Predsedníčka Európskeho výboru na ochranu údajov (EDPB), Andrea Jelinek, dňa 16.03.2020, v Bruseli potvrdila, že prijímaniu opatrení v boji proti pandémii nebráni právna úprava ochrany osobných údajov, Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES („GDPR“). Zároveň však zdôraznila, že aj v týchto výnimočných časoch musí prevádzkovateľ zabezpečiť ochranu osobných údajov dotknutých osôb tak, aby sa zaručilo zákonné spracúvanie osobných údajov[1].
Aktuálna právna úprava ochrany osobných údajov poskytuje právne základy, ktoré zamestnávateľom a príslušným orgánom verejného zdravotníctva umožňujú spracúvať osobné údaje v súvislosti s epidémiou bez toho, aby bolo potrebné získať súhlas dotknutej osoby. Takýmito právnymi základmi sú najmä verejný záujem v oblasti verejného zdravia alebo ochrana životne dôležitých záujmov (články 6 a 9 GDPR) alebo splnenie inej zákonnej povinnosti.
V posledných dňoch sa často spomína možnosť spracovávania údajov o polohe jednotlivých SIM kariet (tzv. lokalizačné údaje[2]). Uvedené upravuje dodatočná právna úprava, ktorou sa do vnútroštátnych právnych predpisov transponuje smernica ePrivacy (Smernica Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), zmenená smernicou 2006/24/ES a smernicou 2009/136/ES), v zmysle ktorej môže mobilný operátor použiť lokalizačné údaje iba vtedy, ak sú anonymné alebo ak jednotlivec poskytol súhlas[3]. Podľa posledných informácií uvedené informácie práve na základe súhlasu udeleného infikovanými osobami začali využívať príslušné orgány v susednej Českej republike[4]. V anonymizovanej podobe lokalizačné údaje spracováva a poskytuje na ďalšie vyhodnocovanie v súvislosti s pandémiou koronavírusu aj Deutsche Telekom[5].
V tejto súvislosti predsedníčka EDPB uvádza, že by sa orgány verejnej moci mali najprv zamerať na spracúvanie lokalizačných údajov anonymným spôsobom (t. j. spracúvanie údajov agregovaných spôsobom, ktorým nemôže dôjsť k spätnému zvráteniu informácii na osobné údaje). To by mohlo umožniť generovanie správ o koncentrácii mobilných telefónov na určitom mieste („kartografia“).
Zároveň je vhodné spomenúť, že ani ePrivacy ani GDPR nebránia členským štátom Európskej únie prijať v súvislosti s ochranou verejného zdravia a verejnej bezpečnosti primerané legislatívne opatrenia, vždy však za podmienok zavedenia primeraných záruk.
Zuzana Krajčovičová
[1]https://dataprotection.gov.sk/uoou/sk/content/vyhlasenie-predsednicky-edpb-k-spracuvaniu-osobnych-udajov-v-suvislosti-s-prepuknutim
[2] Podľa § 57 ods. 2 zákona č. 351/2011 Z.z. o elektronických komunikáciách sú lokalizačné údaje, údaje spracúvané v sieti alebo prostredníctvom služby, ktoré označujú geografickú polohu koncového zariadenia užívateľa verejnej služby.
[3] Podľa § 57 ods. 2 zákona č. 351/2011 Z.z. o elektronických komunikáciách môže podnik spracúvať lokalizačné údaje iné ako prevádzkové údaje, ktoré sa týkajú účastníka alebo užívateľa verejnej siete alebo verejnej služby len vtedy, ak sa anonymizujú alebo ak s tým účastník alebo užívateľ verejnej siete alebo verejnej služby súhlasí v rozsahu a trvaní nevyhnutnom na poskytnutie služby s pridanou hodnotou. Podnik je povinný informovať účastníka alebo užívateľa pred získaním ich súhlasu o druhu lokalizačných údajov iných ako prevádzkových údajov, ktoré sa budú spracúvať, o účele a čase ich spracúvania a či sa údaje budú poskytovať tretej strane na účely poskytovania služby s pridanou hodnotou. Účastník alebo užívateľ môže kedykoľvek odvolať svoj súhlas daný na spracúvanie takých lokalizačných údajov.