Skip to main content
Jan Harsa

ČÚZK je nejabsurdnější úřad roku

16 min 3,441 slov
úřady kybernetická bezpečnost zákon 106 katastr nemovitostí transparentnost ČÚZK

Koncem roku 2025 přišel Český úřad zeměměřický a katastrální (ČÚZK) s poněkud překvapivým krokem: bez předchozí veřejné diskuse a na velmi tenkém právním základě omezil volný přístup k údajům o vlastnících nemovitostí v aplikaci Nahlížení do katastru nemovitostí. Důvod? Robotické vytěžování dat.
Řešení? Povinné přihlášení přes Identitu občana.
Výsledek? Série rozhodnutí, která by jako materiál do přednášky o kafkovské byrokracii nemusela být ani upravována.

Tohle je příběh jedné žádosti o informace, několika rozhodnutí a nového CAPTCHA systému, který je tak uživatelsky nepřátelský, že mu dá za pravdu i člověk, který nikdy nevěřil na teorii záměrného otrávení vody.

Co se vlastně stalo

Někdy v prosinci 2025 se na webu ČÚZK objevilo oznámení přibližně tohoto znění:

„Vážení uživatelé, vzhledem k extrémnímu nárůstu přístupů, a to zejména ze zahraničí, které porušují provozní podmínky aplikace, je nezbytné dočasně umožnit zobrazení informací o vlastnících nemovitostí pouze po přihlášení. Přihlásit se je možno např. Identitou občana.”

Takže: veřejný registr, do kterého měl dříve přístup každý, byl ze dne na den uzamčen za bránou státního ověření identity. Bez přihlášení přes Identitu občana, bankovní identitu nebo jiný akceptovaný prostředek se k informacím o vlastnících nemovitostí nedostanete.

Státní správa tímto krokem de facto řekla: pokud chcete vědět, kdo vlastní nemovitost vedle vašeho domu, musíte nejprve prokázat, kdo jste vy. To by samo o sobě stálo za diskusi - jenže celá věc se teprve rozjíždí.

Sedm otázek pro ČÚZK

Dne 30. prosince 2025 jsem podal žádost o informace podle zákona č. 106/1999 Sb. Otázky byly záměrně technicky přesné a cílené:

  1. Technická opatření — Byla před zavedením povinného přihlášení použita nebo alespoň vyhodnocena standardní technická opatření jako rate-limiting, detekce botů, throttling nebo jiná běžně dostupná řešení?
  2. CAPTCHA — Jaký typ ochrany CAPTCHA byl používán a proč nebyl nahrazen funkčnějším řešením?
  3. Škálovatelnost — Jak je zajištěna horizontální a vertikální škálovatelnost aplikace a oddělení zátěžových vrstev?
  4. Proporcionalita — Byla provedena analýza proporcionality přijatého opatření? Kdo rozhodl o plošném omezení?
  5. Dopad na osoby bez eID — Jak úřad zohlednil lidi, kteří elektronickou identitu nemají, nemohou nebo nechtějí mít?
  6. Časový rámec — Jak dlouho potrvá „dočasné” opatření a za jakých podmínek bude zrušeno?
  7. Zahraniční přístupy — Na základě jakých dat úřad dospěl k závěru, že přístupy pocházely „zejména ze zahraničí”? Bylo zvažováno cílené opatření jen vůči těmto přístupům?

Jsou to legitimní otázky, které se ptají na proces rozhodování, nikoliv na bezpečnostní konfiguraci systému. Jsou to otázky, na které v demokratickém právním státě veřejnost má nárok.

Odpovědi, které odpověďmi nejsou

Odpověď přišla 12. ledna 2026 - a to ve dvou dopisech najednou. Jeden obsahoval některé odpovědi, druhý rozhodnutí o odmítnutí části žádosti. Pojďme si projít, co se úřad uráčil sdělit.

Co bylo odpovězeno

K CAPTCHA (bod 2): Úřad sdělil, že byla použita „CAPTCHA ve formě zadávání znaků a hCaptcha”. Možnost aktualizace či nahrazení byla prý posouzena, ale „nebylo nalezeno řešení, které by efektivně zabránilo automatizovanému vytěžování dat.”

Zajímavé. hCaptcha je v roce 2025 de facto průmyslový standard používaný tisíci webů po celém světě. Pokud ČÚZK nedokáže nasadit funkční CAPTCHA, pak je třeba se ptát, zda se jedná o technickou neschopnost, nebo o záměr. Předseda ČÚZK později v rozhodnutí o rozkladu sám výslovně uvedl, že „dosavadní ochrana testem CAPTCHA se ukázala jako neúčinná” — tedy že jeden z průmyslových standardů (hCaptcha) v provozu úřadu prostě přestal fungovat. Namísto otázky „proč nám nefunguje to, co funguje všem ostatním?” úřad zvolil odpověď „zavřeme to před všemi”.

Jako programátor, který webové aplikace tvoří a podobnou ochranu pro klienty pravidelně nasazuje, k tomu jen dodám: na trhu jsou osvědčené alternativy — Cloudflare Turnstile, reCAPTCHA v3, behaviorální detekce — používané bankami, e-shopy i veřejnými portály a nasaditelné v řádu dní. Když klient přijde s tím, že mu robotí provoz přetěžuje aplikaci, prvním krokem je výměna ochranné vrstvy, ne uzavření služby.

Když tedy úřad tvrdí, že „nebylo nalezeno řešení, které by efektivně zabránilo automatizovanému vytěžování dat”, znamená to jednu ze dvou věcí: buď se hledalo velmi povrchně, nebo prvotním řešením nikdy výměna CAPTCHA nebyla a scénář s přihlášením byl od začátku cestou nejmenšího odporu. Ani jedna z možností nemá příliš co společného s péčí řádného hospodáře, kterou se předseda ČÚZK v rozhodnutí o rozkladu ohání.

K proporcionalitě (bod 4): Úřad odpověděl, že zvolené řešení „bylo pečlivě posuzováno a nebylo vyhodnoceno jako nepřiměřené”. Méně omezující alternativy „byly zvažovány, ale masivnímu robotickému vytěžování by nebránily”. O přijatém opatření rozhodl místopředseda ČÚZK.

Tedy: rozhodl jeden člověk, bez veřejného projednání, o omezení přístupu k veřejnému rejstříku. A analýza proporcionality? Byla, ale co obsahovala, se nedozvíme.

K dopadu na osoby bez eID (bod 5): A teď pozor, tohle je asi nejdůležitější věta celé odpovědi. Pokud nemáte Identitu občana — tedy jste senior, který si ji nezřídil, člověk bez bankovní identity, cizinec bez české eID, nebo prostě někdo, kdo se státu do telefonu přihlašovat nechce — úřad vám s klidem sdělí, že existuje řešení: „aplikace Dálkový přístup pro neregistrované uživatele” na adrese dpn.cuzk.gov.cz.

Za poplatek 10 Kč za parcelu.

Přečtěte si to ještě jednou. Informace, která byla po dlouhá léta zdarma a veřejná, je pro statisíce lidí bez elektronické identity ze dne na den zpoplatněná. Ne proto, že by se zásadně změnil charakter údaje, ale proto, že úřad nedokázal nasadit funkční CAPTCHA. Trest za technickou nedostatečnost ČÚZK nesou ti, kdo nemají eID. Pokud chcete vědět, kdo vlastní pozemek vedle vašeho domu, sáhnete si do kapsy.

Toto není dopad na okrajovou skupinu. Podle dostupných dat nemá v roce 2025 aktivní elektronickou identitu (Identita občana, bankID a podobné) řádově miliony lidí — zejména starší ročníky, lidé bez bankovního účtu a cizinci. Pro všechny tyto skupiny se z veřejného registru stala placená služba.

K časovému rámci (bod 6): „Vyhodnocení opatření předpokládáme v průběhu prvního čtvrtletí 2026.” Anonymní přístup bude obnoven, až „budou nalezena a realizována účinná opatření.”

K zahraničním přístupům — část b (bod 7b): Cílená opatření zaměřená jen na zahraniční provoz „byla zvažována, ale byla vyhodnocena jako neúčinná.” Žádné zdůvodnění, žádná data, žádný kontext.

Tohle není odpověď na žádost o informace. Tohle je zpráva ve smyslu: do toho vám nic není.

Jaká je společná vlastnost těchto odpovědí

Každá odpověď je formulována tak, aby formálně existovala, ale fakticky nic neříkala. „Bylo posuzováno.” „Bylo vyhodnoceno.” „Byla zvažována alternativní opatření.” Žádná čísla, žádné dokumenty, žádná kritéria, žádné termíny. Jedná se o administrativní prázdnotu v plném obsazení.

Kybernetická bezpečnost jako universální klíč

Zajímavější jsou ovšem body, které byly odmítnuty. ČÚZK rozhodl o odmítnutí tří okruhů:

  • Bod 1: Zda byla použita technická opatření (rate-limiting, detekce botů atd.)
  • Bod 3: Škálovatelnost a architektura aplikace
  • Bod 7a: Na základě jakých dat (IP adresy, geolokalizace, ASN) bylo identifikováno porušování podmínek ze zahraničí

Důvod odmítnutí: § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, podle kterého se „informace, jejichž zpřístupnění by mohlo ohrozit zajišťování kybernetické bezpečnosti nebo účinnost opatření vydaného podle tohoto zákona […], podle předpisů upravujících svobodný přístup k informacím neposkytují”.

Zastavme se u toho. Otázka č. 1 zní v podstatě: „Použili jste rate-limiting? Ano nebo ne?” To je bezpečnostní riziko? Dle ČÚZK ano — protože pokud útočník ví, že rate-limiting nepoužíváte, může na vás útočit snáze.

Pokud je tato logika dovedena do důsledku, pak jakákoliv informace o jakémkoliv systému je potencionálně bezpečnostním rizikem, protože cokoliv se může hodit útočníkovi. ČÚZK tímto de facto říká: na naše technické systémy se neptejte vůbec na nic, protože každá odpověď by mohla pomoci útočníkovi.

Toto není výklad zákona. Toto je pohřbení zákona pod rouškou zákona.

Zmocnění, které není (aneb jednotné číslo versus plošné opatření)

Když předseda ČÚZK v rozhodnutí o rozkladu obhajuje přijaté opatření, uvádí mimo jiné jako jeho právní oporu § 5 odst. 4 vyhlášky č. 358/2013 Sb., o poskytování údajů z katastru nemovitostí. Pojďme si přečíst plné znění tohoto ustanovení:

„V případě, že uživatel služeb uvedených v odstavci 3 přetěžuje technologickou infrastrukturu Úřadu nebo neodborně využívá nebo zneužívá aplikace a služby k neoprávněnému vytěžování údajů z katastru, je Úřad oprávněn mu v tomto jednání zabránit technickými prostředky.”

Přečtěte si to pozorně. A potom ještě jednou.

Zmocnění je formulováno důsledně v jednotném čísle: „uživatel, který přetěžuje…”, „zabránit mu v tomto jednání”. Vyhláška dává úřadu nástroj proti konkrétnímu, identifikovanému narušiteli — tomu, kdo se v daný moment chová způsobem, který přetěžuje infrastrukturu nebo zneužívá aplikaci. Nedává úřadu mandát k uzavření veřejného rejstříku pro celou populaci.

Je to rozdíl mezi „vypni to tomu, kdo útočí” a „vypni to všem, protože někdo útočí”. První je legitimní obrana infrastruktury. Druhé je kolektivní trest.

Úřad tedy pro své plošné opatření buď nemá právní oporu vůbec, nebo zmocnění z vyhlášky překračuje nad rámec jeho textu. Obě varianty jsou problematické, ale druhá je ze správního hlediska horší — znamená, že úřad si sám rozšířil pravomoc nad rámec toho, co mu zákon a vyhláška svěřují. A správní orgán může konat jen to, k čemu ho zákon výslovně zmocňuje. Cokoliv nad rámec toho není rozhodnutí, je to svévole.

Vnitřní rozpor v obhajobě

A tím se dostáváme k zajímavému rozporu v celé konstrukci úřední obhajoby. V bodě 7a mé žádosti jsem se ptal, na základě jakých dat (IP adresy, geolokalizace, ASN) úřad identifikoval, že k porušování docházelo „zejména ze zahraničí”. Tento bod byl odmítnut jako kybernetická bezpečnost.

Jenže pokud úřad má data k identifikaci narušitelů na úrovni IP adres, ASN nebo geolokace — proč je nepoužil cíleně podle § 5 odst. 4 vyhlášky? Proč místo individuálního zásahu proti identifikovaným narušitelům zvolil plošné uzavření pro všechny, včetně novinářů, právníků, investorů, výzkumníků a lidí bez elektronické identity?

Logika se zde zacykluje:

  • Pokud úřad identifikační data — pak cílené opatření bylo možné a plošné omezení je nepřiměřené i nepotřebné.
  • Pokud úřad nemá identifikační data — pak tvrzení o „přístupech zejména ze zahraničí” je neprokázané a celé opatření postrádá faktický základ.

Ani jedna z těchto odpovědí není pro ČÚZK pohodlná. A proto žádná z nich nezazněla.

Chyba v zákoně, na který se odvolávali

Jako vedlejší produkt celé kauzy stojí za zmínku jedna perla, která by v normálním státě způsobila přinejmenším interní pohovor. V napadeném rozhodnutí ze dne 12. ledna 2026 se ČÚZK odvolává na § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Jenže zákon č. 181/2014 Sb. byl ke dni vydání rozhodnutí již nahrazen zákonem č. 264/2025 Sb., o kybernetické bezpečnosti, přičemž relevantní ustanovení je nyní v § 36 tohoto nového zákona.

Úřad tedy v rozhodnutí citoval neplatný zákon.

Co na to předseda ČÚZK v rozhodnutí o rozkladu? Uznal to — a zároveň označil za bezvýznamné:

„V napadeném rozhodnutí je sice nesprávně odkazováno na předchozí právní úpravu obsaženou v § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti, avšak text, dopadající na daný případ […] je v obou zákonech zcela totožný. Uvedená vada tak nemohla mít na meritorní rozhodování žádný vliv.”

Formálně vzato má předseda pravdu — text normy je stejný. Jenže fakt, že úřad při vydávání rozhodnutí v lednu 2026 citoval zákon platný do roku 2025, je přinejmenším varovným signálem o úrovni právní péče při vydávání těchto rozhodnutí. Pokud úřad nezná platnou legislativu v době vydání vlastního rozhodnutí, co nás čeká v bodech, kde to tak snadno neodhalíme?

Rozklad a jeho zamítnutí: fascinující dokument

Malé vysvětlení pro ty, kdo se se správním právem nepotkávají každý den. Pokud pošlete žádost o informace podle zákona č. 106/1999 Sb. třeba obci a s výsledkem nejste spokojeni, můžete se odvolat k nadřízenému orgánu — tedy k někomu jinému, kdo stojí hierarchicky výš a na původním rozhodnutí nemá žádný podíl. To je ten standardní, zdravý model: první instance rozhoduje, druhá instance přezkoumává, a obě spolu nesdílí kancelář.

ČÚZK je ovšem ústřední správní úřad. Nad ním už v administrativní hierarchii nikdo nestojí — neexistuje tedy žádný „vyšší orgán”, ke kterému by se člověk mohl obrátit. A protože zákon pro tuto situaci musí nějaké řešení nabídnout, přichází ke slovu šalamounská konstrukce zvaná rozklad (§ 152 správního řádu).

Princip rozkladu je následující: rozhodnutí, které vydal úřad X, přezkoumá… úřad X. Konkrétně jeho předseda, na doporučení takzvané rozkladové komise. Rozkladová komise má formálně zajistit určitou míru nezávislosti a mívá i externí členy, její stanovisko ale pro předsedu není závazné — finální rozhodnutí je čistě jeho. Institucionálně tedy přezkum probíhá v tomtéž domě, u týchž stolů, s týmiž lidmi, kteří se na věci ve své agendě už podíleli.

Dokážete si asi představit, jak taková přezkumná procedura typicky dopadá.

Podal jsem tedy rozklad 12. ledna 2026 — tentýž den, kdy přišla odmítavá odpověď. V rozkladu jsem poukázal na to, že:

  1. Odmítnutí je opřeno o obecné tvrzení bez individualizované úvahy ke každé otázce.
  2. Otázky nesměřovaly k bezpečnostním konfiguracím, ale k tomu, zda určitá opatření vůbec existovala — to je zásadní rozdíl.
  3. Informace šlo poskytnout v obecné nebo agregované podobě, aniž by bylo ohroženo cokoliv konkrétního.
  4. I v částech, kde bylo odpovězeno, jsou odpovědi tak obecné, že fakticky neposkytují žádnou informaci.

Předseda ČÚZK Ing. Karel Štencel rozklad 27. ledna 2026 zamítl (jak nečekané). Ale v odůvodnění zamítnutí udělal něco fascinujícího: sám podrobně popsal, proč jsou tyto informace citlivé — a tím vlastně ukázal, co přibližně ČÚZK dělá nebo nedělá.

Z rozhodnutí o zamítnutí rozkladu:

„Pokud by úřad zveřejnil, jaká konkrétní opatření (rate-limiting, throttling, behaviorální analýza a jiné) používá, používal nebo nepoužívá, de facto by mu tím poskytl mapu obrany a návod, jak systém efektivněji napadnout.”

Přečtěte si to znovu. Úřad říká: nemohu vám říct, zda používám rate-limiting, protože pokud bych řekl, že ho nepoužívám, útočník by věděl, že ho nepoužívám.

Tato věta je zároveň mimoděčným přiznáním: pokud odmítnutí „ano/ne” odpovědi na otázku o rate-limitingu znamená bezpečnostní riziko, pak to de facto naznačuje, že rate-limiting buď není nasazen vůbec, nebo je nasazen nedostatečně. Jinak by přece nehrozilo žádné riziko z odpovědi „ano, rate-limiting máme”.

Úřad se tedy snaží zakrýt pravděpodobnou technickou nedostatečnost pod pláštíkem kybernetické bezpečnosti.

Čtyři strachy předsedy ČÚZK

Předseda ve svém rozhodnutí jde ovšem ještě dál a formuluje explicitní výčet rizik, která mu hrozí ze zveřejnění téměř čehokoliv. Tento výčet je sám o sobě čitatelným dokumentem o tom, jak úřad přemýšlí. Z rozhodnutí o rozkladu doslova:

Znalost vnitřní mapy systému útočníkem„Umožňuje útočníkovi naplánovat cestu k citlivým datům. […] I dílčí informace by útočníkům umožnily odhadnout obranné hranice systému a upravit útoky tak, aby je obešly.”

Využití konkrétních slabin systému útočníkem„Informace o technické architektuře umožňuje útočníkovi vyhledat již zdokumentované chyby těchto produktů. Útok pak není veden náhodně, ale je přesně zacílen na konkrétní, dosud neopravené zranitelnosti systému.”

Znehodnocení připravovaných ochranných prvků útočníkem„Detailní popis metod šifrování a chystaných bezpečnostních změn dává útočníkovi možnost vyvinout metody k jejich prolomení s předstihem.”

Zneužití informací o procesu vyhodnocování„Tyto informace jsou integrální součástí bezpečnostní strategie úřadu. Jejich zveřejnění by odhalilo slabá místa v infrastruktuře, odhalení kapacity a přesnosti monitorovacích nástrojů a v konečném důsledku zvýšilo riziko vzniku kybernetických bezpečnostních událostí/incidentů.”

Tento výčet je pozoruhodný jednou věcí: předseda v něm sám podrobně pojmenovává všechno to, o čem se podle něj mluvit nesmí. V rámci vysvětlení, proč nelze prozradit, jaká opatření úřad používá, explicitně vyjmenuje rate-limiting, throttling, behaviorální analýzu, metody šifrování, síťovou topologii i detekci založenou na IP adresách, geolokaci a ASN. Tedy přesně ty technické pojmy, jejichž spojení s reálným provozem ČÚZK mělo podle jeho vlastního rozhodnutí představovat bezpečnostní riziko.

Rozdíl je jen v jedné věci: v abstraktní rovině předseda o těchto věcech mluví bez problému. Konkrétní odpověď „tohle u nás běží, tohle ne” už je podle téhož rozhodnutí kybernetický problém. Jinými slovy: pojmenovat paletu možností je bezpečné, pojmenovat skutečnost je nebezpečné. Jenže právě spojení obecných možností s konkrétním úřadem je přesně to, co zákon č. 106/1999 Sb. občanům zaručuje — a co je v tomto případě odmítnuto pod hlavičkou kybernetické bezpečnosti.

Třešnička na dortu: nová CAPTCHA

Po celé době, kdy ČÚZK tvrdil, že nenachází funkční alternativu ke stávající CAPTCHA, přišel úřad s novým řešením. A toto řešení je natolik originální, že zasluhuje samostatnou zmínku.


Nová CAPTCHA ČÚZK v podobě rozložené mapy, kterou má uživatel správně poskládat

Nová CAPTCHA funguje takto: uživateli se zobrazí mapa rozdělená do 9 čtverců, přičemž každý čtverec je náhodně otočen. Úkolem uživatele je otočit všechny čtverce tak, aby na sebe mapa správně navazovala. Jedná se o variantu tzv. image rotation CAPTCHA nebo tile puzzle CAPTCHA.

Problém je, že tato konkrétní implementace je pro průměrného uživatele prakticky neprůchodná:

  • Mapové dlaždice jsou si vizuálně velmi podobné — zejména v oblastech s hustou zástavbou nebo v polních oblastech bez výrazných orientačních bodů.
  • Správné otočení dlaždice závisí na schopnosti uživatele rozpoznat směr orientace mapy — což je kognitivně náročná úloha, zejména na malé obrazovce nebo při špatném osvětlení.
  • Moderní AI (právě ta, která má být CAPTCHA zastavena) takové puzzle řeší spolehlivěji než průměrný lidský uživatel.

Výsledkem je systém, který více omezuje legitimní uživatele než boty.

Takže shrnutí: úřad, který po měsíce tvrdil, že nedokáže najít funkční CAPTCHA řešení, zavedl CAPTCHA, která nefunguje — ale tentokrát pro lidi.

Celkový obraz: co tato kauza ukazuje

1. Správní úvaha jako formalita

Celý řetězec rozhodnutí — od prvotního odmítnutí přes rozklad až po zamítnutí rozkladu — je formálně bezchybný. ČÚZK udělal vše, co po něm zákon vyžaduje: vydal rozhodnutí, odůvodnil je, provedl test proporcionality, předal rozkladové komisi.

Jenže formální bezchybnost není totéž jako smysluplnost. Správní úvaha se proměnila v šablonu: „Tyto informace by mohly ohrozit kybernetickou bezpečnost, veřejný zájem na bezpečnosti převažuje nad právem na informace, rozklad se zamítá.” Tato šablona pak slouží k odůvodnění odmítnutí čehokoliv, co se týká IT systémů státní správy.

2. Kybernetická bezpečnost jako bezedná výjimka

§ 36 zákona č. 264/2025 Sb. (dříve § 10a zákona č. 181/2014 Sb.) je legitimní výjimka z práva na informace. Existuje pro ní dobrý důvod. Skutečné detaily o síťové topologii, konfiguracích firewallu nebo použitých verzích softwaru opravdu nesmí být veřejně dostupné.

Ale tato výjimka má mít hranice. Pokud ji úřad použije k odmítnutí odpovědi na otázku „Používali jste rate-limiting?”, pak tato výjimka v praxi pohltí veškerou možnou kontrolu nad IT rozhodováním státní správy. Žádný nezávislý pohled, žádné srovnání s best practices, žádná veřejná diskuse o tom, zda bylo opatření adekvátní.

3. Rozhodnutí jednoho člověka bez konzultace

Z odpovědi ČÚZK vyplývá, že o plošném omezení anonymního přístupu k veřejnému registru rozhodl místopředseda ČÚZK. Bez veřejné diskuse, bez konzultace s Úřadem pro ochranu osobních údajů, bez předchozí komunikace s odbornou veřejností.

Toto opatření má dopad na miliony lidí — občany, investory, novináře, výzkumníky, zahraniční zájemce o české nemovitosti. Přijato bylo interně, rychle, a bez sebemenšího pokusu o transparent.

4. Dočasnost, která skončila — jen jinak

Opatření bylo označeno jako dočasné a vyhodnocení bylo přislíbeno „v průběhu prvního čtvrtletí 2026”. A k určitému vyhodnocení skutečně došlo: povinné přihlášení pro zobrazení údajů o vlastnících bylo zrušeno a anonymní přístup obnoven. Formálně tedy úřad svůj slib splnil.

Jenže místo povinného přihlášení nasadil novou CAPTCHA — tu mapovou, o které byla řeč výše. Anonymní přístup je tak sice teoreticky obnoven, prakticky ale pro velkou část uživatelů jen na papíře: k údajům se nedostanou, protože neumí (nebo fyzicky nemohou) vyřešit absurdně navržený hlavolam s otáčejícími se mapovými dlaždicemi. Úřad formálně vyřešil, co slíbil vyřešit — a mezitím proměnil dočasné špatné řešení v trvalé horší řešení.

Z bariéry v podobě přihlašovací zdi se stala bariéra v podobě puzzlu. Rozdíl je jen v tom, že první z nich aspoň dávala logický smysl.

Závěr: co s tím

Tuto kauzu jsem popsal detailně proto, aby bylo zřejmé, o co jde. Nejde primárně o to, zda ČÚZK použil rate-limiting nebo ne. Jde o to, jestli veřejná správa v demokratickém státě musí být veřejně kontrolovatelná.

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, byl přijat právě proto, aby občané mohli kontrolovat, jak stát nakládá s veřejnými prostředky a jak rozhoduje o věcech, které se jich dotýkají. Pokud je tato kontrola systematicky obcházena formálně korektními, ale fakticky prázdnými odpověďmi, pak zákon existuje jen na papíře.

ČÚZK v této kauze předvedl, jak lze zákon o svobodném přístupu k informacím naplnit do posledního písmene, a přitom z něj nevymáčknout žádnou skutečnou informaci. A jako bonus zavedl CAPTCHA, která otestuje vaši schopnost číst mapy lépe než vaši lidskou identitu.

Za tuto kombinaci formální dokonalosti a faktické bezobsažnosti si ČÚZK cenu za nejabsurdnější úřad zaslouží.

Zdroje

Všechny dokumenty z této kauzy jsou k nahlédnutí a stažení níže. Pokud chcete ověřit, že nic z výše popsaného není vymyšleno, kliknutím na odkazy najdete originální strojopisy v PDF.

Relevantní právní předpisy

  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
  • Zákon č. 264/2025 Sb., o kybernetické bezpečnosti (§ 36)
  • Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (§ 10a) — nahrazen zákonem č. 264/2025 Sb.
  • Zákon č. 500/2004 Sb., správní řád (§ 152 — rozklad)
  • Vyhláška č. 358/2013 Sb., o poskytování údajů z katastru nemovitostí (§ 5 odst. 4)
  • Čl. 17 odst. 5 Listiny základních práv a svobod