Stanovisko Evropského sboru pro ochranu osobních údajů

V souvislosti s propuknutím pandemie koronaviru COVID-19 se stanovisko věnuje oblastem zákonnosti a klíčovým zásadám zpracování osobních údajů, zaměstnávání a užití mobilních dat o poloze a oblasti - monitoring výskytu nákazy pomocí moderních technologií je v zájmu celého lidstva. I v této mimořádné době je však třeba dbát na adekvátní zajištění ochrany osobních dat.

Pravidla ochrany osobních údajů (jako je obecné nařízení - GDPR) nestojí v cestě opatřením pro boj s koronavirovou pandemií. Boj s přenosnými nemocemi je záslužným cílem sdíleným všemi národy, a proto by měl mít co nejúčinnější podporu.

Monitorování šíření nemocí a využití moderních technologií v boji s těmito metlami zasahujícími velké části světa je v zájmu lidstva. Přesto Evropský sbor pro ochranu osobních údajů zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů.

Měly by tedy být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné.

Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.

1. Zákonnost zpracování

Obecné nařízení je široký právní předpis stanovující pravidla, která platí i pro zpracování osobních údajů v situacích jako je tato souvisící s COVID-19. Obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.

Pokud například je zpracování nezbytné z důvodu významného veřejného zájmu v oblasti veřejného zdraví. Za těchto okolností není potřeba se opírat o souhlas jednotlivců.

1.1 - Ve věci zpracování osobních údajů, včetně zvláštních kategorií dat, příslušnými veřejnými orgány (např. veřejné zdravotní orgány), bere sbor v úvahu, že články 6 a 9 obecného nařízení umožňují zpracovat osobní údaje, především má-li k tomu veřejný orgán zákonné pověření podle národní legislativy a splňuje-li podmínky uvedené v obecném nařízení.

1.2 - V souvislosti se zaměstnáváním může být zpracování osobních údajů nezbytné pro naplnění zákonných povinností zaměstnavatele, týkajících se třeba zdraví a bezpečnosti na pracovišti nebo veřejného zájmu, jakým je kontrola onemocnění či jiného ohrožení zdraví.

Obecné nařízení také předpokládá odchylky ze zákazu zpracování určitých zvláštních kategorií osobních údajů, jakými jsou zdravotní údaje, kde je to nutné z důvodů významného veřejného zájmu v oblasti veřejného zdraví (Článek 9, odst. 2, písm. i), na základě práva Unie nebo členského státu nebo kde je to nutné pro ochranu životně důležitých zájmů subjektu údajů (Článek 9, odst. 2, písm. c), přičemž recitál 46 výslovně zmiňuje monitorování epidemií.

1.3 - V případě zpracování telekomunikačních dat, jako jsou údaje o poloze, musí být respektovány národní zákony implementující směrnici o soukromí a elektronických komunikacích. Údaje o poloze mohou být v zásadě využity operátorem jen v anonymizované formě nebo se souhlasem jednotlivců.

Ovšem článek 15 směrnice o soukromí a elektronických komunikacích dovoluje členským státům zavést legislativní opatření pro ochranu veřejné bezpečnosti. Uplatnění takové mimořádné legislativy je možné jen pokud představuje nezbytné, odpovídající a přiměřené opatření v demokratické společnosti.

Tato opatření musí být v souladu s Chartou základních práv a s Evropskou úmluvou o lidských právech a základních svobodách. Podléhá navíc i soudnímu dohledu ze strany Evropského soudního dvora a Evropského soudu pro lidská práva.

V případě nouzových situací by tato praxe měla být přísně omezena na dobu trvání dané nouze.

2. Klíčové zásady zpracování osobních údajů

Osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.

Kromě toho by subjekty údajů měly obdržet transparentní informaci o prováděných činnostech zpracování a jejich hlavních rysech, včetně doby uchování shromážděných údajů a účelů zpracování. Poskytnuté informace by měly být snadno dostupné a napsané jasným a prostým jazykem.

Důležité je také přijmout odpovídající bezpečnostní opatření a politiku důvěrnosti zajišťující, aby osobní údaje nebyly zpřístupněny nepovolaným stranám.

Opatření přijímaná ke zvládnutí současné nouze včetně k nim vedoucího rozhodovacího procesu by měla být náležitě dokumentována.

3. Užití mobilních dat o poloze

• Mohou vlády členských států využít osobní údaje týkající se mobilních telefonů jednotlivců ve snaze monitorovat, zvládat nebo tlumit šíření COVID-19?

Vlády některých členských států zamýšlejí využít mobilní data o poloze jako možný prostředek pro sledování, zvládání nebo tlumení šíření COVID-19. To by například znamenalo možnost určovat zeměpisnou polohu jednotlivce nebo podávat jednotlivcům v určité oblasti telefonické nebo textové zprávy veřejně-zdravotního charakteru.

Veřejné orgány by se především měly snažit zpracovávat údaje o poloze anonymizovaným způsobem (tj. údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat), což by mohlo umožnit vydávat zprávy o koncentraci mobilních zařízení na určitém místě.

Pravidla ochrany osobních údajů se nevztahují na řádně anonymizovaná data.

Není-li možné zpracovat jen anonymizované údaje, pak směrnice o soukromí a elektronických komunikacích dává členským státům možnost zavést legislativní opatření k ochraně veřejné bezpečnosti (Článek 15).

Jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.

Platí rovněž zásada proporcionality. Vždy by měla být upřednostněna nejméně vtíravá řešení s ohledem na konkrétní sledovaný účel.

Invazivní opatření, jako je stopování jednotlivců (tj. zpracování starých neanonymizovaných údajů o poloze) by mohla být považována za proporcionální jen za výjimečných okolností a v závislosti na konkrétních způsobech zpracování.

Měla by však být předmětem většího dohledu a záruk pro dodržení zásad ochrany osobních údajů (přiměřenost opatření ve smyslu doby trvání a rozsahu, omezeného uchování dat a omezení účelu).

4. Oblast zaměstnávání

• Může zaměstnavatel vyžadovat od návštěvníků nebo zaměstnanců konkrétní informace o zdraví v souvislosti s COVID-19?

Zvláštní uplatnění zde naleznou hlavně zásady proporcionality a minimalizace údajů. Zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.

• Smí zaměstnavatel provádět zdravotní prohlídky zaměstnanců?

Odpověď závisí na národní legislativě týkající se zaměstnávání nebo zdraví a bezpečnosti. Zaměstnavatelé by měli mít přístup ke zdravotním údajů, případně je zpracovávat, jen pokud takovou zákonnou povinnost mají.

• Může zaměstnavatel odkrýt kolegům nebo externím osobám, že zaměstnanec je infikován virem COVID-19?

Zaměstnavatelé by měli informovat personál o případech nákazy COVID-19 a přijmout ochranná opatření, neměli by však sdělit více informací, než je nutné.

V případech, kdy bude nezbytné uvést jména virem nakažených zaměstnanců (např. kvůli prevenci) a národní právo to dovoluje, musí být dotčení zaměstnanci předem informováni a je třeba chránit jejich důstojnost a integritu.

• Jaké informace mohou být v souvislosti s COVID-19 získány od zaměstnanců ke zpracování?

Zaměstnavatelé mohou získat osobní informace ke splnění svých povinností a k organizaci práce v souladu s národní legislativou.

Za Evropský sbor pro ochranu osobních údajů - Andrea Jelinek - Předsedkyně

Evropský sbor pro ochranu osobních údajů přijal stanovisko 19. 3. 2020.

Článek Úřad pro ochranu osobních údajů ze dne čtvrtek 26. března 2020

Další články od Úřad pro ochranu osobních údajů