V37

K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků

29
Duben
2021

Úřad pro ochranu osobních údajů zveřejnil svůj komentář k aktuálnímu návrhu mimořádného opatření Ministerstva zdravotnictví, kterým se má zavést prokazování výsledků testů na SARS-CoV-2 či podstoupené vakcinace zákazníky a nařídit evidence zákazníků některými poskytovateli služeb.

I.

Vláda 26. dubna 2021 svým usnesením č. 418 předběžně schválila mimořádné opatření, které zamýšlí Ministerstvo zdravotnictví vydat s účinností od 3. května 20211 a v bodu 14 písm. e) nařídit provozovatelům holičství, kadeřnictví, pedikúry, manikúry, kosmetických, masérských a obdobných regeneračních nebo rekondičních služeb vést evidenci zákazníků pro potřeby případného epidemiologického šetření. Velkému množství provozovatelů, kteří doposud v řadě případů žádné zpracování údajů o svých zákaznících provádět nemuseli a nemají pro vedení podobné evidence dostatek zkušeností, ani vytvořeny technické podmínky, se tak ukládá nová povinnost zpracovávat osobní údaje.

Povinnost zpracovávat osobní údaje je uložena bez dostatečně konkrétního upřesnění. Konkrétně se jedná o účel zpracování, rozsah údajů, dobu jejich uchovávání, technické a organizační zabezpečení, způsob naplnění zásady transparentnosti a informační povinnosti vůči subjektům údajů. S tím souvisí i potřeba stanovení způsobu provádění případné kontroly orgány ochrany veřejného zdraví v rámci epidemiologického šetření. 

Není tedy zřejmé, zda evidence má být vedena v rozsahu údajů obecně umožňujících identifikaci fyzické osoby (jméno, příjmení, datum narození, adresa trvalého pobytu nebo bydliště, případně telefonní číslo) či jiným způsobem, např. zda má být pro činnost ministerstva a orgánů pověřených výkonem státní správy využíváno rodné číslo podle příslušného ustanovení zákona o evidenci obyvatel a rodných číslech. Vymezení slovy „pro potřeby případného epidemiologického šetření“ tak není dostatečně určité, protože nevypovídá nic o požadovaných parametrech zpracování.

Rovněž není zřejmé, zda součástí evidence má být i samotný klíčový údaj vypovídající o výsledku testování nebo o jiném právem předvídaném osvědčení o aktuálním zdravotním stavu vstupujícího zákazníka, či zda by tento údaj byl na základě evidence zjišťován v rámci kontroly prováděné orgány ochrany veřejného zdraví. Důležitá je taktéž odpověď na otázku, zda by se tak dělo při epidemiologickém šetření, nebo i mimo ně. 

Pokud by měl být údaj vypovídající o zdravotním stavu veden v evidenci, je třeba brát v úvahu, že podle obecného nařízení se jedná o tzv. zvláštní kategorii osobních údajů, jejichž ochraně je třeba věnovat zvláštní pozornost2. Zejména to platí v případech, kdy by měl takový údaj být předmětem zpracování velkým množstvím osob poskytujících službu svým zákazníkům (subjektům údajů). Rozsáhlé zpracování zvláštní kategorie údajů přitom podle obecného nařízení podléhá posouzení vlivu na ochranu osobních údajů podle článku 35 tohoto nařízení (dle metodiky posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů). Úřadu však není známo, zda takové předchozí posouzení bylo Ministerstvem zdravotnictví provedeno. 

V důsledku uvedeného nebyla pak realizována ani konzultační povinnost předkladatele podle čl. 36 obecného nařízení v případě návrhu legislativních opatření, kam spadají např. podzákonné právní předpisy i jakákoliv opatření orgánů veřejné správy přijímaná na základě právních předpisů. 

Předkladatel musí vždy zhodnotit aktuální stav a dopady navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů, což v tomto případě, pokud je Úřadu známo, učiněno nebylo. Vyhodnocení přiměřenosti zásahu do práv je přitom požadavkem i zcela aktuálního rozsudku Nejvyššího správního soudu sp. zn. 8 Ao 1/2021-133 ze dne 14. dubna 2021.

Velmi stručné stanovení podmínky vést v uvedených provozovnách evidenci zákazníků, kteří absolvovali požadovaný úkon u poskytovatele zdravotních služeb, vyžaduje současné uvedení řady podrobností, aby poskytovatelé služeb věděli, jak mají povinnost plnit a dostát současně i požadavkům na ochranu soukromí a osobních údajů svých zákazníků. Evropský sbor pro ochranu osobních údajů3 ve svých stanoviscích vždy zdůrazňuje, že každé opatření přijaté členskými státy nebo orgány EU, jež zahrnuje zpracování osobních údajů v rámci boje s COVID-19, se musí řídit principy obecného nařízení. 

Zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19, v § 2 odst. 2 písm. c) zmocňuje Ministerstvo zdravotnictví k vydání mimořádného opatření omezit provozování holičství, kadeřnictví, pedikúry, manikúry nebo solária, poskytování kosmetických, masérských, regeneračních nebo rekondičních služeb nebo provozování živnosti, při níž je porušována integrita kůže, nebo stanovit podmínky jejich provozování či poskytování. Postrádá ovšem oprávnění ukládat provozovatelům povinnost vést evidenci zákazníků a zpracovávat tak blíže nespecifikovaný rozsah osobních údajů. Neobsahuje ani podrobnosti takového zpracování nové evidence4. 

Pokud by měla být povinnost uložena podzákonným právním předpisem, musí mít takový akt bezprostřední vazbu na prvotní normativní akt ve formě zákona a na limity v něm obsažené. Jakkoliv obecně nelze vyloučit vedení akcesorické evidence na základě podzákonného opatření (vydaného intra legem), musí splňovat podmínky vymezené v rozsudku Nejvyššího správního soudu sp. zn. 8 Ao 1/2021-133 ze dne 14. dubna 2021 [bod 119]. 

Úřad navíc spatřuje v navrhovaném mimořádném opatření odlišnosti, které, oproti citovanému rozsudku, vytvářejí odlišnou situaci a zvyšují důraz na požadavky – zákonného – podkladu. Zatímco v případě testování zaměstnanců ze strany zaměstnavatelů se jedná o existující vztah, v rámci kterého zaměstnavatel standardně o zaměstnanci zpracovává řadu údajů, v případě navrhovaného opatření se jedná o zcela novou kvalitu právní povinnosti, neboť v daném rozsahu dosud osobní údaje zákazníků nebyly systematicky zpracovávány, pokud ke zpracování osobních údajů vůbec docházelo. Protože osobní údaje nelze zpracovávat bez právního základu, bude třeba zvážit, zda lze povinnost identifikovat zákazníky odvodit ze zákona.

Mimořádným opatřením nově uloženou povinnost provozovatelům vést evidenci zákazníků pro potřeby případného epidemiologického šetření bez stanovení konkrétního účelu a dalších parametrů zpracování a naplnění všech zásad ochrany osobních údajů v souladu s obecným nařízením o ochraně osobních údajů, považuje Úřad za nepřípustnou.

II.

S ohledem na skutečnost, že zamýšlené mimořádné opatření má obsahovat mj. podmínku pro vstup osob do některých vnitřních prostor nebo pro účast na hromadných akcích, mj. podle bodu 20 písm. c) ve formě předložení „certifikát[u] Ministerstva zdravotnictví ČR o provedeném očkování proti onemocnění COVID-19“, odkazuje Úřad na své vyjádření k tzv. očkovacím pasům  ze dne 9. dubna 2021, a to z důvodu nemožnosti bez výslovného zákonného podkladu spojovat s právními skutečnostmi uvedenými v bodu 20 právní následky. Z hlediska účelu takové výhody je třeba podrobnější argumentace a test proporcionality.

Lze rovněž poukázat na sdělení generálního tajemníka Rady Evropy, ve kterém uvádí, že použití osvědčení o vakcinaci pro lékařské účely není nové, přičemž nový není ani požadavek mít u sebe toto potvrzení na cestách kvůli rozšíření epidemie. Totéž se týká dokumentů, ve kterých je potvrzeno, že osoba je imunizována nebo negativně testována na nemoc COVID-19. „Na druhé straně možnost použití očkovacích certifikátů stejně jako dat o imunizaci pro účel jiný než medicínský, například pro exkluzivní přístup jednotlivcům k právům, službám a na veřejná místa, vznáší mnoho otázek ohledně lidských práv,“ uvádí dokument.

Konečně je třeba vyhodnotit, zda navrhované mimořádné opatření není v rozporu s rozsudkem Nejvyššího správního soudu ze dne 22. dubna 2021, čj. 6 Ao 11/2021-48, protože dostatečně nerozlišuje mezi zákazy a omezeními na jedné straně a podmínkami činnosti na druhé straně. Vzhledem k tomu, že vláda k návrhu mimořádného opatření nezveřejnila důvodovou zprávu, je třeba apelovat na skutečné odůvodnění jednotlivých opatření.

V této fázi nelze citované ustanovení mimořádného opatření blíže vyhodnotit.

III.

V souvislosti s předchozími mimořádnými opatřeními nařizujícími testovaní zaměstnanců vydal Úřad své vyjádření, resp. rozšířené vyjádření ze dne 26. března 2021, v němž poukázal na odpovědnost příslušných ústředních orgánů státní správy (Ministerstva zdravotnictví), resp. zdravotních pojišťoven, stanovit ve vztahu k vyžadovanému zpracování osobních údajů přesný rozsah požadovaných osobních údajů, stanovit diferencovaně parametry zpracování těchto údajů (zejm. dobu uchování), a to kontextu obhajitelného účelu takového zpracování. Prostřednictvím předkládaného vyjádření se Úřad snaží obdobné situaci předejít a napomoci příslušným orgánům k řádnému plnění zákonných povinností v oblasti ochrany osobních údajů.


1Podle stránek Úřadu vlády toto mimořádné opatření platilo ke dni 26. dubna 2021: https://www.vlada.cz/cz/epidemie-koronaviru/dulezite-informace/mimoradna-a-ochranna-opatreni-_-co-aktualne-plati-180234/ [Navštíveno 28. dubna 2021 v 10 hod].

Čl. 9 odst. 1 obecného nařízení stanoví, že se zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, a to s výjimkami upravenými v odst. 2.

3 Evropský sbor pro ochranu osobních údajů je nezávislý evropský subjekt, který přispívá k jednotnému uplatňování pravidel ochrany údajů v celé Evropské unii a prosazuje spolupráci mezi úřady pro ochranu osobních údajů v EU. Evropský sbor pro ochranu údajů je složen ze zástupců vnitrostátních úřadů pro ochranu údajů a evropského inspektora ochrany údajů.

4 Na rozdíl od uložení povinnosti testování zaměstnanců a jiných pracovníků na přítomnost onemocnění COVID-19, ze které logicky vyplývá i nutnost zpracovávat k tomuto účelu a v nezbytném rozsahu osobní údaje.

Zdroj: Portál Úřadu pro ochranu osobních údajů