Aktuální vlna COVID-19 a nová mimořádná opatření Ministerstva zdravotnictví nám opět připomněla, jak výrazně boj proti COVID-19 stále zasahuje do našich životů, ale i do řady základních práv. Vedle zásahů do svobody pohybu v podobě omezení cestování, či zásahů do svobody shromažďování jde i o mnohem méně viditelná narušení práva na ochranu soukromí v podobě shromažďování osobních údajů. Autor však právě tyto zásahy považuje za velmi závažné, a to i dlouhodobě, navíc jde často o plošná shromažďování osobních údajů řady osob. Shromážděné údaje přitom mohou být vyhodnocovány a využívány (a pochopitelně také zneužívány) bez časového omezení, i poté, co původní důvody shromažďování již pominuly.
základní práva a svobody mimořádná opatření test proporcionality právo na ochranu soukromí ochrana osobních údajů
Opatření v boji proti COVID-19
Opatření a jejich kolize se základními právy a svobodami
Již od počátku roku 2020, tedy téměř dva roky, postupně vlády po celém světě přijímají řadu opatření v boji proti šíření COVID-19. Výběr možných omezení, příkazů a zákazů není zcela neomezený, proto se jednotlivá národní opatření od sebe odlišují spíše svou propracovaností, legislativní kvalitou a efektivitou než faktickým základem.
Většina opatření velmi citelně zasahovala a v rámci aktuální další vlny stále zasahuje do práv a svobod občanů. Ani v tomto se ČR výrazně neodlišuje od jiných zemí v EU i mimo ni. Mnohdy jde o závažné zásahy do základních práv zaručených v ČR Listinou základních práv a svobod1, jakými jsou např. svoboda pohybu, právo shromažďovací a další, některými případy se zabývaly soudy2. Samotný zásah právní normy do základních práv a svobod není v praxi zcela neobvyklý a nelze jej považovat za a priori nepřípustný, zvláště pokud na straně jedné stojí veřejný zájem, resp. tvrzený veřejný zájem.
Kolize mezi veřejným zájmem a základními lidskými právy a svobodami
V případech kolize mezi právní normou a základními lidskými právy a svobodami se používá tzv. test proporcionality3. Měl by jej předem provést ten, kdo navrhuje či vydává normu zasahující jící do práv a svobod; v případě sporu provádí následný test soud, nejčastěji ústavní soud. Test proporcionality ve třech krocích hodnotí nejprve vhodnost konkrétního opatření, zda je vůbec schopno dosáhnout zamýšleného cíle. Druhým krokem je posouzení potřebnosti opatření kolidujícího se základními právy a svobodami, totiž odpověď na otázku, zda se skutečně ve vztahu k dotčeným základním právům a svobodám jedná o nejšetrnější možný prostředek a zda neexistuje alternativní, méně invazivní řešení. Poslední krok testu se zaměřuje na vlastní proporcionalitu – přiměřenost v užším smyslu. Cílem tohoto kroku je posoudit, zda zájem na dosažení sledovaného cíle převažuje nad zájmem na ochraně dotčených základních práv a svobod, jinými slovy zda zásah přináší taková pozitiva, která převyšují negativa v podobě samotného zásahu do práv a svobod. Ministerstvo zdravotnictví ČR však test proporcionality v případě řady vydávaných mimořádných opatření předem neprovedlo, jak vytkl Nejvyšší správní soud např. v rozsudku, kterým deklaroval rozpor se zákonem u jednoho z mimořádných opatření týkajícího se povinného testování zaměstnanců4. Také nedávné rozhodnutí, kterým Městský soud v Praze zrušil část ochranného opatření Ministerstva zdravotnictví ČR zavádějící povinnost vyplnit při příjezdu do ČR ze zahraničí příjezdový formulář, soud odůvodnil právě nepřiměřeností současné úpravy této povinnosti, a to právě s ohledem na shromažďování osobních údajů5.
Vedle obecného testu proporcionality je v oblasti ochrany osobních údajů nutno navíc aplikovat zvláštní úpravu obsaženou v Obecném nařízení o ochraně osobních údajů – GDPR6. V případech zpracování osobních údajů, u kterých je pravděpodobné, že budou mít za následek vysoké riziko pro práva a svobody fyzických osob, je správce povinen před zahájením zpracování provést tzv. posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů (v praxi označované jako DPIA analýza)7. Ministerstvo zdravotnictví ČR v mnoha případech bohužel neprovedlo před vydáním mimořádných opatření ani základní analýzu, jak upozorňuje ÚOOÚ8. Vedle toho navíc GDPR ukládá přímo státu, tedy České republice, povinnost konzultovat s dozorovým úřadem (ÚOOÚ) již během přípravy návrh legislativního opatření nebo návrh regulačního opatření založeného na takovém legislativním opatření, které souvisí se zpracováním osobních údajů. Taktéž tuto povinnost Česká republika, konkrétně Ministerstvo zdravotnictví ČR, v mnoha případech ignorovala, jak o tom svědčí relevantní stanoviska Úřadu pro ochranu osobních údajů („ÚOOÚ“)9.
Zpracování osobních údajů v rámci boje proti COVID-19
Boj proti COVID-19 se od počátku zaměřoval především na omezení pohybu osob s cílem omezit či vyloučit cestování do zahraničí a zpět do ČR, cestování mezi okresy v rámci ČR, resp. vůbec cestování, které není považováno za nezbytné, ale také na omezení práva na shromažďování a dalších práv. Opatření se neomezovala na pouhé zákazy či příkazy, již od počátku je provázely i povinně vyžadované a zpracovávané osobní údaje pro účely zpětného dohledání kontaktů, ale také pro následnou kontrolu dodržování opatření. Autor se zde zaměřil právě na mnohdy opomíjený aspekt – na posouzení zásahů do soukromí v podobě nejrůznějších zpracování osobních údajů řady osob založených často na plošném principu. Taková zpracování jsou totiž spojena s řadou opatření v boji proti COVID-19, jejich následky v podobě uchovávání údajů mohou navíc přetrvávat i poté, co samotné opatření (např. omezení pohybu) již není v praxi aplikováno. Důležité je proto u každého zpracování vymezit dobu uchování údajů, která musí odpovídat stanovenému účelu.
Např. již zmiňovaný rozsudek Městského soudu v Praze z 1. prosince 2021 částečně rušící povinnost vyplňovat příjezdový formulář při vstupu do ČR výslovně označil délku uchovávání údajů po dobu 12 měsíců jako nepřiměřenou vzhledem k tomu, že důvodem sběru osobních údajů je usnadnění trasování. Jako důvod soud uvedl: „Podle současného stavu poznání činí inkubační doba nemoci COVID-19 maximálně 14 dnů. Proto maximálně v řádu několika málo týdnů od příjezdu by měly být identifi kovány všechny osoby s nemocí, které mohly ohrozit své spolucestující, a dochází k trasování.“
Právo na ochranu soukromí a zásahy do něj
Právo na ochranu soukromí
Listina základních práv a svobod řadí právo na ochranu soukromí hned do úvodu, v Hlavě druhé, mezi Základní lidská práva a svobody. Tím zdůrazňuje význam, který právní řád ČR právu na ochranu soukromí přikládá. Listina výslovně zaručuje „nedotknutelnost osoby a jejího soukromí“ a stanoví, že „omezena může být jen v případech stanovených zákonem“10. Na toto vymezení navazuje právo na ochranu soukromí a také právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o osobě11. Tato práva Listina zaručuje každému.
Zásahy do práva na ochranu soukromí
Do práva na ochranu soukromí zasahuje mimo jiné každý, kdo shromažďuje údaje o jiné osobě; ne každé shromažďování však pochopitelně samo o sobě bude vždy protiprávní. Autor ovšem zvláště v poslední době pozoruje velmi nebezpečný trend, který se netýká pouze opatření v boji proti COVID-19, a sice přibývající plošné zásahy do tohoto práva, které mají svůj původ v právní úpravě. Jde o plošná shromažďování osobních údajů zákonem uložená či minimálně předpokládaná, často se jedná o údaje vytvářené původně primárně pro jiný účel.
Nejzávažnějším příkladem jsou provozní a lokalizační údaje zpracovávané operátory elektronických komunikací či bankami – základním účelem generování těchto údajů je poskytnutí služby, její vyúčtování, případně předcházení podvodům. Autor se v praxi často a opakovaně setkává s nepochopením či přímo s úmyslným bagatelizováním významu těchto údajů, s tvrzeními typu „přece nejde o obsah komunikace, pouze o nějaká doprovodná data“. Provozní a lokalizační údaje přitom zahrnují např. i velmi přesnou informaci o lokalitě, v níž se příjemce služby (bezhotovostní platební transakce, telefonního hovoru, datového spojení apod.) v daný čas nacházel, údaje o protistraně komunikace a řadu dalších. S využitím těchto údajů lze konkrétní osobu fakticky zpětně sledovat, či analyzovat její kontakty, to vše i automatizovaně. Autor proto zpracování provozních a lokalizačních údajů považuje za ještě závažnější zásah do soukromí nežli pouhý odposlech obsahu komunikace. Operátoři elektronických komunikací mají ze zákona uloženu povinnost lokalizační údaje spolu s údaji provozními uchovávat plošně u všech účastníků po dobu šesti měsíců12 (tzv. povinnost Data Retention), ačkoli je sami pro žádný legitimní účel nepotřebují, a nejsou tedy ani oprávněni je využít. Přestože původním cílem sledovaným zavedením povinnosti Data Retention byl boj proti terorismu a závažné trestné činnosti, postupně začaly přibývat i další, méně závažné účely využívání takto povinně uchovávaných údajů. Nepřekvapí, že o přístup k těmto údajům projevuje zájem stále větší počet orgánů veřejné moci – vedle orgánů činných v trestním řízení, Policie ČR a zpravodajských služeb patří mezi oprávněné orgány také Česká národní banka, před časem přibyl paradoxně i Úřad pro ochranu osobních údajů13 a dle nedávných legislativních návrhů by se jimi mohly stát také Úřad pro ochranu hospodářské soutěže14 či Státní hygienická služba (viz dále v tomto textu) – právě s deklarovaným účelem boje proti pandemiím.
Zásahy do soukromí v rámci boje proti COVID-19
Vymezení zásahů
Opatření vlády ČR a zejména opatření Ministerstva zdravotnictví ČR podléhají v praxi tak četným změnám, že je pro adresáta ukládaných povinností prakticky nemožné sledovat aktuální stav – změny obsahu konkrétního opatření následující již po několika dnech od vydání, a to i opakovaně, nejsou výjimkou, nýbrž bohužel spíše pravidlem; toto se bohužel opět opakuje i nyní, po téměř dvouletých zkušenostech s vydáváním těchto opatření. Také celková legislativní kvalita a srozumitelnost textu pro adresáty je na dosti nízké úrovni. Autor zde tyto aspekty nehodlá podrobně rozebírat, ostatně četná rozhodnutí soudů i z poslední doby jsou v tomto směru jednoznačná. Právě z důvodů jejich obsahové pomíjivosti autor nepovažuje za přínosné zabývat se konkrétními texty opatření a zaměří se spíše na jejich zobecnění.
Obecně bohužel platí, že nízká legislativní kvalita se promítá mimo jiné i do absence testu proporcionality naznačeného výše, který by měl být proveden před vydáním normy ukládající povinnosti zasahující do základních práv a svobod. Problémem je také neurčitost ukládaných povinností, zvláště v případě zásahů do základních práv a svobod, včetně zásahů do soukromí.
Dle hodnocení autora existují dvě hlavní skupiny opatření proti COVID-19 zasahujících do práva na ochranu soukromí. První z nich spočívají v povinném shromažďování osobních údajů v situacích, ve kterých dosud k žádnému zpracování osobních údajů nedocházelo, a fyzické osoby tedy nebyly povinny své údaje nikomu sdělovat (např. příjezdové formuláře při vstupu do ČR ze zahraničí, ale také povinnost předkládat certifi kát při návštěvě restaurací či dalších provozoven). Specifi ckým případem v rámci těchto opatření jsou pak situace, kdy osobní údaje takto neshromažďuje a neuchovává stát, krajská hygienická stanice či jiný správní orgán, nýbrž jde o povinnost nově ukládanou některým osobám soukromého práva, typicky provozovatelům restaurací a dalších služeb. Druhá skupina zásahů do soukromí spočívá ve snaze využívat údaje vytvářené primárně pro odlišné účely, jako je tomu u již zmiňovaných provozních a lokalizačních údajů.
Povinné shromažďování a uchovávání údajů
Povinnost vyplnit při příjezdu do ČR ze zahraničí příjezdový formulář byla zavedena již dříve, nyní ji zakotvuje aktuální ochranné opatření Ministerstva zdravotnictví ČR15. Dle informací uvedených ve formuláři zpracovávají takto shromážděné osobní údaje společně Ministerstvo zdravotnictví ČR a krajské hygienické stanice, a to po dobu „nezbytně nutnou, čili 12 měsíců“. Jak již bylo uvedeno, Městský soud v Praze má na délku nezbytné doby v tomto případě výrazně odlišný názor. S ohledem na deklarovaný účel – usnadnění trasování považuje soud za přiměřenou dobu uchovávání údajů v řádu několika týdnů, nikoli let, jelikož s ohledem na aktuální maximální inkubační dobu COVID-19 činící maximálně 14 dnů by takto maximálně v řádu několika málo týdnů od příjezdu měly být identifi kovány všechny osoby, které mohly ohrozit své spolucestující16. Přes toto odůvodnění však Městský soud v Praze zrušil pouze tu část ochranného opatření, která ukládala povinnost vyplnit příjezdový formulář v případě cesty individuální dopravou ze zemí s nízkým rizikem nákazy (tzv. zelených zemí), ačkoli doba uchovávání se zdá být nepřiměřená obecně ve všech případech.
V rámci opatření v boji pro COVID-19 bylo také povinné uchovávání údajů uloženo zaměstnavatelům a podnikatelům provozujícím obchody či jiné provozovny s deklarovaným účelem boje proti COVID-19, resp. umožnění kontroly dodržování opatření. V případě zaměstnavatelů se povinné uchovávání původně týkalo osobních údajů zaměstnanců a dalších osob vykonávajících činnosti v prostorách zaměstnavatele. Přestože je v takovém případě možno považovat za dostačující uchovávání informace o tom, že všechny osoby s přístupem na pracoviště v konkrétní den splnily jednu ze stanovených podmínek (očkování, prodělané onemocnění, negativní test) bez bližší specifi - kace, příslušné opatření požadovalo – pro účely možné pozdější kontroly – uchování konkrétního údaje. Ani tento požadavek však nebyl formulován jednoznačně, jak upozorňuje ÚOOÚ ve svém stanovisku17 K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS- -CoV-2 ze strany zákazníků ze dne 29. dubna 2021.
K nejzávažnějším nedostatkům opatření ukládajících zaměstnavatelům uchovávání údajů je absence vymezení kategorií povinně ukládaných údajů a také doby jejich uložení. Jedná se přitom o aspekty zcela zásadní, které by při podobném zásahu do soukromí měly být naopak vymezeny velmi přesně a zcela jednoznačně. Adresátovi povinnosti pak často nezbývá, než v rámci opatrnosti uchovávat raději větší množství údajů a dobu uchovávání dovozovat z maximálních zákonných lhůt, po které jsou orgány dozoru oprávněny kontrolovat dodržování povinnosti. Takový výklad většinou vede k uchovávání velmi podrobných údajů po dobu několika let, což jistě není žádoucí z hlediska ochrany soukromí a konečně ani ochrany osobních údajů18. Aktuálně platná mimořádná opatření Ministerstva zdravotnictví ČR19 vykazují dle hodnocení autora obdobné nedostatky jako ta předchozí, zejména absentující vymezení doby uchovávání údajů.
Jako ještě závažnější zásah do soukromí autor hodnotí povinnosti podnikatelů nejen kontrolovat návštěvníky svých provozoven (restaurací, obchodů a dalších), ale také uchovávat tyto údaje do budoucna. Takové údaje jsou totiž současně údaji o čase a lokalitě, v níž se daná osoba pohybovala, a navíc se týkají osob, s nimiž podnikatel nemá žádný jiný vztah (na rozdíl od zaměstnavatelů uchovávajících údaje zaměstnanců). Právě v případě opatření k evidenci zákazníků v provozovnách ÚOOÚ kritizoval opatření takovouto povinnost ukládající, a to především pro pochybnosti o jejím právním základu, ale také pro nekonkrétnost uložené povinnosti ve vztahu k účelu zpracování, rozsahu uchovávaných údajů, době uchovávání, požadovanému zabezpečení a dalším podmínkám20. ÚOOÚ navíc zdůrazňuje, že údaj vypovídající o zdravotním stavu spadá do tzv. zvláštní kategorie osobních údajů21, jejichž ochraně je třeba věnovat zvláštní pozornost. Je navíc nutno si uvědomit, že běžní provozovatelé restaurací, či obchodů nemají zavedena technická a organizační opatření k zabezpečení uchovávaných údajů. Aktuální opatření Ministerstva zdravotnictví týkající se maloobchodního prodeje zboží a poskytování služeb22 uchovávání údajů výslovně neupravuje a fakticky tak ponechává na provozovatelích restaurací, či obchodů, jak si vyloží povinnost „kontrolovat splnění podmínek pro vstup do prostor provozovny“.
Využívání údajů shromažďovaných pro jiné účely
Jako nejzávažnější zásah do práva na ochranu soukromí autor hodnotí snahy o využívání údajů zpracovávaných mobilními operátory a bankami – takovéto pokusy jsme v ČR zaznamenali poprvé již na začátku roku 2020. V některých případech se v rámci opatření proti COVID-19 jednalo pouze o zpracování statistických údajů, které se netýkají konkrétních osob. Příkladem může být údaj o procentu osob, které počátkem roku 2020 bezprostředně po návratu z Itálie použily svou platební kartu na území ČR, a patrně tak nedodržely v té době povinnou karanténu (Itálie byla tehdy považována za jedno z ohnisek nákazy). Výsledky takovéto analýzy samozřejmě vybízejí k využití lokalizačních údajů platebních karet pro vyhledání konkrétních osob a k jejich potrestání; dle informací autora k tomu v praxi nedošlo, navzdory tehdejším prohlášením mnoha politiků.
V případě tzv. vzpomínkových map či chytré karantény, jejichž cílem je pomoci konkrétním osobám vzpomenout si, kde všude v určité době byly a s kým při tom mohly být v kontaktu, se jedná o zpracování na základě souhlasu těchto osob, přestože některé návrhy se souhlasem nepočítaly. Samozřejmě lze technicky zjistit údaje o pohybu konkrétních osob i bez jejich souhlasu a zejména z údajů o použití platební karty či mobilního telefonu provést tzv. trasování. Zásadním však je, že ani nouzový stav vyhlášený v loňském i v letošním roce již několikrát (aktuálně od 26. listopadu 202123), toto neumožňuje. Nerozšiřuje totiž rozsah oprávněných orgánů ani možnosti vyžádání lokalizačních údajů, když relevantní předpisy (ústavní zákon o bezpečnosti ČR, krizový zákon, zákon o ochraně veřejného zdraví či zákon o elektronických komunikacích a konečně nejnověji ani pandemický zákon24) to nepřipouštějí. Proto také i zmíněné „trasování“ bylo ve fi nálním znění příslušného usnesení vlády i mimořádného opatření Ministerstva zdravotnictví ČR výslovně omezeno pouze na případy se souhlasem dotčené osoby25.
Co nás v právu čeká dál?
„COVIDové“ právní úpravy de lege ferenda
Jednotlivé zákazy, příkazy či povinnosti byly dosud ukládány formou mimořádných opatření či ochranných opatření Ministerstva zdravotnictví ČR, případně usnesení vlády. Punc mimořádnosti se však postupně vytrácí a z opatření mimořádných (formálně i fakticky) se stávají opatření běžná – omezení nabývají formu zákonů přijímaných parlamentem. Na jednu stranu je samozřejmě takový postup nutno přivítat – v rámci dělby moci je to právě zákonodárný sbor, kdo má přijímat obecně závazné normy, nikoli vláda a její ministerstva jako součást moci výkonné. Na druhou stranu ovšem samozřejmě zaráží právě ta „normalizace“, tedy zařazení omezení, zákazů a příkazů, mnohdy ještě donedávna zcela nepředstavitelných, do právního řádu jako jeho běžných součástí. Opět se nejedná o vývoj specificky český, podobně postupují i mnohé jiné země.
V řadě otázek nepanuje jednoznačný konsenzus, naopak, např. o zařazení vakcinace proti COVID-19 mezi povinná očkování, ale také o legislativních návrzích poskytujících výhody očkovaným osobám a o některých dalších budou nepochybně probíhat i nadále odborné i právní diskuse. Do budoucna lze také očekávat, že některé zákony budou předmětem přezkumu Ústavního soudu ČR. I v tomto bodě platí tematické omezení uvedené již v úvodu – autor se zde zaměřuje pouze na aspekt ochrany soukromí a zásahů do něj. Vybral proto tři následující příklady, které považuje za reprezentativní vzorek nejzásadnějších legislativních úprav a právních problémů, kterým budeme v budoucnu v souvislosti s COVID-19 v oblasti zásahů do soukromí čelit.
Právní úprava COVID pasů
Podobně jako v dalších zemích EU, také v ČR jsou v praxi používány tzv. COVID pasy. Ministerstvo zdravotnictví ČR předložilo novelu zákona o ochraně veřejného zdraví26, která má tyto „certifikáty, kterými se osvědčují informace o provedeném očkování proti onemocnění COVID-19, prodělaném onemocnění COVID-19 nebo výsledcích vyšetření na přítomnost viru SARS-CoV-2 nebo jeho antigenu“ legislativně zakotvit. Vláda navrhla zkrácené projednání s vynecháním 1. čtení, tento návrh však poslanci po bouřlivé diskusi nepodpořili, a návrh tedy nebyl projednán do konce volebního období ukončeného nedávnými volbami do Poslanecké sněmovny ve dnech 8. a 9. října 2021. Lze očekávat, že bude projednán nově ustavenou Poslaneckou sněmovnou v nejbližší době.
Podobné návrhy vyvolávají vlnu diskusí i v zahraničí, obecně se ke COVID pasům, resp. k návrhům digitálních zelených certifi kátů vyjádřil nejen ÚOOÚ27, ale také Evropský sbor pro ochranu osobních údajů ve společném stanovisku s Evropským inspektorem ochrany údajů28. Upozorňují v něm na možná rizika včetně hrozby přímé či nepřímé diskriminace a zdůrazňují nutnost omezit zpracování údajů pouze na dobu nezbytně nutnou s tím, že návrh COVID pasu „nesmí vést k vytvoření jakékoli centrální databáze osobních údajů na úrovni EU“.
Státní hygienická služba a její oprávnění
Koncem roku 2020 navrhlo Ministerstvo zdravotnictví ČR novelu zákona o ochraně veřejného zdraví29. Součástí návrhu bylo jednotné řízení státního zdravotního dozoru a vytvoření Státní hygienické služby jako ústředního orgánu a nástupce krajských hygienických stanic30, avšak navíc s některými novými pravomocemi. Návrh obsahuje novely dalších celkem 20 zákonů, mezi nimi i zákona o elektronických komunikacích. Státní hygienická služba by získala oprávnění vyžádat si lokalizační údaje uživatelů sítí a služeb elektronických komunikací, jakým dnes disponují orgány činné v trestním řízení, Policie ČR, zpravodajské služby a některé další orgány.
V návrhu zákona zcela absentují kontrolní mechanismy proti případnému zneužití takto vyžádaných údajů, také technická a organizační opatření k zabezpečení zpracování novela nespecifi kuje. Návrh se setkal s velmi ostrou kritikou31 a jeho další osud je tak nejasný. Parlamentu ČR zatím předložen nebyl, ofi ciálně je však stále zařazen v systému legislativního procesu.
Závěr
Autor pevně věří, že nejen Ministerstvo zdravotnictví ČR, ale především vláda ČR jakožto předkladatel návrhů zákonů, si vezmou potřebné ponaučení z doporučení a stanovisek ÚOOÚ a také z výtek soudů, především Nejvyššího správního soudu ČR. Jelikož COVID-19 již v současnosti skutečně není něčím neočekávaným, nemohou ani opatření používaná pro boj proti němu být improvizací, která nebude respektovat základní požadavky platné právní úpravy, jako tomu bohužel až dosud v mnoha případech bylo. Nesmí tomu tak být zvláště proto, že většina opatření představuje závažný zásah do základních práv a svobod.
Autor si je bohužel vědom vývoje v poslední době, kdy např. již v tomto textu zmiňovaný rozsudek Městského soudu v Praze částečně zrušil povinnost vyplňovat příjezdový formulář obsaženou v ochranném opatření nově vydaném Ministerstvem zdravotnictví ČR. Důvody zrušení byly přitom velmi obdobné výtkám, které soudy opatřením Ministerstva zdravotnictví ČR adresovaly v uplynulých měsících již opakovaně. Proto autor nadále pevně věří, že je nezbytné, aby přípravě legislativních návrhů zasahujících do soukromé sféry vždy předcházelo provedení testu proporcionality a také posouzení vlivu zpracování na ochranu osobních údajů včetně konzultace s orgánem dozoru zřízeným právě pro účely ochrany osobních údajů, s ÚOOÚ. Autor současně také doufá, že příslušné orgány budou věnovat výtkám soudů patřičnou pozornost.
Poznámky pod čarou:
- Usnesení předsednictva České národní rady č. 2/1993 Sb. ze dne 16. prosince 1992 o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součásti ústavního pořádku České republiky, ve znění pozdějších změn.
- Tak tomu je např. u mimořádných opatření Ministerstva zdravotnictví ČR o omezení volného pohybu, obchodu a služeb, o povinném testování občanů ČR před návratem ze zahraničí, o povinném testování zaměstnanců, o povinnosti vyplnit při příjezdu do ČR příjezdový formulář a další.
- Test proporcionality používají ústavní soudy řady zemí, samozřejmě vč. Ústavního soudu ČR, jedná se o konstantní a ustálený právní nástroj, viz např. Nález Ústavního soudu ČR Pl. ÚS 21/17 ze dne 12. února 2019 či řada dalších.
- V rozsudku sp. zn. 8 Ao 1/2021 – 133 ze dne 14. dubna 2021 Nejvyšší soud při posuzování opatření obecné povahy Ministerstva zdravotnictví ČR ze dne 5. března 2021, čj. MZDR 47828/2020-17/MIN/KAN výslovně upozornil: „Ze shora citovaného ustanovení § 3 odst. 2 pandemického zákona vyplývá, že odůvodnění musí obsahovat následující části: 1) aktuální analýzu epidemické situace onemocnění covid-19; 2) konkrétní míru rizika spojenou s vymezenými činnostmi, oblastmi či jinými charakteristikami; 3) přiměřenost zásahu do práv a oprávněných zájmů právnických a fyzických osob, tedy tzv. test proporcionality.“
- Městský soud v Praze 1. prosince 2021 zrušil část ochranného opatření Ministerstva zdravotnictví ČR ze dne 26. října 2021, č. j. 20599/2020-126/MIN/ KAN, které zavedlo povinnost vyplnit příjezdový formulář pro všechny osoby vstupující na území České republiky. Soud „shledal, že tato povinnost v některých případech porušuje právo na ochranu soukromí“, přičemž vyhodnotil, že „v případě příjezdu osob ze zemí s nízkým rizikem nákazy (tzv. zelené země) je současná úprava této povinnosti nepřiměřená zejména s ohledem na způsob sběru osobních údajů“.
- NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
- DPIA – Data Protection Impact Assessment, viz čl. 35 a násl. Obecného nařízení o ochraně osobních údajů
- Viz např. stanovisko K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků ze dne 29. dubna 2021: „Předkladatel musí vždy zhodnotit aktuální stav a dopady navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů, což v tomto případě, pokud je Úřadu známo, učiněno nebylo.“
- Např. ve stanovisku K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků ze dne 29. dubna 2021 ÚOOÚ konstatuje: : „Rozsáhlé zpracování zvláštní kategorie údajů přitom podle obecného nařízení podléhá posouzení vlivu na ochranu osobních údajů podle čl. 35 tohoto nařízení (dle metodiky posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů). Úřadu však není známo, zda takové předchozí posouzení bylo Ministerstvem zdravotnictví ČR provedeno.“ A dodává: „V důsledku uvedeného nebyla pak realizována ani konzultační povinnost předkladatele podle čl. 36 obecného nařízení v případě návrhu legislativních opatření, kam spadají např. podzákonné právní předpisy i jakákoli opatření orgánů veřejné správy přijímaná na základě právních předpisů.“
- Viz čl. 7 odst. 1 Listiny základních práv a svobod: „Nedotknutelnost osoby a jejího soukromí je zaručena. Omezena může být jen v případech stanovených zákonem.“
- Viz čl. 10 odst. 2 Listiny základních práv a svobod: „Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.“ A odst. 3 téhož článku: „Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.“
- Tato povinnost, označovaná jako Data Retention, je v právním řádu ČR obsažena v zákoně č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, viz § 97 odst. 3.
- Viz § 58 zákona č. 110/2019 Sb., o zpracování osobních údajů
- Novela zákona o elektronických komunikacích provedená zákonem č. 374/2021 Sb., v jejímž návrhu bylo toto oprávnění ÚOHS původně obsaženo, byla nakonec schválena v odlišné podobě, a ÚOHS tedy přístup k provozním a lokalizačním údajům nezískal.
- Ochranné opatření Ministerstva zdravotnictví ČR ze dne 26. října 2021 č. j.: MZDR 20599/2020-126/MIN/KAN
- Viz ofi ciální zpráva Městského soudu v Praze ze dne 1. prosince 2021. Dostupné z https://www.justice.cz/documents/14569/801908/TZ_p%C5%99%C3%ADjezdov% C3%BD+formul%C3%A1%C5%99/1fc7f99f-3c6b-4006-9a9c-98f98e3d48fe
- „Rovněž není zřejmé, zda součástí evidence má být i samotný klíčový údaj vypovídající o výsledku testování nebo o jiném právem předvídaném osvědčení o aktuálním zdravotním stavu vstupujícího zákazníka či zda by tento údaj byl na základě evidence zjišťován v rámci kontroly prováděné orgány ochrany veřejného zdraví. Důležitá je taktéž odpověď na otázku, zda by se tak dělo při epidemiologickém šetření nebo i mimo ně.“
- ÚOOÚ ve stanovisku K povinnému testování zaměstnanců – rozšířené vyjádření ze dne 26. března 2021: „Doba pro uchování evidence testování nebyla v rámci mimořádného opatření stanovena, avšak s ohledem na povinnosti, které jsou upraveny právními předpisy uvedenými výše, jeví se jako maximální doba uchování osobních údajů v evidenci testování tři roky od doby jejich pořízení. Tato doba se váže na nutnost prokázání plnění uložených povinností vůči orgánům ochrany veřejného zdraví, které jsou nadány kontrolou plnění uloženého opatření správcem, pokud nebude zjištěno, že pro uvedené účely postačuje doba kratší.“
- Mimořádné opatření Ministerstva zdravotnictví ČR ze dne 22. listopadu 2021 Č. j.: MZDR 42085/2021-1/MIN/KAN, ve znění mimořádného opatření zde dne 22. listopadu Č. j.: MZDR 42085/2021-2/MIN/KAN.
- Viz stanovisko ÚOOÚ K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků ze dne 29. dubna 2021 ve znění doplnění Reakce Úřadu na výsledné znění mimořádného opatření k evidenci zákazníků v provozovnách ze dne 30. dubna 2021.
- Zpracování zvláštních kategorií osobních údajů vymezuje Obecné nařízení o ochraně osobních údajů v čl. 9.
- Mimořádné opatření Ministerstva zdravotnictví ČR ze dne 20. listopadu 2021 Č. j.: MZDR 14601/2021-28/MIN/KAN.
- Viz Usnesení Vlády ČR ze dne 25. listopadu 2021 č. 1065 o vyhlášení nouzového stavu pro území České republiky z důvodu ohrožení zdraví v souvislosti s prokázáním výskytu koronaviru /označovaný jako SARS CoV-2/ na území České republiky.
- Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19 a o změně některých souvisejících zákonů.
- Usnesení vlády ČR ze dne 18. března 2020 č. 250 k zajištění zvýšené ochrany obyvatel – trasování; Mimořádné opatření Ministerstva zdravotnictví ČR ze dne 19. března 2020 č. j.: MZDR 12398/2020-1/MIN/KAN.
- Návrh zákona, kterým se mění zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, byl projednáván Poslaneckou sněmovnou v předchozím volebním období jako sněmovní tisk č. 1231.
- Viz stanovisko ÚOOÚ k tzv. očkovacím pasům ze dne 9. dubna 2021
- Viz Společné stanovisko Evropského sboru pro ochranu osobních údajů a evropského inspektora ochrany údajů č. 4/2021 k návrhu nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifi kátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (digitální zelený certifikát) ze dne 31. března 2021.
- Dostupné v elektronické knihovně připravované legislativy eKlep pod č. j. MZDR 53739/2020.
- Dle důvodové zprávy návrh zákona „reflektuje potřebu zvýšit efektivitu a vyšší úroveň koordinace všech zainteresovaných subjektů při výkonu státního zdravotního dozoru“.
- Viz např. iROZHLAS ze dne 30. listopadu 2020. ‚Otřesný příklad legislativního diletantismu.‘ Právníci kritizují novelu, dává ministerstvu silné pravomoci. Dostupné z https://www.irozhlas.cz/zpravy-domov/novela-zakona-o-verejnem-zdravi-ministerstvo-zdravotnictvi-rekonstrukce-statu_2011302239_kro