Opatření k ochraně veřejného zdraví mají být odbornými rozhodnutími

Samotná otázka, zda budou uložena omezení vstupu do provozoven či na veřejné akce a vstup bude vázán na doložení toho, že daná osoba není riziková z hlediska možné nákazy Covid-19, je rozhodnutím především odborným, které náleží orgánům veřejné správy a není přímo spojeno s regulací zpracování osobních údajů. Toto rozhodnutí tedy samo o osobě není regulováno předpisy upravujícími zpracování osobních údajů. Součástí procesu, kdy je o omezení vstupu rozhodováno, však často bude zpracování osobních údajů. Právní úpravu regulující zpracování osobních údajů je pak nutno uplatnit při přípravě a posuzování vhodnosti a přiměřenosti takovéhoto zásahu z hlediska dosažení sledovaného cíle a souvisejícího zpracování osobních údajů a rovněž  po přijetí takového rozhodnutí, pokud v návaznosti na něj (např. pro účely kontroly a prosazování takového opatření) bude ke zpracování docházet.

Upozorňujeme však, že takové zpracování není automaticky nezbytné. Lze si např. představit situaci, kdy bude občanům pouze uložena povinnost neúčastnit se při nesplnění výše uvedených podmínek stanovených akcí, aniž by byla prováděna ex ante kontrola dodržování či byl veden registr takových osob. Je však pravděpodobné, že stát bude s ohledem na závažnost aktuální epidemické situace přijímat aktivní preventivní opatření za účelem výkonu předběžné kontroly. Taková opatření již s sebou proces zpracování osobních údajů ve většině případů ponesou.

Zpracování údajů o zdravotním stavu

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

U zpracování osobních údajů prováděného za účelem zajištění výše uvedených omezení či jejich kontroly budou vždy zpracovávány údaje o zdravotním stavu fyzických osob. Buď se bude jednat o „negativní“ informaci, tedy údaj, že daná osoba není aktuálně ohrožená nemocí Covid-19, např. protože toto onemocnění v nedávné době prodělala, nebo o „pozitivní“ informaci, tedy typicky informaci, že dané osobě není dovolen vstup na příslušnou akci či do provozovny právě proto, že touto nemocí je ohrožená (resp. ohrožená více, než ostatní osoby). Taková informace je však údajem o zdravotním stavu bez ohledu na to, nakolik konkrétní bude. Jinými slovy – pro kvalifikaci údaje týkajícího se konkrétní fyzické osoby jako údaje o zdravotním stavu postačuje to, že vypovídá o nižším riziku nakažení nemocí Covid-19, aniž by musela být známa informace, proč k tomu dochází (zda v důsledku očkování, prodělání této nemoci či negativního testu).

Konkrétní, jednoznačný a srozumitelný právní základ pro zásah do soukromí

Z pohledu řádného zpracování osobních údajů podle obecného nařízení o ochraně osobních údajů (GDPR) je velmi důležité, aby dotčené zpracování bylo založeno na řádném právním základu a to jak podle čl. 6, tak podle čl. 9 GDPR. Čl. 6 GDPR vymezuje právní základy pro zpracování osobních údajů jako takových, např. plnění právní povinnosti, plnění smlouvy, ochrana životně důležitých zájmů dotčených osob, souhlas atd., čl. 9 pak upravuje další podmínky pro zpracování zvláštních kategorií osobních údajů, např. právě údajů o zdravotním stavu, které si zaslouží vyšší ochranu.

Typickým právním základem zde bude čl. 6 odst. 1 písm. c) a e) GDPR, tedy buď přímé plnění právní povinnosti či v případech zpracování ze strany orgánů veřejné moci zpracování bude nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Z pohledu výjimek umožňujících zpracování zvláštních kategorií údajů podle čl. 9 GDPR pak přichází do úvahy buď čl. 9 odst. 2 písm. g) GDPR (zpracování nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů) či zejména čl. 9 odst. 2 písm. i) GDPR (zpracování nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo členského státu, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství).

Musíme nadto upozornit, že pro všechna výše uvedená zpracování je společný jeden rys a to ten, že jako taková musí být založena na dostatečně určitém právním základu výslovně upraveném v rámci některého zákona, který musí být konkrétní a pro adresáty práva předvídatelný a srozumitelný. Z tohoto pohledu považujeme za poněkud nešťastné, že pandemický zákon, tedy zákon č. 94/2021 Sb. , nepamatoval na vytvoření takovéhoto právního základu a to např. skrze dostatečně precizní úpravu otázek souvisejících s takovým zpracováním osobních údajů. Jsme rovněž přesvědčeni, že ani ustanovení zákona č. 258/2000 Sb. , na něž odkazuje i pandemický zákon, v současné době neobsahují dostatečnou úpravu zpracování osobních údajů při vedení plošného registru osob, u nichž nehrozí nákaza Covid-19, která by splňovala požadavky GDPR. Za velmi rizikové pak považujeme stanovovat úpravu otázek souvisejících se zpracováním zvláštních kategorií osobních údajů pouze mimořádnými opatřeními Ministerstva zdravotnictví, tedy ve své podstatě opatřeními obecné povahy s nižší právní silou. Zejména z pohledu dalších budoucích zásahů státu by zde mohl být vytvořen nebezpečný precedent,  který by umožnil zásah do základních práv na základě úředního rozhodnutí, které může být jednodušeji zneužito a rychleji vydáno. Zde je třeba také zohlednit, že výše uvedená omezení by nebyla v potenciální kolizi pouze s právem na ochranu osobních údajů, ale i s dalšími právy jak dotčených osob, kterým by byla zakázána účast na veřejných akcích či návštěva provozoven, tak provozovatelů těchto akcí (např. svoboda podnikání, právo na soukromí apod.). Při přijímání takové úpravy proto musí být řádně zohledněna a vyvážena konkurující si základní práva.

Ačkoliv právní základ pro zpracování osobních údajů nemusí být v plném detailu stanoven přímo zákonem, měl by být zákonem stanoven alespoň v obecné rovině a podrobnější úprava by mohla být obsažena v podzákonném aktu, k jehož vydání zákon zmocňuje. Z tohoto pohledu se aktuálně nejpraktičtějším řešením jeví forma nařízení vlády.

Striktně omezený přístup k datům z CovidPasu

Pokud se týká samotného způsobu ověřování naplnění požadavků ze strany osob organizujících hromadné akce či provozovatelů dotčených provozoven, zde by měl být systém nastaven tak, aby co nejméně informací bylo předáváno mimo registr vedený státem, bude-li ovšem skutečně nezbytné a přiměřené takovýto registr zřídit. Ověřování naplnění požadavků by mělo být prováděno pokud možno zcela bez nutnosti zpracovávat osobní údaje ve smyslu GDPR (tzn. bez jejich automatizovaného zpracování či zápisu do evidence – např. prostým nahlédnutím s pouze namátkovou kontrolou ze strany orgánů veřejné správy) anebo, pokud to nebude z provozních důvodů možné či to bude obtížné (např. u hromadných akcí), pouze zpracováním informace o tom, že daná osoba není z hlediska Covid-19 rizikovou, bez jakýchkoliv vedlejších údajů a bez nutnosti zpracovávat (ve smyslu GDPR) na úrovni provozovatele informaci o tom, kdo zadaným podmínkám nevyhovuje.

Za zcela nevhodné považujeme to, aby registr osob, které nejsou rizikové z hlediska Covid-19 (a o to více osob, které z tohoto pohledu rizikové jsou) vedla či údaje z něj do vlastní evidence bez svolení subjektu údajů získávala osoba odlišná od státu.

Právní základ zpracování výše uvedených údajů by také měl, jak je naznačeno výše, konkrétně upravovat i související otázky, např. maximální dobu uložení těchto údajů, jejich rozsah, pravidla pro zabezpečení dat a měl by vždy důsledně zohledňovat i další základní zásady zpracování osobních údajů podle čl. 5 GDPR.

Případná právní úprava by měla zohledňovat alespoň analogicky požadavky čl. 22 odst. 2 písm. b) GDPR. I pokud by implementace případného registru nenaplnila znaky profilování, může tak být v obecném povědomí vnímána. Bylo by proto vhodné doplnit do právní úpravy i vhodné záruky zajišťující účinnou ochranu práv subjektů údajů a zajistit vysokou transparentnost technologického řešení registru jakož i možnost subjektů údajů bránit se případným nesprávnostem v registru v podstatně kratších lhůtách, než jaké jsou předvídány v rámci práva subjektů údajů na opravu.

Stanoviska dozorových úřadů

V kontextu výše uvedeného proto velmi vítáme stanovisko Úřadu pro ochranu osobních údajů ze dne 9.4.2021 a taktéž dokumenty Evropského sboru pro ochranu osobních údajů[2], případně dalších institucí[3], které ještě ve větší míře detailu zdůrazňují hlavní rizika spojená s návrhem na zavedení tzv. CovidPasů. S popisem těchto rizik a zdůrazněním základních principů ochrany dat, která jsou v těchto dokumentech, se plně ztotožňujeme.

Tento článek je publikován jako stanovisko Spolku pro ochranu osobních údajů.

Spolek pro ochranu osobních údajů

Hellichova 1 / 458
118 00 Praha 1