Úřad pro ochranu osobních údajů zveřejňuje vyjádření k mimořádnému opatření ministerstva zdravotnictví ze dne 19. března 2020, které nařizuje provozovatelům mobilních komunikačních sítí (operátorům) a bankám zpracovávat „provozně-lokalizační“ údaje a údaje „o době a místě použití elektronického platebního prostředku“, tedy o pohybu a chování osob nakažených nemocí COVID-19.
Úloha ochrany osobních údajů a role správců při mimořádných opatřeních
Je zákonnou povinností odpovědných státních orgánů i soukromých subjektů v postavení správců, tedy těch, kdo za zpracování osobních údajů odpovídají (dále jen „správci“), provést analýzu rizik požadovaných operací zpracování osobních údajů a při zavádění zpracování postupovat transparentně, tedy řádně vysvětlit potřebná opatření. Tím mj. odstraní případné pochybnosti o probíhajícím zpracování údajů a neodůvodněnosti zásahů do soukromí.
Za nouzového stavu a při mimořádných opatřeních je nutno vycházet z předpokladu, že zpracování údajů za striktně stanoveným účelem, kterým je boj s pandemií, případně předcházení zhoršení pandemické situace, budou adekvátní, účinná a časově omezená. Každý správce může, po provedené analýze a při řešení hrozících rizik, konzultovat s Úřadem pro ochranu osobních údajů, který je ze zákona dozorovým úřadem.
Základem je postup podle zákona o ochraně veřejného zdraví
Ministerstvo zdravotnictví vydalo mimořádné opatření čj. MZDR 12398/2020-1/MIN/KAN ze dne 19. března 2020 na základě usnesení vlády č. 250 ze dne 18. března 2020 upravujícího mj. tzv. „orientační trasování“ polohy osob, u kterých bylo prokazatelně potvrzeno onemocnění COVID-19 v rámci epidemiologického šetření stanoveného zákonem.
Konkrétním základem pro zpracování osobních údajů je nejen mimořádné opatření, ale zejména úprava postupů, která platí nejen v rámci plnění mimořádného opatření stanovených ministerstvu i krajským hygienickým stanicím zákonem o ochraně veřejného zdraví (zákon č. 258/2000 Sb.).
Zpracování údajů veřejnými orgány
Pravidla ochrany osobních údajů obecně považují zpracování údajů státními úřady za postup při výkonu veřejné moci, příp. ve veřejném zájmu (čl. 6 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů: „Zpracování je zákonné, pouze pokud je splněna podmínka… nezbytnosti pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce… a pouze v odpovídajícím rozsahu“).
Při plnění konkrétních úkolů pak postupují podle zvláštních zákonů, zejména zákona o ochraně veřejného zdraví. Státní orgány mohou na základě tohoto zákona, v mezích mimořádného opatření a při dodržení zásad ochrany osobních údajů, tj. v nezbytně nutném rozsahu a na nezbytně nutnou dobu, ukládat postupy a povinnosti obsahující zpracování údajů, které musí další subjekty i osoby dotčené zpracováním strpět.
Zpracování údajů soukromými správci
Mimořádné opatření stanoví, že správci budou postupovat na výzvu státních orgánů a v mezích opatření. Povinnosti uložené v návaznosti na plnění mimořádného opatření ministerstvem i krajskými hygienickými stanicemi tyto povinné subjekty vykonávají v rámci zpracování nezbytného pro splnění úkolu prováděného ve veřejném zájmu, v mezích čl. 6 odst. 1 písm. e) obecného nařízení. Přitom je výhradně na každém operátorovi či bance, jak vymezí a konkrétně provede požadované zpracování údajů o chování, vymezené v žádosti ministerstva či krajské hygienické stanice, zejm. určením osoby a uvedením požadovaného období.
Soukromým správcům jsou zákony, i mimo období mimořádného stavu, uloženy povinnosti týkající se vydávání údajů, např. se jedná o § 38 odst. 10 zákona č. 21/1992 Sb., o bankách, který stanoví, že „zprávu o záležitostech týkajících se klienta, které jsou předmětem bankovního tajemství, podá banka v souvislosti se svým podnikáním na území jiného státu i bez souhlasu klienta, pokud je to nutné ke splnění povinnosti uložené právním řádem státu, na jehož území podniká“. Tuto skutečnost je nutno zohlednit i za nouzového stavu a při provádění tuzemských i přeshraničních opatření před šířením a zavlečením infekčních onemocnění.
Limity zpracování údajů
Zpracování prováděné státem, operátorem či bankou ke splnění ukládaného úkolu musí zahrnovat pouze nezbytné operace, které je nutno provádět přiměřeně v rámci úzce vymezeného účelu. Tím je řešení pandemické situace a za dodržení všech stanovených podmínek uvedených v mimořádném opatření a také stanovených v obecném nařízení.
To především znamená, že je třeba dodržet zásady zpracování údajů včetně záměrné a standardní ochrany. Základem přístupu správce k řešení problémů zpracování je striktní dodržení velmi úzce stanoveného účelu výlučně pro zjištění možného ohniska nákazy a šíření této nákazy. Rovněž záleží na dodržení velmi krátké doby pro uchovávání údajů v této souvislosti zjištěných.
Doba zpracování údajů
Mimořádné opatření stanoví uchovávat osobní údaje pouze po dobu nezbytně nutnou, v případě neanonymizovaných údajů nikdy ne delší než šest hodin. Zpracování takových údajů každým operátorem či bankou musí být nejpozději po šesti hodinách ukončeno. Získané údaje musí být poté vymazány nebo plně anonymizovány, aby nedošlo k jejich zneužití pro jiný účel, než je boj s koronavirem.
Pouze takový postup je naplněním zásady minimalizace, jedné ze základní zásad ochrany osobních údajů. Současně takto stanovená doba působí jako záruka naší ochrany.
Transparentní informování veřejnosti
V současné situaci je nanejvýš nutné, aby odpovědní správci – ministerstvo zdravotnictví a krizový štáb – řádně informovali veřejnost. Odpovědný přístup může odstranit obavy jak laické, tak odborné veřejnosti z ohrožení soukromí a posílit důvěru veřejnosti v právní stát.
Soukromý zpracovatel osobních údajů pro stát
Pravidla ochrany osobních údajů umožňují, aby stát využíval soukromé technické zpracovatele. Výrazně však omezuje přenesení úředních agend, vč. rozhodování, na soukromé subjekty. Zapojení zpracovatele vyžaduje přesnou specifikaci nejen zabezpečení, ale celého zpracování, včetně sdílení a předávání dat, ve zpracovatelské smlouvě.
Podle veřejně dostupných informací uzavřelo ministerstvo zdravotnictví smlouvu se subjektem provozujícím tzv. telefonické „call centrum“ (TCC). Úřad pro ochranu osobních údajů ministerstvo vyzval k předložení dokladů týkajících se projektu chytrá karanténa, protože s ním připravovaná opatření nebyla dosud konzultována.