Věcná působnost nařízení GDPR při ověřování platnosti covid certifikátů prostřednictvím aplikace „čTečka“ – ano, nebo ne?

Nejvyšší správní soud začátkem října přerušil řízení o návrhu na zrušení jednoho z mimořádných opatření Ministerstva zdravotnictví týkajícího se omezení provozu služeb (čj. MZDR 14601/2021-34/MIN/KAN), a to proto, že předložil v souvislosti s tímto řízením Soudnímu dvoru Evropské unie tzv. předběžnou otázku související se zpracováním osobních údajů – konkrétně „zda dochází při ověřování platnosti certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 národní aplikací „čTečka“ k automatizovanému zpracování osobních údajů ve smyslu čl. 4 odrážky 2) obecného nařízení o ochraně osobních údajů, a je tak dána věcná působnost tohoto nařízení“.

Ministerstvo zdravotnictví totiž v předmětném mimořádném opatření stanovilo zákazníkům pro možnost využití některých služeb, vstupu do provozoven či účasti na akcích povinnost prokázat splnění podmínek bezinfekčnosti a povinnost provozovatelům splnění těchto podmínek kontrolovat, a to prostřednictvím aplikace „čTečka“. Navrhovatel (jde o fyzickou osobu) se přitom v řízení domáhá zrušení tohoto opatření z důvodu, že takto stanovenými povinnostmi docházelo k nepřiměřenému zásahu do jeho práva na ochranu soukromí tím, že po načtení QR kódu se v zařízení provozovatele zobrazovaly jeho osobní údaje.

Nejvyšší správní soud prozatím uvedl, že pro posouzení otázky zásahu do práva na soukromí je nezbytné nejdříve vyjasnit, zda při kontrole bezinfekčnosti pomocí aplikace „čTečka“ dochází k automatizovanému zpracování údajů ve smyslu obecného nařízení o ochraně osobních údajů (GDPR). Nejvyšší správní soud přitom zmiňuje čtyři konkrétní okamžiky, kdy by mohlo ke zpracování osobních údajů v průběhu kontroly bezinfekčnosti pomocí aplikace dle jeho názoru docházet.

Naskenování QR kódu jako automatizované zpracování osobních údajů

Nejvyšší správní soud nemá pochybnosti o tom, že údaje obsažené v certifikátech – jde o jméno, příjmení, datum narození a údaj o očkování, prodělaném onemocnění či negativním testu – představují osobní údaje ve smyslu čl. 4 odrážky 1) GDPR. Pochybnosti má však ale o tom, zda jsou tyto osobní údaje při kontrole certifikátů aplikací zpracovávány ve smyslu čl. 4 odrážky 2) GDPR. Již naskenování QR kódu aplikací „čTečka“ totiž může naplňovat definici zpracování osobních údajů – jde totiž o operaci s osobními údaji, při které dochází k jejich přizpůsobení do podoby čitelné pro člověka a zpřístupnění na mobilním telefonu. Nejvyšší správní soud však podotýká, zda je namístě vykládat pojem zpracování takto široce, jelikož při této operaci nehrozí, že dojde ke zneužití osobních údajů a k zásahu do práva na ochranu osobních údajů, nedochází-li v rámci aplikace k odesílání dat kamkoliv za účelem jejich „překladu“ do čitelné podoby. Fakticky jde totiž o pouhou výpočetní operaci, při které není s osobními údaji jakkoliv nakládáno.

Lze tedy z textu usnesení dovodit, že Nejvyšší správní soud naskenování QR kódu za zpracování osobních údajů spíše nepovažuje.

Nahlédnutí do osobních údajů kontrolovanou osobou jako automatizované zpracování osobních údajů

Další možnou fází, při které by se mohlo jednat o zpracování osobních údajů, je okamžik, kdy kontrolující osoba v rámci kontroly podmínek tzv. bezinfekčnosti nahlédne do osobních údajů zobrazených na mobilním telefonu zákazníka/klienta. Nejvyšší správní soud v této souvislosti již dříve došel k závěru, že pouhé vizuální nahlédnutí kontrolující osobou na certifikát, ať už v tištěné nebo elektronické podobě, nespadá do věcné působnosti GDPR – nedochází při něm totiž k automatizovanému zpracování osobních údajů a v případě neautomatizovaného zpracování není vedena jejich evidence. Byť je tedy k dekódování QR kódu použit určitý automatizovaný nástroj (aplikace), z hlediska kontrolující osoby jde i nadále o pouhé vizuální nahlédnutí do osobních údajů kontrolované osoby.

I v tomto případě má tedy Nejvyšší správní soud spíše za to, že se o zpracování osobních údajů nejedná, jestliže tyto údaje nejsou dále nijak zpracovávány (např. uloženy či kamkoliv dále odesílány). Jelikož se však k výkladu těchto otázek Soudní dvůr Evropské unie doposud nevyjadřoval, nelze dle Nejvyššího správního soudu vyloučit, že Soudní dvůr zaujme odlišný výklad.

Ověření platnosti certifikátu aplikací čTečka jako automatizované zpracování osobních údajů

Třetí fází, která by mohla představovat zpracování osobních údajů, je fáze ověření platnosti certifikátu aplikací „čTečka“. Při kontrole platnosti certifikátu totiž dochází fakticky k použití osobních údajů týkajících se zdravotního stavu kontrolované osoby, které jsou obsaženy v certifikátu. Aby přitom mohla aplikace vyhodnotit, zda je certifikát platný či nikoliv, musí nutně porovnat údaje o zdravotním stavu dané osoby – tj. např. datum očkování, počet dávek, typ vakcíny – s validačními pravidly platnými v dané době. To přitom aplikace ulehčila, protože si sama stahovala aktuálně účinná pravidla, a při jejich změně pak byla automaticky sama schopna vyhodnotit, zda předkladatel certifikátu po změně pravidel splňuje podmínky tzv. bezinfekčnosti. I to by mohlo (byť nepřímo) představovat zpracování osobních údajů.

Při ověřování platnosti certifikátu však osobní údaje týkající se zdravotního stavu aplikace nezasílá nikam dále, a osobní údaje o zdravotním stavu tedy nejsou použity k jinému účelu než k jejich porovnání s validačními pravidly. Stejná pravidla se přitom uplatňovala i při pouhé vizuální kontrole certifikátů (bez skenování QR kódu) a navíc nebyla vázána na konkrétní osobu, ale jenom na údaje o tzv. bezinfekčnosti.

Kombinace výše zmíněných procesů jako automatizované zpracování osobních údajů

Nedochází-li ke zpracování osobních údajů ani v jednom z výše uvedených případů, je dle Nejvyššího správního soudu namístě zabývat se tím, zda zpracování nepředstavuje kombinace všech výše zmíněných procesů, které při kontrole certifikátů aplikací „čTečka“ probíhají, jako celek – tj. převedení osobních údajů z QR kódu do lidsky čitelné podoby a jejich promítnutí na mobilní telefon, nahlédnutí do nich kontrolující osobou a vyhodnocení platnosti certifikátu aplikací porovnáním osobních údajů o zdravotním stavu s validačními pravidly. ¨

Přestože jednotlivě tyto procesy nemusí dosahovat intenzity rozhodné pro naplnění definice zpracování, přiklání se Nejvyšší správní soud spíše k tomu, že v souhrnu o zpracování osobních údajů jde. Tomu odpovídá i dosavadní rozhodovací praxe Soudního dvora EU – ten ve svém dřívějším rozsudku implicitně posoudil kontrolu certifikátů prostřednictvím aplikací „CovidScanBe“ a „Covidcheck.lu“ jako zpracování osobních údajů ve smyslu nařízení GDPR, přičemž tyto aplikace fungují na obdobném principu jako „čTečka“. Nejvyšším správním soudem nyní položená předběžná otázka však v judikatuře Soudního dvora nebyla doposud výslovně řešena, a Nejvyšší správní soud se proto domnívá, že je obecně významná pro vymezení rozsahu věcné působnosti nařízení GDPR a definice zpracování osobních údajů.

< Přejít zpět