Pandemie nemoci covid-19 na dva roky zásadně ovlivnila životy nás všech. Po dvou letech od jejího odeznění si už řada lidí jen matně vzpomíná, jak hluboce pandemie a snaha proti ní bojovat ovlivňovaly naše každodenní životy. Míra regulatorního omezení základních práv přitom byla vůbec největší od sametové revoluce. Právo na svobodu pohybu, právo se shromažďovat a sdružovat, právo na vzdělání, právo podnikat nebo právo na soukromí, to jsou jen některá z práv, která byla různými opatřeními omezována.
Konkrétně práva na soukromí, na ochranu osobních údajů a informační sebeurčení byla v době pandemie pod tlakem hned z několika různých důvodů. Prvním z nich byla snaha mapovat kontakty nakažených a šíření nemoci. K trasování pohybu a kontaktů měla sloužit řada různých nástrojů, které měly oproti tradičnímu epidemiologickému šetření celý proces zefektivnit zapojením technologií.
Část z nich byla pro uživatele dobrovolná (např. Konstrukce paměťových map, použití aplikace Mapy.cz nebo eRouška), některé ale byly povinné: vyplňování příjezdových formulářů, evidence zákazníků nebo provedených testů u zaměstnanců. Další opatření byla spojena s testováním a následně i očkováním proti covidu-19. K objednání testu i termínu očkování bylo potřeba provést registraci. Informace o testování a očkování současně začaly být centrálně uchovávány ve zdravotnických registrech. K prokazování a kontrole bezinfekčnosti (tedy prodělání nemoci, negativního testu nebo naočkování) byla pak spuštěna dvojice aplikací Tečka a čTečka. V neposlední řadě je třeba zmínit i nakládání s daty během online výuky nebo sdílení citlivých údajů o zdraví mezi státními orgány nebo soukromým sektorem bez náležitého právního základu.
Právě zásahy do těchto práv budou předmětem této analýzy. Jejím cílem není primárně hodnotit, nakolik tato omezení byla, či nebyla potřebná nebo zákonná, byť zejména otázce zákonnosti se nijak nevyhýbáme. Naším cílem je hlavně zjistit, co z doby pandemie má význam i pro dnešek, kdy se covid-19 stal již více méně běžnou sezónní nemocí.
Jaké legislativní změny v oblasti ochrany soukromí přijaté v době pandemie přetrvaly dodnes? Jaká rozhodnutí soudů nebo regulatorních orgánů v kauzách týkajících se pandemie jsou relevantní i pro dnešek? A máme v důsledku pandemie dnes méně soukromí než před ní? Nebo naopak právo na soukromí vyšlo z pandemie posíleno? Jaké poučení si můžeme, pokud jde o ochranu osobních údajů a přístup k digitalizaci služeb státu z pandemie, vzít?
To budou otázky, na něž se budeme snažit odpovědět.
Sledování pohybu a rizikových kontaktů
Vzpomínkové mapy a sledování pohybu přes Mapy.cz
Dohledávání rizikových kontaktů neboli trasování je důležitým nástrojem každého epidemiologického šetření. Právě sem můžeme zařadit konstruování tzv. vzpomínkových map, kdy byly vedle informací získaných v rozhovoru hygienika s nakaženým využívána také data od operátorů o pohybu a od bank o platebních transakcích.
Data vyžádaná pouze se souhlasem nakaženého měla sloužit jako podklad k hovoru s pracovníkem hygieny (povinnost součinnosti nakaženého je upravena v § 62a zákona o ochraně veřejného zdraví), který měl přispět k vytipování okruhu dalších potenciálně nakažených osob. Takto nastavený systém mohl fungovat pouze s platným souhlasem subjektu údajů a právně byl upraven usnesením vlády ČR č. 250 z 18. 3. 2020 a na něj navazujícím mimořádným opatřením Ministerstva zdravotnictví ČR ze dne 19. 3. 2020, č. j. MZDR 12398/2020–1/MIN/KAN. To nařizovalo mobilním operátorům a bankám vyhovět žádosti hygieny o data v případě, že k tomu dal nakažený dopředu výslovně souhlas.
Přesto zde byly problematické aspekty, protože souhlasem bylo kryto pouze předání dat, nikoli jejich další zpracování. Současně se na zpracování, zejména v počáteční fázi, podílela řada soukromých společností s nevyjasněnými rolemi v celém procesu, na což upozornil například Nejvyšší kontrolní úřad (viz dále). Problematické bylo i zpracování dat na serverech společnosti Amazon v USA v rozporu s judikaturou Soudního dvora Evropské unie, která zrušila rozhodnutím Schrems II tzv. Privacy Shield, tedy právní základ pro předávání osobních údajů do USA.
Problémem byla i nedostatečná právní úprava, kdy zásah do základního práva na soukromí neupravoval zákon, ale výše zmíněné mimořádné opatření Ministerstva zdravotnictví, které se odvolávalo na velmi vágní ustanovení § 69 odst. 1 písm. j) zákona o ochraně veřejného zdraví, které umožňuje upravit mimořádným opatřením také „zákaz nebo nařízení další určité činnosti k likvidaci epidemie nebo nebezpečí jejího vzniku“.
Pro předávání dat také chyběl jednoznačný právní základ v sektorové úpravě pro telefonní operátory a banky, tedy v zákoně o elektronických komunikacích a zákoně o bankách. Předávání lokalizačních dat hygienám mělo být následně upraveno i legislativně, kdy Ministerstvo zdravotnictví navrhlo novelu, která by ukládala operátorům povinnost hygienikům data předávat i bez souhlasu nakažených. Tento legislativní návrh nicméně naštěstí neprošel a byl z připomínkového řízení po negativních reakcích odborné veřejnosti stažen.
Konstruování vzpomínkových map se postupně stalo nerelevantním v souvislosti s tím, jak se pandemie šířila a hygienici nestíhali šíření nákazy trasovat. Už v září 2020 přestala být používána data od bank (Chvojka, s. 26). Mimořádné opatření pak bylo zrušeno s účinností od 1. 9. 2021.
Projekt vzpomínkových map trpěl od počátku celou řadou neduhů. To logicky generovalo nedůvěru nakažených a omezovalo ochotu dávat souhlas s poskytnutím dat. Legislativní snaha dát tato data hygienám bez souhlasu nakažených byla velmi špatně připravena, pokud jde o povinné zhodnocení dopadu do soukromí, a naštěstí legislativním procesem neprošla.
I pokud by prošla, je zde zásadní pochybnost i o tom, jak přínosná by tato data bez spolupráce s nakaženými vlastně mohla být. Lokalizační data od operátorů kvůli své nepřesnosti nemohou v podstatě sloužit k určování rizikových kontaktů bez upřesnění pohybu ze strany nakaženého. Jde tedy skutečně pouze o nástroj, jak pomoci nakaženému si vzpomenout (viz Jan Hořeňovský, Právní a společenské aspekty užití moderních technologií v boji s epidemií covid-19, v Kysela Jan a kol.: Reakce právního systému České republiky na covidovou pandemii, Praha 2022). Takový systém jinak než na dobrovolné bázi fungovat nemůže.
Doplněním vzpomínkových map byla soukromá iniciativa společnosti Seznam, který zavedl v aplikaci Mapy.cz možnost sledovat pohyb konkrétní osoby za účelem možného budoucího trasování a upozornění osob, které se v daný čas po určitou dobu vyskytovaly na stejném místě.
Konkrétní data o přínosnosti tohoto nástroje známy nejsou. V dubnu 2020 bylo hlášeno, že nástroj využívá milion lidí, z toho 300 uživatelů ohlásilo pozitivitu na covid-19 a aplikace pak rozeslala 100 hlášení o možném kontaktu. Problém aplikace zjevně bylo, že ji nevyužíval dostatek lidí, ale i použitá technologie GPS, která může zkreslovat riziko kontaktu (např. v budovách) a není tak vhodná jako Bluetooth použitá u eRoušky.
eRouška
Ke stejnému účelu, tedy k trasování, měla následně sloužit i aplikace eRouška. Na rozdíl od předchozích řešení šlo ale v zásadě o decentralizované řešení. Její užití bylo dobrovolné a do svých mobilů si ji postupně stáhlo zhruba 1 700 000 uživatelů. Aplikace měla informovat uživatele o tom, že byli v kontaktu s nakaženou osobou. Ve své vylepšené verzi 2.0 fungovala tak, že mobilní telefony si prostřednictvím technologie Bluetooth mezi sebou vyměňovaly anonymizované informace o kontaktu dvou telefonů s nahranou aplikací. Pokud měl uživatel pozitivní test na covid-19, dostal od hygieniků autorizační kód, pomocí nějž mohl dobrovolně nahrát 14denní historii anonymizovaných kontaktů na server, odkud si ji stáhnou eRoušky ostatních uživatelů, a vyhodnotit, zda mezi uživateli došlo k rizikovému kontaktu. Za dobu provozu takto aplikace nahlásila zhruba 400 000 takových rizikových kontaktů.
Provoz byl ukončen v říjnu 2021 a k 31. 10. 2021 došlo také podle informací na domovských webových stránkách eRoušky k likvidaci veškerých dat. Za problematický aspekt eRoušky je možno považovat využívání cloudových služeb společnosti Google k ukládání dat, byť v druhé verzi již nešlo o ukládání telefonních čísel jako ve verzi první. Problémem byla i absence jasného právního zakotvení fungování eRoušky, které až dodatečně bylo částečně řešeno novými ustanoveními § 62a odst. 2–5 zákona o ochraně veřejného zdraví. Ta se do zákona dostala zákonem č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19. Toto ale bylo příliš obecné a nevymezovalo konkrétní záruky pro uživatele aplikace.
Obecně byla odborníky eRouška hodnocena jako aplikace k soukromí v zásadě přátelská, zejména pak v její verzi 2.0, která již nezpracovávala centrálně telefonní čísla uživatelů. Současně šlo o aplikaci, která byla vzhledem k použití doporučované technologie Bluetooth, která z nabízených možností nejlépe odpovídala podobě rizikového kontaktu, pro trasování kontaktů potenciálně přínosná. Problémem nicméně bylo, že k plné účinnosti aplikace by si ji muselo nainstalovat cca 6 milionů lidí, tedy téměř 4× více, než byl počet osob, které si aplikaci stáhly.
V případě budoucího možného užití aplikace eRouška je zde určitý právní základ pro provoz aplikace obsažený ve výše zmíněném novelizovaném znění § 62a zákona o ochraně veřejného zdraví. Tento právní základ není vázán výlučně na užití v rámci boje konkrétně proti nemoci covid-19, ale je využitelný i pro jiné pandemie.
Klíčové je, že užití takové aplikace by mělo být dle tohoto ustanovení i v budoucnu dobrovolné. Důležitá je nicméně zejména důvěra občanů v aplikaci a nastavení ochrany soukromí, protože bez dostatečného počtu uživatelů ztrácí taková aplikace smysl. Stávající právní základ v jediném odstavci zákona o ochraně veřejného zdraví je ale v tomto ohledu nedostatečný a pravidla by měla být na zákonné úrovni upravena mnohem podrobněji.
Příjezdové formuláře
Dalším nástrojem ke sledování pohybu byly tzv. příjezdové formuláře, jejichž smyslem mělo být poskytnout informace hygienické službě o příjezdu osob do ČR.
Již od března 2020 platila povinnost osob, které se vrátily z rizikových zemí, toto nahlásit svému ošetřujícímu lékaři. Ta byla zavedena usnesením vlády ČR 80/2020 Sb. z 13. 3. 2020. Příjezdové formuláře znamenaly centralizaci a hlášení a současně jejich rozšíření v podstatě na všechny návraty do ČR.
Příjezdové formuláře musely online vyplňovat všechny osoby, které vstupovaly na území ČR po delším než 12hodinovém pobytu v cizině. Po vyplnění online formuláře bylo na e-mail zasláno potvrzení o vyplnění s QR kódem, který obsahoval vyplněné informace. Shromažďovány byly následující údaje:
- jméno,
- příjmení,
- datum narození,
- číslo cestovního dokladu,
- státní příslušnost,
- rodné číslo,
- číslo telefonu,
- e-mail,
- země navštívené 14 dní před přicestováním do České republiky, mimo země, kde byl cestující méně než 12 h,
- datum příjezdu do Česka,
- dopravní prostředek,
- místo pobytu v období následujících 14 dnů po přicestování do Česka.
Poprvé se v ochranných opatřeních Ministerstva zdravotnictví setkáváme s příjezdovými formuláři v ochranném opatření Ministerstva zdravotnictví č. j. MZDR 20599/2020–30/MIN/KAN ze dne 18. 9. 2020. Povinnost byla zavedena od 21. 9. 2020. Následovala celá řada dalších opatření, která zejména doplňovala odůvodnění podle judikatury Městského soudu v Praze, který se opakovaně zabýval řadou návrhů na zrušení těchto ochranných opatření, a tedy i povinnosti vyplňovat příjezdové formuláře.
Ve vztahu k právu na soukromí je důležité zejména rozhodnutí Městského soudu v Praze č. 14 A 213/2021 – 51 ze dne 1. 12. 2021, které se týkalo zrušení částí ochranného opatření ze dne 26. 10. 2021, č. j. 20599/2020–126/MIN/KAN. Soud zde na rozdíl od předchozích rozhodnutí, která rušila ochranná opatření zejména z důvodů nedostatečného odůvodnění, dochází k závěru, že způsob odůvodnění je akceptovatelný. Soud se zde také podrobněji nevěnuje problematice práva na vstup občanů do ČR, které je zakotveno v čl. 14 odst. 4 Listiny základních práv a svobod, což je argumentace, které se věnoval již v jednom z předchozích rozhodnutí jiný senát Městského soudu v Praze. Soud nicméně za klíčový pro posouzení považuje zásah do práva na soukromí a informační sebeurčení zakotvené v čl. 10 odst. 3 Listiny základních práv a svobod, který je pro něj hlavním důvodem zrušení povinnosti vyplňovat příjezdový formulář.
V bodu č. 49 soud dochází k závěru:
Poprvé v novodobé historii českého demokratického státu tak dochází k tomu, že stát eviduje, kteří jeho občané cestují do zahraničí a kam. Občané mohou sice stále fakticky svobodně cestovat, ale pouze při vědomí, že stát to o nich bude vědět. Jde tu právě o situaci popsanou shora, kdy svoboda sice není formálně omezena, ale skrze shromažďování informací o tom, jak lidé svou svobodu využívají, dochází ke ztrátě podstatného aspektu této svobody. Je tu nebezpečí, že lidé budou malinko méně své svobody využívat. Slovy Williama O. Douglase svoboda se může pomalu vytrácet. Městský soud je tedy názoru, že povinnost vyplnění příjezdového formuláře je podstatným zásahem do práva na ochranu soukromí.
Soud následně provádí podrobný test proporcionality, v jehož závěru dochází k tomu, že ačkoli jde o poměrně významný zásah do základních práv, jeho přínos není velký. Současně pak soud poukazuje na nedostatečné limity, pokud jde o dobu uchovávání, a nedostatečnou úpravu účelu a přístupu k datům, která by poskytovala efektivní záruky proti neoprávněnému a nepřiměřenému užívání údajů. Soud současně v bodě 89 dochází k závěru, že problematické naopak není stanovení povinnosti vyplňovat formulář elektronicky.
Přestože uvedené opatření bylo soudem zrušeno, následovala další obdobná opatření. Poslední opatření Ministerstva zdravotnictví upravující příjezdové formuláře byla zrušena v dubnu 2022. Možnost znovuzavedení příjezdových formulářů vydáním ochranných opatření ale zůstala v právním řádu zakotvena v nové vyhlášce Ministerstva zdravotnictví č. 101/2022 Sb., o systému epidemiologické bdělosti pro onemocnění COVID-19. Tato vyhláška je v současnosti stále účinná a umožňuje potenciálně znovuzavedení příjezdových formulářů v případě zhoršení epidemické situace. V takovém případě by ovšem mělo ministerstvo v rámci ochranného opatření důsledně posoudit závěry výše uvedeného judikátu a vypořádat se s nimi.
Evidence klientů
Obdobně povinná byla i evidence klientů v provozu holičství, kadeřnictví, pedikúry, manikúry, kosmetických, masérských a obdobných regeneračních nebo rekondičních služeb za účelem možného epidemiologického šetření. Tuto povinnost zavedlo mimořádné opatření Ministerstva zdravotnictví, č. j. MZDR 14601/2021–7/MIN/KAN z 29. 4. 2021, které ji obsahuje v bodě 14 písm. e).
Podle důvodové zprávy měly být evidovány údaje o identifikaci zákazníka (jméno, příjmení), kontaktní údaje zákazníka (nejlépe telefonní číslo), informace o čase poskytnutí služby (od kdy, do kdy) a informace, který zaměstnanec poskytoval služby tomuto zákazníkovi. Tuto evidenci by měl poskytovatel uchovávat 30 dnů. Uvedené opatření bylo vzápětí předmětem kritiky Úřadu pro ochranu osobních údajů, který především poukázal na nedostatečnou oporu vedení takové evidence přímo v zákoně, když zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19, neobsahuje žádné zmocnění ukládat provozovatelům povinnost vést evidenci zákazníků a zpracovávat tak blíže nespecifikovaný rozsah osobních údajů.
ÚOOÚ se zde odvolává mimo jiné i na judikát Nejvyššího správního soudu, č. j. 8 Ao 1/2021 – 133 ze dne 14. 4. 2021, který se zabýval jinou evidenční povinností, totiž povinností zaměstnavatelů evidovat testy provedené u zaměstnanců. V rozhodnutí NSS sice připouští, že evidenční povinnost lze uložit i mimořádným opatřením, vždy zde ale musí být základ v zákoně. Současně je třeba, aby byl jasně upravený účel a další omezení takového zpracování, jakož i vyhodnocena jeho přiměřenost.
Tyto závěry NSS lze jistě vztáhnout i k požadavkům na připravovanou legislativu upravující zpracování osobních údajů. Ačkoli v současné době je například v Legislativních pravidlech vlád zakotvena poměrně podrobná povinnost, co vše je třeba ve vztahu k ochraně osobních údajů v chystané legislativě vyhodnocovat, s opravdu kvalitně zpracovaným zhodnocením se lze setkat spíše výjimečně.
Testování, očkování a prokazování bezinfekčnosti
Testování
Testování na covid-19 bylo prováděno od samého počátku pandemie, a to jak antigenními, tak průkaznějšími a dražšími PCR testy. Do testování se zapojila celá řada subjektů od tradičních poskytovatelů zdravotních služeb až po společnosti, které využily vysokou poptávku po testování.
Nakládání s osobními údaji testovaných nebylo, pokud jde o registrace, sjednoceno a každé registrační místo mělo svoji registrační platformu s různou úrovní zabezpečení dat. Na počátku roku 2021 upozornil server iRozhlas na skutečnost, že řada poskytovatelů antigenních testů využívá rezervační formulář poskytovaný ze strany Ministerstva zdravotnictví v rámci zprovoznění Centrálního rezervačního systému. Tento registrační formulář zpracovaný společností Reservatic, která se následně podílela i na registračních a rezervačních formulářích k očkování, byl využíván na dobrovolné bázi jednotlivými testovacími místy (řada jich měla svůj odlišný způsob rezervace). Uživatelé často tento formulář vyplňovali na webových stránkách poskytovatele, takže nebylo zřejmé, že fakticky jde o funkcionalitu spravovanou zpracovatelem, společností Reservatic. Problém, na nějž poukázal iRozhlas, pak spočíval v tom, že formulář načítal marketingové kódy od společností Google, Seznam a Facebook, přičemž data o uživatelích pak rovněž končila u těchto společností, zčásti na serverech umístěných v USA, což v té době odporovalo judikatuře Soudního dvora Evropské unie. V reakci na tato zjištění byly tyto prvky postupně odstraněny. Ten samý problém se ale následně týkal i formulářů na očkování (viz dále).
Jednotícím prvkem pro všechna provedená testování bylo povinné hlášení do centrálního registru ISIN. Povinnost hlásit veškeré výsledky testů do ISIN byla zakotvena v mimořádném opatření. Mimořádné opatření Ministerstva zdravotnictví, č. j. MZDR 16215/2020–1/MIN/KAN z 15. 4. 2020, zavádí povinnost všech laboratoří hlásit veškeré výsledky testů do ISIN (a to zpětně počínaje 1. 3. 2020).
ISIN neboli Informační systém infekčních nemocí byl vyvíjen Ústavem zdravotnických informací a statistiky (ÚZIS) od února 2017. Do počátku pandemie byl ISIN zaměřen zejména na retrospektivní zadávání dat. V souvislosti s pandemií došlo k celé řadě úprav tohoto informačního systému. Postupně se ISIN stal páteřním informačním systémem pro systém Chytré karantény a pro datovou základnu o vývoji covidu-19. ISIN nově řešil potřeby informační podpory protiepidemických opatření, tj. zajištění povinného hlášení, evidenci a analýzu infekčního onemocnění, testování, vakcinací a certifikací.
Problémem je, jak upozornil v únoru 2023 Zdravotnický deník, že překotný vývoj ISINu, který reagoval na aktuální potřeby související s bojem proti pandemii, neměl ani dlouho po odeznění pandemie zákonný základ. Součástí ISIN jsou například také osobní údaje, jako jsou číslo pasu nebo občanského průkazu, e-mail nebo telefon, se kterými § 79 odst. 1 zákona o ochraně veřejného zdraví, o nějž se fungování ISIN opírá, nepočítá. Jedná se o údaje, které začali sbírat během pandemie pro testy a očkování. Zpracování těchto dat, které v registru zůstávají i po odeznění pandemie, ale žádný zákonný podklad nemá.
Tento stav bohužel trvá dodnes, a ačkoli některé moduly systému využívané v době pandemie už nejsou aktuální, je ISIN využíván k novým účelům, jako bylo například v roce 2023 převedení agendy modulu eOčkování z informačního systému eRecept spravovaného Státním ústavem pro kontrolu léčiv právě pod ISIN, který by se tak do budoucna měl stát nejen systémem evidujícím očkování proti covidu-19 jako dosud, ale i další očkování.
Problém nedostatečného právního základu pro tyto změny zde zůstává. Zdravotnický deník ve výše odkazovaném článku k tomuto cituje neveřejné stanovisko ÚOOÚ k této změně:
Z hlediska ochrany osobních údajů je nutno nejprve obecně konstatovat, že pro modul OČKO v ISIN zákonná úprava zcela absentuje, neboť § 79 odst. 2 zákona o ochraně veřejného zdraví (ten hovoří o registru aktuálního zdravotního stavu fyzických osob, které onemocněly infekčním onemocněním, a fyzických osob podezřelých z nákazy – pozn.red.) za takový zákonný podklad pro svou vágnost nelze považovat. Taková regulace však nesplňuje podstatné náležitosti regulace registru. (…) Na tuto skutečnost bylo ministerstvo zdravotnictví ze strany ÚOOÚ opakovaně upozorňováno. Dokud nebude postaven jasný právní základ ISINu, nelze z pohledu ochrany osobních údajů souhlasit s jeho rozšiřováním.
Očkování
Očkování proti covidu-19 bylo spuštěno 27. 12. 2020. Z důvodu počátečního nedostatku očkovacích látek probíhalo očkování postupně zejména s ohledem na věk a zdravotní stav očkovaných. Očkování proti covidu-19 se od počátku skládalo ze tří fází spojených se zpracováním osobních údajů.
První fází byla registrace zájemce o očkování, následovala rezervace termínu a místa očkování a poslední fází bylo samotné provedení očkování a jeho dokumentace. Jakousi přidruženou čtvrtou fází pak je prokazování očkování prostřednictvím elektronických či papírových očkovacích certifikátů a jejich kontrola. Správcem systému bylo a je Ministerstvo zdravotnictví, zpracovateli pak Národní agentura pro komunikační a informační technologie (NAKIT) a také ÚZIS. Subdodavatelem rezervačního formuláře byla původně již výše zmíněná společnost Reservatic.
Jak opět upozornil server iRozhlas, obdobný problém, jaký se objevil u dobrovolně užívaných formulářů na antigenní testování, se v případě očkování projevil v závažnějším rozsahu i v rezervační komponentě systému. Konkrétně i zde bylo možno najít marketingové prvky technologických gigantů. To vedlo mimo jiné k tomu, že v první vlně rezervací byly odesílány osobní údaje včetně rodných čísel cca 80 tisíc osob na servery společnosti Google v USA (odesílány byly URL obsahující mimo jiné číslo pojištěnce, tedy rodné číslo). Ačkoli následně byly tyto údaje ze serverů společnosti Google smazány, šlo samozřejmě o zcela zásadní pochybení správce, respektive jím zvoleného zpracovatele. Toto potvrdil při následné kontrole i Úřad pro ochranu osobních údajů.
Jak vyplynulo z analýzy zpracované v rámci jednání se zástupci NAKIT a Ministerstva zdravotnictví, obdobný problém se týkal i registračního modulu, který rovněž využíval zejména různé analytické prvky společností Google či Microsoft.
Pozitivní posun v tomto směru přinesla následná jednání iniciovaná naším spolkem Iuridicum Remedium, do nichž se zapojili zástupci Ministerstva zdravotnictví, NAKITu, Spolku pro ochranu osobních údajů, ale například i společnosti Reservatic. Podařilo se prosadit několik zásadních změn, jako bylo například odstranění marketingových prvků nebo nahrazení analytických nástrojů společnosti Google nástrojem Matomo, který umožňuje provozovateli mnohem lepší kontrolu nad zpracovávanými daty.
Tyto změny následně byly promítnuty i do dalších webů, jako jsou Portál občana nebo weby v doméně gov. Minimálně u částí webů tak tato kauza vedla ke zlepšení jejich nastavení a odstranění praxe automatického využívání problematických marketingových a analytických nástrojů poskytovaných velkými společnostmi typu Google, Microsoft či Facebook, u nichž nebyla dostatečná kontrola nad následným zpracováním osobních údajů.
Důležitým krokem k rozšíření počtu naočkovaných se stalo také zavedení očkování bez předchozí registrace a rezervace v červenci 2021, které umožnilo očkování i lidem, kteří tuto možnost preferovali před složitějším plánováním, případně lidem, kteří nepracovali s digitálními technologiemi.
Prokazování bezinfekčnosti
Vedle registrací a rezervací je pak dalším důležitým komponentem hlášení o očkování prováděné do ISIN modulu OČKO, který sloužil k evidenci očkování a rovněž k vystavení certifikátu o provedeném očkování. Tento covid certifikát, ať už v digitální, nebo vytištěné papírové podobě, byl potvrzení, kterým se prokazovalo, že daná osoba byla očkována, prodělala nemoc covid-19 nebo má negativní výsledek testu. Smyslem pak bylo zjednodušení práva volného pohybu během pandemie v rámci zemí EU a při národních protiepidemických opatřeních.
Digitální covid certifikát byl založen na standardu EU a jeho základem byl QR kód, který obsahuje elektronicky čitelné informace. Z osobních údajů šlo o jméno, příjmení, datum narození a dále pak údaje o výsledcích negativních testů, datech očkování nebo prvního pozitivního PCR testu. V ČR bylo možno získat certifikát na Očkovacím portálu spravovaném ÚZIS.
Právě k prokazování a kontrole očkovacích certifikátů měly sloužit aplikace Tečka a čTečka. Aplikace byly spuštěny v červnu 2021. Aplikace Tečka fungovala tak, že do ní bylo možné načíst certifikáty jedné nebo více osob (např. členů rodiny), a to postupným přihlášením těchto osob do Očkovacího portálu občana nebo naskenováním QR kódu z jejich certifikátů (papírových, či jinak zobrazených). U osoby přihlášené do portálu aplikace následně automaticky načítala aktualizace certifikátů (např. druhou dávku očkování, nové výsledky testů atd.)
Zpracováním osobních údajů u aplikace čTečka se zabýval Nejvyšší správní soud. Ten posuzoval zpracování osobních údajů v souvislosti s kontrolou certifikátů hned dvakrát. V rozsudku ze dne 28. 1. 2022, č. j. 8 Ao 29/2021–98, došel k závěru, že pouhou vizuální kontrolu certifikátu bez použití aplikace čTečka nelze považovat za zpracování osobních údajů dle GDPR. Na tento rozsudek pak navázalo rozhodnutí NSS č. j. 8 Ao 7/2022–132 ze dne 30. 11. 2023, ve kterém byla řešena otázka, jestli kontroly pomocí aplikace je možno považovat za automatizované zpracování osobních údajů podle čl. 4 odst. 2 GDPR.
Nejvyšší správní soud se zde obrátil s předběžnou otázkou na Soudní dvůr Evropské unie. Soudní dvůr dospěl k závěru formulovanému v bodech 29 a 30 rozhodnutí ve věci C 659/22, který potvrzuje, že během kontroly QR kódu v aplikaci dochází k automatizovanému zpracování osobních údajů:
V projednávané věci přitom národní mobilní aplikace, v daném případě aplikace „čTečka“, naskenuje QR kód z digitálního certifikátu EU COVID za účelem převedení osobních údajů obsažených v tomto kódu do podoby čitelné pro osobu kontrolující platnost tohoto certifikátu. Taková aplikace tím kontrolující osobě umožní nahlédnout na základě automatizovaného postupu, a sice skenování, do osobních údajů a použít je k posouzení, zda je situace dané osoby v souladu s validačními pravidly, jinými slovy s použitelnými zdravotními požadavky. Výsledek tohoto vyhodnocení je rovněž zautomatizovaný, neboť jsou-li zdravotní požadavky splněny, zobrazí se na mobilním telefonu kontrolující osoby zelený symbol zaškrtnutí, zatímco nejsou-li tyto požadavky splněny, zobrazí se červený křížek. Je tedy třeba mít za to, že ověřování platnosti interoperabilních certifikátů o očkování, testu a zotavení v souvislosti s onemocněním covid-19 vydávaných podle nařízení 2021/953, k němuž dochází prostřednictvím aplikace „čTečka“, představuje „zpracování“ ve smyslu čl. 4 bodu 2 nařízení GDPR a v souladu s čl. 2 odst. 1 tohoto nařízení spadá do jeho věcné působnosti.
Nejvyšší správní soud pak zdůraznil v rozsudku rozdíly mezi svým rozhodnutím v první výše citované věci, která se týkala vizuální kontroly certifikátu, která není zpracováním osobních údajů, a projednávaným případem, které takovým zpracováním je. V návaznosti na to pak soud v rozsudku rovněž označil napadené mimořádné opatření Ministerstva zdravotnictví za nepřezkoumatelné z důvodu absence posouzení otázky zásahu do práva na ochranu soukromí a informačního sebeurčení v rozporu s pandemickým zákonem (bod 78 rozsudku).
Výše uvedená judikatura poukázala i do budoucna na rozdíl v přístupu k vizuální kontrole dokladů či certifikátů a k automatizované kontrole prostřednictvím technických zařízení. Toto má dopad například na otázku využívání elektronických dokladů a jejich kontrol. Závěry ale můžeme vztáhnout například na rozlišování vizuální a elektronické kontroly personalizovaných jízdních dokladů, slevových karet, platebních údajů v QR kódech atd.
Pokud jde o aplikaci Tečka, podle oznámení Ministerstva zdravotnictví z ledna 2023 bude tato přejmenována na EZ kartu a v budoucnu by měla sloužit jako jakýsi elektronický očkovací průkaz, ale i obecněji jako jakási komunikační brána pro občana ke komunikaci s elektronickým zdravotnictvím, která bude úzce navázána na ISIN a Národní zdravotnický informační systém (NZIS). Výhled této aplikace představil například v září 2023 náměstek ministra zdravotnictví Milan Blaha.
Problematické zpracování dat během distanční výuky
Příklady neoprávněného předávání osobních údajů zejména v souvislosti s využíváním marketingových prvků velkých internetových platforem na webových rozhraních registrací k očkování či testování jsme zmiňovali již výše.
Minimálně za zmínku stojí ale i široké využívání nástrojů, jako jsou Google Classroom nebo MS Teams při výuce ve školách během distanční výuky, které ve velkém rozsahu zpracovávaly osobní údaje dětí, učitelů i rodičů. Využití platforem přitom bylo vzhledem k transferu dat mimo Evropskou unii, podobně jako webové formuláře s objednáváním testování a očkování, v rozporu s judikaturou Soudního dvora EU ve věci Schrems II (C-311/18) z 16. 7. 2020 rušící tzv. Privacy Shield.
Navíc zpracování osobních údajů se na těchto platformách obvykle odvíjí od souhlasu. Vzhledem k tomu, že účast na distanční výuce se stala povinnou zákonem č. 349/2020Sb., který od srpna 2020 v tomto směru novelizoval školský zákon, a možnosti offline zapojení obvykle neodpovídaly rozsahu výuky online, lze takový souhlas jen stěží považovat za platný ve smyslu GDPR.
Ačkoli na to bylo Ministerstvo školství už v počátku upozorněno, v podstatě řešení ponechalo na školách, pro něž byla výše zmíněná řešení nejjednodušší cesta k online výuce. Jak přitom ukázala dodatečně například technická analýza nakládání s daty při využívání nástrojů Microsoft Office 365 ve školách během pandemie zpracovaná bádensko-wúrtemberským Úřadem pro ochranu osobních údajů, Microsoft zpracovával a odesílal do zámoří obrovské množství dat vzniklých podrobným zaznamenáváním veškerého chování uživatelů včetně obsahů e-mailů, dokumentů nebo prezentací.
Alarmující bylo i to, že ani po tlaku německého regulátora společnost nebyla schopna transparentně zdůvodnit, jaké informace o žácích nebo učitelích sbírá a skladuje a jak je následně užívá. Zjištěné informace o porušování povinností při zpracování osobních údajů v zahraničí (Německo, Nizozemí, Francie) vedly v oblasti školství či veřejné správy k dílčím zákazům využívání produktů společnosti Microsoft, případně společnosti Google, u jejíchž produktů byly zjištěny podobné nedostatky.
České ministerstvo školství nicméně tyto problémy nijak nereflektovalo a nekritický přístup k využívání různých problematických online nástrojů a nedostatečné ošetření zpracování osobních údajů trvá na mnoha školách jako plod pandemie dodnes.
Zapojení soukromých subjektů
Během pandemie jsme se setkali ale i s dalšími příklady problematického sdílení osobních údajů bez právního základu, které se staly i předmětem kritiky například ze strany Nejvyššího kontrolního úřadu nebo Úřadu pro ochranu osobních údajů. Zejména v počátcích pandemie bylo problémem nedostatečně upravené zapojení různých soukromých externích subjektů do projektu chytré karantény.
Řada soukromých společností se zapojila do pomoci přehlceným hygienikům, což ovšem vedlo v některých případech současně k nezákonnému sdílení citlivých dat, s nimiž tito lidé pracovali zejména v hovorech s pacienty prostřednictvím call center nebo s využitím platformy Daktela, která umožňovala například nahrávání hovorů nebo sběr statistických dat a měla zejména zefektivnit trasování a umožnit dimenzování kapacit operátorů call centra, hygieniků a epidemiologů v závislosti na vývoji pandemie.
Právní základ takové spolupráce se dostal do zákona o ochraně veřejného zdraví až zákonem č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19 a o změně některých souvisejících zákonů, který do zákona vložil § 62a odst. 3–5, který umožňuje uzavírat hygienikům veřejnoprávní smlouvy upravující přenesení působnosti při provádění epidemiologických šetření.
K tomuto problému se vyjádřil ve své kontrolní zprávě č. 21/35 například Nejvyšší kontrolní úřad:
V jednotlivých aplikacích/nástrojích systému služeb Chytrá karanténa jako celku existovala rizika související zejména s managementem údajů (citlivé osobní a zdravotní informace) a dále rizika bezpečnostní (ve smyslu kybernetické bezpečnosti). Minimálně od července 2020 do října 2020 nebyla v plném rozsahu implementována všechna technickobezpečnostní opatření odpovídající rozsahu a významu jednotlivých nástrojů a systému služeb Chytrá karanténa jako celku a jím poskytovaných komplexních služeb. Až do února 2021, kdy nabyla účinnosti novela zákona č. 258/2000 Sb. provedená zákonem č. 94/2021 Sb.33), nebyla právně upravena možnost přístupu pracovníků externích subjektů (např. call centra, pracovníci komunikačního nástroje Daktela) k citlivým osobním a zdravotním údajům zpracovávaným v rámci epidemiologicko-hygienických agend.
(Ne)pokuty pro česká ministerstva
Zpracováním dat v době pandemie se zabýval v kontrolní činnosti také Úřad pro ochranu osobních údajů. Hned dvě z těchto kontrol se pak týkaly zpracování osobních údajů většího množství občanů, pro které česká ministerstva neměla právní titul.
Jako první stojí za zmínku rozesílání ochranných prostředků (roušek a respirátorů) českým seniorům v září 2020. Akce, na níž se podílely Ministerstvo vnitra a Ministerstvo práce a sociálních věcí spolu s Českou správou sociálního zabezpečení, se dostala pod drobnohled Úřadu na základě pochybností o právním titulu k takovému využití osobních údajů v evidenci obyvatel.
Po více než ročním šetření ÚOOÚ uzavřel, že skutečně došlo k porušení GDPR, protože k využití osobních údajů pro účely rozesílání roušek chyběl právní titul. Současně se zde ukázala problematická úprava zákona o zpracování osobních údajů, která za porušení GDPR ze strany orgánů veřejné moci neukládá žádné sankce.
Dalším příkladem je pak praxe v době pandemie, kdy hygienické stanice poskytovaly bez právního důvodu Policii ČR seznamy osob, kterým byla v době pandemie nařízena izolace. ÚOOÚ v rámci kontroly došel k závěru, že došlo k předání dat cca 2 milionů osob minimálně mezi 1. 4. 2021 a 8. 3. 2022. ÚOOÚ v průběhu kontroly zjistil, že Policie shromažďovala osobní údaje o zdravotním stavu osob plošně a preventivně bez vazby na konkrétní prošetřovaný případ. Tím překročila hranice, které jí ke zpracování obdobného typu údajů dává zákon. Úřad dále poukázal i na další porušení GDPR, zejména pak na nesplnění informační povinnosti ve vztahu k subjektům údajů, jejichž údaje byly zpracovávány. Dalším pochybením pak bylo vynechání povinných kroků, které měly takovému rozsáhlému sběru osobních údajů předcházet. Policie ČR měla totiž nejprve provést takzvané posouzení vlivu na ochranu osobních údajů. Zamýšlený způsob plošného shromažďování a zpracování údajů o zdravotním stavu pak měla předem projednat s Úřadem pro ochranu osobních údajů.
Za přestupek byla Ministerstvu vnitra udělena pokuta 975 000 Kč, kterou po podání rozkladu potvrdil svým rozhodnutím i předseda úřadu. Na rozdíl od předchozího případu totiž oproti původním tvrzením Policie ČR nakonec jako účel zpracování uvedla předcházení, vyhledávání a odhalování trestné činnosti, které upravuje hlava III. zákona o zpracování osobních údajů. Takovéto zpracování osobních údajů tedy spadá do režimu tzv. trestněprávní směrnice, která byla u nás transponována do zákona o zpracování osobních údajů. Možnost ukládání sankcí tak zde, na rozdíl od případů, kdy orgány veřejné moci poruší povinnosti upravené v GDPR, je.
Závěr
Příběh soukromí v době koronaviru je čtení o do značné míry chaotické době, kdy se pravidla zpracování osobních údajů stávala v mnoha případech obětí potřeby rychle řešit konkrétní problém nebo vyvinout nějaký „skvělý nástroj“, který nám pomůže situaci zvládnout. Většina výše uvedených zpracování osobních údajů se stala s odeznívající pandemií neaktuální, to se týká například konstruování vzpomínkových map. Některé další, jako eRouška, mohou posloužit při budoucích epidemiích či pandemiích. Jiné, jako třeba aplikaci Tečka, je snaha transformovat na něco nového.
V průběhu pandemie se postupně faktickému stavu přizpůsobovala i legislativa, která byla průběžně korigována rozhodnutími soudů zejména ohledně nutnosti jasně zdůvodňovat přijímaná opatření a šetřit při nich lidská práva, včetně práva na soukromí, ale i při výkladu konkrétních pravidel zpracování osobních údajů. V této souvislosti můžeme zmínit třeba do budoucna použitelnou judikaturu Nejvyššího správního soudu opřenou navíc o stanovisko SDEU k elektronické kontrole pomocí aplikace čTečka, kterou považuji za použitelnou i u elektronických kontrol dokladů, které se nepochybně rozšíří se zavedením aplikace eDoklady.
Někde naopak stále přetrvává stav, kdy je právní úprava nedostatečná, zpracovávají se data, pro jejichž zpracování zde nemáme právní základ, a nezdá se, že by odpovědní lidé měli snahu s tím cokoli opravdu dělat. To je třeba případ fungování ISIN nebo využívání různých digitálních nástrojů ve školství.
Některé chyby z doby pandemie měly nakonec naopak dopad i na lepší nastavení zpracování osobních údajů ve veřejné správě. Konkrétně můžeme zmínit třeba odstranění marketingových prvků velkých platforem a nasazení vhodnější analytiky na některých důležitých aplikacích státu v reakci na kritiku nezákonného předávání dat do USA v souvislosti s registracemi a rezervacemi na testování a očkování. Díky otevřenosti některých lidí ve státní správě se začalo dařit prosazovat názor, že úroveň zpracování osobních údajů musí být u klíčových digitalizačních projektů na jiné úrovni, než je to u programování nějakého e-shopu. Bohužel to zatím není přístup, který bychom mohli nazvat systémovým ve vztahu k celé veřejné správě.
Pandemie ukázala, že důležitou pro fungování opatření v boji s pandemií je důvěra občanů ve stát. Její součástí je i minimalizace obav o způsob zpracování osobních údajů. Občané musí věřit, že stát do jejich práv zasahuje nejméně, jak to jen jde, a způsobem, který dává smysl. Každá chyba v nastavení zabezpečení dat, každý údaj navíc, který stát neúčelně žádá, každá netransparentnost nebo předávání dat někomu bez jasného důvodu a právního základu se pak stávají faktorem, který snižuje ochotu dobrovolně akceptovat konkrétní opatření a může stát v konečném důsledku životy lidí. Je pak celkem jedno, jestli je pochybení lidsky pochopitelné, jestli ho udělal někdo v časové tísni, nebo z nějakého jiného důvodu.
Text vznikl v rámci projektu Digitální watchdog II. organizace Iuridicum Remedium. Projekt podpořila Nadace OSF v rámci programu Active Citizens Fund, jehož cílem je podpora občanské společnosti a posílení kapacit občanských organizací. Program je financován z Fondů EHP a Norska.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU