Technologie  Právo 

Chytrá karanténa: Jaké nejasnosti panují ohledně zpracování osobních údajů?

Jak si vedl Úřad pro ochranu osobních údajů v roce 2019 a jaké plány má pro rok 2020? Jak proběhla jeho reorganizace a na kontrolu kterých institucí se hodlá zaměřit? Na tyto a další otázky najdete odpovědi v našem květnovém TechLaw zpravodaji, kde se věnujeme ochranně osobních údajů. Dozvíte se také, co je to chytrá karanténa, jak funguje nebo s jakými právními úskalími se potýká.

Podívejte se i na další témata, kterým se věnujeme v našem květnovém TechLaw zpravodaji:

Činnost Úřadu pro ochranu osobních údajů za uplynulý rok

V měsíci únoru zveřejnil Úřad pro ochranu osobních údajů („Úřad“) výroční zprávu za rok 2019, ve které jsou mimo jiné obsaženy i výsledky jeho kontrolní činnosti.

Podle jakých předpisů Úřad postupoval?

Kontroly zahajované Úřadem v roce 2019 byly vykonávány již podle GDPR (Obecné nařízení o ochraně osobních údajů), respektive tzv. adaptačního zákona č. 110/2019 Sb., o zpracování osobních údajů. Avšak vzhledem k tomu, že v roce 2019 ještě dobíhala řízení zahájená za účinnosti dřívějšího zákona č. 101/2000 Sb., o ochraně osobních údajů, dokončoval Úřad takováto řízení a ukládal tresty rovněž podle tohoto staršího předpisu. V souvislosti s dozorovou činností v oblasti obchodních sdělení Úřad postupoval v souladu se zákonem č. 480/2004 Sb., o některých službách informační společnosti.

Na jaké oblasti se Úřad zaměřoval?

Předmětem kontrol v roce 2019 bylo například využívání souborů cookies nebo zpracování biometrických údajů, konkrétně se jednalo o využití otisků prstů pro identifikační účely. Další specifickou oblastí, které se Úřad v minulém roce věnoval, byla oblast zdravotnictví, v jejímž rámci se Úřad zabýval laboratorním screeningem novorozenců. Úřad se v roce 2019 rovněž zaměřil na kontrolu zpracování osobních údajů osob přepravovaných v dopravních prostředcích (Dopravní podnik hl. m. Prahy, a.s.).

Jaká byla nejčastější pochybení?

Nejčastěji kontrolující konstatovali nedodržení základních zásad zpracování, absenci právního důvodu pro zpracování osobních údajů a také porušení práv subjektu údajů. K porušení též docházelo například při zabezpečení osobních údajů nebo rozesílání obchodních sdělení. Ve své výroční zprávě Úřad také konstatoval, že se i v roce 2019 setkal s odmítnutím spolupráce a v 11 případech dokonce musel přistoupit k uložení pokuty za neposkytnutí součinnosti dle zákona č. 255/2012 Sb., kontrolní řád. V roce 2019 Úřad uložil pokuty celkem 32 subjektům v souhrnné výši téměř jednoho milionu korun. Celková výše sankce udělené oddělením obchodních sdělení činila 2 099 000 Kč.

Organizační změny uvnitř Úřadu – reorganizace odboru dozoru

V souvislosti s přijetím tzv. adaptačního zákona došlo od 1. července k reorganizaci odboru dozoru Úřadu. Nově vznikly kontrolní týmy v rámci specializovaných oddělení a čtyři dosavadní inspektoráty byly nahrazeny dvěma odděleními vykonávajícími kontrolní a dozorovou činnost v soukromém a veřejném sektoru.

Kdo byl podroben kontrolám Úřadu?

V roce 2019 bylo zahájeno celkem 68 kontrol včetně kontrol týkajících se obchodních sdělení, kterých bylo zahájeno celkem 5. Kontrolou byly dotčeny jak veřejnoprávní (např. Česká správa sociálního zabezpečení nebo Generální finanční ředitelství), tak soukromoprávní subjekty (bankovní a nebankovní subjekty, kasina, malé a střední podniky), přičemž kontroly byly zahajovány jak z poznatků ze stížnostní agendy, tak na základě kontrolního plánu 2019. Kontroly se zaměřily také na politické strany s cílem zkontrolovat zpracování osobních údajů jak v rámci členské základny, tak i mimo ni.

Kontrolní plán ÚOOÚ pro rok 2020

Taktéž v měsíci únoru zveřejnil Úřad na svých webových stránkách plán kontrol na rok 2020.

V tomto roce Úřad naplánoval provedení celkem 29 kontrol, které se zaměří zejména na chytré měření energií, provozování kamerových systémů využívajících biometriku, kontrolu využívání cookies a šíření obchodních sdělení. Do plánu kontrol je rovněž zahrnuta kontrola subjektů poskytujících nebankovní půjčky – Úřad totiž chce ověřit postupy při vyžadování a zpracovávání osobních údajů při vyřizování žádostí o finanční produkt, a dále také ověřit správnost plnění informační povinnosti správců a jejich postup v případech, kdy osoby dotčené zpracováním uplatní svá práva.

V rámci veřejného sektoru Úřad zkontroluje například Okresní správu sociálního zabezpečení, vízový informační systém a národní registr hrazených zdravotních služeb. Kontrola nemine ani oblast školství, Úřad se v této souvislosti zaměří na zajištění bezpečnosti žáků a jejich vyučujících.

Chytrá karanténa

Z pohledu ochrany osobních údajů je zajímavým a částečně kontroverzním počinem projekt tzv. chytré karantény.

O co se jedná?

Chytrá karanténa je systém, jehož cílem je zabránit šíření nemoci COVID-19 v České republice a zároveň uvolňovat opatření vydané vládou v době nouzového stavu tak, aby se život v zemi postupně dostal do stavu před vypuknutím epidemie. V současnosti probíhá její testování v Olomouckém kraji, Středočeském kraji a v Praze, postupně se přidávají i další kraje. Naplno byl systém spuštěn 1. května.

Jak systém funguje?

Podle zveřejněných informací hygienická stanice pacientovi zavolá na telefonní číslo a oznámí mu, že byl pozitivně testován. Požádá ho o souhlas se zpracováním osobních údajů získaných od telefonního operátora a banky, aby mohla vytvořit tzv. vzpomínkovou mapu. Pokud nebude souhlas udělen, pacient bude dotázán, aby uvedl osoby, se kterými se v posledních dnech setkal, a místa, která navštívil. Tyto informace ale nemusí být úplně přesné, protože pacient si nemusí na vše vzpomenout. Pokud je souhlas udělen, pomocí dat od telefonního operátora a informací z platební karty bude zjištěno, kde se pacient pohyboval a budou identifikováni potenciálně nakažení lidé. Hygienická stanice pak zjištěné osoby telefonicky informuje a bude jim proveden test na přítomnost koronaviru. Data ze vzpomínkové mapy budou vymazána nebo anonymizována nejpozději po 6 hodinách.

Nejasnosti ohledně způsobu zpracování osobních údajů v rámci chytré karantény

Ohledně zpracování osobních údajů však stále zůstává řada nejasností. První z nich se týká toho, zda má být ke zpracování (tedy vytvoření vzpomínkové mapy) získáván souhlas ze strany pozitivně testované osoby. Ačkoli Ministerstvo zdravotnictví v mimořádném opatření MZDR 12398/2020-1/MIN/KAN podmiňuje zpracování osobních údajů souhlasem, což odpovídá režimu článku 6 odst. 1 písm. a) GDPR, Úřad pro ochranu osobních údajů („Úřad“) ve svém vyjádření z 2. dubna uvádí, že údaje jsou zpracovávány veřejnými orgány při výkonu veřejné moci, popřípadě soukromými správci ve veřejném zájmu, a to v mezích čl. 6 odst. 1 písm. e) GDPR. I přesto jsou souhlasy se zpracováním sbírány.

Dále není jasné, do jaké míry byly otázky zpracování osobních údajů konzultovány se samotným Úřadem. Předsedkyně Úřadu požádala na konci března 2020 ministra zdravotnictví o konkrétní dokumentaci k projektu chytré karantény. V návaznosti na chybné informace v médiích (nesprávně poukazujících na jeho schvalovací roli) Úřad uvádí, že Ministerstvem byly zaslány pouze základní informace. Následně došlo též ke společnému jednání s vedením Ministerstva, hlavní hygieničkou ČR a pověřenkyní (pro ochranu osobních údajů) Ministerstva zdravotnictví. Připomínky Úřadu byly do projektu částečně zapracovány a na webu byla zveřejněna korektní informace o všech aspektech zpracování osobních údajů v projektu chytré karantény.

Kompletní dokumentaci však Úřad dosud zřejmě neobdržel a nemůže tak jednotlivá opatření a technologie blíže komentovat. Konzultace některých částí však samozřejmě nezbavuje správce a zpracovatele povinnosti, aby sami aktivně používali nástroje k ochraně osobních údajů, předcházeli tak rizikům prostřednictvím průběžné kontroly a o klíčových detailech informovali dotčené osoby.

Za zmínku také stojí, že projekt chytré karantény využívá datasety (např. telekomunikační data), tedy možnost sběru, která je již roky předmětem soudních diskusí (Ústavní soud, Soudní dvůr Evropské Unie).

Projekt chytré karantény bude zajímavé sledovat, a to jak z hlediska praktického fungování, tak z hlediska precedentního nastavení podobných projektů, které z povahy věci musí vyvažovat podstatné zásahy do soukromí s ochranou důležitých veřejných zájmů.

TechLaw zpravodaj Ochrana osobních údajů (GDPR)
Právo 

Legal News [červenec 2021]: Je možné udělit zaměstnanci souhlas s konkurenční činností s podmínkou?

Formulací „výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona“ nelze podle rozhodnutí Nejvyššího soudu vymezit předmět podnikání. V případě dluhu, který vznikl před uzavřením manželství, není možné za předpokladu, že byla sepsána dohoda o odděleném jmění, vést exekuci proti manželovi povinného. Nejvyšší soud definoval rozdíl mezi překročením zástupčího oprávnění a jednáním bez zmocnění. Přečtěte si červencové Legal News, v nichž vám i tentokrát přinášíme významná stanoviska a rozhodnutí soudů. 

29. 7. 2021
Právo 

Soukromé finanční instituce jsou novými strážci environmentální regulace, mění se i postoj soudů

Regulací v oblasti environmentálního práva neustále přibývá, což značí, že udržitelnost je stále důležitějším tématem, které se přímo týká jednotlivců, firem i států. Dohled nad dodržováním nových pravidel už však nezajišťují pouze inspekce životního prostředí, ale nově i soukromé finanční instituce. A nový přístup k problematice mají i soudy, jejichž rozhodnutí přímo ovlivňují odpovědnost firem a států za klimatickou změnu. Přečtěte si, co nejdůležitějšího se událo ve druhém čtvrtletí roku 2021 ve světě environmentálního práva, a seznamte se s regulatorními novinkami, které budou mít vliv na budoucnost udržitelného byznysu celé Evropské unie. 

28. 7. 2021
Právo 

EU chce dosáhnout klimatické neutrality do roku 2050, poté bude usilovat o negativní emise

Existenční hrozba vyplývající z klimatické změny vyžaduje, aby EU i členské státy zvýšily své ambice a zintenzivnily svá opatření. To se promítá nejen v postoji Unie k evropskému právnímu rámci pro klima a v neustálém získávání a analýze dat (například ve vztahu k uhlíkovým sazbám), ale také ve změně rozhodovací soudní praxe. V nedávném přelomovém rozsudku nizozemský soud totiž poprvé nařídil soukromé společnosti, aby své počínání uzpůsobila potřebě boje s klimatickou změnou. 

28. 7. 2021