RODO dotyczy wyłącznie przetwarzania danych zautomatyzowanego oraz niezautomatyzowanego, acz dotyczącego zbioru danych. Jak zatem traktować użycie aplikacji do zeskanowania kodu (pokazanego na kartce lub na wyświetlaczu sprytfonu) i przedstawienia zakodowanych danych w postaci czytelnej dla człowieka? Czy zatem skanowanie certyfikatu COVID-19 może być kwalifikowane jako przetwarzanie danych osobowych — czy jednak w takim przypadku aparat nie różni się zasadniczo od oka człowieka, a skoro patrzenie przetwarzaniem danych nie jest…?
wyrok Trybunału Sprawiedliwości UE z 5 października 2023 r. w/s Ministerstvo zdravotnictví (C-659/22)
Termin „przetwarzanie” danych osobowych, o którym mowa w art. 4 pkt 2 RODO dotyczy również sytuacji, gdy państwo członkowskie sprawdza ważność [certyfikatów COVID-19] za pośrednictwem krajowej aplikacji mobilnej (…).
Sprawa zaczęła się od decyzji rządu Czeskiej Republiki nakazującej organizatorom imprez masowych oraz usługodawcom prowadzącym działalność w niektórych obiektach kontrolować ich klientów na okoliczność braku zakażenia COVID-19, a to poprzez kontrolę certyfikatów COVID-19 przy użyciu aplikacji mobilnej čTečka.
We wniesionej skardze jeden z obywateli zarzucił, iż uzależnienie zgody na wstęp do określonych miejsc od zgody na zeskanowanie kodu skutkujące przetwarzaniem danych osobowych prowadziło do nadmiernego ograniczenia praw osobistych, zwłaszcza prawa do ochrony prywatności, zwłaszcza w świetle tego, że nie zagwarantowano żadnych wynikających z RODO warunków zautomatyzowanego przetwarzania danych.
W ocenie czeskich władz argumenty te były o tyle nietrafne, że posłużenie się aplikacją było tylko jednym ze sposobów kontroli — równie dobrze każdy mógł okazać kod w postaci fizycznej, zaś kontrola wizualna zaświadczenia nie prowadzi ani do do zautomatyzowanego przetwarzania, ani nie polega na przetwarzaniu danych w zbiorze. Owszem, aplikacja skanuje kod QR certyfikatu i chwilowo wyświetla podstawowe dane identyfikacyjne, weryfikując klucz publiczny — ale ich nie przechowuje i nigdzie nie wysyła (upraszczając: aparat sprytfonu jest w tym przypadku niczym innym, niż „okiem”, które „ogląda” określony zapis i go interpretuje).
art. 2 ust. 1 rozporządzenia 679/2016 o ochronie danych osobowych
Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
motyw 48 rozporządzenia 2021/953 w/s unijnego cyfrowego zaświadczenia COVID
Do przetwarzania danych osobowych w ramach wykonywania niniejszego rozporządzenia zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679. W niniejszym rozporządzeniu ustanawia się podstawę prawną przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 lit. c) i art. 9 ust. 2 lit. g) rozporządzenia (UE) 2016/679, niezbędnych do wydawania i weryfikowania interoperacyjnych zaświadczeń przewidzianych w niniejszym rozporządzeniu (…)
art. 1 rozporządzenia w/s unijnego cyfrowego zaświadczenia COVID
Stanowi ono podstawę prawną przetwarzania danych osobowych niezbędnych do wydawania takich zaświadczeń oraz podstawę prawną przetwarzania informacji niezbędnych do weryfikacji i potwierdzania autentyczności i ważności takich zaświadczeń z zachowaniem pełnej zgodności z rozporządzeniem (UE) 2016/679.
Nejvyšší správní soud zwrócił uwagę, iż można mieć wątpliwość, czy operacja polegająca na przetworzeniu danych z formy maszynowej i wyświetleniu ich w postaci czytelnej dla człowieka może być traktowana jako przetwarzanie danych osobowych w rozumieniu RODO — bo czym się ono właściwie różni od rzucenia okiem na tę samą kartkę lub wyświetlacz klienta? Wszakże TSUE już wcześniej uznał, na gruncie rozporządzenia 2018/1725 w/s ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych, iż skanowanie kodu QR na certyfikacie COVID-19 jest przetwarzaniem danych osobowych, wyrok TSUE z 27 kwietnia 2022 r. w/s Roos vs. Parlament Europejski, T‑710/21, T‑722/21 i T‑723/21).
Trybunał Sprawiedliwości UE zwrócił uwagę, iż rozporządzenie wprowadzające certyfikat COVID-19 wprost odwołują się do RODO i przetwarzania danych osobowych, zaś jego treść wyraźnie wskazuje, iż elementem zaświadczenia o szczepieniu / wyniku testu / ozdrowieniu są dane pozwalające określić tożsamość posiadacza certyfikatu. Natomiast tłumaczenie zakodowanych danych osobowych z formy maszynowej na formę czytelną dla człowieka odbywa się przy pomocy zautomatyzowanej procedury, tj. oprogramowania i systemów teleinformatycznych. Nie można mieć zatem większych wątpliwości, iż skanowanie w aplikacji certyfikatu COVID-19 prowadzi do przetwarzania informacji o zidentyfikowanej osobie — a więc jest to przetwarzanie danych osobowych w rozumieniu RODO. Trzeba mieć przy tym na uwadze, iż definicja przetwarzania ma szeroki i otwarty charakter, a więc obejmuje automatyzowaną procedurę pozwalającą kontrolującemu wgląd w dane osobowe klienta.
Biorąc pod uwagę taką wykładnię TSUE podpowiedział, iż sąd odsyłający powinien teraz sprawdzić, czy przy skanowaniu zaświadczeń COVID-19 na gruncie czeskiego prawa zachowano warunki RODO w zakresie zasad i przesłanek przetwarzania danych osobowych — jeśli nie, odwołanie może okazać się uzasadnione.