1 As 183/2023- 62 - text
1 As 183/2023 - 68 pokračování
[OBRÁZEK]
ČESKÁ REPUBLIKA
ROZSUDEK
JMÉNEM REPUBLIKY
Nejvyšší správní soud rozhodl v senátu složeném z předsedy Ivo Pospíšila, soudkyně Lenky Kaniové a soudce Petra Pospíšila v právní věci žalobkyně: OAKS Consulting s.r.o., se sídlem Pobřežní 620/3, Praha 8, zastoupená JUDr. Jakubem Kadlecem, advokátem se sídlem Karolinská 661/4, Praha 8, proti žalovanému: Úřad pro ochranu osobních údajů, se sídlem pplk. Sochora 727/27, Praha 7, za účasti: Všeobecná zdravotní pojišťovna České republiky, se sídlem Orlická 4/220, Praha 3, o žalobě proti rozhodnutí žalovaného ze dne 15. 10. 2021, č. j. UOOU 04223/21
2, v řízení o kasační stížnosti žalobkyně proti rozsudku Městského soudu v Praze ze dne 14. 8. 2023, č. j. 14 A 230/2021 67,
I. Kasační stížnost se zamítá.
II. Žalobkyně nemá právo na náhradu nákladů řízení o kasační stížnosti.
III. Žalovanému se náhrada nákladů řízení o kasační stížnosti nepřiznává.
[1] V projednávané věci se Nejvyšší správní soud zabýval otázkou, zda jsou pseudonymizované údaje (data o zdravotní léčbě osob s insuficiencí železa, přičemž každá osoba má přiřazen bezvýznamový identifikátor) ve vztahu k žalobkyni osobními údaji a zda odepření poskytnutí osobních údajů, které žalobkyně žádala podle zákona č. 106/1999 Sb., o svobodném přístupu k informací (dále jen „infozákon“), bylo přiměřené. I.b Správní řízení
[2] Žalobkyně poskytuje poradenské služby týkající se podmínek vstupu léčivých přípravků a prostředků zdravotní techniky na trh. Ve své žádosti o informace požádala osobu zúčastněnou na řízení – Všeobecnou zdravotní pojišťovnu České republiky (dále jen „VZP“) –, jakožto povinný subjekt, o poskytnutí informací o léčbě pacientů s insuficiencí železa a primárními onemocněními, u kterých je indikována léčba léčivými přípravky obsahujícími železo, za období od 1. 1. 2010 do 31. 10. 2017 (v rozsahu 13 druhů léčivých přípravků, 18 druhů výkonů, 96 kódů DRG, 183 typů diagnóz). Účelem sběru dat je podle ní analýza spočívající v ověření způsobu léčby konkrétních diagnóz, zjištění počtu pacientů, kteří jsou léčivými přípravky léčeni, a četnosti vykázaných výkonů spojených s diagnózou insuficience železa. Žalobkyně tak bude moci porovnat a zhodnotit výstupy z klinické praxe s teoretickými podklady.
[3] VZP nejdříve informace odmítla poskytnout v celém rozsahu, neboť měla za to, že by vytvářela nové informace. Proti rozhodnutí ředitele VZP, které prvostupňové rozhodnutí potvrdilo, žalobkyně brojila žalobou. Městský soud jí rozsudkem ze dne 1. 7. 2021, č. j. 10 A 120/2018 67, vyhověl a rozhodnutí zrušil pro nepřezkoumatelnost.
[4] VZP proto žalobkyni následně poskytla samostatné tabulky obsahující informace o: (1) diagnózách, (2) diagnózách a výkonech, (3) výkonech, (4) kódech DRG a (5) předepsaných léčivých přípravcích. V nich parametry poskytnutých dat agregovala do těchto skupin: sdružení do pětiletých věkových skupin pacientů, sdružení kalendářních dat (poskytnutí výkonu aj.) na úroveň kalendářního měsíce, agregace poskytovatelů zdravotních služeb dle regionů Čechy, Morava a Slezsko.
[5] Nevyhověla žalobkyni v rozsahu žádosti o poskytnutí identifikátoru pojištěnce, který by umožňoval propojení jednotlivých tabulek. Prvostupňovým rozhodnutím žádost žalobkyně částečně odmítla, neboť v této části jde o zvláštní kategorii osobních údajů [§ 15 odst. 1 a § 8a infozákona ve spojení s čl. 9 nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“)]. Žalovaný napadeným rozhodnutím odvolání žalobkyně zamítl a rozhodnutí VZP potvrdil. I.c Řízení před městským soudem
[6] Žalobkyně proti tomuto rozhodnutí brojila žalobou, kterou městský soud zamítl. Uvedl, že nelze vyloučit možnost identifikace některých osob, o kterých by byly pod identifikátorem poskytovány informace o jejich diagnóze, léčebných prostředcích a provedených úkonech. Spojení pohlaví, roku narození, data poskytnuté péče a označení provozovatele zdravotnického zařízení, kde byla péče poskytnuta, tvoří takový souhrn údajů, které mohou v případě přistoupení další informace vést ke ztotožnění osoby, o jejíž zdravotní stav se jedná. Přidělením bezvýznamového identifikátoru (jedinečné nahodilé číslo, které nenese další informace o osobě, které je přiděleno) jednotlivým pacientům s jinými nedochází k anonymizaci ale pouze k pseudonymizaci, takže výše uvedené informace zůstávají osobními údaji podle čl. 4 odst. 1 GDPR.
[7] Vzhledem k současným technologickým možnostem pro propojování informací od různých zpracovatelů a k množství informací získatelných ze sdělovacích prostředků a ze sociálních sítí nelze podle městského soudu možnost identifikace osob vyloučit. Odkázal přitom na rozsudek Soudního dvora Evropské unie (dále jen „SDEU“) ze dne 19. 10. 2016, C 582/14, ve věci Breyer, v němž SDEU uvedl, že pro určení, zda je osoba identifikovatelná, je třeba přihlédnout ke všem prostředkům, které mohou být rozumně použity jak správcem, tak jakoukoli jinou osobou pro identifikaci dané osoby. Naproti tomu se městský soud neztotožnil s aplikací rozsudku Tribunálu ze dne 26. 4. 2023 ve věci T 557/20, jak navrhovala žalobkyně. Městský soud blíže nezkoumal, kdo by mohl mít možnost identifikovat jednotlivé osoby. Uzavřel, že se jedná o pseudonymizované údaje, a proto nelze požadované informace v úplném rozsahu poskytnout. II. Kasační stížnost, další vyjádření a průběh řízení II.a Kasační stížnost
[8] Žalobkyně (dále jen „stěžovatelka“) napadla rozsudek městského soudu kasační stížností z důvodů podle § 103 odst. 1 písm. a) a d) s. ř. s. a navrhla, aby Nejvyšší správní soud napadený rozsudek zrušil a vrátil věc městskému soudu k dalšímu řízení.
[9] Předně nesouhlasí se závěrem městského soudu, že požadované informace jsou osobními údaji a jsou pseudonymizované. Soud podhodnotil obtížnost identifikace konkrétní osoby na základě požadovaných informací. Dostatečně ani nezohlednil skutečnost, že VZP sama přistoupila k agregaci požadovaných dat v mnoha parametrech do větších skupin, po které již identifikace jednotlivých pojištěnců není možná. Ani přidáním bezvýznamového identifikátoru k těmto datům již nemůže dojít ke změně anonymní povahy těchto údajů.
[10] Městský soud uvedl, že nelze vyloučit, že by přistoupením další informace požadovaná data mohla ztratit anonymní povahu, avšak podle stěžovatelky neupřesnil, jak by podle jeho názoru mohlo přistoupením další informace k identifikovatelnosti konkrétního subjektu údajů dojít. Jde přitom o hypotetickou úvahu, protože objektivně nelze ani na základě jiných žádostí o informace získat podobná data v neagregované formě, resp. v takové míře detailu, která by propojením s požadovanými údaji umožňovala konkretizaci jednotlivých subjektů údajů. VZP a Ústav zdravotnických informací a statistiky ČR jsou jedinými povinnými subjekty, od nichž lze požadovaná data získat. Stěžovatelka proto nesouhlasí se závěrem městského soudu, že k identifikaci subjektu údajů může dojít propojení údajů od „různých zpracovatelů“.
[11] Nejedná se ani o vzácné onemocnění, kterým by trpěly pouze jednotky pacientů. Nedostatek železa doprovází mnoho různých onemocnění (např. gastrointestinální onemocnění, různé typy rakoviny, hemoroidy), chronických potíží či specifických stavů (např. silná menstruace, těhotenství, náročná operace). V jednotlivých regionech existují stovky pacientů, které se s insuficiencí železa léčí. Jejich identifikace je nemožná ať už bez či s připojením identifikátoru. To podle stěžovatelky potvrzuje také nález Ústavního soudu ze dne 11. 4. 2023, sp. zn. III. ÚS 836/21. Z něj taktéž podle stěžovatelky plyne, že povinný subjekt nemůže používat zákonnou výluku plošně jako důvod pro neposkytnutí informací. Žalovaný i městský soud měli poměřovat právo na informace a ochranu osobních údajů a řádně jej odůvodnit, což se nestalo. Proto je napadený rozsudek nedostatečně odůvodněný a nepřezkoumatelný.
[12] Konkrétního pacienta nelze z tak velké sady dat identifikovat také proto, že při poskytnutí náhodného identifikátoru by již byly osobní údaje anonymizovány dvěma postupy: randomizací (pro výsledek nepotřebné údaje, jako jméno a rodné číslo, jsou nahrazeny údaji nahodilými, aniž by došlo ke ztrátě informační hodnoty jiných dat) a generalizací (je výrazně zvýšen počet subjektů údajů, kterým by určitý atribut mohl být přiřazen). Takto nízké riziko identifikace proto nemůže představovat důvod pro odmítnutí informace poskytnout.
[13] Konečně městský soud podle stěžovatelky nesprávně zhodnotil rozsudek Tribunálu ve věci T 557/20 jako nepřiléhavý pro nyní posuzovanou věc, ačkoli je podle ní zásadní pro posouzení údajů jako pseudonymizovaných, nebo anonymizovaných.
[14] Stěžovatelka shrnula, že poskytnutí údajů bez bezvýznamového identifikátoru je pro ni bezpředmětné, neboť postrádá možnost, jak si jednotlivé tabulky propojit a tvořit z nich vypovídající závěry. Informace poskytnuté takovým způsobem jí neumožňují jejich účinné využití, jak je předpokládáno ustanovením § 4a odst. 3 infozákona. II.b Vyjádření žalovaného
[15] Žalovaný ve vyjádření ke kasační stížnosti uvedl, že bezvýznamové identifikátory pojištěnců jsou v daném kontextu nepochybně osobními údaji, ačkoli samy o sobě nevypovídají nic o soukromí subjektu údajů. Osobními údaji jsou totiž veškeré informace o identifikované nebo identifikovatelné osobě, nikoli pouze takové informace, které vedou k přímému ztotožnění fyzické osoby, o níž informace vypovídají nebo k níž se vztahují. Dle žalovaného použití výrazu „nepřímo“ v čl. 4 odst. 1 GDPR znamená, že k tomu, aby byla informace kvalifikována jako osobní údaj, není nutné, aby sama o sobě umožňovala identifikovat subjekt údajů.
[16] Podle rozsudku SDEU ve věci Breyer také není vyžadováno, aby se veškeré informace umožňující identifikovat subjekt údajů musely nacházet v rukou jediné osoby. I pokud by byl přijat opačný závěr, že pojem osobního údaje je relativním, tato relativita měla být zkoumána ve vztahu k množině všech potenciálních žadatelů o informace a jejich oprávněním kontextuální informace požadovat. Použití jakéhokoli kódu přiřazeného určité fyzické osobě (např. místo rodného čísla) nemění osobní údaj, resp. sadu osobních údajů, na anonymní. Osobní údaje s ním spojené činí toliko pseudonymizovanými, což znamená, že ke zjištění nebo odhalení běžně používaných identifikačních údajů je třeba použít dodatečných informací, uchovávaných odděleně od souboru předmětných osobních údajů.
[17] Podle žalovaného je „anonymizace“ souboru údajů problematická, neboť počet balení léčivých přípravků je velmi nízký. Soubor údajů je tedy postačující k tomu, aby v kombinaci s dalšími údaji vedl k selekci a identifikaci konkrétního pojištěnce a jeho procesu léčby.
[18] Je podle něj rozhodné, že od povinných subjektů lze informace požadovat opakovaně, v různé míře „granularity“ (úrovni detailu), v různé struktuře a analytické skladbě, přičemž předchozí vyhovění žádosti jednoho žadatele nesmí být na újmu posouzení žádosti jiného žadatele. Kombinací takto získaných informací vznikne podstatně obsáhlejší databáze s detailnější „granularitou“. Žalovaný proto navrhl kasační stížnost zamítnout. II.c Vyjádření osoby zúčastněné na řízení
[19] Osoba zúčastněná na řízení odkázala na obsah rozhodnutí VZP, ztotožnila se s vyjádřením žalovaného v řízení o kasační stížnosti a navrhla, aby Nejvyšší správní soud kasační stížnost zamítnul. II.d Přerušení řízení o kasační stížnosti
[20] Nejvyšší správní soud usnesením ze dne 17. 6. 2024, č. j. 1 As 183/2023 47, přerušil řízení, neboť shledal, že před SDEU probíhá řízení o právní otázce, která bude zásadní pro další posouzení kasační stížnosti. Podle rozsudku ve věci T 557/20 totiž Tribunál shledal, že pseudonymizované údaje předané příjemci údajů nebudou považovány za osobní údaje, pokud jejich příjemce nemá prostředky k opětovné identifikaci subjektu údajů. Proti tomuto rozsudku byl podán kasační opravný prostředek, na jehož základě se měl SDEU zabývat otázkou, zda při posouzení identifikovatelnosti subjektu údajů je potřeba zkoumat, zda osoba, vůči které se možnost identifikovat subjekty údajů posuzuje, disponuje legálními a proveditelnými prostředky, jež by jí umožňovaly přístup k dalším informacím nezbytným ke zpětné identifikaci subjektu údajů.
[21] SDEU vydal dne 4. 9. 2025 rozsudek ve věci C 413/23, SRB, v němž výše uvedený názor Tribunálu potvrdil. Kasační soud proto usnesením ze dne 9. 9. 2025, č. j. 1 As 183/2025 49 rozhodl, že se v řízení pokračuje, a vyzval účastníky a osobu zúčastněnou na řízení k vyjádření k rozsudku SDEU.
[22] Stěžovatelka ve svém vyjádření zdůraznila, že SDEU posuzuje otázku, zda jde o data pseudonymizovaná nebo anonymizovaná, v závislosti na tom, zda ta či ona osoba disponuje prostředky, o nichž lze rozumně předpokládat, že budou použity pro přímou či nepřímou identifikaci konkrétní fyzické osoby. Stěžovatelka přitom nemá žádné prostředky, jež by umožňovaly opětovnou identifikaci fyzických osob. Tuto otázku městský soud vyhodnotil nesprávně, respektive se odmítl náležitě zabývat tím, jaké jsou stěžovatelčiny možnosti. Městský soud svůj závěr založil na hypotetickém scénáři, přičemž zohlednit by se podle stěžovatelky měly jen konkrétní prostředky, např. křížové porovnání s jinými údaji. Odkázala také na odůvodnění své kasační stížnosti.
[23] Žalovaný ani osoba zúčastněná na řízení se k rozsudku SDEU nevyjádřili. III. Právní hodnocení Nejvyššího správního soudu
[24] Nejvyšší správní soud dospěl k závěru, že kasační stížnost je projednatelná. Následně přezkoumal rozsudek městského soudu v rozsahu důvodů uplatněných v kasační stížnosti, včetně důvodů, ke kterým je povinen přihlížet z úřední povinnosti [§ 109 odst. 3 a 4 zákona č. 150/2002 Sb., soudní řád správní (dále jen „s. ř. s.“)]. Kasační stížnost není důvodná. III.a Přezkoumatelnost napadeného rozsudku
[25] Nejprve se Nejvyšší správní soud zabýval namítanou nepřezkoumatelností napadeného rozsudku. Vlastní přezkum rozsudku městského soudu je možný pouze za předpokladu, že toto rozhodnutí splňuje kritéria přezkoumatelnosti. Tedy že se jedná o rozhodnutí srozumitelné, které je opřeno o dostatek důvodů, z nichž je zřejmé, proč městský soud rozhodl tak, jak je uvedeno ve výroku rozhodnutí (rozsudky NSS ze dne 4. 12. 2003, č. j. 2 Ads 58/2003 75, č. 133/2004 Sb. NSS; ze dne 27. 6. 2007, č. j. 3 As 4/2007 58; ze dne 18. 10. 2005, č. j. 1 Afs 135/2004 73, č. 787/2006 Sb. NSS; či ze dne 21. 3. 2024, č. j. 1 As 81/2023 63, bod 27).
[26] Stěžovatelka namítá, že městský soud měl poměřovat právo na informace s právem na ochranu osobních údajů. Absence tohoto posouzení způsobuje nepřezkoumatelnost napadeného rozsudku, neboť odepření poskytnutí informace není dostatečně odůvodněno. Nejvyšší správní soud má ovšem za to, že stěžovatelka rozporuje právní posouzení městského soudu, tedy závěr, že citlivé osobní údaje nelze poskytnout bez dalšího. Na nález Ústavního soudu sp. zn. III. ÚS 836/21 sice přímo odkazovala ve své replice před městským soudem, vyvozovala z něj ovšem jiný závěr, a tak městský soud nemusel šířeji vysvětlit, proč kolidující zájmy nepoměřoval. Nejde tedy o vadu nepřezkoumatelnosti rozsudku městského soudu a kasační soud se touto námitkou bude zabývat až v rámci věcného posouzení kasační stížnosti.
[27] Jelikož jde však o vadu, k níž by soud musel přihlédnout i z úřední povinnosti (§ 109 odst. 4 s. ř. s.), kasační soud obecně uzavírá, že napadený rozsudek splňuje požadavky kladené judikaturou na přezkoumatelnost soudních rozhodnutí (viz např. rozsudky NSS ze dne 14. 7. 2005, č. j. 2 Afs 24/2005 44, č. 689/2005 Sb. NSS, či ze dne 27. 2. 2019, č. j. 8 Afs 267/2017 38). Z jeho odůvodnění je plně seznatelné, jaké důvody městský soud vedly k zamítnutí žaloby, přičemž všechny nosné námitky stěžovatelky soud vypořádal, vždy alespoň implicitně (srov. např. rozsudek NSS z 27. 5. 2015, č. j. 6 As 152/2014 78, bod 23). III.b Obsah požadovaných, resp. poskytnutých, informací
[28] Stěžovatelka obdržela data o léčbě pacientů s insuficiencí železa a primárními onemocněními, u kterých je indikována léčba léčivými přípravky obsahujícími železo, a to za období osmi let. Jedná se o pět jednotlivých tabulek: - výčet pojištěnců s jednou z 183 typů diagnóz (tabulka Diagnózy); - výčet pojištěnců s vyjmenovanými diagnózami, u nichž byl proveden zdravotní výkon (tabulka Diagnózy výkon); - výčet pojištěnců, u nichž byl proveden jeden z 18 druhů výkonů (tabulka Výkony); - výčet pojištěnců s jedním z 96 kódů DRG (tabulka DRG); a - výčet receptů nebo zvlášť účtovaných léčivých přípravků a zdravotnických prostředků, jednalo li se o jeden z 13 druhů (tabulka LP). V tabulkách je k jednotlivým pojištěncům uvedeno mj.: - pohlaví; - jejich rok narození (agregovaný do pětiletých rozmezí, např. 30 34); - odbornost poskytovatele zdravotní služby (např. „801 – klinická biochemie“) a místo jejího poskytování (agregováno na regiony Čechy, Morava a Slezsko); - datum provedení péče (agregováno na měsíce, např. leden 2010) a - cena péče.
[29] Sporné nyní je, zda se data v tabulkách mohou stát osobními údaji, jestliže by k nim VZP stěžovatelce poskytla také identifikátor pojištěnce, který by propojil datové řádky v těchto tabulkách (kromě tabulky „LP“). III.c Právní úprava a judikatura SDEU
[30] Podle § 8a infozákona [i]nformace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne jen v souladu s právními předpisy, upravujícími jejich ochranu.
[31] Osobními údaji jsou jakékoli informace, které se týkají identifikované nebo identifikovatelné osoby. Identifikovatelnou osobou je podle čl. 4 odst. 1 GDPR fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
[32] Pseudonymizací je pak dle čl. 4 odst. 5 GDPR zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.
[33] Je pravdou, že Nejvyšší správní soud dosud zastával názor založený na závěrech rozsudku SDEU ve věci Breyer, totiž že naplnění definice osobního údaje se neposuzuje ze subjektivního pohledu správce či zpracovatele, který údaji v daný moment disponuje. Informace podle něj představovala osobní údaj v případě, že existují jakékoliv osoby nebo orgány, které by subjekt údajů dokázaly na základě dané informace (ve spojení s jim dostupnými doplňujícími údaji) identifikovat (srov. rozsudky NSS ze dne 24. 8. 2023, č. j. 3 As 76/2022 54, bod 17; či ze dne 13. 8. 2020, č. j. 1 As 387/2019 56, č. 4064/2020 Sb. NSS, bod 25). Ve světle takového výkladu by informace, jejichž zpřístupnění se stěžovatelka domáhala, mohly být osobními údaji, neboť by osoby byly zpětně identifikovatelné. Ačkoli by stěžovatelka obdržela pouze bezvýznamový identifikátor propojující jednotlivé tabulky, VZP by mohla disponovat informacemi, které by bezvýznamový identifikátor mohly zpětně propojit s konkrétními osobami.
[34] Naproti tomu SDEU v rozsudku ve věci SRB, nově uvedl, že pseudonymizované údaje nemusí být v každém případě a ve vztahu ke každé osobě automaticky osobními údaji, „jelikož pseudonymizace může v závislosti na okolnostech projednávané věci účinně zabránit jiným osobám než správci identifikovat subjekt údajů takovým způsobem, že pro ně není nebo již přestal být identifikovatelný“ (bod 86 citovaného rozsudku). To znamená, že záleží na osobě, ve vztahu k níž se identifikovatelnost posuzuje (body 71 až 75 a 82 tamtéž). Jsou li totiž zavedena taková technická a organizační opatření, která mohou zabránit spojení údaje o subjektu údajů s těmito osobami, mohou tyto pseudonymizované údaje přestat být osobními údaji (bod 75 tamtéž).
[35] K posuzování, zda jde pro tu kterou konkrétní osobu o osobní údaje, dává návod mj. bod 26 věty třetí preambule GDPR, podle níž by se „[p]ři určování, zda je fyzická osoba identifikovatelná, […] mělo přihlédnout ke všem prostředkům, […] o nichž lze rozumně předpokládat, že je správce nebo jiná osoba použijí pro přímou či nepřímou identifikaci dané fyzické osoby.“ SDEU přitom vyslovil, že „jiné osoby“ jsou pouze takové, jež mají nebo mohou mít přístup k prostředkům, o nichž lze rozumně předpokládat, že budou použity k identifikaci subjektu údajů (rozsudek SRB, bod 87). III.d Jsou požadované informace ve vztahu k stěžovatelce osobními údaji?
[36] Krajský soud v napadeném rozsudku dospěl k závěru, že se jedná o osobní údaje, na základě judikatury SDEU, která byla v průběhu řízení před kasačním soudem částečně překonána, a tak je třeba zkoumat, zda názor městského soudu i po rozsudku SDEU ve věci SRB obstojí.
[37] Data, která stěžovatelka požadovala, VZP rozdělila na tabulky, z nichž nelze konkrétní pojištěnce identifikovat. Pro jejich identifikování by k jednotlivým datovým řádkům musel být přiřazen bezvýznamový identifikátor pojištěnce, jenž VZP odmítla poskytnout. Jedná se proto o pseudonymizaci.
[38] Z výše uvedených závěrů SDEU vyplývá, že se o osobní údaje může jednat ve vztahu k jedné osobě, zatímco pro jinou osobu už tuto povahu informace ztrácejí. Rozhodujícím kritériem je, zda osoba má k dispozici zákonné a rozumné prostředky, které může použít k zpětnému identifikování subjektu údajů.
[39] Předně lze uzavřít, že ve vztahu k VZP se o osobní údaje jednat může. Pokud by zcela vyhověla žádosti stěžovatelky o informace a zpřístupnila ji bezvýznamové identifikátory, jež by odpovídaly konkrétním subjektům údajů, opravdu by mohla zpětně propojit bezvýznamový identifikátor v tabulkách se subjekty údajů. Odpověď na to, zda by to bylo možné, by mohla záviset na tom, zda by VZP uchovávala informaci o propojení bezvýznamového identifikátoru a konkrétního subjektu údajů, nebo by vytvoření a přiřazení identifikátoru provedla způsobem, který by jejich zpětné spojení znemožnil i jí, resp. jejím zaměstnancům, kteří nejsou oprávněni se s osobními údaji pojištěnců seznamovat.
[40] V nynější věci je ovšem potřeba zkoumat, zda bezvýznamový identifikátor u informací o subjektech údajů (citlivých údajů o jejich zdravotním stavu) představuje osobní údaj ve vztahu ke stěžovatelce, která o tyto informace žádala. Odpověď je podmíněna tím, zda stěžovatelka má zákonné prostředky, o nichž lze rozumně předpokládat, že je použije pro přímou či nepřímou identifikaci dané fyzické osoby (rozsudky SDEU ze dne 7. 3. 2024, C 604/22, IAB Europe, body 43 a 48; a ve věci Breyer, body 44, 47, 48).
[41] Určitý prostředek nelze rozumně použít pro identifikaci subjektu údajů, „jestliže se riziko identifikace ve skutečnosti jeví bezvýznamné, jelikož identifikace tohoto subjektu je zakázána zákonem nebo prakticky neproveditelná, například z důvodu skutečnosti, že by vyžadovala nepřiměřené úsilí z časového hlediska a z hlediska ekonomických a lidských zdrojů“ (bod 82 rozsudku SDEU ve věci SRB a tam citovaná judikatura).
[42] Nejvyšší správní soud proto posoudí, zda požadované informace ve svém rozsahu (tedy zpřístupněná data společně s bezvýznamovým identifikátorem) nejsou samy o sobě dostatečné k tomu, aby umožňovaly stěžovatelce identifikovat jednotlivé osoby. Je přitom třeba vzít v úvahu „všechny objektivní faktory, jako jsou náklady a čas, které si identifikace vyžádá, s přihlédnutím k technologii dostupné v době zpracování i k technologickému rozvoji“ (bod 79 tamtéž). Jak uvedl také městský soud, je třeba zkoumat také to, zda lze osoby identifikovat kombinací žádaných dat s informacemi dostupnými na internetu (bod 48 napadeného rozsudku, bod 81 rozsudku SDEU ve věci SRB), či s jinými veřejně dostupnými informacemi, včetně obsahu jiných (i potenciálních) žádostí o informace.
[43] Lze souhlasit s městským soudem v tom, že bezvýznamový identifikátor rozšíří počet informací, které bude možné z celého souboru dat vyčíst. Identifikátor propojí jednotlivé řádky v jedné tabulce i v tabulkách navzájem, a tak umožní o jednom pojištěnci (charakterizovaným identifikátorem, pohlavím a věkovým rozmezím) zjistit za roky 2010–2017 zejména: - jeho konkrétní diagnózu, resp. všechny diagnózy ze 183 typů, které mu byly přiděleny; - zdravotní výkony spojené s insuficiencí železa, které mu byly provedeny; - informace o jeho hospitalizaci (čas, průběh léčby); - že mu byly předepsány či podány určité léčivé přípravky, či zdravotní prostředky; - počet a datum těchto úkonů (s přesností na měsíce). Oproti tomu nyní (tedy v zpřístupněném souboru dat) je každá tato informace oddělená a pojištěnec je definován výše uvedeným způsobem (bod 31 tohoto rozsudku) – jen bez identifikátoru – u každého datového řádku zvlášť.
[44] Jak ovšem uvádí stěžovatelka, insuficience železa je velmi rozšířená diagnóza. To odpovídá také rozsahu zpřístupněných informací. Například tabulka vydaných receptů na konkrétních 13 léčivých přípravků (resp. zdravotnických potřeb) obsahuje zhruba jeden milion datových řádků. Měsíčně tedy byl jeden z těchto přípravků předepsán asi v 10 000 případech. Obdobně jeden z 18 výkonů zdravotní služby (jako např. aplikace krve nebo krevních derivátů) byl proveden průměrně 80 000krát měsíčně. Diagnóz, s nimiž může insuficience železa souviset, jež byly zaznamenány za jeden měsíc, je pak průměrně 130 000.
[45] Na druhou stranu, některé tabulky nejsou natolik obsáhlé, aby dostatečně generalizovaly data v nich uvedená. Tabulka DRG (typů tzv. hospitalizačních případů, tedy zjednodušeně informace o léčbě pacienta při jeho hospitalizaci) sice obsahuje 700 tisíc řádků, rozčleníme li ovšem tyto řádky na nejnižší rozlišitelnou časovou jednotku hospitalizace (na úroveň měsíce), každý měsíc bylo hospitalizováno průměrně zhruba 7 tisíc pojištěnců (v období 2010 2017 bylo 96 měsíců) přičemž seznam hospitalizačních případů, které jsou v tabulce zachyceny (kódů DRG), je 96 (od srdečního selhání po poruchy mužského reprodukčního systému). Měl li by každý pojištěnec po své hospitalizaci přiřazen pouze jeden takový kód, průměrně by na každý z nich připadalo 70 pojištěnců. Měl li jeden pojištěnec více kódů dohromady, mohou již přidáním identifikátoru pojištěnce (který je spojí pro jednu osobu) vznikat jedinečné kombinace kódů v jednom měsíci. O těchto již nyní poněkud konkrétně přiblížených pojištěncích lze dále ze stejné tabulky vyčíst nejen tyto diagnózy, ale také věk (v rozmezí pěti let), pohlaví a region.
[46] Ke každému z takto specifikovaných pojištěnců by pak bylo možno nadto přiřadit buďto jejich diagnózu, jimi užívané léky nebo provedené výkony (jsou li tyto další údaje ke konkrétnímu pacientovi obsaženy v tabulkách). Tabulka Diagnózy zobrazuje pestrou škálu 183 typů diagnóz, a to od chronické virové hepatitidy, přes zhoubný novotvar kořene jazyka nebo selhání srdce, po celiakii. Tabulky léčivých přípravků a výkonů sice neobsahují mnoho jejich typů, jsou ovšem také uvedeny konkrétně – léčivé přípravky čítají položky např. síran železnatý či erytrocyty, výkony např. gastrický bypass pro morbidní obezitu, či totální gastrektomie/subtotální gastrektomie.
[47] Takto propojené údaje tedy umožňují identifikovat osoby pouze se znalostí jejich přibližného věku, pohlaví, data provedení úkonu či úkonů, přičemž mohou postačit dvě informace o konkrétním předepsaném či podaném léku, hospitalizaci a průběhu léčby, diagnóze či výkonu, které byly provedeny v období osmi let. Je vysoká pravděpodobnost, že tímto způsobem může v určitých případech (např. u vzácných onemocnění, ojedinělých kombinací či výjimečně nízkém či vysokém věku) dojít k jedinečnému spojení dat, které vyloučí ostatní pojištěnce, což by vedlo k označení konkrétní osoby.
[48] Jak uvedl SDEU ve věci Breyer (a zopakoval ve věci SRB, bod 83), o osobní údaje se jedná, jestliže informace umožňující identifikaci subjektu údajů jsou v rukou různých osob a nelze účinně zabránit tomu, aby subjekt údajů byl pro některou z těchto osob identifikovatelný. Riziko, že jedna osoba (stěžovatelka, nebo jiná osoba, které by stěžovatelka údaje zpřístupnila) bude mít k dispozici informace uvedené v předchozím odstavci, není přitom zanedbatelná. Jak poukázal již městský soud, lze takové informace získat ze sdělovacích prostředků či sociálních sítí (bod 48 napadeného rozsudku). Je běžné, že tyto informace o sobě lidé sdílí na sociálních sítích, ať už v rámci osvěty, či k soukromým účelům. Některé informace o zdravotním stavu se také mohou vyskytnout ve sdělovacích prostředcích.
[49] Nejvyšší správní soud tedy dospěl k závěru, že bezvýznamový identifikátor, jehož zpřístupnění se stěžovatelka domáhá, z jinak poskytnutého souboru dat činí osobní údaje ve smyslu čl. 4 odst. 1 GDPR. Jsou to právě konkrétní kódy DRG, diagnóz, výkonů a léčivých přípravků, které ve spojení s ostatními informacemi v tabulkách zužují skupiny se stejnými charakteristikami natolik, že umožňují vytvářet konkrétní spojení dat přiřaditelné pouze jedinému pojištěnci, který by se tak stal pro stěžovatelku identifikovatelným. III.e Poměřování konkurujících zájmů
[50] V nyní projednávaném případě jde o citlivé osobní údaje (§ 8a infozákona a čl. 9 GDPR). Ani jejich poskytnutí ovšem nelze a priori vyloučit, nýbrž je třeba oproti právu na informace najít konkurující veřejný zájem nebo ústavně zaručené právo a vzájemně je poměřit. Jen takové omezení práva na informace, které je nezbytné (proporcionální), je pak ústavně konformní (viz nález Ústavního soudu ze dne 17. 1. 2023, sp. zn. Pl. ÚS 25/21, bod 42). V konkurenci s právem stěžovatelky na informace nyní stojí právo subjektů údajů na ochranu jejich soukromí.
[51] Při poměřování konkurujících zájmů (práv) se využívá test proporcionality. Ten stojí na třech kritériích: (I.) vhodnosti, (II.) potřebnosti/nezbytnosti a (III.) přiměřenosti (srov. např. rozsudek NSS ze dne 20. 9. 2022, č. j. 5 As 65/2021 73, č. 4396/2022 Sb. NSS, bod 43).
[52] Neposkytnutí identifikátoru představuje vhodný prostředek k ochraně soukromí pacientů. Jak Nejvyšší správní soud osvětlil výše, bez něj nelze jednotlivé tabulky se zdravotními údaji propojit a jednotliví pacienti tedy nejsou identifikovatelní.
[53] V projednávané věci neexistuje současně jiný postup, který by představoval menší zásah do práva stěžovatelky na informace. Stěžovatelka trvá na poskytnutí identifikátoru spolu s již poskytnutými daty. To by ovšem opět vedlo k možné identifikaci jednotlivých pojištěnců. Lze si jistě představit, že by data v poskytnutých tabulkách mohla být upravena tak, aby bylo do práva subjektů údajů na soukromí zasaženo méně či vůbec. O takovou úpravu dat (např. jejich další agregování) by ovšem musela žádat samotná stěžovatelka (pokud povinný subjekt vyřizuje srozumitelnou, jasnou a zřejmou žádost o informace, je zároveň vázán její formulací, srov. rozsudek NSS ze dne 21. 8. 2024, č. j. 8 As 40/2023 52, bod 23), což neučinila. Naopak žalovaný již v součinnosti s ní přistoupil k agregaci dat v tabulkách tak, aby alespoň je mohl stěžovatelce poskytnout.
[54] Je proto třeba zvážit, zda má převážit právo na soukromí subjektů údajů, či právo stěžovatelky na informace.
[55] Identifikátor pojištěnce, ve spojení s ostatními poskytnutými informacemi, umožňuje zjistit údaje o zdravotním stavu subjektů údajů. GDPR tyto údaje obecně zpracovávat (tedy i jejich zpřístupnění) zakazuje (s výjimkami uvedenými v čl. 9 odst. 2 GDPR). Také infozákon předpokládá, že informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne pouze v souladu s právními předpisy upravujícími jejich ochranu (§ 8a odst. 1 infozákona). Tyto údaje tak obecně požívají vyšší ochrany. Konkrétně by byly poskytnuty informace o některých jejich diagnózách, výkonech, o jejich hospitalizaci a o léčivých přípravcích jimi užívaných. Ačkoli jde u některých těchto údajů o úzký seznam spjatý s léčbou insuficience železa (léčivé přípravky a výkony), jiné poukazují na celkový zdravotní stav pacienta a nezřídka na závažné zdravotní stavy (spojené zejména se zhoubnými, ale i nezhoubnými nádory).
[56] Naproti tomu Ústavní soud připomíná, že právo na informace (čl. 17 Listiny základních práv a svobod) a jemu odpovídající povinnost orgánu veřejné moci informace poskytnout je klíčovým prvkem vztahu mezi státem a jednotlivcem. Jeho smyslem je participace občanské společnosti na věcech veřejných, resp. veřejná kontrola činnosti státu (nález Ústavního soudu ze dne 15. 11. 2010, sp. zn. I. ÚS 517/10, bod 18). V nynějším případě přitom poskytnutí žádaných informací může přispět ke kontrole pojišťoven i poskytovatelů zdravotních služeb, a tedy i hospodaření s veřejnými prostředky, přičemž „informovanost a transparentnost může přispět ke zlepšení zdravotnictví jako celku“ (nález Ústavního soudu sp. zn. III. ÚS 836/21, bod 33).
[57] Ačkoli je na zveřejnění požadovaných informací dán také veřejný zájem, nelze jejich poskytnutí považovat za natolik potřebné, aby to ospravedlnilo i zveřejnění citlivých osobních údajů (pravděpodobně) statisíců pojištěnců. Identifikátor by jistě umožnil více propojit data a přinést přesnější informace o tom, jak je insuficience u pacientů léčena, oproti poskytnutým informacím, které na jednotlivé diagnózy, předepisování léčivých přípravků atp. nahlíží izolovaně. Takový zájem ovšem není s to převážit nad tak zásadním zásahem do soukromí tolika pojištěnců, jako je zveřejnění často těch nejintimnějších informací o jejich zdravotním stavu. Žalovaný se stěžovatelkou spolupracoval a sám agregoval data takovým způsobem, aby žádosti stěžovatelky v co největším rozsahu vyhověl. Stěžovatelka nyní disponuje obecnými informacemi o léčbě osob s insuficiencí železa. Aniž by kasační soud hodnotil užitečnost poskytnutých informací pro analýzu stěžovatelky, jednalo se o velký rozsah informací. Omezení stěžovatelčina práva na informace je proto přiměřené. IV. Závěr a náklady řízení
[58] Nejvyšší správní soud tak uzavírá, že městský soud dospěl ke správnému závěru, že identifikátor pojištěnce, jenž stěžovatelka žádala po žalované poskytnout, představuje ve spojení s dalšími již poskytnutými daty osobní údaj. Kasační soud k tomuto názoru dospěl částečně z jiného důvodu, neboť vycházel zejména z rozsudku SDEU ve věci SRB, který byl vydán až v průběhu řízení o kasační stížnosti. Nesouhlasil ani s právním názorem městského soudu o tom, že k odmítnutí poskytnout informace postačí, že se jedná o osobní údaje. Také v tomto případě musí omezení práva na informace podléhat testu proporcionality. Žalovaná nicméně postupovala správně, jestliže odmítla identifikátor pojištěnce poskytnout. Ačkoli Nejvyšší správní soud musel závěry uvedené v napadeném rozsudku částečně korigovat, městský soud postupoval správně, jestliže žalobu zamítl.
[59] Nejvyšší správní soud proto kasačním námitkám nepřisvědčil a neshledal ani vadu, ke které by musel přihlédnout z úřední povinnosti. Kasační stížnost zamítl podle § 110 odst. 1 poslední věty s. ř. s.
[60] O náhradě nákladů řízení rozhodl kasační soud v souladu s § 60 odst. 1 ve spojení s § 120 s. ř. s. Stěžovatelka ve věci neměla úspěch, a proto nemá právo na náhradu nákladů řízení o kasační stížnosti. Žalovanému v souvislosti s tímto řízením nevznikly žádné náklady nad rámec běžné úřední činnosti. Soud mu tedy náhradu nákladů řízení nepřiznal.
[61] Osoba zúčastněná na řízení nemá právo na náhradu nákladů řízení, neboť jí soud neuložil v řízení žádné povinnosti (§ 60 odst. 5 s. ř. s.).
Poučení: Proti tomuto rozsudku nejsou opravné prostředky přípustné. V Brně dne 9. října 2025
Ivo Pospíšil předseda senátu