10 As 190/2020 - 39
[OBRÁZEK] |
ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Nejvyšší správní soud rozhodl v senátu složeném z předsedy Ondřeje Mrákoty a soudců Petra Šebka a Zdeňka Kühna v právní věci žalobce: Nemocnice Tábor, a.s., Kpt. Jaroše 2000, Tábor, zastoupený advokátem Mgr. Jiřím Jaruškem, Radniční 7a, České Budějovice, proti žalovanému: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, Praha 7, proti rozhodnutí předsedkyně Úřadu pro ochranu osobních údajů ze dne 13. 12. 2018, čj. UOOU‑08001/18‑14, v řízení o kasační stížnosti žalobce proti rozsudku Městského soudu v Praze ze dne 20. 5. 2020, čj. 14 A 26/2019 ‑ 37,
takto:
Odůvodnění:
[1] Žalovaný rozhodnutím ze dne ze dne 12. 10. 2018, čj. UOOU‑08001/18‑8, shledal žalobce vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a změně některých předpisů („zákon o ochraně osobních údajů“), neboť jako správce osobních údajů nepřijal opatření pro zajištění bezpečnosti zpracování osobních údajů v souvislosti s vedením elektronické zdravotní dokumentace; konkrétně bylo žalobci vytýkáno, že od blíže nezjištěné doby minimálně do 11. 1. 2018: a) auditní záznamy (logy) v nemocničním informačním systému neumožňovaly určit a ověřit, z jakého důvodu bylo do elektronické zdravotní dokumentace nahlíženo, b) žalobce neprováděl pravidelné kontroly přístupů k elektronické zdravotní dokumentaci. Tím žalobce podle žalovaného porušil povinnost stanovenou v § 13 odst. 1 zákona o ochraně osobních údajů. Za to mu byla uložena pokuta 80 000 Kč.
[2] Žalobce proti tomu podal rozklad k předsedkyni žalovaného, která závěr o spáchaném přestupku potvrdila, nicméně uloženou pokutu shledala nepřiměřenou a snížila ji na 40 000 Kč.
[3] Žalobcovu žalobu proti rozhodnutí předsedkyně žalovaného Městský soud v Praze zamítl. Dospěl totiž k závěru, že jestliže žalobce pořizoval záznamy o tom, kdo a kdy osobní údaje zaznamenal a zpracoval, avšak netrval na tom, aby byl zaznamenán důvod přístupu do elektronické zdravotní dokumentace a zpracování osobních údajů, postupoval v rozporu se zákonem. Městský soud neshledal žádné pochybení ani v tom, že byl použit zákon o ochraně osobních údajů a nikoli nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („nařízení“).
[4] Žalobce (stěžovatel) napadl rozsudek městského soudu kasační stížností. Domnívá se, že je rozsudek nepřezkoumatelný, neboť se městský soud nezabýval jeho odkazem na komentář k zákonu o ochraně osobních údajů. Dále namítal, že městský soud nesprávně vyložil § 13 odst. 4 písm. c) zákona o ochraně osobních údajů a nezákonně posoudil otázku, jaká právní úprava měla být použita. Podle stěžovatele neměl být aplikován zákon o ochraně osobních údajů, nýbrž nařízení, neboť to neobsahuje povinnost zakotvenou v § 13 odst. 4 písm. c) zákona o ochraně osobních údajů. Takovou povinnost nelze dovodit ani z čl. 32 nařízení, jak nesprávně činí městský soud. Stěžovatel dále namítal, že městský soud při posuzování sankce nezohlednil pozdější právní úpravu (zákon č. 110/2019 Sb., o zpracování osobních údajů), která je pro stěžovatele příznivější. Zákon o zpracování osobních údajů totiž neumožňuje uložit sankci za správní trest veřejnému subjektu. Stěžovatel má za to, že je veřejným subjektem, neboť vede zdravotnickou dokumentaci (podle zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování), je veřejným zadavatelem (podle zákona č. 134/2016 Sb., o zadávání veřejných zakázek), veřejnou institucí ve smyslu zákona č. 106/1999 Sb., o svobodném přístupu k informacím) a jeho činnost je převážně financována z prostředků veřejného zdravotního pojištění. Stěžovatel sice je osobou soukromého práva, avšak založenou Jihočeským krajem za účelem plnění veřejného zájmu.
[5] Stěžovatel tedy navrhl, aby NSS napadený rozsudek zrušil a věc vrátil městskému soudu k dalšímu řízení.
[6] Žalovaný s kasační stížností nesouhlasí a navrhuje ji zamítnout. Rozsudek městského soudu i svoje rozhodnutí totiž považuje za souladná se zákonem. Uvádí, že v době jeho rozhodování ještě nebyl zákon o zpracování osobních údajů účinný, nicméně má za to, že se nejedná o normu pro stěžovatele příznivější, neboť stěžovatel není veřejným subjektem.
[7] Kasační stížnost není důvodná.
III. 1. Nepřezkoumatelnost rozsudku městského soudu
[8] Nejprve se NSS zabýval namítanou nepřezkoumatelností rozsudku městského soudu.
[9] Nepřezkoumatelnost rozhodnutí pro nedostatek důvodů musí být vykládána ve svém skutečném smyslu, tj. jako nemožnost přezkoumat určité rozhodnutí pro nemožnost zjistit samotný obsah nebo důvody, pro které bylo vydáno (srov. usnesení rozšířeného senátu NSS ze dne 19. 2. 2008, čj. 7 Afs 212/2006 ‑ 76). Není přípustné institut nepřezkoumatelnosti libovolně rozšiřovat a vztáhnout jej i na případy, kdy se soud podstatou námitky účastníka řízení řádně zabývá a vysvětlí, proč nepovažuje argumentaci účastníka za správnou, byť výslovně v odůvodnění rozhodnutí nereaguje na všechny myslitelné aspekty vznesené námitky a dopustí se dílčího nedostatku odůvodnění. Zrušení rozhodnutí pro nepřezkoumatelnost je vyhrazeno těm nejzávažnějším vadám rozhodnutí, kdy pro absenci důvodů či pro nesrozumitelnost skutečně nelze rozhodnutí meritorně přezkoumat. Nepřezkoumatelnost rozhodnutí pro nedostatek důvodů tak má místo zejména tehdy, opomene‑li správní orgán či soud na námitku účastníka zcela (tedy i implicitně) reagovat (srov. rozsudky NSS ze dne 17. 1. 2013, čj. 1 Afs 92/2012 ‑ 45, či ze dne 29. 6. 2017, čj. 2 As 337/2016 ‑ 64). Přehlédnout pak nelze ani fakt, že správní orgány a soudy nemají povinnost vypořádat se s každou dílčí námitkou, pokud proti tvrzení účastníka řízení postaví právní názor, v jehož konkurenci námitky jako celek neobstojí. Takový postup shledal ústavně konformním i Ústavní soud v nálezu ze dne 12. 2. 2009, sp. zn. III. ÚS 989/08, podle něhož: „Není porušením práva na spravedlivý proces, jestliže obecné soudy nebudují vlastní závěry na podrobné oponentuře (a vyvracení) jednotlivě vznesených námitek, pakliže proti nim staví vlastní ucelený argumentační systém, který logicky a v právu rozumně vyloží tak, že podpora správnosti jejich závěrů je sama o sobě dostatečná“.
[10] Tak tomu bylo i v daném případě. Městský soud námitku nesprávného výkladu § 13 odst. 4 písm. c) zákona o ochraně osobních údajů zevrubně vypořádal. Srozumitelně uvedl, proč má za to, že je nezbytné, aby součástí záznamu byla i informace o důvodu zpracování osobních údajů (body 50 a násl. rozsudku). Městský soud tedy dostatečně přezkoumatelně sdělil svůj názor na tuto spornou otázku. Samotná skutečnost, že se výslovně nevyjádřil ke stěžovatelovu odkazu na komentářovou literaturu, nezpůsobuje nepřezkoumatelnost jeho rozsudku. V daném případě navíc městský soud výslovně v rozsudku uvedl, že opatření, která stěžovatel považoval za dostatečná ke splnění povinnosti (pohovor se zaměstnancem, který do databáze nahlížel) nepovažuje za dostatečná. Nepřezkoumatelnost totiž není projevem nenaplněné subjektivní představy stěžovatele o tom, jak podrobně by měl být rozsudek odůvodněn, ale objektivní překážkou, která kasačnímu soudu znemožňuje přezkoumat napadené rozhodnutí (srov. rozsudky NSS ze dne 28. 2. 2017, čj. 3 Azs 69/2016 ‑ 24, a ze dne 27. 9. 2017, čj. 4 As 146/2017 ‑ 35). Nesouhlas stěžovatele s odůvodněním a závěry napadeného rozsudku přitom jeho nepřezkoumatelnost nezpůsobuje (viz např. rozsudky NSS ze dne 12. 11. 2013, čj. 2 As 47/2013‑ 30, či ze dne 29. 4. 2010, čj. 8 As 11/2010 ‑ 163).
III. 2. Nesprávný výklad § 13 odst. 4 písm. c) zákona o ochraně osobních údajů
[11] Stěžovatel předně namítal, že městský soud nesprávně vyložil § 13 odst. 4 písm. c) zákona o ochraně osobních údajů.
[12] Stěžovatel byl shledán rozhodnutím žalovaného vinným z porušení § 13 odst. 1 zákona o ochraně osobních údajů. Toho se měl dopustit dvěma skutky: a) tím, že jeho auditní záznamy (logy) v nemocničním informačním systému neumožňovaly určit a ověřit, z jakého důvodu bylo do elektronické zdravotní dokumentace nahlíženo, čímž porušil také § 13 odst. 4 písm. c) zákona o ochraně osobních údajů; a b) tím, že stěžovatel neprováděl pravidelné kontroly přístupů k elektronické zdravotní dokumentaci.
[13] Podle 13 odst. 1 zákona o ochraně osobních údajů správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
[14] Podle § 13 odst. 4 písm. c) zákona o ochraně osobních údajů je v oblasti automatizovaného zpracování osobních údajů správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.
[15] Stěžovatel má za to, že z citovaných ustanovení neplyne povinnost, aby již v samotném elektronickém záznamu (logu) byl obsažen důvod zaznamenání nebo jiného zpracování osobních údajů, nýbrž postačí, aby byl tento důvod poté zjistitelný. S tím však souhlasit nelze. Byť by mohl výslovný ryze gramatický výklad § 13 odst. 4 písm. c) zákona o ochraně osobních údajů názoru stěžovatele nasvědčovat, městský soud správně vyšel ze smyslu citovaného ustanovení a vyhodnotil stanovenou povinnost v kontextu celého § 13 zákona o ochraně osobních údajů. Rovněž případně odkázal na rozsudek NSS ze dne 30. 1. 2013, čj. 7 As 150/2012 ‑ 35, v němž NSS výslovně uvedl, že tzv. logy podle § 13 odst. 4 písm. c) zákona o ochraně osobních údajů jsou „záznamy o tom kdo, kdy a z jakého důvodu osobní údaje zaznamenal či jinak zpracoval“. Pouze takový záznam, který obsahuje informace nejen o tom, kdo a kdy osobní údaje zpracovával, ale i důvod tohoto zpracování, je pak způsobilý naplnit smysl zákona o ochraně osobních údajů, neboť jen tehdy může být zpětně dohledatelné a ověřitelné „kdo, kdy, jak a proč“ osobní údaje v informačním systému zpracovával. Takový požadavek má také vysoký preventivní účinek proti zneužití údajů z informačního systému, neboť každý, kdo s ním oprávněně pracuje, si musí být vědom, že je možno zpětně ověřit, kdo, kdy a jakým způsobem s informačním systémem pracoval, a zda se tak dělo oprávněně. Jak uvedl NSS ve výše citovaném rozsudku čj. 7 As 150/2012 ‑ 35: „každá osoba, která neoprávněně nakládá s údaji obsaženými v systému, jenž je automatizovaně zpracovává, si musí být vědoma toho, že její jednání může být pomocí takového záznamu zpětně dohledáno a odhaleno“.
[16] NSS se tedy ztotožňuje s městským soudem, že již v samotném elektronickém záznamu (logu) musí být obsažen důvod zaznamenání či zpracování osobních údajů. Poukaz stěžovatele na možnost provedení následného pohovoru se zaměstnancem, který přistupoval do databáze, a takto zjistit důvod jeho přístupu, nemůže obstát, neboť nerespektuje znění § 13 odst. 4 písm. c) zákona o ochraně osobních údajů ani smysl právní úpravy ochrany osobních údajů. V takovém případě totiž nelze provést řádnou průběžnou ani následnou kontrolu, zdali nedocházelo k neoprávněnému přístupu do databáze.
[17] Na právě uvedeném nemůže nic změnit ani stěžovatelův odkaz na komentář k zákonu o ochraně osobních údajů. Závěr městského soudu totiž není s komentářem v rozporu. Pokud komentář připouští splnění povinnosti zakotvené v § 13 odst. 4 písm. c) zákona o ochraně osobních údajů též „v kombinaci s vhodnými organizačními opatřeními“, stěžovatel žádné takové vhodné organizační opatření, které by bylo způsobilé povinnost splnit, nezmiňuje. Následný pohovor s osobou, která do databáze nahlížela, takovým opatřením není. Jistě je třeba souhlasit se stěžovatelem, že oprávněnost důvodu ke zpracování osobních údajů musí být ověřena samotným správcem, a to zásadně na základě údajů poskytnutých osobou, která k osobním údajům přistupovala. Tato osoba však musí důvod, pro který do databáze nahlížela, zásadně uvést bezprostředně před přístupem k osobním údajům či těsně poté. Nelze souhlasit s tím, že takový důvod uvede až při následné kontrole, která může být prováděna řadu měsíců po takovém přístupu. Předně si konkrétní důvod již nemusí vůbec pamatovat (zejména v situacích, kdy nahlíží do informačního systému často, jako je tomu jistě u stěžovatelových zaměstnanců), navíc zde není naplněn shora zmíněný preventivní účinek. V daném případě tak nedošlo k nepřípustně rozšiřujícímu výkladu § 13 odst. 4 písm. c) zákona o ochraně osobních údajů.
III. 3. Použití nesprávné právní úpravy
A)
[18] Stěžovatel nesouhlasí s tím, jak městský soud posoudil, která právní úprava byla pro něho příznivější. Má předně za to, že žalovaný měl aplikovat nařízení a nikoli zákon o ochraně osobních údajů.
[19] Městský soud dal stěžovateli za pravdu, že při posuzování toho, která právní úprava je pro pachatele příznivější, se nelze omezovat jen na srovnání trestních sazeb, nýbrž je třeba konkrétní případ předběžně posoudit podle všech ustanovení staré a nové právní úpravy a pak se zřetelem ke všem ustanovením o podmínkách trestní (zde přestupkové) odpovědnosti (též k důvodům jejího zániku) a trestu (též k možnosti podmíněného odsouzení, upuštění od potrestání atd.) uvážit, co je příznivější (rozsudek NSS ze dne 5. 6. 2018, čj. 4 As 96/2018 ‑ 45). Byť tedy městský soud shledal přístup žalovaného, který posuzoval toliko trestní sazby, v tomto ohledu vadným, ztotožnil se se závěrem o použití zákona o ochraně osobních údajů.
[20] Podle městského soudu sice úprava obsažená v nařízení výslovně nestanoví povinnost, která by odpovídala § 13 odst. 4 písm. c) zákona o ochraně osobních údajů, nicméně tuto povinnost lze dovodit z čl. 32 nařízení. Toto ustanovení upravuje povinnost správců a zpracovatelů zabezpečit osobní údaje pomocí vhodných technických a organizačních opatření, mezi něž by podle městského soudu bylo možno zařadit též povinnost zabezpečit náležitou ochranu osobních údajů tak, aby k nim nebyl umožněn přístup bez udání důvodu. Městský soud k tomu též odkázal na rozsudek NSS ze dne 27. 6. 2019, čj. 4 As 140/2019 ‑ 27, který posuzoval vztah § 13 odst. 1 zákona o ochraně osobních údajů a čl. 32 nařízení.
[21] Podle čl. 32 nařízení s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, dále je pak uveden demonstrativní výčet způsobů zabezpečení a ustanovení, že při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
[22] V nynějším případě byl stěžovatel shledán vinným ze spáchání přestupku podle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů, podle něhož se přestupku dopustí ten, kdo jako správce nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13). Podle výroku napadeného rozhodnutí žalovaného stěžovatel porušil § 13 odst. 1 zákona o ochraně osobních údajů (povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů), tím, že: a) auditní záznamy (logy) v nemocničním informačním systému neumožňovaly určit a ověřit, z jakého důvodu bylo do elektronické zdravotní dokumentace nahlíženo, a b) stěžovatel neprováděl pravidelné kontroly přístupů k elektronické zdravotní dokumentaci.
[23] V daném případě byl tedy stěžovatel shledán vinným za porušení § 13 odst. 1 zákona o ochraně osobních údajů, kterého se dopustil dvěma samostatnými jednáními. Byť je jedno z nich (chybějící důvody nahlížení v auditních záznamech) podřaditelné i pod § 13 odst. 4 písm. c) zákona o ochraně osobních údajů, žalovaný s ohledem na jednání druhé (neprovádění pravidelných kontrol) shledal, že oběma jednáními stěžovatel porušil obecnější § 13 odst. 1 zákona o ochraně osobních údajů. Nic na tom nemění, že v odůvodnění rozhodnutí žalovaný zmiňoval i porušení § 13 odst. 4 písm. c) zákona o ochraně osobních údajů (které ostatně na § 13 odst. 1 přímo odkazuje), neboť výrokem rozhodnutí, který je závazný a vykonatelný, shledal toliko porušení § 13 odst. 1 tohoto zákona. Právě ve vztahu k naposled citovanému ustanovení, jehož porušení je stěžovateli kladeno za vinu, je pak třeba zjišťovat, zda je pozdější právní úprava pro stěžovatele příznivější.
[24] Jak správně uvedl městský soud v napadeném rozsudku, tuto otázku NSS již posuzoval a v rozsudku čj. 4 As 140/2019 ‑ 27 dospěl k závěru, že čl. 32 nařízení není ve vztahu k § 13 odst. 1 zákona o ochraně osobních údajů úpravou příznivější (body 25 a násl. rozsudku). Není tedy rozhodné, že čl. 32 nařízení neobsahuje natolik konkrétní požadavky jako § 13 odst. 4 písm. c) zákona o ochraně osobních údajů, nýbrž to, zda úprava povinností podle čl. 32 nařízení odpovídá úpravě stanovené v § 13 odst. 1 zákona o ochraně osobních údajů. Tak tomu podle NSS také je. Obě ustanovení upravují povinnost správce a zpracovatele osobních údajů zajistit pomocí vhodných technických a organizačních opatření dostatečné zabezpečení osobních údajů proti neoprávněnému sdělování nebo přístupu. Byť tak činí různými slovy nelze drobné formulační rozdíly vykládat tak, že nařízení klade oproti zákonu o ochraně osobních údajů na správce či zpracovatele osobních údajů nižší požadavky a že se tak jedná o právní úpravu příznivější, jak se domnívá stěžovatel.
[25] NSS tedy s městským soudem souhlasí, že žalovaný nepochybil, pokud dospěl k závěru, že nařízení nebylo pro stěžovatele příznivější právní úpravou.
B)
[26] Stěžovatel také namítá, že městský soud měl při posuzování sankce aplikovat zákon o zpracování osobních údajů, neboť ten neumožňoval uložit sankci za správní trest veřejnému subjektu (§ 62 odst. 5 zákona o zpracování osobních údajů ve spojení s čl. 83 odst. 7 nařízení).
[27] Jak uvedl rozšířený senát NSS v usnesení ze dne 16. 11. 2016, čj. 5 As 104/2013 ‑ 46, rozhoduje‑li krajský soud ve správním soudnictví o žalobě proti rozhodnutí správního orgánu, kterým bylo rozhodnuto o vině a trestu za správní delikt v situaci, kdy zákon, kterého bylo použito, byl po právní moci správního rozhodnutí změněn nebo zrušen, je povinen přihlédnout k zásadě vyjádřené ve větě druhé čl. 40 odst. 6 Listiny základních práv a svobod, podle níž se trestnost činu posoudí a trest ukládá podle právní úpravy, která nabyla účinnosti až poté, kdy byl trestný čin spáchán, je‑li to pro pachatele příznivější.
[28] V daném případě byl rozsudek městského soudu vydán dne 20. 5. 2020. Zákon o ochraně osobních údajů byl zrušen již s účinností ke dni 24. 4. 2019 zákonem o zpracování osobních údajů, který téhož dne nabyl účinnosti. Pokud by tedy byl zákon o zpracování osobních údajů pro stěžovatele příznivější, měl městský soud povinnost při posuzování zákonnosti trestu postupovat podle tohoto zákona.
[29] Podle § 62 odst. 5 zákona o zpracování osobních údajů žalovaný upustí od uložení správního trestu také tehdy, jde‑li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení.
[30] Podle čl. 83 odst. 7 nařízení může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.
[31] Stěžovatel se v projednávaném případě dopustil přestupku dle § 45 odst. 1 písm. h) zákona o ochraně osobních údajů, který spočíval v tom, že nepřijal nebo neprovedl opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13). Tomuto přestupku odpovídá v nové právní úpravě přestupek dle § 62 odst. 1 písm. a) zákona o zpracování osobních údajů ve spojení s čl. 32 nařízení.
[32] Podle § 62 odst. 5 zákona o zpracování osobních údajů pak ve spojení s čl. 83 odst. 7 nařízení žalovaný upustí od uložení správního trestu, jde‑li o správce a zpracovatele, který je orgánem veřejné moci a veřejným subjektem. K témuž závěru dospěl již NSS v rozsudku ze dne 11. 2. 2020, čj. 4 As 376/2019 ‑ 31, i komentář k zákonu o zpracování osobních údajů: „Pokud spáchá přestupek orgán veřejné moci nebo veřejný subjekt, Úřad od uložení správního trestu upustí. (viz Vlachová, B., Maisner, M. Zákon o zpracování osobních údajů. Komentář. C. H. Beck, Praha, 2019, s. 131).
[33] Kdo se rozumí veřejným subjektem ve smyslu tohoto ustanovení však zákon o zpracování osobních údajů ani nařízení neuvádí. Z povahy věci je přitom zřejmé, že takový subjekt bude zpravidla zřízen zákonem a určen k plnění úkolů ve veřejném zájmu (jinak by totiž nebyl označován jako veřejný) a zároveň nebude disponovat vlastním majetkem, nýbrž bude financován z veřejných rozpočtů (obdobně srov. již výše citovaný rozsudek NSS čj. 4 As 376/2019 ‑ 31). Naopak, zásadně bude nerozhodné, zda je veřejnou institucí ve smyslu zákona o svobodném přístupu k informacím či veřejným zadavatelem podle zákona o zadávání veřejných zakázek, ani to zda vede zdravotnickou dokumentaci.
[34] Aniž by musel NSS nyní pojem veřejný subjekt ve smyslu § 62 odst. 5 zákona o zpracování osobních údajů konkrétně definovat, lze jednoznačně uzavřít, že stěžovatel takovým veřejným subjektem není.
[35] Stěžovatel je akciovou společností s vlastním majetkem a hospodařením. Lze sice souhlasit s tím, že je „převážně financován z prostředků veřejného zdravotního pojištění“. Takové financování však nelze považovat za financování z veřejných rozpočtů. Stěžovatel jako nemocnice (akciová společnost) nedostává finanční prostředky na svůj provoz a fungování přímo z veřejných rozpočtů, nýbrž je získává jako protiplnění za konkrétní úkony a pacienty, které zdravotním pojišťovnám „vykáže“. Shodným způsobem je ostatně financován jakýkoli jiný subjekt poskytující lékařskou péči (soukromá nemocnice či soukromý lékař). Byť tedy stěžovatel poskytuje zdravotní péči, která jistě je ve veřejném zájmu, je akciovou společností, která není financována z veřejných rozpočtů. Není tak veřejným subjektem, u něhož by měl žalovaný podle § 62 odst. 5 zákona o zpracování osobních údajů rozhodnout o upuštění od potrestání. Městský soud tedy nepochybil, pokud neaplikoval zákon o zpracování osobních údajů, neboť se nejedná o právní úpravu pro stěžovatele příznivější.
[36] Stěžovatelovy námitky nebyly důvodné, NSS proto kasační stížnost zamítl.
[37] Stěžovatel neměl v tomto soudním řízení ve věci úspěch, nemá proto právo na náhradu nákladů řízení o kasační stížnosti. Žalovanému žádné náklady nad rámec jeho běžné úřední činnosti nevznikly.
Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné.
V Brně dne 25. února 2022
Ondřej Mrákota
předseda senátu