Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil dne 9. 4. 2021 své stanovisko k možnému vnitrostátnímu využití digitálního zeleného certifikátu, v mediálním žargonu nazývaného někdy jako očkovací pas (CovidPass). Jeho legislativní úpravu v současnosti projednávají orgány EU a podle ÚOOÚ sám o sobě představuje zásadní zásah do ochrany soukromí.
Legislativní základ pro digitální zelený certifikát tvoří návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (digitální zelený certifikát) – [COM/2021/130 final]. Dne 17․ 3. 2021 jej schválila Evropská komise a předložila k projednání Radě (EU) a Evropskému parlamentu (EP). Podle jeho čl. 1 a čl. 3 odst. 1 digitální zelený certifikát dokládá, že jeho držitel byl na COVID-19 a) očkován, b) testován, nebo c) se z něj uzdravil. Původní návrh Komise nestanoví jeho technickou podstatu (diskuse o ní probíhala na úrovni Rady, k dohodě došlo dne 22. 4.), infekčnost ani účinky proti variantám (mutacím) viru či délku ochrany (imunity) očkovaného. Účelem digitálního zeleného certifikátu je „usnadnění volného pohybu během pandemie COVID-19“, tj. nikoliv jím volný pohyb podmínit. Čl. 3 odst. 4 nařízení také stanoví, že vydáním certifikátu není dotčena platnost jiných obdobných potvrzení pro lékařské účely. Bude-li návrh nařízení v nejbližších týdnech schválen Radou a EP, mohl by se digitální zelený certifikát začít používat přibližně od poloviny června.
Pokud jde o digitální zelený certifikát a právní rámec ochrany osobních údajů, ÚOOÚ zdůraznil, že GDPR zůstává použitelné. Odkázal přitom i na Evropský sbor pro ochranu osobních údajů (EDPB), který zdůraznil, že i v době všech mimořádných opatření, včetně omezení na vnitrostátní úrovni, musí být dodržována ochrana osobních údajů podle čl. 23 GDPR. Obecně je EDPB názoru, že osobní údaje, jejich zpracování a k tomu využívané technologie by měly být používány spíše k posílení pozice jednotlivců než k jejich kontrole, stigmatizaci nebo utlačování (Pokyny 04/2020 EDPB). Vždy je nutno respektovat základní zásady ochrany osobních údajů, a to i v případě zpracování osobních údajů v souvislosti s opatřeními v rámci boje s COVID-19.
V otázce možného využiti digitálního zeleného certifikátu na vnitrostátní úrovni odkázal ÚOOÚ na závěr Výboru pro morálku a právo Zdravotní rady Nizozemí ze 14. 1. 2021, s nímž se ztotožnil. Výbor uvedl, že je-li pro přístup do konkrétního zařízení vyžadován negativní test a neexistuje-li rozumná alternativa, je k tomu nezbytný zákon. „Absence rozumné alternativy“ znamená, že lidem bez příznaků, kteří se nemohou nechat otestovat nebo si to nepřejí, je zcela znemožněn přístup. V takových případech představují požadavky na testování nepřímou povinnost, kterou je nutno stanovit zákonem; platí to i pro digitální zelený certifikát. I v případě úvahy o stanovení povinnosti zákonem tak, aby byla v souladu s mezinárodním a unijním právem, musí být vyvážena dostatečnými technickými, organizačními a bezpečnostními zárukami. Nadto nelze v širokém měřítku zavádět jakákoliv opatření či výhody, pokud nebude zároveň široce dostupná možnost získat požadované potvrzení či srovnatelnou alternativu, a to pro celou společnost. V opačném případě by se mohlo jednat o zásadní odepření ochrany práv a neúměrné omezování práv některých osob.
V návaznosti na uvedené ÚOOÚ konstatoval, že pokud podmínky nebudou splněny, digitální zelený certifikát pro jiné účely než pro usnadnění volného pohybu mezi členskými zeměmi EHP a Švýcarskem nebo pro lékařské účely nebude možné použít, neboť by to bylo v rozporu se zárukami lidských práv, které stanoví Listina. Důsledkem je vyloučení použití digitálního zeleného certifikátu pro vstup do zařízení v ČR. Navíc by provozovatel takového zařízení nebyl oprávněn údaje na digitálním zeleném certifikátu ověřit ve veřejnoprávním informačním systému.
Kopie digitálního zeleného certifikátu stejně jako občanských průkazů je podle stanoviska ÚOOÚ nutno považovat za neúčelné, přičemž takové zpracování osobních údajů je v rozporu s GDPR. Jediný legitimní účel pořízení kopie uvedené veřejné listiny je důkazní. Zde by ovšem mělo být důvodné podezření, že její držitel se dopustil trestného činu, jinak není legální ani legitimní přezkoumávat pravost takové veřejné listiny a pořizovat si její kopii.
Zpracovatel adaptačního právního aktu, na základě nařízení o digitálním zeleném certifikátu, by si podle ÚOOÚ měl vždy nejprve odpovědět na otázky, zda je chystaný účel užití digitálního zeleného certifikátu nebo jiný způsob umožňující vstup do zařízení pro určené skupiny osob legální a legitimní, tedy zda je takový právní akt v souladu s českým právním řádem a ospravedlnitelný. K tomu je nutno znát, zda by nejen splnil svůj účel, ale zda není v rozporu s lidskými právy, zejména s čl. 3 odst. 1 Listiny, tedy zda neporušuje zákaz diskriminace, a čl. 10 odst. 1 Listiny, tedy zda není v rozporu s ochranou lidské důstojnosti, a zejména zda nepřiměřeně nezasahuje do tělesné integrity. K těmto otázkám se stanovisko ÚOOÚ ale nevyjadřuje, neboť mu to nepřísluší.
V návaznosti na český právní řád ÚOOÚ dále zmínil registr očkovaných (Vakcinační modul OČKO), který je součástí informačního systému infekčních nemocí (ISIN). Tyto tzv. hygienické registry (infomační systém hygienické služby) mají právní základ v § 79 odst. 2 zákona o ochraně veřejného zdraví, který zní: „Údaje uvedené v odstavci 1 jsou orgány ochrany veřejného zdraví zpracovávány v registru aktuálního zdravotního stavu fyzických osob, které onemocněly infekčním onemocněním, a fyzických osob podezřelých z nákazy.“ Taková regulace však podle ÚOOÚ nesplňuje podstatné náležitosti regulace registru, tj. stanovení účelu a doby uchování. Přestože nikde v zákoně není specifikována doba uchování těchto osobních údajů, lze podle ÚOOÚ předpokládat střednědobou.
ÚOOÚ zdůraznil, že ani rozsah zpracování osobních údajů není dán zákonem, protože vymezení v § 79 odst. 1 písm. b) VeřZdr je příliš široké a neodpovídá předpokládanému účelu. K tomu § 79 odst. 2 věta druhá VeřZdr stanoví paušální zmocnění: „Rozsah zpracovávaných údajů může být rozšířen pouze výjimečně v zájmu splnění povinnosti orgánu ochrany veřejného zdraví, stanovené právním předpisem a za podmínek stanovených zvláštním zákonem.“ Podle ÚOOÚ jde o nepřijatelný přenos pravomoci k zásahu do soukromí na exekutivu provedený zákonodárcem.
Rovněž vakcinační modul OČKO nemá podle ÚOOÚ zákonný podklad, stejně tak potenciálně zvažovaný registr osob, které onemocnění prodělaly, a registr osob, které mají negativní test. Vzhledem k tomu, že předpokládaný počet evidovaných se bude pohybovat v řádu milionů lidí, jedná se podle ÚOOÚ o vysoce riskantní zpracování osobních údajů podle čl. 35 odst. 1 GDPR. Je proto nutno splnit všechny ostatní podmínky GDPR, tedy posouzení vlivu na ochranu osobních údajů (DPIA) v celém kontextu práv a svobod jedince podle čl. 35 GDPR, posudek pověřence pro ochranu osobních údajů podle čl. 35 odst. 2 GDPR a předchozí konzultaci s ÚOOÚ podle čl. 36 GDPR.
