Usnesení Nejvyššího soudu ze dne 25. 6. 2024, sp. zn. 8 Tdo 450/2024, ECLI:CZ:NS:2024:8.TDO.450.2024.1

Nejvyšší soud k dovolání nejvyššího státního zástupce podanému v neprospěch obviněného P. K. zrušil usnesení Krajského soudu v Praze ze dne 14. 2. 2024, sp. zn. 9 To 14/2024, rozsudek Okresního soudu v Příbrami ze dne 7. 11. 2023, sp. zn. 22 T 75/2023, a také další rozhodnutí na zrušená rozhodnutí obsahově navazující, pokud vzhledem ke změně, k níž došlo zrušením, pozbyla podkladu, a Okresnímu soudu v Příbrami přikázal, aby věc v potřebném rozsahu znovu projednal a rozhodl.

I.
Dosavadní průběh řízení

1. Rozsudkem Okresního soudu v Příbrami ze dne 7. 11. 2023, sp. zn. 22 T 75/2023, byl obviněný P. K. (dále též jen „obviněný“) podle § 226 písm. b) tr. ř. zproštěn obžaloby státního zástupce Okresního státního zastupitelství v Příbrami ze dne 23. 5. 2023, č. j. 1 ZT 83/2022-26, pro skutek spočívající v tom, že

v neupřesněné době nejméně ode dne 20. 4. 2020 do dne 15. 2. 2021, v nezjištěném místě, v úmyslu neoprávněně získat přístup do integrovaného systému plnění ohlašovacích povinností („ISPOP“), vyhotovil registrační formulář pro registraci do ISPOP dle § 4 odst. 6 zákona č. 25/2008 Sb., o integrovaném registru znečišťování životního prostředí, integrovaném systému plnění ohlašovacích povinností v oblasti životního prostředí a o změně některých zákonů, a to k subjektu pod identifikačním číslem XY, kterým je společnost S. C., s. r. o., ačkoli si byl vědom toho, že nemá oprávnění jménem společnosti S. C., s. r. o., jednat a ani se jménem této společnosti registrovat jako správce v počítačovém systému ISPOP, kdy tento vyplněný registrační formulář dodal dne 20. 4. 2020 prostřednictvím datové schránky ISDS: XY se svým ověřeným elektronickým podpisem provozovateli tohoto systému, příspěvkové organizaci CENIA, České informační agentuře životního prostředí, tedy oprávnění vytvořit svou registraci k subjektu S. C., s. r. o., ve vztahu k provozovateli počítačového systému ISPOP předstíral, a překonal tak bezpečnostní opatření počítačového systému spočívající v nutnosti registrace, čímž si zjednal neoprávněný přístup do počítačového systému ISPOP obsahujícího neveřejné informace týkající se ohlašovacích povinností v oblasti životního prostředí společnosti S. C., s. r. o., které jsou využitelné mimo jiné v obchodním styku,

v němž bylo spatřováno spáchání přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku, neboť v žalobním návrhu označený skutek není trestným činem.

2. Proti označenému rozsudku soudu prvního stupně podal státní zástupce Okresního státního zastupitelství v Příbrami v neprospěch obviněného odvolání zaměřené proti výroku o jeho zproštění obžaloby. Krajský soud v Praze usnesením ze dne 14. 2. 2024, sp. zn. 9 To 14/2024, podle § 256 tr. ř. odvolání státního zástupce zamítl.

II.
Dovolání a vyjádření k němu

3. Proti usnesení Krajského soudu v Praze ze dne 14. 2. 2024, sp. zn. 9 To 14/2024, podal nejvyšší státní zástupce v neprospěch obviněného dovolání, v němž odkázal na dovolací důvody uvedené v § 265b odst. 1 písm. m), h) tr. ř. Namítl, že napadeným usnesením bylo rozhodnuto o zamítnutí řádného opravného prostředku proti rozsudku uvedenému v § 265a odst. 2 písm. b) tr. ř., přestože v řízení mu předcházejícím rozsudek soudu prvního stupně spočíval na nesprávném právním posouzení skutku.

4. Nejvyšší státní zástupce se neztotožnil s právními názory vyjádřenými soudy v označených rozhodnutích. Měl za to, že rozhodné skutkové okolnosti svědčí o tom, že obviněný naplnil žalovaným skutkem zákonné znaky přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku, přičemž nelze ani konstatovat, že by jeho čin nebyl postižitelný prostředky trestního práva. Po připomenutí zákonného znění skutkové podstaty předmětného přečinu a výkladu jeho jednotlivých znaků, jak je činí komentářová literatura, poukázal také na Úmluvu o počítačové kriminalitě, vyhlášenou pod č. 104/2013 Sb. m. s., a směrnici Evropského parlamentu a Rady 2013/40/EU ze dne 12. 8. 2013 o útocích na informační systémy a nahrazení rámcového rozhodnutí Rady 2005/222/SVV, v nichž je užíván pojem „porušení bezpečnostního opatření“, za které lze podle dovolatele považovat i posuzované jednání obviněného, které spočívalo v obejití pravidel vstupu do ISPOP.

5. Zdůraznil, že z hlediska rozhodných skutkových zjištění nevznikly pochybnosti o tom, že obviněný získal přístup k počítačovému systému neoprávněně, když v rámci registrace do počítačového systému ISPOP zadal při identifikaci své osoby záměrně nepravdivé údaje, čímž došlo ke stažení údaje ze základního registru, který se týkal obchodní společnosti S. C., s. r. o., k níž však obviněný neměl žádný právní vztah. Současně byla automaticky založena vazba mezi dotčeným subjektem a uživatelem (tj. obviněným), přičemž na základě této vazby byly tomuto uživateli zaslány do e-mailové schránky přihlašovací údaje do systému ISPOP. Je tedy zjevné, že pokud by obviněný takové nepravdivé údaje vědomě nezadal, přístup do ISPOP by mu nebyl umožněn. Doplnil, že ve smyslu § 4 odst. 6 zákona č. 25/2008 Sb., o integrovaném registru znečišťování životního prostředí a integrovaném systému plnění ohlašovacích povinností v oblasti životního prostředí a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon č. 25/2008 Sb.“), je podmínkou pro využití integrovaného systému plnění ohlašovacích povinností v oblasti životního prostředí předchozí registrace v tomto integrovaném systému. Podle § 4 odst. 9 citovaného zákona zpracovává tento integrovaný systém osobní údaje. Při vstupu do systému musel tedy obviněný vyvinout alespoň minimální úsilí k tomu, aby překonal překážku v podobě předem nastaveného algoritmu pro přístup do předmětného systému, který byl limitovaný identitou osoby a jejím propojením s povinným subjektem plnícím ohlašovací povinnost podle zákona č. 25/2008 Sb., přičemž takové lstivé jednání je již možné považovat za překonání bezpečnostního opatření, protože bez zadání požadovaných údajů povinného subjektu by nebylo možné vstoupit do systému ISPOP.

6. Dovolatel poznamenal, že předmětný počítačový systém sice nebyl zajištěn takovým bezpečnostním opatřením, které by vyžadovalo prvotní zadání nějakých jedinečných údajů (např. hesla), avšak správce tohoto systému ho opatřil takovými funkcionalitami, které omezovaly přístup veřejnosti (resp. neregistrované osoby) k neveřejným datům. S těmito daty se mohly seznámit pouze registrované osoby poté, co jednak zadaly do registračního formuláře veřejně dostupný údaj vztahující se k dotčené osobě, jednak po spárování tohoto údaje obdržely přihlašovací údaje ke vstupu do počítačového systému. Nelze tedy konstatovat, že by předmětný počítačový systém ISPOP bylo možné používat zcela libovolně a bez nutnosti použití zmíněných funkcionalit. Ani výjimečně nízká úroveň bezpečnostního opatření či dokonce chyba v zabezpečení tohoto počítačového systému, které obviněný využil k přístupu, proto nevylučuje závěr o jeho trestní odpovědnosti za žalovaný přečin. Zdůraznil, že z hlediska naplnění zákonných znaků označeného přečinu podle § 230 odst. 1 tr. zákoníku není podstatné ani to, zda obviněný s daty uloženými v počítačovém systému, do kterého neoprávněně vstoupil, nějak manipuloval.

7. Jde-li o existenci úmyslného zavinění, nejvyšší státní zástupce konstatoval, že obviněný zcela vědomě a záměrně použil k registraci údaj, který se vztahoval k osobě, ke které nebyl v žádném právním vztahu. Obviněný měl nepochybně alespoň základní představu, k jakému účelu měl být počítačový systém ISPOP využíván a že k některým údajům v něm obsaženým nemohl mít bez vztahu k registrované osobě přístup. Věděl proto, že vstup do zmiňovaného počítačového systému si získal neoprávněně za použití takových údajů zanesených do registračního formuláře, které v uvedených souvislostech nemohl použít, protože k jejich zadání byl pro tento účel oprávněn jiný subjekt. Současně si obviněný byl vědom, že lstivým jednáním překonal předem nastavené podmínky, za kterých bylo možné využívat předmětný počítačový systém. Naplnění subjektivní stránky tak vyplývá nejen z charakteru a způsobu jednání obviněného popsaného ve skutkové větě v návrhové části obžaloby, ale i z ostatních rozhodných okolností, zejména pak ze záměru obviněného a z neodvratnosti následku v podobě porušení zájmu na ochraně důvěrnosti počítačových dat a neveřejné části počítačového systému ISPOP.

8. Podle dovolatele je odůvodněn i závěr o dostatečné míře společenské škodlivosti spáchaného činu. V dané věci není možno spatřovat žádné mimořádné okolnosti případu, pro které by neměla být trestní odpovědnost obviněného uplatněna. Naopak jednání obviněného je pro daný typ trestné činnosti obvyklé v tom směru, že neoprávněně získal přístup k počítačovému systému, který nebyl určen k volnému využití všem osobám. V předkládané věci je pro posouzení společenské škodlivosti činu významné, že obviněný přistoupil do počítačového systému ISPOP po lstivém získání přihlašovacích údajů opakovaně v období od 21. 4. 2020 do 10. 1. 2021 a v rámci podnikání obchodní společnosti K., s. r. o., v oboru činnosti nakládání s odpady, což je činnost, kterou se zabývá i obchodní společnost S. C., s. r. o., jejíž výstupy byly předmětem hlášení v počítačovém systému ISPOP. Zdůraznil, že tedy nešlo o nějaké nahodilé jednání s cílem ověřit možnosti přístupu třetích osob do předmětného systému bez provedení kontroly jejich vazby k povinným subjektům plnícím ohlašovací povinnost, jak v dosavadním trestním řízení uváděl obviněný.

9. Uzavřel, že jednání obviněného naplnilo všechny znaky označeného přečinu a současně šlo o čin dostatečně společensky škodlivý, za který je třeba vůči obviněnému vyvodit trestní odpovědnost a trestněprávní důsledky s ní spojené.

10. Nejvyšší státní zástupce navrhl, aby Nejvyšší soud podle § 265k odst. 1 tr. ř. za podmínky uvedené v § 265p odst. 1 tr. ř. zrušil napadené usnesení Krajského soudu v Praze ze dne 14. 2. 2024, sp. zn. 9 To 14/2024, jakož i jemu předcházející rozsudek Okresního soudu v Příbrami ze dne 7. 11. 2023, sp. zn. 22 T 75/2023, a všechna další rozhodnutí na zrušená rozhodnutí obsahově navazující, pokud vzhledem ke změně, k níž došlo zrušením, pozbyla podkladu, a dále postupoval podle § 265l odst. 1 tr. ř. a přikázal Okresnímu soudu v Příbrami věc v potřebném rozsahu znovu projednat a rozhodnout.

11. Obviněný P. K. ve vyjádření k dovolání nejvyššího státního zástupce předně uvedl, že dovolání je podáno z jiného důvodu, než je uveden v § 265b tr. ř., když měl za to, že dovolatel se fakticky domáhá přezkumu skutkových závěrů, které soud prvního stupně vyvodil z provedeného dokazování. Takový postup však podle jeho názoru nepřichází v úvahu, neboť nelze shledat jakýkoliv zjevný rozpor mezi provedenými důkazy a skutkovými závěry, popř. jiné vady dokazování vyjádřené v dovolacím důvodu podle § 265b odst. 1 písm. g) tr. ř., nadto je nejvyšší státní zástupce ve svém dovolání ani netvrdil.

12. Obviněný dále vytkl, že dovolání je založeno na skutkových zjištěních, k nimž soudy nižších stupňů nedospěly, a dovolatel uváděl spoustu informací, které z provedeného dokazování nevyplynuly či byly dokonce vyvráceny. Pokud jde o subjektivní stránku, dovolatel ji dovozoval na základě ničím nepodložených domněnek, které byly navíc rozptýleny dokazováním. Nezohledňoval žádný z důkazů svědčících ve prospěch obviněného, a to jak ve vztahu k subjektivní stránce, tak ve vztahu ke společenské škodlivosti. V podrobnostech pak zdůraznil, že v předmětné době nebyl seznámen s pravidly používání systému ISPOP a jejich znalost ani nebyla vyžadována, nemohl tak obcházet pravidla, jak uváděl dovolatel. Měl také za to, že v registračním formuláři neuvedl jakýkoliv nepravdivý údaj, naopak jednal zcela transparentně pod vlastními osobními údaji. Uvedl-li identifikační číslo společnosti S. C., s. r. o., pak žádným způsobem neprohlašoval, že je jejím jednatelem či jinak disponuje pověřením či zmocněním za společnost jednat. Obviněný dále zdůraznil nutnost rozlišovat od sebe jednotlivé procesy, a to registraci, přihlášení a žádost o přidělení vazby ke konkrétnímu subjektu. Poukázal, že byť za účelem registrace i žádosti o přidělení vazby ke konkrétnímu subjektu ISPOP generoval totožný registrační formulář, následky jeho odeslání se lišily s ohledem na skutečnost, zda jej vyplnil již registrovaný uživatel. Obviněný se do systému registroval o několik měsíců dříve, přičemž jednání projednávaného v tomto řízení se dopustil až žádostí o přidělení vazby ke konkrétnímu subjektu. Dále se vyjadřoval také k pojmu bezpečnostního opatření a s poukazem na odborné vyjádření doc. Ing. Zdeňka Lokaje, Ph.D., LL.M., znovu uzavřel, že systém ISPOP zabezpečen ani na nízké úrovni nebyl, když systém umožnil přístup každému, kdo o něj požádal. K motivu svého jednání a k subjektivní stránce uvedl, že bylo prokázáno, že jeho úmyslem nebylo překonat bezpečnostní opatření a zjednat si přístup k neveřejným informacím, nýbrž zjistit, na jakém principu systém ISPOP funguje. V tomto smyslu zopakoval svou obhajobu soudům známou z předcházejícího řízení.

13. Jde-li o dovolatelem vznesenou otázku nemožnosti aplikace subsidiarity trestní represe a jeho argumentaci přihlašováním obviněného do účtu opakovaně, obviněný zdůraznil, že se do účtu přihlašoval toliko pod svým účtem, k němuž byl registrován již dříve, než došlo k žádosti o provedení vazby ke společnosti S. C., s. r. o., proto je nerelevantní, kolikrát do systému ISPOP vstoupil, když vždy používal pouze své přístupové údaje. Zdůraznil, že jeho jednáním nedošlo ke vzniku jakéhokoliv škodlivého následku, a zejména že i případné získání jakýchkoliv informací o společnosti S. C., s. r. o., nebylo pro něj jakkoliv relevantní, když s předmětnou společností není ani jeho společnost v konkurenčním boji, navíc většinu takových informací obviněný zná s ohledem na výkon činnosti společnosti K., s. r. o. (konkurenční boj vyloučil i svědek M. Z., prokurista společnosti S. C., s. r. o.).

14. Obviněný navrhl, aby Nejvyšší soud dovolání nejvyššího státního zástupce odmítl z důvodu podle § 265i odst. 1 písm. b) a e) tr. ř., popř. je zamítl ve smyslu § 265j tr. ř.

III.
Přípustnost dovolání

15. Nejvyšší soud jako soud dovolací zjistil, že dovolání je podle § 265a tr. ř. přípustné, že je podala včas oprávněná osoba a že splňuje náležitosti obsahu dovolání ve smyslu § 265f odst. 1 tr. ř. Shledal, že dovolání nebylo možné odmítnout podle § 265i odst. 1 tr. ř., načež podle § 265i odst. 3 tr. ř. přezkoumal zákonnost a odůvodněnost výroku rozhodnutí, proti němuž bylo dovolání podáno, v rozsahu a z důvodů uvedených v dovolání, jakož i řízení napadenému rozhodnutí předcházející a dospěl k závěru, že dovolání nejvyššího státního zástupce je důvodné.

IV.
Důvodnost dovolání

16. Nejvyšší soud úvodem připomíná, že ve vztahu ke všem důvodům dovolání platí, že obsah konkrétně uplatněných námitek, o něž se opírá existence určitého dovolacího důvodu, musí věcně odpovídat zákonnému vymezení takového dovolacího důvodu podle § 265b tr. ř., nestačí jen formální odkaz na příslušné ustanovení obsahující některý z dovolacích důvodů. Dovolatel v dovolání odkázal na dovolací důvody uvedené v § 265b odst. 1 písm. h), m) tr. ř. Jeho námitky lze pod uplatněné důvody dovolání podřadit.

17. Podle § 265b odst. 1 písm. m) tr. ř. lze dovolání podat, bylo-li rozhodnuto o zamítnutí nebo odmítnutí řádného opravného prostředku proti rozsudku nebo usnesení uvedenému v § 265a odst. 2 písm. a) až g) tr. ř., aniž byly splněny procesní podmínky stanovené zákonem pro takové rozhodnutí nebo přestože byl v řízení mu předcházejícím dán důvod dovolání uvedený v § 265b odst. 1 pod písmeny a) až l) tr. ř. Tento dovolací důvod tedy spočívá ve třech různých okolnostech (srov. ŠÁMAL, P. a kol. Trestní řád II. § 157 až 314s. Komentář. 7. vydání. Praha: C. H. Beck, 2013, s. 3174–3175): řádný opravný prostředek byl zamítnut z tzv. formálních důvodů podle § 148 odst. 1 písm. a) a b) tr. ř. nebo podle § 253 odst. 1 tr. ř., přestože nebyly splněny procesní podmínky stanovené pro takové rozhodnutí, nebo odvolání bylo odmítnuto pro nesplnění jeho obsahových náležitostí podle § 253 odst. 3 tr. ř., ačkoli oprávněná osoba nebyla řádně poučena nebo jí nebyla poskytnuta pomoc při odstranění vad odvolání, nebo řádný opravný prostředek byl zamítnut z jakýchkoli jiných důvodů, než jsou důvody uvedené výše jako první okolnost, ale řízení předcházející napadenému rozhodnutí je zatíženo vadami, které jsou ostatními dovolacími důvody podle § 265b odst. 1 písm. a) až l) tr. ř. Předmětný dovolací důvod tak míří na případy, kdy došlo k zamítnutí nebo odmítnutí řádného opravného prostředku bez věcného přezkoumání a procesní strana tak byla zbavena přístupu ke druhé instanci (tzv. prvá alternativa) nebo již v řízení, které předcházelo rozhodnutí o zamítnutí nebo odmítnutí řádného opravného prostředku, byl dán některý ze shora uvedených dovolacích důvodů (tzv. druhá alternativa). Nejvyšší státní zástupce v dovolání uplatnil alternativu druhou, neboť podle jeho názoru byl v řízení předcházejícím rozhodnutí odvolacího soudu, jímž bylo odvolání státního zástupce po věcném přezkoumání napadeného rozsudku soudu prvního stupně zamítnuto, dán důvod dovolání podle § 265b odst. 1 písm. h) tr. ř.

18. Dovolací důvod podle § 265b odst. 1 písm. h) tr. ř. lze uplatnit, jestliže napadené rozhodnutí spočívá na nesprávném právním posouzení skutku nebo jiném nesprávném hmotněprávním posouzení. V mezích uplatněného dovolacího důvodu tak lze namítat, že skutek, jak byl soudem zjištěn, byl nesprávně právně kvalifikován jako trestný čin, ačkoliv o trestný čin nejde (a naopak), nebo jde o jiný trestný čin, než kterým byl obviněný uznán vinným. Vedle vad, které se týkají právního posouzení skutku, lze vytýkat též „jiné nesprávné hmotněprávní posouzení“. Rozumí se jím zhodnocení otázky, která nespočívá přímo v právní kvalifikaci skutku, ale v právním posouzení jiné skutkové okolnosti mající význam z hlediska hmotného práva. Nejvyšší státní zástupce relevantně uplatnil námitku, že soudy nesprávně právně kvalifikovaly jednání obviněného, když měly za to, že v žalobním návrhu značený skutek není trestným činem, v důsledku čehož jej zprostily obžaloby. Podle něj naopak rozhodné skutkové okolnosti svědčí o tom, že obviněný naplnil žalovaným skutkem všechny zákonné znaky přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku, včetně znaků objektivní a subjektivní stránky, a nelze konstatovat, že by čin obviněného nebyl ani postižitelný prostředky trestního práva.

19. Přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku se dopustí, kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části. Tato základní skutková podstata chrání důvěrnost počítačových dat a počítačového systému nebo jeho části. Počítačový systém je zde chráněn před ohrožením jeho bezpečnosti. Jde o úmyslný trestný čin, přičemž postačí i úmysl nepřímý [§ 15 odst. 1 písm. a), b), odst. 2 tr. zákoníku]. Úmysl musí zahrnovat všechny znaky objektivní stránky skutkové podstaty, a to včetně znaku „neoprávněně“.

20. Soudy zjistily (zjednodušeně), že obviněný vyhotovil registrační formulář pro registraci do systému ISPOP, a to k subjektu pod identifikačním číslem XY, kterým je společnost S. C., s. r. o., ačkoli si byl vědom toho, že nemá oprávnění jménem společnosti S. C., s. r. o., jednat a ani se jménem této společnosti registrovat jako správce v počítačovém systému ISPOP. Vyplněný registrační formulář dodal dne 20. 4. 2020 prostřednictvím datové schránky se svým ověřeným elektronickým podpisem provozovateli systému, příspěvkové organizaci CENIA, České informační agentuře životního prostředí, čímž si zjednal neoprávněný přístup do počítačového systému ISPOP obsahujícího neveřejné informace týkající se ohlašovacích povinností v oblasti životního prostředí společnosti S. C., s. r. o.

21. Soud prvního stupně v takto popsaném jednání nespatřoval zákonné znaky přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku. Dospěl k závěru, že obviněný nemusel překonávat žádné bezpečnostní opatření a ani nevyvíjel žádné úsilí, aby vstoupil do počítačového systému. Za bezpečnostní opatření podle tohoto soudu nelze považovat nutnost registrace spočívající ve vyplnění registračního formuláře, a to vyplněním údaje veřejně přístupného. Připomněl, že přístup do počítačového systému mu umožnil systém ISPOP automaticky po vyplnění přijatého formuláře, aniž by jakkoliv ověřil pravdivost údajů ve formuláři, aby do něj vstoupil. Soud nezjistil ani zištný úmysl obviněného získat informace o obchodní společnosti S. C., s. r. o., případně takové informace zneužít (body 22., 23. odůvodnění rozsudku).

22. Odvolací soud se ztotožnil se závěrem soudu prvního stupně, že obviněný vyplněním formuláře či žádosti, potažmo uvedením údaje, který je veřejně dostupný, nepřekonal žádné bezpečnostní opatření. Dále uvedl, že z provedeného dokazování nevyplývá ani existence úmyslného zavinění obviněného. Pochybnosti měl i ohledně otázky vlivu míry zabezpečení počítačového systému na trestnost činu. V této souvislosti zmínil princip ultima ratio s tím, že kriminalizace jednání nastupuje v případech, ve kterých pachatel neoprávněně získal přístup k počítačovému systému překonáním bezpečnostního opatření. Nepřekoná-li osoba neoprávněně vstupující do systému žádné, byť jednoduché, bezpečnostní opatření, nedopouští se přečinu podle § 230 odst. 1 tr. zákoníku. Podle odvolacího soudu znak spočívající v překonání bezpečnostního opatření nebyl prokázán (body 18., 19. usnesení).

23. Soudy tedy měly primárně za to, že obviněný nemusel překonávat žádné bezpečnostní opatření k získání (neoprávněného) přístupu do systému ISPOP, když stačilo vyplnit formulář, na jehož základě mu byly automaticky, bez ověření pravosti uvedených údajů, zaslány přihlašovací údaje do tohoto systému (viz bod 22. odůvodnění rozsudku soudu prvního stupně, body 18., 19. odůvodnění usnesení odvolacího soudu), v důsledku čehož nebyly naplněny požadované znaky objektivní stránky přečinu kladeného obviněnému za vinu. Nejvyšší soud však s jejich právními závěry nemůže souhlasit.

24. Bezpečnostním opatřením je třeba rozumět každé opatření, jehož cílem je zabránit volnému přístupu k počítačovému systému, jeho části nebo k nosiči informací (např. heslo, přenosný přístupový klíč, biometrický zámek, vymezení uživatelských práv nebo použití firewallu), tedy ochránit důvěrnost v systému obsažených dat. Na stupni, míře zabezpečení nezáleží. Úroveň zabezpečení nelze považovat za rozhodující, postačí, že pachatel musí překonat nějakou překážku, kterou překonává neoprávněně. Existence jakéhokoli zabezpečení totiž na jedné straně jasně signalizuje, že si uživatel nepřeje, aby někdo nepovolaný do systému vstupoval, na druhé straně musí pachatel vyvinout zvýšené úsilí, aby do systému vstoupil (srov. ŠÁMAL P. a kol. Trestní zákoník. Komentář. 3. vydání. Praha: C. H. Beck, 2023, s. 2957). Bezpečnostním opatřením může být typicky heslo, firewall, přenosné paměťové médium s přístupovým klíčem, ale i vymezení uživatelských práv nebo režim užívání počítačových systémů v soukromých či veřejnoprávních institucích [srov. ŠČERBA, Filip a kol. Trestní zákoník. 1. vydání. Praha: C. H. Beck, s. 2020, s. 1882, 1883).

25. Samotným „překonáním bezpečnostního opatření“ lze zjednodušeně rozumět vstup do počítačového systému neoprávněným způsobem, který vyžaduje jakoukoliv aktivitu, kterou pachatel obchází i jakkoliv jednoduché či slabé bezpečnostní opatření, které má bránit volnému přístupu k systému a které tedy svou podstatou již samo o sobě dává uživateli najevo neoprávněnost jeho vstupu do systému (může jím dokonce být i pouhé uhodnutí jednoduchého hesla, či vyplnění přihlašovacích údajů, které byly pachateli poskytnuty oprávněnou osobou, avšak bez povolení k přístupu do daného systému – srov. např. užití uloženého hesla k získání přístupu do sociální sítě Facebook jiné osoby v usnesení Nejvyššího soudu ze dne 12. 7. 2023, sp. zn. 4 Tdo 555/2023, bod. 17 odůvodnění).

26. Není pochyb o tom, že integrovaný systém plnění ohlašovacích povinností (ISPOP) je počítačovým systémem. V době, kdy se skutek stal, nebyla sice v účinnosti legální definice počítačového systému podle § 136a tr. zákoníku (stalo se tak až novelou provedenou zákonem č. 130/2022 Sb., účinnou od 28. 6. 2022), avšak pochybnosti o tomto závěru nebyly, ani dovolatel je nemá, a Nejvyšší soud proto považuje za nadbytečné se touto otázkou podrobně zabývat. Na podkladě výše rozvedených teoretických východisek lze registrační formulář, na jehož základě byly registrujícímu zasílány přístupové údaje do systému ISPOP či vytvořena vazba k určitému subjektu a zaslán odkaz na změnu hesla, a umožněn tak vstup do tohoto počítačového systému a k neveřejným datům týkajícím se daného subjektu, považovat za bezpečnostní opatření, byť se jednalo o opatření s velice nízkou mírou zabezpečení, na čemž však, jak již uvedeno výše, nezáleží. Podstatné je, že uživateli je ze samotné existence takového bezpečnostního opatření zjevná jeho neoprávněnost pro vstup do daného systému, případně jeho části. Nebyl-li by předmětný registrační formulář opatřením, jehož cílem je zabránit volnému přístupu k počítačovému systému (tedy bezpečnostním opatřením), pak by jeho existence, včetně vyžadovaných údajů, bez nichž by nebyly přístupové údaje (včetně odkazu na změnu hesla při registraci vazby k novému subjektu) uživateli zaslány, byla zcela zbytečná a nelogická. Naopak je zřejmé, že předmětný registrační formulář byl zřízen právě proto, že přístup do systému ISPOP není veřejný a vyžaduje splnění jistých podmínek proto, aby byl uživateli umožněn přístup k němu. Jinak řečeno byl zřízen k tomu, aby chránil důvěrnost v sytému obsažených dat. Registrační formulář pro registraci do ISPOP tak sloužil k řízení přístupu do systému ISPOP [srov. § 12 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)]. Skutečnost, že přístup k tomuto systému (příp. jeho části týkající se subjektu, k němuž se vytvářela vazba) bylo možno získat neoprávněně velice snadno, a to vyplněním nepravdivých údajů, vypovídá toliko o kvalitě či míře zabezpečení daného opatření, nikoliv však o jeho povaze jako bezpečnostního opatření samotného. Uživateli jsou sice na základě jím vyplněných údajů a odeslání registračního formuláře poskytnuty přihlašovací údaje pro vstup do počítačového systému, je tak ovšem činěno za předpokladu jeho právního vztahu k předmětnému subjektu a oprávněnosti jeho přístupu k neveřejným datům týkajícím se tohoto subjektu. Zasláním přístupových údajů, které uživatel získal obejitím bezpečnostního opatření vyplněním nepravdivých údajů, mu však rozhodně oprávnění k přístupu k neveřejným datům uděleno není. Takové oprávnění má pouze za předpokladu, že mu jej předmětný subjekt sám udělí.

27. Údaje, které registrační formulář pro možnost úspěšné registrace či k úspěšnému vytvoření vazby ke konkrétnímu subjektu vyžadoval, uživateli značily neoprávněnost jeho vstupu, pokud údaje nejsou pravdivé či se nevztahují k jeho osobě/subjektu. Takové bezpečnostní opatření pak sloužilo také k tomu, aby uživatel nemohl vstup do neveřejného systému či jeho části získat omylem, neboť požadované údaje signalizovaly, jaké podmínky musí pro oprávněný vstup splnit, tj. vyplnění identifikačního čísla subjektu, k jakému se podle § 4 odst. 6 zákona č. 25/2008 Sb. hlásí (viz registrační formulář na č. l. 79). Obviněný se do systému ISPOP registroval pod svými údaji již dne 20. 1. 2020 (s vazbou k subjektu A. S., s. r. o., k němuž má mít oprávněný přístup i společnost K., s. r. o., viz úřední záznam na č. l. 109), kdy oprávněným způsobem získal přihlašovací údaje do systému. Dne 20. 4. 2020 pak obviněný odeslal registrační formulář, jímž žádal o vytvoření vazby svého účtu (nikoliv tedy o registraci, jak ve svém vyjádření k dovolání obviněný zdůrazňoval) k subjektu S. C., s. r. o., na jehož základě mu byl vygenerován odkaz pro změnu hesla, které bylo následně změněno (viz sdělení CENIA ze dne 27. 4. 2021 na č. l. 75–76 a verte). Rozhodl-li se obviněný vyplnit do tohoto formuláře nepravdivé údaje, resp. údaje týkající se jiného subjektu, než za jaký byl oprávněn v daném rozsahu jednat, a to s cílem získat neoprávněný přístup do neveřejného počítačového systému, resp. jeho části týkající se daného subjektu, k němuž si odesláním formuláře vytvářel v systému vazbu, pak takovým jednáním zcela jednoznačně aktivně překonal bezpečnostní opatření k přístupu k počítačovému systému či jeho části (vylákal přístupové údaje do systému) a přihlášením se s nově dostupnými přihlašovacími údaji do dané části systému také neoprávněně vstoupil. Tento závěr o naplnění znaku překonání bezpečnostního opatření, jež spočívalo v obejití pravidel vstupu do ISPOP, rozhodně nekoliduje s pojmem „porušení bezpečnostního opatření“, které je vyžadováno pro vyvození trestnosti činu v článku 2 Úmluvy o počítačové kriminalitě (vyhlášena pod č. 104/2013 Sb. m. s., platná od 1. 12. 2013), ani dalšími dokumenty zmiňovanými nejvyšším státním zástupcem v dovolání.

28. Nejvyšší soud tedy ve shodě s dovolatelem uzavírá, že předmětný počítačový systém sice nebyl zajištěn takovým bezpečnostním opatřením, které by vyžadovalo prvotní zadání nějakých jedinečných údajů (např. hesla), avšak správce tohoto systému ho opatřil takovými ochrannými prvky jeho činnosti, které omezovaly přístup veřejnosti (resp. neregistrované osoby) k neveřejným datům. S těmito daty se mohly seznámit pouze registrované osoby poté, co jednak zadaly do registračního formuláře veřejně dostupný údaj vztahující se k dotčené osobě, jednak po spárování tohoto údaje obdržely přihlašovací údaje ke vstupu do počítačového systému. Ani výjimečně nízká úroveň bezpečnostního opatření či dokonce chyba v zabezpečení tohoto počítačového systému, které obviněný využil k přístupu, proto nevylučuje závěr o jeho trestní odpovědnosti za přečin podle § 230 odst. 1 tr. zákoníku.

29. Soudy nižších stupňů se dostatečně nevěnovaly ani otázce naplnění subjektivní stránky. Soud prvního stupně se s ohledem na jím deklarovanou absenci znaků objektivní stránky označeného přečinu této otázce nevěnoval vůbec (pod bodem 23. odůvodnění svého rozsudku toliko konstatoval nezjištění zištného úmyslu). Odvolací soud se k otázce prokázání zavinění obviněného spáchat žalovaný trestný čin stručně vyjadřoval pod bodem 19. odůvodnění svého usnesení, navázal však poněkud nelogicky a ve svých důsledcích nesrozumitelně na princip ultima ratio a s ním související subsidiaritu trestní represe ve smyslu § 12 odst. 2 tr. zákoníku. Co se týče otázky zavinění, je podstatné, zda obviněný věděl, že vstupuje neoprávněně do důvěrného systému či jeho části týkající se subjektu S. C., s. r. o., k němuž mu byl přístup umožněn toliko na základě vědomě nepravdivě vyplněného registračního formuláře (žádosti o vytvoření vazby k subjektu, k němuž žádný právní vztah obviněný neměl). V tomto ohledu nelze opomenout, že obviněný sám potvrdil, že údaje, k nimž měla být jeho osoba v systému propojena, nepatřily právnické osobě, k níž by měl jakýkoliv právní vztah a za niž by byl oprávněn jednat, přesto tyto údaje do registračního formuláře za účelem vytvoření vazby ke společnosti S. C., s. r. o., vyplnil a registrační formulář odeslal. Ve vyjádření k dovolání nejvyššího státního zástupce obviněný rovněž potvrdil, že v systému ISPOP již registrován byl, měl tam vytvořen účet, přičemž registrační formulář ze dne 20. 4. 2020 vyplňoval jako žádost o vytvoření vazby k subjektu, byl si tedy přesně vědom toho, že údaj subjektu, který v registračním formuláři (žádosti o vazbu) vyplňuje, se týká subjektu, k němuž z jeho strany má existovat nějaká (právní) vazba, a to ve smyslu § 4 odst. 6 zákona č. 25/2008 Sb. Jak uvedl i nejvyšší státní zástupce ve svém dovolání, z uvedeného je zjevné, že obviněný měl nepochybně alespoň základní představu, k jakému účelu měl být počítačový systém ISPOP využíván, když do systému byl již před žádostí o vazbu k subjektu S. C., s. r. o., registrován a cíleně v něm vytvářel žádost k vytvoření vazby k označenému subjektu, a věděl, že k některým údajům v něm obsaženým nemohl mít bez vztahu k registrované osobě přístup.

30. Míra zabezpečení a aktivita potřebná k překonání bezpečnostního opatření, stejně jako cíl, kterého se pachatel snažil trestným činem dosáhnout (např. pouhé ověření možnosti snadného získání přístupu do systému neoprávněnou osobou), které soudy nižších stupňů v odůvodnění svých rozhodnutí zmiňovaly, sice nemají vliv na naplnění znaků přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku, jak již bylo uvedeno, je však nutno je vzít v úvahu při posuzování míry společenské škodlivosti jednání obviněného ve smyslu § 12 odst. 2 tr. zákoníku. Jak ovšem zdůraznil i nejvyšší státní zástupce ve svém dovolání, v daném smyslu nelze opomenout také skutečnost, že z vyjádření CENIA ze dne 6. 10. 2023 vyplynulo, že obviněný se v době, kdy měl k subjektu S. C., s. r. o., v systému vazbu, opakovaně do systému přihlásil. Obviněný ve vyjádření k dovolání nejvyššího státního zástupce uvedl, že se do systému přihlašoval svým účtem, k němuž se registroval oprávněně dříve, než si zažádal o vytvoření vazby ke společnosti S. C., s. r. o., a to skrze datovou schránku společnosti K., s. r. o., jíž je jednatelem. Z jeho výpovědi provedené v hlavním líčení však vyplynulo, že systém ISPOP za jeho společnost K., s. r. o., používali jeho zaměstnanci, nikoliv on sám. Na základě uvedených skutečností pak vyvstávají pochybnosti o pravdivosti jeho tvrzení, že si přístup do systému ve vazbě na společnost S. C., s. r. o., neoprávněně vytvořil (zjednal) toliko za účelem zjištění, zda agentura umožňuje přístup jakýmkoliv osobám, aniž by ověřila jejich vazbu k subjektům, jak zdůraznil i nejvyšší státní zástupce. Za účelem takového ověření by jistě stačilo se do systému přihlásit toliko jednou, přičemž pokud systém ISPOP za společnost K., s. r. o., používají jeho zaměstnanci, pak postrádá logické vysvětlení odpověď na otázku, proč se od zřízení vazby ke společnosti S. C., s. r. o., přihlašoval do systému ISPOP opakovaně. S těmito skutečnostmi se však soud prvního stupně vůbec nevypořádal a zcela je při svých úvahách o důvodu, který obviněného vedl k neoprávněnému přístupu do předmětného systému, opomněl (viz bod 20. odůvodnění rozsudku soudu prvního stupně).

31. V důsledku těchto úvah Nejvyšší soud dospěl v souladu s nejvyšším státním zástupcem k závěru, že argumentace soudů, že jednáním obviněného, které bylo správně zjištěno, nebyly naplněny znaky skutkové podstaty přečinu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 tr. zákoníku, tj. jak objektivní, tak subjektivní stránky přečinu, nemůže obstát. Objasněna pak není ani otázka týkající se míry společenské škodlivosti jednání obviněného.

32. Na soudu prvního stupně proto bude, aby se v intencích tohoto usnesení dovolacího soudu pečlivě zabýval nejen otázkou naplnění zákonných znaků označeného přečinu, ale i mírou společenské škodlivosti přečinu a nutností uplatňovat trestní odpovědnost a trestněprávní důsledky s ní spojené vůči obviněnému ve smyslu § 12 odst. 2 tr. zákoníku zakotvujícího zásadu subsidiarity trestní represe. V daném ohledu bude jistě nutno objasnit otázku, zda si obviněný neoprávněný přístup k počítačovému systému ISPOP zřídil toliko z důvodu ověření, zda takový přístup mohl získat kdokoliv bez ověření dat uvedených v registračním formuláři, či zda bylo jeho cílem skutečně narušit důvěrnost dat v tomto systému obsažených. Za tímto účelem se nabízí opakovaně obviněného k naznačené problematice vyslechnout.

33. Nejvyšší soud, veden výše vyloženými důvody, rozhodl za podmínky uvedené v § 265p odst. 1 tr. ř. tak, že podle § 265k odst. 1, 2 tr. ř. zrušil usnesení Krajského soudu v Praze ze dne 14. 2. 2024, sp. zn. 9 To 14/2024, a rozsudek Okresního soudu v Příbrami ze dne 7. 11. 2023, sp. zn. 22 T 75/2023, současně zrušil také všechna další rozhodnutí na zrušená rozhodnutí obsahově navazující, pokud vzhledem ke změně, k níž došlo zrušením, pozbyla podkladu. Podle § 265l odst. 1 tr. ř. Okresnímu soudu v Příbrami přikázal, aby věc v potřebném rozsahu znovu projednal a rozhodl. Při novém rozhodování je soud vázán právním názorem, který v tomto usnesení vyslovil Nejvyšší soud. Toto rozhodnutí učinil dovolací soud v neveřejném zasedání, neboť je zřejmé, že vady nelze odstranit ve veřejném zasedání [§ 265r odst. 1 písm. b) tr. ř.].