Období testování a prokazování tzv. bezinfekčnosti, jehož jsme se v uplynulé době účastnili, je snad již za námi. Zkušenosti si odnášíme různé. Z jednotlivých rozhodnutí Nejvyššího správního soudu, kterému připadl úkol přezkoumávat zákonnost vydaných opatření obecné povahy, lze vyčíst mnohá doporučení pro praxi. Naší pozornosti by určitě neměl uniknout návod k posouzení, zda v konkrétním případě dochází ke zpracování osobních údajů. Neměli bychom rovněž zapomínat na to, jak je důležité jasně vymezit účel zpracování.
Kontrola tzv. bezinfekčnosti
V době pandemie jsem se v Kanceláři veřejného ochránce práv setkávala se stížnostmi, že v souvislosti s prokazováním tzv. bezinfekčnosti, jak vyžadovala nejrůznější opatření vlády nebo ministerstva zdravotnictví, dochází k porušování obecného nařízení o ochraně osobních údajů.[1] Lidsky lze těmto výhradám rozumět, z právního pohledu se však jedná o stížnosti neopodstatněné, což potvrdil i Nejvyšší správní soud.
Povinnost poskytovatelů (organizátorů) akcí ověřit (typicky nahlédnutím do předloženého certifikátu o absolvovaném očkování, potvrzení o absolvovaném testu či prodělání nemoci, ať už v písemné, či elektronické podobě), zda osoba účastnící se akce splňuje podmínky tzv. bezinfekčnosti, nepředstavuje zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů.[2]
Obecné nařízení o ochraně osobních údajů dopadá na zpracování zcela automatizované[3] nebo částečně automatizované[4] a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci (např. kartotéce) nebo do ní mají být zařazeny.[5] Manuálně zpracovávané osobní údaje jsou podle obecného nařízení chráněny od okamžiku, kdy jsou systematicky uspořádány podle určitých kritérií. Na zpracování osobních údajů, které povinné subjekty získají nahodile, neúmyslně, nejsou nijak rozřazené či evidované podle určitého klíče a jsou zpracovávány manuálně, obecné nařízení nedopadá.[6]
Je-li kontrola tzv. bezinfekčnosti prováděna pouhým nahlédnutím do předloženého certifikátu či potvrzení, nedochází k automatizovanému zpracování osobních údajů (a to ani částečně). Uvažovat bychom mohli o neautomatizovaném zpracování. Pokud však nebylo po organizátorech akcí (poskytovatelích služeb) vyžadováno, aby tyto skutečnosti evidovali, absentuje podmínka vedení evidence takto zjištěných údajů.
O podobnou kontrolu, a tedy o situaci, kdy nebude docházet ke zpracování osobních údajů, dochází například v případě, kdy je ověřováno, zda se konkrétní osoba může účastnit jednání (na základě průkazu totožnosti či předložení platné plné moci). Právní řád běžně na řadě míst předpokládá, že soukromé osoby v různých situacích ověřují (kontrolují), zda jiné osoby splňují podmínky (povinnosti) předpokládané veřejnoprávními předpisy, např. provozovatel restauračního zařízení běžně zjišťuje věk osob, kterým prodává alkohol;[7] stejně jako to činí hospodářský subjekt nebo osoba s odbornou způsobilostí při zpřístupňování pyrotechnického výrobku.[8] Obdobně letecký dopravce ověřuje, zda cestující disponuje cestovním dokladem nebo vízem, je‑li vzhledem k účelu a cíli cesty potřebné nebo je‑li podmínkou pobytu v tranzitním prostoru letiště.[9]
Míra podrobnosti té které právní úpravy se liší v závislosti na komplexnosti či náročnosti ověřování dodržení daných podmínek (povinností). V některých případech související úprava obsahuje podrobný popis práv a povinností kontrolujícího subjektu. Zpravidla si lze vystačit pouze se samotným předpokladem ověření naplnění určitých podmínek (povinnost kontrolovat věk či předložení cestovního dokladu). Dochází-li k těmto „kontrolám“ nahodile, bez evidence a využití automatizovaných prostředků, nejedná se o zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů.
Testování ve školách a v zaměstnání
Na rozdíl od kontroly tzv. bezinfekčnosti, při antigenním testování žáků či zaměstnanců dochází ke zpracování osobních údajů, pokud škola či zaměstnavatel výsledek testování a datum jeho provedení dále uchovává (eviduje).
Navíc dochází ke zpracování zvláštní kategorie osobních údajů – údajů vypovídajících o zdravotním stavu. Jak opakovaně potvrdil Nejvyšší správní soud,[10] vše se děje z důvodu veřejného zájmu v oblasti veřejného zdraví; základem pro zpracování osobních údajů je plnění právních povinností podle napadeného mimořádného opatření, přičemž obecné nařízení o ochraně osobních údajů na takovou mimořádnou situaci pamatuje.[11]
Účel zpracování musí být řádně vymezený
Nejvyšší správní soud opakovaně připomíná,[12] že zpracování se musí opírat o řádně vymezený účel a tento účel musí být určitý, výslovně vyjádřený a legitimní.[13] Obecné nařízení tedy klade vysoké kvalitativní požadavky na stanovení takového účelu.
Předmětem kritiky soudu se mj. stala opatření obecné povahy, jimiž ministerstvo zdravotnictví uložilo zaměstnavatelům a OSVČ, aby vedli evidenci provedených testů „pro kontrolní účely“[14] nebo „pro potřeby případného epidemiologického šetření“[15].
Nejvyšší správní soud nejprve připomíná, že vytyčený účel by měl být vyjádřený výslovně; odkazuje přitom na komentářovou literaturu,[16] dle níž: „Pro splnění podmínky výslovného vyjádření je důležité, aby všechny osoby zúčastněné na zpracování, tedy správce, subjekty údajů a případní zpracovatelé či společní správci, chápaly účel stejně. Proto by se správce měl snažit o co nejjasnější vysvětlení toho, k jakým účelům osobní údaje shromažďuje.“
Soud dále dospívá k jednoznačnému závěru, že „potřeby případného epidemiologického šetření“ nelze považovat za dostatečně určitě vymezený účel ve smyslu zásady účelového omezení stanovené obecným nařízením[17], protože neposkytuje adresátovi ve vztahu k povinnosti vést evidenci provedených testů vysvětlení, k čemu konkrétně se osobní údaje budou využívat. Není zřejmé, co se „epidemiologickým šetřením“ vlastně myslí. Totéž platí i pro deklarovaný účel zpracování „kontrolní účely“, neboť není zřejmé, jaké „kontrolní účely“ mělo ministerstvo na mysli.
Soud proto uzavírá: „Určitost účelu přitom nelze dovodit ani z kontextu celého mimořádného opatření. Smysl vedení evidence není možné zaměňovat s cílem mimořádného opatření (ochrana veřejného zdraví), jak se o to odpůrce pokouší ve vyjádření k návrhu. Z tohoto cíle neplyne konkrétní účel sběru osobních údajů.“
Nejasně vymezený účel vyvolává problémy
Absence řádně vymezeného účelu vede k potížím hned v několika ohledech:
- problém v posouzení legitimity účelu (včetně nezbytnosti zpracování)
Zamýšlí-li správce zpracovávat osobní údaje zvláštní povahy, je na místě takové zpracování podřadit pod některou z výjimek ze zákazu zpracování osobních údajů, tj. pod konkrétní odstavec čl. 9 obecného nařízení o ochraně osobních údajů. Má-li být právním důvodem zpracování právě jeho nezbytnost z důvodu veřejného zájmu v oblasti veřejného zdraví ve smyslu čl. 9 odst. 2 písm. i) obecného nařízení o ochraně osobních údajů, je nutné posoudit, zda zamýšlené zpracování k sledovanému účelu směřuje a zda je nezbytné;[18] na místě je také „stanovení odpovídajících a zvláštních opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.“ Pokud není řádně vymezený účel, stěží lze hodnotit, zda je účel legitimní.
- Komplikuje provedení testu proporcionality
Pokud má zaměstnavatel shromažďovat další údaje o zaměstnanci (vést evidenci o výsledku testování zaměstnanců), je namístě provést alespoň základní test proporcionality, při němž poměří zájem zaměstnanců na neshromažďování údajů o jejich zdravotním stavu se zájmem na vedení evidence.
Při provádění testu proporcionality, a tedy posuzování zásahu do práv adresátů (zaměstnanců a zaměstnavatelů), je vedle identifikace dotčených práv a oprávněných zájmů klíčové zejména posouzení, jaké následky jsou spojené s pozitivním testováním, především s povinností zaměstnance opustit pracoviště (např. v jakém režimu se budou zaměstnanci nacházet).[19] Konkrétní dopady pro zaměstnance, ale i zaměstnavatele je následně třeba poměřit s pozitivy zamýšlené evidence – nakolik je zásah do práv a oprávněných zájmů zaměstnanců a zaměstnavatelů přiměřený. Což je problematické, když cíl vedení evidence není jednoznačný. Jednoduše není co s čím porovnávat.
- určení doby uchovávání osobních údajů
Z již zmiňované zásady omezení uložení vyplývá požadavek, aby osobní údaje byly uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány. I v této souvislosti se tedy jasné vymezení účelu jeví podstatným.
Na tom nic nemění fakt, že absenci vymezení doby, po kterou je třeba uchovávat evidenci provedených testů, vyřešil Nejvyšší správní soud[20] odkazem na § 30 písm. b) zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, kde je stanovena tříletá promlčecí doba přestupku, a předestřel[21], že„maximální doba evidence osobních údajů pro účely prokázání splnění povinnosti dle čl. V. mimořádného opatření[22] v tomto případě tedy představuje tři roky od doby jejich pořízení.“
Shrnutí
Dochází-li ke kontrole (ověřování) osobních údajů nahodile, neautomatizovanými prostředky a bez další evidence, nejde o zpracování ve smyslu obecného nařízení o ochraně osobních údajů.
Účel zpracování údajů musí být určitý, výslovně vyjádřený a legitimní.
Veronika Gabrišová
Autorka pracuje v Kanceláři veřejného ochránce práv, je vedoucí odboru veřejného pořádku a místní správy, pověřenkyní pro ochranu osobních údajů a členkou rozkladové komise Úřadu pro ochranu osobních údajů.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Srov. rozsudek Nejvyššího správního soudu ze dne 28. ledna 2022, čj. 8 Ao 29/2021-98 a usnesení Nejvyššího správního soudu z téhož dne čj. 9 Ao 24/2021, obě rozhodnutí dostupná na www.nssoud.cz.
[3] Zcela automatizovaným zpracováním osobních údajů je např. webový skript, který automaticky posoudí osobní údaje žadatele a na základě zadaných parametrů vyhodnotí, zda žádosti lze vyhovět.
[4] Částečně automatizované zpracování se vyznačuje tím, že část procesu zpracování osobních údajů se děje automatizovaně – např. ke zpracování (shromáždění) osobních údajů žadatele je využit webový formulář, samotné rozhodnutí o žádosti je pak věcí individuálního posouzení a rozhodnutí úřední osoby.
[5] Srov. článek 2 obecného nařízení (Věcná působnost).
[6] Srov. Nulíček, Michal. GDPR – obecné nařízení o ochraně osobních údajů. Praha: Wolters Kluwer, 2017. Praktický komentář. ISBN 978-80-7552-765-3.
[7] Srov. § 11 odst. 5 zákona č. 65/2017 Sb., o ochraně zdraví před škodlivými účinky návykových látek, ve znění pozdějších předpisů.
[8] Srov. § 5 odst. 1 zákona č. 206/2015 Sb., o pyrotechnických výrobcích a zacházení s nimi a o změně některých zákonů (zákon o pyrotechnice), ve znění pozdějších předpisů.
[9] Srov. § 104 odst. 1 a 2 zákona č. 326/1999 Sb., o pobytu cizinců na území České republiky, ve znění pozdějších předpisů.
[10] Srov. Usnesení Nejvyššího správního soudu ze dne 18. 5. 2021, čj. 5 Ao 2/2021-52, čj. 5 Ao 7/2021-169 ze dne 27. 5. 2021, čj. 5 Ao 8/2021-84 ze dne 31. 5. 2021, čj. 5 Ao 10/2021-48 ze dne 2. 6. 2021, čj. 5 Ao 13/2021-44 ze dne 24. 6. 2021, čj. 5 Ao 6/2021-40 ze dne 24. 6. 2021, čj. 6 Ao 7/2021-126 ze dne 28. 6. 2021, čj. 5 Ao 14/2021-74 ze dne 12. 8. 2021, čj. 5 Ao 21/2021-52 ze dne 26. 8.2021.
[11]Srov. čl. 9 odst. 2 písm. i) obecného nařízení o ochraně osobních údajů, podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami (…).
[12] Srov. bod 119 rozsudku čj. 8 Ao 1/2021-133 ze dne 14. 4. 2021, a na něj odkazující rozsudek čj. 10 Ao 17/2021 ze dne 16. 8. 2021, oba dostupné nawww.nssoud.cz.
[13] Srov. čl. 5 odst. 1 písm. b) obecného nařízení o ochraně osobních údajů a zde vymezenou zásadu účelového omezení.
[14] Opatření obecné povahy Ministerstva zdravotnictví ze dne 5. 3. 2021, čj. MZDR 47828/2020-17/MIN/KAN.
[15] Mimořádné opatření Ministerstva zdravotnictví ze dne 14. 5. 2021, čj. MZDR 47828/2020-28/MIN/KAN.
[16] In: DONÁT, J., LICHNOVSKÝ, B., NONNEMANN, F., NULÍČEK, M., TOMÍŠEK, J. Obecné nařízení o ochraně osobních údajů (GDPR): Praktický komentář. [Systém ASPI]. Wolters Kluwer [cit. 2021-7-31]. ASPI_ID KO32016R0679CZ. Dostupné z: www.aspi.cz. ISSN 2336-517X.
[17] Opět s odkazem na již citovanou komentářovou literaturu, dle níž: „Účel musí být stanoven dostatečně určitě na to, aby z něj bylo jasné, jaká zpracování na základě něj budou a nebudou probíhat, a aby mohl být posouzen jeho soulad s Nařízením [GDPR].“
[18] Totéž ale pochopitelně platí i pro každé zpracování s ohledem na zásahu účelového omezení zpracování. Srov. bod 122 rozsudku čj. 8 Ao 1/2021-133 ze dne 14. 4. 2021, dostupný nawww.nssoud.cz.
[19] V posuzovaném případě soud vytýká, že „Z odůvodnění tak není vůbec patrné, že by se odpůrce alespoň pokusil identifikovat, zda se v takovém případě bude jednat o překážku v práci na straně zaměstnance nebo zaměstnavatele a jakou.“ V podrobnostech bod 106 tamtéž.
[20] Srov. bod 63 rozsudku čj. 5 Ao 31/2021-42 ze dne 4. března 2022, dostupný na www.nssoud.cz
[21] S výhradou, že samotná úvaha soudu „je pro laickou společnost (při respektování zásady ignorantia iuris non excusat) značně komplikovaná“.
[22] Mimořádného opatření ze dne 20. 11. 2021, č.j. MZDR 42085/2021-1/MIN/KAN.