ZDROJ: ŠILHÁNKOVÁ, I. a HANÁK, J. Ochrana osobních údajů ve světle epidemie koronaviru In: epravo.cz

Ochrana osobních údajů ve světle epidemie koronaviru

Současná situace ohledně epidemie koronaviru (COVID-19) ovlivňuje společenské vztahy napříč všemi odvětvími. Zájem společnosti se pochopitelně upíná k naději na nalezení řešení, jak se s touto nastalou epidemií v co nejkratším čase vypořádat. V současné době, kdy stále platí nouzový stav vyhlášený Vládou České republiky, byla přijata různá opatření za účelem zamezení rozšiřování epidemie, přičemž některá se ve svém důsledku dotýkají i základních práv a svobod občanů. V obecné rovině je nouzový stav okolnost, která pochopitelně může legitimizovat omezení svobod, ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na nezbytně dlouhou dobu.

V souvislosti s nouzovým stavem je proto možné na aktuální situaci nahlížet i z pohledu ochrany základních práv a svobod, resp. v užším zaměření z pohledu ochrany osobních údajů. Přestože povinnosti v souvislosti se zpracováním osobních údajů by v žádném případě neměly jakkoliv komplikovat, nebo dokonce znemožňovat záchranu lidských životů, nemělo by docházet z nepřiměřených důvodů k jejich přehlížení či snad až ignoraci.

Problematika ochrany osobních údajů je stále významná z pohledu jednotlivce (subjektu údajů), obzvlášť v situaci, kdy se veřejnost každý den dozvídá prostřednictvím médií informace o zdravotním stavu osob, které byly pozitivně otestovány na COVID-19 a aktuálně se léčí.

Údaje o zdravotním stavu spadají do tzv. zvláštní kategorie osobních údajů podle článku 9 obecného nařízení1Nařízení Evropského parlamentu a Rady (EU) 2015/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a jako takové požívají všeobecně zvýšené ochrany. Zneužití těchto údajů, případně jejich nevhodné a necitlivé užívání, totiž může také velmi významně zasáhnout do osobní sféry jednotlivců, ovlivnit jejich společenské vztahy v komunitě, a tím narušit jejich přirozené právo na ochranu osobnosti, respektive soukromí. Proto, ať již z důvodu předcházení nepřiměřeným reakcím veřejnosti na jakékoliv informace (i ty zatím nepotvrzené) o výskytu nákazy2Dva senátoři, kteří byli v Itálii, museli do karantény. Nákazu koronavirem u nich testy neprokázaly, iRozhlas.cz [online]. [cit. 2020-04-06]. K dispozici >>> zde., nebo předcházení možnému zneužití aktuální situace k jinak neoprávněnému shromažďování osobních údajů ze strany orgánů veřejné moci3KNAPOVÁ, Adéla a Bohumil PEČINKA, Šmírování díky koronaviru: Vláda chce využít krize ke sledování občanů, citlivá data bude sbírat i po karanténě. Reflex.cz [online]. [cit. 2020-04-06]. K dispozici >>> zde. (nebo dokonce soukromých společností), by problematice ochrany osobních údajů minimálně ze strany odborné veřejnosti měla být stále (a věřme, že je) věnována adekvátní pozornost. Informování veřejnosti o průběhu epidemie koronaviru prostřednictvím médií je nepochybně žádoucí, ale také může znamenat potenciálně i narušení soukromí dotčených osob.

K situaci již vyjádřil své stanovisko rovněž Evropský sbor pro ochranu osobních údajů („EDPB“)4Stanovisko Sboru ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19, Úřad pro ochranu osobních údajů [online]. [cit. 2020-04-06]. K dispozici >>> zde.. Toto stanovisko se vyjadřuje k základním oblastem jako je zákonnost a základní zásady zpracování, užití mobilních dat o poloze mobilních zařízení a věnuje se rovněž oblasti zaměstnávání. Připomíná, že obecné nařízení je široký právní předpis stanovující pravidla, která platí i pro zpracování osobních údajů v situacích jako je tato souvisící s epidemií koronaviru.

Zákonnost zpracování orgány veřejné moci a zaměstnavateli

Výše uvedené stanovisko připomíná, že pokud jde o zákonnost zpracování osobních údajů orgány veřejné moci a zaměstnavateli v souvislosti s epidemií, obecné nařízení umožňuje jejich zpracování, a to v souladu s národním právem a za podmínek v něm stanovených. Pokud je zpracování nezbytné z důvodu významného veřejného zájmu v oblasti veřejného zdraví, není potřeba se opírat o souhlas subjektů údajů. Dle Úřadu pro ochranu osobních údajů v konkrétních situacích je zaměstnavatel povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval – mluví se o tzv. prevenční povinnosti. Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou. Zaměstnavatelé musí také v rámci preventivní povinnosti informovat o rizicích vhodným způsobem ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Tehdy zaměstnavatel postupuje tak, že učiní veškerá nezbytná opatření. Skutečnosti o konkrétní osobě by měl zaměstnavatel sdělovat pouze v rozsahu nezbytném k ochraně zdraví, vždy tak aby nebyla dotčena důstojnost a integrita této osoby5Ke zpracování osobních údajů v rámci opatření proti šíření koronaviru, Úřad pro ochranu osobních údajů [online]. [cit. 2020-04-06]. K dispozici >>> zde..

Podle stanoviska EDPB „obecné nařízení také předpokládá odchylky ze zákazu zpracování určitých zvláštních kategorií osobních údajů, jakými jsou zdravotní údaje, kde je to nutné z důvodů významného veřejného zájmu v oblasti veřejného zdraví (Článek 9, odst. 2, písm. i), na základě práva Unie nebo členského státu nebo kde je to nutné pro ochranu životně důležitých zájmů subjektu údajů (Článek 9, odst. 2, písm. c), přičemž recitál 46 výslovně zmiňuje monitorování epidemií.“

Využití tzv. chytré karantény

Velmi aktuální je rovněž otázka zpracování osobních údajů v souvislosti s využitím systému tzv. chytré karantény (neboli orientačního trasování polohy osob), využívající zejména údaje o poloze z mobilních telefonů a údajů o době a místě použití elektronického platebního prostředku. Tato data, která jsou zásadně chráněna v rámci důvěrnosti komunikace a bankovního tajemství, mohou správci využívat pouze v anonymizované podobě nebo se souhlasem subjektů údajů. V případě chytré karantény je základní myšlenkou vytvoření mapy o pohybu infikovaného člověka za určité časové období, a to za využití výše zmíněných údajů.

Vláda České republiky usnesením ze dne 18. 3. 2020 schválila nastavení pravidel a vytvoření právního rámce tzv. chytré karantény, a to za následujících podmínek. Ministerstvo zdravotnictví pověří Krajskou hygienickou stanici (KHS) Praha uzavřením smlouvy o spolupráci, na základě které bude dodavatel kontaktovat osobu s pozitivním výsledkem na COVID-19 a v případě jejího předchozího souhlasu, získaného KHS Praha, využije provozní a lokalizační údaje jejího mobilního telefonu k vyhledávání osob, se kterými nakažený člověk byl v relevantním kontaktu a které mohou být ohroženy nákazou. V případě využití prostředků elektronického platebního styku se postupuje obdobně, s tím, že data bank jsou získány nejdříve KHS Praha a následně, s předchozím souhlasem dotčených osob, předány dodavateli za účelem jejich kontaktování. Pokud nakažený nebude souhlasit s poskytnutím údajů od operátora a banky, bude s ním hygienik vést rozhovor, během kterého se ho rovněž bude snažit zjistit, kde všude se pohyboval a s jakými dalšími lidmi se potkal. Potenciálně nakažení by měli být následně co nejrychleji izolováni a testováni.6Co je chytrá karanténa? Mohla by nahradit plošná opatření a pomoci rychle zvládnout epidemii, iRozhlas.cz [online]. Praha [cit. 2020-04-06]. K dispozici >>> zde.

Záměr Vlády založit používání těchto údajů k trasování obyvatel na základě jejich souhlasu může pramenit ze snahy o co nejvyšší míru transparentnosti a informovanosti v rámci společnosti. Ne všechna zavedená opatření totiž mají ve společnosti všeobecný konsenzus. Leckdo by mohl namítnout, že ze strany orgánů veřejné moci může docházet až k zneužití současné situace k neodůvodněnému zásahu do soukromí obyvatel.

Z pohledu ochrany osobních údajů se nabízí otázka, zdali je vyžadování souhlasu osob v daném případě vhodným právním titulem pro zpracování potřebných údajů (údajů o pohybu infikovaných osob). Výše uvedené stanovisko EDPB říká, že pokud je zpracování nezbytné z důvodu významného veřejného zájmu v oblasti veřejného zdraví, není potřeba se za těchto okolností opírat o souhlas jednotlivců. Právním titulem by mohl tedy být spíše čl. 6 odst. 1 písm. e) GDPR. V takovém případě je však vyžadování souhlasu subjektů údajů právním titulem již nadbytečným, a z pohledu GDPR tedy nesprávným.

Co se týče veřejnosti, může být vyžadování souhlasu vnímáno jako správný krok, nicméně z pohledu právní úpravy bude minimálně diskutabilní. Prozatím se však ukazuje, že občané z drtivé většiny souhlas poskytují.7Chytrá karanténa (téměř) v praxi. Skoro všichni oslovení souhlasili s využitím dat, říká vládní zmocněnec, ct24.ceskatelevize.cz [online]. [cit. 2020-04-06]. K dispozici >>> zde.

Pokud odhlédneme od právního titulu pro zpracování osobních údajů, určitě je žádoucí, že Vláda České republiky si je vědoma možných problematických aspektů spojených s využíváním tzv. chytré karantény, z nichž některé již byly výše nastíněny. V předkládacím návrhu k tomuto opatření je uvedeno, že „při vyžadování a poskytování předmětné součinnosti nezbytné v maximální míře respektovat základní principy ochrany nejen výše uvedeného veřejného zájmu na ochraně veřejného zdraví, ale i ústavní práva na ochranu soukromí a osobních údajů. Oba tyto zájmy musí být vždy v potřebné rovnováze, proto informace musí být poskytnuty pro zákonný účel a pouze pro ten také dále využity, rozsah poskytnutých informací musí být přiměřený pro naplnění/dosažení daného účelu a nesmí jít tedy nad jeho nezbytný rámec, a rovněž je třeba, aby ani případná doba, po kterou budou takové informace poskytovány, nepřesáhla hranici nezbytnou pro naplnění/dosažení vymezeného účelu“.

Opatření Ministerstva zdravotnictví ze dne 19. 3. 2020 upravilo následující podmínky fungování tohoto systému, jejichž uplatnění v praxi budeme sledovat v nejbližších dnech.

„Před vyslovením souhlasu musí být proto osoby příjemcem těchto údajů zřetelně a jasně informovány alespoň o tom, že:

  • údaje nebo výsledky zpracování budou subjekty podle bodu I. předávány příjemci, který bude jejich správcem,
  • výlučným účelem zpracování údajů je provedení epidemiologického trasování přenosu COVID-19 a k provedení identifikace rizikových skupin obyvatelstva až na úrovni jednotlivých uživatelů ohrožených COVID-19,
  • operátorem budou zpracovány a předány provozně lokalizační údaje za dobu maximálně tří týdnů zpětně a v případě bank budou zpracovány a předány některé existující údaje o využití elektronického platebního prostředku,
  • subjekt údajů je oprávněn vzít souhlas kdykoli zpět.

Údaje podle bodu I. lze uchovávat pouze po dobu nezbytně nutnou pro splnění účelu. Tato doba nesmí být nikdy delší než 6 hodin. Údaje podle bodu I., které nejsou v jednotlivých případech nadále nezbytné ke splnění účelu, se vymažou bezprostředně po ukončení doby zpracování, nejdéle však v uvedené lhůtě 6 hodin.“8Mimořádné opatření – nařízení pro operátory veřejných mobilních komunikačních sítí a banky [online]. [cit. 2020-04-06]. K dispozici >>> zde.

Závěr

Jak připomíná EDPB ve svém stanovisku, „opatření využívající údaje jinak chráněné zásadami důvěrnosti komunikace a bankovního tajemství musí být v souladu s Chartou základních práv a s Evropskou úmluvou o lidských právech a základních svobodách. Podléhají navíc i soudnímu dohledu ze strany Soudního dvora Evropské unie a Evropského soudu pro lidská práva. V případě nouzových situací by tato praxe měla být přísně omezena na dobu trvání dané nouze“. Přestože je všeobecná pozornost pochopitelně upínána k co nejefektivnějšímu zvládnutí epidemie, správci nemohou zcela rezignovat na dodržování standardu ochrany osobních údajů. Zveřejněné podmínky fungování systému tzv. chytré karantény neodpovídají na to, jak by měl být souhlas udělen (příp. zdali je vůbec nezbytný) nebo kdo bude mít přístup k datům. I z těchto důvodů bude nadále důležité sledovat, jak budou probíhat operace zpracování a zda budou přiměřeně respektovány základní zásady ochrany osobních údajů.

Napište nám vzkaz