Proč není vhodné „chytrou karanténu“ podmiňovat souhlasem
Souhlas, jako právní titul pro zpracování osobních údajů dle čl. 6 odst. 1 písm. a) Obecného nařízení o ochraně osobních údajů[1] je dlouhodobě nadužívaným titulem pro zpracování osobních údajů.[2] Upozorňováno je na tento negativní trend ze strany odborné veřejnosti nejen v České republice, ale také v zahraničí.[3]
Český Úřad pro ochranu osobních údajů k nadbytečnému používání souhlasu dokonce vydal v roce 2014 stanovisko, ve kterém kritizuje praxi, kdy je souhlas vyžadován i pro zpracování, která jsou správcům přímo uložena zákonem[1] a opakovaně se k tomuto problému vyjadřovala i WP29.[2] Ta za hlavní důvod, který brání tomu, aby byl souhlas udělen svobodně, považuje vztah podřízenosti subjektu a nadřízenosti správce osobních údajů.[3] Zejména pokud se jedná o správce, který je orgánem veřejné moci, kdy zpracování často souvisí s plněním právní povinnosti dle čl. 6 odst. 1 písm. c) nebo výkonem úkolu prováděného ve veřejném zájmu dle písm. e) Obecného nařízení, může být nadřazené postavení orgánu veřejné moci problematické.
Projekt „chytré karantény“ Ministerstvo zdravotnictví na svých stránkách popisuje jako „systém, který povede k včasnému zachycení, testování infekčního onemocnění COVID-19 a izolaci v karanténě co největšího počtu potenciálně nakažených osob. Součástí toho je ve spolupráci s nakaženými vytipování kontaktů, na které mohli přenést virus.“ Jinými slovy se jedná o pokrokové řešení pandemie, kdy nejsou karanténní opatření uvalována na všechny osoby plošně, ale za pomoci moderních technologií je karanténa nařízena pouze konkrétním jedincům na základě znalostí údajů o jejich poloze, a tedy i jejích potenciálnímu nakažení. Citované vyjádření Ministerstva zdravotnictví však není přesné, jelikož nejde ani tak o spolupráci s nakaženými, jako spíše o splnění jejich povinnosti spolupracovat. Paragraf 62a zákona o ochraně veřejného zdraví[7], totiž stanoví: „Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologické šetření zaměřené zejména na ověření diagnózy a zjištění ohniska nákazy (§ 65 odst. 2). Osoby jsou povinny sdělit příslušnému orgánu ochrany veřejného zdraví na jeho výzvu okolnosti důležité v zájmu epidemiologického šetření“. Výše zmiňovaná spolupráce je tak spíše plněním povinnosti, přičemž pokud nebude splněna a osoba nesdělí skutečnosti důležité pro epidemiologické šetření, hrozí ji dle § 92n odst. 1 písm. i) zákona o ochraně veřejného zdraví pokuta až tři miliony korun. Z toho vyplývá, že KHS[8], která je pověřena dle § 82 odst. 2 písm. r) k provádění epidemiologického šetření, je ve zřetelně nerovném postavení vůči osobně se kterou takto komunikuje v zájmu zjištění ohniska nákazy.
Systém chytré karantény však nepočítá pouze s údaji, které subjekt sám sdělí, ale její přínos spočívá zejména v zapojení provozně lokalizačních údajů mobilních operátorů[9] a bankovních údajů o místě použití elektronických platebních prostředků. Na základě těchto údajů se dá velmi přesně vytrasovat nakažená osoba a zjistit tedy, kde se pohybovala a případně také s kým přitom přišla do kontaktu. Tyto údaje mají v současnosti mobilní operátoři i banky povinnost ukládat na základě zákona.[10] Přístup k těmto datům však vláda ve svém usnesení z 18. března 2020, které bylo následně implementováno mimořádným opatřením Ministerstva zdravotnictví[11], podmínila souhlasem subjektu údajů.[12] Jakkoliv se však mohlo jednat o dobrý záměr a bylo v pravomoci Ministerstva zdravotnictví vydat mimořádné opatření, tak obligatorní určení právního titulu, i když není pro dané zpracování vhodný, je bezdůvodným zásahem do systému ochrany osobních údajů. Obdobně nevhodné by například bylo mimořádné opatření, kterým by se nařizovalo prodejnám vyčlenit dobu od 8:00 do 10:00 hodin pouze pro seniory a hendikepované, kteří ovšem před vstupem do obchodu musí s tímto opatřením dobrovolně souhlasit. I když existuje možnost subjektu údajů souhlasit s předáváním osobních údajů dle § 66 odst. 1 zákona o elektronických komunikacích[13], a dle § 38 zákona o bankách[14], tak souhlas subjektu údajů není vhodným právním titulem pro zpracování osobních údajů za daným účelem a v daném kontextu.
Souhlas totiž nejen že není jediným právním titulem, ale není ani nejspolehlivějším právním titulem, ani titulem, který by zaručoval nejvyšší úroveň ochrany subjektů údajů. V situaci, kdy je subjekt údajů povinen KHS sdělit veškeré okolnosti, důležité v zájmu epidemiologického řízení, proto aby nedocházelo k dalšímu šíření smrtelně nebezpečné virové nákazy, je subjekt údajů stavěn do pozice, kde jeho souhlas je pouze iluzorním gestem. Tato dvojaká pozice, kdy je zákonná povinnost sdělit všechny skutečnosti důležité pro epidemiologické šetření a zároveň možnost souhlasit s předáním existujících a poměrně přesných lokalizačních dat mobilních operátorů a bank, je principiálně vadná.
Pokud by měl subjekt údajů skutečnou volbu, neovlivněnou nerovným postavením správce osobních údajů a nezatíženou tlakem pandemické situace, pak by systém chytré karantény vůbec nemohl fungovat. Bez přístupu k lokalizačním údajů mobilních operátorů a bank by totiž systém „chytré“ karantény pravděpodobně nedosahoval takové přesnosti, aby na něj bylo možné spoléhat. Navíc samo přídavné jméno „chytrá“ karanténa předjímá, že subjekt údajů souhlas se zpracováním jeho osobních údajů udělí a umožní karanténě, aby byla „chytrá“. Bez získání souhlasu subjektu se však o „chytrou“ karanténu jednat nebude a KHS bude disponovat asi tak „chytrými“ daty, jakými disponují běžní rodiče školáků, kteří pod pohrůžkou ztráty kapesného zpovídají své děti, kde po škole byly.
Tvůrci chytré karantény tedy musí spoléhat na to, že drtivá většina zapojených osob svůj souhlas vzhledem k okolnostem udělí, jinak nebudou mít KHS možnost výpověď nakažené osoby ověřit ani zpřesnit za pomoci dat mobilních operátorů a bank. Vzhledem k situaci je ve veřejném zájmu, aby KHS měly k těmto datům přístup, jelikož jim nejen že práci usnadňují, ale také ji zdokonalí, zpřesní a případně také umožní výpověď nemocného ověřit. Zatím naštěstí subjekty údajů zhruba v 98 % svůj souhlas dávají,[15] a tedy se KHS ke kvalitnější datům dostane. Nemyslím si, že je však vhodné podmiňovat poskytnutí potřebných dat KHS souhlasem. Pokud se tedy skutečně jedná o potřebná data, která mohou v boji proti pandemii zásadně pomoci, pak lze v mimořádném opatření příkaz k poskytnutí dat mobilních operátorů a bank KHS nestavět na právním titulu souhlasu, ale předání těchto údajů u nakažené osoby na základě mimořádného opatření bez dalšího realizovat na právním titulu dle čl. 6 odst. 1 písm. e) zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
V praxi lze totiž předpokládat, že osoby, které porušovaly povinnou karanténu a účastnily se například domácích sešlostí ve větším počtu osob, nebudou souhlas udělovat ze strachu, že by pak mohly nést za tato vědomá porušení následky. V takovém případě není ani jisté, zda by tyto osoby KHS poskytly takovou informaci, jelikož KHS není bez uděleného souhlasu dobře schopná si takovou výpověď ověřit, a tudíž tito potenciálně nejnebezpečnější nakažení budou v případě neudělení souhlasu mimo možnosti KHS.
Projekt chytré karantény je dle mého názoru velmi dobrou iniciativou, která může zachraňovat životy a současně ulevit strádající ekonomice. Vzhledem k výše uvedeným argumentům si však myslím, že použití souhlasu jako právního titulu pro takto důležité zpracování osobních údajů ve veřejném zájmu, navíc prováděné orgánem veřejné správy, není vhodné.
Mgr. Jakub Klodwig,
koncipient
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
[2] MÍŠEK, Jakub. Souhlas se zpracováním osobních údajů za časů Internetu. Revue pro právo a technologie. 2014, roč. 5, č. 9, s. 45.
[3] BORGESIUS, Frederik Zuiderveen. Informed Consent: We Can Do Better to Defend Privacy. IEEE Security Privacy [online]. 2015, roč. 13, č. 2, s. 170.; MÍŠEK, Jakub. Osobní údaje v čase a prostoru [online]. Brno, 2020, s. 62 [vid. 13. duben 2020]. Masarykova univerzita, Právnická fakulta.
[4] ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Stanovisko 3/2014, K nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti [online]. srpen 2014 [vid. 13. duben 2020]
[5] WP29 byla pracovní skupina pro ochranu osobních údajů, ustanovená článkem 29 směrnice 95/46/EC, která se po účinnosti Obecného nařízení změnila v European data protection board.
[6] WP29. Stanovisko č. 15/2011 k definici souhlasu [online]. 6 2011 [vid. 13. duben 2020]. Získáno z: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_cs.pdf
[7] Zákon č. 258/2000 Sb. , o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, dále jen „zákon o ochraně veřejného zdraví“.
[8] Krajská hygienická stanice, dále jen „KHS“.
[9] Podnikatelů, zajišťujících veřejnou komunikační síť, dále jen „mobilních operátorů“
[10] § 38 zákona č. 21/1992 Sb. , o bankách, ve znění pozdějších předpisů a § 97 odst. 3 a 4 zákona č. 127/2005 Sb. , o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů
[11] Mimořádné opatření ministerstva zdravotnictví, ze dne 19. března 2020, č.j.: MZDR 12398/2020-1/MIN/KAN, Dostupné >>> zde.
[12] „Vláda schvaluje nastavení pravidel a vytvoření právního rámce pro orientační trasování polohy osob, u kterých byla prokazatelně potvrzena nákaza covid-19, ve sledovaném období a na základě jejich informovaného souhlasu;“ Viz Usnesení vlády České republiky ze dne 18. března 2020 č. 250 k zajištění zvýšené ochrany obyvatel – trasování, Dostupné >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz