Blog

Projekt Chytrá karanténa a GDPR

Chytrá karanténa má za sebou „zkušební provoz“ a v současné době by se měla začít realizovat naplno.  Z řad veřejnosti se ale ozývají i silné protesty, nejčastěji upozorňující na možné zneužití osobních údajů. Je tedy chytrá karanténa v souladu s GDPR? Na to jsme se zaměřili v následujícím článku.

Chytrá karanténa je systém, který povede k včasnému zachycení, testování infekčního onemocnění COVID-19 a izolaci v karanténě co největšího počtu potenciálně nakažených osob. Součástí toho je ve spolupráci s nakaženými vytipování kontaktů, na které mohli přenést virus. Spočívá v tom, že krajská hygienická stanice na základě mobilních dat od operátorů vytvoří „vzpomínkovou mapu“ míst, na kterých se nakažený pohyboval. KHS tedy „sesbírá“ co nejvíce dat o nakaženém a tyto se pak zanesou do mapy, aby se rychleji a efektivněji zjistilo, kde se nakažený pohyboval nebo s kým mohl přijít do kontaktu. Chytrá karanténa je u nás vystavena na souhlasu subjektu s poskytnutím údajů. Nicméně i když se subjekt rozhodne neposkytnout souhlas, i přesto je povinnost dle jiného právního předpisu poskytnout příslušným orgánům informace, kde se subjekt pohyboval. Tímto právním předpisem je zák. č. 258/2000 Sb., zákon o ochraně veřejného zdraví. Dle ust. § 62a tohoto zákona jsou příslušné orgány ochrany veřejného zdraví oprávněny provádět epidemiologické šetření zaměřené zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu ochrany veřejného zdraví na jeho výzvu okolnosti důležité v zájmu epidemiologického šetření.  Ustanovení § 79 téhož zákona představuje právní rámec pro sběr osobních údajů v případě ochrany a podpory veřejného zdraví. Je tedy zřejmé, že i přes neudělení souhlasu pro účely chytré karantény, je subjekt povinen sdělit určité informace o svém pohybu či osoby, se kterými jsem se setkal.

Podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) musí být osobní údaje shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Dále pak musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Aby bylo zpracování osobních údajů dle GDPR zákonné, musí být naplněn jeden ze šesti uvedených důvodů. Na problematiku chytré karantény pak bude postačující první z uvedených důvodů, a tím je udělení souhlasu subjektem údajů pro jeden či více konkrétních účelů. Správce údajů (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) pak bude muset být schopen doložit, že subjekt tento souhlas udělil. Aby mohl být souhlas dle GDPR pokládán za informovaný, je nutné, aby správce údajů poskytl tzv. informační povinnost. Neposkytne-li správce subjektu údajů srozumitelnou informaci, jde o neplatný souhlas. Subjekt údajů má také právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

Chytrá karanténa je projekt, který může být účinný v boji proti šířící se epidemii, avšak představuje výrazný zásah do soukromí a ochrany osobních práv jednotlivce. Intenzita zásahu je patrně přiměřená aktuální situaci, avšak pouze krátkodobě po dobu trvání nejvážnější fáze této epidemie dle příslušných odborných kritérií. Právní titul zpracování údajů spočívající ve výslovném souhlasu subjektu údajů se zpracováním je formálně dostatečnou zárukou souladu s GDPR, pokud jde o důvod zpracování. Prozatím však nemáme podrobnější informace k tomu, jaké jsou učiněny záruky, že údaje budou uchovány pouze po dobu trvajícího nouzového stavu, že budou skutečně vyžadovány údaje pouze od subjektů, kteří souhlas udělily a v rozsahu pouze nezbytně potřebném pro fungování chytré karantény. Zejména pak nejsou dosud známy přesná opatření, že získané údaje nebudou moci být zneužity a že budou dostatečně chráněny před případnými útoky.  Opatrný je v této věci i Úřad pro ochranu osobních údajů, který dosud neobdržel od příslušných orgánů nezbytné informace o fungování chytré karantény.  Dle jeho stanoviska ze dne 11. 4.2020 bez klíčových informací o tom, jaká konkrétní opatření a technologie k ochraně osobních údajů správce a jeho zpracovatel použili, nelze blíže odborně komentovat zprávy o dosud přijatých opatřeních, o dostatečnosti záruk ochrany soukromí, o rizikovosti operací zpracování a o vhodné ochraně údajů před zneužitím v elektronickém a on-line prostředí.

Projekt chytré karantény se tedy jeví jako potřebný a potenciálně účinný prostředek v boji s virovou epidemií. Chybějící informace v současné době však znamenají velký otazník nad celým projektem a mohou způsobit, že se do projektu nezapojí tolik subjektů, kolik by bylo třeba.

Kontaktujte nás

Jsme tu pro vás. Neváhejte nás kontaktovat s vašimi dotazy, připomínkami, náměty či poptávkami.

Mgr. Petr Juráň, advokát, zapsaný v seznamu advokátů vedeném Českou advokátní komorou pod ev. č. 11674, IČO: 714 66 282, adresa sídla Dvořákova 588/13, 602 00 Brno a adresa pobočky Svitavská 2383/1b, 678 01 Blansko.


Informace pro spotřebitele: Česká advokátní komora byla s účinností od února 2016 pověřena Ministerstvem průmyslu a obchodu ČR mimosoudním řešením spotřebitelských sporů pro oblast sporů mezi advokátem a spotřebitelem ze smluv o poskytování právních služeb (na základě zákona č. 634/1992 Sb., o ochraně spotřebitele, ve znění pozdějších předpisů). Internetová stránka tohoto pověřeného subjektu je www.cak.cz.


COOKIES   |   ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ


© 2017 Advokátní kancelář JURÁŇ. Created by RAAi.