Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Stanovisko č. 4/2015 - Zveřejňování smluv uzavřených mezi zdravotními pojišťovnami a poskytovateli zdravotních služeb

 

Odkazy


 
 

říjen 2015[1]

 

Úvod

V souvislosti s novelizací zákona č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů,[2] vznikla zdravotním pojišťovnám nová povinnost zveřejňovat smlouvy s poskytovateli zdravotních služeb týkající se poskytování a úhrady hrazených služeb, jakož i smlouvy s osobami, které mají oprávnění k distribuci léčivých přípravků podle zákona o léčivech.[3] V intencích nového ustanovení § 17 odst. 9 zákona č. 48/1997 Sb. zdravotní pojišťovna zveřejní uvedené smlouvy, případně jejich dodatky, způsobem umožňujícím dálkový přístup nejpozději do 60 dnů ode dne uzavření takové smlouvy. Dané ustanovení dále uvádí, že zdravotní pojišťovna nezveřejní informace a údaje, které jsou předmětem ochrany podle jiných právních předpisů.

S ohledem na množící se dotazy, které Úřad pro ochranu osobních údajů (dále jen “Úřad“) obdržel již v průběhu legislativního procesu, považuje za nutné vypořádat se s případnými nejasnostmi citovaného znění zákona. Jelikož zveřejňované smlouvy obsahují identifikační údaje poskytovatelů zdravotních služeb, je jasné, že nově stanovená povinnost dopadá též do oblasti zpracování osobních údajů. Zatímco u právnických osob nesrovnalosti při zveřejňování smluv běžně vznikat nebudou, zásadní praktické problémy se mohou objevit při zveřejňování osobních údajů za předpokladu, že v pozici poskytovatele zdravotních služeb vystupuje fyzická osoba podnikající. Obdobné nejasnosti panují i v případech zveřejňování podpisů osob jednajících za poskytovatele zdravotních služeb, zejména statutárních orgánů právnických osob či již zmíněných fyzických osob podnikajících. Cílem tohoto stanoviska je proto sjednocení praxe zveřejňování smluv uzavřených mezi zdravotními pojišťovnami a poskytovateli zdravotních služeb z pohledu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů s přihlédnutím k výše nastíněným otázkám.

Základní právní rámec

V obecné rovině lze uvést, že zákon č. 101/2000 Sb. považuje za osobní údaje jakékoli informace týkající se určené nebo určitelné fyzické osoby, subjektu údajů [viz § 4 písm. a) tohoto zákona]. Subjekt údajů se přitom považuje za určený nebo určitelný, jestliže jej lze přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Zveřejňované smlouvy, jak již bylo výše uvedeno, obsahují identifikátory poskytovatele zdravotnických služeb a osob jednajících za poskytovatele zdravotnických služeb. V postavení poskytovatele zdravotnických služeb smí vystupovat taktéž fyzická osoba podnikající. Za právnickou osobu pak bude jednat pověřený statutární orgán, respektive fyzická osoba či osoby, jejichž identifikační údaje se rovněž stávají součástí smlouvy. Z tohoto pohledu bude třeba vybrané informace týkající se fyzických osob i fyzických osob podnikajících obsažené ve zveřejňovaných smlouvách považovat za osobní údaje.

Nejen při shromažďování, zpřístupňování nebo zveřejňování osobních údajů se pak jedná
o zpracování osobních údajů v intencích ustanovení § 4 písm. e) zákona č. 101/2000 Sb. Zdravotní pojišťovny se proto při zveřejňování smluv s poskytovateli zdravotních služeb nacházejí v pozici správce osobních údajů v režimu ustanovení § 4 písm. j) zákona
č. 101/2000 Sb., a to se všemi právy a povinnostmi, které správci tento zákon ukládá.

K zákonnému zpracování osobních údajů dochází pouze na základě řádného právního titulu. Za základní právní titul se přitom obecně považuje souhlas subjektu údajů dle ustanovení § 5 odst. 2 zákona č. 101/2000 Sb. Souhlasu subjektu údajů však není třeba v případě zpracování upraveném ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb. Podle tohoto ustanovení lze osobní údaje zpracovávat bez souhlasu subjektu údajů tehdy, pokud je zpracování nezbytné pro dodržení právní povinnosti správce. Zmíněný právní titul dopadá mimo jiné i na problematiku zveřejňování smluv s poskytovateli zdravotních služeb podle nového ustanovení § 17 odst. 9 zákona č. 48/1997 Sb.

Rozsah zveřejňovaných údajů fyzických osob podnikajících

Zpracování osobních údajů musí probíhat v souladu s účelem, k němuž byly osobní údaje shromážděny a současně v rozsahu nezbytném pro naplnění stanoveného účelu dle dikce ustanovení § 5 odst. 1 písm. d) zákona č. 101/2000 Sb. Úmyslem zákonodárce v případě novely zákona o veřejném zdravotním pojištění je umožnit transparentní kontrolu zacházení s veřejnými finančními prostředky především v oblasti smluvních vztahů mezi zdravotními pojišťovnami a poskytovateli zdravotních služeb. Z důvodové zprávy k novelizovanému znění rovněž plyne, že avizovaná veřejná kontrola by se měla realizovat prostřednictvím dohledu nad obsahem smluv o poskytování a úhradě hrazených služeb.

V souvislosti s tím je třeba připomenout, že zákon č. 101/2000 Sb. vyžaduje zajištění přiměřenosti rozsahu zpracovávaných osobních údajů ve vztahu ke stanovenému účelu zpracování. Přiměřený, respektive nezbytný rozsah osobních údajů přitom zahrnuje takový výčet osobních údajů, které ještě postačují k naplnění stanoveného účelu, ovšem na straně druhé nejsou nadbytečné.[4]

Požadavek transparentnosti při nakládání s veřejnými finančními prostředky se projeví při zveřejňování obsahu smlouvy, respektive jejího předmětu, což bude stěžejní pro naplnění účelu ustanovení § 17 odst. 9 zákona č. 48/1997 Sb.[5] Nelze však opomenout, že v textu smlouvy se objevují rovněž další náležitosti, jejichž zveřejnění již k naplnění uvedeného účelu není nezbytné. Zákonodárce bere tuto skutečnost na vědomí prostřednictvím výslovné možnosti nezveřejnění těchto údajů. Zvolenou formulaci užitou v rámci novelizovaného znění zákona č. 48/1997 Sb. o nezveřejnění informací a údajů, které jsou předmětem ochrany dle jiných právních předpisů, nelze vnímat jako kolizi norem, nýbrž právě jako limitaci rozsahu zveřejňovaných osobních údajů. Na základě individuálního posouzení případu tímto způsobem zákonodárce předpokládá zveřejnění osobních údajů pouze v rozsahu nezbytném pro dosažení účelu dané právní normy. Ostatní údaje musejí být přiměřeným způsobem chráněny z důvodu možného nepřiměřeného zásahu do jiných práv, např. do soukromí dotčených subjektů. 

Takovým případem je právě zveřejňování osobních údajů fyzických osob podnikajících,
u nichž existuje často jen obtížně rozpoznatelná hranice mezi těmi informacemi, které spadají výlučně či z velké části do výkonu jejich podnikatelské činnosti, a těmi údaji, které se vztahují výlučně k soukromé sféře těchto osob. V ustanovení § 4 písm. d) zákona č. 101/2000 Sb. je uvedeno, že subjektem údajů v režimu tohoto předpisu je fyzická osoba, k níž se osobní údaje vztahují. Zcela jistě může být subjektem údajů i fyzická osoba podnikající. Není tedy vyloučeno, aby rovněž došlo k narušení jejího soukromí. K tomu však s ohledem na podnikání dochází pouze v závislosti na určité skupině zpracovávaných osobních údajů. Jde-li o osobní údaje fyzických osob podnikajících, Úřad zastává názor respektující rozhodovací činnosti Evropského soudu pro lidská práva, jakož i Soudního dvora Evropské unie.[6] Oba zmíněné soudy se přiklání k širokému pojetí práva na soukromí, pod které je třeba podřadit také ochranu údajů vztahujících se k živnosti či svobodnému podnikání. Shodně Nejvyšší správní soud v rozsudku ze dne 5. 11. 2009, sp. zn. 1 Afs 60/2009[7] vyjádřil názor, dle něhož oblast pracovních aktivit fyzických osob podnikajících je silně provázána s jejich soukromým životem. Nelze proto plošně přistoupit k analogickému posuzování jako v případě osob právnických, na něž se zákon o ochraně osobních údajů nevztahuje.[8]

V případě fyzických osob podnikajících je nutné vzít v potaz, že řada jejich osobních údajů je na základě různých právních předpisů součástí veřejných rejstříků (typicky živnostenského rejstříku, Administrativního registru ekonomických subjektů a jiných). Při dalším zveřejnění informací z veřejných rejstříků jde o zpracování nevyžadující souhlas subjektu údajů (podnikatele), neboť se jedná o zpracování oprávněně zveřejněných údajů v režimu ustanovení § 5 odst. 2 písm. d) zákona č. 101/2000 Sb. Podmínkou pro aplikaci tohoto právního titulu je skutečnost, že další zpracování oprávněně zveřejněných údajů nebude nepřiměřeně zasahovat do soukromého a osobního života subjektu údajů. Za zásah do soukromého a osobního života by přitom šlo považovat typicky zveřejňování dalších informací spadajících nejen pod podnikatelskou aktivitu subjektu (například bydliště fyzické osoby podnikající za předpokladu, že se liší od zvoleného sídla). Zpracovávat tímto způsobem lze proto pouze oprávněně zveřejněné údaje, především ty, které jsou součástí veřejných seznamů, např. živnostenského rejstříku, respektive jeho veřejné části.

Vedení živnostenského rejstříku i jeho veřejnost upravuje ustanovení § 60 zákona
č. 455/1991 Sb., o živnostenském podnikání. Zveřejňování údajů týkajících se podnikatelské činnosti v rozsahu jméno, příjmení, sídlo a identifikační číslo fyzické osoby podnikající odpovídající rozsahu osobních údajů obsažených ve veřejných seznamech lze využít také jako návod při zveřejňování osobních údajů o těchto osobách v případě novelizovaného znění zákona č. 48/1997 Sb. Tento způsob zpracování nelze vnímat jako nepřiměřený zásah do soukromí subjektu, neboť dané zpracování ve smyslu zveřejňování přikazuje institucím odpovědným za vedení veřejných rejstříků zákon. V případě problematiky zveřejňovaných smluv se tak ve výše zmíněném rozsahu osobních údajů bude jednat o údaje zveřejněné ve smyslu ustanovení § 4 písm. l) zákona č. 101/2000 Sb. Ani další využití takto zveřejněných údajů v daném rozsahu za účelem plnění zákonné povinnosti zveřejňovat smlouvy s poskytovateli zdravotních služeb samo o sobě nepředstavuje nepřiměřený zásah do soukromí dotčených osob.

Zveřejnění bankovního spojení

Součástí smluv uzavíraných mezi zdravotními pojišťovnami a poskytovateli zdravotních služeb z podstaty věci obvykle bude také informace o bankovním spojení poskytovatele. Jde-li o čísla bankovních účtů, je vhodné uvést, že taktéž fyzické osoby podnikající, za předpokladu že jsou registrovanými plátci DPH, mají povinnost zveřejnit všechny bankovní účty využívané pro ekonomickou činnost dle ustanovení § 96 zákona č. 235/2004 Sb. o dani z přidané hodnoty. Jde o tzv. povinný registrační údaj, který je z pohledu zákona č. 101/2000 Sb. údajem zveřejněným dle ustanovení § 4 písm. l) zákona č. 101/2000 Sb. Za předpokladu, že se jedná o fyzickou osobu podnikající, která není registrovaným plátcem DPH, z toho důvodu nemá povinnost uvádět bankovní účty využívané pro svou ekonomickou činnost pro kontrolu plnění této povinnosti, bude nutné se přiklonit k anonymizaci předmětného údaje (bankovního spojení) v textu zveřejňované smlouvy. Obdobně je pak nutné přistoupit k posouzení případného bankovního spojení dalších fyzických osob, které by v textu taktéž mělo být vhodným způsobem anonymizováno. V tomto bodě lze proto shrnout, že kritérium pro posouzení, zda zveřejňovat příslušné bankovní spojení, závisí v konkrétním případě na tom, zda je fyzická osoba podnikající plátcem DPH, či nikoli.

Z praktického hlediska nelze opomenout ani situaci, kdy dotčený subjekt zveřejní informaci o svém bankovním spojení ze své vlastní vůle, například na webových stránkách. Za těchto okolností se předmětný údaj o bankovním spojení stává rovněž zveřejněným osobním údajem v intencích ustanovení § 4 písm. l) zákona č. 101/2000 Sb.

Zveřejňování podpisů fyzických osob

Řada dotazů směřovaných Úřadu upozorňuje na sporné zveřejnění podpisů konkrétních osob v textu zveřejňovaných smluv. Problematikou zveřejňování listin s podpisem konkrétní osoby se Úřad ve své praxi zabýval opakovaně, přičemž je nutné konstatovat, že především u právnických osob, respektive osob oprávněných za ně jednat, jde o problematický nedostatek právní úpravy. Zveřejnění podpisů fyzické osoby podnikající, jakož i zástupců obchodních korporací, se nepochybně může stát skutečností zneužitelnou třetími subjekty, zejména v kombinaci se zveřejněním čísla bankovního účtu a jména či názvu jednajícího subjektu.

V případě právnických osob zapisovaných do veřejných rejstříků je problematika složitější z důvodu publikace jiných dokumentů obsahujících podpisy subjektů ve sbírce listin, která je veřejnou evidencí. Obchodní korporace jsou ze zákona povinny předkládat rejstříkovému soudu listiny v originálním znění, přičemž rejstříkový soud je v doloženém znění zveřejní. Jak vyplývá z ustanovení § 66 a následujících zákona č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob (dříve ustanovení § 38i zákona č. 513/1991 Sb., obchodní zákoník), sbírka listin slouží ke zveřejňování zde uvedených dokumentů. Rejstříkový soud proto v rámci sbírky listin provádí jejich publikaci, nikoliv přezkum zákonných náležitostí. Zahrnutí osobních údajů do výše uvedených publikovaných listin představuje problematický nedostatek právní úpravy, který poté musí být pro zachování požadavků na ochranu osobních údajů řešen v praxi soudu. S ohledem na objem soudní agendy nelze po jednotlivých rejstříkových soudech spravedlivě požadovat, aby na základě vlastního přezkumu všech doručených písemností přistupovaly k anonymizaci jednotlivých listin. Jedná se tudíž o volbu subjektu dokládajícího listinu, v jaké formě tuto listinu předá ke zveřejnění. Úřadu je z jeho činnosti známo, že některé rejstříkové soudy akceptují možnost založení listin ve sbírce listin v anonymizované podobě. Dojde tak k následnému nahrazení původních originálních dokumentů vedených v elektronické formě. Fakticky si ovšem rejstříkový soud i nadále ponechává neanonymizované listiny jako součást spisového materiálu. Veřejně ale zpřístupňuje pouze doplněné anonymizované verze. Výměna dokumentů se uskutečňuje na žádost subjektu, respektive statutárních orgánů obchodních korporací.

V kontextu řečeného je proto třeba dovodit, že byť v některých případech mohou již být podpisy, například jednatele společnosti s ručením omezeným zveřejněny, právě ve sbírce listin, s ohledem na povinnost minimalizovat zásahy do soukromí dotčených fyzických osob i s ohledem na rovný přístup a efektivitu úprav zveřejňovaných smluv, lze doporučit, aby podpisy fyzických osob zveřejňovány nebyly. V důsledku je pak nutné totožným způsobem přistupovat ke zveřejňování smlouvy uzavřené s fyzickou osobou podnikající, jejíž podpis není součástí listin ve veřejných rejstřících. Podpis fyzické osoby podnikající by proto měl být na těchto listinách rovněž vhodným způsobem anonymizován. Zveřejnění podpisu konkrétní fyzické osoby v návaznosti na povinnost stanovenou zákonem č. 48/1997 Sb. a zejména v návaznosti na účel zveřejňování smluv totiž není nezbytné. Na straně druhé tato skutečnost představuje zjevný zásah do osobního a soukromého života podepisující fyzické osoby. Nad rámec řečeného lze dodat, že v případě takto zveřejněných podpisů hrozí riziko jejich zneužití zvláště z pohledu určitého druhu kriminální aktivity.

Závěr

V návaznosti na shora uvedené Úřad shrnuje, že fyzické osoby podnikající ani fyzické osoby jednající za osoby právnické nelze bez dalšího vyjmout z působnosti zákona č. 101/2000 Sb. Při posuzování rozsahu osobních údajů, které mohou být o těchto subjektech zveřejněny s odkazem na zákon č. 48/1997 Sb., je nutné přihlédnout k rozsahu osobních údajů zveřejňovaných v rámci veřejných seznamů a jiných zákonných veřejných evidencí a dále k principu minimalizace zásahu do soukromí, resp. povinnosti zveřejnit osobní údaje jen v takovém rozsahu, který je nezbytný vzhledem k účelu dané právní úpravy.

Jak vyplývá z dosavadního výkladu, vybrané osobní údaje lze o těchto osobách ponechat v textu zveřejňovaných smluv, pakliže jde o údaje veřejně dostupné, tzn. přístupné v rámci veřejných evidencí [ve smyslu ustanovení § 4 písm. l) zákona č. 101/2000 Sb.]. Shodná situace nastane, pokud je zpracování těchto osobních údajů nezbytné k naplnění účelu dané normy (ustanovení § 17 odst. 9 zákona č. 48/1997 Sb.). Takové zpracování pak bude v mezích ustanovení § 5 odst. 2 písm. a) zákona č. 101/2000 Sb.

Při posuzování možnosti zveřejnění čísla bankovního účtu je vhodné rozlišit, zda je fyzická osoba podnikající registrovaným plátcem DPH, či nikoli, případně zda předmětný údaj sama v minulosti nezveřejnila. Co se týče zveřejnění podpisu fyzické osoby, nacházející se ať už v postavení statutárního orgánu obchodní korporace (nebo jiné osoby oprávněné jednat jménem právnické osoby), či fyzické osoby podnikající, Úřad zastává názor, že tento údaj obvykle není nezbytné ani vhodné zveřejňovat.


[1] Podle stavu právních předpisů k 15. září 2015.

[2] Viz blíže zákon č. 200/2015 Sb., kterým se mění zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, ve znění pozdějších předpisů. Novela nabyla účinnosti dne 1. září 2015.

[3]  Blíže viz ustanovení § 17 odst. 1 a § 17 odst. 7 písm. d) zákona č. 48/1997 Sb.

[4] Kučerová, Alena., Nováková, L., Foldová V., Nonnemann, F., Pospíšil, D., Zákon o ochraně osobních údajů. Komentář. 1. Vydání. C. H. Beck:  Praha, 2012, str. 115 a násl.

[5] Blíže viz důvodová zpráva k ustanovení § 17 odst. 9 zákona č. 48/1997 Sb., ve znění zákona č. 200/2015 Sb., kterým se mění zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů a zákon č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, ve znění pozdějších předpisů.

[6] Srovnej například rozsudek Evropského soudu pro lidská práva ze dne 16. 12. 1992, ve věci Niemetz proti Německu, 13710/88; rozsudek Evropského soudu pro lidská práva ze dne 16. 2. 2000, ve věci Amann proti Švýcarsku, 27798/9; rozsudek Soudního dvora Evropské unie ze dne 20. 5. 2003 ve spojených věcech C 465/00, C-38/01 a C-139/01, Österreichischer Rundfunk. 

[7] Blíže viz rozsudek Nejvyššího správního soudu ze dne 5. 11. 2009, sp. zn. 1 Afs 60/2009. Dostupný z: http://www.nssoud.cz/files/SOUDNI_VYKON/2009/0060_1Afs_0900119A_prevedeno.pdf.

[8] Blíže srovnej stanovisko Úřadu pro ochranu osobních údajů č. 3/2011 Ochrana osobních údajů podnikajících fyzických osob.

 

Odkazy


Hesla rejstříku této stránky

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 5.10.2015 / 5.10.2015

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém