ÚOOÚ - Reakce na výsledné znění mimořádného opatření k evidenci zákazníků v provozovnách

Úřad s ohledem na publikaci konečného znění mimořádného opatření doplňuje své stanovisko K vedení evidence zákazníků některými poskytovateli služeb a k prokazování výsledků testů na SARS-CoV-2 ze strany zákazníků ze dne 29. dubna 2021.

S ohledem na skutečnost, že mimořádné opatření bylo vyhlášeno v pozměněném znění oproti verzi zveřejněné vládou dne 26. dubna 2021, a to pod č. j. MZDR 14601/2021-7/MIN/KAN ze dne 29. dubna 2021, je třeba korektně upozornit na změnu, jež může mít vliv na dílčí závěry Úřadu prezentované v odkazovaném vyjádření a na provádění mimořádného opatření ze strany poskytovatelů služeb.

Až v připojeném odůvodnění mimořádného opatření byl zmíněn rozsah zpracovávaných osobních údajů a doba jejich uchování. Odůvodnění k tomu uvádí: „Evidence údajů poskytovatele služby je na dobu nezbytnou pro provedení epidemiologického šetření orgánem ochrany veřejného zdraví, a to v nezbytném rozsahu. Taková evidence, aby mohla sloužit pro uvedený účel, by měla obsahovat identifikaci zákazníka (jméno, příjmení), kontaktní údaje zákazníka (nejlépe telefonní číslo), informaci o čase poskytnutí služby (od kdy, do kdy) a informaci, který zaměstnanec poskytoval služby tomuto zákazníkovi. Tuto evidenci by měl poskytovatel uchovávat 30 dnů.“ 

Ačkoliv tím nebyly zhojeny pochybnosti o právním základu pro nařízení povinnosti vést evidenci zákazníků, a to specificky s uvedenými parametry, absence posouzení vlivu na ochranu osobních údajů či řada dalších vytknutých nedostatků, jedná se o indikaci, v jakém maximálním rozsahu bude evidence ze strany orgánů veřejného zdraví či jiných kontrolních orgánů od poskytovatelů služeb vyžadována. 

Bez ohledu na to lze poskytovatelům služeb doporučit, budou-li zpracovávat osobní údaje vymezené v odůvodnění mimořádného opatření, aby nepřekračovali indikovaný rozsah údajů a dobu jejich uchování. Zvláště je nutno zdůraznit, že součástí evidence nemá být originál či kopie listiny, kterou se osvědčují skutečnosti, jimiž je vstup do provozovny podmíněn (potvrzení, prohlášení, certifikáty).  

Zároveň je nutno obecně upozornit, že odpovědnost za eventuální následně zjištěnou protiprávnost mimořádného opatření ve kterémkoliv jeho ustanovení stíhá primárně původce mimořádného opatření, nikoliv adresáty povinností, vůči nimž není ani stanoveno, zda „pro potřeby epidemiologického šetření“ vystupují v pozici správců nebo zpracovatelů osobních údajů. Přitom ze strany poskytovatelů služeb by měla být každopádně naplněna informační povinnost vůči zákazníkům, že údaje obsažené v seznamu zákazníků (identifikační a kontaktní údaje), jimž byla poskytnuta služba, mohou být předány orgánům ochrany veřejného zdraví za účelem trasování nákazy COVID-19. 

Ve zbytku Úřad odkazuje na své vyjádření ze dne 29. dubna 2021.