10 As 102/2023 - 43
USNESENÍ
Nejvyšší správní soud rozhodl v senátu složeném z předsedy Zdeňka Kühna a soudců Michala Bobka a Ondřeje Mrákoty ve věci žalobce: Mgr. L. H., proti žalovanému: Ministerstvo zdravotnictví, se sídlem Palackého náměstí 375/4, Praha, proti rozhodnutí ministra zdravotnictví ze dne ze dne 15. 9. 2020, č. j. MZDR 38623/2020‑3/PRO, v řízení o kasační stížnosti žalovaného proti rozsudku Městského soudu v Praze ze dne 19. 4. 2023, čj. 10 A 125/2020‑87,
takto:
1) „Je zpřístupnění jména, příjmení, podpisu, a kontaktních údajů fyzické osoby coby jednatele či odpovědného zástupce právnické osoby, učiněné výlučně za účelem identifikace (osoby oprávněné jednat jménem určité) právnické osoby, přesto zpracováním „osobních údajů“ o dané fyzické osobě podle čl. 4 písm. 1) GDPR, tím pádem vstupující do působnosti GDPR?“
2) „Může vnitrostátní právo, včetně ustálené judikatury soudní, podmínit aplikaci přímo použitelného unijního nařízení správním orgánem, konkrétně čl. 6 odst. 1 písm. c), případně e) GDPR, splněním dalších podmínek z textu nařízení samotného neplynoucích, nicméně úroveň ochrany subjektů osobních údajů vlastně rozšiřujících, konkrétně povinností orgánu veřejné moci subjekt údajů o podané žádosti o poskytnutí jeho osobních údajů třetí osobě předem informovat?“
Odůvodnění:
[1] Žalobce se u Ministerstva zdravotnictví (dále jen „ministerstvo“) coby povinného subjektu domáhal poskytnutí následujících informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím: (i) smluv k nákupu testů používaných k ověření přítomnosti onemocnění SARS‑CoV‑2 u testované osoby, které uzavřel povinný subjekt, a dále (ii) certifikátu výrobku (testu) pořízeného povinným subjektem, prokazujícího možnost používání tohoto testu na území Evropské unie, případně České republiky, a to k ověření přítomnosti onemocnění SARS‑CoV‑2 u testované osoby, v rozsahu označení a podpisu osob, které vystavily jednotlivé certifikáty.
[2] Ministerstvo svým rozhodnutím, následně obsahově potvrzeným k rozkladu žalobce ministrem zdravotnictví, požadované certifikáty výrobků poskytlo. Začernilo na nich nicméně jméno a kontaktní údaje (fyzické) osoby, která jménem dané právnické osoby certifikát podepsala. Důvodem pro začernění předmětných údajů (konkrétně jména, příjmení, podpisu, funkčního zařazení v rámci dané právnické osoby, stejně jako v případě několika certifikátů rovněž kontaktní emailové adresy, čísla telefonu, někdy i webové stránky společnosti, která certifikát vydala) byla ochrana osobních údajů fyzických osob, které byly na daných certifikátech uvedeny jako jednajících jménem daných právnických osob. Nejvyšší správní soud pro ilustraci připojuje náhled na dva náhodně vybrané certifikáty:
[OBRÁZEK][OBRÁZEK]
[3] Městský soud v Praze (dále jen „městský soud“) rozhodnutí ministerstva (ministra zdravotnictví o rozkladu) zrušil. Vyšel přitom z předpokladu, že jméno a příjmení fyzické osoby, její podpis, stejně jako další ze začerněných údajů, jsou „osobními údaji“ ve smyslu čl. 4 odst. 1) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 119/1 ze dne 4. 5. 2016 – dále jen „GDPR“). Kombinace údajů o jménu, příjmení, stejně jako pracovního zařazení v rámci daného subjektu (právnické osoby), která certifikáty vydala, jsou zcela jistě způsobilé určitou fyzickou osobu identifikovat ve smyslu tohoto ustanovení.
[4] Městský soud nicméně nesouhlasil se závěrem ministerstva, že pro poskytnutí vyžádaných informací není naplněn žádný z možných scénářů zákonnosti zpracování osobních údajů dotčených fyzických osob podle čl. 6 odst. 1 GDPR. Tento závěr považoval městský soud přinejmenším za předčasný, neboť správní orgány se nepokusily získat souhlas dotčených subjektů údajů ohledně poskytnutí předmětných osobních údajů žalobci. Městský soud v tomto ohledu odkázal na judikaturu Nejvyššího správního soudu k poskytování informací podle zákona o svobodném přístupu k informacím, jmenovitě rozsudky ze dne 22. 10. 2014, č.j. 8 As 55/2012‑62; ze dne 17. 12. 2014, č.j. 1 As 189/2014‑50; ze dne 30. 6. 2015, č.j. 7 As 49/2015‑57; ze dne 8. 4. 2020, č.j. 10 As 227/2018‑41. Z této linie judikatury, původně rozvinuté v kontextu poskytování informací o platech zaměstnanců ve veřejné sféře, ale následně rozšířené i na jiné typy informací o činnosti veřejné správy, plyne povinnost správních orgánů informovat bez zbytečného prodlení osoby, o jejichž osobní údaje se jedná, že povinný subjekt hodlá poskytnout informace, které se jich mohou dotknout, a právo potenciálně dotčených osob se k tomu vyjádřit. Je pak na povinném subjektu, aby vyjádření takových osob reflektoval a vyvodil z něho důsledky pro svůj další postup.
[5] Skutečnost, že ministerstvo tímto způsobem nepostupovalo, tak podle městského soudu mimo jiné znamená, že nemohlo ani obdržet souhlas dotčených subjektů dle čl. 6 odst. 1 písm. a) GDPR k poskytnutí jejich osobních údajů. Městský soud proto dospěl k závěru, že se správní orgány při rozhodování o odepření poskytnutí těchto údajů žalobci dopustily procesního pochybení, které mohlo mít vliv na zákonnost jejich rozhodnutí. Před vydáním rozhodnutí o částečném odmítnutí žádosti vůbec nejednaly s kteroukoliv z osob, jejichž osobní údaje odmítly žalobci poskytnout a nepřiznaly jim postavení účastníků řízení podle § 27 odst. 2 správního řádu. Protože správní orgány nezjišťovaly, zda tyto osoby případně s poskytnutím svých osobních údajů žalobci souhlasí, a přesto odmítly žalobci jejich osobní údaje poskytnout, založily svůj závěr o tom, že pro jejich poskytnutí není dán žádný z důvodů zpracování stanovených v čl. 6 odst. 1 GDPR na nedostatečně zjištěném skutkovém stavu.
[6] Rozsudek městského soudu napadá před Nejvyšším správním soudem (dále jen „NSS“) ministerstvo kasační stížností. V rozsahu relevantním pro toto řízení o předběžné otázce ministerstvo především považuje právní názor městského soudu o subjektech údajů coby povinných účastnících vnitrostátního správního řízení o poskytnutí údajů dle zákona o svobodném přístupu k informacím za pomýlený. S odkazem na jiné rozhodnutí městského soudu uvádí, že byť tedy správní orgán může dotčený subjekt vyrozumět, pokud to uzná za vhodné, o žádné účastenství v řízení před správním orgánem se v tomto případě nejedná, a to ani analogicky. V důsledku toho také rozhodnutí správního orgánu, který této možnosti upozornění dané subjektu údajů nevyužije, nemůže způsobit procesní vadu jeho správního rozhodnutí, jak dovozuje městský soud.
[7] V rovině praktické pak ministerstvo doplňuje, že v projednávané věci jsou dotčené subjekty údajů (tedy fyzické osoby, které jednaly za dané právnické osoby, a jejichž jména, příjmení, funkční zařazení a další údaje byly začerněny) osoby působící na území Čínské lidové republiky a Spojeného království Velké Británie a Severního Irska (kde jsou inkorporovány předmětné právnické osoby – subjekty, které dané certifikáty vystavily). Ministerstvo nemá k dispozici kontakty na tyto fyzické osoby. Požadavek městského soudu na jejich vyrozumění je tak v zásadě nesplnitelný. Závěrem pak ministerstvo doplňuje, že pokud by dané osoby byly navíc účastníky řízení o poskytnutí osobních údajů, ať již přímo či analogicky, správní orgán by jim patrně měl také doručovat napadené rozhodnutí, což je opět s ohledem na jejich neznámé bydliště v zahraničí nerealizovatelné.
[8] Žalobce ve svém vyjádření ke kasační stížnosti, opět v rozsahu relevantním pro řízení o této předběžné otázce, odkázal především na argumenty uplatněné již před městský soudem ohledně paušalizujícího přístupu ministerstva v této věci. Žalobce předně nepovažoval kombinaci jména, příjmení, podpisu, a údajů o zařazení fyzické osoby v rámci právnické osoby za osobní údaj o fyzické osobě. Odkázal přitom na úvodní bod č. 14 GDPR, který vylučuje z působnosti citovaného nařízení „zpracovávání osobních údajů právnických osob“. Podpis certifikátu shody za právnickou osobu, za kterou je určitá fyzická osoba oprávněna jednat, nemůže být považován za projev osobní povahy fyzické osoby.
II.A. Unijní právo
[9] Druhá věta úvodního bodu č. 14 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 119/1 ze dne 4. 5. 2016) stanoví, že „Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.“
[10] Dle čl. 4 odst. 1) GDPR se „osobními údaji“ rozumí „veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby“.
[11] Článek 6 odst. 1 GDPR předvídá, že zpracování osobní údajů bude zákonné, pokud je splněna nejméně jedna z následujících podmínek:
„a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
(…)
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
(…)
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
(…).“
II.B. Vnitrostátní právo
[12] Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, stanoví povinnost státním orgánům, územně samosprávným celkům, a veřejným institucím (tedy povinným subjektům ve smyslu § 2 odst. 1 tohoto zákona), poskytnout informace fyzické i právnické osobě, která o ně požádá (§ 3).
[13] Poskytnutí osobních údajů fyzické osoby nicméně zákon v § 8a odst. 1 váže na soulad zpracování těchto údajů s právními předpisy, upravující ochranu těchto údajů: „Informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne jen v souladu s právními předpisy, upravujícími jejich ochranu.“ Předpisem upravujícím ochranu osobních údajů je v současnosti GDPR. To v praxi znamená, že aby mohl povinný subjekt osobní údaje, případně jiné informace týkající se osobnosti určité fyzické osoby, poskytnout, musí být toto zpracování osobních údajů z jeho strany v souladu s důvody (tituly) zpracování osobních údajů dle čl. 6 GDPR, stejně jako pochopitelně případných dalších ustanovení GDPR.
[14] Výjimku z tohoto požadavku představuje § 8a odst. 2 zákona, který stanoví, že „Povinný subjekt poskytne osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení.“ Tato výjimka se v projednávané věci však neuplatní. Předmětné právnické osoby nejsou součást veřejné správy, a jejich zaměstnanci/statutární orgány nejsou funkcionáři nebo zaměstnanci veřejné správy. Jde o (soukromé) obchodní společnosti a jejich statutární orgány, respektive osoby jednající jejich jménem.
[15] První předběžná otázka se týká vymezení hranice mezi „osobními údaji fyzické osoby“, tedy subjektu údajů podle čl. 4 písm. 1 GDPR, které za splnění dalších podmínek tímto nařízením vstupuje do jeho aplikačního rámce, a „osobních údajů právnických osob“, které by naopak dle úvodního bodu 14 GDPR měly být z jeho působnosti vyloučeny. Zvláštnost předkládané otázky spočívá v situaci, kdy cílem vyžadované informace a na ni navazujícího zpracování údajů nebylo získat údaj o fyzické osobě, ale pouze ověřit jednání právnické osoby, za kterou jedná určitá fyzická osoba.
[16] Nejvyšší správní soud předesílá, že v kontextu předloženého sporu, a především s ohledem na smysl a účel informačního dotazu a typ zpřístupněných údajů v dané věci, by měl za to, že jméno, příjmení, podpis, a kontaktní údaje odpovědné osoby/statutárního orgánu, jednající v daném případě a v rámci dané činnosti nikoliv jménem svým, ale výlučně jménem dané právnické osoby, jsou údaje o dané právnické osobě. Proto by nepředpokládal, že podobná situace vůbec vstoupí do aplikačního rámce GDPR ratione materiae, neboť to, co je požadováno, jsou pouze údaje o právnické osobě, a to v rámci informačního dotazu, který se týká výlučně činnosti dané právnické osoby.
[17] Jméno, příjmení, a funkční zařazení určité fyzické osoby zmocněné jednat za danou právnickou osobu by tak měly být logicky vnímány jako „kontaktní údaje“ právnické osoby ve smyslu druhé věty 14. úvodního bodu GDPR. NSS si je však rovněž vědom následujících skutečností.
[18] Za prvé, judikatura Soudního dvora opakovaně zdůrazňuje, že alfou a omegou GDPR je zajistit účinnou a úplnou ochranu základních práv a svobod fyzických osob, zejména práva na soukromí ve vztahu ke zpracování osobních údajů (viz rozsudky ze dne 13. 5. 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 53, jakož i ze dne 27. 9. 2017, Puškár, C‑73/16, EU:C:2017:725, bod 38). Proto musí být výklad klíčových, definičních pojmů GDPR, jako je kupříkladu „osobní údaje“, anebo „zpracovávání“ či „správce“, velice široký (rozsudky ze dne 13. 5. 2014, Google Spain a Google, C‑131/12, EU:C:2014:317, bod 34, jakož i ze dne 5. 6. 2018, Wirtschaftsakademie Schleswig‑Holstein, C‑210/16, EU:C:2018:388, bod 28). Pro ilustraci lze zmínit rovněž rozsudek ze dne 20. 12. 2017, Nowak, C‑434/16, EU:C:2017:994, bod 62, kde Soudní dvůr došel k závěru, že písemné odpovědi předložené uchazečem při odborné zkoušce a případné poznámky provedené zkoušejícím v souvislosti s těmito odpověďmi představovaly osobní údaje daného uchazeče. Výklad pojmu „osobní údaje“ pro účely stanovení působnosti GDPR je tak zjevně velice, velice široký.
[19] Za druhé, byť tedy druhá věta úvodního bodu č. 14 GDPR se zjevně snaží provést jakési negativní ohraničení působnosti tohoto nařízení, patrně s ohledem na čl. 4 odst. 1 GDPR, tento úvodní bod nenalézá žádného specifického odrazu ani ve vymezení věcné působnosti v čl. 2 GDPR, ani v definičních ustanoveních čl. 4 GDPR, či v dalších jeho (právně závazných) ustanoveních. Z ustálené judikatury Soudního dvora přitom plyne, že úvodní body legislativních aktů Unie mohou dotvořit či usměrnit určitý výklad závazného ustanovení daného aktu, nemají však vlastní normativní sílu. Nejedná se o právně závazná ustanovení, která by mohla být aplikována samostatně (srov. kupř. rozsudky ze dne 12. 7. 2005, Alliance for Natural Health a další, C‑154/04 a C‑155/04, EU:C:2005:449, body 91 a 92; ze dne 21. 12. 2011, Ziolkowski a Szeja, C‑424/10 a C‑425/10, EU:C:2011:866, body 42 a 43, nebo ze dne 25. 7. 2018, Confédération paysanne a další, C‑528/16, EU:C:2018:583, body 44 až 46 a 51).
[20] Za třetí, v rozsudku ze dne 9. 3. 2017, Salvatore Manni, C‑398/15, EU:C:2017:197, bod 34, Soudní dvůr zdá se akceptoval, že údaje týkající se identifikovatelných fyzických osob z obchodních rejstříků jsou „osobními údaji“ ve smyslu předchozí úpravy (tehdy směrnice 95/46). Kontext dané věci byl však odlišný jak skutkově, tak právně. V rovině skutkové se jednalo o informace o obchodní společnosti s jediným jednatelem, kdy informace o právnické osobě splývala s informacemi o osobě fyzické. V rovině právní šlo pak primárně o délku uchovávání daných osobních údajů ve veřejných rejstřících na základě jiné právní úpravy (směrnice Rady 68/151/EHS ze dne 9. března 1968 o koordinaci ochranných opatření, která jsou na ochranu zájmů společníků a třetích osob vyžadována v členských státech od společností ve smyslu čl. 58 druhého pododstavce Smlouvy, za účelem dosažení rovnocennosti těchto opatření, Úř. věst. Zvl. vyd. 17/01, s. 3), stejně jako právo být zapomenut v případech zániku právnických osob s jediným společníkem.
[21] Za čtvrté, po rozsudku ve věci Manni vstoupilo v platnost GDPR, které v již citovaném úvodním bodě č. 14 vyloučilo (potvrdilo vyloučení?) zpracování údajů o právnických osobách ze své působnosti. Přidalo tak negativní ohraničení, které v rovině explicitního vymezení chybělo v úvodních bodech směrnice 95/46 a tudíž i při rozhodování ve věci Manni. Citovaný úvodní bod by mohl být rovněž vnímán jako vyjádření úmyslu unijního zákonodárce pojmout rozsah ochrany zaručený GDPR o něco rozumněji a úžeji, než tomu bylo předtím. V tomto ohledu je však otázkou, nakolik má v této specifické otázce být úprava GDPR totožná, jako předchozí směrnice 95/46.
[22] Za páté, i kdyby se však v případě „osobních údajů právnických osob“ mělo jednat o de facto výjimku, dovozenou výkladem, která by se následně patrně měla propsat do výkladu čl. 4 písm. 1 GDPR a contrario, pak je zde opět setrvalá judikatura Soudního dvora, která trvá na striktním a zužujícím výkladu jakékoliv výjimky z působnosti GDPR, především tedy opět s ohledem na výklad čl. 2 odst. 2 GDPR (srov. kupř. rozsudky ze dne 9. 7. 2020, Land Hessen, C‑272/19, EU:C:2020:535, bod 68; ze dne 20. 5. 2003, Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, body 39 až 47; ze dne 22. 6. 2021, B, C‑439/19, EU:C:2021:504, body 61 až 72).
[23] Za této situace, byť se tedy NSS stále domnívá, že údaje o odpovědném zástupci právnické osoby jsou údaje o této právnické osobě, a nikoliv údaje o fyzické osobě tuto osobu zastupující, je NSS rovněž nucen uznat, že tato otázka výkladu práva EU není prosta pochybností. Odpověď na předkládanou otázku může mít navíc výrazný dopad nad rámec projednávaného sporu a jednotlivého poskytnutí informací, mimo jiné na vedení řady registrů a evidencí právnických osob v členských státech, stejně jako přístup veřejnosti k informacím o právnických osobách. Bylo by proto vhodné, aby Soudní dvůr vytyčil rámcová vodítka, podle kterých má docházet k případnému negativnímu ohraničení působnosti GDPR s ohledem na údaje týkající se právnických osob, která však budou začasto rovněž údaji o daných fyzických osobách, které buď za danou právnickou osobu jednají, anebo ji přímo tvoří.
[24] V obecné rovině NSS uzavírá, že byť chápe imperativ účinné ochrany osobních údajů fyzických osob, tento zájem nemůže jednostranně a poněkud mechanicky převážit nad jakýmikoliv jinými legitimními zájmy, jako je kupříkladu transparentnost a přístup veřejnosti k informacím, kterou samo primární právo EU ostatně uznává jako ústavní hodnotu s ohledem na orgány Unie (čl. 15 odst. 3 SFEU). NSS je navíc přesvědčen, že výklad definičních pojmů GDPR v jeho čl. 4 by neměl být prováděn abstraktně, odtrženě, a bez vazby na konkrétní operaci zpracování osobních údajů, ale kontextuálně a se zřetelem na cíl konkrétního zpracování, jak ostatně akceptoval sám Soudní dvůr v rozsudku ze dne 29. 7. 2019, Fashion ID GmbH, EU:C:2019:629 s ohledem na definici „správce“ v čl. 4 odst. 7 GDPR. Opačný přístup by vedl k výkladovému absolutismu GDPR, pod který by pak spadla jakákoliv lidská komunikace spočívající z povahy věci ve výměně informací, bez ohledu na to, čeho se týká.
[25] Za přijetí právě zmiňovaného konkrétního a kontextuálního vnímání, zaměřeného na konkrétní operaci s osobními údaji, a svázané účelem a cílem daného zpracování, by pak bylo v předkládané věci zřejmé, že informace, která byla vyžádána, nemířila na získání údajů o fyzických osobách. Týkala se výlučně poskytnutí informací o daných právnických osobách, přičemž informace o tom, kdo je za danou právnickou osobu oprávněn jednat, a kdo za ni podepsal daný certifikát, je informace o dané právnické osobě ve smyslu úvodního bodu č. 14 GDPR a rozumně, kontextuálně pojatého výkladu čl. 4 odst. 1) GDPR.
[26] Z těchto důvodů NSS předkládá Soudnímu dvoru první předběžnou otázku ve znění: „Je zpřístupnění jména, příjmení, podpisu, a kontaktních údajů fyzické osoby coby jednatele či odpovědného zástupce právnické osoby, učiněné výlučně za účelem identifikace (osoby oprávněné jednat jménem určité) právnické osoby, přesto zpracováním „osobních údajů“ o dané fyzické osobě podle čl. 4 písm. 1) GDPR, tím pádem vstupující do působnosti GDPR?“
[27] Druhá předkládaná otázka se týká povinnosti stanovené českým správním orgánům judikaturou Nejvyššího správního soudu (citovanou výše, bod 4 tohoto usnesení) se před poskytnutím informace dotázat u dotčených subjektů údajů, o nichž mohou být informace poskytnuty, zda s tímto poskytnutím souhlasí a dát jim možnost se k tomu případně vyjádřit.
[28] NSS v tomto ohledu doplňuje, že citovaná judikatura vznikla na půdorysu zákona o svobodném přístupu k informacím, a to před přijetím GDPR. Následně byla relevantní ustanovení GDPR, především tedy čl. 6, de facto inkorporována do vnitrostátního zákona o svobodném přístupu k informacím způsobem popsaným výše v bodech 13 a 14 tohoto usnesení. Jinak řečeno, § 8a zákona o svobodném přístupu k informacím podmiňuje poskytnutí osobních údajů o fyzických osobách ze strany povinného subjektu třetím osobám naplněním některého ze scénářů zákonnosti zpracování v souladu s čl. 6 odst. 1, tedy a) až f) GDPR.
[29] Starší judikatura správních soudů však pro kterýkoliv z těchto scénářů, tedy i scénářů mimo písm. a) čl. 6 odst. 1 GDPR (zpracovávání založené souhlasem subjektu údajů), vyžaduje informovat daný subjekt údajů, že správce jeho osobních údajů dostal žádost o poskytnutí daných údajů, a vyžádat si jeho pozici. Zde je nezbytné podtrhnout, že to, co citovaná judikatura vyžaduje, není „souhlas“, ale sdělení informace o obdrženém informačním dotazu a „vyžádání si pozice“ osoby, které se osobní údaje týkají. To však ale rovněž znamená, že postup vyžadovaný touto judikaturou se vztahuje i na scénáře dle písm. c) nebo e) čl. 6 odst. 1 GDPR, které by připadaly do úvahy v projednávané věci, a tím pádem i na situace, ve kterých se žádný souhlas subjektu údajů podle GDPR nevyžaduje.
[30] V případech mimo písm. a) čl. 6 odst. 1 GDPR je však rozhodnutí o (ne)poskytnutí vyžadovaných osobních údajů ve výlučné pravomoci a odpovědnosti správce údajů. Ustanovení čl. 6 odst. 1 obecně nepředvídá (ale pravda ani nevylučuje), že by se správce měl rovněž dotázat, respektive informovat subjekty údajů, že zamýšlí poskytnout třetí osobě jejich osobní údaje. Není předvídáno, že by správce údajů měl povinně vstoupit se subjekty údajů v jakýsi předběžný a informační dialog.
[31] Při stanovení této povinnosti v rozsudku rozšířeného senátu NSS ze dne 22. 10. 2014, č.j. 8 As 55/20123‑55, body 107 až 110, vyšel NSS z práva dotčených subjektů na informační sebeurčení a nezbytnost minimalizace zásahů do privátní sféry dotčených osob. Ze stejných premis vychází jak samotné GDPR ve svém úvodním bodě 4, tak v rovině koncepční výše citovaná judikatura Soudního dvora k výkladu tohoto nařízení (bod 18 tohoto usnesení). Stejně tak by bylo možné tvrdit, že povinnost informovat subjekt údajů o žádosti o informace jej se týkající vlastně naplňuje některé ze zásad zpracování osobních údajů, stanovených v čl. 5 GDPR – transparentnost zpracování osobních údajů [čl. 5 odst. 1 písm. a) GDPR] a ve faktické rovině, v důsledku reálně obtížnosti správce údajů dané osoby řádně informovat a jejich případné souhlasy obdržet, pak minimalizaci údajů [čl. 5 odst. 1 písm. c) GDPR]. Bylo by tedy možné tvrdit, že povinnost povinného subjektu informovat subjekt údajů v těchto případech, byť jde nad rámec požadavku GDPR, tak vlastně jde dále v jeho duchu a účelu vysoké míry ochrany subjektů údajů.
[32] Na druhou stranu je však pravdou, že rozšíření dané povinnosti na všechny scénáře dle čl. 6 odst. 1 GDPR, tedy dle kteréhokoliv písmene, a tím pádem i na situace, kdy si má správní orgán celou situaci posoudit samostatně, je problematické. Od nabytí účinnosti GDPR a úpravy celé problematiky bezprostředně použitelným a přednostně aplikovatelným nařízením Unie (a nikoliv směrnicí, jako tomu bylo předtím), by měl být postup správních orgánů v rámci celé Unie v zásadě stejný, podroben stejným podmínkám. Ostatně stejný rámec ochrany osobních údajů v rámci celé Unie má zajistit svobodný pohyb těchto údajů v rámci jednotného právního rámce (srov. rovněž 2. úvodní bod GDPR).
[33] Právě proměna právního aktu Unie v této oblasti (ze směrnice na nařízení) mimo jiné znamená změnu relevantní právní situace: namísto – byť maximální – harmonizace jako v rámci směrnice 95/46 (srov. rozsudek ze dne 29. 7. 2019, Fashion ID GmbH, EU:C:2019:629, bod 54), je napříště daná oblast práva unifikována na unijní úrovni. Za této situace se zdá, že členský stát již nemůže podrobovat vnitrostátní aplikaci přímo použitelného unijního nařízení dodatečným podmínkám, z právního aktu Unie samotného neplynoucích, která pak budou z povahy věci odlišné v každém členském státě. Jeden z členských států Unie tak vlastně zřídí režim, kde skrze dodatečné procesní podmínky bude zpracování osobních údajů a přístup k nim potenciálně těžší, než v členských státech jiných.
[34] Konečně byť se nejedná o normativně relevantní faktor, NSS rovněž nepřehlédl argumentaci stěžovatele ohledně obtížnosti či nemožnosti činit ze subjektů údajů analogicky účastníky každého vnitrostátního řízení vedoucího potenciálně k poskytnutí nějakých osobních údajů. Ustanovení čl. 1 odst. 1 ve spojení s čl. 4 odst. 1 GDPR, vyložené ve světle první věty úvodního bodu č. 14 GDPR, skutečně znamenají, že ochrana poskytovaná GDPR se vztahuje na zpracování osobních údajů všech fyzických osob bez ohledu státní příslušnost či bydliště. Je však obtížné či nemožné automaticky vztáhnout zde zmiňovanou povinnost informace a předběžné konzultace na globální úroveň, a to jak geograficky, tak čistě kvantitativně. Údaje v projednávané věci žádané se týkají sice právnických osob inkorporovaných v různých státech světa mimo Evropskou unii, ale pouze několika. Nicméně řada datových souborů s osobními údaji se může týkat stovek či tisícovek osob z různých států. Činit v takovém případě dotazy a předběžné konzultace podobného rázu je nemožné.
[35] Nicméně předtím, než NSS případně přistoupí ke změně své judikatury s ohledem na tuto otázku, by se rád ujistil, zda „Může vnitrostátní právo, včetně ustálené judikatury soudní, podmínit aplikaci přímo použitelného unijního nařízení, konkrétně čl. 6 odst. 1 písm. c), případně e) GDPR ze strany orgánu veřejné moci, splněním dalších podmínek z textu nařízení samotného neplynoucích, nicméně úroveň ochrany subjektů osobních údajů vlastně rozšiřujících, konkrétně povinností orgánu veřejné moci subjekt údajů o podané žádosti o poskytnutí jeho osobních údajů třetí osobě předem informovat?“
[36] Pouze pro úplnost NSS dodává, že odpověď na druhou předloženou předběžnou otázku bude zapotřebí pouze v případě, pokud Soudní dvůr odpoví na první otázku kladně, tedy potvrdí aplikovatelnost GDPR i v situacích, jako je ta ve výchozím řízení. V případě záporné odpovědi Soudního dvora na první otázku ohledně působnosti GDPR ratione materiae se stane druhá otázka v projednávané věci bezpředmětnou.
IV. Závěr
[37] Výklad zde nastolených otázek není prost pochybností, které by zbavily Nejvyšší správní soud coby soud posledního stupně ve smyslu čl. 267 odst. 3 SFEU povinnosti předložit předběžnou otázku Soudnímu dvoru (srov. rozsudek ze dne 6. října 2021, Consorzio Italian Management, ECLI:EU:C:2021:799, bod 33 an.). První zde předložená otázka je navíc širšího právního významu, který jasně přesahuje horizont současného řízení. Proto vyžaduje pozornosti Soudního dvora EU v rámci zajištění jednotného výkladu práva Unie napříč členskými státy.
[38] Nejvyšší správní soud proto předložil Soudnímu dvoru Evropské unie v souladu s čl. 267 odst. 3 SFEU předběžné otázky vymezené ve výroku I. tohoto usnesení.
[39] V návaznosti na položení předběžných otázek Nejvyšší správní soud dle § 48 odst. 1 písm. b) s. ř. s. přerušil výrokem č. II řízení. Poté, co Soudní dvůr o předložené otázce rozhodne, bude v řízení pokračovat (§ 48 odst. 6 s. ř. s.).
Poučení: Proti tomuto usnesení nejsou opravné prostředky přípustné.
V Brně dne 1. listopadu 2023
Zdeněk Kühn
předseda senátu