(Regionálny) Úrad verejného zdravotníctva však odmietol obci Vysoká pri Morave poskytnúť osobné údaje nakazených obyvateľov z dôvodu ochrany ich osobných údajov s odvolaním sa na GDPR. Následne dňa 23. marca 2020 TA3 informovala, že polícia zasahovala voči páchateľovi, ktorým bol človek z infikovanej domácnosti. Preto musela polícia nariadiť domácu karanténu vyše 20 policajtom, ktorí boli v kontakte s danou osobou. Vysvetlenie ÚVZ?
„Regionálny úrad verejného zdravotníctva nie je oprávnený oznamovať obciam či krízovým štábom obcí, nakoľko na to nemá relevantný právny základ v zmysle nariadenia zákona o ochrane osobných údajov.“
Nie je. Poskytovanie osobných údajov medzi akýmkoľvek orgánom verejnej moci a obcou je poskytovanie osobných údajov medzi samostatnými prevádzkovateľmi. To znamená, že obe strany musia mať dostatočný právny základ na spracúvanie daných údajov. Jedna strana na poskytnutie osobných údajov, druhá strana na ich ďalšie spracúvanie, ale každá v súvislosti s plnením svojich vlastných úloh.
Samozrejme, že aktuálne žiadny právny predpis neobsahuje výslovnú povinnosť ani jednej strany tak urobiť. To však nie je potrebné na to, aby sa obe strany mohli spoľahnúť na právny základ verejného záujmu podľa čl. 6 ods. 1 písm. e) GDPR, ktorý vyžaduje iba to, aby spracúvanie bolo:
„nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.“
Nie. Nie je potrebné, aby zákon výslovne dané poskytnutie dovoľoval, prikazoval alebo dokonca ani spomínal. Stačí, ak táto úloha alebo verejná moc „má oporu“, aspoň všeobecnú, v právnom poriadku. Potvrdzuje to výslovne aj čl. 6 ods. 3 GDPR: „základ pre spracúvanie sa stanoví v práve EÚ alebo členského štátu“ ale aj recitál 45 GDPR: „Týmto nariadením sa nevyžaduje, aby pre každé jednotlivé spracúvanie existoval osobitný právny predpis.“
Čl. 6 ods. 3 GDPR síce naznačuje, že by bolo fajn, ak by právny predpis stanovoval aj konkrétny účel spracúvania, kategórie príjemcov a pod. Ide tu však o možnosť, nie povinnosť: „uvedený právny základ môže obsahovať osobitné ustanovenia...“.
Dokonca nemusí ísť ani o zákon, ale podľa recitálu 41 GDPR môže ísť aj o podzákonnú normu (napr. uznesenie vlády alebo obce).
Situáciu by však naozaj komplikoval osobitný zákon, ktorý by výslovne zakazoval akékoľvek iné poskytnutie údajov, ako je v ňom dovolené. Aj to sa dá však riešiť, a to buď výkladom, legislatívnym opatrením podľa čl. 23 GDPR alebo jednoducho aj porušením daného zákona. Netvárme sa, že orgány verejnej moci neporušujú GDPR v iných otázkach (viď napr. privacy policy ÚVZ, podľa ktorej je právnym základom "GDPR, zákon 18/2018 a Trestný poriadok"). ÚVZ však v tomto prípade netvrdí, že daný postup zakazuje zákon, ale že nemá dostatočný právny základ.
Áno. Na tento právny základ sa môžu spoliehať rovnako orgány verejnej moci ako aj súkromno-právne subjekty, ktoré takisto môžu plniť úlohy vo verejnom záujme (napr. v takejto krízovej situácii). Jednak žiadne podobné obmedzenie nevyplýva z textu GDPR, a navyše s takým záverom výslovne počíta aj recitál č. 45 GDPR:
„V práve Únie alebo v práve členského štátu by malo byť takisto stanovené, či by prevádzkovateľom vykonávajúcim úlohu vo verejnom záujme alebo pri výkone verejnej moci mal byť orgán verejnej moci alebo iná fyzická alebo právnická osoba, ktorá sa spravuje verejným alebo súkromným právom, ako napríklad profesijné združenie, ak je to z dôvodu verejného záujmu opodstatnené, a to aj na účely v oblasti zdravia, ako je verejné zdravie a sociálna ochrana a správa služieb zdravotnej starostlivosti.“
Je celkom prirodzené, že orgány verejnej moci aj obce spadajú pod prevádzkovateľov, ktorým právny poriadok (napr. zákon o obecnom zriadení) prikazuje plnenie úloh vo verejnom záujme.
Samozrejme že nie. Verejný záujem (rovnako ako oprávnený záujem) má svoje limity v práve dotknutých osôb namietať voči nim podľa čl. 21 GDPR. Oba právne základy dovolia spracúvať údaje len takým spôsobom a len v takom rozsahu, pokiaľ je možné: „preukázať nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.”
Prevádzkovatelia by mali vykonať tzv. “balančné testy” častokrát nazývané (nesprávne) aj “testy proporcionality”. Bohužiaľ, vykonanie týchto testov patrí medzi najnáročnejšie úlohy v tejto oblasti a na Slovensku neexistuje voľne dostupný a použiteľný nástroj. Je možné vychádzať napr. zo vzoru zverejneného britským Data Protection Network. Bežné “opísanie” verejného záujmu nestačí, ale aktuálne je taká úroveň a prax na Slovensku... Reálny balančný test by však mal umožňovať aj záver, že niečo jednoducho „neprejde“, čo nemôže záležať od toho, že si to tak opíšeme na papieri.
Preto používame vlastnú metodiku a bodovací systém. Napr. použitie aplikácie, ktorá by monitorovala pohyb osôb v domácej karanténe zo strany orgánu verejnej moci nám vyšlo 12:5 v prospech verejného záujmu. Myslíme si, že je veľmi pravdepodobné, že poskytnutie údajov v tomto prípade by prešlo daným testom.
Hneď je však potrebné dodať, že čo by pravdepodobne týmto testom neprešlo, by bolo zverejňovanie osobných údajov nakazených občanov, nakoľko dôsledky daného spracúvania by neboli proporcionálne sledovanému účelu.
Áno. Na údaje o zdraví je potrebné okrem verejného záujmu súčasne splniť aspoň jednu z podmienok podľa čl. 9 ods. 2 GDPR. Medzi tieto podmienky patrí najmä písm. c), f), g) a i), podľa ktorých možno údaje o zdraví spracúvať, ak:
spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas;
je to nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov;
spracúvanie je nevyhnutné z dôvodov významného verejného záujmu na základe práva Únie alebo práva členského štátu, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu údajov a stanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby;
je to nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo.
Dobrá správa je, že splnenie podmienok čl. 9 ods. 2 GDPR nie je nevyhnutnou súčasťou splnenia informačných povinností, a teda nemusí byť vysvetlené v „privacy policy“. Obec ani orgány verejnej moci, nemusia odkrývať, ako sa s čl. 9 GDPR vysporiadali. Mali by však informovať o tom, že tieto údaje spracúvajú.
Predstavte si, že počíta. Výslovne ju spomína recitál 46 GDPR:
„Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“
GDPR. Keďže riešenie tejto krízy evidentne patrí do kompetencie Európskej únie, nie je potrebné sa zaoberať druhou časťou nášho zákona č. 18/2018 Z.z. a všetky otázky a odpovede nájdeme priamo v texte GDPR. Pre bližšie informácie odkazujem na nedávne stanovisko Výboru (EDPB), ktoré však pravdepodobne nebude pre obce úplne relevantné.
Úplne všeobecné pravidlo znie: pokiaľ dané spracúvanie slúži verejnosti, občanom, našim zástupcom a je proporcionálne, nikoho neprimerane nediskriminuje a týka sa tak výnimočnej situácie ako je táto, s veľkou pravdepodobnosťou ho GDPR „dovoľuje“. A to aj vtedy, ak to zákon „nehovorí“. Podľa môjho obľúbeného profesora pracovného práva: „Zákon nič nehovorí, lebo nevie rozprávať“.
Ak by sme však trochu s pochopením čítali text GDPR, zistili by sme, že sa nám možno aj niečo snaží povedať. Napr. v recitál 4: „Spracúvanie osobných údajov by malo byť určené na to, aby slúžilo ľudstvu.“
Predtým, než znova obviníme GDPR z toho, že nám niečo zakazuje, si ho radšej otvorme a prečítajme. Alebo nestrácajte čas a rovno nám zavolajte.
P.S.: Požiadali sme o názor aj ÚVZ, ktorý k tomu uviedol:
"V súvislosti s Vašou žiadosťou Vám Úrad verejného zdravotníctva Slovenskej republiky oznamuje, že vzhľadom k tomu, že problematika ochrany osobných údajov nespadá do kompetencie Úradu verejného zdravotníctva Slovenskej republiky bolo potrebné požiadať o súčinnosť Úrad na ochranu osobných údajov Slovenskej republiky. K dnešnému dňu Úradu verejného zdravotníctva Slovenskej republiky neeviduje odpoveď na žiadosť o usmernenie o poskytovaní osobných údajov pre potreby samospráv miest a obcí."
Neváhajte nás kontaktovať. Naši odborníci sú vám k dispozícii.
Dve úplne základné otázky, s ktorými sa mal v rámci prípravy na GDPR vysporiadať každý podnikateľ sú: (i) „v akom som postavení pri spracúvaní osobných údajov?“ a zároveň; (ii) „v akom postavení sú moji obchodní partneri alebo dodávatelia?“.
Každý z nás sa môže stať obeťou hackerského útoku. Avšak, splnením sanačných, notifikačných a dokumentačných povinností podľa GDPR sa vec ani zďaleka nekončí. Čo spravidla nasleduje, je vyvodenie zodpovednosti. Pri ňom síce súdy pracujú s klasickými právnymi inštitútmi, ale ich aplikáciu môže komplikovať pre súdy stále pomerne nová právna úprava - GDPR. V sérii blogov budeme sledovať prípad C-340/21 pred Súdnym dvorom EÚ, ktorý môže posunúť vývoj v tejto oblasti ďalej.
Nemecký správny súd riešil zaujímavý prípad týkajúci sa používania auto-kamery a zverejňovania nahrávok z jázd na YouTube. Reagoval pritom na rozhodnutie dozorného orgánu, ktorý prikázal pixelovať ŠPZ na zverejnených nahrávkach alebo dané videá odstrániť. Súd zrušil len malú časť rozhodnutia, pričom jeho väčšinu potvrdil a rozoberá pritom aj viaceré praktické otázky aplikácie GDPR. Ak prevádzkujete auto-kameru, tento prípad by Vás mohol zaujímať.