Trasování bez právního základu, ale také obavy ze sledování a stížnosti na nadměrný rozsah dat vybíraných při povinném testování a vynucené nesvobodné souhlasy s jejich předáváním zaznamenal loni Úřad pro ochranu osobních údajů (ÚOOÚ). Neujasněnost kroků státu, který nedbá na soukromí, se stane problémem při využití informací o zdravotním stavu občanů, avizuje v souvislosti s očkováním Úřad. Bez soukromí není svobody, odpovědnosti ani spravedlnosti, připomíná ÚOOÚ.
Vyplývá to z výroční zprávy Úřadu pro ochranu osobních údajů, kterou Úřad zveřejnil pro laickou veřejnosti 31. března 2021. Zprávu současně obdrželi Poslanecká sněmovna a Senát Parlamentu ČR. Ochraně soukromých údajů o zdravotním stavu lidí je věnovaná značná část ze 72 stran Zprávy.
Podle Úřadu přinesla „pandemie zcela nové otázky zpracování citlivých osobních údajů“ a už na jaře 2020 byly formulovány principy fungování mobilních aplikací pro trasování nákazy s ohledem na soukromí lidí. „V českém prostředí se požadavek právního základu a nastavení rozumných mezí v zákoně dosud zcela naplnit nepodařilo,“ stojí doslova hned v úvodu výroční zprávy.
Soukromí bude mít nový problém
Nové problémy pro ochranu osobních údajů při tom podle zprávy představují i další chystaná opatření „spojená s očkováním a uvažovaným dalším využitím informací o zdravotním stavu“, uvádí se ve zprávě. Už nyní jsou například lidé v domovech důchodců rozdělováni na očkované a neočkované a podle toho, do které skupiny patří.
Výroční zpráva za loňský rok však nestihla reflektovat nejnovější vývoj, totiž zvažované Covid pasy. Potvrzením o očkování by se podle informací z médií měli občané prokazovat například v restauraci nebo v divadle či na cestě. Kdo bude oprávněn lustrovat zdravotní stav občanů, zatím není jasné.
„Pouze stávající naléhavostí bezprostředních kroků pro ochranu zdraví a životů občanů lze snad obhájit jistou dlouhodobou neujasněnost kroků příslušných státních orgánů, kdy zákonnost a celkový zaváděný mechanismus zpracování osobních údajů v rámci prováděných opatření nejsou zvažovány na počátku a následně navíc podléhají takovým změnám, které následně znesnadňují monitoring těchto kroků,“ uvádí se v úvodu výroční zprávy k situaci v České republice.
Sms neposílá ministerstvo, nýbrž operátoři
Podle Výroční zprávy přijal Úřad v roce 2020 1855 podnětů a stížností, což je jen mírný pokles oproti roku 2019. Obsah stížností ovlivnilo potírání nemoci Covid-19: „Podatelé se na Úřad obraceli se stížnostmi a podněty, které vyvěraly z činnosti některých státních orgánů při zvládání epidemie. Od samotného začátku epidemie se podatelé obraceli na Úřad s řadou podnětů, ve kterých uváděli, že došlo k neoprávněnému předání jejich údajů při zasílání informativních sms Ministerstvem zdravotnictví v rámci jarní vlny pandemie,“ uvádí Úřad.
Byla to planá obava. Zprávy neposílalo ministerstvo, nýbrž operátoři: „V daném případě Úřad podatelům objasnil, že k předání údajů mobilním operátorem Ministerstvu zdravotnictví nedošlo. Ministerstvo zdravotnictví jako ústřední orgán státní správy pro ochranu veřejného zdraví může požádat mobilní operátory o rozeslání informativní SMS o nebezpečí zavlečení infekčního onemocnění na území České republiky. V daném případě se tedy nejednalo o sledování pohybu občanů,“ uvádí se ve Výroční zprávě.
Na podzim zase podatelé namítali zasílání sms hlavní hygieničkou, prostřednictvím telefonních operátorů, nabádajících k instalaci aplikace eRouška. Postup ministerstva byl ovšem shledán jako zpracování osobních údajů nezbytné pro plnění úkolu ve veřejném zájmu, „kterým ochrana veřejného zdraví a ochrana lidských životů bezesporu je“.
Do konce roku však podle Zprávy chyběla jakákoli právní úprava pro zpracování dat z e-roušky a další nakládání s nimi. Tento právní základ přišel až s pandemickým zákonem a zákonem o státní hygienické službě, avšak bez dostatečných záruk, plyne ze Zprávy.
Zveřejnění výsledků testů, vynucený souhlas
Ze stížností, které Úřad seznal jako důvodné a dále se jimi aktuálně zabývá, zmiňuje Zpráva aplikace používající lokační údaje a nástroje k vysledování kontaktů nakažených osob. Dále jde o stížnosti, v nichž „podatel namítali rozsah osobních údajů, k jejichž poskytnutí byli nuceni již ve fázi registrace k testování na COVID-19, popřípadě kdy podatel dokládá vynucování souhlasu se zpracováním údajů o zdravotním stavu, kdy takový souhlas nelze považovat za svobodný“.
„Úřad zaznamenal ojediněle i neoprávněné zpřístupnění výsledků testů na COVID-19 jiné osoby, ať již formou podnětu anebo ohlášení samotným správcem. V těchto případech se však nejednalo o systémové pochybení správce osobních údajů, ale ojedinělé selhání ze strany zaměstnance správce, a správci přijali opatření k předcházení dalších incidentů,“ stojí ve Zprávě.
Dva případy porušení se podle Zprávy týkaly sdělování výsledků vyšetření na onemocnění koronavirem COVID-19, kdy bylo po omezenou dobu možné zobrazit data jiného pacienta po změně parametru. Ohlášení bylo podáno v době, kdy byla chyba odstraněna, proto Úřad nepřistupoval k dalším opatřením
Žák vysílal výuku na soc síti
Problémem se také ukázala být výuka dětí na internetu: „Rok 2020 byl poznamenán i nárůstem potřeby většího zabezpečení internetové sítě v souvislosti se stále více rozšířenou prací z domova a distanční výukou. V tomto ohledu je třeba zmínit obdržené ohlášení z oblasti školství, kdy bylo v rámci online výuky nedostatečně ošetřeno soukromí třídy, čehož využil žák jiné třídy a část výuky uveřejnil na sociální síti. Hlášení tohoto typu bylo sice ojedinělé, nicméně poukázalo na zvýšené riziko využívání komunikačních kanálů a nutnost zabývat se podmínkami online provozu komplexně a metodicky nejen ze strany pověřenců pro ochranu osobních údajů, kteří na školách působí.
V souvislosti koronavirem také vyvstaly otázky, zda a do jaké míry je zaměstnavatel oprávněn zjišťovat a případně dále zpracovávat informace o aktuálním zdravotním stavu zaměstnance, resp. jakým způsobem má přitom spolupracovat s orgány ochrany veřejného zdraví, stojí dále v Zprávě.
Mobilní aplikace nejsou anonymizované
Zřejmě jako příprava na evropský očkovací pas proti nemoci Covid-19 vznikl celoevropský plán „interoperabilní“ e-roušky jako žádoucí cíl v EU. „Cílem bylo, aby uživatelé mohli používat i v zahraničí jen jednu aplikaci, která je bude varovat, pokud se dostanou do kontaktu s někým, kdo měl pozitivní test na COVID-19. Potenciální varování mohou být zvlášť užitečná pro uživatele v příhraničních oblastech, zejména pokud pravidelně cestují do práce. Na projektu interoperability se již začalo pracovat, ale bude se zavádět postupně,“ stojí doslova ve Zprávě.
„Důležitou otázkou je, zda údaje zpracovávané v rámci mobilních trasovacích aplikací jsou anonymizované či pseudonymizované. I když by bylo žádoucí, aby tyto aplikace pracovaly s anonymizovanými údaji (potom už by se o osobní údaje nejednalo), obvykle pracují s pseudonymizovanými osobními údaji. Prakticky to znamená, že musí splňovat požadavky pro ochranu osobních údajů stanovené obecným nařízením,“ dodává k tomu ve Zprávě ÚOOÚ.
Záruky, že informace o lidech budou chráněny, nejsou
Jak dále vyplývá z Výroční zprávy, záruky ochrany osobních údajů o zdravotním stavu každého chybí i v legislativě schválené pro potírání nemoci Covid-19. Jde zejména o zákon o covidu (tzv. pandemický zákon) a nový zákon o státní hygienické službě. „Zákon o covidu nebyl s Úřadem projednán v rámci standardního připomínkového řízení. Ocenit však lze, že uzákoněním eRoušky a call center tato zpracování osobních údajů dostávají řádný právní základ – článek 6 odst. 1 písm. e) obecného nařízení – nutno ale podotknout, že absentují dostatečné záruky ochrany osobních údajů.“
„Rovněž v zákoně o SHS absentují vhodné záruky ochrany osobních údajů Státní hygienickou službou, což je důsledek nedostatečného posouzení vlivu na ochranu osobních údajů (DPIA),“ dodává k tomu Zpráva.
Výroční zpráva ústy nového předsedy ÚOOÚ Jiřího Kauckého hned v úvodu cituje bývalou ústavní soudkyni a někdejší předsedkyni Úřadu Ivanu Janů.
„Bez soukromí, bez možnosti být alespoň někdy a někde sám a rozhodovat o tom, co o sobě ostatním řeknu a co si již nechám pro sebe, nemůže být člověk svobodným. A bez svobodných a zároveň za svůj život a své skutky odpovědných lidí nemůže existovat ani svobodná a spravedlivá společnost“
Irena Válová
