Veřejný subjekt ve smyslu zákona o zpracování osobních údajů

21. března 2022

Zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon o zpracování osobních údajů“) umožňuje Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) upustit od uložení správního trestu specifickým subjektům, a to konkrétně orgánům veřejné moci a veřejným subjektům. Zákon o zpracování osobních údajů a ani GDPR, na nějž zákon přímo odkazuje, blíže nedefinuje tyto pojmy. V příspěvku se budu blíže zabývat výkladem pojmu „veřejný subjekt“ ve vztahu k zákonu o zpracování osobních údajů ve světle nového rozhodnutí Nejvyššího správního soudu.

Podle § 62 odst. 5 zákona o zpracování osobních údajů pak ve spojení s čl. 83 odst. 7 nařízení žalovaný upustí od uložení správního trestu, jde-li o správce a zpracovatele, který je orgánem veřejné moci a veřejným subjektem. Právní úprava, ale i důvodová zpráva k výkladu pojmu veřejný subjekt, mlčí. Ustanovení bylo vloženo pozměňovacím návrhem Senátu, který ho blíže neodůvodnil a ani jej výslovně neztotožnil s obdobnými pojmy v českém právním řádu.[1]

Interpretací se ještě v roce 2019 ve svém pozičním dokumentu blíže zabýval Spolek pro ochranu osobních údajů.[2] Veřejný subjekt vykládá jako subjekty veřejné správy, případně veřejnoprávní subjekty naplňující dva definiční znaky „plnění zákonem stanovených úkolů ve veřejném zájmu“ a „zřízení zákonem.“ Za takové subjekty označuje například Českou národní banku, Správu hmotných rezerv, Všeobecnou zdravotní pojišťovnu nebo Český rozhlas a „další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech.“ K obdobnému závěru dospěl i Nejvyšší správní soud v bodu 33 rozsudku sp. zn. 10 As 190/2020 ze dne 25. 2. 2022, zmíněné definiční znaky doplnil o požadavek financování z veřejných rozpočtů.[3]

Rozsudek Nejvyššího správního soudu přispěl k dalšímu upřesnění výkladu veřejného subjektu.[4] V předmětné věci byl stěžovatel akciovou společností s vlastním majetkem a hospodařením. Dle bodu 35 odůvodnění, soud dospěl k závěru, že „lze sice souhlasit s tím, že je „převážně financován z prostředků veřejného zdravotního pojištění“. Takové financování však nelze považovat za financování z veřejných rozpočtů. Stěžovatel jako nemocnice (akciová společnost) nedostává finanční prostředky na svůj provoz a fungování přímo z veřejných rozpočtů, nýbrž je získává jako protiplnění za konkrétní úkony a pacienty, které zdravotním pojišťovnám „vykáže.“ Shodným způsobem je ostatně financován jakýkoli jiný subjekt poskytující lékařskou péči (soukromá nemocnice či soukromý lékař). Byť tedy stěžovatel poskytuje zdravotní péči, která jistě je ve veřejném zájmu, je akciovou společností, která není financována z veřejných rozpočtů. Není tak veřejným subjektem, u něhož by měl žalovaný podle § 62 odst. 5 zákona o zpracování osobních údajů rozhodnout o upuštění od potrestání.“ Nemocnice disponuje vlastním majetkem a taktéž, i když koná činnost ve veřejném zájmu, za jednotlivé úkony dostává za ní protiplnění – existuje zde vztah mezi úkonem a protiplněním.

Nejvyšší správní soud ve svém rozsudku dále uvádí, že vymezení veřejného subjektu nezávisí na skutečnosti, zda je subjekt veřejnou institucí ve smyslu zákona o svobodném přístupu k informacím či veřejným zadavatelem podle zákona o zadávání veřejných zakázek.[5] Je proto možné, že v budoucnu budou judikaturou z výjimky vyňaty i subjekty, které byly doposud v mylném domnění, že pod ní spadají, a tudíž jsou před případným postihem chráněny. Jako příklad lze uvést státní podniky, jelikož se jedná o subjekty založené zákonem a svou činnost konají ve veřejném zájmu, ale jsou primárně financovány ze zdrojů generovaných z vlastní činnosti.[6]

Co se týče pozitivního vymezení definičního znaku veřejného subjektu „financování přímo z veřejných rozpočtů“ dle rozsudku Nejvyššího správního soudu, odpověď tak jednoznačná není. Pro další vyjasnění je třeba vyčkat na další konkretizující rozhodnutí. Do té doby je vhodné doporučit celé škále subjektů zvýšenou obezřetnost ohledně zpracování osobních údajů, zejména nemocnicím, na jejichž činnost nejnovější judikatura přímo dopadá.



[1] Ku příkladu „veřejná instituce“ definována § 2 odst. 1 zákona č. 106/1999 Sb., o svobodném přístupu k informacím nebo „veřejnoprávní subjekt“ dle čl. 2 odst. 2 Směrnice Evropského Parlamentu a Rady (EU) 2019/1024 ze dne 20. června 2019 o otevřených datech a opakovaném použití informací veřejného sektoru.

[2] Pattynová, J. a kol. Komu nehrozí pokuty podle GDPR? K výkladu pojmu veřejný subjekt ve smyslu zákona č. 110/2019 Sb., o zpracování osobních údajů [online]. epravo.cz. 17. 9. 2019. [cit. 12. 3. 2022]. Dostupné z: https://www.epravo.cz/top/clanky/komu-nehrozi-pokuty-podle-gdpr-k-vykladu-pojmu-verejny-subjekt-ve-smyslu-zakona-c-1102019-sb-o-zpracovani-osobnich-udaju-109978.html

[3] Rozsudek Nejvyššího správního soudu ze dne 25. 2. 2022, sp. zn. 10 As 190/2020.

[4] Rozsudek Nejvyššího správního soudu ze dne 25. 2. 2022, sp. zn. 10 As 190/2020.

[5] Rozsudek Nejvyššího správního soudu ze dne 25. 2. 2022, sp. zn. 10 As 190/2020.

[6] Například Česká pošta, s. p. dle zákona č. 77/1997 Sb., o státním podniku.



Témata článku

GDPR
Advokát
Advokát Brno