Ochrana osobních údajů musí být součástí samotného zadání, a to nikoliv jen jako ochrana před vnějším nezákonným útokem, nýbrž i jako ochrana před zneužitím státem samotným, který tyto osobní údaje shromažďuje a má k nim přístup, konstatuje se ve stanovisku ÚOOÚ k vládní novele zákona o ochraně veřejného zdraví, která se týká podmínek pro zavedení tzv. covidpasu.
„Výše uvedené povinnosti se váží k samotnému zpracování osobních údajů, nikoliv však samoúčelně. Nakládání s osobními údaji má prakticky vždy průmět do sféry základních práv.“
Úvodem ÚOOÚ opakovaně zdůrazňuje, že prakticky všechny konkrétní kroky a návrhy vlády v boji proti COVID-19 vyžadují odpovědi na otázky, které si však vláda ani ex post nepokládá. Naléhavost detailního vyhodnocení navrhovaných opatření se stupňuje s rozsahem základních práv, která mohou být v souvislosti se zpracováním osobních údajů dotčena. Názorně problém vystupuje při obecnějších úvahách o plošném a systematickém využívání informací o zdravotním stavu k podmínění přístupu ke službám, k omezení svobody pohybu, svobody shromažďování a dalších práv, navíc často s hrozbou porušení zákazu diskriminace v úzkém právním smyslu, u něhož navíc není stanoven časový horizont.
Opomíjení základních práv
Jak dále stanovisko uvádí, pokud je výlučným realizovaným postupem vlády zajištění pouhého technicistního řešení, lze očekávat, že takové řešení nebude splňovat současné nároky na ochranu osobních údajů v kontextu ostatních základních práv a svobod. Ochrana osobních údajů totiž musí být součástí samotného zadání, a to nikoliv jen jako ochrana před vnějším nezákonným útokem, nýbrž i jako ochrana před zneužitím státem samotným, který tyto osobní údaje shromažďuje a má k nim přístup. „Výše uvedené povinnosti se váží k samotnému zpracování osobních údajů, nikoliv však samoúčelně. Nakládání s osobními údaji má prakticky vždy průmět do sféry základních práv, a to nejen práva na soukromí. Varovně často bývá opomíjena dimenze ochrany ostatních základních práv prostřednictvím dodržování přísných podmínek pro použití osobních údajů.“
Riziko dotčení celé řady základních práv prostřednictvím centrální evidence údajů o zdravotním stavu je – z definice – enormní, konstatuje dále stanovisko. Nyní tedy nejen tím, že osobní údaje tohoto typu jsou shromažďovány, ale že jsou vytvářeny mechanismy, jakým způsobem tyto osobní údaje využívat jako prerekvizity pro realizaci dalších základních práv. Nemá tím být řečeno, že v zájmu ochrany veřejného zdraví je použití například nyní koncipovaných certifikátů právně či ústavně vyloučeno. Je tím míněno, že text návrhu zákona a důvodové zprávy musí podrobně závažnost těchto nároků reflektovat. „Je zřejmé, že v krizových situacích epidemie je nutno kroky Parlamentu i vlády podřizovat časovým hlediskům. Neurčitý a mezerovitý text zákona však řešení krize neusnadní, neboť bezbřehé zmocnění bez odstupňovaných zákonných mezí přetěžuje orgány vydávající konkrétní opatření, jejichž akty pak nemohou z hlediska zákonnosti před soudem obstát.“
Nedostatečná ochrana
Základem je posouzení vlivu na ochranu osobních údajů podle článku 35 obecného nařízení o ochraně osobních údajů, které předkladatel začlení do obecné části důvodové zprávy. Podle obecného nařízení o ochraně osobních údajů jej má projednat ÚOOÚ, což se nestalo. Část ochrana osobních údajů v míře umožňující kvalitní služby (GDPR) není podle Úřadu dostatečná. Vadí mu, že jsou to apodiktická tvrzení bez argumentů. Pouhé legislativní ukotvení rozsahu [zpracování osobních údajů] nestačí, je třeba stanovit rovněž záruky ochrany osobních údajů. Účel zpracování osobních údajů, ochrana veřejného zdraví, je neadekvátně široký, ve skutečnosti jím je prevence epidemiologicky závažného kontaktu s nakaženým SARS-CoV-2. Prostředky k zajištění ochrany osobních údajů jsou odbyty málo srozumitelným výčtem: „šifrováním databází, HSM moduly pro ukládání certifikátů (technologicky na nejvyšší úrovni dle eIDAS), SIEM“. „Co se týká zhodnocení dopadů ve vztahu k ochraně soukromí a osobních údajů, jedná se popis dnešního stavu, aniž by byl splněn článek 35 odst. 7 obecného nařízení o ochraně osobních údajů. Rozšíření údajů využívaných orgány ochrany veřejného zdraví podle § 47b zákona o ochraně veřejného zdraví je zvláštní části důvodové zprávy odůvodněno nutností spolehlivé identifikace, která se podle předkladatele ještě dnes neobejde bez rodného čísla.“
Obdobně je rozšířen § 79 zákona o ochraně veřejného zdraví, kde do zpracování zvláštní kategorie osobních údajů a dalších údajů vstupuje údaj o telefonním čísle a adrese elektronické pošty, přestože nedošlo k normativnímu vymezení účelů zpracování osobních údajů, pouze zvláštní část důvodové zprávy je omezuje na vydávání covid pasu. „Tyto procedurální vady však nebrání tomu, aby byl návrh novely schválen jedním čtením. Nebylo by vhodné, aby vláda takto postupovala standardně, zvláště když již řadu týdnů není nouzový stav, ale vzhledem k provázanosti s unijní úpravou je to akceptovatelné. Závěr zní, že zákon o covid pasech není v rozporu s právem EU ani ústavním pořádkem ČR.“
Foto: Pixabay
Zdroj: Dušan Šrámek
Sdílet
Hodnotit
Autor článku
