní úpravy jako takové, nikoliv, jak naznačuje dovolatelka, vůči materiálním okolnostem, které vedly k přijetí (či k setrvání v účinnosti) předpisu stanovujícího povinnost plošného a nerozlišujícího uchovávání údajů. Zákon č. 127/2005 Sb., zákon o elektronických komunikacích a o změně některých souvisejících zákonů (dále také „zákon o elektronických komunikacích“), však žádná taková pravidla pro plošné uchovávání údajů v případě závažného ohrožení národní bezpečnosti České republiky či obdobného stavu nedefinuje, tím méně stanoví časový prostor, v němž k zásahu do základních práv občanů EU může docházet. Tím méně potom umožňuje soudní kontrolu takového opatření. Jestliže taková právní úprava absentuje, je nejen s ohledem na závěry judikatury Soudního dvora vyloučeno se zabývat tím, zda (zákonem nepředvídané) ohrožení České republiky nastalo a zda je natolik intenzivní, aby zásah do práv výše popsaných ospravedlnilo.
27. Nelze si také nevšimnout, že původní žaloba v nynější věci byla podána dne 25. 5. 2021. Přesto se argumentace dovolatelky zaměřuje prakticky výhradně na události související s vojenskou invazí ruských vojsk na území Ukrajiny, konkrétně potom na události z roku 2024 či mladší. Dovolatelka se tak účelově snaží popřít svou odpovědnost za újmu vzniklou protiprávností úpravy uchovávání údajů, která ji musela být dlouhodobě známa (ostatně podle výsledků dokazování na ni opakovaně upozorňoval i Úřad pro ochranu osobních údajů), až cynickým ex post odkazem na závažné události a skutečnosti, které však nemohly být jakkoliv předvídány v době, kdy předmětná právní úprava vznikla, popř. nabyla v květnu 2005 účinnosti (resp. kdy mělo vlivem práva Evropské unie a navazující jednoznačné judikatury Soudního dvora dojít k její revizi).
28. Časová působnost je také hlavním důvodem pro nepřípustnost námitky žalované (8), jejíž podstatou je tvrzené nezohlednění kontextu ostatních aktů sekundárního práva Evropské unie upravujících využívání provozních a lokalizačních údajů, totiž nařízení MiCA a směrnice NIS2. Z těch podle dovolatelky taktéž vyplývá povinnost uchovávání předmětných údajů, směrnici 2002/58 tak podle ní nelze posuzovat izolovaně. Je však třeba upozornit, že obě dovolatelkou citované směrnice vstoupily v účinnost až po podání žaloby v nynější věci, jakákoliv jejich tvrzená spojitost s úpravou uchovávání provozních a lokalizačních údajů podle směrnice 2002/58 by tak byla pro závěr o protiprávnosti tuzemské úpravy, která vedla ke vzniku újmy žalobce, ratione temporis zcela nerozhodná. Z tohoto důvodu je tato námitka, pokud směřuje k té části žalobci přiznané omluvy, kterou se dovolatelka omlouvá, že „porušila“ [tj. směřuje do období před podáním žaloby] ustanovení čl. 15 odst. 1 směrnice 2002/58, nepřípustná.
29. Ohledně té části omluvy, která se týká toho, že dovolatelka výše uvedené ustanovení „nadále porušuje“, pak i v tomto rozsahu shledal Nejvyšší soud námitku (8) ve smyslu § 237 o. s. ř. nepřípustnou. Nejvyšší soud totiž nesdílí dovolatelčino přesvědčení, že „terminologicko-definiční“ čl. 6 směrnice NIS2, který ve svém odst. 1 písm. c) uvádí, že „sítí a informačním systémem“ se pro potřeby této směrnice rozumí také „digitální data, jež jsou prvky uvedenými v písmenech a) a b) uchovávána, zpracovávána, opětovně vyhledávána nebo předávána za účelem jejich provozu, použití, ochrany a údržby“, má jakýkoliv normativní přesah týkající se obecné přípustnosti plošného a nerozlišujícího uchovávání provozních a lokalizačních údajů podle směrnice 2002/58. Toto ustanovení toliko určuje, co se rozumí „sítí a informačním systémem“ pro potřeby směrnice NIS2, rozhodně však nejde o omezení ochrany jednotlivců založené směrnicí 2002/58 tak, jak ji dlouhodobě vykládá Soudní dvůr. Ostatně, vymezení oblasti působnosti směrnice NIS2 v jejím čl. 2 odst. 12 a 14, jakož i bod 14 odůvodnění (recitálu) této směrnice, jasně stanoví, že touto směrnicí není směrnice 2002/58 dotčena. Normativní působení směrnice NIS2 vůči režimu uchovávání údajů podle směrnice 2002/58, jak jej uvádí dovolatelka, je tak třeba odmítnout. Stejně tak je v nynější věci nerozhodné ustanovení § 16 zákona o digitalizaci finančního trhu, vycházející z nařízení MiCA. Toto ustanovení totiž upravuje přístup k uchovávaným provozním a lokalizačním údajům, nikoliv však režim jejich uchovávání, který tvoří předmět nynějšího přezkumu. Lze tak v tomto ohledu odkázat na odůvodnění tohoto rozsudku poskytnuté výše k námitce (6).
30. Přípustnost dovolání nezakládá ani námitka (10) týkající se absence vyslovení protiústavnosti tuzemské legislativy Ústavním soudem. Nejvyšší soud v předcházejícím kasačním rozhodnutí (srovnej jeho body 84-85) vyslovil, že přezkum protiústavnosti ustanovení zákona Ústavním soudem je ve své podstatě odlišný (užší, resp. jiný) než přezkum souladnosti těchto vnitrostátních ustanovení s unijním právem obecnými soudy a že závěr o jednom neimplikuje závěr o druhém. Pro posouzení odpovědnosti České republiky za újmu způsobenou legislativní činností tak není rozhodné, zda byl konkrétní předpis odporující unijnímu právu zrušen Ústavním soudem pro jeho protiústavnost či nikoliv.
31. Stejně tak je pro nynější věc nerozhodná poznámka dovolatelky o tom, že „pro případ nedůsledného či nesprávného provedení směrnic či nesprávné aplikace práva EU je [zde] Komise, která kontroluje, zda jsou vnitrostátní prováděcí opatření úplná a zda splňují cíle stanovené směrnicí, mj. oprávněna zahájit řízení o nesplnění povinnosti.“ Soudní dvůr opakovaně uvedl, že náhradu škody nelze podmínit tím, že Soudní dvůr nejprve určí, že došlo k nesplnění povinnosti vyplývající z práva Společenství, které je přičitatelné státu (srovnej výše uvedený rozsudek Brasserie du pêcheur a Factortame, dále jen „Brasserie du pêcheur“, body 94 až 96; nebo rozsudek Soudního dvora ze dne 24. 3. 2009 ve věci C-445/06, Danske Slagterier, body 37-38). Práva přiznaná jednotlivcům totiž nemohou objektivně záviset na tom, zda vůbec a případně jak Komise, jež je v tomto směru nadána diskrečním oprávněním, posoudí vhodnost podání žaloby proti členskému státu podle článku 258 Smlouvy o fungování Evropské unie (dále „SFEU“), ani na tom, zda Soudní dvůr vydá případný rozsudek určující nesplnění povinnosti. K samostatnosti mechanismů žaloby pro nesplnění povinnosti a mimosmluvní odpovědnosti členských států potom mutatis mutandis srovnej rozsudek Nejvyššího soudu ze dne 18. 6. 2024, sp. zn. 30 Cdo 912/2024, body 26-30.
32. Přípustnost dovolání nakonec nemůže založit ani námitka (1) v té její části, ve které dovolatelka nesouhlasí s posouzením naplnění podmínek dostatečně závažného porušení a příčinné souvislosti mezi tímto porušením a vzniklou újmou.
33. Co se týče dostatečně závažného porušení, Nejvyšší soud v předchozím kasačním rozhodnutí připomenul (srovnej jeho bod 87), že pokud jsou ustanovení nesprávně implementované směrnice dostatečně jasná, případně byl (jako v řešené otázce) jejich výklad upřesněn Soudním dvorem, je nutné takové porušení považovat za zvlášť závažné porušení unijního práva (srovnej např. rozsudky Soudního dvora ze dne 21. 12. 2023, ve věci C-86/22, Papier Mettler Italia Srl, body 86–90, ze dne 25. 11. 2010; ve věci C-429/09, Günter Fuß, body 51–58, ze dne 16. 10. 2008, ve věci C-452/06, Synthon, body 37–46; nebo ze dne 18. 1. 2001, ve věci C-150/99, Stockholm Lindöpark, body 37–42). Jde tak o konkretizaci obecného závěru, podle kterého je porušení práva Unie dostatečně závažné tam, kde k němu došlo ve zjevném rozporu s judikaturou Soudního dvora v dané oblasti (srovnej např. rozsudky Soudního dvora ze dne 13. 6. 2006 ve věci C-173/03, Traghetti del Mediterraneo SpA, bod 43; nebo ze dne 26. 7. 2019, ve věci C-620/17, Hochtief Solutions, bod 43). Vzhledem k dlouhodobé stabilitě judikatury Soudního dvora k otázkám plošného a nerozlišujícího uchovávání provozních a lokalizačních údajů nelze přiléhavému závěru odvolacího soudu o dostatečné „výmluvnosti judikatury Soudního dvora“ (srovnej body 19-24 napadeného rozhodnutí), vedoucí ke shledání dostatečné závažnosti porušení povinností žalované, ničeho vytknout. To potom platí i tehdy, pokud odvolací soud svůj závěr o dostatečné závažnosti založil toliko na tomto závěru a neposuzoval již kritéria další (ostatně již z původního rozsudku Soudního dvora ve věci Brasserie du pêcheur, konkrétně jeho bodu 57, vyplývá, že v případě ustálené judikatury Soudního dvora, z níž vyplývá protiprávnost dotčeného jednání, se jedná o zvlášť závažné porušení bez ohledu na hodnocení ostatních kritérií).
34. Co se týče příčinné souvislosti, dovolatelka sice uvádí, že odvolací soud „do značné míry zaměňuje systém náhrady škody v oblasti GDPR a systém odpovědnosti dle doktríny Francovich“, ale tuto argumentaci (i přes ujištění, že se tak stane v další části jejího dovolání) nijak nerozvíjí, čímž by se daná otázka v uvedeném kontextu stala pro vadnost dovolání neprojednatelnou (§ 241a odst. 2 a 3, § 240 odst. 2 ve spojení s § 241b odst. 3 o. s. ř). Pakliže snad i tato námitka ve skutečnosti materiálně míří k posouzení toho, zda žalobci vznikla nemajetková újma (a tedy souvisí s otázkou jinak náležitě odůvodněnou), dovolací soud odkazuje na své závěry uvedené v bodech 19-20 výše.
35. Napadené rozhodnutí nicméně závisí na otázce, zda tvrzeně porušené normy unijního práva přiznávají práva jednotlivcům a zda tedy jejich porušením může vzniknout odpovědnost státu za způsobenou nemajetkovou újmu. Jelikož tato otázka dosud nebyla v rozhodovací praxi dovolacího soudu dostatečně vyřešena, shledal v této části Nejvyšší soud dovolání ve smyslu § 237 o. s. ř. přípustným.
36. Nejvyšší soud shledal z téhož důvodu dovolání přípustným také co do námitky (5), která směřuje k zodpovězení otázky, zda tuzemská právní úprava uchovávání provozních a lokalizačních údajů naplňuje znaky plošného a nerozlišujícího uchovávání ve smyslu rozhodovací praxe Soudního dvora.
37. Nejvyšší soud shledal dovolání přípustným nakonec také pro námitky (4) a (9), které ve své podstatě směřují k existenci různých režimů přípustnosti uchovávání dat v závislosti na jejich druhu a jejich hodnocení ve vztahu k tvrzené újmě a týkají se tak otázky přípustného rozsahu uchovávání provozních a lokalizačních údajů. Ani tato otázka v rozhodovací praxi dovolacího soudu dosud nebyla vyřešena.
IV. Důvodnost dovolání
38. Po přezkoumání, které provedl Nejvyšší soud bez jednání (§ 243a odst. 1 o. s. ř.), vázán striktně vymezenými dovolacími důvody (§ 242 odst. 3 věta prvá o. s. ř.), dospěl k závěru, že dovolání je sice ve výše zmiňovaném rozsahu přípustné, nicméně neshledal jej důvodným. K jednotlivým námitkám dovolatelky Nejvyšší soud uvádí následující:
a) k tomu, zda bylo porušeno pravidlo unijního práva přiznávající jednotlivcům právo
39. Námitka (1) spočívala mimo jiné v tvrzení, že se měl odvolací soud podrobněji zabývat „otázkou povahy čl. 15 odst. 1 směrnice 2002/58“. Podle dovolatelky je zejména otázkou, „zda čl. 15 odst. 1 směrnice 2002/58 skutečně obsahuje přiznání práv jednotlivcům, resp. zda údajné porušení povinnosti […] je způsobilé bránit žalobci ve výkonu práv, a tedy změnit právní postavení, které má být dotčeným ustanovením směrnice chráněno.“
40. Je tak nutné vyřešit, zda nesprávná implementace směrnice 2002/58 porušuje pravidla unijního práva přiznávající práva jednotlivcům.
41. Vycházeje z doktríny odpovědnosti státu za porušení unijního práva formulované Soudním dvorem, Nejvyšší soud opakovaně připomněl, že první z podmínek nástupu takové odpovědnosti, vůči jejímuž hodnocení směřuje dovolací argumentace žalované, stanovuje, že cílem porušeného právního předpisu musí být přiznání práv jednotlivcům: právo na náhradu škody jednotlivci tedy vzniká za situace, dopustí-li se členský stát porušení takové normy unijního práva, která ve prospěch tohoto jednotlivce zakládá dostatečně určitelné subjektivní právo nebo chrání jeho právní zájem (srovnej např. rozsudky Nejvyššího soudu ze dne 20. 8. 2012, sp. zn. 28 Cdo 2927/2010, bod 32; ze dne 12. 12. 2018, sp. zn. 30 Cdo 2584/2016, bod 36; nebo ze dne 27. 3. 2024, sp. zn. 30 Cdo 3909/2023, bod 32).
42. Soudní dvůr, resp. v tomto případě Tribunál [jakožto soud Soudního dvora EU příslušný v prvním stupni pro žaloby proti Evropské unii], ve své vlastní rozhodovací praxi upřesnil, že právní norma přiznává práva jednotlivcům, pokud „zakládá výhodu, již lze kvalifikovat jako nabyté právo, slouží k ochraně zájmů jednotlivců nebo přiznává ve prospěch jednotlivců práva, jejichž obsah může být dostatečně určen“ (srovnej např. rozsudky Tribunálu ze dne 23. 5. 2019, ve věci T-107/17, Steinhoff a další proti ECB, bod 140, a ze dne 9. 2. 2022, ve věci T-868/16, QI a další proti Komisi a ECB, bod 90). Na použitelnosti tohoto výkladového vodítka ničeho nezmění ani to, že výše uvedené závěry byly přijaty v kontextu mimosmluvní odpovědnosti Evropské unie, nikoliv členského státu, neboť podmínky, za nichž může státům vzniknout odpovědnost za škodu způsobenou jednotlivcům porušením práva Evropské unie, se bez konkrétního důvodu nemohou lišit od podmínek, kterými se za srovnatelných okolností řídí odpovědnost Unie samotné (srovnej rozsudek Nejvyššího soudu ze dne 27. 3. 2024, sp. zn. 30 Cdo 3909/2023, bod 32).
43. Soudní dvůr a Tribunál uvedené rozvíjejí tím, že uvádí, že za účelem zajištění užitečného účinku této podmínky je třeba, aby ochrana poskytovaná dovolávanou normou měla účinky vůči osobě, která se její náležité aplikace dovolává, a tato osoba tudíž náležela mezi osoby, kterým dotyčná norma přiznává práva. Za základ odškodnění tak nemůže být uznána norma, která nechrání jednotlivce dovolávajícího se protiprávnosti, nýbrž chrání jiného jednotlivce (srovnej např. rozsudky Tribunálu ze dne 23. 5. 2019 ve věci T-107/17, Steinhoff a další proti ECB, bod 77; nebo ze dne 12. 9. 2007 ve věci T-259/03, Nikolaou v. Komise, bod 44). Podmínka ochrany jednotlivce nebude splněna ani tam, kde předmětná úprava směřuje výhradně k zabezpečení obecných zájmů, bez toho, aby současně chránila také individuální zájmy (srovnej např. dovolatelkou citovaný rozsudek Soudního dvora ze dne 22. 12. 2022, ve věci C-61/21, Ministre de la Transition écologique; nebo rozsudek Soudního dvora ze dne 12. 10. 2004 ve věci C-222/02, Peter Paul). Judikatura Soudního dvora nakonec naznačuje, že nemajetková újma je odškodnitelná (jen) v tom rozsahu, ve kterém je pokryta cílem ochrany sledovaným danou normou (srovnej rozsudek Soudního dvora ze dne 14. 3. 2013 ve věci C-420/11, Leth, body 36 a 44 ve vzájemné kombinaci).
44. Tyto dvě podmínky, jakož i v předchozích odstavcích obsažený důraz na ochranu nejen dostatečně určitelného subjektivního práva, ale také (širšího) zájmu jednotlivců, vedou Nejvyšší soud k závěru, že přiznávání práva jednotlivcům ve smyslu mimosmluvní odpovědnosti státu za porušení unijního práva lze ve své podstatě připodobnit (vnitrostátnímu) institutu tzv. ochranného účelu normy. Podobnost (příp. inspirace) přiznávání práva jednotlivcům a ochranného účelu normy se také opakovaně objevuje v doktríně (srovnej např. Lenaerts, Koen; Maselis, Ignace; Gutham, Kathleen. EU Procedural Law, Oxford University Press, 2014, s. 515-517: 11.48; Prechal, Sacha. Protection of Rights: How Far?. In Prechal, Sacha; van Roermund, Bert (eds.). The Coherence of EU Law: The Search for Unity in Divergent Concepts. Oxford University Press, 2008, s. 164; Jans, J. H.; Lange, Roel de; Prechal, Sacha a Widdershoven, Rob. Europeanisation of public law. Europa Law Publishing, 2007, s. 342; z tuzemských potom viz Bobek, Bříza, Hubková. Vnitrostátní aplikace práva Evropské unie, 2. vydání. Praha: C. H. Beck, 2022, s. 385). Ochranný účel normy potom ve zkratce určuje, kterým poškozeným a na jakých jejich porušených právech má škůdce újmu nahradit (srovnej rozsudky Nejvyššího soudu ze dne 10. 11. 2021, sp. zn. 30 Cdo 883/2021, nebo ze dne 31. 1. 2022, sp. zn. 30 Cdo 3503/2020; srovnej přiměřeně také nález Ústavního soudu ze dne 15. 12. 2015, sp. zn. I. ÚS 1587/15, bod 31 a tam citovanou literaturu). Je tak třeba zkoumat, zda ochranný účel dovolatelkou porušené normy (norem) chrání jednotlivce v postavení žalobce před újmou vycházející z protiprávního uchovávání předmětných údajů.
45. V této souvislosti je třeba poznamenat, že povinnost porušená členským státem nemusí vždy nutně vycházet pouze z té konkrétní normy, u které je zkoumáno, zda přiznává práva jednotlivcům. Ačkoliv mohou nastat situace, kdy porušená povinnost státu „zrcadlově odpovídá“ právu jednotlivce, do kterého bylo zasaženo (srovnej např. směrnicí stanovený zákaz členským státům bránit uvádění na trh strojních zařízení v rozsudku Soudního dvora ze dne 17. 4. 2007 ve věci C-470/03, A.G.M.-COS.MET), mohou nastat i situace, kdy jde stricto sensu o rozdílné normy, které spolu nicméně souvisejí a kdy porušením jedné došlo ke „zmaření“ jiné. Tak tomu typicky bude při porušení unijního práva spočívajícího v neimplementaci, příp. nesprávné implementaci unijní směrnice. V takovém případě se bude z této směrnice vyplývající (porušené) právo jednotlivce, do kterého bylo zasaženo a které vychází z ustanovení směrnice samotné, lišit od porušené povinnosti členského státu, kterou představuje samotná povinnost řádné implementace.
46. V nynější věci tak nelze analýzu toho, zda byla porušena norma přiznávající práva jednotlivci, omezit toliko na dovolatelkou akcentovaný čl. 15 odst. 1 směrnice 2002/58. Tento článek totiž toliko upravuje rozsah a způsob přípustného omezení klíčových ustanovení této směrnice v návaznosti na sledování tam jmenovaných legitimních zájmů. Unijní normu, jejíž porušení vedlo ke vzniku nemajetkové újmy v nynější věci, z tohoto důvodu nelze nahlížet pouze skrze samotný čl. 15 odst. 1 směrnice 2002/58 odkazovaný dovolatelkou, ale je nutné se zaměřit především na čl. 5 a 6 této směrnice, jakož i na čl. 7 a 8 Listiny EU, zakotvující právo na soukromý život a ochranu osobních údajů, k jejichž omezení čl. 15 odst. 1 předmětné směrnice směřuje.
47. Podle čl. 15 odst. 1 směrnice 2002/58 členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6 […] této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, vhodné a přiměřené opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému […]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva Společenství […].
48. Podle čl. 5 odst. 1 směrnice 2002/58 členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1 směrnice 2002/58. Tento odstavec nebrání technickému uchovávání, které je nezbytné pro přenos sdělení, aniž by tím byla dotčena zásada důvěrnosti.
49. Podle čl. 6 odst. 1 směrnice 2002/58 provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1 směrnice 2002/58.
50. Podle čl. 6 odst. 2 směrnice 2002/58 je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.
51. Podle čl. 7 Listiny EU každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace.
52. Podle čl. 8 Listiny EU každý má právo na ochranu osobních údajů, které se ho týkají (odst. 1). Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem (odst. 2). Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu (odst. 3).
53. Před zodpovězením povahy zasažených ustanovení směrnice 2002/58 a Listiny EU Nejvyšší soud upozorňuje, že analýza ochranného rozsahu porušeného pravidla unijního práva se neomezuje toliko na gramatickou analýzu textového vyjádření posuzované normy. Tak jako při obecné náhradě škody v režimu zákona č. 89/2012 Sb., občanský zákoník, je i zde třeba zkoumat především smysl a účel konkrétní povinnosti (Melzer, Filip. in Melzer, F., Tégl, P. a kol. Občanský zákoník – velký komentář. Sv. IX. § 2894–3081. 1. vyd. Praha: Leges, 2018, § 2910, body 222 a 227). V tomto ohledu budou vzhledem k sekundární legislativě Evropské unie nápomocná zejména jejich tzv. odůvodnění, která tvoří (oproti tuzemským předpisům a jejich důvodovým zprávám) nedílnou část samotného textu konkrétního předpisu.
54. Současně při posuzování, zda konkrétní norma přiznává práva jednotlivcům, nelze vždy vycházet izolovaně pouze z předmětné normy samotné [jakkoliv to například v nynější věci plně postačuje], ale je třeba tuto normu hodnotit v souvislostech širšího normativního rámce, typicky s přihlédnutím k dalším ustanovením předmětného aktu sekundárního práva, příp. ji hodnotit v kontextu ustanovení primárního práva, které daný sekundární předpis konkretizuje. V tomto ohledu lze poukázat např. na rozsudek Soudního dvora ze dne 8. 10. 1996 ve spojených věcech C-178/94, C-179/94, C-188/94, C-189/94 a C-190/94, Dillenkofer, ve kterém Soudní dvůr dovodil, že povinnost organizátora zájezdu předložit dostatečné záruky pro zajištění vrácení vložených prostředků a pro návrat spotřebitele (pozn. Nejvyššího soudu: zde by však bylo přesnější hovořit o předložení důkazu takové záruky; slovenské, anglické a italské formulace používající dôkaz záruky, evidence of security, danno prove sufficienti jsou v tomto ohledu návodnější) v případě platební neschopnosti nebo úpadku stanovená čl. 7 směrnice Rady ze dne 13. 6. 1990, o souborných službách pro cesty, pobyty a zájezdy je normou zakládající práva jednotlivcům, a to přestože tato norma sama o sobě nekonstruuje žádný vztah mezi spotřebitelem a zárukou (srovnej body 40-42 citovaného rozsudku). Soudní dvůr totiž dovodil, že povinnost předložení dostatečných záruk souvisí se samotným systémem záruk, který k ochraně spotřebitele směřuje.
55. V případě pochybností, zda nárokovaná škoda (či nemajetková újma) spadá do ochranného rozsahu porušené normy (tj. tam, kde nelze postavit najisto, že norma směřuje k přiznání práv jednotlivcům, ale zároveň nelze postavit najisto ani to, že k takovému přiznání práv nesměřuje a sleduje např. výhradně cíl obecného zájmu), je potom třeba spíše uzavřít, že podmínka přiznávání práva jednotlivcům je splněna. To vyplývá zejména z toho, že oproti tuzemskému sytému deliktní odpovědnosti je v případě mimosmluvní odpovědnosti členského státu za porušení práva Evropské unie zdůrazněna preventivně-sankční funkce této odpovědnosti, jelikož povinnost členských států nahrazovat újmu způsobenou porušováním unijních norem byla vytvořena především jako prostředek pro zvýšení užitečného účinku unijního práva (k tomu srovnej Aalto, Pekka. Public Liability in EU Law. Brasserie, Bergaderm and Beyond. Hart Publishing, 2011, s. 65).
56. Přestože je však třeba naplnění této podmínky vykládat spíše vstřícně k nástupu odpovědnosti, je třeba upozornit, že tato výkladová maxima není bezbřehá. Soudní dvůr např. neshledal, že by práva jednotlivců zakládaly normy upravující notifikační povinnost vůči Komisi ve vztahu k technickým normám přijatým členskými státy nebo normy týkající se dohledu nad úvěrovými institucemi (k prvnímu viz rozsudek Soudního dvora ze dne 11. 7. 2015 ve věci C-98/14, Berlington Hungary a další, ke druhému viz rozsudek Soudního dvora ze dne 12. 10. 2004 ve věci C-222/02, Peter Paul). Ačkoliv tak platí, že v případě relevantních pochybností je třeba uzavřít spíše ve prospěch naplnění předmětné podmínky, takto přijatý závěr musí nicméně stále být argumentačně udržitelný.
57. V nynějším případě ovšem výše zmíněná pochybnost nenastává, neboť o závěru, že čl. 5 a 6 směrnice 2002/58, jakož i čl. 7 a 8 Listiny EU směřují k přiznání práv jednotlivcům, nemůže být jakéhokoliv smysluplného sporu. Oba články předmětné směrnice upravují režim pro nakládání s údaji uživatelů a výslovně zakotvují postavení těchto uživatelů, jakož i roli jejich souhlasu pro takové nakládání. Je tak zjevné, že tato úprava ve prospěch subjektů údajů zakládá dostatečně určitelné subjektivní právo.
58. Co se týče smyslu a účelu této úpravy, lze plně odkázat na bod 53 rozsudku Soudního dvora ze dne 6. 10. 2020 ve věci C-623/17, Privacy International, ve kterém Soudní dvůr uvedl, že účelem směrnice 2002/58, jak vyplývá zejména z bodů 6 a 7 jejího odůvodnění, je ochránit uživatele služeb elektronických komunikací před riziky, která pro jejich osobní údaje a soukromí vyplývají z nových technologií, a zejména zvyšující se kapacity automatického uchovávání a zpracování údajů. Cílem této směrnice je v této souvislosti konkrétně (jak se uvádí v bodě 2 jejího odůvodnění), zajistit „plné dodržování práv zakotvených v článcích 7 a 8 Listiny EU“. V tomto ohledu z důvodové zprávy k návrhu směrnice Evropského parlamentu a Rady o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací [COM (2000) 385 final], z něhož vychází směrnice 2002/58, vyplývá, že záměrem unijního normotvůrce bylo „zachovat i nadále vysokou úroveň ochrany osobních údajů a soukromí u všech služeb elektronických komunikací bez ohledu na použitou technologii“ (identicky srovnej také rozsudky Soudního dvora ze dne 6. 10. 2020 spojených věcech C-511/18, C-512/18 a C-520/18, La Quadrature du Net, dále „La Quadrature du Net“, bod 106; Commissioner of An Garda Síochána, bod 36). Cílem porušených ustanovení je potom zajišťovat důvěrnost sdělení a souvisejících údajů a minimalizovat riziko zneužití těchto údajů (Tele2 Sverige, bod 87). Z výše uvedeného, zejména z důrazu na dodržování základních práv podle čl. 7 a 8 Listiny EU, tak zjevně vyplývá, že smyslem porušených ustanovení bylo chránit konkrétně jednotlivce, nikoliv pouze veřejný zájem. I pokud by tak tato ustanovení byla formulována méně jednoznačně, bylo by i přesto nutné dojít ke stejnému závěru jako v předchozím bodě tohoto rozhodnutí, totiž že tato ustanovení směřují k přiznávání práv jednotlivcům.
59. Nakonec lze také poznamenat, že Soud první instance (nyní Tribunál Soudního dvora Evropské unie, k přejmenování Soudu první instance na Tribunál došlo s účinností Lisabonské smlouvy; poznámka Nejvyššího soudu) se již v minulosti k obdobné otázce měl v kontextu ochrany osobních údajů příležitost vyjádřit, ačkoliv tak učinil v mírně odlišném zasazení. Ve svém rozsudku ze dne 12. 9. 2007 ve věci T-259/03, Nikolaou proti Komisi, Soud první instance rozhodoval o mimosmluvní odpovědnosti EU, která vznikla neoprávněným poskytnutím osobních údajů během vyšetřování Evropského úřadu pro boj proti podvodům (OLAF) třetím osobám v rozporu s pravidly tehdy účinných nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. 12. 2000, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů a nařízení Evropského parlamentu a Rady (ES) č. 1073/1999 ze dne 25. 5. 1999 o vyšetřování prováděném Evropským úřadem pro boj proti podvodům. Soud první instance zde uvedl, že jelikož cílem norem obsažených v citovaném nařízení je chránit tyto osoby před případným protiprávním zpracováním údajů, které se jich týkají, a jelikož v daném případě byly informace, které byly předmětem úniku, osobními údaji týkajícími se poškozené a ta tedy spadala do kategorie osob, kterým příslušná ustanovení nařízení přiznávají práva, jedná se o porušení pravidel přiznávajících práva jednotlivci (srovnej body 209-211 citovaného rozsudku). Pro obsahově podobný případ v prakticky identickém zasazení potom dále srovnej např. rozsudek Tribunálu ze dne 3. 12. 2015 ve věci T-343/13, CN proti Parlamentu, bod 47. Závěry vyslovené v těchto rozsudcích je samozřejmě možno přiměřeně vztáhnout i na nynější věc žalobce a při jejím zasazení do rámce směrnice 2002/58.
60. Lze tak ze strany Nejvyššího soudu mimo jakoukoliv pochybnost uzavřít, že nesprávnou implementací směrnice 2002/58 byla porušena ustanovení unijního práva, která přiznávají práva jednotlivcům. V kombinaci se závěry odvolacího soudu, že toto porušení bylo dostatečně závažné a že mezi vzniklou újmou a tímto porušením existuje příčinná souvislost, které se nepodařilo dovolatelce podaným dovoláním kvalifikovaně zpochybnit, je tak možno potvrdit naplnění všech tří podmínek pro nástup mimosmluvní odpovědnosti žalované České republiky vycházející z porušení unijního práva.
b) k námitce, že tuzemská úprava není plošná a nerozlišující
61. Námitkou výše uvedenou jako (5) dovolatelka argumentuje, že jelikož „plošnost uchovávání údajů v rámci České republiky je pouze zdánlivá, když tato povinnost [uchovávání údajů, pozn. Nejvyššího soudu] dopadá pouze na vymezené fyzické nebo právnické osoby […], tj. pouze na určitý segment podnikatelů, a zároveň nejsou uchovávána všechna data v telekomunikačním provozu vznikající“, nelze tuto úpravu považovat za plošnou a nerozlišující ve smyslu rozhodovací praxe Soudního dvora.
62. S ohledem na uvedenou námitku považoval Nejvyšší soud za nutné se zabývat obsahem dovolatelkou akcentovaného kritéria „plošnosti a nerozlišování“.
63. Rozsudkem Soudního dvora ze dne 8. 4. 2014 ve spojených věcech C-293/12 a C-594/12, Digital Rights Ireland (dále „Digital Rights Ireland“), byla zrušena Směrnice Evropského parlamentu a Rady 2006/24/ES, ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES (dále jen „Směrnice 2006/24“), která do režimu směrnice 2002/58 zavedla povinnost plošného a nerozlišujícího uchovávání údajů (ze zrušené směrnice 2006/24 potom dosud materiálně vychází i žalobcem kritizovaný zákon o elektronických komunikacích). Svou analýzu této směrnice Soudní dvůr rozdělil do tří oblastí: obecný režim uchovávání dat podle této směrnice (body 57-59 citovaného rozhodnutí); režim přístupu k uchovávaným datům (body 60-62 citovaného rozhodnutí); a délku tohoto uchovávání (body 63-64 citovaného rozhodnutí).
64. V rámci první zmiňované oblasti Soudní dvůr popsal dvě vlastnosti takového režimu, které (ačkoliv je zde Soudní dvůr takto explicitně nepojmenoval) podle Nejvyššího soudu odpovídají kritériu plošného a nerozlišujícího uchovávání údajů. Za prvé Soudní dvůr poznamenal, že uchovávání (v režimu posléze pro rozpor s právem EU zrušené směrnice 2006/24) „se týká globálně všech osob, které využívají služeb elektronických komunikací, aniž se však osoby, jejichž údaje jsou uchovávány, nachází byť nepřímo v situaci, která může vést k trestnímu stíhání. Vztahuje se tedy i na osoby, v jejichž případě neexistuje žádný důvod se domnívat, že by jejich chování mohlo, byť nepřímo nebo vzdáleně, souviset se závažnou trestnou činností“ (bod 58 citovaného rozhodnutí). Za druhé potom tento režim „nevyžaduje žádnou souvislost mezi údaji, jejichž uchovávání je stanoveno, a ohrožením veřejné bezpečnosti a zejména se neomezuje na uchovávání údajů vztahujících se buď k určitému časovému období či určité zeměpisné oblasti či okruhu určitých osob, které mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k předcházení, odhalování nebo stíhání závažných trestných činů“ (bod 59 citovaného rozhodnutí).
65. Z daného tak vyplývá, že o plošné a nerozlišující uchovávání se jedná tehdy, pokud toto uchovávání naplňuje dvě vlastnosti. Jednak zahrnuje údaje blíže nevymezeného okruhu uživatelů, což ve svém důsledku vede k tomu, že jsou uchovávány údaje prakticky všech uživatelů služeb elektronických komunikací. Za druhé je potom samotná povinnost uchovávání údajů konstruována jako obecné pravidlo, jehož nastoupení a rozsah je neodvislý od konkrétní situace či od naplnění dalších předem stanovených podmínek.
66. Ke kritériu „nerozlišování“ lze uvést, že toto je naplněno všude tam, kde se předmětná úprava vztahuje na elektronické komunikace téměř veškerého obyvatelstva bez jakéhokoli rozlišování, omezení či výjimky v závislosti na sledovaném cíli (k tomu srovnej La Quadrature du Net, bod 143; nebo Commissioner of An Garda Síochána, bod 66). Soudní dvůr v tomto směru vyslovil, že za cílené uchovávání údajů nelze považovat takové uchovávání, které mimo jiné stanoví bezdůvodné, plošné a osobně, časově a místně nerozlišující uchovávání [v anglické jazykové verzi: „general retention, without a reason, and without any distinction in terms of personal, temporal or geographical factors“, pozn. Nejvyššího soudu] uchovávání podstatné části provozních a lokalizačních údajů“ (rozsudek Soudního dvora ze dne 20. 9. 2022 ve spojených věcech C-793/19 a C-794/19, SpaceNet, dále „SpaceNet“, bod 83; obsahově shodně srovnej také Digital Rights Ireland, bod 59 citovaný výše). Případné rozlišování tak může mít podobu omezení okruhu osob, jejichž údaje jsou uchovávány, omezení sběru a uchovávání údajů, příp. subjektů, na konkrétní oblast či stanovení konkrétního časového úseku, do kterého uchovávané údaje spadají. Zjednodušeně řečeno, uchovávání dat je nerozlišující tehdy, pokud dochází k uchovávání údajů prakticky všech uživatelů a prakticky vždy.
67. Druhé kritérium, tj. plošnost uchovávání dat, potom ztělesňuje základní vlastnost data retention, kdy jsou předmětné údaje ukládány a uchovávány preventivně a bez vazby na předem určený účel s tím, že v budoucnu se může, byť jen nepatrná část těchto údajů ukázat jako nezbytná pro naplňování cílů obecného zájmu, které v době prvotního uložení těchto údajů ještě nebyly známé. Toto zdánlivě bezdůvodné uchovávání co nejširšího okruhu údajů pro případné pozdější užití části z nich, popsané trefně jako „gather in bulk, access in detail“ (Bernal, Paul. Data gathering, surveillance and human rights: recasting the debate. Journal of Cyber Policy, vol. 1, no. 2, 2016, s. 246), potom představuje „preventivní opatření, které umožňuje analyzovat budoucí hrozby a umožňuje oprávněným orgánům bojovat proti nejzávažnějším trestným činům, včetně terorismu“ (Rojszczak, Marcin. The uncertain future of data retention laws in the EU: Is a legislative reset possible? Computer Law & Security Review, vol. 41, 2021, s. 3). Tuto podmínku je tak třeba chápat jako plošnou povinnost předmětné údaje uchovávat, a to bez bezprostřední vazby na jejich konkrétní pozdější využití. Ostatně, chápání plošnosti jako kritéria určujícího vlastnost povinnosti uchovávání jako takové, a nikoliv vyjádření rozsahu uchovávaného souboru vzorků (jak nesprávně implikuje dovolatelka), naznačují také další jazykové verze rozsudků Soudního dvora používající pro plošné termín general v anglické, généralisée ve francouzské, generalizzata v italské, Allgemeine v německé, nebo všeobecné ve slovenské jazykové verzi. V tomto ohledu by snad bylo přiléhavější namísto plošného uchovávání hovořit o obecné, tj. nepodmíněné, povinnosti uchovávat.
68. Výše uvedené potom znamená, že kritérium plošného a nerozlišujícího uchovávání se tak netýká – jak mylně argumentuje dovolatelka – ani rozsahu uchovávaných údajů [ačkoliv tento rozsah není bez relevance, k tomu srovnej oddíl IV. c) tohoto rozhodnutí], ani subjektů povinných tyto údaje uchovávat, ale především subjektů, jejichž údaje jsou uchovávány, a vazby tohoto uchovávání na konkrétní účel.
69. Podle § 97 odst. 3 zákona o elektronických komunikacích, právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. Provozní a lokalizační údaje týkající se neúspěšných pokusů o volání je právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinna uchovávat pouze tehdy, jsou-li tyto údaje vytvářeny nebo zpracovávány a zároveň uchovávány nebo zaznamenávány. Současně je tato právnická nebo fyzická osoba povinna zajistit, aby při plnění povinnosti podle věty první a druhé nebyl uchováván obsah zpráv a takto uchovávaný dále předáván.
70. V návaznosti na východiska naznačená výše, je nutné poznamenat, že tuzemská právní úprava žádná rozlišovací kritéria co do vymezení subjektů, jejichž údaje budou uchovávány, do místního a časového omezení sběru a uchovávání údajů či co do situací, kdy (až) povinnost uchovávání těchto údajů nastupuje, nekonstruuje. V tomto ohledu je bez relevance také vyhláška č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů (dále „vyhláška č. 357/2012 Sb.“), jelikož ta upravuje toliko rozsah uchovávaných údajů a způsob přístupu k nim, nikoliv však samotný režim uchovávání.
71. Ostatně ani dovolatelka nenabízí v tomto směru žádnou přiléhavou a přesvědčivou argumentaci, kterou by závěry odvolacího soudu jakkoliv zpochybnila, a v této souvislosti pouze zůstává u velmi vágní a toliko obecné proklamace, že „v telekomunikačním provozu vzniká podstatně více metadat, která by samozřejmě přispěla k odhalování trestné činnosti a zajištění národní bezpečnosti, nicméně v rámci vyhlášky [jde o vyhlášku č. 357/2012 Sb., pozn. Nejvyššího soudu] jsou určeny pouze ty /správně „ta“/ nejdůležitější“ a že „velký segment podnikatelů, kteří spadají do režimu zákona o službách informační společnosti data vůbec ze zákona uchovávat nemusí“. Tato argumentace se z důvodů uvedených výše míjí s obsahem právě vyložených kritérií.
72. Je tak nutno uzavřít, že stávající tuzemská právní úprava uchovávání provozních a lokalizačních dat musí být klasifikována jako plošná a nerozlišující.
c) k otázce rozsahu zákazu uchovávání údajů
73. Nakonec je nutné se u dané otázky zaměřit na argument obsažený v námitkách (4) a (9), jehož obsahem je tvrzený posun v rozhodovací činnosti Soudního dvora co do rozsahu přípustného plošného a nerozlišujícího sběru a uchovávání údajů. Dovolatelka má za to, že z rozhodovací praxe Soudního dvora vyplývá, že minimálně uchovávání IP adres je přípustné. Podle dovolatelky měl tak odvolací soud jednoznačně určit, které z uchovávaných údajů tuzemská právní úprava požaduje uchovávat protiprávně a uchovávání kterých lze naopak s ohledem uvedené závěry tolerovat. Mimo právního posouzení se potom podle dovolatelky toto rozlišení mělo případně projevit i ve formulaci omluvy.
74. Tato otázka se tak ve své podstatě týká přípustného rozsahu uchovávaných údajů.
75. Předně je nutné poznamenat, že konkrétní rozsah uchovávaných údajů může mít vliv na protiprávnost jejich plošného a nerozlišujícího uchovávání. Soudní dvůr již určil, že legislativní opatření týkající se zpracování (zejména uchovávání a přístupu) údajů o totožnosti uživatelů prostředků elektronické komunikace [tj. „údaje, které neumožňují zjistit datum, čas, dobu trvání ani adresáta uskutečněné komunikace ani místa, kde se tato komunikace uskutečnila, či její četnost s určitými osobami v určitém období“; srovnej La Quadrature du Net, bod 157; jde tedy např. o IP adresy], a to pouze za účelem identifikace dotčeného uživatele, mohou být odůvodněna, nemohou-li být uvedené údaje spojeny s informacemi o uskutečněných komunikacích (srovnej rozsudek Soudního dvora ze dne 2. 3. 2021 ve věci C-746/18, Prokuratuur, bod 34).
76. Zároveň je pravdou, že lze pozorovat jistý posun v rozhodovací praxi Soudního dvora vzhledem k intenzitě zásahu představovaného uchováváním IP adres, kdy oproti předchozím rozhodnutím již uchovávání těchto údajů podle Soudního dvora nutně nepředstavuje závažný zásah (srovnej La Quadrature du Net, bod 153, proti La Quadrature du Net II, bod 79).
77. Platí tak závěr vyslovený již v dřívějších rozhodnutích Soudního dvora, že je v zásadě přípustné plošné a nerozlišující uchovávání IP adres přidělených zdroji připojení, a to po nezbytně nutnou dobu, jakož i plošné a nerozlišující uchovávání údajů o totožnosti uživatelů prostředků elektronické komunikace (srovnej La Quadrature du Net, bod 168; Commissioner of An Garda Síochána, bod 67; a SpaceNet, bod 75).
78. Argumentace dovolatelky prostupující dovoláním se potom v tomto smyslu dá shrnout tak, že jelikož je přípustné uchovávat některé kategorie údajů, představuje uchovávání širšího okruhu údajů méně intenzivní porušení unijního práva, jelikož protiprávnost takového uchovávání je z logiky věci užší, než kdyby bylo kategoricky nepřípustné uchovávání jakéhokoliv typu údajů v jakémkoliv rozsahu. Toto její přesvědčení se však zcela míjí s podstatou věci.
79. Ke zrušení obecné povinnosti nerozlišujícího uchovávání údajů rozsudkem Digital Rights Ireland vedl závěr Soudního dvora, že tato povinnost představuje velmi rozsáhlý a zvlášť závažný zásah do základních práv v unijním právním řádu, konkrétně práva na ochranu soukromého života podle čl. 7 Listiny EU a práva na ochranu osobních údajů podle čl. 8 Listiny EU, a to aniž by takový zásah byl přesně vymezen ustanoveními umožňujícími zaručit, že je skutečně omezen na nezbytné minimum (Digital Rights Ireland, bod 65). Klíčovou pro závěr o protiprávnosti jejich obecného uchovávání provozních a lokalizačních údajů, byla totiž skutečnost, že z těchto údajů jako celku je možné vyvodit velmi přesné závěry o soukromém životě osob, jejichž údaje byly uchovány, tedy o každodenních zvyklostech, o místech, kde trvale či přechodně pobývají, o denních či jiných přesunech, o jejich aktivitách, společenských vztazích těchto osob a o společenských kruzích, s kterými se stýkají (Digital Rights Ireland, bod 27). Z toho potom vyplývá, že z těchto údajů lze také získat informace o celé řadě aspektů soukromého života subjektů údajů včetně citlivých informací, jako jsou sexuální orientace, politické názory, náboženské, filozofické, sociálněprávní nebo jiné přesvědčení, jakož i zdravotní stav, jak Soudní dvůr zdůraznil prakticky ve všech navazujících rozsudcích týkajících se data retention (srovnej např. Tele2 Sverige, body 98-99, La Quadrature du Net, bod 117; nebo Commissioner of An Garda Síochána, bod 45; k témuž srovnej také nález Ústavního soudu ze dne 14. 5. 2019, sp. zn. I. ÚS 45/17, body 47-50).
80. Z toho vyplývá, že na uchovávání údajů nelze primárně nahlížet optikou dovolání, podle které každý jednotlivý uchovávaný údaj představuje sám o sobě oddělitelnou a samostatně hodnotitelnou část celkového protiprávního zásahu. Závěr o intenzitě zásahu do práva na soukromý život (a mutatis mutandis i práva na ochranu osobních údajů) se totiž nemůže odvíjet od kvantitativní úvahy ohledně toho, „kolik“ či „jak široký vzorek“ provozních a lokalizačních údajů byl protiprávně uchováván, ale právě od toho, zda (příp. v jakém rozsahu) jsou uchovávané údaje způsobilé v jejich celku vést k vytvoření konkrétních závěrů o soukromém životě osoby. I pokud by tak byla pouze část provozních a lokalizačních údajů zpracovávána protiprávně, ale zároveň by to byly tyto údaje, které by v kombinaci s (jinými) přípustně uchovávanými údaji [tedy např. IP adresami] byly způsobilé odhalit informace o soukromém životě dané konkrétní osoby, vedlo by i toto zdánlivě omezené protiprávní uchovávání ke stejně intenzivnímu zásahu do práv subjektů údajů jako v případě, kdy přípustně nebyly zpracovávány žádné údaje. Ostatně, toto pojetí zásahu do základních práv prostupuje i dovolatelkou odkazované rozhodnutí La Quadrature du Net II, které vychází z toho, že uchovávané IP adresy samy o sobě ještě neumožňují vyvozovat přesné závěry o soukromém životě osob (k tomu srovnej jeho body 75-91).
81. Jinými slovy řečeno, nejenže přípustnost plošného a nerozlišujícího uchovávání IP adres a údajů o totožnosti uživatelů nevede ke snížené intenzitě zásahu uchováváním „zbylých“ údajů, samotná přípustnost uchovávání tohoto omezeného rozsahu údajů je naopak podmíněna tím, že „zbylé“ údaje takto uchovávány nejsou.
82. V poměrech nynější věci však výše uvedené znamená, že námitka předložená dovolatelkou je pro výsledné právní hodnocení nerozhodná, protože jak vyplývá z vyhlášky č. 357/2017 Sb., povinnost uchovávání údajů se vztahuje na širší okruh údajů, než jen údaje odpovídající těm uvedeným v bodě 75 tohoto rozsudku. V tomto Nejvyšší soud odkazuje na závěr odvolacího soudu obsažený v bodě 19 napadeného rozhodnutí, podle kterého rozsah ukládaných údajů zahrnuje takové údaje jako „konkretizace volajícího i volaného prostřednictvím jeho čísla, délka komunikace, čas komunikace, informace směřující k lokalizaci účastníků, informace ohledně zpráv SMS či MMS, informace ohledně připojení k internetu, ke schránce elektronické pošty, atd.“ Závěru odvolacího soudu, že „vnitrostátní úprava umožňuje činit závěry o soukromém životě“ (srovnej bod 20 napadeného rozhodnutí), nelze v tomto smyslu ničeho vytknout.
83. Nejvyšší soud tak uzavírá, že pokud se dovolatelce nepodařilo kvalifikovaně zpochybnit závěr odvolacího soudu, že uchovávané údaje v jejich celku umožňují vytvářet závěry o soukromém životě osob, je nutné – v kombinaci s úvahami předestřenými výše – tuzemskou úpravu uchovávání provozních a lokalizačních údajů považovat za rozpornou s požadavky práva Evropské unie.
84. Nepodařilo-li se jí ovšem kvalifikovaně zpochybnit ani navazující závěry o tom, že porušená právní úprava přiznává právo jednotlivcům, že dané porušení bylo vzhledem k dlouhodobému rozporu se závěry Soudního dvora dostatečně závažné, jakož ani závěr o příčinné souvislosti, je nutné přisvědčit správnému závěru napadeného rozhodnutí o nástupu mimosmluvní odpovědnosti České republiky.
85. Lze proto uzavřít, že tuzemská právní úprava uchovávání provozních a lokalizačních údajů obsažená v § 97 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, je rozporná s požadavky práva Evropské unie, jelikož směřuje k preventivnímu uchovávání údajů prakticky všech uživatelů služeb elektronických komunikací prakticky vždy, a to v takovém rozsahu údajů, ze kterého je možné vyvodit konkrétní závěry o soukromém životě osob.
86. Nejvyšší soud, vědom si své povinnosti podle čl. 267 Smlouvy o fungování Evropské unie obrátit se na Soudní dvůr v případě, že v řízení před ním vyvstane otázka výkladu aktů přijatých orgány EU, zkoumal, zda taková povinnost vznikla i v projednávané věci. S ohledem na skutečnost, že výše uvedené závěry byly učiněny na základě shora citované, velmi pregnantní a navzájem provázané dlouhodobé judikatury Soudního dvora, představuje výklad čl. 15 směrnice 2002/58 podaný výše tzv. acte éclairé ve smyslu rozsudku Soudního dvora ze dne 6. 10. 1982 ve věci 283/81, CILFIT. Posouzení, zda čl. 5 a 6 citované směrnice, jakož i čl. 7 a 8 Listiny EU, zakládají práva jednotlivcům, je potom podle Nejvyššího soudu tak zřejmé, že tato otázka neponechává prostor pro žádnou rozumnou pochybnost o způsobu jejího vyřešení (tzv. acte clair). Nejvyšší soud tak v nynější věci neshledal ani povinnost, ani vhodnost zahájení řízení o předběžné otázce.
87. Za situace, kdy bylo dovolání žalované shledáno přípustným, se Nejvyšší soud ve smyslu § 242 odst. 3 věty druhé o. s. ř. zabýval i tím, zda ve věci existují zmatečnostní vady uvedené v § 229 odst. 1, § 229 odst. 2 písm. a) a b) a § 229 odst. 3 o. s. ř., případně jiné vady řízení, které mohly mít za následek nesprávné rozhodnutí ve věci. Existenci takových vad však dovolatelka netvrdila a takové vady se nepodávají ani z obsahu soudního spisu.
88. Nejvyšší soud z výše uvedených důvodů dovolání podle ustanovení § 243d odst. 1 písm. a) o. s. ř. zamítl, jelikož v hranicích otázek předestřených přípustně dovolatelkou se jí nepodařilo zpochybnit správnost právního posouzení učiněného ze strany odvolacího soudu.
89. Nejvyšší soud jako obiter dictum upozorňuje, že si je vědom praktické užitečnosti plošného a nerozlišujícího uchovávání údajů v podobě, v jaké jej tuzemská právní úprava v nynější chvíli obsahuje (pro hodnotovou polemiku s kritickým přístupem Soudního dvora srovnej např. Serdula, Ondřej. Plošné uchovávání komunikačních metadat ve světle rozsudku La Quadrature du Net. Jurisprudence 3/21, 2021). Nejvyšší soud rovněž sleduje probíhající rekodifikační snahy na unijní úrovni, které směřují k novelizaci stávajících předpisů sekundárního práva a k překonání nejasností a některých rozporů ve stávajícím mechanismu uchovávání údajů. Nelze vyloučit, že ve střednědobém časovém horizontu povedou nejspíše ony snahy ke změně v podobě zmírnění nyní poměrně striktních požadavků unijního práva týkajících se uchovávání provozních a lokalizačních údajů. To však Nejvyšší soud ani v nejmenším nezbavuje povinnosti poskytovat účinnou ochranu již nabytým právům osob podle aktuálně účinné právní úpravy (tedy de lege lata), včetně práv založených právem Evropské unie. Řečeno jinak: úvahy de lege ferenda nemohou mít na posouzení práv a povinností účastníků tohoto řízení právně relevantní vliv.
