Coronavírus a GDPR: stanovisko EDPB

K spracúvaniu osobných údajov v kontexte epidémie COVID-19 sa po vzore viacerých národných dozorných orgánov (medzi nimi aj slovenského Úradu na ochranu osobných údajov) vyjadril aj Európsky výbor na ochranu osobných údajov (EDPB). Stanovisko sa týka spracúvania osobných údajov v súčasnej situácií vykonávané tak verejnými orgánmi, ako aj súkromnými subjektami (najmä zamestnávateľmi). O víruse sme písali už aj v predchádzajúcom článku: Coronavírus a GDPR: zamestnávatelia a osobitné kategórie.

V tomto článku prinášame zhrnutie stanoviska EDPB.

koronavirus-slovensko-gdpr-securion

Koronavírus Slovensko GDPR. Zdroj: pexels.com

K zákonnosti spracúvania

EDPB v úvode svojho stanoviska zdôrazňuje, že predpisy na ochranu osobných údajov v žiadnom prípade nemajú za cieľ brániť v prijímaní opatrení na zabránenie šíreniu pandémie spôsobenej coronavírusom. EDPB však pripomína, že aj v tejto výnimočnej situácií je potrebné, aby prevádzkovatelia a sprostredkovatelia zabezpečili adekvátnu ochranu osobných údajov dotknutých osôb a rešpektovali zásady spracúvania osobných údajov, ktoré sú stanovené v Nariadení GDPR.

Jednou zo základných zásad spracúvania osobných údajov je zásada zákonnosti. GDPR ako pomerne rozsiahly právny predpis zavádza pravidlá, ktoré sa aplikujú aj v prípadoch, akým je spracúvanie osobných údajov spojené s pandémiou koronavírusu.

GDPR oprávňuje poverené verejné orgány v oblasti zdravotníctva, ako aj súkromných zamestnávateľov, spracúvať osobné údaje v kontexte epidémie, v súlade s národným právnymi predpismi, aj bez súhlasu dotknutých osôb. EDPB uvádza, že v uvedenom kontexte je spracúvanie osobných údajov, vrátane údajov o zdravotnom stave ako osobitnej kategórie osobných údajov, možné vykonávať z rôznych dôvodov, v súlade s čl. 6 a čl. 9 GDPR, napríklad z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s povinnosťami stanovenými príslušnou národnou legislatívou.

Pri spracúvaní osobných údajov zamestnávateľmi EDPB poukazuje napr. na to, že spracúvanie osobných údajov v kontexte pandémie coronavírusu môže byť nevyhnutné na plnenie zákonných povinností zamestnávateľov, týkajúcich sa zabezpečenia zdravia a bezpečnosti na pracovisku (ak príslušná národná legislatíva túto povinnosť zamestnávateľom ukladá), alebo z dôvodov verejného záujmu, napr. v oblasti kontroly chorôb a iných ohrození zdravia.

EDPB taktiež upozorňuje, že aj napriek všeobecnému zákazu spracúvania osobitných kategórií osobných údajov, ustanovuje GDPR v čl. 9 ods. 2 výnimky, ktoré je možne, v spojení s čl. 6 GDPR, aplikovať aj na súčasnú situáciu. Jednou z týchto výnimiek je napr. spracúvanie osobných údajov nevyhnutných na to, aby sa ochránili životne dôležité záujmy dotknutej osoby.1 Samotný recitál 46 GDPR uvádza ako príklad takéhoto spracúvania práve spracúvanie osobných údajov na humanitárne účely vrátane kontroly šírenia epidémií.

Základné princípy a praktické príklady

Ako pri každom inom spracúvaní osobných údajov platí, že osobné údaje musia byť spracúvané na jasné a výslovne určené účely spracúvania. EDPB pripomína, že dotknuté osoby by mali aj pri spracúvaní osobných údajov v kontexte coronavírusu byť transparentne informované o spracúvaní ich osobných údajov, vrátane informácie o dobe uchovávania a stanovených účeloch spracúvania. Informácie o spracúvaní by mali byť ľahko dostupné a vyjadrené jasne a jednoducho. Prevádzkovatelia a sprostredkovatelia by nemali zabúdať ani na zavedenie primeraných bezpečnostných opatrení, vrátane zabezpečenia toho, aby spracúvané osobné údaje neboli neoprávnené sprístupnené tretím stranám2.

EDPB vo svojom stanovisku podáva výklad aj k otázke, či môžu zamestnávatelia vyžadovať od zamestnancov alebo návštevníkov svojich priestorov špecifické údaje o zdravotnom stave v súvislosti s pandémiou koronavírusu. EDPB odporúča aj v tomto prípade dôsledne aplikovať zásadu minimalizácie osobných údajov a princíp proporcionality, na základe ktorých by mal zamestnávateľ vyžadovať od dotknutých osôb osobné údaje iba v rozsahu, v akom mu to umožňuje príslušná národná legislatíva.

Vyššie uvedené platí aj pri otázke, či je zamestnávateľ oprávnený uskutočňovať zdravotné vyšetrenia svojich zamestnancov v súvislosti s pandémiou (napr. meranie teploty). EDBP opätovne uvádza, že tento druh spracovateľskej operácie je zamestnávateľ oprávnený uskutočniť len vtedy, keď mu to ako povinnosť ukladá príslušná národná legislatíva.3 V tomto kontexte je možné spomenúť stanovisko Slovenského úradu na ochranu osobných údajov, ktorý ako príslušnú národnú legislatívu aplikovateľnú v oblasti verejného zdravia v podmienkach Slovenskej republiky a v súčasnej situácií uvádza napr. uznesenie vlády SR, ktoré môže byť prijaté v nadväznosti na vyhlásenú mimoriadnu situáciu na základe zákona č. 42/1994 Z.z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, ktoré by zamestnávateľom explicitne ukladalo povinnosť vykonávať vyššie opísané opatrenia, napr. meranie teploty svojich zamestnancov.4

EDPB sa venuje aj otázke prípadného zverejňovania informácií zamestnávateľom v jeho spoločnosti o zamestnancoch, ktorý boli coronavírusom infikovaní. EDPB tvrdí, že zamestnávatelia môžu svoj pracovný kolektív o tejto skutočnosti upovedomiť, vždy však iba v nevyhnutnom rozsahu a v prípade, ak to umožňuje príslušná národná legislatíva. Dotknutý zamestnanec by mal byť vopred informovaný a zamestnávateľ by mal dbať na jeho dôstojnosť a integritu v spoločnosti a pracovnom prostredí.

Spracúvanie lokalizačných údajov z mobilných telefónov

V závere svojho stanoviska sa EDPB venuje aj spracúvaniu lokalizačných údajov z mobilných telefónov. V prípade spracúvania telekomunikačných údajov, ku ktorým lokalizačné údaje patria, EDPB upozorňuje, že okrem ustanovení predpisov o ochrane osobných údajov musia byť dodržané aj ustanovenia národných predpisov, prostredníctvom ktorých bola do príslušného právneho poriadku implementovaná ePrivacy Smernica, ktorá upravuje okrem iného aj spracúvanie osobných údajov v online prostredí a poskytovanie telekomunikačných služieb.5.

lokalizacne-udaje-eprivacy-gdpr-securion

Zdroj: pexels.com

V zmysle vyššie uvedených predpisov môže operátor používať a sprístupňovať lokalizačné údaje z mobilných zariadení ich užívateľov iba vtedy, ak sú anonymizované, alebo ak na to jednotlivec, ktorého sa týkajú, udelí na takéto sprístupnenie operátorovi súhlas.

Čl. 15 ePrivacy smernice však umožňuje členským štátom zaviesť legislatívne opatrenia na zabezpečenie verejnej bezpečnosti, týkajúce sa oblasti telekomunikácií a elektronickej komunikácie.6 EDPB pripomína, že prijatie takejto výnimočnej  legislatívy je možné iba vtedy, ak predstavuje nevyhnutné, vhodné a primerané opatrenie, ktoré je v súlade s Chartou základných práv a slobôd a Európskym dohovorom o ochrane ľudských práv a základných slobôd. Okrem uvedeného podlieha takáto legislatíva súdnej kontrole Európskeho súdneho dvora a Európskeho súdu pre ľudské práva. V prípade, ak je takáto legislatíva prijatá počas krízovej situácie, mali by sa aj opatrenia ňou zavedené prísne obmedziť na trvanie krízovej situácie.

EDPB teda odpovedá aj na otázku, či môžu vlády jednotlivých členských štátov používať osobné údaje týkajúce sa mobilných telefónov dotknutých osôb7 v ich úsilí monitorovať, obmedziť alebo zmierniť šírenie pandémie koronavírusu. V niektorých členských štátoch vlády uvažujú o prípadnom využívaní lokalizačných údajov z mobilných telefónov ako možného spôsobu monitorovania, obmedzenia alebo zmiernenia šírenia pandémie kronavírusu.8

EDPB zdôrazňuje, že orgány verejnej moci jednotlivých členských štátov by sa mali najprv snažiť spracúvať lokalizačné údaje anonymným spôsobom (bez identifikácie konkrétnych dotknutých osôb), čo by napr. umožnilo generovanie správ o koncentrácii mobilných zariadení, a teda aj jednotlivcoch na konkrétnom mieste, ktoré by mohlo byť využiteľné napr. v prípade kontrolovania dodržiavania zákazu verejného zhromažďovania, či zhromažďovania sa osôb nad stanovený počet na jednom mieste).9

Ak nie je možné spracúvať iba anonymné údaje, môžu členské štáty opätovne postupovať podľa čl. 15 ePrivacy Smernice. Pri prijímaní takejto legislatívy však musia členské štáty zaviesť primerané záruky, napr. poskytnúť jednotlivcom možnosť na súdny opravný prostriedok.

Pri prijímaní legislatívnych opatrení, je potrebné dôsledne dodržiavať zásadu primeranosti, a to tak z hľadiska trvania opatrení, ako aj ich rozsahu.

Koronavírus Slovensko

Ako sme spomínali v úvode, stanovisko k aktuálnej situácii v oblasti spracúvania osobných údajov v súvislosti s koronavírusom vydali viaceré dozorné orgány po celom svete, nie len v krajinách, kde sa uplatňuje GDPR. Prehľadný všetkých aktuálnych odporúčaní dozorných orgánov z oblasti ochrany osobných údajov, ktorý pripravila Global privacy assembly, nájdete tu.

Na Slovensku sa vyjadril aj náš Úrad a vláda má záujem „zbierať“ lokalizačné údaje

  • anonymizovane, čo považujeme za primerané k predchádzaniu šíreniu pandémie, ako aj
  • individuálne pri tých, ktorí môžu byť nositeľmi a môžu porušovať karanténu, čo za primerané nepovažujeme.

Nie je však vylúčené, že spracúvanie lokalizačných údajov napríklad v rámci trestnoprávnych predpisov pri vyšetrovaní trestného činu môže byť použité ako dôkazný prostriedok. Situáciu budeme s ohľadom na ochranu osobných údajov naďalej sledovať.

Zaujal vás náš článok? Sledujte aj ďalej témy ePrivacy a GDPR na našich sociálnych sieťach alebo si pozrite naše videoškolenia.


  1. Spracúvanie osobných údajov nevyhnutné na to, aby sa ochránili životne dôležité záujmy dotknutej osoby je samostaným právnym základom podľa čl. 6 ods. 1 písm. d) GDPR. 

  2. Okrem iného aj s poukazom na to, že ide o osobitné kategórie osobných údajov 

  3. V nadväznosti na čl. 9 ods. 2. písm. i) GDPR., podľa ktorého je možné spracúvať osobitné kategórie osobných údajov aj z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia, na základe podmienok stanovených v práve Únie alebo členského štátu 

  4. Je potrebné poznamenať, že v čase publikovania tohto článku takého nariadenie vlády vo vzťahu k súkromným zamestnávateľom prijaté nie je. 

  5. V kontexte Slovenskej republiky je to zákon č. 351/2011 Z.z. o elektronických komunikáciách v znení neskorších predpisov. 

  6. Ako príklad môžeme opätovne poukázať na vyššie spomínané nariadenie vlády, prijaté na základe zákona 42/1994 Z.z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, či na základe zákona č. 227/2002 Z.z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu alebo vjnového stavu v znení neskorších predpisov 

  7. A teda pohybu samotných dotknutých osôb. 

  8. Čo by znamenalo napríklad možnosť geografického lokalizovania pohybu jednotlivcov alebo zasielanie správ o verejnom zdraví dotknutým osobám v konkrétnej oblasti 

  9. V tomto kontexte by sa vôbec neuplatňovali ustanovenia predpisov o ochrane osobných údajov, vzhľadom k tomu, že GDPR sa na anonymné alebo anonymizované osobné údaje nevzťahuje 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.