Epidemiologické trasování u mobilních operátorů z pohledu GDPR
Hned úvodem tohoto příspěvku je vhodné si přiblížit, co je myšleno výrazem „epidemiologické trasování“. V kontextu současné koronavirové pandemie se jedná o nástroj, který má sloužit k identifikaci dalších potencionálně ohrožených osob, a to za využití osobních údajů subjektu údajů prokazatelně nakaženého koronavirem.[1] Standardní trasování, tedy bez zapojení mobilního operátora, probíhá tak, že prokazatelně nakažená osoba je kontaktována příslušným orgánem veřejné moci (typicky se jedná o hygienickou stanici) a dotazována na osoby, se kterými byla daná osoba v kontaktu v období, kdy již byla infekční, aby bylo umožněno kontaktovat tyto ohrožené osoby.
Pro většinu osob je velmi složité rekonstruovat, kde se vyskytovaly v minulosti, a o to hůře jsou schopny určit další ohrožené osoby. Epidemiologické trasování přináší prvek využití moderních technologií, díky kterému je vytvořena mapa výskytu telefonního čísla prokazatelně nakažené osoby v předmětném období, což slouží k usnadnění rozpomenutí se na detaily nakaženou osobou.
Současně je třeba říci, že samotný název tohoto příspěvku není záměrně zcela přesný. Důvodem pro tuto nepřesnost je snaha upozornit na fakt, že ač se obecné nařízené o ochraně osobních údajů, jako „lex generalis“, ve vztahu ke zpracování osobních údajů v souvislosti s epidemiologickým trasováním zcela jistě uplatní, nelze opominout, že platná právní úprava stanoví specifický režim pro zpracování údajů nezbytných pro epidemiologické trasování. Tímto „lex specialis“ je zákon o elektronických komunikacích, který upravuje podmínky zpracování lokalizačních údajů.
Cílem tohoto příspěvku je přiblížit epidemiologické trasování u mobilních operátorů z pohledu platné právní úpravy ochrany a zpracování osobních údajů.
Relevantní právní úprava
Lokalizační, resp. i provozní údaje, jsou jakési „rodinné stříbro“ mobilních operátorů.[2] Zákonodárce si je plně vědom citlivé povahy těchto údajů, proto mají specifický režim zpracování, který je vymezen v zákoně o elektronických komunikacích.[3]
Odlišné, a dovolím si říci, že i přísnější podmínky pro zpracování provozních a lokalizačních údajů (tedy zejména jejich shromažďování, využití a zpřístupnění), se opírají o pochopitelný a obhajitelný důvod, spočívající v tom, že právě provozní a lokalizační údaje do značné míry vypovídají o tom, s kým, kdy a jak koncový uživatel telefonního čísla komunikoval, a zároveň přibližně, kde se v danou chvíli uživatel vyskytoval, což jsou údaje vypovídající o soukromí fyzické osoby skutečně mnoho.
Zákon o elektronických komunikacích mobilnímu operátorovi jasně stanoví, za jakých podmínek je možné zpracovávat provozní a lokalizační údaje koncového uživatele (tedy subjektu údajů). Zjednodušíme-li to, mobilní operátor může tyto údaje zpracovávat pro poskytování dané služby (přenos a vyúčtování zprávy) a pro zajištění toho, aby byla daná služba poskytnuta (bezpečnost, kapacita a integrita sítě). Uvedený zákon dále přímo stanoví, že pro marketingové účely lze dané údaje zpracovávat pouze na základě souhlasu.[4] Současně je důležité si uvědomit, že úprava v zákoně o elektronických komunikacích je transpozicí směrnice ePrivacy[5], proto je při její aplikaci třeba brát zřetel i na interpretaci této unijní normy. Dále je také důležité upozornit na fakt, že zákon o elektronických komunikacích reguluje přístup k těmto údajům i vůči veřejnoprávním subjektům,[6] z čehož je zřejmé, že jejich zpřístupnění soukromoprávním subjektům je s pár výjimkami (například na základě smluvního vztahu správce se zpracovatelem) prakticky nemožné.
Pro další otázky zpracování neupravené v zákoně o elektronických komunikacích se dále pochopitelně použije obecné nařízení o ochraně osobních údajů jako obecná norma.
Obecně lze tedy říci, že platná právní úprava stanoví striktní režim pro zpracování provozních a lokalizačních údajů, a to ve vztahu k mobilnímu operátorovi jako správci, který tyto údaje může zpracovávat jen v rámci jasně stanovených pravidel. Zvláštní režim poskytnutí těchto údajů se také uplatní vůči dalším osobám, které by tyto údaje požadovaly.
Popis zpracování, role zúčastněných subjektů a otázky s tím spojené
Zpracování osobních údajů v souvislosti s epidemiologickým trasováním lze rozdělit do dvou oddělených částí, kdy rozlišujícím prvkem je osoba správce osobních údajů, tedy subjektu, který zodpovídá za dodržování platné právní úpravy ve vztahu ke zpracování předmětných údajů.
Prvním správcem, který obecně iniciuje tuto aktivitu, je Česká republika, resp. Ministerstvo zdravotnictví České republiky, a to na základě mimořádného opatření.[7] Je to právě Ministerstvo zdravotnictví, které stanoví účel zpracování všech potřebných údajů ve veřejném zájmu.[8] Přičemž v kontextu tohoto zpracování se nejedná pouze o telefonní číslo a vybrané lokalizační údaje, ale o mnohé další údaje související s danou věcí, a to včetně údajů, které spadají do kategorie zvláštních osobních údajů dle obecného nařízení o ochraně osobních údajů. Ve vztahu k epidemiologickému trasování pak Ministerstvo zdravotnictví využívá různé zpracovatele. Zpracování na straně Ministerstva zdravotnictví a jeho zpracovatelů tedy zahrnuje veškerou komunikaci se subjekty údajů, tvorbu mapy výskytu daného telefonního čísla a další zpracování s tímto související.
Druhým správcem je samotný mobilní operátor, který na základě výslovného souhlasu subjektu údajů vytvoří soubor údajů o výskytu telefonního čísla (výskyt karty SIM v koncovém zařízení koncového uživatele, kterým je subjekt údajů) za požadovanou dobu a předá tyto informace Ministerstvu zdravotnictví. V okamžiku předání údajů Ministerstvu zdravotnictví se uvedené stává správcem těchto osobních údajů.
Zatímco Ministerstvo zdravotnictví opírá účel zpracování o právní titul dle článku 6 odst. 1 písm. e) obecného nařízení o ochraně osobních údajů,[9] mobilní operátor se spoléhá na právní titul souhlas dle článku 6 odst. 1 písm. a) zmíněného nařízení, což je dáno i specifičností právní úpravy lex specialis, jak je popsána výše.
Dle mého názoru byla z pohledu mobilního operátora zvolena taková varianta zpracování předmětných údajů, tedy na základě souhlasu, která je správná a v souladu s platným právním řádem.[10] Ze strany Ministerstva zdravotnictví byl předložen jako prvotní návrh koncept, podle kterého by Ministerstvo zdravotnictví na základě plné moci od subjektu údajů, podalo jako zmocněnec u mobilního operátora žádost o uplatnění práv subjektu údajů, konkrétně žádost o poskytnutí kopie zpracovávaných údajů dle článku 15 odst. 3 obecného nařízení o ochraně osobních údajů. Domnívám se, že při realizaci této varianty by Ministerstvo zdravotnictví, jako správce, od počátku bylo v rozporu se zásadou minimalizace údajů,[11] jako jednou ze základních zásad zpracování osobních údajů dle obecného nařízení o ochraně osobních údajů, jelikož by se jako zmocněnec subjektu údajů dostalo ke zpracování značného množství údajů, které nikterak nesouvisí s účelem zpracování.
Závěr
Na epidemiologické trasování je třeba nahlížet jako na dvě spolu související zpracování, ovšem s odlišnými správci, kteří se opírají o rozdílné právní tituly při zpracování předmětných údajů. Specifika tohoto zpracování jsou také dána povahou údajů, které zpracovává mobilní operátor podle zvláštní právní úpravy, jež stanoví odlišná pravidla pro zpracování než obecné nařízení o ochraně osobních údajů. Souhlas subjektu údajů, z něhož vychází zpracování u mobilního operátora, potom zajišťuje, společně s dalšími opatřeními nejen legalitu, ale také legitimitu předmětného zpracování.
Patrik Walas
[1] Za subjekt údajů, který je prokazatelně nakažený se považuje fyzická osoba testovaná a diagnostikovaná orgánem veřejné moci nákazou koronavirem SARS-CoV-2.
[2] Dále v textu se vyjadřuji ke zpracování provozních i lokalizačních údajů, ačkoliv pro epidemiologické trasování u mobilního operátora se provozní údaje nepoužijí. Důvodem je shodný právní režim zpracování provozních a lokalizačních údajů v zákoně o elektronických komunikacích.
[3] Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), v platném znění.
[4] Takový souhlas musí splňovat parametry nařízení EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[5] Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích).
[6] Zejména ustanovení § 97 zákona o elektronických komunikacích.
[7] Mimořádné opatření Ministerstva zdravotnictví MZDR 12398/2020-1/MIN/KAN dostupné na webu k dispozici >>> zde.
[8] Veřejný zájem je v odkazovaném opatření vymezen takto: „Toto opatření je jedním z důležitých předpokladů zamezení šíření onemocnění COVID-19 a je vydáváno ve veřejném zájmu pro účely zachování veřejné bezpečnosti, kterou se rozumí také zachování funkčnosti důležitých veřejných služeb, včetně zdravotnických, bezpečnostních a záchranných systémů na území České republiky. Toto opatření je dále vydáváno za účelem posílení ochrany před vážnými přeshraničními zdravotními hrozbami.“
[9] Jedná se o zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
[10] Směrnice ePrivacy ve svém článku 15 upravuje možnost členského státu EU upravit si vnitrostátní pravidla pro zpracování provozních a lokalizačních údajů odlišně od obecných pravidel ve směrnici, což by bylo možné aplikovat na epidemiologické trasování, ovšem pro tuto možnost by bylo nutné nejdříve provést novelizaci současného znění zákona o elektronických komunikacích.
[11] Dle této zásady je možné pouze zpracování přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány údaje.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
