Sobota, 18. září, 2021

ÚOOÚ: Vést evidenci zákazníků je nepřípustné, nové povinnosti musí upravit zákon

DALŠÍ ČLÁNKY AUTORA

Uložená povinnost provozovatelům služeb vést evidenci zákazníků je nepřípustná bez splnění obecného nařízení o ochraně osobních údajů. Z opatření ministerstva zdravotnictví však není zřejmý rozsah evidence ani klíčový údaj o zdravotním stavu zákazníků. Evidence má mít zákonný podklad, protože jde o novou právní povinnost živnostníků. Ministerstvo zdravotnictví podle Úřadu nemá zmocnění vydat takové nařízení.

Vyplývá to z komentáře Úřadu pro ochranu osobních údajů (ÚOOÚ) „k aktuálnímu návrhu mimořádného opatření Ministerstva zdravotnictví, kterým se má zavést prokazování výsledků testů na SARS-CoV-2 či podstoupené vakcinace zákazníky a nařídit evidence zákazníků některými poskytovateli služeb“. Úřad vydal komentář 29. dubna 2021.

Povinnost vést seznam osobních údajů zákazníků má platit od pondělí 3. května 2021. Týká se masérů, kadeřníků, pedikérů nebo také rekondičních služeb. To, zda klienti splnili povinnost předložení negativních testů, bude podle ministryně financí Aleny Schillerové zpětně kontrolovat hygiena právě na základě jmenného seznamu zákazníků. Hygienici následně jména z evidence porovnají s údaji z odběrových center, kde se dělají testy. „Velkému množství provozovatelů, kteří doposud v řadě případů žádné zpracování údajů o svých zákaznících provádět nemuseli a nemají pro vedení podobné evidence dostatek zkušeností ani vytvořeny technické podmínky, se tak ukládá nová povinnost zpracovávat osobní údaje,“ upozorňuje Úřad pro ochranu osobních údajů.

Úřad: Obsah povinnosti ani evidence není zřejmý

Jenže povinnost evidovat zákazníky uložilo ministerstvo bez konkrétních podmínek. „Konkrétně se jedná o účel zpracování, rozsah údajů, dobu jejich uchovávání, technické a organizační zabezpečení, způsob naplnění zásady transparentnosti a informační povinnosti vůči subjektům údajů. S tím souvisí i potřeba stanovení způsobu provádění případné kontroly orgány ochrany veřejného zdraví v rámci epidemiologického šetření,“ uvádí k tomu ÚOOÚ.

Podle Úřadu tedy není vůbec zřejmé, co má evidence obsahovat, jaké údaje ztotožňující konkrétní osoby mají provozovatelé evidovat, zda mají být používána rodná čísla podle zákona o evidenci obyvatel a jak s nimi dále bude nakládáno. „Vymezení slovy pro potřeby případného epidemiologického šetření´ tak není dostatečně určité, protože nevypovídá nic o požadovaných parametrech zpracování,“ komentuje situaci ÚOOÚ.

„Rovněž není zřejmé, zda součástí evidence má být i samotný klíčový údaj vypovídající o výsledku testování nebo o jiném právem předvídaném osvědčení o aktuálním zdravotním stavu vstupujícího zákazníka, či zda by tento údaj byl na základě evidence zjišťován v rámci kontroly prováděné orgány ochrany veřejného zdraví,“ upozorňuje dále ÚOOÚ.

Pandemický zákon nezmocňuje k evidování zákazníků

Podle Úřadu nemá navíc ministerstvo zdravotnictví zmocnění vydat takové opatření. Zákon o Covid-19 (pandemický zákon) sice umožňuje stanovit podmínky provozu tam, kde je narušována integrita kůže. „Postrádá ovšem oprávnění ukládat provozovatelům povinnost vést evidenci zákazníků a zpracovávat tak blíže nespecifikovaný rozsah osobních údajů. Neobsahuje ani podrobnosti takového zpracování nové evidence,“ uvádí ÚOOÚ ve stanovisku.

Úřad navíc vidí v opatření ministerstva zdravotnictví odlišný postup od již existujících postupů. Na rozdíl od povinnosti zaměstnavatelů testovat zaměstnance, tedy konat něco v již existujícím vztahu zaměstnanec – zaměstnavatel, je vztah provozovatel – zákazník a kontrola a evidence zdravotního stavu zákazníka úplnou novinkou.

 „V případě navrhovaného opatření se jedná o zcela novou kvalitu právní povinnosti, neboť v daném rozsahu dosud osobní údaje zákazníků nebyly systematicky zpracovávány, pokud ke zpracování osobních údajů vůbec docházelo,“ uvádí ÚOOÚ.  „Protože osobní údaje nelze zpracovávat bez právního základu, bude třeba zvážit, zda lze povinnost identifikovat zákazníky odvodit ze zákona,“ uzavírá stanovisko Úřad.

ÚOOÚ: Nepřípustné

Pokud by podle Úřadu byl součástí evidence údaj o zdravotním stavu, šlo by o „zvláštní kategorii osobních údajů“, takový sběr dat podléhá podle nařízení o ochraně osobních dat posouzení vlivu na ochranu osobních údajů.

V tomto případě však podle Úřadu nebyla realizována ani konzultační povinnost předkladatelem opatření, tedy ministerstvem zdravotnictví. „Předkladatel musí vždy zhodnotit aktuální stav a dopady navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů, což v tomto případě, pokud je Úřadu známo, učiněno nebylo. Vyhodnocení přiměřenosti zásahu do práv je přitom požadavkem i zcela aktuálního rozsudku Nejvyššího správního soudu sp. zn. 8 Ao 1/2021-133 ze dne 14. dubna 2021,“ uvádí ÚOOÚ.

„Mimořádným opatřením nově uložená povinnost provozovatelům vést evidenci zákazníků pro potřeby případného epidemiologického šetření bez stanovení konkrétního účelu a dalších parametrů zpracování a naplnění všech zásad ochrany osobních údajů v souladu s obecným nařízením o ochraně osobních údajů, považuje Úřad za nepřípustnou,“ uzavírá Úřad svůj komentář k uvalení povinnost evidovat zákazníky od pondělí 3. května 2021.

Irena Válová

DALŠÍ ČLÁNKY Z RUBRIKY