1. Úvod
V zmysle článku IV. zákona č. 62/2020 Z. z. o niektorých opatreniach v súvislosti so šírením nebezpečnej nákazlivej choroby COVID-19 a v justícii a ktorým sa menia a dopĺňajú niektoré zákony (ďalej aj ako „Novela zákona“) sa doplnil zákon č. 351/2011 Z. z. o elektronických komunikáciách v z. n. p. (ďalej aj ako „zákon o elektronických komunikáciách“), konkrétne § 63 o odseky 18 až 20.
Dôvodom prijatia Novely zákona bola, podľa osobitnej časti dôvodovej správy, potreba včasného identifikovania potenciálnych nositeľov nákazy a zabránenie jej ďalšieho šírenia, a to vďaka monitorovaniu pohybu a kontaktov už identifikovaných nakazených jedincov.[1] Z medializovaných správ[2] sa javí, že UVZ SR má v prvom kroku v úmysle plošne zbierať len anonymizované údaje a tieto analyzovať. Konkrétne osobné údaje dotknutých osôb má v úmysle spracúvať až na základe odôvodnenej žiadosti adresovanej podniku, ktorý mu poskytne vymedzené údaje o dotknutých osobách. Uvedené údaje má spracúvať UVZ SR, aby vyhľadával vybrané osoby (či už z dôvodu zvýšenej mobility alebo na základe potenciálneho styku s nakazeným) a aby im poslal varovné správy.
Potreba tejto
právnej úpravy je zdôvodnená ochranou života a zdravia pred
nebezpečne nákazlivou chorobou COVID-19, ktoré spôsobuje rôzne
zdravotné komplikácie a môže viesť až k smrti jednotlivcov. Novela
zákona však nepochybne zasahuje do práv osôb chránených
ústavným zákonom č. 460/1992 Zb.
Ústavou Slovenskej republiky (ďalej aj ako „Ústava SR“) a
medzinárodnými zmluvami, ktorými je Slovenská republika viazaná,
vrátane práva na súkromie, ktoré v sebe zahŕňa aj právo na
ochranu osobných údajov.[3]
Každý zásah do ústavou
garantovaných práv musí byť v súlade s článkom 13 ods. 2 Ústavy
SR, a to: Medze základných práv a slobôd možno upraviť za
podmienok ustanovených touto ústavou len zákonom.
Nariadenie
Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o
ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom
pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej
aj ako „GDPR“ alebo „všeobecné nariadenie o ochrane údajov“) a zákon
č. 18/2018 Z. z.
o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
(ďalej aj ako „zákon o ochrane osobných údajov“) upravujú
podmienky, na základe ktorých možno odlíšiť oprávnené
spracovanie osobných údajov od ich neoprávneného spracúvania.
Právny základ spracovania osobných údajov vymedzených v Novele
zákona môže podnik ako aj UVZ SR odvodzovať z článku 6 ods. 1
písm. c) GDPR a z článku 6 ods. 1 písm. e) GDPR. Existencia
verejného záujmu v oblasti verejného zdravia v súčasnosti podľa
nášho názoru nepochybne existuje a je spojená s potrebou
predchádzať šíreniu nebezpečnej nákazy COVID-19 a monitorovaním
jej šírenia.
Zo zákona o elektronických komunikáciách ani zo zákona č. 355/2007 Z. z.
o ochrane, podpore a rozvoji verejného zdravia v znení neskorších
predpisov (ďalej aj ako „zákon o ochrane, podpore a rozvoji verejného
zdravia“) nevyplývajú osobitné a vhodné opatrenia na ochranu
údajov pri tomto spracúvaní. Minimálny štandard ochrany osobných
údajov však vyplýva priamo z GDPR. Každé spracúvanie osobných
údajov musí byť súladné so zásadami spracúvania uvedenými vo
všeobecnom nariadení o ochrane osobných údajov. Je preto potrebné,
aby každý prevádzkovateľ správne kvalifikoval údaje ako osobné
údaje, pokiaľ takýmito údajmi sú, a prispôsobil svoju činnosť
tak, aby bola súladná s GDPR.
2. Zoznam spracúvaných údajov
V zmysle Novely zákona sa majú spracúvať nasledovné údaje:
a) telefónne číslo,
b) obchodné meno,
c) sídlo právnickej osoby,
d) obchodné meno fyzickej osoby,
e) miesto podnikania fyzickej osoby,
f) meno, priezvisko, titul fyzickej osoby,
g) adresa trvalého pobytu fyzickej osoby a
h) lokalizačné údaje,
i) čas vzniku lokalizačného údaja.
(ďalej aj ako „Zoznam údajov“).
Okrem písmena b) a c) niet, podľa nášho názoru, pochybností o tom, že ide o osobné údaje identifikovateľných fyzických osôb. V prípade obchodného mena právnickej osoby sa nedá úplne vylúčiť, že pôjde rovnako o osobný údaj, napríklad v prípade, že bude obchodné meno obsahovať meno a priezvisko fyzickej osoby, ktorá je spoločníkom spoločnosti. Uvedené si však musí v konkrétnej situácii vyhodnotiť prevádzkovateľ.
Zákon o elektronických komunikáciách obsahuje jednoznačný zoznam osobných údajov, ktoré sa majú v informačnom systéme spracúvať. Podnik poskytuje celý Zoznam údajov v zmysle § 63 ods. 18 zákona o elektronických komunikáciách UVZ SR v dvoch podobách – v anonymizovanej a identifikovanej podobe. Vyvstáva otázka, či sú anonymizované tak, ako túto anonymizáciu chápe GDPR.
3. Anonymizované alebo pseudonymizované údaje
Zákon o elektronických komunikáciách v znení účinnom od 27. 3.
2020[4] v § 63 ods. 18 špecifikuje dva účely spracúvania osobných
údajov, a to i) štatistický účel potrebný na predchádzanie,
prevenciu a modelovanie vývoja ohrozenia života a zdravia a ii) účel
identifikácie príjemcov správ, ktorým je potrebné oznámiť
osobitné opatrenia Úradu verejného zdravotníctva Slovenskej
republiky v záujme ochrany života a zdravia.
Spracúvanie údajov
na štatistické účely má byť podľa Novely zákona v anonymizovanej
podobe. Podľa nášho názoru však uvedená anonymizovaná podoba
nespĺňa požiadavky anonymizácie údajov v zmysle GDPR, iba ak ich
pseudonymizáciu.
Podľa recitálu 26 GDPR by sa zásady ochrany údajov mali vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Zásady ochrany osobných údajov sa naopak nevzťahujú na anonymné informácie, konkrétne na informácie, ktoré sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba už nie je identifikovateľná. Na určenie toho, či je fyzická osoba identifikovateľná, by sa mali brať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Osobné údaje, ktoré boli odidentifikované, zašifrované alebo pseudonymizované, ale možno ich použiť na opätovnú identifikáciu osoby, zostávajú osobnými údajmi a patria do rozsahu pôsobnosti GDPR.
Zásady ochrany osobných údajov sa ďalej netýkajú spracúvania informácií vrátane spracúvania na štatistické účely alebo účely výskumu.[5] V prípade štatistického účelu sa v Novele zákona uvádza, že tieto údaje majú byť v anonymizovanej podobe. Na to, aby sme osobné údaje mohli považovať za skutočne anonymizované podľa GDPR je potrebné, aby boli anonymizované takým spôsobom, že jednotlivca viac nemožno identifikovať, pričom táto anonymizácia musí byť nezvratná.
Aby bol naplnený predpokladaný druhý účel spracovania údajov v zmysle Novely zákona, UVZ SR bude od podniku na základe odôvodnenej žiadosti požadovať identifikáciu dotknutej osoby vrátane identifikácie ostatných dotknutých osôb, s ktorými prišiel do styku. Podnik však nevie vopred identifikovať rozsah potenciálne nakazených ani predpokladať, identifikáciu ktorých osôb bude UVZ SR … …
Celé znenie článku nájdete na nižšie uvedenom zdroji.
Autor
JUDr. Zuzana Takácsová
Zdroj
https://www.sak.sk/web/sk/cms/sak/bulletin/archiv/proxy/list/form/picker/event/page/10