Vydání 2/2026

(…)

[28] Stěžovatelka obdržela data o léčbě pacientů s insuficiencí železa a primárními onemocněními, u kterých je indikována léčba léčivými přípravky obsahujícími železo, a to za období osmi let. Jedná se o pět jednotlivých tabulek:

- výčet pojištěnců s jednou z 183 typů diagnóz (tabulka Diagnózy);

- výčet pojištěnců s vyjmenovanými diagnózami, u nichž byl proveden zdravotní výkon (tabulka Diagnózy-výkon);

- výčet pojištěnců, u nichž byl proveden jeden z 18 druhů výkonů (tabulka Výkony);

- výčet pojištěnců s jedním z 96 kódů DRG (tabulka DRG); a

- výčet receptů nebo zvlášť účtovaných léčivých přípravků a zdravotnických prostředků, jednalo-li se o jeden z 13 druhů (tabulka LP).

V tabulkách je k jednotlivým pojištěncům uvedeno mj.:

- pohlaví;

- jejich rok narození (agregovaný do pětiletých rozmezí, např. 30-34);

- odbornost poskytovatele zdravotní služby (např. „801 – klinická biochemie“) a místo jejího poskytování (agregováno na regiony Čechy, Morava a Slezsko);

- datum provedení péče (agregováno na měsíce, např. leden 2010) a

- cena péče.

[29] Sporné nyní je, zda se data v tabulkách mohou stát osobními údaji, jestliže by k nim VZP stěžovatelce poskytla také identifikátor pojištěnce, který by propojil datové řádky v těchto tabulkách (kromě tabulky „LP“).

[30] Podle § 8a infozákona .

[31] Osobními údaji jsou jakékoli informace, které se týkají identifikované nebo identifikovatelné osoby. Identifikovatelnou osobou je podle čl. 4 odst. 1 GDPR .

[32] Pseudonymizací je pak dle čl. 4 odst. 5 GDPR .

[33] Je pravdou, že Nejvyšší správní soud dosud zastával názor založený na závěrech rozsudku Soudního dvora ve věci , totiž že naplnění definice osobního údaje se neposuzuje ze subjektivního pohledu správce či zpracovatele, který údaji v daný moment disponuje. Informace podle něj představovala osobní údaj v případě, že existují „“ (viz rozsudky NSS ze dne 24. 8. 2023, čj. 3 As 76/2022-54, bod 17; či ze dne 13. 8. 2020, čj. 1 As 387/2019-56, č. 4064/2020 Sb. NSS, bod 25). Ve světle takového výkladu by informace, jejichž zpřístupnění se stěžovatelka domáhala, mohly být osobními údaji, neboť by osoby byly zpětně identifikovatelné. Ačkoli by stěžovatelka obdržela pouze bezvýznamový identifikátor propojující jednotlivé tabulky, VZP by mohla disponovat informacemi, které by bezvýznamový identifikátor mohly zpětně propojit s konkrétními osobami.

[34] Naproti tomu Soudní dvůr v rozsudku ve věci , nově uvedl, že pseudonymizované údaje nemusí být v každém případě a ve vztahu ke každé osobě automaticky osobními údaji, „“ (bod 86 citovaného rozsudku). To znamená, že záleží na osobě, ve vztahu k níž se identifikovatelnost posuzuje (body 71 až 75 a 82 tamtéž). Jsou-li totiž zavedena taková technická a organizační opatření, která mohou zabránit spojení údaje o subjektu údajů s těmito osobami, mohou tyto pseudonymizované údaje přestat být osobními údaji (bod 75 tamtéž).

[35] K posuzování, zda jde pro tu kterou konkrétní osobu o osobní údaje, dává návod mj. bod 26 věty třetí preambule GDPR, podle níž by se […][…] Soudní dvůr přitom vyslovil, že „jiné osoby“ jsou pouze takové, jež mají nebo mohou mít přístup k prostředkům, o nichž lze rozumně předpokládat, že budou použity k identifikaci subjektu údajů (rozsudek ve věci , bod 87).

[36] Městský soud v napadeném rozsudku dospěl k závěru, že se jedná o osobní údaje, na základě judikatury Soudního dvora, která byla v průběhu řízení před kasačním soudem částečně překonána, a tak je třeba zkoumat, zda názor městského soudu i po rozsudku Soudního dvora ve věci obstojí.

[37] Data, která stěžovatelka požadovala, VZP rozdělila na tabulky, z nichž nelze konkrétní pojištěnce identifikovat. Pro jejich identifikování by k jednotlivým datovým řádkům musel být přiřazen bezvýznamový identifikátor pojištěnce, jenž VZP odmítla poskytnout. Jedná se proto o pseudonymizaci.

[38] Z výše uvedených závěrů Soudního dvora vyplývá, že se o osobní údaje může jednat ve vztahu k jedné osobě, zatímco pro jinou osobu už tuto povahu informace ztrácejí. Rozhodujícím kritériem je, zda osoba má k dispozici zákonné a rozumné prostředky, které může použít k zpětnému identifikování subjektu údajů.

[39] Předně lze uzavřít, že se o osobní údaje jednat může. Pokud by zcela vyhověla žádosti stěžovatelky o informace a zpřístupnila ji bezvýznamové identifikátory, jež by odpovídaly konkrétním subjektům údajů, opravdu by mohla zpětně propojit bezvýznamový identifikátor v tabulkách se subjekty údajů. Odpověď na to, zda by to bylo možné, by mohla záviset na tom, zda by VZP uchovávala informaci o propojení bezvýznamového identifikátoru a konkrétního subjektu údajů, nebo by vytvoření a přiřazení identifikátoru provedla způsobem, který by jejich zpětné spojení znemožnil i jí, resp. jejím zaměstnancům, kteří nejsou oprávněni se s osobními údaji pojištěnců seznamovat.

[40] V této věci je ovšem potřeba zkoumat, zda bezvýznamový identifikátor u informací o subjektech údajů (citlivých údajů o jejich zdravotním stavu) představuje osobní údaj , která o tyto informace žádala. Odpověď je podmíněna tím, zda stěžovatelka má zákonné prostředky, o nichž lze rozumně předpokládat, že je použije pro přímou či nepřímou identifikaci dané fyzické osoby (rozsudky Soudního dvora ze dne 7. 3. 2024, , C-604/22, body 43 a 48; a ve věci , body 44, 47, 48).

[41] Určitý prostředek nelze rozumně použít pro identifikaci subjektu údajů, „“ (bod 82 rozsudku Soudního dvora ve věci a tam citovaná ).

[42] Nejvyšší správní soud proto posoudí, zda požadované informace ve svém rozsahu (tedy zpřístupněná data společně s bezvýznamovým identifikátorem) nejsou samy o sobě dostatečné k tomu, aby umožňovaly stěžovatelce identifikovat jednotlivé osoby. Je přitom třeba vzít v úvahu „“ (bod 79 tamtéž). Jak uvedl také městský soud, je třeba zkoumat také to, zda lze osoby identifikovat kombinací žádaných dat s informacemi dostupnými na internetu (bod 48 napadeného rozsudku, bod 81 rozsudku Soudního dvora ve věci ), či s jinými veřejně dostupnými informacemi, včetně obsahu jiných (i potenciálních) žádostí o informace.

[43] Lze souhlasit s městským soudem v tom, že bezvýznamový identifikátor rozšíří počet informací, které bude možné z celého souboru dat vyčíst. Identifikátor propojí jednotlivé řádky v jedné tabulce i v tabulkách navzájem, a tak umožní o jednom pojištěnci (charakterizovaným identifikátorem, pohlavím a věkovým rozmezím) zjistit za roky 2010-2017 zejména:

- jeho konkrétní diagnózu, resp. všechny diagnózy ze 183 typů, které mu byly přiděleny;

- zdravotní výkony spojené s insuficiencí železa, které mu byly provedeny;

- informace o jeho hospitalizaci (čas, průběh léčby);

- že mu byly předepsány či podány určité léčivé přípravky, či zdravotní prostředky;

- počet a datum těchto úkonů (s přesností na měsíce).

Oproti tomu nyní (tedy v zpřístupněném souboru dat) je každá tato informace oddělená a pojištěnec je definován výše uvedeným způsobem (bod 31 tohoto rozsudku) – jen bez identifikátoru – u každého datového řádku zvlášť.

[44] Jak ovšem uvádí stěžovatelka, insuficience železa je velmi rozšířená diagnóza. To odpovídá také rozsahu zpřístupněných informací. Například tabulka vydaných receptů na konkrétních 13 léčivých přípravků (resp. zdravotnických potřeb) obsahuje zhruba jeden milion datových řádků. Měsíčně tedy byl jeden z těchto přípravků předepsán asi v 10 000 případech. Obdobně jeden z 18 výkonů zdravotní služby (jako např. aplikace krve nebo krevních derivátů) byl proveden průměrně 80 000krát měsíčně. Diagnóz, s nimiž může insuficience železa souviset, jež byly zaznamenány za jeden měsíc, je pak průměrně 130 000.

[45] Na druhou stranu, některé tabulky nejsou natolik obsáhlé, aby dostatečně generalizovaly data v nich uvedená. Tabulka DRG (typů tzv. , tedy zjednodušeně informace o léčbě pacienta při jeho hospitalizaci) sice obsahuje 700 tisíc řádků, rozčleníme-li ovšem tyto řádky na nejnižší rozlišitelnou časovou jednotku hospitalizace (na úroveň měsíce), každý měsíc bylo hospitalizováno průměrně zhruba 7 tisíc pojištěnců (v období 2010 2017 bylo 96 měsíců) přičemž seznam hospitalizačních případů, které jsou v tabulce zachyceny (kódů DRG), je 96 (od srdečního selhání po poruchy mužského reprodukčního systému). Měl-li by každý pojištěnec po své hospitalizaci přiřazen pouze jeden takový kód, průměrně by na každý z nich připadalo 70 pojištěnců. Měl-li jeden pojištěnec více kódů dohromady, mohou již přidáním identifikátoru pojištěnce (který je spojí pro jednu osobu) vznikat jedinečné kombinace kódů v jednom měsíci. O těchto již nyní poněkud konkrétně přiblížených pojištěncích lze dále ze stejné tabulky vyčíst nejen tyto diagnózy, ale také věk (v rozmezí pěti let), pohlaví a region.

[46] Ke každému z takto specifikovaných pojištěnců by pak bylo možno nadto přiřadit buďto jejich , jimi nebo (jsou-li tyto další údaje ke konkrétnímu pacientovi obsaženy v tabulkách). Tabulka Diagnózy zobrazuje pestrou škálu 183 typů diagnóz, a to od chronické virové hepatitidy, přes zhoubný novotvar kořene jazyka nebo selhání srdce, po celiakii. Tabulky léčivých přípravků a výkonů sice neobsahují mnoho jejich typů, jsou ovšem také uvedeny konkrétně – léčivé přípravky čítají položky např. síran železnatý či erytrocyty, výkony např. gastrický bypass pro morbidní obezitu, či totální gastrektomie/subtotální gastrektomie.

[47] Takto propojené údaje tedy umožňují identifikovat osoby pouze se znalostí jejich přibližného věku, pohlaví, data provedení úkonu či úkonů, přičemž mohou postačit dvě informace o konkrétním předepsaném či podaném léku, hospitalizaci a průběhu léčby, diagnóze či výkonu, které byly provedeny v období osmi let. Je vysoká pravděpodobnost, že tímto způsobem může v určitých případech (např. u vzácných onemocnění, ojedinělých kombinací či výjimečně nízkém či vysokém věku) dojít k jedinečnému spojení dat, které vyloučí ostatní pojištěnce, což by vedlo k označení konkrétní osoby.

[48] Jak uvedl Soudní dvůr ve věci (a zopakoval ve věci , bod 83), o osobní údaje se jedná, jestliže informace umožňující identifikaci subjektu údajů jsou v rukou různých osob a nelze účinně zabránit tomu, aby subjekt údajů byl pro některou z těchto osob identifikovatelný. Riziko, že jedna osoba (stěžovatelka, nebo jiná osoba, které by stěžovatelka údaje zpřístupnila) bude mít k dispozici informace uvedené v předchozím odstavci, není přitom zanedbatelná. Jak poukázal již městský soud, lze takové informace získat ze sdělovacích prostředků či sociálních sítí (bod 48 napadeného rozsudku). Je běžné, že tyto informace o sobě lidé sdílí na sociálních sítích, ať už v rámci osvěty, či k soukromým účelům. Některé informace o zdravotním stavu se také mohou vyskytnout ve sdělovacích prostředcích.

[49] Nejvyšší správní soud tedy dospěl k závěru, že bezvýznamový identifikátor, jehož zpřístupnění se stěžovatelka domáhá, z jinak poskytnutého souboru dat činí osobní údaje ve smyslu čl. 4 odst. 1 GDPR. Jsou to právě konkrétní kódy DRG, diagnóz, výkonů a léčivých přípravků, které ve spojení s ostatními informacemi v tabulkách zužují skupiny se stejnými charakteristikami natolik, že umožňují vytvářet konkrétní spojení dat přiřaditelné pouze jedinému pojištěnci, který by se tak stal pro stěžovatelku identifikovatelným.

[50] V projednávaném případě jde o citlivé osobní údaje (§ 8a infozákona a čl. 9 GDPR). Ani jejich poskytnutí ovšem nelze vyloučit, nýbrž je třeba oproti právu na informace najít konkurující veřejný zájem nebo ústavně zaručené právo a vzájemně je poměřit. Jen takové omezení práva na informace, které je nezbytné (proporcionální), je pak ústavně konformní (viz nález ÚS ze dne 17. 1. 2023, sp. zn. Pl. ÚS 25/21, č. 40/2023 Sb., bod 42). V konkurenci s právem stěžovatelky na informace nyní stojí právo subjektů údajů na ochranu jejich soukromí.

[51] Při poměřování konkurujících zájmů (práv) se využívá test proporcionality. Ten stojí na třech kritériích: (I.) vhodnosti, (II.) potřebnosti/nezbytnosti a (III.) přiměřenosti (srov. např. rozsudek NSS ze dne 20. 9. 2022, čj. 5 As 65/2021-73, č. 4396/2022 Sb. NSS, bod 43).

[52] Neposkytnutí identifikátoru představuje vhodný prostředek k ochraně soukromí pacientů. Jak Nejvyšší správní soud osvětlil výše, bez něj nelze jednotlivé tabulky se zdravotními údaji propojit a jednotliví pacienti tedy nejsou identifikovatelní.

[53] V projednávané věci neexistuje současně jiný postup, který by představoval menší zásah do práva stěžovatelky na informace. Stěžovatelka trvá na poskytnutí identifikátoru spolu s již poskytnutými daty. To by ovšem opět vedlo k možné identifikaci jednotlivých pojištěnců. Lze si jistě představit, že by data v poskytnutých tabulkách mohla být upravena tak, aby bylo do práva subjektů údajů na soukromí zasaženo méně či vůbec. O takovou úpravu dat (např. jejich další agregování) by ovšem musela žádat samotná stěžovatelka (pokud povinný subjekt vyřizuje srozumitelnou, jasnou a zřejmou žádost o informace, je zároveň vázán její formulací, srov. rozsudek NSS ze dne 21. 8. 2024, čj. 8 As 40/2023-52, bod 23), což neučinila. Naopak žalovaný již v součinnosti s ní přistoupil k agregaci dat v tabulkách tak, aby alespoň je mohl stěžovatelce poskytnout.

[54] Je proto třeba zvážit, zda má převážit právo na soukromí subjektů údajů, či právo stěžovatelky na informace.

[55] Identifikátor pojištěnce, ve spojení s ostatními poskytnutými informacemi, umožňuje zjistit údaje o zdravotním stavu subjektů údajů. GDPR tyto údaje obecně zpracovávat (tedy i jejich zpřístupnění) zakazuje (s výjimkami uvedenými v čl. 9 odst. 2 GDPR). Také infozákon předpokládá, že informace týkající se osobnosti, projevů osobní povahy, soukromí fyzické osoby a osobní údaje povinný subjekt poskytne pouze v souladu s právními předpisy upravujícími jejich ochranu (§ 8a odst. 1 infozákona). Tyto údaje tak obecně požívají vyšší ochrany. Konkrétně by byly poskytnuty informace o některých jejich diagnózách, výkonech, o jejich hospitalizaci a o léčivých přípravcích jimi užívaných. Ačkoli jde u některých těchto údajů o úzký seznam spjatý s léčbou insuficience železa (léčivé přípravky a výkony), jiné poukazují na celkový zdravotní stav pacienta a nezřídka na závažné zdravotní stavy (spojené zejména se zhoubnými, ale i nezhoubnými nádory).

[56] Naproti tomu Ústavní soud připomíná, že právo na informace (čl. 17 Listiny základních práv a svobod) a jemu odpovídající povinnost orgánu veřejné moci informace poskytnout je klíčovým prvkem vztahu mezi státem a jednotlivcem. Jeho smyslem je participace občanské společnosti na věcech veřejných, resp. veřejná kontrola činnosti státu (nález ÚS ze dne 15. 11. 2010, sp. zn. I. ÚS 517/10, č. 223/2010 Sb. ÚS, bod 18). V nynějším případě přitom poskytnutí žádaných informací může přispět ke kontrole pojišťoven i poskytovatelů zdravotních služeb, a tedy i hospodaření s veřejnými prostředky, přičemž „“ (nález ÚS sp. zn. III. ÚS 836/21, bod 33).

[57] Ačkoli je na zveřejnění požadovaných informací dán také veřejný zájem, nelze jejich poskytnutí považovat za natolik potřebné, aby to ospravedlnilo i zveřejnění citlivých osobních údajů (pravděpodobně) statisíců pojištěnců. Identifikátor by jistě umožnil více propojit data a přinést přesnější informace o tom, jak je insuficience u pacientů léčena, oproti poskytnutým informacím, které na jednotlivé diagnózy, předepisování léčivých přípravků atp. nahlíží izolovaně. Takový zájem ovšem není s to převážit nad tak zásadním zásahem do soukromí tolika pojištěnců, jako je zveřejnění často těch nejintimnějších informací o jejich zdravotním stavu. Žalovaný se stěžovatelkou spolupracoval a sám agregoval data takovým způsobem, aby žádosti stěžovatelky v co největším rozsahu vyhověl. Stěžovatelka nyní disponuje obecnými informacemi o léčbě osob s insuficiencí železa. Aniž by Nejvyšší správní soud hodnotil užitečnost poskytnutých informací pro analýzu stěžovatelky, jednalo se o velký rozsah informací. Omezení stěžovatelčina práva na informace je proto přiměřené.

[58] Nejvyšší správní soud tak uzavírá, že městský soud dospěl ke správnému závěru, že identifikátor pojištěnce, jenž stěžovatelka žádala po žalované poskytnout, představuje ve spojení s dalšími již poskytnutými daty osobní údaj. Kasační soud k tomuto názoru dospěl částečně z jiného důvodu, neboť vycházel zejména z rozsudku Soudního dvora ve věci , který byl vydán až v průběhu řízení o kasační stížnosti. Nesouhlasil ani s právním názorem městského soudu o tom, že k odmítnutí poskytnout informace postačí, že se jedná o osobní údaje. Také v tomto případě musí omezení práva na informace podléhat testu proporcionality. Žalovaná nicméně postupovala správně, jestliže odmítla identifikátor pojištěnce poskytnout. Ačkoli Nejvyšší správní soud musel závěry uvedené v napadeném rozsudku částečně korigovat, městský soud postupoval správně, jestliže žalobu zamítl.