Naše advokátní kancelář se v uplynulých dnech zasloužila o vydání významného rozhodnutí na evropském poli, a to konkrétně u Soudního dvora Evropské unie (dále též „SDEU“), který rozhodoval o předběžné otázce podané Nejvyšším správním soudem (dále též „NSS“) v rámci vnitrostátního řízení, ve kterém zastupujeme Klienta ve sporu proti Ministerstvu zdravotnictví o legalitu mimořádných opatření z období covidové legislativy.
Nejvyšší soudní instance v Evropské unii ve svém recentním rozhodnutí zcela potvrdila konstantní názor zastávaný naší advokátní kanceláří, kterým jsme argumentovali i v rámci vnitrostátního řízení před NSS, a to ten, že v rámci kontrol činěných aplikací „čTečka“ docházelo ke zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů (GDPR).
V rámci vnitrostátního řízení se náš Klient domáhá prohlášení nezákonnosti opatření obecné povahy ze dne 29. 12. 2021, č. j. MZDR 14601/2021-34/MIN/KAN (dále též „Mimořádné opatření“), které vydalo Ministerstvo zdravotnictví, a kterým byla, zjednodušeně řečeno, stanovena povinnost prokazovat splnění podmínek tzv. bezinfekčnosti na základě tzv. covid pasů. K tomuto ověření musela být povinně použita aplikace „čTečka“.
Naše advokátní kancelář již v listopadu roku 2021 vyjádřila ve článku „Návštěva restaurace – právo či výsada“[1][2] jednoznačný názor, že taková kontrola představovala nepřípustný a bezprecedentní zásah do soukromí, a to mimo jiné z důvodu, že stanovením povinnosti kontroly aplikací „čTečka“ dochází k porušení GDPR.
Mobilní aplikace „čTečka“ fungovala následovně. Kontrolovávána osoba předložila v elektronické nebo papírové formě provozovateli regulované služby svůj tzv. covid pas, který provozovatel načetl pomocí aplikace „čTečka“. Po načtení příslušného QR kódu, který předložil zákazník (divák, zákazník restaurace), na displeji mobilního zařízení kontrolujícím osobám (provozovatelům, organizátorům) aplikace zpřístupnila nejen jméno kontrolované osoby, ale taktéž i datum narození a údaj o prodělaném očkování proti onemocnění COVID-19, testu či prodělané nemoci COVID-19, a konečně vyhodnotila, zda daná osoba splňuje nebo nesplňuje podmínky stanovené Mimořádným opatřením.
Nejvyšší správní soud s ohledem na svojí předchozí judikaturu zpochybnil, zda výše popsaný proces kontroly aplikací „čTečka“ spadá do věcné působnosti GDPR, přičemž připustil že tomu tak být může, s tím, že taková otázka ještě v judikatuře SDEU řešena nebyla. Podstatou nejistoty NSS byla zjednodušeně skutečnost, že aplikace „čTečka“ fakticky zobrazuje totožnou sadu údajů jako papírová nebo elektronická forma certifikátu.
NSS požádal SDEU o odpověď na otázku, zda při užívání čTečky a ověřování splnění podmínek bezinfekčnosti docházelo k tzv. automatizovanému zpracování osobních údajů ve smyslu čl. 4 odrážky 2) Nařízení GDRP a zda tedy mobilní aplikace Ministerstva zdravotnictví „čTečka“ spadá do věcné působnosti Nařízení GDPR.
SDEU o předběžné otázce položené NSS rozhodl zcela jednoznačně a to tak, že při užívání a ověřování splnění podmínek bezinfekčnosti pomocí aplikace „čTečka“ docházelo k automatizovanému zpracování osobních údajů,[3] a aplikace „čTečka“ tak musí splnit všechny podmínky stanovené GDPR. Toto rozhodnutí SDEU je zásadní nejen pro rozhodnutí ve věci námi vedeného vnitrostátního řízení před NSS, ale zároveň též pro jakékoliv další využívání (nejen mobilních) aplikací, kterými jsou zpracovávány jakékoliv osobní údaje. Z rozhodnutí totiž de facto vyplývá, že každé načítání QR-kódů obsahujících osobní údaje představuje zpracování osobních údajů se všemi důsledky vyplývajícími z GDPR.
Řízení o návrhu na prohlášení nezákonnosti Mimořádného opatření bude pokračovat, přičemž je nyní na NSS, aby posoudil celkovou zákonnost Mimořádného opatření, a to i s ohledem na skutečnost, že Mimořádné opatření provozovatelům regulovaných služeb fakticky stanovilo povinnost zpracovávat osobní údaje.
V praxi je přitom zřejmé, že provozovatelé si nemuseli být, a často nebyli vědomi toho, že je Ministerstvo zdravotnictví povinným užíváním aplikace „čTečka“ postavilo do role správců a zpracovatelů osobních údajů, a zároveň jim k tomu velice pravděpodobně dalo nástroj, který zpracovává osobní údaje v rozporu s GDPR.
Bez ohledu na výsledek vnitrostátního řízení znamená rozhodnutí SDEU významné posílení právní jistoty subjektů osobních údajů – tedy de facto všech.
Pro Mimořádné opatření je nicméně skutečnost, že „čTečka“ zpracovávala osobní údaje ve smyslu GDPR toliko symptomem toho, že celé Mimořádné opatření fakticky nutilo provozovatele zasahovat do soukromí svých zákazníků a zákazníkům stanovilo právní povinnost nechat si do soukromí zasahovat. Mimo jiné se tedy bude muset NSS zabývat i souladem aplikace „čTečka“ se základními lidskými právy všech občanů, a to konkrétně právem na ochranu soukromí, které je chráněno a garantováno Listinou základních práv a svobod v čl. 7 a čl. 10, jakož i právem na ochranu osobních údajů, které chrání jak Listina, tak GDPR.
Tým AK Sudolská
[1] https://www.aksudolska.cz/zajimavosti-z-prava/navsteva-restaurace-pravo-ci-vysada/.
[2] https://e-news.cz/analyzy/sudolska-navsteva-restaurace-pravo-ci-vysada/.
[3] ve smyslu čl. 4 odrážky 2) Nařízení GDPR a v souladu s čl. 2 odst. 1 Nařízení GDPR.
Advokátní kancelář AK Sudolská poskytuje právní služby klientům působícím v nejširším spektru oborů podnikání. Vždy na nejvyšší profesionální úrovni a to ve všech oblastech práva se zvláštním zaměřením na oblast práva obchodního.
Italská 1219/2, 120 00 Praha 2
Mobil: (+420) 777 122 208
Tel.: (+420) 273 130 806
E-mail: office@aksudolska.cz
Web: www.aksudolska.cz