COVID-19 a zpracování osobních údajů

Roman Tomek 21.04.2020

„Vytvořili jsme aplikaci, která může ulehčit boj proti nemoci spojené s novým typem koronaviru.“ Český národ se ukázal jako velice schopný v oblasti IT a nových technologií. Dobrovolnická hnutí, IT společnosti či jednotlivci se pustili do boje s tímto onemocněním po svém. Výsledkem jsou desítky aplikací, webových stránek či projektů, které nám pomáhají tuto pomyslnou „válku“ vyhrát. Projekty však ve většině případů vyžadují práci s osobními údaji. Jak probíhá zpracování osobních údajů v době COVIDové? Na co si dát pozor či co znamená posouzení vlivů na ochranu osobních údajů a kdy je potřeba jej provést? Na tyto otázky naleznete odpověď v tomto článku.

V posledních týdnech jsme spolupracovali na mnoha projektech, u kterých dochází ke zpracování osobních údajů. Jednalo se například o aplikace propojující dobrovolníky, monitorující polohu nakažených osob či shromažďující informace o aktuální situaci v jednotlivých krajích.

Souhlasit, či nesouhlasit?

První, a nejzásadnější, otázkou, která se pojí se zpracováním osobních údajů v souvislosti s COVID-19, je: „Kdy vyžadovat souhlas se zpracováním osobních údajů?“

Pro odpověď je potřeba vysvětlit, jak obecně funguje souhlas se zpracováním osobních údajů. Jedná se o jeden z několika právních titulů (zákonnost) pro zpracování osobních údajů. Kromě tohoto je možno zpracovávat osobní údaje potřebné pro splnění smlouvy, pro plnění zákonných povinností, na základě oprávněného zájmu či například pro splnění úkolů prováděného ve veřejném zájmu či při výkonu veřejné moci. Nesmíte však nikdy zapomenout, že pro zpracování musí existovat účel, tedy důvod proč osobní údaje zpracováváte. 

Pokud účelu zpracování neodpovídá žádný jiný právní titul, je na čase přistoupit na souhlas se zpracováním osobních údajů. Souhlas může být potřeba také v případech, kdy dochází ke zpracování zvláštních kategorií osobních údajů dle čl. 9 GDPR (také známé jako citlivé údaje).

Možné zákonnosti v souvislosti s COVID-19

Mnoho správců by své zpracování rádo provádělo na základě splnění úkolů prováděných ve veřejném zájmu či při výkonu veřejné moci. Tento právní titul však míří zejména na orgány státní správy a jiné orgány veřejné moci, jako například hygienické stanice. Ze soukromého sektoru je typickým příkladem zpracování telefonními operátory či bankami, které mají povinnost na výzvu státních orgánů v mezích opatření vydaného Ministerstvem zdravotnictví poskytnout některé údaje o svých zákaznících.

Projekty však často nevznikají pouze na základě pokynů Ministerstva zdravotnictví, ovšem jedná se o nápady, které jsou čistě dobrovolné. V takovém případě je potřeba pro zpracování osobních údajů hledat jiný právní titul. Tím může být nezbytnost pro splnění smluvní povinnosti. Mnoho aplikací funguje například na bázi zpracování údajů dobrovolníků. Ti s organizací zpracovávající osobní údaje uzavírají jakousi quasi smlouvu. Osobní údaje jsou poté zpracovány na základě této smlouvy, ovšem pouze v případě, že nedochází ke zpracování tzv. citlivých údajů dle čl. 9 GDPR.

Nejrozšířenějším právním titulem však bude souhlas se zpracováním osobních údajů, a to zejména proto, že v souvislosti s COVID-19 dochází k práci s údaji o poloze, o krevní skupině, o průběhu nákazy aj. Často tak půjde o tzv. citlivé údaje dle čl. 9 GDPR, nebo nebude existovat jiný právní titul pro zpracování (údaje o poloze). Pokud tedy půjde o citlivé údaje, bez souhlasu se zpracování neobejde. Obdobně, pokud půjde o data vypovídající o poloze a pohybu uživatelů, bez souhlasu nebude možné zpracovávat osobní údaje pro účely spojené s COVID-19.

Příkladem zpracování na základě souhlasu je zpracování v aplikaci Mapy.cz. Ta dává uživatelům možnost souhlasit s využitím dat o poloze pro výpočet pravděpodobnosti nákazy nemocí COVID-19. Zpracování má tedy přesně stanovený účel a právním titulem pro zpracování je souhlas subjektů údajů. Jiným příkladem může být aplikace sdílející údaje o dárcích krve. Ti mohou do aplikace uvést svou krevní skupinu, případné onemocnění aj. I zde bude právním titulem souhlas se zpracováním osobních údajů.

Nezapomeňte posoudit vliv na ochranu osobních údajů

Některé činnosti zpracování vyžadují provedení posouzení vlivu na ochranu osobních údajů dle čl. 35 GDPR. Častěji se však používá pojem DPIA, jenž vychází z anglického názvu Data protection impact assessment. Jedná se o proces, který má identifikovat, zda je zpracování přiměřené, jaká rizika zpracování představuje pro práva a svobody subjektů údajů či jak se tato rizika minimalizují. Výstupem DPIA by mělo být shrnutí, jak velké riziko zpracování představuje. Na základě tohoto závěru by měl správce například konzultovat zpracování s Úřadem pro ochranu osobních údajů a společně korigovat hrozící vysoká rizika. 

Návrh metodiky provádění DPIA je dostupný na webu Úřadu pro ochranu osobních údajů. Jedná se o velmi složitý proces, který v sobě skrývá složitost právnických formulací a IT technických řešení.

Kdy se posouzení provádí?

Posouzení vlivů musí být provedeno tehdy, pokud je pravděpodobné, že určitý druh zpracování, bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Nutno podotknout, že se jedná o posouzení vlivu zamýšlených operací, a tedy takové DPIA by mělo být provedeno před zahájením samotného zpracování.

Jelikož text GDPR nabízí jen několik příkladů, kdy je DPIA potřeba provést (například rozsáhlé zpracování zvláštních kategorií údajů dle čl. 9 GDPR, tedy citlivých údajů), existuje seznam druhů operací vydaný Úřadem pro ochranu osobních údajů. Na základě tohoto seznamu lze vyhodnotit, zda je potřeba DPIA provádět. Seznam obsahuje 10 charakteristik, které je potřeba vyhodnotit a pokud jsou alespoň dvě vyhodnoceny jako kritické, je potřeba DPIA zpracovat. Co se v jednotlivých charakteristikách posuzuje ukazuje následující grafika:

Kritické hodnoty

Významné hodnoty

Nízké hodnoty

Zpracování osobních údajů v souvislosti s COVID-19 bude často zasahovat do zpracování citlivých osobních údajů, či půjde o zpracování lokalizačních údajů. U těchto činnosti zpracování bude velice pravděpodobně docházet k tomu, že charakteristiky budou hodnoceny jako kritické či významné, a proto bude potřeba provádět DPIA.

Další povinnosti

Při zpracování v souvislosti s COVID-19 je potřeba myslet také na další povinnosti vyplývající z GDPR. Lze například uvést povinnost uchovávat osobní údaje pouze po dobu nezbytně nutnou. Typicky v tomto případě půjde o dobu trvání krizových opatření, či o dobu trvání epidemie. Domníváme se však, že takové stanovení doby může být pro subjekty údajů matoucí. Proto je vhodné stanovit maximální horní hranici doby uchování údajů.

Zpracování musí být prováděno transparentně. Proto je potřeba vždy dostatečně informovat subjekty údajů. Proč budou osobní údaje zpracovány, na základě jakého důvodu, jak dlouho budou uchovány, jaká existují práva atp. To jsou otázky, na které musí subjekt údajů znát odpověď, když osobní údaje předává správci. Důvěra mezi subjektem údajů a správcem osobních údajů je velmi důležitá.

 

Příkladem informování o zpracování osobních údajů je projekt

Mnohdy jsou pro projekty využívány další externí subjekty či služby jiných společností. Například společnost zajišťující úložiště dat, společnost zajišťující správu a výmaz dat, externí pracovníci aj. S velkou pravděpodobností budou dané společnosti v pozici tzv. zpracovatele osobních údajů. Nezapomínejte tedy uzavírat zpracovatelské smlouvy dle čl. 28 GDPR. Ve smlouvách se zaměřte zejména na způsoby zabezpečení dat a způsoby vzájemné spolupráce při vyřizování práv subjektů údajů.

Závěrem

Zpracování osobních údajů v souvislosti s COVID-19 je velmi rozsáhlým tématem. Rychlý vývoj kolem epidemie způsobuje, že mnoho správců nepřijímá všechna opatření či nedodržuje všechny povinnosti. Může tak dojít k porušení povinností stanovených dle GDPR. Největším strašákem však nemusí být pokuta (která je velmi nepravděpodobná, ale možná). Tím bude zejména ztráta důvěry či negativní reakce ze strany veřejnosti. Jelikož projekty často bývají dobrovolnické, zastřešené jednou aktivní společností, může taková reakce negativně ovlivnit i fungování zastřešující společnosti.

COVID-19 se však nedotkl pouze nových projektů, IT společnosti či dobrovolníků. Velice zasáhl také zaměstnavatele. Jak například snížit personální náklady se dozvíte v našem článku.

Máte jakékoliv dotazy? Neváhejte nás kontaktovat!