V souvislosti s vydáním rozsudku Nejvyššího správního soudu ze dne 30. listopadu 2023 pod sp. zn. 8 Ao 7/2023 na přání a se souhlasem Klienta zveřejňujeme anonymizovaná podání naší advokátní kanceláře zpracovaná v rámci sporu o zákonnost zásahu do soukromí, ke kterému docházelo na základě aplikace povinného použití aplikace „čTečka“. V rámci tohoto článku shrnujeme zásadní argumentaci v otázce práva na ochranu soukromí, která byla v těchto podáních obsažena.

Nejvyšší správní soud rozhodl, že kontrolou aplikací „čTečka“ došlo ke zjevnému zásahu do práva na ochranu soukromí. Svoje závěry opřel o čl. 10 odst. 3 Listiny základních práv a svobod a obecné nařízení o ochraně osobních údajů (GDPR).

Povinnost používat aplikaci „čTečka“ pro kontrolu splnění podmínek tzv. bezinfekčnosti byla stanovena na základě patření obecné povahy ze dne 29. 12. 2021, č. j. MZDR 14601/2021-34/MIN/KAN (dále též „Mimořádné opatření“), které bylo vydáno Ministerstvem zdravotnictví.

Mobilní aplikace „čTečka“ fungovala následovně. Kontrolovávána osoba předložila v elektronické nebo papírové formě provozovateli regulované služby svůj tzv. covid pas, který provozovatel načetl pomocí aplikace „čTečka“.  Po načtení příslušného QR kódu, který předložil zákazník (divák, zákazník restaurace), na displeji mobilního zařízení kontrolujícím osobám (provozovatelům, organizátorům) aplikace zpřístupnila nejen jméno kontrolované osoby, ale taktéž i datum narození a údaj o prodělaném očkování proti onemocnění COVID-19, testu či prodělané nemoci COVID-19, a konečně vyhodnotila, zda daná osoba splňuje nebo nesplňuje podmínky stanovené Mimořádným opatřením.

V rámci tohoto článku zpřístupňujeme následující podání v anonymizované verzi:

1. Návrh na zrušení opatření obecné povahy ze 20. 1. 2022 adresovaný NSS
2. Replika navrhovatele k vyjádření Ministerstva zdravotnictví ze dne 7. 2. 2021
3. Vyjádření účastníka řízení k žádosti o rozhodnutí o předběžné otázce ze dne 10. 2. 2023 adresované Soudnímu dvou EU
4. Vyjádření navrhovatele k rozhodnutí o předběžné otázce ze dne 16. 10. 2023

Jsme toho názoru, že zveřejnění podání v plném rozsahu může být podstatné pro případné další a budoucí diskuze o otázkách ochrany základního práva na soukromí v kontextu zpracování osobních údajů, lhostejno jakého druhu. V rámci řízení jsme totiž v duchu významného požadavku na ochranu soukromí zastávali široký výklad pojmu zpracování, a tedy jsme zastávali široký výklad věcné působnosti nařízení GDPR.

Návrh na zrušení opatření obecné povahy ze 20. 1. 2022 a vyjádření Ministerstva zdravotnictví

Již v prvotním návrhu jsme namítali, že stanovením explicitní povinnosti používat aplikaci čTečka Ministerstvo zdravotnictví nepřímo vymezilo škálu osobních údajů, které mají provozovatelé výše popsaných zařízení před poskytnutím výše popsaných služeb od svých zákazníků zjišťovat. Kontrola prostřednictvím aplikace čTečka probíhala typicky načtením QR kódu v zákazníkově aplikaci Tečka, případně na jiném dokumentu odpovídajícím způsobem potvrzujícím splnění některé z podmínek stanovených Mimořádným opatřením.

Údaji, které se provozovateli zobrazily, a tedy údaji které má implicitně povinnost z Mimořádného opatření kontrolovat jsou pak: jméno a příjmení, datum narození a státní příslušnost kontrolované osoby a konečně pak údaj o podstoupení vakcinace včetně data podstoupení a typu použité vakcíny, případně informace o prodělání onemocnění včetně data prodělání tohoto onemocnění, nebo v neposlední řadě informace o podstoupení RT-PCR testu.

V rámci návrhu na zrušení opatření obecné povahy jsme namítali, že jméno, příjmení, datum narození a státní příslušnost kontrolované osoby jsou bez dalšího osobními údaji ve smyslu čl. 4 odst. 1 GDPR, a zároveň že jsou kontrolovány osobní údaje ve smyslu čl. 4 odst. 15 GDPR. V návrhu jsme mimo jiné uvedli, že:

• „nejenže nejsou stanovena jasná pravidla pro zpracování osobních údajů zvláštní kategorie, ale vysloveně absentuje jakékoliv zamyšlení nad předmětným zásahem do základního práva na ochranu soukromí“
• „V první řadě je zcela flagrantně porušen princip zákonnosti, korektnosti a transparentnosti zpracování osobních údajů. Mimořádné opatření bez bližší specifikace obtěžkalo provozovatele nakládáním s citlivými údaji, aniž by je jakýmkoliv způsobem blíže seznamovalo s rozsahem jejich práv a povinností, a učinilo jakékoliv opatření k ochraně takto zpracovávaných osobních údajů.“
• „Navrhovatel namítá taktéž rozpor se zásadou minimalizace údajů, z něhož plyne, že rámec zpracovávaných osobních údajů musí být přiměřený, relevantní a omezený na nezbytný rozsah ve vztahu k účelu pro který jsou zpracovány. Navrhovateli není zřejmé, z jakého důvodu má být provozovatelům služeb předkládán údaj o podstoupení vakcinace včetně jejího data a typu použité vakcíny, případně zcela flagrantní údaj o zdravotním stavu, kterým je prodělání onemocnění. V tomto kontextu je zarážející, že státní orgány úzkostlivě dbají na anonymitu sdělování informací o pozitivním výsledku testování na COVID-19, neboť se jedná o údaje způsobilé vyvolat vážné důsledky pro toho o kom vypovídají, ve stejný okamžik však ukládají Zákazníkům povinnost sdělovat skrze aplikaci čTečka údaj o případném prodělání onemocnění.“
• „Z mimořádného opatření žádným způsobem nevyvěrá určitý a výslovně vyjádřený, a zcela jistě ne legitimní účel nakládání s citlivými osobními údaji, kterými jsou údaje o zdravotním stavu Navrhovatele.“

Podstatné je, že Ministerstvo zdravotnictví ve svém následujícím vyjádření rozporovalo, že by docházelo k porušení GDPR, a to s odkazem na rozsudek NSS ze dne 28. ledna 2022, č. j. 8 Ao 29/2021-98 (tedy rozsudek vydaný týden po podání návrhu na zrušení opatření obecné povahy zpracovaného naší advokátní kanceláří). V tomto rozsudku Nejvyšší správní soud posuzoval povinnost kontrolovat splnění podmínek tzv. bezinfekčnosti, ale v době, kdy ještě nebylo povinné tuto kontrolu provádět aplikací čTečka. Nejvyšší správní soud se tedy zabýval situací, kdy docházelo k vizuální kontrole certifikátů (třeba v papírové podobě), bez využití jakékoliv aplikace.

NSS přitom vyšel ze článku 2 odst. 1 GDPR, který vymezuje věcnou působnost GDPR tak, že „Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.

Došel k závěru že v takovém případě nedochází ke zpracování osobních údajů ve smyslu GDPR – zjednodušeně řečeno, protože v případě „prosté“ vizuální kontroly nejde o automatizované zpracování, a v případě neautomatizovaného zpracování není splněna podmínka vedení evidence. Zde je nicméně potřeba konstatovat, že to ještě neznamená, že i v takové případě dochází k zásahu do soukromí.

Aniž bychom hodnotili správnost tohoto závěru, dne 7. 2. 2021 jsme v zastoupení Klienta na vyjádření Ministerstva zdravotnictví reagovali replikou, ve které jsme uvedli, to, že v případě povinného použití aplikace čTečka již dochází k minimálně částečně automatizovanému zpracování osobních údajů ve smyslu čl. 2 odst. 1 GDPR, a že se tedy GDPR jednoznačně uplatní.

Vyjádření účastníka řízení k žádosti o rozhodnutí o předběžné otázce ze dne 10. 2. 2023 adresované Soudnímu dvou EU

Vzhledem k výše popsané neshodě mezi námi zastupovaným navrhovatelem a Ministerstvem zdravotnictví v otázce toho, zda aplikace čTečka zpracovává osobní údaje či nikoliv se Nejvyšší správní soud rozhodl předložit Soudnímu dvoru Evropské unie (dále jen „SDEU“) tzv. předběžnou otázku, v rámci které žádal výklad pojmu „zpracování“ tak, aby SDEU zodpověděla, zda při kontrole certifikátu aplikací čTečka dochází ke zpracování osobních údajů ve smyslu GDPR.

Řízení o předběžné otázce je zakotveno v článku 267 Smlouvy o fungování Evropské unie (SFEU), přičemž Hlavním cílem řízení je zajištění jednotného výkladu a provádění unijního práva. Řízení o předběžné otázce se zahajuje na návrh soudu členského státu. Soudní dvůr nerozhoduje o meritu věci, ale pouze o výkladu dotčeného ustanovení unijního předpisu.[1] V tomto konkrétním případě Nejvyšší správní soud v předkládacím usnesení č.j. 8 Ao 7/2022 – 71 ze dne 12. října 2022 uvedl, že má za to „že tato předběžná otázka je navíc obecně významná pro vymezení rozsahu věcné působnosti nařízení GDPR a definice zpracování osobních údajů Soudním dvorem. Bez bližších judikaturních vodítek je totiž těžké posoudit, jaké technické operace s osobními údaji do rozsahu pojmu zpracování osobních údajů ještě spadají a jaké již nikoliv.“

Naše advokátní kancelář proto dne 10. 2. 2023 zaslala na SDEU vyjádření účastníka řízení k žádosti o rozhodnutí o předběžné otázce, ve které jsme široce odůvodnili konstantně zastávaný názor, totiž že v případě kontrol aplikací čTečka dochází ke zpracování osobních údajů. V tomto vyjádření jsme se zabývali otázkou toho v jaké fázi kontroly dochází ke zpracování osobních údajů ve smyslu GDPR. Kontrola má přitom následující operace:

–  Předložení QR-kódu implicitně obsahujícího osobní údaje kontrolovanou osobou, tedy fyzická operace provedená kontrolovanou osobou (dále též „Operace 1“)

– Načtení QR-kódu aplikací „čTečka“, tedy fyzická operace provedená kontrolující osobou za pomocí aplikace „čTečka“ (dále též „Operace 2“)

– Převedení informací obsažených v lidsky nečitelné podobě z QR-kódu do lidsky čitelné podoby (slov), tedy operace provedená automatizovaně čistě aplikací „čTečka“ (dále též „Operace 3“)

– Vyhodnocení (validace) těchto dat za účelem povolení nebo odepření přístupu ke službě, tedy operace provedená automatizovaně čistě aplikací „čTečka“ (dále též „Operace 4“)

V rámci vyjádření k SDEU jsme zastávali názor, že ke automatizovanému zpracování osobních údajů dochází již v rámci výše popsané Operace 2, a to s ohledem na skutečnost, že QR-kód obsažený v certifikátech je, kromě toho, že sám obsahuje osobní údaje, potřeba pokládat za osobní údaj sám o sobě. Samotný QR-kód je totiž způsobilý sám o sobě odlišit dvě osoby, byť za použití technického prostředku, a to z titulu své unikátní grafické podoby.

V rámci Operace 3, kdy dochází k překladu QR-kódu do lidsky čitelné podoby jde již o zpracování osobních údajů zcela nepochybně. V rámci článku 4 odst. 2 GDPR totiž zákonodárce používá širokou definici zpracování, když stanoví, že jde o „jakoukoliv operaci nebo soubor operací“, jako například (mimo jiné) zaznamenání, přizpůsobení, nahlédnutí a použití.

V případě Operce 4 jsou již osobní údaje bez dalšího použity k vyhodnocení toho, zda kontrolovaná osoba může, nebo nemůže využít regulovanou službu – zda konkrétní osoba splňuje, či nesplňuje stanovená validační pravidla v daném místě a čase. Tyto údaje jsou tedy z dikce GDPR použity, k učinění závěru o poskytnutí či neposkytnutí služby. Proto dle našeho názoru není pochyb, že Operace 4 sama o sobě činí z procesu kontroly zpracování osobních údajů ve smyslu čl. 4 odst. 1 GDPR.

Toto „použití“ osobních údajů k vyhodnocení přitom bagatelizoval i Nejvyšší správní soud ve svém předkládacím usnesení.

Předkládající soud v tomto duchu vyjádřil myšlenku, že přestože jsou osobní údaje použity, nejedná se vlastním slova smyslu o zpracování, neboť postup Operace 4 pouze nahrazuje posouzení, které mohla kontrolující osoba provést i bez použití aplikace, a proto se jeví nepřípadným považovat toto za zpracování.

Tato argumentace je nicméně asi tak případná, jako kdybychom připustili, že zachycení podoby osoby jejím vyfocením mobilním telefonem není zpracováním ve smyslu GDPR, protože vyfocení osoby je možné nahradit zachycením její podoby štětcem a temperou, k čemuž mobilní telefon není potřeba. Taková úvaha je zcela lichá.

V rámci vyjádření k SDEU byly dále zpracovány další důvody vedoucí k závěru, že v případě kontroly aplikace čTečka se o zpracování jedná. Zpracovali jsme přitom prejudikaturu SDEU, přičemž součástí vyjádření byla taktéž komparativní analýza dalších validačních aplikací používaných v EU, a analýza relevantních odborných stanovisek, které názor našeho klienta potvrzovaly – v detailech odkazujeme na výše přiložené plnění znění vyjádření.

Rozsudek SDEU

Soudní dvůr EU o předběžné otázce rozhodl 5. října 2023 rozsudkem sp. zn. C-659/22. Závěr SDEU byl jednoznačný, a to ten, že aplikace čTečka v rámci validace osobní údaje zpracovává (to je zřejmé zejména z výroku).

Z rozsudku lze nicméně vyčíst taktéž další, byť pouze implicitně vyjádřené závěry SDEU. V bodě 29. soudci soudního dvora uvedli následující: „V projednávané věci přitom národní mobilní aplikace, v daném případě aplikace „čTečka“, naskenuje QR kód z digitálního certifikátu EU COVID za účelem převedení osobních údajů obsažených v tomto kódu do podoby čitelné pro osobu kontrolující platnost tohoto certifikátu. Taková aplikace tím kontrolující osobě umožní nahlédnout na základě automatizovaného postupu, a sice skenování[2], do osobních údajů a použít je k posouzení, zda je situace dané osoby v souladu s validačními pravidly, jinými slovy s použitelnými zdravotními požadavky. Výsledek tohoto vyhodnocení je rovněž zautomatizovaný, neboť jsou-li zdravotní požadavky splněny, zobrazí se na mobilním telefonu kontrolující osoby zelený symbol zaškrtnutí, zatímco nejsou-li tyto požadavky splněny, zobrazí se červený křížek.“

Výše zvýrazněnou citaci je dle našeho názoru číst extenzivně (a nikoliv přehnaně), že už samotné skenování představuje automatizované zpracování ve smyslu čl. 4 odst. 2 GDPR. To je přitom zcela zásadní – neboť bez ohledu na to, zda a v jaké formě se osobní údaje zobrazí (zpřístupní) kontrolující osobě, v okamžiku jejich naskenování jsou velice pravděpodobně již zpracovány ve smyslu čl. 4 odst. 2 GDPR.  I bez jejich explicitního zobrazení tedy musí být splněny všechny podmínky zpracování stanovené GDPR – což zjevně nebyly.

Vyjádření navrhovatele k rozhodnutí o předběžné otázce ze dne 16. 10. 2023

Po vynesení rozsudku NSS byli účastníci řízení vyzváni k tomu, aby se případně vyjádřil k rozsudku SDEU a závěrům z něj plynoucích. Ministerstvo zdravotnictví tuto svojí možnost nevyužilo. V rámci vyjádření navrhovatele jsme rozebrali z jakých všech důvodů bylo mimořádné opatření a aplikace čTečka ve flagrantním rozporu s nařízením GDPR.

Toto vyjádření přitom považujeme za zásadní, neboť mimo jiné ukazuje, na co vše Ministerstvo zdravotnictví zcela rezignovalo – a lze z něj tedy seznat, jaká všechna ohrožení pro právo na ochranu soukromí z povinného používání aplikace čTečka vyplývala.

Vyjádření k NSS přikládáme v plném znění, nicméně pro účely tohoto článku shrnujeme zásadní nedostatky Mimořádného opatření:

• každý jednotlivý provozovatel regulovaných služeb byl postaven do role správce (a zpracovatele) osobních údajů, se všemi důsledky z toho plynoucími, přičemž tento provozovatel musel osobní údaje povinně zpracovávat pomocí nástroje (aplikace čTečka), který zjevně porušoval GDPR a který byl jako povinný ustanoven předpisem, který nemá náležitosti předpokládané GDPR, a to aniž by měl možnost s rozsahem nebo způsobem zpracování osobních údajů jakkoliv pracovat, či jej zúžit;
• Osobní údaje nebyly zpracovávány transparentně, jak požaduje čl. 5 odst. 1 písm. a) GDPR, přičemž k tomto závěru lze dojít už z prosté logiky toho, že Ministerstvo zdravotnictví učinilo sporným, zda se o zpracování vůbec jedná;
• V rámci Mimořádného opatření zcela absentuje určitý a výslovně vyjádřený účel zpracování;
• Nedostatky aplikace čTečka v rámci zpracování osobních údajů seznal i Úřad na ochranu osobních údajů v rámci své kontroly;
• Zpracování bylo nezákonné s ohledem na nesplnění podmínek čl. 6 odst. 1 GDPR;

Samostatně přitom poukazujeme opět na zásadu minimalizace zpracovávaných osobních údajů. Zpracovávané osobní údaje musejí být přiměřené tak, aby se nadbytečně nezvyšovalo riziko pro subjekty údajů ze zpracování vyplývající. Aplikace čTečka ale ukazovala i informace o zdravotním stavu a to zcela konkrétně (např. datum prodělání nemoci). Zastáváme přitom názor, že i kdyby snad byly splněny všechny ostatní podmínky stanovené GDPR (kde je otázkou, zda to vůbec s ohledem na zákaz zpracování údajů o zdravotním stavu je proveditelné),  obešel by se provozovatel zcela jistě bez toho, aby věděl, kdy byli jeho zákazníci nemocní, či kdy podstoupili zdravotnický zákrok (vakcinaci).

Naopak se jedná o zvlášť citlivé osobní údaje, kterým GDPR přikládá zvláštní význam jejich zvýšenou ochranou v rámci čl. 9 Nařízení. Recitál 51 GDPR je přitom označuje za údaje, které jsou citlivé z hlediska základních práv a svobod, a při jejichž zpracování by mohla vzniknout závažná rizika pro základní práva a svobody. Takový zákaz přitom není bezúčelný – pakliže nyní připouštíme, že tyto informace provozovatelům oprávněně „náležely“ ke zpracování, nic nebrání tomu, aby příště byly zpracovávány kupř. informace o onemocnění diabetem při návštěvě cukráren, za účelem ochrany zdravotnického systému před přehlcením diabetologických klinik.

V rámci řízení bylo současně potřeba vypořádat se také s prejudikaturou Nejvyššího správního soudu, který historicky kontroly certifikátů (prováděné bez aplikace čTečka) posoudil tak, že nepředstavují zpracování ve smyslu GDPR.

Závěr

V rámci řízení nebyla řešena pouze technicistní otázka zpracování osobních údajů, ale širší problematika ochrany soukromí – v tomto ohledu je pak porušení GDPR spíše symptomatické. V tomto řízení nicméně náš Klient zpochybnil samotnou podstatu kontrol, když naším prostřednictvím namítl, že prostě není s ohledem na základní právo na ochranu soukromí, stanovit povinnost zasahovat, nebo nechat si zasahovat do práva na ochranu soukromí, bez ohledu na to, zda současně dojde ke zpracování osobních údajů, nebo nikoliv.

Nejvyšší správní soud tomuto v praxi přisvědčil, neboť z rozsudku 8 Ao 7/2022-131 ze dne 30. listopadu 2023 je zřejmé, že Mimořádné opatření považoval za nezákonné ze dvou důvodů:

Dochází k porušení práva na ochranu soukromí, resp. práva na informační sebeurčení, které chrání článek 10 odst. 3 Listiny základních práv a svobod

Mimořádné opatření je s ohledem na absolutní nevymezení účelu zpracování rovněž v rozporu s GDPR.

Je tedy podstatné, že rozsudek není pouze technicistním vymezením nezákonného zpracování, které by mohlo být někdy zákonným, ale naopak zdůrazňuje, že kontroly aplikací čTečka zasahují do práva na soukromí – tedy do základního lidského práva chráněného Listinou základních práv a svobod.

Tým AK Sudolská

---

[1]https://www.nsoud.cz/Judikatura/ns_web.nsf/web/Zahranicnivztahy~Ceskepredbezneotazky~Rizeni_o_predbezne_otazce_podle_cl__267_SFEU~?openDocument&lng=CZ

[2] Zvýraznění provedeno autorem

Další články