Jestli něco čeští politici v nedávné době opravdu nezvládli, tak to byl covid. A snad úplně nejhůř se jim dařilo, když zabrousili na pomezí zdravotnictví a práva. Svého času rušil Nejvyšší správní soud vládní a ministerská opatření jako o závod a nyní to vypadá, že v „postavení mimo zákon“ mohla být i sama – ministerstvem zdravotnictví spuštěná – aplikace čTečka, sloužící k ověřování certifikátů o očkování, testech či prodělaném covidu. Konkrétně jde o to, že čTečka mohla porušovat právo lidí na soukromí a na ochranu osobních údajů, které garantuje evropská směrnice GDPR (Obecné nařízení o ochraně osobních údajů).
Na konečný verdikt o čTečce si ovšem budeme muset počkat. Českým covidovým nepořádkem se bude nyní zabývat Soudní dvůr Evropské unie. Covid se mezitím (alespoň v Evropě) stal víceméně běžným respiračním onemocněním a aplikaci čTečka už dost možná nikdo nikdy nepoužije. Budoucí soudní rozhodnutí o čTečce budou přesto důležitá, protože – a to v celoevropském kontextu – odpovědí na otázku, zda je možné podobné elektronické kontrolní systémy používat a jak je případně upravit, aby to možné bylo.
Tečka a čTečka
Aplikace Tečka a čTečka spustil stát loni v červenci. Do Tečky si každý člověk mohl nahrát certifikáty prokazující, že se nechal očkovat, testovat či že covid prodělal. čTečka pak umožňovala tyto certifikáty kontrolovat.
K soudu se čTečka dostala kvůli mimořádnému opatření ministerstva zdravotnictví z 29. prosince 2021 (čtrnáct dní předtím vystřídal vládu Andreje Babiše kabinet Petra Fialy), které nařizovalo, že vstup na různé akce a do řady vnitřních prostor – od divadel až po hospody – budou mít jen ti, kteří se prokážou řečeným „covidovým“ certifikátem. Provozovatelé těchto zařízení je měli povinnost kontrolovat pomocí aplikace čTečka, která jim po načtení předloženého QR kódu na obrazovce mobilu ukázala nejen jméno dotyčné osoby, ale také datum jejího narození a k tomu údaj o prodělaném očkování, testu či prodělané nemoci.
Spoustě lidí se to nelíbilo a jeden z nich se obrátil na Nejvyšší správní soud a podal návrh, aby zmíněné opatření zrušil. Soudní rozhodnutí bývají anonymizovaná, a tak identitu oné osoby neznáme, nicméně podle vyjádření advokátní kanceláře AK Sudolská, která ji zastupuje, šlo o člověka, na kterého se sice zákazy vstupu nevztahovaly, vadilo mu však, že „by měl citlivé údaje o svém zdravotním stavu na potkání sdílet s obsluhou restaurace, aquaparku, lanovky nebo holičství“. A to navíc v situaci, kdy „opatření na ochranu osobních údajů žádným způsobem nedbalo“.
V návrhu k Nejvyššímu správnímu soudu AK Sudolská mimo jiné namítá, že v pandemickém zákoně chybí zákonné zmocnění požadovat po občanech, aby se čímkoli prokazovali.
Vymezení mantinelů
Klíčem k vyřešení sporu je otázka, jestli kontrola certifikátů prováděná aplikací čTečka spadá do působnosti nařízení GDPR. A pro zodpovězení této otázky je nejdřív třeba zjistit, jestli při používání čTečky dochází „k automatizovanému zpracování osobních údajů“. čTečka informace o kontrolovaném člověku neuchovává ani je nikam neposílá, pouze je dočasně zobrazí na displeji mobilu, jenže přitom podle Nejvyššího správního soudu dojde k celé sérii činností: „Převedení osobních údajů z QR kódu do lidsky čitelné podoby a jejich promítnutí na mobilní telefon, nahlédnutí do nich kontrolující osobou a vyhodnocení platnosti certifikátu.“
Žádná z těchto činností nemusí být podle Nejvyššího správního soudu sama o sobě automatizovaným zpracováním osobních údajů, jenže když se všechny posuzují dohromady a v kontextu, je výsledek jiný: „Nejvyšší správní soud se přiklání spíše k tomu, že v souhrnu o zpracování osobních údajů jde.“
Vzhledem k této nejistotě Nejvyšší správní soud řízení přerušil a kvůli vyjasnění položil Soudnímu dvoru Evropské unie takzvanou předběžnou otázku, která po zjednodušení zní: Dochází při používání čTečky „k automatizovanému zpracování osobních údajů“? Až Soudní dvůr odpoví, což zpravidla trvá několik měsíců až rok, Nejvyšší správní soud o návrhu na zrušení – dávno mrtvého – ministerského opatření rozhodne.
Mnohem důležitější ovšem bude samotný názor Soudního dvora, protože vymezí mantinely, jak lze, či nelze nakládat s osobními údaji, což může mít podle vyjádření AK Sudolská „zásadní implikace do dalších sfér života, ve kterých občané předkládají ke kontrole jakékoli své osobní údaje nebo jinak využívají QR kódy, jejichž užití je v dnešní době zcela na denním pořádku“.