Dne 30. prosince 2025 vydal Nejvyšší soud České republiky rozsudek sp. zn. 30 Cdo 2556/2025, který potvrzuje zásadní obrat v dosavadní vnitrostátní praxi uchovávání provozních a lokalizačních údajů (tzv. data retention). Nejvyšší soud k argumentům datového novináře Jana Cibulky pravomocně potvrdil, že plošné a nerozlišující uchovávání metadat o elektronické komunikaci všech uživatelů, jak je upraveno v § 97 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích (dále jen „ZoEK“), je v příkrém rozporu s právem Evropské unie.

Tento rozsudek ukončuje dlouholetou právní nejistotu způsobenou divergencí mezi judikaturou Soudního dvora EU (SDEU) a českého Ústavního soudu. Pro právní praxi ale také přináší zcela nové výkladové stanovisko k odpovědnosti státu za legislativní činnost a z našeho pohledu má také potenciál redefinovat limity pro dokazování v trestním řízení.

Vzhledem k tomu, že naše kancelář se otázkou ochrany soukromí dlouhodobě zabývá, rozsudek vítáme, a s radostí publikujeme tuto detailní analýzu rozhodnutí a jeho dopadů na poskytovatele služeb i subjekty údajů.

Rozsudek prozatím není na stránkách Nejvyššího soudu v anonymizované podobě, naše advokátní kancelář jej však má k dispozici.

Vymezení institutu Data Retention a právní kontext

Institut data retention (uchovávání provozních a lokalizačních údajů) představuje povinnost poskytovatelů služeb elektronických komunikací uchovávat po zákonem stanovenou dobu (v ČR 6 měsíců) tzv. metadata o komunikaci.

Dle § 97 odst. 3 ZoEK a prováděcí vyhlášky č. 357/2012 Sb. jsou operátoři povinni archivovat údaje identifikující:

• účastníky komunikace (zdroj a cíl),
• datum, čas a délku komunikace,
• typ služby (hovor, SMS, data),
• zařízení uživatele (IMEI, IMSI),
• lokalizaci zařízení (Cell ID, údaje o BTS stanici).

Klíčovým aspektem, který se stal předmětem sporu, je plošná a preventivní povaha tohoto sběru. Údaje jsou shromažďovány o všech účastnících bez ohledu na existenci podezření z trestné činnosti či ohrožení bezpečnosti státu.

Konflikt unijního a vnitrostátního práva

Právní úprava data retention v ČR se v konečném důsledku postupně dostala do kolize s vývojem judikatury na úrovni EU.

Co se týče rozhodovací praxe SDEU, tak počínaje rozsudkem Digital Rights Ireland (2014) a následně v rozhodnutích Tele2 Sverige (2016) a La Quadrature du Net (2020) SDEU konzistentně judikuje, že plošné a nerozlišující uchovávání dat je v rozporu s čl. 7, 8 a 11 Listiny základních práv EU. SDEU připouští pouze cílené uchovávání (např. u osob podezřelých) nebo dočasné plošné uchovávání v případě bezprostřední hrozby pro národní bezpečnost, nikoliv však pro účely boje proti běžné kriminalitě.

Oproti tomu v roce 2019 Ústavní soud nálezem sp. zn. Pl. ÚS 45/17 odmítl k návrhu skupiny 58 poslanců zrušit českou úpravu data retention (konkrétně § 97 odst. 3 ZoEK (viz výše)). Argumentoval, že česká úprava obsahuje dostatečné záruky (především povolení soudu k vydání dat) a že bezpečnostní zájmy státu v daném kontextu převažují. Tento nález z našeho pohledu a s vědomím nynějšího rozhodnutí Nejvyššího soudu de facto vytvořil stav, kdy vnitrostátní orgány aplikovaly zákon, který byl fakticky v rozporu s nadřazeným právem EU.

Aktuální rozsudek Nejvyššího soudu sp. zn. 30 Cdo 2556/2025

Žalobcem ve sporu byl datový novinář Jan Cibulka, který se domáhal omluvy po České republice (Ministerstvu průmyslu a obchodu) za zásah do osobnostních práv způsobený tím, že stát legislativně zakotvil povinnost operátorů uchovávat data o jeho komunikaci v rozporu s právem EU.

Nejvyšší soud ve svém odůvodnění formuloval několik stěžejních právních vět, které přesahují rámec tohoto konkrétního sporu:

• Odpovědnost státu za legislativní pochybení (Eurokonformní výklad)

Nejvyšší soud dovodil odpovědnost státu v režimu zákona č. 82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci. Ačkoliv se tento zákon primárně nevztahuje na legislativní činnost parlamentu, NS aplikoval principy unijního práva (tzv. Francovich žaloba), a to s ohledem na skutečnost, že zde šlo o nedostatečné, resp. nesprávné provedení unijního práva.

Soud konstatoval, že pokud členský stát nezajistí soulad svého právního řádu s jasnou a ustálenou judikaturou SDEU (zde zákaz plošného data retention), dopouští se porušení práva, které zakládá nárok jednotlivce na náhradu újmy. Skutečnost, že Ústavní soud v roce 2019 zákon nezrušil, nezbavuje obecné soudy povinnosti aplikovat přednostní unijní právo.

• Povaha nemajetkové újmy

Za přelomový lze označit závěr soudu ohledně vzniku újmy. Žalovaná strana (MPO) argumentovala, že žalobci nevznikla žádná konkrétní škoda, neboť nedoložil, že by jeho data byla zneužita nebo unikla.

Nejvyšší soud tento argument odmítl. Konstatoval, že samotná existence databáze s detailním profilem uživatele, která je vytvořena na základě protiprávního předpisu a je mimo kontrolu subjektu údajů, představuje zásah do práva na informační sebeurčení. Soud implicitně uznal existenci tzv. chilling effectu – stavu nejistoty a pocitu sledování, který může vést k modifikaci chování jedince, což samo o sobě představuje imateriální újmu hodnou satisfakce (ve formě omluvy).

Argumentační debakl státu: Válka na Ukrajině jako časově nepravdivá zástěrka

Z odůvodnění rozsudku vyplývá, že Ministerstvo průmyslu a obchodu (žalovaná) se pokusilo obhájit plošný sběr dat poukazem na zhoršenou bezpečnostní situaci v souvislosti s válkou na Ukrajině a dalšími hybridními hrozbami.

Nejvyšší soud tuto argumentaci odmítl nezvykle ostrým jazykem. Označil ji za „účelovou“ a odkaz na válku za „až cynický ex post odkaz“. Soud zdůraznil, že:

• Výjimky pro národní bezpečnost musí být definovány přímo v zákoně (což v ZoEK nejsou).
• Stát nemůže ospravedlňovat dlouhodobě protiprávní úpravu (z roku 2005) bezpečnostní krizí, která nastala až v roce 2022 nebo později, tím spíše pak za situace, kdy tato situace nastala až po podání žaloby.

Stejně tak soud odmítl snahu ministerstva argumentovat novými předpisy EU, jako jsou směrnice NIS2 (kybernetická bezpečnost) nebo nařízení MiCA (kryptoaktiva). Soud konstatoval, že tyto předpisy nemají žádný „normativní přesah“ do směrnice o soukromí a v podstatě řekl, že jimi nelze zpětně legalizovat plošné „špehování“ občanů.

Dopady na poskytovatele služeb (ISP a operátoři)

Pro operátory elektronických komunikací vytváří rozsudek složitou situaci z hlediska compliance a řízení rizik. Operátoři dosud zpracovávali (uchovávali) provozní a lokalizační údaje na základě právní povinnosti (§ 97 odst. 3 ZoEK), což je jeden z právních titulů dle čl. 6 odst. 1 písm. c) GDPR.

V okamžiku, kdy Nejvyšší soud autoritativně konstatoval, že tato vnitrostátní povinnost je v rozporu s přímo použitelným právem EU, se jeví, že tento právní titul se stal neaplikovatelným. Je tedy otázkou, do jaké míry budou operátoři v současnosti ochotní plnit svojí (ne)zákonnou povinnost plynoucí ze ZoEK.

Dopady do trestního řízení

Soudíme, že zásadní dopady bude mít rozsudek i v oblasti trestního práva a obhajoby. Metadata z mobilní komunikace jsou v současnosti jedním z nejčastějších důkazních prostředků u závažné i méně závažné kriminality.

Procesní nepoužitelnost důkazů

Rozsudek NS posiluje argumentaci obhajoby, že důkazy získané na základě plošného data retention jsou důkazy nezákonnými. Pokud byl samotný sběr dat v rozporu s Listinou základních práv EU, lze argumentovat, že:

• Příkazy k vydání těchto údajů podle § 88a trestního řádu vycházely z neústavního základu.
• se uplatní doktrína „ovoce z otráveného stromu“ (k tomu srov. věc Gäfgen proti Německu) – tedy že nezákonnost prvotního sběru dat infikuje i následné důkazy (např. odposlechy nasazené na základě analýzy metadat).

Zatímco česká trestní judikatura doposud uplatňovala spíše test proporcionality (zda zájem na potrestání pachatele převáží nad „technickou“ vadou získání důkazu), explicitní označení sběru za rozporný s právem EU ze strany civilního senátu Nejvyššího soudu vytváří silný tlak na změnu tohoto přístupu i v trestních senátech.

Rozsudek Nejvyššího soudu je zásadní i pro ochranu novinářských zdrojů a tzv. whistleblowerů. V minulosti se totiž ukázalo, že orgány činné v trestním řízení využívaly institut data retention nikoliv k objasňování násilné trestné činnosti, ale k identifikaci osob, které vynesly informace o politických kauzách.

Příkladem z praxe může být vyšetřování úniků informací v medializované kauze dotací na provoz areálu Čapí hnízdo. Policie tehdy v snaze zjistit, kdo médiím poskytl informace ze spisu, žádala o plošné výpisy komunikace. Cílem nebylo dopadnout pachatele závažného zločinu, ale zmapovat styky novinářů/soudců a zjistit, „kdo mluvil“.

Právě tento „chilling effect“ – tedy obava zdroje komunikovat s novinářem (nebo advokátem) ze strachu, že stát zpětně zmapuje jejich kontakt – byl jedním z hlavních argumentů, proč SDEU a následně i český Nejvyšší soud označily plošný sběr dat za nepřípustný. Rozsudek NS 30 Cdo 2556/2025 tak z našeho pohledu nepřímo fakticky posiluje také ochranu svobody tisku a práva veřejnosti na informace.

Závěr

Rozsudek Nejvyššího soudu sp. zn. 30 Cdo 2556/2025 není jen epizodou v boji za ochranu soukromí, ale systémovou změnou, která narovnává vztah českého práva k evropským standardům.

Soudíme, že rozsudek 30 Cdo 2556/2025 je především vítězstvím právního státu. Nejvyšší soud odmítl „salámovou metodu“ oklešťování soukromí a jasně řekl, že ani válka, ani technický pokrok neospravedlňují, aby stát preventivně sledoval každého svého občana.

Jsme toho názoru, že rozsudek fakticky nutí zákonodárce k urychlené novelizaci zákona o elektronických komunikacích a trestního řádu, neboť ze všech okolností případu je zřejmé, že současný stav je právně neudržitelný.

Pro stát znamená nutnost urychlené legislativní nápravy a riziko dalších nároků na odškodnění. Pro advokátní praxi otevírá tento judikát nové možnosti argumentace jak v oblasti ochrany osobních údajů, tak zejména v trestní obhajobě, kde zpochybňuje legalitu jednoho z nejčastěji využívaných důkazních prostředků.

Mgr. Bc. Adam Císařovský
AK Sudolská

Další články