S blížícím se příštím týdnem, kdy se dle vyjádření ministra Havlíčka počítá s otevřením vybraných provozoven, vydala Vláda ČR předběžný souhlas s novým mimořádným opatřením, kterým se mj. povolí v omezeném režimu provozovat obchody poskytující služby o péče tělo (kadeřnictví, pedikúra, manikúra apod.).
Jedním ze zmíněných omezení bude nutnost pro provozovatele vést evidenci zákazníků. Dle chystaného opatření bude toto zpracování nezbytné z důvodu možného epidemiologického šetření. Vláda, respektive Ministerstvo zdravotnictví, však ve svých dosavadních vyjádřeních poněkud opomněli hned několik náležitostí, které právní předpisy upravující zpracování osobních údajů předpokládají.
Předně je problematický už samotný právní titul. Je totiž přinejmenším sporné, zda může takové zpracování ministerstvo nařídit pouhým mimořádným opatřením, tedy podzákonným právním předpisem, nikoliv zákonem. Zákon č. 94/2021 Sb., o mimořádných opatřeních při epidemii onemocnění COVID-19, který Ministerstvo zdravotnictví k vydávání mimořádných opatření zmocňuje, o žádném podobném zpracování nehovoří. Navíc je zde třeba vzít v úvahu, že drtivá většina dotčených provozovatelů doposud o svých zákaznících žádné osobní údaje nezpracovávala. Půjde tak o naprosto novou agendu a v praxi vytvoření velkého počtu správců osobních údajů, kteří by jinak osobní údaje vůbec nezpracovávali.
Příslušné úřady pak ani nevydaly bližší informace o tom, jaké osobní údaje by se v rámci evidence měly zpracovávat – zda postačí pouhé identifikační údaje zákazníka, nebo zda bude nutné uchovávat i rodné číslo či data o provedení testu na COVID-19 (kdy, kde, kým) včetně samotného výsledku. Dále nespecifikovaly, jak by zpracování mělo probíhat, včetně technických a bezpečnostních opatření.
Pokud by skutečně bylo nezbytné zpracovávat osobní údaje o výsledku testu nebo proběhnuvším očkování, jednalo by se o zpracování osobních údajů zvláštní kategorie, které Nařízení GDPR až na výjimky zakazuje. V tomto případě by navíc tyto údaje zpracovávalo velké množství správců po celé republice.
Opět je na místě zmínit možný nedostačující právní titul pro takové zpracování spolu s faktem, že příslušné úřady doposud nevypracovaly posouzení vlivu na ochranu osobních údajů, což by za současné konstelace dle čl. 35 odst. 2 písm. b) Nařízení GDPR bylo potřebné. Článek 36 Nařízení GDPR pak v případě, že bylo riziko v rámci posouzení vyhodnoceno jako vysoké, předpokládá i konzultaci s dozorovým úřadem, tedy s Úřadem pro ochranu osobních údajů. Ta dle vyjádření Úřadu doposud také neproběhla.
Ostatně i uvedený účel – možné epidemiologické šetření – je poněkud vágní termín, který dostatečně nespecifikuje, proč by ke zpracování osobních údajů tak rozsáhlého počtu osob mělo docházet.
Čímž bychom se dostali k dalšímu spornému bodu, kdy se plánuje zpracování osobních údajů enormního počtu osob, včetně informací o zdravotním stavu, a to pouze na základě podzákonného předpisu. Zde je pak opět třeba uvést, že dle veřejně dostupných informací vláda ani ministerstvo neprovedly posouzení vlivu na ochranu údajů a konzultace s Úřadem pro ochranu osobních údajů také neproběhla.
A jak bude se získanými osobními údaji nakládat stát?
Provozovatelé, například kadeřnictví, veškeré zaevidované údaje předají příslušným úřadům a ty budou následně kontrolovat správnost uvedených údajů – především zda byl klient skutečně testován a výsledek odpovídá skutečnosti.
Prozatím tak lze na základě dostupných informací říct, že plánované zpracování, které by mělo začít už příští pondělí a dotkne se velkého množství osob, nebylo příslušnými úřady z hlediska účelu dostatečně vysvětleno, právní základ se zdá být vachrlatý a dotčeným správcům, kteří dosud žádné osobní údaje o svých klientech v rámci své činnost nezpracovávali, nebyly poskytnuty byť jen základní informace o tom, jaké osobní údaje se budou zpracovávat a jak bude vůbec celé zpracování probíhat.
Podnikatelé navíc varují před nadměrnou administrativní zátěží, kterou pro ně zpracování osobních údajů bude představovat.