Úřad pro ochranu osobních údajů zveřejnil své stanovisko k možnému národnímu využití digitálního zeleného certifikátu, který sám o sobě představuje zásadní zásah do ochrany soukromí.

Úřad tímto upozorňuje na možná rizika, která vyplývají ze zavedení tzv. očkovacích pasů a na která by se měly zaměřit příslušné české instituce při případné přípravě navazující národní legislativy, pokud by chtěly využít digitální zelený certifikát nebo obdobný způsob za účelem umožnění vstupu do zařízení pro určené skupiny osob. Společné stanovisko k tzv. očkovacím pasům vydali rovněž Evropský sbor pro ochranu osobních údajů a Evropský inspektor ochrany údajů. V něm upozorňují, že digitální zelený certifikát musí být plně v souladu s evropskou legislativou o ochraně osobních údajů.

Obě instituce současně zdůraznily, že používání digitálního zeleného certifikátu nesmí v žádném případě vést k přímé nebo nepřímé diskriminaci fyzických osob a musí být plně v souladu se zásadami nezbytnosti, účelnosti a přiměřenosti. Zmiňují přitom potřebu zmírnit rizika pro základní práva fyzických osob včetně jeho možných použití pro jiné účely než pro usnadnění volného pohybu mezi členskými zeměmi Evropské unie nebo pro lékařské účely. Vzhledem k povaze navrhovaných opatření se vyslovily pro vytvoření komplexního právního rámce, přičemž využívání tzv. očkovacích pasů nesmí vést k vytvoření jakéhokoliv druhu centrální databáze osobních údajů na úrovni EU. Vyjádření a stanovisko Sboru a evropského inspektora je k dispozici ZDE.

 

Dne 17. března 2021 vydala Evropská komise návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů k očkování, cestování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (digitální zelený certifikát – CovidPass), dále jen „DGCR“ – CELEX 52021PC0130. Vzhledem k tomu, že schválení tohoto návrhu bude představovat zásadní zásah do ochrany soukromí, vydává ÚOOÚ toto zásadní stanovisko.

Podstata digitálního zeleného certifikátu 

Klíčové prvky nařízení, které Komise navrhla:

  • Digitální zelený certifikát bude mít tři druhy – certifikát o očkování, certifikát o testu (test NAAT/RT-PCR nebo rychlý test na antigen) a certifikát pro osoby, které se uzdravily z onemocnění COVID-19.
  • Certifikáty se budou vydávat v digitální nebo tištěné podobě. Obě verze budou obsahovat QR kód s nezbytnými základními informacemi, jakož i digitální podpis zajišťující autenticitu certifikátu.
  • Komise vytvoří bránu a podpoří členské státy při vývoji softwaru, který mohou orgány používat k ověřování všech podpisů na certifikátech v celé EU. Bránou neprocházejí žádné osobní údaje držitelů certifikátu. Tyto údaje jsou uchovávány v národních databázích. Certifikáty budou k dispozici bezplatně a v úředním jazyce nebo jazycích vydávajícího členského státu a v angličtině. 

Zákaz diskriminace:

  • Všichni lidé – očkovaní i neočkovaní – by měli mít při cestování po EU nárok na digitální zelený certifikát. Aby nedocházelo k diskriminaci osob, které nejsou očkovány, navrhuje Komise vytvořit nejen interoperabilní certifikát o očkování, ale také certifikát o testu na COVID-19 a certifikát pro osoby, které se z onemocnění COVID-19 uzdravily.
  • Stejná práva pro cestující s digitálním zeleným certifikátem – pokud členské státy přistoupí k upuštění od určitých omezení v oblasti veřejného zdraví, jako je testování nebo karanténa, budou mít povinnost za stejných podmínek přijmout všechny certifikáty o očkování vydané v rámci systému digitálního zeleného certifikátu. Tato povinnost by se omezovala na očkovací látky, které získaly registraci pro celou EU, ale členské státy by se navíc mohly rozhodnout přijmout další očkovací látky.
  • Oznámení dalších opatření – bude-li členský stát nadále vyžadovat, aby držitelé digitálního zeleného certifikátu podstoupili karanténu nebo test, musí to oznámit Komisi a všem ostatním členským státům a své rozhodnutí odůvodnit.

Pouze základní informace a zabezpečené osobní údaje:

  • Certifikáty budou obsahovat omezený soubor informací, jako je jméno a příjmení, datum narození, datum vydání, příslušné informace o očkovací látce/testu/uzdravení a jedinečný identifikátor certifikátu. Tyto údaje lze zkontrolovat pouze za účelem potvrzení a ověření pravosti a platnosti certifikátu.

Jak bylo zmíněno, podle článku 1 a článku 3 odst. 1 DGCR CovidPass certifikuje, tj. dokládá, že jeho držitel byl na COVID-19: 1. očkován, 2. testován, nebo 3. se z něj uzdravil. Technickou podstatu DGCR nestanoví. Více informací přinášejí ostatní dokumenty EU (anglicky),[1] zejména Interoperability of health certificates – Trust framework a Guidelines on verifiable vaccination certificates – basic interoperability elements. Podstatou CovidPass je asymetrická šifra na základě modelu adresáře veřejných klíčů Mezinárodní organizace pro civilní letectví. Každý certifikát bude mít své vlastní ID: alfanumerický kód s kontrolním součtem – Unique Vaccination Certificate/Assertion Identifier (UVCI).

Biologickou podstatu (lékařský pohled) DGCR rovněž neřeší. Nebude tedy stanoveno, zda je vakcinovaný infekční, zda jeho zdravotní stav má účinky proti variantám / mutacím viru a jak je dlouho chráněn, tj. jak dlouho je imunní. Účel digitálního zeleného certifikátu deklaruje nadpis DGCR jako „usnadnění volného pohybu během pandemie COVID-19“, tj. nikoliv jím volný pohyb podmínit. Článek 3 odst. 4 DGCR, R 22 DGCR a důvodová zpráva připouštějí: „Členské státy se shodují na nutnosti používat tyto certifikáty pro lékařské účely, například z důvodu zajištění řádných návazných kroků mezi první a druhou dávkou, jakož i případných nezbytných přeočkování.“ Podle R 37 DGCR: „Právní základ zpracování údajů pro jiné účely má být stanoven vnitrostátními právními předpisy, které musí být v souladu s právními předpisy Unie v oblasti ochrany údajů.“ Jiný účel tak může být legální a nebýt v rozporu s unijním právem. Pokud bude návrh přijat, systém by podle Komise mohl začít fungovat od poloviny června.[2] To potvrdil i Didier Reynders, evropský komisař pro spravedlnost, podle jehož tvrzení je cílem Komise uvést certifikát do provozu nejpozději do začátku letní sezóny.[3]

Ochrana osobních údajů 

GDPR zůstává použitelné bez ohledu na pandemickou situaci či nouzový stav, a kromě zajištění ochrany základních práv a svobod zároveň umožňuje i účinnou reakci na pandemii. R 46 GDPR dokonce aplikaci v souvislosti s monitorováním epidemie výslovně zmiňuje. Evropský sbor pro ochranu osobních údajů (dále jen „EDPB“) současně zdůrazňuje, že i v této výjimečné době musí být v rámci všech mimořádných opatření, včetně omezení přijatých na vnitrostátní úrovni, dodržována ochrana osobních údajů podle článku 23 GDPR, což přispívá k respektování základních hodnot demokracie, právního státu a základních práv, na nichž je EU založena: na jedné straně musí každé opatření přijaté členskými státy respektovat obecné právní zásady, podstatu základních práv a svobod a nesmí být nevratné, a na straně druhé musí správci a zpracovatelé osobních údajů nadále dodržovat pravidla jejich ochrany.

Jakékoli omezení musí respektovat podstatu omezeného práva. Omezení, která jsou všeobecná, rozsáhlá nebo narušující do té míry, že v podstatě upírají určité základní právo, nejsou ospravedlnitelná. Pokud je narušena podstata práva, musí být omezení považováno za protiprávní, aniž je nutné dále posuzovat, zda slouží cíli obecného zájmu nebo splňuje kritéria nezbytnosti a přiměřenosti. V obecnosti je tak EDPB názoru, že osobní údaje, jejich zpracování a k tomu využívané technologie, by měly být používány spíše k posílení pozice jednotlivců než k jejich kontrole, stigmatizaci nebo utlačování. V každém případě je tak třeba respektovat základní zásady ochrany osobních údajů, a to i v případě zpracování osobních údajů v souvislosti s opatřeními v rámci boje s COVID-19.

Ve zprávě Evropskému parlamentu a Radě a dále podrobněji v důvodové zprávě je uvedeno, že zpracování nepředstavuje žádnou výjimku z působnosti GDPR, a je tedy plně aplikovatelné. Vzhledem k tomu, že zpracování bude zahrnovat (kromě jiného) údaje o zdravotním stavu, jedná se o zpracování zvláštní kategorie údajů podle článku 9 GDPR a vyžaduje tak vysokou úroveň zabezpečení a důraz na minimalizaci údajů. Z toho důvodu není cílem vytvoření jakékoliv evropské databáze a při ověřování nebudou nikterak osobní údaje předávány, nýbrž se bude prezentovat pouze společně uznávaný certifikát obsahující výhradně nezbytné údaje a bude toliko ověřována platnost a autenticita certifikátu.

Postoje jiných zemí

Řecko, Portugalsko a Polsko digitální zelený certifikát podporují. Francie digitální zelený certifikát odmítá a Rumunsko ho chce omezit na lékařské účely. Obdobný postoj jako Francie má Německo, které výhody pro vakcinované odmítá, neboť není prokázáno, zda vakcinovaný není infekčním, společnost by se rozdělila a vakcína by se stala fakticky povinnou. Obdobný postoj vyjadřuje dekret floridského guvernéra č. 81 z roku 2021 o zákazu pasů o vakcinaci proti COVID-19.

Výbor pro morálku a právo Zdravotní rady Nizozemí 14. ledna 2021 upozornil na morální a právní podmínky CovidPass. Zkoumán byl přístup do vzdělávacích institucí, zdravotnických zařízení, veřejných zařízení, pracovního prostředí či sociálních zařízení jako je pohostinství, zábavní podniky či veřejné akce. Závěrem bylo, že to nelze zobecňovat, neboť to, zda by CovidPass fakticky představoval více či naopak méně svobody, by vždy záleželo na okolnostech jako jsou v danou chvíli platná opatření či typ místa: „Požadavky na testování znamenají, že lidé budou muset podstoupit lékařský zákrok (test). Mohou také existovat obavy ohledně účinnosti opatření a rizika diskriminace a nespravedlivého vyloučení.“

Otázka dalšího možného využití digitálního zeleného certifikátu v ČR

Lze se ztotožnit se závěrem výboru pro morálku a právo Zdravotní rady Nizozemí ze 14. ledna 2021: Je-li pro přístup do konkrétního zařízení vyžadován negativní test a neexistuje-li rozumná alternativa, je k tomu nezbytný zákon. „Absence rozumné alternativy“ znamená, že lidem bez příznaků, kteří se nemohou nechat otestovat nebo si to nepřejí, je zcela znemožněn přístup. V takových případech představují požadavky na testování nepřímou povinnost, kterou je nutno stanovit zákonem. To samé platí pro digitální zelený certifikát.

I v případě úvahy o stanovení povinnosti zákonem, aby byla v souladu s mezinárodním a unijním právem, musí být vyvážena dostatečnými technickými, organizačními a bezpečnostními zárukami. Nadto nelze v širokém měřítku zavádět jakákoliv opatření či výhody, pokud nebude zároveň široce dostupná možnost získat požadované potvrzení či srovnatelnou alternativu, a to pro celou společnost. V opačném případě by se mohlo jednat o zásadní odepření ochrany práv a neúměrné omezování práv některých osob.

Pokud to nebude splněno, CovidPass pro jiné účely než pro usnadnění volného pohybu mezi členskými zeměmi EHP a CH nebo pro lékařské účely nebude možné použít, neboť by to bylo v rozporu se zárukami lidských práv, které stanoví Listina. Důsledkem je vyloučení použití digitálního zeleného certifikátu pro vstup do zařízení v ČR. Navíc by provozovatel takového zařízení nebyl oprávněn údaje na digitální zelený certifikát ověřit ve veřejnoprávním informačním systému.

Kopie digitálního zeleného certifikátu stejně jako občanských průkazů je nutno považovat za neúčelné a takové zpracování osobních údajů je v rozporu s GDPR. Jediný legitimní účel pořízení kopie takové veřejné listiny je důkazní. Zde by ovšem mělo být důvodné podezření, že držitel takového dokladu se dopustil trestného činu, jinak není legální ani legitimní přezkoumávat pravost takové veřejné listiny a pořizovat si její kopii.

Autor návrhu právního aktu založeného na DGCR, například pro revizi Protiepidemického systému ČR,[15] by si měl vždy nejprve odpovědět na předběžné otázky, zda je chystaný účel užití digitálního zeleného certifikátu nebo jiný způsob umožňující vstup do zařízení pro určené skupiny osob legální a legitimní, tedy zda je navrhovaný právní akt v souladu s českým právním řádem a zda je ospravedlnitelný. K tomu je nutno znát, zda by uvedené bylo schopno fakticky plnit svou funkci, zda používání by nebylo v rozporu s lidskými právy, zejména s článkem 3 odst. 1 Listiny, tedy zda neporušuje zákaz diskriminace, a článkem 10 odst. 1 Listiny, tedy zda není v rozporu s ochranou lidské důstojnosti, a to zejména, zda nepřiměřeně nezasahuje do tělesné integrity. Toto stanovisko se k těmto otázkám nevyjadřuje, neboť mu to nepřísluší.

S tím souvisí registr očkovaných (Vakcinační modul OČKO), který je součást informačního systému infekčních nemocí (ISIN). Tyto tzv. hygienické registry (infomační systém hygienické služby, IISHS) mají právní základ v § 79 odst. 2 zákona o ochraně veřejného zdraví, který zní: „Údaje uvedené v odstavci 1 jsou orgány ochrany veřejného zdraví zpracovávány v registru aktuálního zdravotního stavu fyzických osob, které onemocněly infekčním onemocněním, a fyzických osob podezřelých z nákazy“. Taková regulace však nesplňuje podstatné náležitosti regulace registru, tj. stanovení účelu[16] a doby uchování. Přestože nikde v zákoně není specifikována doba uchování těchto osobních údajů, lze předpokládat střednědobou.

Navíc ani rozsah zpracování osobních údajů není dán zákonem, protože vymezení v § 79 odst. 1 písm. b) zákona o ochraně veřejného zdraví je příliš široké a neodpovídá předpokládanému účelu. K tomu § 79 odst. 2 věta druhá zákona o ochraně veřejného zdraví stanoví paušální zmocnění: „Rozsah zpracovávaných údajů může být rozšířen pouze výjimečně v zájmu splnění povinnosti orgánu ochrany veřejného zdraví, stanovené právním předpisem a za podmínek stanovených zvláštním zákonem“, což je nepřijatelný přenos pravomoci k zásahu do soukromí zákonodárcem na exekutivu.

Rovněž je nutno uvést, že vakcinační modul OČKO nemá zákonný podklad, stejně tak potenciálně zvažovaný registr těch, kteří onemocnění prodělali, a registr těch, kteří mají negativní test. Dobu uchování osobních údajů v registru uzdravených lze předpokládat v řádu měsíců, v registru testovaných v řádu dnů. Vzhledem k tomu, že předpokládaný počet evidovaných se bude pohybovat v řádu milionů lidí, jedná se o vysoce riskantní zpracování osobních údajů podle článku 35 odst. 1 GDPR a je nutno splnit všechny ostatní podmínky GDPR, tedy posouzení vlivu na ochranu osobních údajů (DPIA) v celém kontextu práv a svobod jedince podle článku 35 GDPR, posudek pověřence pro ochranu osobních údajů podle článku 35 odst. 2 GDPR a předchozí konzultaci s ÚOOÚ podle článku 36 GDPR.

Zdroj: Nepřehlédněte! Úřad pro ochranu osobních údajů k očkovacím pasům a GDPR   – oPojištění.cz