Nejvyšší správní soud (dále též „NSS“) dne 30. listopadu 2023 prohlásil za nezákonné mimořádné opatření, kterým byla stanovena povinnost kontrolovat tzv. bezinfekčnost pomocí aplikace „čTečka“. 

Nejvyšší správní soud rozhodl, že kontrolou aplikací „čTečka“ došlo ke zjevnému zásahu do práva na ochranu soukromí. Svoje závěry opřel o čl. 10 odst. 3 Listiny základních práv a svobod a obecné nařízení o ochraně osobních údajů (GDPR).

Ministerstvo zdravotnictví dle názoru NSS „zcela rezignovalo“ na posouzení přiměřenosti zásahu do práva na ochranu soukromí, a „neučinilo primární úvahu o tom, do jakého na první pohled patrného práva je tímto opatřením zasahováno“.

Mimořádné opatření ze dne 29. 12. 2021, č. j. MZDR 14601/2021-34/MIN/KAN (dále též „Mimořádné opatření“), které vydalo Ministerstvo zdravotnictví, zjednodušeně řečeno, stanovilo povinnost prokazovat splnění podmínek tzv. bezinfekčnosti na základě tzv. covid pasů, kdy k tomuto ověření musela být povinně použita aplikace „čTečka“.

Právnička Sudolská: Plaidoyer k Cenzuře po česku

Náš Klient, v zastoupení naší advokátní kanceláří, namítal, že bez ohledu na aplikaci „čTečka“ dochází stanovením povinnosti sdílet osobní údaje v rámci kontrol tzv. bezinfekčnosti k zásahu práva našeho Klienta na ochranu soukromí. Namítali jsme, že je nepřípustné, aby při využití elementárních služeb musel zákazník (účastník, návštěvník, divák) sdílet citlivé osobní údaje o zdravotním stavu. S tím se mimo jiné, a spíše symptomaticky, pojila i skutečnost, že při kontrolách pomocí aplikace „čTečka“, docházelo ke zpracování osobních údajů ve smyslu GDPR, aniž by byly splněny podmínky, které GDPR stanoví.

Mobilní aplikace „čTečka“ fungovala následovně. Kontrolovaná osoba předložila v elektronické nebo papírové formě provozovateli regulované služby svůj tzv. covid pas, který provozovatel načetl pomocí aplikace „čTečka“.  Po načtení příslušného QR kódu, který předložil zákazník (divák, návštěvník, účastník), na displeji mobilního zařízení kontrolujícím osobám (provozovatelům, číšníkům, organizátorům) aplikace zpřístupnila nejen jméno kontrolované osoby, ale taktéž i datum narození a údaj o prodělaném očkování proti onemocnění covid-19, testu či prodělané nemoci covid-19, a konečně vyhodnotila, zda daná osoba splňuje nebo nesplňuje podmínky stanovené Mimořádným opatřením. Některé z těchto údajů jsou přitom zvlášť citlivé osobní údaje vypovídající o osobním stavu, jejichž zpracování GDPR (až na výjimky) zakazuje.

Nejvyšší správní soud s ohledem na svojí předchozí judikaturu[1] zpochybnil, zda výše popsaný proces kontroly aplikací „čTečka“ spadá do věcné působnosti GDPR, přičemž připustil že tomu tak být může, s tím, že taková otázka ještě v judikatuře řešena nebyla. Podstatou nejistoty NSS byla zjednodušeně řečeno skutečnost, že aplikace „čTečka“ fakticky zobrazuje totožnou sadu údajů jako papírová nebo elektronická forma certifikátu.

NSS tedy požádal Soudní dvůr Evropské unie o odpověď na otázku, zda při užívání „čTečky“ a ověřování splnění podmínek bezinfekčnosti docházelo k tzv. automatizovanému zpracování osobních údajů ve smyslu čl. 4 odrážky 2) Nařízení GDPR a zda tedy mobilní aplikace Ministerstva zdravotnictví „čTečka“ spadá do věcné působnosti Nařízení GDPR.

Právnička Sudolská: Novela pandemického zákona – co nás čeká?

SD EU o předběžné otázce položené NSS rozhodl zcela jednoznačně, a to tak, že při užívání a ověřování splnění podmínek bezinfekčnosti pomocí aplikace „čTečka“ docházelo k automatizovanému zpracování osobních údajů, a aplikace „čTečka“ tak musela splnit všechny podmínky stanovené GDPR.

Podmínky GDPR však mohly být splněny jenom stěží, neboť dle názoru Nejvyššího soudu si Ministerstvo zdravotnictví vůbec nepřipouštělo, že k zásahu do práva na ochranu soukromí dojde, natož pak ke zpracování osobních údajů ve smyslu GDPR.  Nejvyšší správní soud v tomto ohledu v rozsudku mimo jiné uvedl, že: „Odpůrce se tak v odůvodnění mimořádného opatření nijak nezabýval právem zákazníků na informační sebeurčení, a tedy otázkou ochrany osobních údajů při prokazování a kontrole splnění podmínek tzv. bezinfekčnosti podle čl. I bodu 15 mimořádného opatření prostřednictvím aplikace „čTečka“, jak důvodně namítl navrhovatel. Pokud odpůrce neučinil primární úvahu o tom, do jakého na první pohled patrného práva je tímto opatřením zasahováno, nemohl se logicky zabývat ani tím, nakolik je zásah do práva zákazníků na informační sebeurčení přiměřený.“ Již z tohoto důvodu bylo Mimořádné opatření dle názoru NSS nezákonné.

Bez ohledu na nezákonnost Mimořádného opatření s ohledem na nezákonný zásah do práva na ochranu soukromí se NSS věnoval také tomu, zda Ministerstvo zdravotnictví případně v rámci Mimořádného opatření splnilo podmínky, které na něj klade GDPR. Z pozice účastníka řízení však můžeme konstatovat, že Ministerstvo zdravotnictví ještě v průběhu řízení tvrdilo, že ke zpracování osobních údajů vůbec nedochází, těžko tedy mohlo splnit podmínky vyplývající z GDPR. Nejvyšší správní soud se tedy pro účely prohlášení nezákonnosti „spokojil“ s tím, že z Mimořádného opatření nevyplývá ani výslovný, natož pak určitý účel zpracování (jako elementární podmínka jakéhokoliv zpracování), přičemž považoval za „bezpředmětné, aby se soud dále zabýval tím, v čem všem mohlo být mimořádné opatření z hlediska používání aplikace „čTečka“ v rozporu s nařízením GDPR, jestliže se odpůrce chybně domníval, že se toto nařízení při kontrole splnění podmínek tzv. bezinfekčnosti vůbec nepoužije.“

Nejvyšší správní soud se tedy nezabýval už ani tím, zda byla povinnost kontroly přiměřená sledovanému cíli, neboť přiměřenost by zkoumal teprve, pakliže by vůbec bylo splněno kritérium zákonnosti. Tak tomu v nynějším případě nebylo, neboť Ministerstvo zdravotnictví nesplnilo už kritérium zákonnosti. Je však zjevné, že minimálně co do rozsahu kontroly citlivých osobních údajů byla kontrola aplikací „čTečka“ zcela nepřiměřená.

Právnička Sudolská: Stihl třetí dávku a tečka nikde

Z citovaného rozsudku Nejvyššího správního soudu lze tedy učinit následující závěry:

  • Při kontrole tzv. covid certifikátů docházelo ke zpracování osobních údajů ve smyslu GDPR a ke zjevnému zásahu do práva na ochranu soukromí;
  • Ministerstvo zdravotnictví v rámci stanovení povinnosti používat aplikaci „čTečka“, slovy NSS zcela rezignovalo na ochranu práva na ochranu soukromí občanů;
  • Ministerstvo zdravotnictví ještě v rámci řízení zjevně nepravdivě tvrdilo, že podmínky stanovené GDPR splnit nemusí;
  • Stanovení povinnosti jakékoliv obdobné kontroly bude muset splňovat zásady minimalizace zásahu do práva na ochranu soukromí a minimalizace rozsahu zpracovávaných osobních vzhledem k tomu, že jím dochází k zásahu do práva na ochranu soukromí a zpracování osobních údajů ve smyslu GDPR.

Zásadní skutečností je, že Nejvyšší správní soud mezi řádky potvrdil, že Ministerstvo zdravotnictví stanovením povinnosti kontrol naprosto bezprecedentním způsobem ohrozilo osobní údaje všech občanů, kteří v době účinnosti Mimořádného opatření využívali, nebo chtěli využít regulované služby. Výše rozebíraný rozsudek přitom de facto prohlásil za nezákonnou samotnou aplikaci „čTečka“, jakožto nástroj ohrožení ochrany soukromí občanů, který museli provozovatelé povinně využívat. Stranou nelze ponechat ani skutečnost, že tato povinnost se dotýkala nejen českých občanů, ale i všech cizinců, kteří v předmětné době využívali regulované služby.

Nelze než uzavřít, že nezákonné nebylo jenom Mimořádné opatření, jak potvrdil Nejvyšší správní soud, ale i samotné kontroly, jejichž provádění stanovilo Ministerstvo zdravotnictví jako zjevně nezákonnou povinnost.

JUDr.  Denisa Sudolská, autorka působí jako advokátka v Praze