V rámci tohoto článku se zaměřuji na otázku, zda může být osobním údajem tzv. QR kód, a případně za jakých podmínek.
Východiskem pro tento článek jsou některé praktické implikace rozsudků Soudního dvora Evropské unie (dále jen „SDEU“) ve věcech C-659/22, kde SDEU, ve kterém naše advokátní kancelář zastupovala jednoho z účastníků řízení, došel SDEU k závěru, že kontrolou aplikace „čTečka“, používané v České republice ke kontrole tzv. covid – certifikátů, dochází ke zpracování osobních údajů, a rozsudek SDEU ve věci C-319/22 kde soud došel k závěru, že tzv. VIN-kód může být taktéž osobním údajem ve smyslu GDPR.
Co je to QR kód
QR kód je zkratka pro Quick Response code, což je typ tzv. dvourozměrného čárového kódu, který byl vyvinut japonskou společností Denso Wave v roce 1994. QR kódy obsahují informace, které lze snadno přečíst pomocí chytrých telefonů nebo jiných zařízení s fotoaparátem a aplikací pro čtení QR kódů.[1]
QR kódy jsou často používány k propojení tradičních médií s digitálními informacemi. Mohou obsahovat různé druhy dat, jako jsou webové adresy (URL), textové zprávy, kontaktní údaje, informace o produktech nebo dokonce odkazy na soubory. Díky své schopnosti ukládat větší množství informací než tradiční čárové kódy a rychlejšímu čtení se QR kódy staly populárními pro různé účely, včetně marketingu, propagačních akcí, platebních systémů a konečně též ověřování identity.
V České republice byly pak QR kódy v letech 2021–2022 využívány ke kontrolám tzv. bezinfekčnosti v období pandemie covid-19.
Kontroly aplikací „čTečka“
Povinnost používat aplikaci „čTečka“ pro kontrolu splnění podmínek tzv. bezinfekčnosti byla stanovena na základě patření obecné povahy ze dne 29. 12. 2021, č. j. MZDR 14601/2021-34/MIN/KAN (dále též „Mimořádné opatření“), které bylo vydáno Ministerstvem zdravotnictví.
Mobilní aplikace „čTečka“ fungovala následovně. Kontrolovávána osoba předložila v elektronické nebo papírové formě provozovateli regulované služby svůj tzv. covid pas, který provozovatel načetl pomocí aplikace „čTečka“. Po načtení příslušného QR kódu, který předložil zákazník (divák, zákazník restaurace), na displeji mobilního zařízení kontrolujícím osobám (provozovatelům, organizátorům) aplikace zpřístupnila nejen jméno kontrolované osoby, ale taktéž i datum narození a údaj o prodělaném očkování proti onemocnění COVID-19, testu či prodělané nemoci COVID-19, a konečně vyhodnotila, zda daná osoba splňuje nebo nesplňuje podmínky stanovené Mimořádným opatřením.
Podoba certifikátů přitom vychází z evropského předpisu – konkrétně z nařízení Evropského parlamentu a Rady (EU) 2021/953 ze dne 14. června 2021 o rámci pro vydávání, ověřování a uznávání interoperabilních certifikátů o očkování, o testu a o zotavení v souvislosti s onemocněním COVID-19 (digitální certifikát EU COVID) za účelem usnadnění volného pohybu během pandemie COVID-19 (dále též „Nařízení č. 2021/953“).
Digitální certifikáty EU COVID se přitom Ministerstvo zdravotnictví rozhodlo využít pro účely a způsobem, který Nařízení č. 2021/953 nepředpokládá. Podle tohoto nařízení (už z názvu) totiž certifikáty měly sloužit k usnadnění přeshraničního pohybu.[2] Jakékoliv další použití těchto certifikátů již přepokládalo vznik nového, dalšího, dostatečného legislativního rámce.
V rámci vnitrostátního řízení o zákonnost Mimořádného opatření nastal spor o to, zda výše popsaná kontrola certifikátu pro povinné vnitrostátní použití představuje zpracování osobních údajů tak, jak s tímto pojmem pracuje nařízení GDPR.
Ministerstvo zdravotnictví zastávalo názor, že se o zpracování údajů nejedená, naše advokátní kancelář zastávala názor opačný. Nejvyšší správní soud tedy předložil Soudnímu dvou Evropské (dále též „SDEU“) unie tzv. předběžnou otázku, kterou lze zjednodušit tak, že nechal SDEU posoudit, zda načtením certifikátu aplikací „čTečka“ kontrolující osoba zpracovává osobní údaje – a zda je tedy mimo jiné kontrolující osoba zpracovatelem osobních údajů.
V zastoupení Klienta jsme zpracovali k SDEU rozsáhlé „Vyjádření účastníka řízení k žádosti o rozhodnutí o předběžné otázce“ ze dne 10. 2. 2023 (dále též jako „Vyjádření“), v rámci kterého jsme rozebrali všechny důvody vedoucí k jednoznačnému závěru, že v rámci popsané kontroly dochází ke zpracování osobních údajů.
SDEU otázku rozhodl dne 5. října 2023 rozsudkem ve věci C-659/22, přičemž došel k jednoznačnému závěru, že při ověřování platnosti digitálních certifikátů EU COVID aplikací čTečka dochází ke zpracování osobních údajů tak, jak s tímto pojmem pracuje GDPR. SDEU konstatoval, že „pojem zpracování musí být vykládán v tom smyslu, že se vztahuje i na situaci, kdy kontrolující stát prostřednictvím národní mobilní aplikace ověřuje platnost interoperabilních certifikátů.“
SDEU v tomto případě k závěru, že ke zpracování osobních údajů dochází, zejména s ohledem na skutečnost, že QR kód sám o sobě obsahuje „tradiční“ osobní údaje, jako je jméno, příjmení či datum narození kontrolované osoby, ale taktéž citlivé osobní údaje o zdravotním stavu jednotlivce, jejichž zpracování dále reguluje čl. 9, který stanovuje podmínky zpracování tzv. zvláštních kategorií osobních údajů.
Přestože odpověď je na první pohled poměrně jednoznačná, tento článek dále poukazuje na další zásadní implikace, které z řízení o zákonnost kontrol prováděných aplikací čTečka vyplývají. Otázkou totiž zůstalo, zda je samotný QR kód osobním údajem, bez ohledu na to, že tyto osobní údaje obsahuje.
Zpracování osobních údajů aplikaci čTečka
V zastoupení našeho Klienta jsme namítali, že při výše popsaném procesu kontroly dochází ke zpracování osobních údajů tak, jak jej vymezuje čl. 4 odst. 2 nařízení GDPR, který zpracování definuje jako „jakoukoliv operaci nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“. Jde tedy o definici velice širokou, v rámci které zákonodárce zamýšlel postihnout co možná nejvíce operací, při kterých dochází k potenciálnímu ohrožení osobních údajů, jako dílčí součástí soukromí osoby.
Operace s osobními údaji, které provádí aplikace čTečka
V rámci kontroly certifikátu dochází k celkem 4 dílčím operacím s osobním údaji, resp. krokům, které mohou jednotlivě samy o sobě představovat zpracování osobních údajů:
- Předložení QR kódu implicitně obsahujícího osobní údaje kontrolovanou osobou, tedy fyzická operace s osobními údaji provedená kontrolovanou osobou (dále též „Operace 1“) ;
- Načtení QR kódu aplikací „čTečka“, tedy fyzická operace provedená kontrolující osobou za pomocí aplikace „čTečka“ (dále též „Operace 2“);
- Převedení informací obsažených v lidsky nečitelné podobě z QR kódu do lidsky čitelné podoby (slov), tedy operace provedená automatizovaně čistě aplikací „čTečka“ (dále též „Operace 3“);
- Vyhodnocení (validace) těchto dat za účelem povolení nebo odepření přístupu ke službě, tedy operace provedená automatizovaně čistě aplikací „čTečka“ (dále též „Operace 4“);
SDEU neměl nejmenší pochybnost o tom, že při spojení všech 4 výše zmíněných operací dochází ke zpracování osobních údajů ve smyslu definice používané čl. 4 odst. 2 GDPR. V rámci výše uvedené kontroly byl totiž QR kód převeden do lidsky čitelné podoby, když se na obrazovce kontrolující osoby zobrazily osobní údaje osoby kontrolované, a to včetně těch nejcitlivějších osobních údajů o zdravotním stavu. Zpracování osobních údajů o zdravotním stavu přitom článek 9 GDPR až na výjimky zcela zakazuje.
Nad rámec výše uvedeného jsme přesto v rámci Vyjádření zabývali otázkou, zda již při některých, a případně kterých, dílčích operacích lze hovořit o zpracování osobních údajů, bez ohledu na to, zda se osobní údaje zobrazí v lidsky čitelné podobě v případě, že se všechny 4 operace spojí dohromady. Osobním údajem je totiž dle našeho názoru již samotný QR kód, který je v digitálním certifikátu EU COVID obsažen.
QR kód jako osobní údaj „sui generis“
Definice osobního údaje, kterou používá GDPR zjednodušeně řečeno stanoví, že osobním údajem je jakákoliv informace o identifikované, nebo identifikovatelné fyzické osobě, přičemž identifikovatelnou je každá osoba kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Zřejmě není pochyb o tom, že QR kódy obsažené v digitálních certifikátech EU COVID jsou ve své podstatě jiným způsobem zápisu údajů v těchto QR kódech obsažených. Otázkou, kterou jsme v rámci Vyjádření k SDEU otevřeli, je nicméně to, zda sám QR-kód, který je ze své podstaty unikátní pro každou jednotlivou sadou není novým osobním údajem nové kvality sám o sobě.
Z principu fungování QR kódů, jako způsobu unikátního zápisu údajů, jednoznačně vyplývá, že vytvořením QR kódu pro účely digitálního certifikátu EU COVID pro konkrétní osobu, je vytvořen pro každého držitele QR kódu zcela nový identifikátor, který je schopen s naprostou spolehlivostí odlišit jednotlivé držitele již z titulu svojí unikátní grafické podoby.
Z velice podobné logiky koneckonců vychází i samotné Nařízení č. 2021/953, které zakotvuje to, že digitální certifikáty EU COVID v sobě obsahují tzv. „jedinečný identifikátor certifikátu“, jakožto jedinečný identifikátor přidělený na základě společné struktury každému certifikátu vydanému. Takovýto jedinečný identifikátor je kupř. v případě certifikátu EU COVID lidsky čitelný, avšak na první pohled má pro neznalou osobu nulovou výpovědní hodnotu – jedná se o na první pohled nic neříkající směs písmen a čísel.
Toto podporuje také úvod Nařízení č. 2021/953. Z recitálu č. 19 Nařízení č. 2021/953 vyplývá, že je na základě „jedinečného identifikátoru certifikátu“ možná nikoliv přímá identifikace držitele certifikátu, nicméně stále ještě identifikace. Zároveň recitál uvádí, že „použití jedinečného identifikátoru certifikátu zabraňuje tomu, aby bylo třeba zpracovávat další osobní údaje, které by jinak byly k identifikaci jednotlivých certifikátů nezbytné.“ – kde užívá recitál slovní spojení „další osobní údaje“ a tím zjevně implikuje, že už jedinečný identifikátor certifikátu (sada písmen a čísel) je osobním údajem, na základě jehož je možné určitou osobu identifikovat. Ostatně taktéž z předposlední věty recitálu č. 19 Nařízení č. 2021/953, která zní „Seznamy zrušených certifikátů by neměly obsahovat žádné osobní údaje s výjimkou jedinečných identifikátorů certifikátu.“, lze vcelku bezpečně vyčíst, že „nicneříkající“ jedinečný identifikátor certifikátu je také osobním údajem.
Pakliže je osobním údajem s potenciálem identifikovat držitele certifikátu jedinečný identifikátor certifikátu, přestože nemá na první pohled významnější výpovědní hodnotu, je možné uvažovat o tom, že totožně je osobním údajem samotný QR kód jakožto osobní údaj sui generis.
Přestože QR kód obsažený v digitálním certifikátu „obsahuje“ „jednoznačné“ osobní údaje, jako je jméno, příjmení či datum narození, je na místě upozornit, že i grafická podoba certifikátu je způsobilá, byť zřejmě nikterak snadno, zcela spolehlivě rozlišit jednotlivé držitele osobních údajů, a sama grafická podoba QR kódu je tedy osobním údajem identifikovatelné osoby, tak jak s tímto pojmem pracuje věta druhá čl. 4 odst. 1 GDPR.
K identifikaci osoby už tedy může dojít na základě výše pojmenované Operace 2, tedy samotným načtením QR kódu, byť je zřejmé, že s dnešními technickými možnostmi problematický dopad do osobní sféry držitele certifikátu „prozatím“ nastává až Operacemi 3 a 4. Zpracováním by tedy bylo již samotné načtení QR kódu jakožto osobního údaje sui generis v Operaci 2, bez nutnosti toho, aby celá Kontrola byla zpracováním osobních údajů teprve pro jejich zpracování v rámci Operací 3 a 4.
Pakliže by byl přijat závěr, že QR kód je osobním údajem sui generis, bylo by jeho načtení, resp. vyfocení aplikací čTečka, nebo jakoukoliv jinou, zpracováním osobních údajů úplně totožně, jako je kupř. zpracování osobního údaje načtením resp. vyfocením podoby člověka při automatické pasové kontrole na letištích, která je dostupná pro občany Evropské unie, kteří jsou zároveň držiteli biometrického pasu, při cestování v rámci Schengenského prostoru.
S ohledem na skutečnost, že i GDPR v recitálu 6 připouští, že je GDPR reakcí na technologický rozvoj, nelze vyloučit, že dojde k technologickému posunu, který do budoucna umožní „dekódování“ QR kódů prostým lidským zrakem. Za takových okolností je zcela namístě připustit i tu eventualitu, že osobním údajem způsobilým identifikace fyzické osoby je i samotný QR kód bez ohledu na jeho obsah, neboť ten sám o sobě je již přiřazen držiteli konkrétního digitálního certifikátu EU COVID.
Další judikatura SDEU – VIN kód jako osobní údaj
Výše vyjádřený názor se objevil v judikatuře Soudního dvora EU v roce 2023, byť pouze implicitně, minimálně ještě jednou. V rozsudku ve věci C-319/22 ze dne 9. listopadu 2023 soud mimo jiné posuzoval, zda je osobním údajem tzv. VIN kód vozidla (vehicle identification number – identifikační číslo vozidla).
V tomto ohledu je zásadní zejména bod 49. rozsudku C-319/22, ve kterém SDEU uvedl, že: „pokud mohou mít samostatní provozovatelé rozumně k dispozici prostředky, které jim umožňují přiřadit VIN k identifikované nebo identifikovatelné fyzické osobě, což přísluší ověřit předkládajícímu soudu, představuje toto VIN pro ně osobní údaj ve smyslu čl. 4 bodu 1 GDPR, jakož i nepřímo pro výrobce automobilů, kteří VIN poskytují, i když VIN samo o sobě pro ně není osobním údajem a není jím zejména v případě, kdy vozidlo, kterému bylo toto VIN přiděleno, nepatří fyzické osobě.“
VIN kód přitom, podle bodu 46. rozsudku C-319/22 „ jako takový nemá „osobní“ povahu – získává tuto povahu ve vztahu k jakékoli osobě, která má k dispozici prostředky, jež jí rozumně umožňují spojit tento údaj s konkrétní osobou.“
Výše uvedené lze přitom interpretovat tak, že pokud lze na základě technického prostředku určit, k jaké osobě je přiřazen patří na první pohled nic neříkající údaj (zde VIN kód vozidla), musí být takový údaj považován za osobní údaj ve smyslu čl. 4 odst. 1 GDPR.
Paralela s QR kódem obsaženým v digitálním certifikátu EU COVID se přitom nabízí. Ten (stejně jako VIN kód vozidla, případně jako číselný jedinečný identifikátor digitálního certifikátu EU COVID) nemá na první pohled „osobní povahu“, ale na základě technického prostředku, v tomto případě aplikace čTečka, je možné jej jednoznačně přiřadit konkrétní osobě.
Spojíme-li výše citované rozsudky ve věci „čTečky“ a ve věci VIN kódů, je výsledek jednoznačný – QR kód přiřaditelný technickým prostředkem ke konkrétní osobě musí být považován za osobní údaj sám o sobě.
Z výše uvedeného pak plyne jednoznačný závěr, a to ten, že aplikace čTečka zpracovávala osobní údaje nejen z toho titulu, že překládala osobní údaje obsažené v QR kódech do lidsky čitelné podoby, ale už proto, že QR kód sám o sobě představuje osobní údaj nové kvality, a je potřeba s ním takto pracovat.
Je každý kdo načte QR kód zpracovatelem osobních údajů?
Je namístě vypořádat taktéž případné úvahy o tom, zda výše uvedený výklad nepřiměřeně nezasahuje do praktické využitelnosti QR kódů, v situacích, kdy jsou tyto používány například při ukládání kontaktů z vizitek, nebo k jiným obdobným činnostem prováděnými soukromými osobami v rámci jejich osobních činností.
V tomto ohledu je třeba poukázat na to, že věcná působnost GDPR není bezbřehá – ne každé zpracování osobních údajů je zpracováním regulovaným. Věcná působnost je vymezena v rámci GDPR pozitivně tak, že „se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.“
V případě načtení QR kódů zatím zpravidla půjde o zcela nebo částečně automatizované zpracování, neboť QR kódy budou typicky zpracovávány za použití technického prostředku (např. mobilního telefonu) k jejich zpracování. S ohledem na výše uvedenou argumentaci je však třeba říci, že pakliže budou QR kódy, které budou přiřaditelné ke konkrétní osobě, zpracovávány v rámci evidence[3] (byť třeba jen papírové), o zpracování osobních údajů již půjde i bez použití aplikace, nebo jiného technického prostředku.
Věcná působnost GDPR je ale vymezena též negativně – nařízení stanoví, která zpracování regulována nejsou. V rámci článku 2 odst. 2 GDPR mimo jiné stanoví, že nařízení se nevztahuje na zpracování prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností. Mám za to, že právě mezi tyto činnosti by typicky spadalo i popsané „soukromé“ načítání vizitek – např. pracovních kolegů či klientů.
Závěr
Ačkoliv v judikatuře SDEU, a dle mého názoru prozatím ani žádného jiného soudu, tento názor prozatím explicitně nezazněl, je třeba říci, že QR kód přiřaditelný ke konkrétní osobě je z pohledu nařízení GDPR jednoznačným identifikátorem jednotlivé fyzické osoby, a představuje tedy osobní údaj, který je možné zpracovávat pouze při splnění podmínek stanovených GDPR.
V dnešní době jsou přitom QR kódy používány v rámci vstupenek na kulturní akce, palubních lístků, v jízdenkách, v reklamách a mají celou řadu dalších využití. Je však třeba jednoznačně konstatovat, že v situaci, kdy je QR kód určitým technickým způsobem přiřaditelný ke konkrétní osobě, je osobním údajem sám o sobě, bez ohledu na to, zda osobní údaje sám obsahuje. V tomto ohledu je pak zřejmě na místě důkladně zkoumat, v jakých oblastech lidské činnosti přitom dochází k dalším podobným, byť ne na první pohled zřejmým, zpracováním osobních údajů.
[1] https://www.kaspersky.com/resource-center/definitions/what-is-a-qr-code-how-to-scan
[2] Ke stejnému závěru přitom vede prostý jazykový výklad článku 1 Nařízení č. 2021/953
[3] Článek 4 odst. 6 stanoví, že: „evidencí“ se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska
Diskuze k článku ()