Dne 17. března 2021 vydala Evropská komise návrh nařízení Evropského parlamentu a Rady o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, testování a uzdravení za účelem usnadnění volného pohybu během pandemie COVID-19 (digitální zelený certifikát – CovidPass), dále jen „DGCR“.
Podle článku 1 a článku 3 odst. 1 DGCR CovidPass certifikuje, tj. dokládá, že jeho držitel byl na COVID-19 očkován, testován, nebo se z něj uzdravil. Podstatou CovidPass je asymetrická šifra na základě modelu adresáře veřejných klíčů Mezinárodní organizace pro civilní letectví. Každý certifikát bude mít své vlastní ID: alfanumerický kód s kontrolním součtem – Unique Vaccination Certificate/Assertion Identifier (UVCI). Biologickou ani technickou podstatu ale neřeší. Nebude tedy stanoveno, zda je vakcinovaný infekční, zda jeho zdravotní stav má účinky proti variantám či mutacím viru a jak je dlouho chráněn, tj. jak dlouho je imunní.
Covid pas nemá být podmínkou
Účel digitálního zeleného certifikátu deklaruje nadpis DGCR jako „usnadnění volného pohybu během pandemie COVID-19“, tj. nikoliv jím volný pohyb podmínit, upozorňuje stanovisko ÚOOÚ s tím, že článek 3 odst. 4 DGCR, R 22 DGCR a důvodová zpráva připouštějí, že „členské státy se shodují na nutnosti používat tyto certifikáty pro lékařské účely, například z důvodu zajištění řádných návazných kroků mezi první a druhou dávkou, jakož i případných nezbytných přeočkování.“
GDPR zůstává podle ÚOOÚ použitelné bez ohledu na pandemickou situaci či nouzový stav, a kromě zajištění ochrany základních práv a svobod zároveň umožňuje i účinnou reakci na pandemii. Evropský sbor pro ochranu osobních údajů (dále jen „EDPB“) současně zdůrazňuje, že i v této výjimečné době musí být v rámci všech mimořádných opatření, včetně omezení přijatých na vnitrostátní úrovni, dodržována ochrana osobních údajů podle článku 23 GDPR, což přispívá k respektování základních hodnot demokracie, právního státu a základních práv, na nichž je EU založena: na jedné straně musí každé opatření přijaté členskými státy respektovat obecné právní zásady, podstatu základních práv a svobod a nesmí být nevratné, a na straně druhé musí správci a zpracovatelé osobních údajů nadále dodržovat pravidla jejich ochrany. „Jakékoli omezení musí respektovat podstatu omezeného práva. Omezení, která jsou všeobecná, rozsáhlá nebo narušující do té míry, že v podstatě upírají určité základní právo, nejsou ospravedlnitelná. Pokud je narušena podstata práva, musí být omezení považováno za protiprávní, aniž je nutné dále posuzovat, zda slouží cíli obecného zájmu nebo splňuje kritéria nezbytnosti a přiměřenosti.“
Ve zprávě Evropskému parlamentu a Radě a dále podrobněji v důvodové zprávě je uvedeno, že zpracování nepředstavuje žádnou výjimku z působnosti GDPR, a je tedy plně aplikovatelné. Vzhledem k tomu, že zpracování bude zahrnovat (kromě jiného) údaje o zdravotním stavu, jedná se o zpracování zvláštní kategorie údajů podle článku 9 GDPR a vyžaduje tak vysokou úroveň zabezpečení a důraz na minimalizaci údajů. Z toho důvodu není cílem vytvoření jakékoliv evropské databáze a při ověřování nebudou nikterak osobní údaje předávány, nýbrž se bude prezentovat pouze společně uznávaný certifikát obsahující výhradně nezbytné údaje a bude toliko ověřována platnost a autenticita certifikátu.
Otázka dalšího možného využití digitálního zeleného certifikátu v ČR
Jak vyplývá ze stanoviska, lze se ztotožnit se závěrem výboru pro morálku a právo Zdravotní rady Nizozemí ze 14. ledna 2021, z něhož plyne, že je-li pro přístup do konkrétního zařízení vyžadován negativní test a neexistuje-li rozumná alternativa, je k tomu nezbytný zákon. „Absence rozumné alternativy“ znamená, že lidem bez příznaků, kteří se nemohou nechat otestovat nebo si to nepřejí, je zcela znemožněn přístup. V takových případech představují požadavky na testování nepřímou povinnost, kterou je nutno stanovit zákonem. To samé platí pro digitální zelený certifikát.
I v případě úvahy o stanovení povinnosti zákonem, aby byla v souladu s mezinárodním a unijním právem, musí být vyvážena dostatečnými technickými, organizačními a bezpečnostními zárukami. Nadto nelze v širokém měřítku zavádět jakákoliv opatření či výhody, pokud nebude zároveň široce dostupná možnost získat požadované potvrzení či srovnatelnou alternativu, a to pro celou společnost. V opačném případě by se mohlo jednat o zásadní odepření ochrany práv a neúměrné omezování práv některých osob. „Pokud to nebude splněno, CovidPass pro jiné účely než pro usnadnění volného pohybu mezi členskými zeměmi EHP a CH nebo pro lékařské účely nebude možné použít, neboť by to bylo v rozporu se zárukami lidských práv, které stanoví Listina. Důsledkem je vyloučení použití digitálního zeleného certifikátu pro vstup do zařízení v ČR. Navíc by provozovatel takového zařízení nebyl oprávněn údaje na digitální zelený certifikát ověřit ve veřejnoprávním informačním systému.“
Kopie digitálního zeleného certifikátu stejně jako občanských průkazů je nutno považovat za neúčelné a takové zpracování osobních údajů je v rozporu GDPR, pokračují dále ochránci osobních údajů. Jediný legitimní účel pořízení kopie takové veřejné listiny je důkazní, ale zde by mělo být důvodné podezření, že držitel takového dokladu se dopustil trestného činu, jinak není legální ani legitimní přezkoumávat pravost takové veřejné listiny a pořizovat si její kopii. „Autor návrhu právního aktu založeného na DGCR, například pro revisi Protiepidemického systému ČR, by si měl vždy nejprve odpovědět na předběžné otázky, zda je chystaný účel užití digitálního zeleného certifikátu nebo jiný způsob umiňující vstup do zařízení pro určené skupiny osob legální a legitimní, tedy zda je navrhovaný právní akt v souladu s českým právním řádem a zda je ospravedlnitelný. K tomu je nutno znát, zda by uvedené bylo schopno fakticky plnit svou funkci, zda používání by nebylo v rozporu s lidskými právy, zejména s článkem 3 odst. 1 Listiny, tedy zda neporušuje zákaz diskriminace, a článkem 10 odst. 1 Listiny, tedy zda není v rozporu s ochranou lidské důstojnosti, a to zejména, zda nepřiměřeně nezasahuje do tělesné integrity.“
S tím podle stanoviska souvisí registr očkovaných (Vakcinační modul OČKO), který je součástí informačního systému infekčních nemocí (ISIN). Tyto tzv. hygienické registry (infomační systém hygienické služby, IISHS) mají právní základ v § 79 odst. 2 zákona o ochraně veřejného zdraví, který zní: „Údaje uvedené v odstavci 1 jsou orgány ochrany veřejného zdraví zpracovávány v registru aktuálního zdravotního stavu fyzických osob, které onemocněly infekčním onemocněním, a fyzických osob podezřelých z nákazy“. Taková regulace však nesplňuje podstatné náležitosti regulace registru, tj. stanovení účelu a doby uchování. Přestože nikde v zákoně není specifikována doba uchování těchto osobních údajů, lze předpokládat střednědobou.
Navíc ani rozsah zpracování osobních údajů není dán zákonem, protože vymezení v § 79 odst. 1 písm. b) zákona o ochraně veřejného zdraví je příliš široké a neodpovídá předpokládanému účelu. Paušální zmocnění v zákoně o ochraně veřejného zdraví stanoví, že rozsah zpracovávaných údajů může být rozšířen pouze výjimečně v zájmu splnění povinnosti orgánu ochrany veřejného zdraví, stanovené právním předpisem a za podmínek stanovených zvláštním zákonem“, což je nepřijatelný přenos pravomoci k zásahu do soukromí zákonodárcem na exekutivu.
Rovněž je nutno uvést, uzavírá stanovisko, že vakcinační modul OČKO nemá zákonný podklad, stejně tak potenciálně zvažovaný registr těch, kteří onemocnění prodělali, a registr těch, kteří mají negativní test. Dobu uchování osobních údajů v registru uzdravených lze předpokládat v řádu měsíců, v registru testovaných v řádu dnů. Vzhledem k tomu, že předpokládaný počet evidovaných se bude pohybovat v řádu milionů lidí, jedná se o vysoce riskantní zpracování osobních údajů podle článku 35 odst. 1 GDPR a je nutno splnit všechny ostatní podmínky GDPR, tedy posouzení vlivu na ochranu osobních údajů (DPIA) v celém kontextu práv a svobod jedince podle článku 35 GDPR, posudek pověřence pro ochranu osobních údajů podle článku 35 odst. 2 GDPR a předchozí konsultaci s ÚOOÚ podle článku 36 GDPR.
Foto: Pixabay
Zdroj: Dušan Šrámek