Redakce iDNES.cz již před časem informovala o tom, že na ministerstvu zdravotnictví ÚOOÚ provedl kontrolu. Ta se týkala zpracování osobních údajů údajů v souvislosti s elektronickým certifikátem EU COVID‑19 včetně aplikací Tečka a čTečka. Mluvčí ÚOOÚ Vojtěch Marcín pro iDNES.cz uvedl, že ministerstvo na zjištění kontroly podalo před časem námitku.
„Úřad je momentálně v procesu vyřizování námitek, které proti zjištěním v protokolu o kontrole podalo ministerstvo zdravotnictví. Rozhodnutí lze očekávat v nejbližších týdnech. Než však celá záležitost skončí, nemůžeme sdělit žádné bližší informace,“ uvedl pro iDNES.cz Marcín.
Ke kontrole se zatím nevyjádřilo ani ministerstvo zdravotnictví. To před časem pouze pro iDNES.cz konstatovalo, že proti některým zjištěním ze zprávy ÚOOÚ podalo námitky, a to ve spolupráci s dalšími zúčastněnými subjekty NAKIT a ÚZIS. Na bližší informace ohledně kontroly dosud však neodpovědělo.
Ustanovení v rozporu s ochranou údajů
Z výroční zprávy ÚOOÚ za loňský rok však vyplývá, na co se úřad při kontrolách zaměřil. Rovněž také na co si lidé ohledně ochrany osobních údajů v souvislosti s covidem nejvíce stěžovali.
„Epidemie s sebou pochopitelně přinesla změnu ve struktuře obdržených dotazů, podnětů a stížností. Dominantními se staly dotazy směřující proti možnému zpracování osobních údajů v souvislosti s testováním zaměstnanců a žáků,“ stojí ve výroční zprávě ÚOOÚ. Ta současně podotýká, že lidé si mimo jiné během loňského roku stěžovali třeba na zpracování osobních údajů pro marketingové účely.
Nicméně zpátky ke covidu. Úřad ve výroční zprávě upozornil na některá ustanovení pandemického zákona, která byla podle něj v rozporu s ochranou osobních údajů.
Protiepidemická opatření jsou podle úřadu spojena se shromažďováním a evidováním osobních údajů, kdy dochází také k propojování databází s osobními údaji včetně zdravotních údajů.
„Konkrétně v případě očkování jsou, kromě obvyklého zpracování osobních údajů ve zdravotnických registrech, osobní údaje lidí vyžívány v očkovacích centrech a v aplikacích jako jsou Tečka nebo čTečka,“ upozornil úřad s tím, že lidé se museli prokazovat bezinfekčností či očkováním na různých akcích či při vstupu do restaurace nebo fitness center. Podle úřadu v těchto případech docházelo k nahlížení na osobní údaje pomocí QR kódu.
eRouška padla, ale Tečka covid přežije. Má z ní být očkovací průkaz![]() |
„Ve všech těchto případech může dojít k zásahu do základních práv na ochranu soukromí a osobních údajů. Osoby, které osobní údaje shromažďují, se stávají správci těchto dat, a musí postupovat v souladu s předpisy na ochranu soukromí a osobních údajů,“ varoval úřad.
Dalším významným tématem s rozměrem ochrany osobních údajů v souvislosti s pandemií bylo podle úřadu zavedení covid pasů. „Je také třeba zajistit, aby osobní údaje nebyly zpracovávány déle, než je nezbytně nutné a aby po skončení pandemie nebyl přístup k těmto údajům a jejich využívání povolen,“ podotýká úřad.
Osobní údaje obsažené v kódu jsou předávány
Ten rovněž poukázal na to, že druhý rok pandemie se odrazil ve struktuře obdržených podnětů a stížností. Jejich celkový podíl činil podle úřadu šest procent. Podněty a stížnosti podle slov úřadu zpravidla směřovaly proti případnému zpracování osobních údajů v souvislosti s testováním zaměstnanců na pracovišti a žáků ve školách nebo třeba s prokazováním bezinfekčnosti.
Na počátku roku 2021 posuzoval úřad třeba stížnost týkající se použití QR kódu pro ověření certifikátu o očkování. „Stěžovatel namítal, že osobní údaje obsažené v kódu jsou předávány ze zařízení, které vznese dotaz pro ověření, přes servery třetích stran, až na server uzis.cz. Obával se zneužití osobních údajů,“ uvádí úřad v příkladu. Současně však upozornil, že z odkazu, který obsahuje QR kód, je zřejmé, že je pro přenos dat použit protokol „https“, tedy přenášená data včetně osobních údajů putují v zašifrované podobě.
„Úřad tak dospěl k závěru, že ke zpřístupnění osobních údajů při přenosu nedochází, a v tomto smyslu byl stěžovatel vyrozuměn,“ stojí v závěrech úřadu.
Tečka zčervenala. Na platnost covidových certifikátů to nemělo vliv![]() |
V dalším případě však úřad zakročil: „Podatel upozornil na možné související zpracování osobních údajů, a sice, že osobní údaje obsažené v QR kódu zůstávají v historii zařízení, které je použito jako čtečka kódu. V dané věci tak Úřad zahájil kontrolu.“
Další stížnosti se podle úřadu týkaly testování na pracovišti. „V období od července do listopadu 2021 byla praxe testování zaměstnanců na covid nařízeného mimořádným opatřením ministerstva zdravotnictví pozastavena, přesto se řada zaměstnavatelů rozhodla v testování zaměstnanců pokračovat,“ úvádí zpráva. Úřad proto oslovil ministerstvo práce a sociálních věcí, zda je možné podle ustanovení zákoníku práce ve vztahu k ochraně zdraví při práci nadále testovat zaměstnance a výsledky těchto testů evidovat.
„Upozornil na možné související zpracování osobních údajů, a sice, že osobní údaje obsažené v QR kódu zůstávají v historii zařízení, které je použito jako čtečka kódu. V dané věci tak Úřad zahájil kontrolu“
„Ani po více než třech měsících však neobdržel odpověď,“ konstatuje ve zprávě úřad s tím, že při řešení otázek spojených s mimořádným opatřením v souvislosti s prokazováním bezinfekčnosti při poskytování služeb se úřad vyjádřil kriticky, a to s ohledem na obsah i kvalitu jeho odůvodnění.
„Potřeba prokazování bezinfekčnosti při poskytování služeb byla v mimořádném opatření odůvodněna, avšak v tomto i následných mimořádných opatřeních nadále přetrvávaly nedostatky, například absence stanovení doby uchování záznamů. V souvislosti s pandemií byla častým tématem dotazů, zejména rodičů, také distanční výuka na školách,“ dodává ÚOOÚ.