[OBRÁZEK]

R O Z S U D E K

J M É N E M R E P U B L I K Y

Nejvyšší správní soud rozhodl v senátu složeném z předsedy Michala Bobka, soudce Ondřeje Mrákoty a soudkyně Michaely Bejčkové ve věci žalobce: Mgr. L. H., proti žalovanému: Ministerstvo zdravotnictví, se sídlem Palackého náměstí 375/4, Praha, proti rozhodnutí ministra zdravotnictví ze dne 15. 9. 2020, č. j. MZDR 38623/2020‑3/PRO, v řízení o kasační stížnosti žalovaného proti rozsudku Městského soudu v Praze ze dne 19. 4. 2023, čj. 10 A 125/2020‑87,

takto:

1.                 V řízení o kasační stížnosti se pokračuje.

2. Rozsudek Městského soudu v Praze ze dne 19. 4. 2023, čj. 10 A 125/2020‑87, se ruší a věc se vrací tomuto soudu k dalšímu řízení.

Odůvodnění:

1.  Vymezení věci a dosavadní řízení

[1]               Žalobce se u Ministerstva zdravotnictví coby povinného subjektu domáhal poskytnutí následujících informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím: (i) smluv k nákupu testů používaných k ověření přítomnosti onemocnění SARS‑CoV‑2 u testované osoby, které uzavřel povinný subjekt, a dále (ii) certifikátu výrobku (testu) pořízeného povinným subjektem, prokazujícího možnost používání tohoto testu na území Evropské unie, případně České republiky, a to k ověření přítomnosti onemocnění SARS‑CoV‑2 u testované osoby.

[2]               Žalovaný svým rozhodnutím, následně obsahově potvrzeným k rozkladu žalobce ministrem zdravotnictví, požadované certifikáty výrobků poskytl. Začernil na nich nicméně jméno a kontaktní údaje (fyzické) osoby, která jménem dané právnické osoby certifikát podepsala. Důvodem pro neposkytnutí předmětných údajů (konkrétně jména, příjmení, podpisu, funkčního zařazení v rámci dané právnické osoby, stejně jako v případě několika certifikátů rovněž kontaktní e‑mailové adresy, čísla telefonu, někdy i webové stránky společnosti, která certifikát vydala) byla ochrana osobních údajů fyzických osob, které byly na daných certifikátech uvedeny jako jednající jménem daných právnických osob.

[3]               Městský soud v Praze (dále jen „městský soud“) rozhodnutí ministra zdravotnictví o rozkladu zrušil. Vyšel přitom z předpokladu, že jméno a příjmení fyzické osoby, její podpis, stejně jako další ze začerněných údajů, jsou „osobními údaji“ ve smyslu čl. 4 odst. 1) nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 119/1 ze dne 4. 5. 2016 – dále jen „GDPR“). Kombinace údaje o jménu, příjmení a údaje o pracovním zařazení v rámci daného subjektu (právnické osoby), která certifikáty vydala, jsou zcela jistě způsobilé určitou fyzickou osobu identifikovat ve smyslu tohoto ustanovení.

[4]               Pro řízení o této kasační stížnosti byl nicméně rozhodující nesouhlas městského soudu se závěrem ministra, že pro poskytnutí vyžádaných informací není naplněn žádný z možných scénářů zákonného zpracování osobních údajů dotčených fyzických osob podle čl. 6 odst. 1 GDPR. Tento závěr považoval městský soud přinejmenším za předčasný, neboť správní orgány se nepokusily získat souhlas dotčených subjektů údajů ohledně poskytnutí předmětných osobních údajů žalobci.

[5]               Městský soud v tomto ohledu odkázal na judikaturu Nejvyššího správního soudu k poskytování informací podle zákona o svobodném přístupu k informacím, jmenovitě rozsudky ze dne 22. 10. 2014, č.j. 8 As 55/2012‑62; ze dne 17. 12. 2014, č.j. 1 As 189/2014‑50; ze dne 30. 6. 2015, č.j. 7 As 49/2015‑57; ze dne 8. 4. 2020, č.j. 10 As 227/2018‑41. Z této linie judikatury, původně rozvinuté v kontextu poskytování informací o platech zaměstnanců ve veřejné sféře (rozsudkem rozšířeného senátu v citovaném č. j. 8 As 55/2012‑62), ale následně rozšířené i na jiné typy informací o činnosti veřejné správy, plyne povinnost správních orgánů informovat bez zbytečného prodlení osoby, o jejichž osobní údaje se jedná, že povinný subjekt hodlá poskytnout informace, které se jich mohou dotknout, a právo potenciálně dotčených osob se k tomu vyjádřit. Je pak na povinném subjektu, aby vyjádření takových osob reflektoval a vyvodil z něho důsledky pro svůj další postup.

[6]               Skutečnost, že žalovaný tímto způsobem nepostupoval, tak podle městského soudu mimo jiné znamená, že nemohl ani obdržet souhlas dotčených subjektů dle čl. 6 odst. 1 písm. a) GDPR k poskytnutí jejich osobních údajů. Městský soud proto dospěl k závěru, že se správní orgány při rozhodování o odepření poskytnutí těchto údajů žalobci dopustily procesního pochybení, které mohlo mít vliv na zákonnost jejich rozhodnutí. Před vydáním rozhodnutí o částečném odmítnutí žádosti vůbec nejednaly s kteroukoliv z osob, jejichž osobní údaje odmítly žalobci poskytnout, a nepřiznaly jim postavení účastníků řízení podle § 27 odst. 2 správního řádu. Protože správní orgány nezjišťovaly, zda tyto osoby případně s poskytnutím svých osobních údajů žalobci souhlasí, a přesto odmítly žalobci jejich osobní údaje poskytnout, založily svůj závěr o tom, že pro jejich poskytnutí není dán žádný z důvodů zpracování stanovených v čl. 6 odst. 1 GDPR na nedostatečně zjištěném skutkovém stavu.

II. Kasační stížnost žalovaného a vyjádření žalobce

[7]               Rozsudek městského soudu napadá před Nejvyšším správním soudem (dále jen „NSS“) žalovaný („stěžovatel“) kasační stížností z důvodů podle § 103 odst. 1 písm. a) a d) zákona č. 150/2002 Sb., soudní řád správní (dále jen „s. ř. s.“).

[8]               Stěžovatel především zdůraznil, že městský soud přezkoumal rozhodnutí ministra nad rámec uplatněných žalobních bodů a zrušil jej z důvodu, k němuž nebyl povinen, a tím pádem ani oprávněn, přihlédnout i bez námitky. Tvrzení, že správní orgány nejednaly s dotčenými osobami a nepřiznaly jim postavení účastníků řízení, žalobce nevznesl ani v průběhu správního řízení, ani v žalobě. Městský soud tak ve svém posouzení vykročil výrazně nad rámec rozsahu řádně uplatněných žalobních bodů (§ 75 odst. 2 s. ř. s.).

[9]               Kromě námitky překročení meze soudního přezkumu městským soudem je pak stěžovatel rovněž názoru, že argumentace městského soudu neobstojí ani z hlediska věcného. Stěžovatel považuje právní názor městského soudu o subjektech údajů coby povinných účastnících správního řízení o poskytnutí údajů dle zákona o svobodném přístupu k informacím za pomýlený. S odkazem na jiné, dřívější rozhodnutí stejného senátu městského soudu (rozsudek ze dne 23. 9. 2020, č. j. 10 A 110/2018‑29) uvádí, že byť tedy správní orgán může dotčený subjekt vyrozumět, pokud to uzná za vhodné, o žádné účastenství v řízení před správním orgánem se v tomto případě nejedná, a to ani analogicky. V důsledku toho také rozhodnutí správního orgánu, který této možnosti upozornění dotčeného subjektu údajů nevyužije, nemůže způsobit procesní vadu jeho správního rozhodnutí, jak dovozuje městský soud.

[10]            V rovině praktické pak stěžovatel doplnil, že v projednávané věci jsou dotčené subjekty údajů (tedy fyzické osoby, které jednaly za dané právnické osoby a jejichž jména, příjmení, funkční zařazení v rámci právnické osoby a kontaktní údaje byly začerněny) osoby působící na území Čínské lidové republiky a Spojeného království Velké Británie a Severního Irska (kde jsou inkorporovány předmětné právnické osoby – subjekty, které dané certifikáty vystavily). Stěžovatel nemá k dispozici kontakty na tyto fyzické osoby. Požadavek městského soudu na jejich vyrozumění je tak v zásadě nesplnitelný. Závěrem pak stěžovatel doplňuje, že pokud by dané osoby byly navíc účastníky řízení o poskytnutí osobních údajů, ať již přímo či analogicky, správní orgán by jim patrně měl také doručovat napadené rozhodnutí, což je opět s ohledem na jejich neznámé bydliště v zahraničí nerealizovatelné.

[11]            Žalobce ve vyjádření ke své kasační stížnosti uvedl celkem 17 bodů, ve kterých vyjadřuje nesouhlas s tvrzeními stěžovatele. Ve svém vyjádření žalobce mimo jiné podtrhl své právo coby spotřebitele a adresáta mimořádných opatření k nošení ochrany úst a nosu vědět, zda výrobky, které měl používat, byly řádně přezkoušeny a certifikát osvědčující tento postup byl vyhotoven oprávněnými osobami. Městský soud rovněž dle jeho názoru nijak nevykročil z žalobních důvodů uplatněných žalobcem. Žalobce zdůrazňuje, že mu není jasné, proč má být začerněn údaj, kdo předmětné objednávky za dodávajícího, stejně jako kupujícího, podepsal. Skutečnost, že stěžovatel tímto způsobem tají skutečnou identitu osob, které měly za předmětné právnické osoby jednat, pouze vzbuzuje podezření, že se jedná o „nastrčené“ osoby a společnosti a že žalovaný tímto způsobem „skrývá pravou podstatu koupě objednaného zboží, a hlavně jeho původ“.

III. Právní hodnocení Nejvyššího správního soudu

[12]       Nejvyšší správní soud shledal, že kasační stížnost je přípustná. Byla podána osobou oprávněnou, ve lhůtě dle § 106 odst. 2 s. ř. s. Napadený rozsudek proto přezkoumal v rozsahu a z důvodů vymezených stěžovatelem v kasační stížnosti. Přihlížel při tom k případným vadám, které je povinen zkoumat z úřední povinnosti (§ 109 odst. 3 a 4 s. ř. s.).

[13]       Kasační stížnost je důvodná.

[14]       Nejvyšší správní soud předesílá, že první kasační námitku stěžovatele ohledně překročení meze soudního přezkumu městským soudem neshledal důvodnou. Je pravda, že otázka účastenství případných dotčených osob nebyla v žalobě jako taková uplatněna. Městský soud se touto otázkou nicméně také jako samostatnou žalobní námitkou nezabýval. V bodech 59 až 66 svého rozsudku vnímal otázku účastenství podle § 27 odst. 2 správního řádu coby součást otázky korektní aplikace čl. 6 odst. 1 písm. a) GDPR, tedy zákonnosti zpracování osobních údajů stěžovatelem na základě souhlasu uděleného subjektem údajů. Zákonnost postupu stěžovatele a otázka, na základě kterého ustanovení zákona, respektive bezprostředně aplikovatelného ustanovení práva Unie v podobě obecného nařízení o ochraně osobních údajů (GDPR), by případně bylo možné požadované údaje poskytnout, pak předmětem přezkumu městským soudem bezesporu byla.

[15]       Nejvyšší správní soud nicméně přitakal druhé kasační námitce stěžovatele ohledně nekorektní aplikace judikatury NSS týkající se postavení dotčených osob při posuzování žádostí podle zákona o svobodném přístupu k informacím. K této problematice Nejvyšší správní soud nejprve připomene aplikovatelnou legislativu, a to jak vnitrostátní, tak především unijní. Unijní kontextu je v projednávané věci klíčový, a to rovněž z důvodu, že od doby, kdy rozšířený senát zaujal svůj původní právní názor v rozsudku č. j. 8 As 55/2012‑62, došlo k přijetí jednotného a přednostně aplikovatelného unijního rámce v podobě GDPR, který kromě účinného ochrany osobních údajů, na straně jedné, rovněž uznává coby legitimní zájem transparentnost veřejné správy, na straně druhé.

a) Aplikovatelná právní úprava

[16]            Zákon č. 106/1999 Sb., o svobodném přístupu k informacím (InfZ), stanoví povinnost státním orgánům, územně samosprávným celkům a veřejným institucím (tedy povinným subjektům ve smyslu § 2 odst. 1 InfZ) poskytnout informace fyzické i právnické osobě, která o ně požádá (§ 3).

[17]            Poskytnutí osobních údajů fyzické osoby nicméně zákon v § 8a odst. 1 váže na soulad zpracování těchto údajů s právními předpisy, upravujícími ochranu těchto údajů: „Informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne jen v souladu s právními předpisy, upravujícími jejich ochranu.“ Předpisem upravujícím ochranu osobních údajů je v současnosti GDPR. To v praxi znamená, že aby mohl povinný subjekt osobní údaje, případně jiné informace týkající se osobnosti určité fyzické osoby, poskytnout, musí být toto zpracování osobních údajů z jeho strany v souladu s důvody (tituly) zpracování osobních údajů dle čl. 6 odst. 1 GDPR, stejně jako pochopitelně případných dalších ustanovení GDPR, včetně čl. 5.

[18]            Výjimku z požadavku § 8a odst. 1 představuje § 8a odst. 2 InfZ, který stanoví, že „Povinný subjekt poskytne osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení.“ Tato výjimka se v projednávané věci však přímo neuplatní. Právnické osoby, které předmětné certifikáty vydaly, nejsou součástí veřejné správy, a to ani české, ani zahraniční. Jde o obchodní společnosti a jejich statutární orgány, respektive osoby jednající jejich jménem. Navíc jak již dovodil městský soud v bodech 52 až 53 napadeného rozsudku, prohlášení o shodě, která měla být dle názoru žalobce v projednávané věci stěžovatelem poskytnuta, nejsou sama o sobě veřejnými listinami. S tímto závěrem pak žádný z účastníků v řízení o kasační stížnosti nepolemizuje.

[19]            Samotná zákonnost zpracování, lépe řečeno její rámec, na který ustanovení § 8a odst. 1 InfZ dnes odkazuje, je obsažen především v čl. 6 odst. 1 GDPR, který předvídá, že zpracování osobních údajů bude zákonné, pokud je splněna nejméně jedna z následujících podmínek:

„a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

(…)

c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

(…)

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

(…).“

[20]            Konkrétnější ustanovení pro scénáře písm. c) a e) mohou být v souladu s odst. 2 a 3 čl. 6 GDPR stanoveny úpravou členského státu. Pro výklad těchto možností je nicméně podstatné, že zpracování dle písm. a) (tedy na základě souhlasu) a dle písm. c) a e) (zpracování veřejnoprávním správcem pro stanovené důvody) jsou odlišné situace. Jinak řečeno, pro zákonnost zpracování dle písm. c) či e) není žádné zjišťování souhlasu subjektů údajů zapotřebí. Naplnění podmínek plynoucích z GDPR a případné vnitrostátní legislativy si správce osobních údajů posuzuje sám. GDPR sám žádný způsob „interakce“ se subjekty údajů v případě těchto titulů pro zpracování osobních údajů neupravuje.

[21]            Tuto odlišnost, a především samostatnost jednotlivých titulů pro zákonné zpracování osobních údajů, které rovněž zahrnuje jejich případné poskytnutí třetím stranám (čl. 4 odst. 2 GDPR), je zapotřebí podtrhnout jako důležité východisko. Správce osobních údajů v podobě veřejnoprávního orgánu, který postupuje dle písm. e) anebo c) čl. 6 odst. 1 GDPR, tak není povinen žádat o souhlas subjekt údajů. Otázku naplnění autonomních podmínek GDPR pro zpracování osobních údajů si posuzuje samostatně a na vlastní odpovědnost. Ostatně kdyby tomu tak dle GDPR nebylo, jednotlivé tituly zpracování pod písmeny b) až f) by ztratily význam. Pro veškeré zpracování by pak bylo nezbytné vyžadovat souhlas subjektu údajů. Veškeré důvody/tituly by pak vlastně byly pokryty scénářem písm. a) čl. 6 odst. 1 GDPR.

b) Předběžná otázka předložená Soudnímu dvoru EU

[22]            Po předběžné poradě soudu v projednávané věci vyvstaly Nejvyššímu správnímu soudu pochybnosti ohledně korektního výkladu práva Unie, konkrétně relevantních ustanovení GDPR, a jejich aplikace na projednávanou věc. Coby soud posledního stupně dle třetího pododstavce čl. 267 SFEU, který tíží povinnost předběžné otázky k Soudnímu dvoru v případě pochybností ohledně správného výkladu práva Unie (srov. rozsudek ze dne 6. října 2021, Consorzio Italian Management, ECLI:EU:C:2021:799, bod 33 an.), NSS přerušil usnesením ze dne 1. 11. 2023, č. j. 10 As 102/2023‑43 řízení a předložil Soudnímu dvoru následující dvě předběžné otázky:

1)              Je zpřístupnění jména, příjmení, podpisu a kontaktních údajů fyzické osoby coby jednatele či odpovědného zástupce právnické osoby, učiněné výlučně za účelem identifikace (osoby oprávněné jednat jménem určité) právnické osoby, přesto zpracováním „osobních údajů“ o dané fyzické osobě podle čl. 4 písm. 1) GDPR, tím pádem vstupující do působnosti GDPR?

2)              Může vnitrostátní právo, včetně ustálené judikatury soudní, podmínit aplikaci přímo použitelného unijního nařízení správním orgánem, konkrétně čl. 6 odst. 1 písm. c), případně e) GDPR, splněním dalších podmínek z textu nařízení samotného neplynoucích, nicméně úroveň ochrany subjektů osobních údajů vlastně rozšiřujících, konkrétně povinností orgánu veřejné moci subjekt údajů o podané žádosti o poskytnutí jeho osobních údajů třetí osobě předem informovat?

[23]            Důvody pro předložení předběžné otázky kasační soud podrobně vyložil v citovaném předkládacím usnesení, kterým zároveň dle § 48 odst. 1 písm. b) s. ř. s. v této věci přerušil řízení do rozhodnutí Soudního dvora o předběžné otázce. Toto usnesení je přístupné na internetových stránkách NSS; je proto zbytné jej zde podrobně reprodukovat.

[24]            Soudní dvůr na předložené otázky odpověděl rozsudkem ze dne 3. 4. 2025, ve věci C‑710/23, EU:C:2025:231, a to následujícím způsobem:

1) Článek 4 body 1 a 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) musí být vykládán v tom smyslu, že poskytnutí jména, příjmení, podpisu a kontaktních údajů fyzické osoby zastupující právnickou osobu představuje zpracování osobních údajů. Okolnost, že jediným účelem tohoto poskytnutí je umožnit identifikaci fyzické osoby oprávněné jednat jménem této právnické osoby, je v tomto ohledu irelevantní.

2) Článek 6 odst. 1 písm. c) a e) nařízení 2016/679 ve spojení s článkem 86 tohoto nařízení musí být vykládán v tom smyslu, že nebrání vnitrostátní judikatuře ukládající správci, který je orgánem veřejné moci odpovědným za zajištění souladu mezi přístupem veřejnosti k úředním dokumentům a právem na ochranu osobních údajů, povinnost informovat a konzultovat dotčenou fyzickou osobu před poskytnutím úředních dokumentů obsahujících takové údaje, za předpokladu, že taková povinnost není nesplnitelná nebo nevyžaduje nepřiměřené úsilí, a tudíž neznamená nepřiměřené omezení práva veřejnosti na přístup k těmto dokumentům.

[25]            V dalším řízení v této věci proto NSS vychází z právního názoru, že i když je informační dotaz třetí strany směřován nikoliv na fyzickou osobu, ale pouze na identifikaci statutárního orgánu či osoby, která za určitou právnickou osobu jedná, tudíž se v tomto ohledu jedná o údaj o právnické, nikoliv fyzické osobě, tak i v takovém případě jde o zpřístupňování osobních údajů fyzické osoby (odpověď na první předběžnou otázku). GDPR je tak plně aplikovatelné i v projednávané věci.

[26]            V odpovědi na druhou předběžnou otázku týkající se rozsahu informování subjektů údajů správcem nicméně Soudní dvůr zdůraznil význam čl. 86 GDPR, který podtrhuje význam přístupu veřejnosti k úředním dokumentům. Soudní dvůr dále doplnil, že:

39. Tento článek [čl. 86 GDPR – pozn. NSS] musí být vykládán ve světle zaprvé bodu 4 odůvodnění GDPR, který zejména uvádí, že právo na ochranu osobních údajů není právem absolutním, zadruhé bodu 154 odůvodnění tohoto nařízení, z něhož mimo jiné vyplývá, že přístup veřejnosti k úředním dokumentům lze považovat za přístup ve veřejném zájmu, a zatřetí judikatury, podle níž zásada transparentnosti, jak vyplývá z článků 1 a 10 SEU, jakož i z článku 15 SFEU, umožňuje občanům blíže se účastnit rozhodovacího procesu a zaručuje, že správní orgány budou mít ve vztahu k občanům v demokratickém systému větší legitimitu, účinnost a odpovědnost (rozsudek ze dne 22. listopadu 2022, Luxembourg Business Registers, C‑37/20 a C‑601/20, EU:C:2022:912, bod 60 a citovaná judikatura).“
40. Jak vyplývá z bodu 10 odůvodnění GDPR, členské státy jsou sice oprávněny zachovat či zavést vnitrostátní předpisy za účelem dále konkretizovat uplatňování pravidel tohoto nařízení, avšak tyto státy musí využít svého prostoru pro uvážení za podmínek a v mezích stanovených uvedeným nařízením a musí vykonávat legislativní činnost způsobem, jenž nezasáhne do jeho obsahu a cílů (v tomto smyslu viz rozsudek ze dne 30. března 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, bod 59 a citovaná judikatura).
41. Kromě toho v souladu se zásadou proporcionality se musí členské státy ujistit, že praktické důsledky, zejména organizační povahy, způsobené dodatečnými požadavky, které stanovily, nejsou nepřiměřené (v tomto smyslu viz rozsudek ze dne 21. prosince 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, bod 67).

[27]            Soudní dvůr dále upřesnil, že vnitrostátní právo, které zahrnuje i judikaturu soudní, může v souladu s odst. 2 a 3 čl. 6 GDPR stanovit další podmínky pro zpracování osobních údajů dle písm. c) a e), tedy veřejnoprávními správci při realizaci jejich zákonných úkolů, mezi které může spadat rovněž informování případně dotčených subjektů údajů. Soudní dvůr pak v bodě 46 svého rozsudku uzavřel, že:

„…by absolutní uplatňování uvedené povinnosti mohlo vést k nepřiměřenému omezení práva veřejnosti na přístup k úředním dokumentům. Lze si totiž představit, že z různých důvodů se informování nebo konzultace subjektu údajů mohou ukázat jako nemožné nebo vyžadující nepřiměřené úsilí. V takovém kontextu by poukazování na praktickou nemožnost informovat tento subjekt a konzultovat jej jako na důvod pro systematické odmítání jakéhokoli poskytování informací, které se ho týkají, vedlo k tomu, že by byla vyloučena veškerá snaha o zajištění souladu dotčených zájmů, přestože je zajišťování jejich souladu výslovně stanoveno v článku 86 GDPR.“

c) Který typ informace se může pojmově dotknout subjektu údajů?

[28]            Soudní dvůr ve svém rozsudku neupřesnil žádná kritéria (kvantitativní, kvalitativní, typová či jiná), kdy by konzultace subjektů údajů již vyžadovala „nepřiměřené úsilí“ a kdy se jedná stále ještě o „úsilí přiměřené“. V obecné rovině nicméně trval na nalezení rozumné rovnováhy mezi právem na ochranu osobních údajů na straně jedné, a zachování transparentnosti veřejné správy a přístupu veřejnosti k informacím veřejného zájmu na straně druhé.

[29]            V kontextu projednávané věci proto považuje Nejvyšší správní soud za vhodné připomenout, pro jaké typy údajů rozšířený senát svým původním rozsudkem ze dne 22. 10. 2014, č. j. 8 As 55/2012‑62 stanovil povinnost informovat subjekt údajů o skutečnosti, že povinný subjekt zvažuje poskytnutí požadované informace, a nabídnout dané třetí straně možnost vyjádřit se. Původně se jednalo o informace o výši peněžitých plnění poskytovaných zaměstnanci zaměstnavatelem, který je povinným subjektem, v souvislosti s pracovněprávním vztahem, zejména informace o výši jeho platu či odměn poskytovaných za výkon práce na půdorysu tehdejšího § 8b InfZ. Typově se tedy jednalo o informace, které nebývají obecně veřejně přístupné, lze je považovat za důvěrnější povahy, a u kterých by v každém případě docházelo k měření jednotlivých zájmů, tedy práva veřejnosti na informace na straně jedné, a ochrany soukromí dotčených osob na straně druhé. Ostatně vědomí potenciální choulostivosti podobného typu informací, stejně jako komplexní následná judikatura jak správních soudů, tak Ústavního soudu k této otázce, kterou patrně nelze označit za naprosto jednotnou, vedly zákonodárce k přijetí nového § 8c InfZ novelou zákona č. 241/2022 Sb. 

[30]            Východiskem posouzení rozšířeného senátu v dané věci bylo, že dle InfZ existují kromě povinného subjektu a žadatele rovněž další osoby, kterých se může poskytnutí vyžádané informace dotknout (v terminologii GDPR tedy subjekty osobních údajů, jejichž osobní údaje mají být zpracovány). S účastenstvím těchto osob nicméně InfZ nepočítal; naopak je výslovně vylučoval. Rozšířený senát přesto v bodě 108 dovodil, že:

„z toho mimo jiné plyne i okruh osob, s nimiž povinný subjekt při poskytování informace jedná – je jím především žadatel, což plyne vcelku jednoznačně z celé procesní úpravy poskytování informací, která obecně nepředpokládá, že by v ní figuroval kdokoli jiný než žadatel a povinný subjekt. Ostatní osoby, které by mohly být poskytnutím informace dotčeny (např. osoby, kterých se poskytnutá informace týká a jež by mohly být dotčeny ve svém právu na informační sebeurčení), mají práva plynoucí ze základních zásad činnosti správních orgánů. V daném kontextu se na ně tedy vztahuje především ustanovení § 4 odst. 4 správního řádu, podle něhož správní orgán umožní dotčeným osobám uplatňovat jejich práva a oprávněné zájmy. Z uvedeného ustanovení vyplývá především povinnost povinného subjektu informovat bez zbytečného prodlení tyto osoby, že hodlá poskytnout informace, které se jich mohou dotknout, a právo potenciálně dotčených osob se k tomu vyjádřit. Je pak na povinném subjektu, aby případné vyjádření takových osob reflektoval a vyvodil z něho eventuálně důsledky pro svůj další postup. Komunikace mezi povinným subjektem a dotyčnou osobou má probíhat tak, aby zásadně nebylo ohroženo vyřízení žádosti o poskytnutí informace v zákonem stanovených lhůtách (§ 14 a 15 zákona o svobodném přístupu k informacím).“

[31]            Z citovaných závěrů rozšířeného senátu v novém legislativním kontextu GDPR plynou dva důležité závěry. Za prvé, povinnost informovat subjekt údajů na základě § 4 odst. 4 správního řádu zůstává v rovině poskytnutí možnosti vyjádřit se, aby mohl správní orgán/správce osobních údajů o jejich poskytnutí samostatně rozhodnout v rámci své vlastní úvahy v případě, kdy musí provádět vážení jednotlivých dotčených zájmů. Nejedná se nicméně o povinné dotazování se na udělení souhlasu subjektem údajů podle čl. 6 odst. 1 písm. a) GDPR, jak se mylně domníval městský soud. Pochopitelně, pokud správní orgán/správce osobních údajů podobný dotaz v předvídaných lhůtách učiní a souhlas subjektu údajů k poskytnutí jeho osobních údajů získá, pak se může dovolat titulu pro zpracování dle písm. a) za předpokladu, že udělený souhlas splňuje všechny náležitosti dle čl. 7 GDPR. Určitým způsobem se tak správce údajů může vskutku vyhnout vlastnímu posuzování důvodu zpracování dle písm. c) nebo e) čl. 6 odst. 1 GDPR, pokud je schopen zpracování zaštítit platným souhlasem uděleným dle písm. a).

[32]            Absence souhlasu nicméně, jak již bylo osvětleno výše, nezbavuje správce povinnosti samostatně posoudit zákonnost zpracování v podobě poskytnutí osobních údajů třetí straně dle písm. e) anebo c) čl. 6 odst. 1 GDPR. Lapidárně řečeno, správce se nemůže bránit převzetí vlastní odpovědnosti za vlastní rozhodnutí předvídané GDPR poukazem na to, že se mu nepodařilo získat souhlas subjektu údajů. Stejně tak nemůže být v rámci následného soudního přezkumu do získávání souhlasu dle písm. a) de facto nucen, pokud své rozhodnutí založí na autonomním posouzení podmínek písm. c) anebo e) čl. 6 odst. 1 GDPR, ať již s jakýmkoliv věcným závěrem.

[33]            Za druhé, a pro projednávanou věc patrně především, povinnost informovat subjekt údajů se týká pouze situací a osob, které by mohly „být poskytnutím informace dotčeny (např. osoby, kterých se poskytnutá informace týká a jež by mohly být dotčeny ve svém právu na informační sebeurčení)“. Zde nabývá na významu typ informace a s ní spojená pravděpodobnost zásahu do osobní sféry subjektu údajů. Pokud je předmětem informačního dotazu informace, u které buď není patrné, jak by její zpřístupnění mohlo vůbec zasáhnout do osobní sféry dané fyzické osoby, anebo takový typ informace, u které s pravděpodobností hraničící s jistotou by případné vážení zájmů vyšlo vždy ve prospěch zpřístupnění dané informace, pak nelze mít za to, že by daná třetí osoba mohla být poskytnutím informace jakkoliv výrazněji dotčena.

[34]            Projednávaná věc se proto v tomto ohledu liší od městským soudem citované judikatury kasačního soudu (výše, bod 5 tohoto rozsudku). U informací typu platy ve veřejné sféře (č.j. 8 As 55/2012‑62); informace ze smlouvy o závazku veřejné služby uzavřené mezi dopravcem a státem vyžádané třetí osobou, konkurentem daného dopravce (č.j. 1 As 189/2014‑50, stejně jako obdobně č.j. 7 As 49/2015‑57); případně přístup k informacím ze smluv mezi Českými dráhami a třetím subjektem, které údajně obsahovaly obchodní tajemství (č.j. 10 As 227/2018‑41), se pojmově jednalo o situace, kdy mohla být práva třetích osob skutečně dotčena. Posouzení kolize jednotlivých zájmů proto nebylo na první pohled patrné. V takové situaci lze považovat za smysluplné, aby si povinný subjekt vyžádal stanovisko potenciálně skutečně dotčených třetích osob.

[35]            V nyní projednávané věci nicméně zůstává NSS nejasné, a správní orgány ve svých rozhodnutích nijak neosvětlily, jak by zde požadovaná informace mohla zasáhnout do osobní sféry dotčených fyzických osob: kdo za danou právnickou osobu (korporaci) jedná a jaké jsou jeho kontaktní údaje typu (úředního) e‑mailu či (úředního) telefonu jsou typově informace, které běžně obchodní společnosti samy sdělují. Činí tak buď dobrovolně (lze předpokládat, že obchodní společnost bude mít zájem na sdělení informace pro své obchodní partnery či širokou veřejnost, kdo za ni je oprávněn jednat a na koho se mají případní zájemci obrátit), anebo v případě unijních obchodních společností i povinně [srov. odpovídající ustanovení ohledně údajů povinně zveřejňovaných společnostmi ve veřejných rejstřících stanovených směrnicí Evropského parlamentu a Rady 2017/1132 ze dne 14. června 2017 o některých aspektech práva obchodních společností (Úř. věst. 2017, L 169, s. 46)].

[36]            V širší rovině lze pak situaci v projednávané věci vnímat rovněž jako „soukromoprávní“ paralelu k novému § 8a odst. 2 InfZ. Citované ustanovení stanoví, že „Povinný subjekt poskytne osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení.“ Nejvyšší správní soud se výkladu tohoto ustanovení již věnoval kupříkladu v rozsudcích ze dne 30. 7. 2024, č. j. 1 As 93/2024‑26 či ze dne 14. 2. 2024, č. j. 1 As 300/2024‑41. Zákonodárce v případě tohoto ustanovení vyšel z pochopitelného předpokladu, že pokud se daná informace týká úřední činnosti či funkčního zařazení daného zaměstnance veřejné správy, pak bude veřejný zájem na zpřístupnění této informace vždy dán. Kdo jedná za určitou obchodní společnost či kdo jejím jménem vystupoval pak vychází z podobné logiky, byť v rovině soukromoprávní, promítnuté do roviny jednání obchodních společností.

[37]            Proto s výjimkou velice specifických případů, kdy by z nějakého důvodu nebylo možné zveřejnit, kdo za danou právnickou osobu běžně jedná či jednal, si nelze představit, že by v podobném typu případů mohl převážit soukromý zájem nad zájmem veřejným v podobě zpřístupnění informace, kdo vydal za danou právnickou osobu certifikát o shodě. Dovození existence podobných důvodů by v každém případě tížilo povinný subjekt, který by musel přesvědčivě a podrobně ve svém odmítavém rozhodnutí vysvětlit, z jakých konkrétních důvodů není možné zpřístupnit informaci o identitě fyzické osoby, která za danou právnickou osobu jednala. Povšechný odkaz na „ochranu osobních údajů“ fyzických osob jednajících jménem osoby právnické je v podobné situaci naprosto nepostačující.

[38]            Městský soud proto pochybil, pokud umístil automatické rovnítko mezi vhodnost informování dotčených osob v kontextu judikatury správních soudů dle InfZ a zpracování osobních údajů na základě souhlasu subjektu údajů dle čl. 6 odst. 1 písm. a) GDPR, a pak především pokud samotnou vhodnost informovat případně dotčené osoby podle InfZ poněkud mechanicky rozšířil rovněž na typ informací/osobních údajů, jejichž poskytnutí třetím stranám se samo o sobě nemůže daného subjektu údajů s ohledem na jeho profesní činnost jakkoliv dotknout.

IV. Závěr a náklady řízení

[39]       Kasační stížnost je důvodná. Nejvyšší správní soud proto v souladu s § 110 odst. 1 s. ř. s. napadený rozsudek městského soudu zrušil a věc mu vrátil k dalšímu řízení (výrok č. II). V něm bude podle § 110 odst. 4 s. ř. s. městský soud vázán výše vysloveným právním názorem Nejvyššího správního soudu v předchozím bodu tohoto rozsudku. Městský soud v novém rozhodnutí rovněž rozhodne o nákladech řízení o této kasační stížnosti (§ 110 odst. 3 věta první s. ř. s.).

[40]            V návaznosti na rozhodnutí Soudního dvora o předběžné otázce předložené v této věci rozhodl NSS podle § 48 odst. 6 s. ř. s. o pokračování v řízení (výrok č. I). S ohledem na jasný právní názor zaujatý Soudním dvorem a jeho aplikaci na projednávanou věc, stejně jako skutečnost, že v důsledku zrušujícího výroku č. I bude o dané věci rozhodovat městský soud znovu, nepovažoval NSS za potřebné vyžádat si nová stanoviska účastníků řízení v reakci na rozsudek Soudního dvora.

Poučení: Proti tomuto rozhodnutí nejsou opravné prostředky přípustné.

V Brně dne 20. června 2025