Často kladené otázky k ochraně osobních údajů v rámci opatření proti šíření koronaviru

• Úřad pro ochranu osobních údajů zveřejnil na svých webových stránkách často kladené otázky ke zpracování osobních údajů v rámci opatření proti šíření koronaviru: https://www.uoou.cz/ke-zpracovani-osobnich-udaju-v-ramci-opatreni-proti-sireni-koronaviru/ds-6134/archiv=1&p1=2611.

Zpracování zvláštní kategorie osobních údajů pří šíření nakažlivé nemoci

• V současné mimořádné situaci při šíření koronaviru, s přihlédnutím ke všem mimořádným opatřením vlády a jiných ústředních orgánů České republiky, dochází ve většině případů ke zpracování zvláštní kategorie osobních údajů, které je nutné chránit nad obecný rámec. Jedná se zejména o údaje o zdravotním stavu, včetně onemocnění nakažlivou chorobou (v tomto případě nemocí COVID-19). Zpracování těchto osobních údajů je založené na právních předpisech v oblasti veřejného zdraví za účelem ochrany před vážnými zdravotními hrozbami.
• Tato ochrana je právními předpisy uložena orgánům ochrany veřejného zdraví, kterými jsou typicky krajské hygienické stanice, Ministerstvo zdravotnictví ČR, Ministerstvo vnitra ČR a Ministerstvo obrany ČR. Tyto orgány ochrany veřejného zdraví jsou ke zpracování osobních údajů oprávněny v rozsahu a za účelem stanoveným zákonem č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů.
• Zákon o ochraně veřejného zdraví umožňuje příslušným orgánům České republiky přijímat opatření k tomu, aby se zabránilo šíření nakažlivé nemoci – takovými oprávněními mohou být např. i sběr dat a informací, nebo informování obyvatel České republiky prostřednictvím mobilních komunikačních sítí ve spolupráci s operátory těchto sítí.
• Stanovenými opatřeními jsou povinny se řídit veřejné i soukromé subjekty, tj. veřejné i soukromé subjekty musí plně dodržovat veškeré platné předpisy včetně aktuálních mimořádných opatření vlády ČR a dalších ústředních orgánů, a pouze v takto stanovených mezích případně i zpracovávat / předávat osobní údaje.
• Osobní údaje osob, které byly dle výše uvedeného titulu platně získány v době šíření nakažlivé nemoci, nelze v budoucnu použít za jiným účelem, aniž by tento účel byl podložený jiným platným právním titulem (kontaktní údaje osob a jejich blízkých získané pro účely mimořádných opatření v době šíření nakažlivé nemoci nelze automaticky zařadit do obecných databází pro zasílání nezbytně nutných sdělení v současnosti či obchodních sdělení v budoucnosti).

Anonymita sdělování informací o pozitivním výsledku testování na COVID-19

• Dle zákona o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů (zákon č. 258/2000 Sb.) jsou k získávání a zpracování osobních údajů v souvislosti s šířením nakažlivé nemoci oprávněny orgány ochrany veřejného zdraví, tj. takové zpracování osobních údajů může probíhat pouze na základě jejich pokynů.
• S ohledem na ochranu osobních údajů by se veřejné orgány měly snažit zpracovávat osobní údaje pro sledování, zvládání a tlumení šíření nakažlivé nemoci anonymizovaným způsobem, tj. zpracovávat údaje agregované tak, aby nebylo možno jednotlivce zpětně identifikovat. Pravidla ochrany osobních údajů se totiž nevztahují na řádně anonymizovaná data.
• Anonymita sdělování informací o pozitivním výsledku testování na COVID-19 je považována za vysoce žádoucí a důsledně na ni dbají i státní orgány ČR. Podmínky pro její zachování nejsou však na základě výzev některých subjektů (např. výboru společenství vlastníků bytů) vytvořeny, a proto státní orgány zveřejňují pouze anonymizované údaje.

Elektronicky vedená jednání z pohledu GDPR

• V případě nutnosti umožnit jednání se zaměstnanci, volenými orgány nebo dalšími subjekty je z pohledu GDPR bezpečné využít nejrůznější nástroje pro videokonference. Patří mezi ně např. nástroje Webex, Zoom, Microsoft Teams a další. Všechny tyto messengery mají v rámci přenosu šifrování dat, tedy komunikace je zabezpečená i z pohledu GDPR.
• Z pohledu ochrany osobních údajů je však potřeba věnovat pozornost rozesílání podkladů pro jednání – je možné rozesílat podklady pouze v rámci vlastní domény, nebo zabezpečené ve formátu *.zip a doplněné heslem, zaslaným jiným kanálem (např. SMS).
• Zároveň je důležité zohlednit jaké údaje jsou komu poskytovány nebo přímo zveřejňovány – jedná se především o citlivé údaje, kam patří i zdravotní stav (např. nákaza nakažlivou nemocí).

Stanovisko Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19

• Evropský sbor pro ochranu osobních údajů vydal v březnu 2020 stanovisko ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: monitorování výskytu a šíření koronavirové nákazy za pomoci moderních technologií je v zájmu lidstva. Ve vydaném stanovisku je řešena:

• Zákonnost zpracování – obecné nařízení umožňuje příslušným orgánům veřejného zdraví a zaměstnavatelům zpracovat osobní údaje v souvislosti s epidemií, a to v souladu s národním právem a za podmínek v něm stanovených.
• Klíčové zásady zpracování osobních údajů – osobní údaje nezbytné pro dosažení sledovaných cílů by měly být zpracovány pro konkrétní a výslovně stanovené účely.
• Užití mobilních dat o poloze – jsou-li zavedena opatření dovolující zpracovávat údaje o poloze v neanonymizované podobě, je členský stát povinen uplatnit odpovídající záruky, jakým je poskytnutí práva nápravy soudní cestou uživatelům služeb elektronických komunikací.
• Oblast zaměstnávání – zaměstnavatel by měl požadovat zdravotní informace jen v rozsahu povoleném národním právem.

• Evropský sbor pro ochranu osobních údajů také ale zdůrazňuje, že i v této mimořádné době musí správci a zpracovatelé zajistit ochranu osobních dat subjektů údajů, tj. musí být všestranně zohledněny záruky zákonného zpracování osobních údajů a ve všech případech by mělo být pamatováno na skutečnost, že jakékoliv opatření v dané souvislosti musí respektovat obecné zákonné zásady a nesmí být nevratné. „Stav nouze je okolnost, která může legitimizovat omezení svobod ovšem jen za předpokladu, že tyto restrikce budou úměrné a omezené jen na dobu nouze.“
• Úřad pro ochranu osobních údajů na svých webových stránkách zveřejnil vlastní (neoficiální) překlad stanoviska Evropského sboru pro ochranu osobních údajů ke zpracování osobních údajů v souvislosti s propuknutím nákazy COVID-19: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=40769.

Pravidla a doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci z domova

• Úřad pro ochranu osobních údajů (ÚOOÚ) zveřejnil na svých webových stránkách základní pravidla a doporučení pro ochranu osobních údajů a minimalizaci hrozeb a rizik při práci s výpočetní technikou, v mobilní komunikaci či na sítích při práci z domova. Doporučení je z velké části určeno pro zaměstnance, přičemž v závěru obsahuje několik rad také pro zaměstnavatele. Podrobnější informace naleznete na stránkách ÚOOÚ: https://www.uoou.cz/vismo/dokumenty2.asp?id_org=200144&id=41507.
• Doporučení k ochraně domova proti hackerům a upozornění na rizika online konferenčních služeb vydalo i Národní centrum kybernetické bezpečnosti (NCKB): https://www.govcert.cz/cs/informacni-servis/doporuceni/2739-ochrante-svuj-domov-proti-hackerum/ a https://www.govcert.cz/cs/informacni-servis/hrozby/2745-upozorneni-na-rizika-online-konferencnich-sluzeb/.