„Lex korona“ a spracúvanie lokalizačných údajov

Dňa 27.3.2020 nadobudol účinnosť tzv. „lex korona“,¹ ktorým boli novelizované viaceré právne predpisy, s cieľom zaviesť ďalšie opatrenia s boji s pandémiou koronavírusu. Zasiahne aj lokalizačné údaje.

Aktualizované 15.05.2020.

Jedným z novelizovaných je teda aj zákon o elektronických komunikáciách, ktorým sa do nášho právneho poriadku zavádza možnosť spracúvať lokalizačné údaje² z mobilných zaradení v súvislosti so vznikom pandémie alebo šírením nebezpečnej nákazlivej ľudskej choroby.

Účinnosť novely tohto zákona bola 13.05.2020 pozastavená Ústavným súdom SR po návrhu na pozastavenie účinnosti skupinou poslancov. Tí zároveň v návrhu tvrdia, že novela zákona o elektronických komunikáciách je v rozpore najmä s Ústavou, Listinou základných práv a slobôd, Dohovorom o ochrane ľudských práv a základných slobôd. Dôvodov pozastavenia účinnosti je viacero.

Jedným z nich je fakt, že ústava neumožňuje, aby ochrana jednotlivca bola upravená len podzákonným právnym predpisom vydaným orgánom výkonnej moci. Zároveň, časť pozastavenej právnej úpravy nebola dostatočne určitá, pretože umožňovala štátnej moci spracúvať osobné údaje bez toho, aby bol jednoznačne vymedzený účel takého spracúvania a spôsoby nakladania s osobnými údajmi.

Čo táto novelizácia zákona o elektronických komunikáciách z pohľadu ochrany osobných údajov znamená v čase jej účinnosti?

Právny rámec

V poslednom období sme sa spracúvaniu osobných údajov v súvislosti s pandémiou coronavírusu venovali vo viacerých článkoch. Do odbornej diskusie prispeli svojimi odporúčaniami aj viaceré dozorné orgány. Často sa v súvislosti so súčasnou situáciou spomínalo aj sledovanie polohy občanov prostredníctvom mobilných zariadení, vykonávané prostredníctvom orgánov verejnej moci.

K vyššie opísanému monitorovaniu sa vyjadril aj Európsky výbor pre ochranu osobných údajov (EDPB), o ktorom sme písali v článku Coronavírus a GDPR: stanovisko EDPB.

Vo svojom odporúčaní EDPB zdôrazňuje, že ak nie je možné spracúvať lokalizačné údaje iba v anonymizovanej podobe, môžu členské štáty postupovať podľa čl. 15 ePrivacy Smernice,³ ktorý umožňuje vo výnimočných prípadoch členským štátom prijať v oblasti elektronickej komunikácie mimoriadne legislatívne opatrenia na zabezpečenie napr. národnej bezpečnosti. Pri prijímaní takejto legislatívy však musia členské štáty zaviesť primerané záruky, medzi ktoré patrí najmä primeraný súdny opravný prostriedok.

„Lex korona“ z pohľadu spracúvania údajov je takýmto mimoriadnym opatrením.

Prvá nevyhnutná podmienka pri prijímaní legislatívnych predpisov zavádzajúcich spracúvanie osobných údajov je výnimočnosť aktuálnej situácie a snaha zaviesť opatrenia v oblasti národnej bezpečnosti – bezpečnosti štátu a jeho občanov, kam môžeme zaradiť aj ochranu pred pandémiou. Túto podmienku považujeme za splnenú.

Pri druhej podmienke, ktorou je zavedenie primeraných záruk v oblasti ochrany práv a slobôd dotknutých osôb, to už také jednoznačné nie je.

Rozsah spracúvaných osobných údajov

Lokalizačné údaje a súvisiace údaje komunikujúcich strán⁴, ktorých sa spracúvanie zavedené týmto zákonom v súvislosti s pandémiou koronavírusu týka sú predmetom telekomunikačného tajomstva.

Predmetom telekomunikačného tajomstva sú aj prevádzkové údaje⁵ a obsah prenášaných správ (komunikácie ako takej), ktorých sa však lex korona netýka. Údaje s obsahom prenášaných správ nebudú poskytované Úradu verejného zdravotníctva, ani inak podobne spracúvané.

Každý, kto príde do styku s údajmi tvoriacimi telekomunikačné tajomstvo, je povinný ho chrániť, okrem ustanovených výnimiek (napr. sprístupnenie údajov na účely trestného konania orgánom činným v trestnom konaní alebo sprístupnenie údajov niektorému z ozbrojených zborov plniaceho úlohy na úseku obrany štátu alebo príslušnému štátnemu orgánu na úseku správy daní). K týmto výnimkám pribudnú aj situácie, ktoré do nášho právneho poriadku zavádza lex korona.

Od 27.3.2020 tak telekomunikačné podniky:

• lokalizačné údaje spolu s informáciou o vzniku lokalizačného údaju a súvisiace údaje komunikujúcich strán (najmä identifikačné údaje fyzických osôb),
• v čase mimoriadnej situácie alebo núdzového stavu v zdravotníctve,
• v príčinnej súvislosti so vznikom pandémie alebo šírením nebezpečnej nákazlivej ľudskej choroby,

spracúvajú:

• na účel identifikácie príjemcov správ, ktorým je potrebné oznámiť osobitné opatrenia Úradu verejného zdravotníctva SR v záujme ochrany života a zdravia,
• výlučne v rozsahu potrebnom na identifikáciu užívateľov v záujme ochrany života a zdravia.

Zároveň, tieto údaje poskytujú Úradu verejného zdravotníctva SR na základe odôvodnenej písomnej žiadosti.

Úrad verejného zdravotníctva v zmysle „nového“ ustanovenia § 63 ods. 20 zákona o elektronických komunikáciách môže údaje spracúvané podľa prechádzajúceho odseku, ktoré mu poskytol telekomunikačný podnik zbierať, spracúvať a uchovávať počas trvania mimoriadnej situácie alebo núdzového stavu v zdravotníctve, najdlhšie do 31. decembra 2020. Výnimka je časovo obmedzená.

Poskytnutie lokalizačných a súvisiacich identifikačných údajov od telekomunikačného podniku Úradu verejného zdravotníctva sa môže uskutočniť výlučne na základe odôvodnenej písomnej žiadosti, ktorá musí obsahovať identifikáciu účastníka alebo užívateľa, alebo spôsob určenia identifikácie účastníkov alebo užívateľov, na ktorých sa poskytnutie týchto údajov vzťahuje.

V zmysle dôvodovej správy k „lex korona“ je cieľom zavedených opatrení umožniť v situácií, kedy sú bezprostredne ohrozené životy a zdravie občanov v súvislosti so šírením pandémie alebo nebezpečnej nákazlivej ľudskej choroby, Úradu verejného zdravotníctva získavať, zhromažďovať a uchovávať vyššie špecifikované údaje, v nevyhnutnom rozsahu na účel včasného identifikovania potenciálnych nositeľov nákazy a zabráneniu jej ďalšieho šírenia.

Uvedené sa má dosiahnuť monitorovaním pohybu a kontaktov už identifikovaných nakazených jedincov.⁶

Pri porovnaní textu dôvodovej správy a samotného zákona môžeme konštatovať, že kým v dôvodovej správe je účel spracúvania osobných údajov Úradom verejného zdravotníctva SR stanovený jasne a špecificky, v zákonnej dikcii je stanovený pomerne široko. Uvedené možno odôvodniť snahou zákonodarcu upraviť čo najväčší okruh situácií, ku ktorým môže dochádzať. Uvedený prístup nepovažujeme za správny. Podľa nášho názoru môže byť v rozpore s viacerými zásadami Nariadenia GDPR.

Novelizáciou zákona o elektronických komunikáciách sa tak v Slovenskej republike stanovujú podmienky, za ktorých je možné spracúvať lokalizačné údaje dotknutých osôb v súčasnej situácií. Vyššie uvedené spracúvanie tak bude vykonávané na základe právneho základu podľa čl. 6 ods. 1 písm. c) Nariadenia GDPR – pri plnení zákonných povinností.

Nie je zatiaľ jasné, ako bude výmena údajov medzi telekomunikačnými podnikmi a Úrad verejného zdravotníctva prebiehať, ani akým štýlom bude vyzerať samotné následne kontrolovanie osôb, ktoré prišli do styku s identifikovanými infikovanými osobami do kontaktu. Vzhľadom na pomerne rozsiahlo špecifikované oprávnenie Úradu verejného zdravotníctva SR, najmä vo vzťahu k bezpečnosti spracúvaných osobných údajov je možné hovoriť o istej neprimeranosti tohto opatrenia vo vzťahu k právam a slobodám dotknutých osôb.

Taktiež nie je jasné, ako sa budú uvedené inštitúcie vysporadúvať so situáciami, kedy prihlásené telefónne číslo používa iná osoba, ako jeho majiteľ, prípadne ak je jedna fyzická osoba majiteľom viacerých zariadení, najmä vo vzťahu k spracúvaniu jeho identifikačných údajov v situáciách, kedy táto dotknutá osoba bola napr. doma a do žiadneho kontaktu s infikovanými osobami neprišla.

Ako pozitívum a snahu o dosiahnutie súladu so zásadou minimalizácie je možné hodnotiť najmä časové obmedzenie vyššie uvedeného spracúvania, ktoré je zákonodarcom stanovené celkom jasne, a teda počas trvania mimoriadnej situácie alebo núdzového stavu, najdlhšie však do 31. decembra 2020.

Článok pokračuje pod videoškolením o GDPR v HR prostredí:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Povinnosti prevádzkovateľov a práva dotknutých osôb

Tak ako pri každom spracúvaní osobných údajov (medzi ktoré môžu patriť aj lokalizačné údaje identifikovaných fyzických osôb) je prevádzkovateľ povinný dodržiavať povinnosti stanovené predpismi o ochrane osobných údajov. Kto je v tomto prípade prevádzkovateľom?

Sú ním tak telekomunikačné podniky, ktoré lokalizačné a súvisiace identifikačné údaje zbierajú, ako aj Úrad verejného zdravotníctva SR, ktorému sú tieto údaje poskytované a ktorý ich následne spracúva na ďalšie určené účely.

Prvou zo základných povinností každého prevádzkovateľa je informačná povinnosť, prostredníctvom ktorej prevádzkovatelia poskytujú dotknutým osobám informácie o účeloch spracúvania, právnych základoch, dobe uchovávania alebo kritériách na jej určenie, príjemcoch osobných údajov, právach dotknutých osôb a pod.⁷

Dokument, prostredníctvom ktorého si Úrad verejného zdravotníctva v súčasnosti plní informačnú povinnosť, neobsahuje všetky náležitosti  v súlade s čl. 13 a 14 GDPR. Každý prevádzkovateľ je povinný informovať dotknuté osoby o tom, že spracúva ich osobné údaje tak v prípade, ak získa osobné údaje priamo od dotknutých osôb, ako aj v prípade, ak získa osobné údaje od inej ako dotknutej osoby alebo z iného zdroja, napríklad z  verejného registra.

Čl. 14 GDPR upravuje náležitosti informačnej povinnosti v prípade, ak sú osobné údaje získané z iného zdroja, ako priamo od dotknutej osoby. Jednou z podstatných informácií, ktoré je prevádzkovateľ povinný dotknutým osobám poskytnúť, ak získa ich osobné údaje z iného zdroja, ako priamo od nich, je práve špecifikácia zdroja osobných údajov dotknutých osôb. V prípade spracúvania osobných údajov, ktoré zavádza lex corona, bude zdrojom osobných údajov, z ktorého získa Úrad verejného zdravotníctva osobné údaje dotknutých osôb, príslušný telekomunikačný podnik, ktorý by ako zdroj mal byť zahrnutý v informačnej povinnosti.

Druhou zo základných povinností každého prevádzkovateľa je povinnosť zaviesť a implementovať opatrenia, prostredníctvom ktorých zabezpečí primeranú úroveň ochrany spracúvaných osobných údajov, najmä vo vzťahu k ich dôvernosti, integrite a dostupnosti. Pri súčasnom náraste počtu dotknutých osôb a objemu spracúvaných osobných údajov bude potrebné, aby prevádzkovatelia upravili a aktualizovali svoje procesy aj v tejto oblasti.

Ďalšou povinnosťou, ktorá sa bude s veľkou pravdepodobnosťou týkať prevádzkovateľov pri spracúvaní lokalizačných a iných súvisiacich údajov zavedeného na základe lex corona, je povinnosť vykonať posúdenie vplyvy na ochranu osobných údajov podľa čl. 35 GDPR, známe ako DPIA. GDPR ustanovuje, že v prípade, ak: „typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb...“ je prevádzkovateľ povinný vykonať pred začatím spracúvania osobných údajov posúdenie jeho vplyvu na práva a slobody dotknutých fyzických osôb.

Pomôcky na stanovenie toho, kedy spracúvanie osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, sú špecifikované v rôznych odporúčaniach dozorných orgánov. Slovenský Úrad na ochranu osobných údajov vydal tzv. blacklist – zoznam spracovateľských operácií, ktoré podliehajú povinnosti vykonať posúdenie vplyvu na ochranu osobných údajov. Jednou z týchto spracovateľských operácií v zmysle blacklistu je aj spracúvanie lokalizačných údajov.

Posúdeniu vplyvu na ochranu osobných údajov však nepodlieha každé spracúvanie lokalizačných údajov, ale iba také, ktoré je spojené s aspoň jedným ďalším určujúcim kritériom uvedeným v odporúčaní WP29⁸o posúdení vplyvu na ochranu osobných údajov. WP29 v tomto odporúčaní stanovuje 9 základných kritérií, ktoré by sa mali pri stanovovaní povinnosti vykonať posúdenie vplyvu na ochranu osobných údajov brať do úvahy. Jedným z týchto kritérií je aj spracúvanie osobných údajov vo veľkom rozsahu, pričom veľkosť rozsahu môže byť daná počtom dotknutých osôb, objemom spracúvaných osobných údajov, dĺžkou trvania alebo geografickým rozsahom spracúvania. V tomto kontexte je tiež dôležité poznamenať, že výsledkom posúdenia vplyvu na ochranu osobných údajov môže byť vysoké riziko posudzované spracúvania na práva a slobody dotknutých fyzických osôb. Prevádzkovateľ je povinný v takom prípade uvedenú spracovateľskú operáciu konzultovať s Úradom na ochranu osobných údajov.⁹

Nemožno opomenúť ani fakt, že každá dotknutá osoba má v zmysle predpisov o ochrane osobných údajov „garantovaný“ balík práv, ktoré si môže voči prevádzkovateľom uplatniť. Medzi tieto práva patrí najmä právo na prístup k osobných údajom¹⁰, právo na obmedzenie spracúvania alebo právo na vymazanie. Tieto práva si môže uplatniť každá dotknutá osoba a je povinnosťou prevádzkovateľa sa takto uplatnenými práva a žiadosťami zaoberať. A v ustanovených lehotách¹¹ ich vybaviť.

O aktuálnej situácií v súvislosti so spracúvaním lokalizačných údajov priebežne informujeme na stránke GDPR a koronavírus. Nájdete tam informácie o meraní teploty zamestnancov, vstupe dôchodcov do prevádzok v určitých časoch, home-office a ďalších témach.

Potrebujete poradiť s osobnými údajmi? Dajte nám vedieť.

1. zákon č. 62/2020 Z.z. o o niektorých mimoriadnych opatreniach v súvislosti so šírením nebezpečnej nákazlivej ľudskej choroby COVID-19 a v justícii a ktorým sa menia a dopĺňajú niektoré zákony ↩

2. Lokalizačné údaje sú v zmysle § 57 ods. zákona o elektronických komunikáciách údaje spracúvané v sieti alebo prostredníctvom služby, ktoré označujú geografickú polohu koncového zariadenia užívateľa verejnej služby ↩

3. Pozn.: Ktorá bola do nášho právneho poriadku transponovaná práve zákonom o elektronických komunikáciách ↩

4. Pozn.: Vo vzťahu k fyzickým osobám – podnikateľom je to obchodné meno a miesto podnikania fyzickej osoby – podnikateľa a meno, priezvisko, titul a adresa trvalého pobytu fyzickej osoby – nepodnikateľa, výnimkou údajov, ktoré sú ktoré sú zverejnené v telefónnom zozname ↩

5. Prevádzkové údaje sú údaje vzťahujúce sa na užívateľa a na konkrétny prenos informácií v sieti a vznikajúce pri tomto prenose, ktoré sa spracúvajú na účely prenosu správy v sieti alebo na účely fakturácie ↩

6. Ako ďalej uvádza dôvodová správa, opatrenia sa zavádzajú aj za cieľom efektívnejšej činnosti Úradu verejného zdravotníctva, ktorý by inak musel čakať na splnenie ohlasovacej povinnosti fyzických osôb o svojej nákaze podľa § 51 ods. 1 písm. c) zákona č. 355/2007 Z.z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov, ako aj ohlasovacej povinnosti právnických osôb podľa § 52 ods. 1 písm. m) totožného zákona. ↩

7. Obsah oboznámení je špecifikovaný v čl. 13 a 14 GDPR ↩

8. Pracovná skupina, ktorá sa podieľala na tvorbe GDPR a jeho účinnosťou bola transformovaná na Európsky výbor pre ochranu osobných údajov – EDPB ↩

9. Ktorý v tomto prípade postupuje podľa čl. 36 a nasl. GDPR ↩

10. Upravené v čl. 15 GDPR ↩

11. Pozn.: Štandardne by mal prevádzkovateľ žiadosť dotknutej osoby vybaviť do 1 mesiaca odo dňa jej prijatia, v odôvodnených prípadoch je možné túto lehotu predĺžiť o ďalšie dva mesiace ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb