Blog

I nemocnice mohou dostat pokutu za porušení GDPR, potvrdil soud

6. 5. 2022

Nejvyšší správní soud vydal v nedávné době rozsudek, kterým potvrdil pokutu za porušení GDPR pro Nemocnici Tábor, a. s. Rozsudek je zajímavý, protože doposud se mělo za to, že nemocnice vlastněné krajem pokutu dostat nemohou.


V České republice není možné uložit pokutu za porušení GDPR orgánu veřejné moci ani veřejnému subjektu. Nemocnice jsou často vlastněné krajem a nejinak tomu bylo v případě Nemocnice Tábor a.s., jejímž jediným akcionářem je Jihočeský kraj. Úřad pro ochranu osobních údajů uložil Nemocnici Tábor a.s. pokutu za nedostatky zabezpeční při logování do počitačového systému nemocnice. Nemocnice se bránila tím, že je veřejným subjektem, a proto jí pokuta podle GDPR nelze uložit. V rámci své obrany vyčerpala nemocnice veškeré opravné prostředky a podala i kasační stížnost k Nejvyššímu správnímu soudu. Ani ten se jí ale nezastal. Podle Nejvyššího správního soudu veřejným subjektem je subjekt, který je zpravidla zřízen zákonem a určen k plnění úkolů ve veřejném zájmu a zároveň nedisponuje vlastním majetkem, nýbrž je financován z veřejných rozpočtů. Nemocnice Tábor je akciová společnost, má vlastní majetek a hospodaření. Skutečnost, že převážným zdrojem jejího financování jsou platby poskytnuté pojišťovnami z prostředků veřejného zdravotního pojištění, neznamená, že je nemocnice financována z veřejných rozpočtů. Finanční prostředky na svůj provoz a fungování dostává nemocnice jako akciová společnost jako protiplnění za poskytnuté zdravotní služby vykázané zdravotním pojišťovnám, nikoli přímo z veřejných prostředků. Na skutečnosti, že Nemocnice Tábor, a. s. není veřejným subjektem ve smyslu GDPR nemění nic ani fakt, že poskytuje zdravotní péči ve veřejném zájmu.

Co z rozsudku vyplývá? Rozsudek jednoznačně říká, že sama okolnost, že obchodní korporace je ve vlastnictví obce, kraje nebo státu, bez dalšího neznamená, že je vyloučena ze systému ukládání sankcí za porušení GDPR. Na pozoru by se proto měly mít i ostatní nemocnice, ale nejen ty. Definice veřejného subjektu se uplatní bez rozdílu v tom jaké služby společnost subjektům údajů poskytuje.


Chcete vědět více o našich službách v oblasti ochrany osobních údajů? Kontaktujte nás!