Výroční zpráva – tak jako i v minulých letech – přináší především podrobný přehled o kontrolní činnosti Úřadu, a to včetně konkrétních příkladů z provedených kontrol a z nich plynoucích poznatků. Oproti předchozím výročním zprávám jsme se ji opět snažili napsat čtivější a stručnější. Naším cílem je, aby výroční zpráva přinesla využitelné informace o rozhodování Úřadu a také o tom, jak Úřad interpretuje evropské obecného nařízení o ochraně osobních údajů, stejně jako český zákon o zpracování osobních údajů.

Podobně jako v roce 2020, vyvstávala i v loňském roce nemalá rizika pro zajištění odpovídající ochrany osobních údajů. To se dělo především ve vztahu k dobře míněným opatřením přijímaným pro ochranu životů a zdraví obyvatelstva. Veškerá preventivní opatření, jejichž cílem je zabránit šíření nakažlivé nemoci, totiž už ze své samotné podstaty obsahují určitou formu vyhodnocení a označení lidí či skupin lidí, jako „rizikových“ a předpokládají tedy nakládání s osobními údaji těchto osob spojené s přiřazením určitých kategorií. Se zařazením do kategorií dle zdravotního stavu navíc byla spojena značná ingerence do ústavních práv a svobod občanů.

A právě v okamžiku prvotního rozhodování o přijetí tohoto typu opatření logicky dochází ke střetu dvou chráněných zájmů. Tedy, ochrana života a zdraví na straně jedné a ochrana soukromí (jakožto nedílné složky svobody jednotlivce) na straně druhé. Úkolem Úřadu tak bylo poskytnout odbornou podporu a pomoc správcům i zpracovatelům osobních údajů s cílem minimalizovat negativní dopady protipandemických opatření na nejnižší možnou úroveň, a to při zachování efektivity těchto opatření. Citlivé nastavení prvotních podmínek rozřazení do kategorií, pokud je to tedy vůbec nutné a oprávněné, má zprostředkovaně pozitivní dopad i na snížení zásahu do ostatních základních práv a svobod, a to jak zúžením okruhu osob, na které dopadne, tak i z hlediska míry intenzity takového zásahu. Věřím, že se nám v této oblasti jistých úspěchů dosáhnout podařilo. Úřad poskytoval maximální možnou součinnost a podporu všem subjektům, které krizovou pandemickou situaci řešily. Byl to Úřad pro ochranu osobních údajů, kdo zpracoval doporučení pro zaměstnavatele pro testování zaměstnanců na pracovištích včetně vzorů dokumentů, poskytovali jsme konzultace Ministerstvu zdravotnictví ČR ve věci nastavení interoperability aplikace eRouška, zpracovali jsme věcné doporučení k zavedení tzv. očkovacích pasů a co je, myslím, podstatné, vždy jsme upozorňovali na faktická úskalí mimořádných opatření z hlediska zpracování a ochrany osobních údajů.

Postavení jasného a trvalého právního rámce zpracování osobních údajů podle čl. 6 obecného nařízení Úřad považuje za prioritu. Tím byly určovány naše kroky v době pandemie. Proto jsme několikrát upozornili, že neurčitý a mezerovitý text pandemického zákona1 řešení krize neusnadní. Bezbřehé a právně neomezené zmocnění bez odstupňovaných zákonných limitů nejen neúměrně přetěžuje orgány vydávající konkrétní opatření, ale jejich akty nemohou z hlediska zákonnosti obstát před soudem. Nejvyšší správní soud následně zrušil celou řadu opatření obecné povahy, která byla přijata k provedení pandemického zákona Z této skutečnosti vyplývá, že uvedeného cíle, tedy postavení jasného a trvalého právního rámce zpracování osobních údajů, se pandemickým zákonem dosáhnout nepodařilo. Ministerstvo zdravotnictví následně v prosinci loňského roku předložilo novelu pandemického zákona, kde jsme uplatnili zásadní věcné a ústavně-právní připomínky, které uplatňoval i v dalším legislativním procesu tohoto návrhu. Jakkoli byla novela pandemického zákona nakonec Poslaneckou sněmovnou schválena, část našich výhrad však zůstává a pokud bude na podzim tohoto roku Česká republika zasažena další očekávatelnou vinou COVIDu, nelze, než doufat, že příští legislativní návrh již konečně největší problémy stávající legislativy vyřeší. My jsme vždy připraveni být v této činnosti nápomocnými. Považujeme za nezbytné, abychom společným úsilím napříště dokázali řešit otázky ochrany soukromí a minimalizace zásahů státu do práv občanů na samotném počátku přípravy jakékoli právní regulace vztahů a aby nebyly do návrhů legislativních předloh doplňovány ex post pod tlakem ostatních ústavních institucí, případně veřejnosti.

Naše výroční zpráva jako již tradičně představuje nejdůležitější výsledky dozorové činnosti Úřadu v oblasti zpracování osobních údajů prezentovaných na příkladech vybraných kontrol. Dozorová činnost se v roce 2021 soustředila zejména na zpracování osobních údajů v rezervačním systému k očkování, projektu tzv. Chytré karantény a v neposlední řadě i v zaměstnaneckých vztazích. Provedli jsme kontrolu předávání dat osob nacházejících se v karanténě a v izolaci Policií ČR a negativně jsme se vymezili i proti využívání databází osob pro rozesílání roušek ze strany Ministerstva práce a sociálních věcí, České zprávy sociálního zabezpečení a Ministerstva vnitra.2