Kontroly COVID preukazov boli spracúvaním osobných údajov.

Súdny dvor Európskej únie (SDEÚ) v októbri potvrdil, že používanie mobilnej aplikácie „čTečka“, vyvinutej českou vládou na skenovanie kontroverzných certifikátov COVID sa považuje za „spracúvanie“ osobných údajov podľa článku 4 ods. 2 GDPR. Podľa odborníka na ochranu osobných údajov ide o potvrdenie obáv, na ktoré odborníci poukazovali už v časoch, kedy protikovidové opatrenia vznikali. Slovensko nebolo pri zavádzaní protipandemických opatrení výnimkou, pričom za sporné opatrenia z hľadiska ochrany osobných údajov možno považovať napríklad kontrolovanie veku pri vstupe do obchodných prevádzok. Ak ste sa počas pandemických rokov chceli v susednej Českej republike zúčastniť podujatia, museli ste preukázať a organizátor preveriť prostredníctvom aplikácie „čTečka“ splnenie podmienok, vyplývajúcich z mimoriadneho opatrenia Ministerstva zdravotníctva (MZ ČR).

Po načítaní QR kódu z COVID certifikátu sa na zariadení organizátora/kontrolóra v aplikácii čTečka zobrazili osobné údaje kontrolovanej osoby v rozsahu meno, priezvisko, dátum narodenia, štátna príslušnosť, údaj o podstúpení očkovania, dátum očkovania, použitá vakcína, informácie o prekonaní choroby alebo podstúpení PCR testovania. Na Najvyšší správny súd ČR (NSS ČR) prišla žaloba o zrušenie mimoriadneho opatrenia, odôvodnená neprimeranosťou zásahu do súkromia navrhovateľa a celkovou nezákonnosťou spracovateľských operácií s osobnými údajmi. Ministerstvo sa bránilo, že nejde o spracúvanie osobných údajov, keďže aplikácia informácie neuchováva ani nikam neodosiela, len ich dočasne zobrazí na obrazovke mobilného telefónu. NSS ČR sa v danej veci nakoniec obrátil na Súdny dvor Európskej únie (SDEÚ), ktorý v októbri rozhodol, že používanie mobilnej aplikácie vyvinutej českou vládou na skenovanie certifikátov COVID sa považuje za „spracúvanie“ osobných údajov podľa článku 4 ods. 2 GDPR.

Protipandemické opatrenia platili aj na Slovensku. Za veľmi sporné považuje odborník na ochranu osobných údajov napríklad kontrolovanie veku pri vstupe do prevádzky. „Zákazníci museli pri vstupe do prevádzok preukazovať svoj vek predložením občianskeho preukazu, ktorý obsahuje viacero ďalších osobných údajov, ktoré s predmetom kontroly nesúviseli. Ešte v roku 2020 sme upozorňovali, že kontrolu veku je možné dosiahnuť aj iným dokumentom ako práve občianskym preukazom. V prípade, ak by predajcovia vyžadovali preukázanie sa výlučne občianskym preukazom, sme ľuďom odporúčali a aj do budúcnosti odporúčame prekryť ostatné údaje na občianskom preukaze napríklad prstami alebo dlaňou,“ približuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.

Rozhodnutie Súdneho dvora Európskej únie dáva, podľa Berthotyho, za pravdu odborníkom. „Vzhľadom na rozhodnutie Súdneho dvora EÚ, ako aj vzhľadom na samotné znenie GDPR, odporúčame vždy pristupovať k akémukoľvek zaobchádzaniu s osobnými údajmi obozretne a riadne si plniť svoje informačné povinnosti voči dotknutým osobám. Dotknuté osoby majú právo podozrenia z porušenia ochrany osobných údajov hlásiť, čo môže pre kontrolujúcich znamenať riziko pokút.“