COVID-19 AND GDPR PROBLEMS
Peter Jelenčík
Abstract
The aim of the article is to present the issue of GDPR during the COVID-19 pandemic, which in some way significantly interferes with the legal basis of the GDPR Regulation..
Key words: GDPR, COVID-19
Abstrakt
Cieľom článku je predstaviť problematiku GDPR počas pandémie COVID-19, ktorá zasahuje určitým spôsobom výrazne do právneho základu nariadenia GDPR.
Kľúčové slová: GDPR, COVID-19
Úvod
Ideálny svet, uponáhľaná doba, neobmedzené možnosti cestovania a mnoho iných slovných spojení, predstavujú pre väčšinu ľudí hlavné prívlastky života pred aktuálne prevládajúcou pandémiou. Svet ako sme ho poznali sa náhle a závratne zmenil. Aktuálna situácia však nezasiahla iba samotných obyvateľov, ale výrazne otestovala aj pripravenosť a promptnosť krajín na celom svete. Mnoho krajín na príchod vírusového ochorenia daných rozmerov nebolo vôbec pripravených. Niektoré z nich začali zo zavádzaním ráznych opatrení už v začiatkoch prepuknutia vírusu vo svete, naopak iné sa zo zavádzaním opatrení až tak neponáhľali. Dané rozhodnutia sa následne odzrkadlili na situáciách a počtoch nakazených ľudí v jednotlivých krajinách. Zavádzanie rýchlych legislatívnych zmien sa výrazným spôsobom dotklo aj ochrany osobných údajov, t.j. nariadenia GDPR.
Čo je GDPR?
„GDPR (General Data Protection Regulation, skrátene teda GDPR) je univerzálne európske nariadenie, ktoré od 25.5.2018 zavádza novú úpravu práv a povinností v oblasti spracúvania a ochrany osobných údajov. GDPR je záväzné pre každého, kto spracúva osobné údaje jednotlivcov nachádzajúcich sa v Európskej únií.“[15]
Ako je z jednej z mnoho definícií GDPR zrejmé, podstatou tohto nariadenia je chránenie osobných údajov jednotlivcov pred ich neoprávneným používaním. Pod osobnými údajmi rozumieme najmä informácie, ktoré vytvárajú identitu fyzických osôb – jednotlivcov. Ide najmä o konkrétne údaje, akými sú napríklad meno, priezvisko, adresa, rodné číslo, e-mailová adresa či telefónne číslo konkrétnej fyzickej osoby. Vymenované sú len niektoré zo všetkých významných „identifikátorov“.[16] GDPR považuje za osobné údaje aj také informácie, prostredníctvom ktorých je možné jednotlivcov jednoznačne identifikovať (napríklad zamestnanecké číslo, fotografie a pod.). Za citlivé informácie, ktorým je potrebné venovať zvýšenú pozornosť pri ich ochrane, sa však považujú aj informácie o zdravotnom stave jednotlivcov.[14] Práve daný typ informácií je v spojitosti s vírusovým ochorením COVID-19 aktuálne najviac významným.
COVID-19 a GDPR
COVID-19, resp. KORONAVÍRUS je výrazné infekčné ochorenie, ktoré aktuálne trápi celý svet. Toto ochorenie je vyvolané koronavírusom SARS-CoV-2, pričom postihuje najmä dýchací systém človeka. Vírus sa do sveta postupne rozšíril z čínskeho mesta Wu-chan, v ktorom sa prví infikovaní pacienti objavili už v decembri minulého roku (2019). Vplyv, ako aj priebeh vírusu na ľudský organizmus je rôzny u každého človeka. Faktom však je, že tento vírus môže viesť až k úmrtiu pacienta. Ďalším dôležitým faktorom je šíriteľnosť daného vírusu prostredníctvom kvapôčok sekrétu pri kašli, kýchaní a rozprávaní, čo má za následok rýchly presun vírusu z človeka na človeka pri bezprostrednom kontakte daných osôb.[4]
Od začiatku prepuknutia vírusu na Slovensku je vývoj šírenia nákazy oproti iným krajinám pomerne stabilný. Odborníci poukazujú na podchytenie jednotlivých ohnísk výskytu pacientov so zisteným ochorením. K priaznivému vývoju výrazne pomohlo viacero úvodných ráznych opatrení a odporúčaní vlády, z ktorých mnoho je úzko spätých s problematikou GDPR.
Jednou z najviac dotknutých skupín sú zamestnávatelia. Práve oni musia pristúpiť k zásadným opatreniam, prostredníctvom ktorých na jednej strane zabezpečia ochranu zdravia svojich zamestnancov, a na strane druhej aj ochranu ich osobných údajov, resp. údajov o ich zdravotnom stave.[5]
GDPR pre firmy v čase koronakrízy
Pri zavádzaní GDPR v roku 2018 bolo mnoho podnikateľov voči danému nariadeniu skeptických, nakoľko jeho implementácia si vyžadovala pozmenenie niektorých zavedených postupov, ako aj zvýšenie byrokratického zaťaženia. Aktuálna situácia opätovne núti mnohých podnikateľov a zamestnávateľov k zvýšeniu pozornosti ochrany osobných údajov. Ide najmä o spracúvanie osobných údajov týkajúcich sa zdravia svojich zamestnancov, respektíve v niektorých prípadoch aj obchodných partnerov, klientov alebo iných osôb, ktoré vstupujú do priestorov a prevádzok daných spoločností. Spracovanie údajov týkajúcich sa zdravia zamestnancov je špecifickou osobitnou kategóriou osobných údajov. „GDPR ustanovuje všeobecný zákaz pre spracúvanie osobitných kategórií osobných údajov, zároveň však obsahuje aj katalóg výnimiek, v ktorých je možné spracúvať túto kategóriu.“[3] Inak povedané, dané údaje možno „získavať a spracovávať len za predpokladu, že organizácia disponuje právnym základom spracúvania a súčasne – existuje výnimka zo všeobecného zákazu spracúvať citlivé osobné údaje.“[6] Účinnosť nariadenia GDPR sa vplyvom pandémie nijako nezastavuje a zamestnávatelia tak naďalej musia spracovávať osobné údaje podľa zákonom stanovených kritérií.
Medzi vhodné výnimky pre spracúvanie zdravotných údajov radíme spracúvanie osobných údajov z dôvodu:[7]
- nevyhnutného na účely preventívneho alebo pracovného lekárstva,
- verejného záujmu v oblasti verejného zdravia (na základe práva EÚ alebo členského štátu),
- plnenia povinností zamestnávateľa v oblasti pracovného práva (ochrana zdravia a bezpečnosti pri práci zamestnancov),
- ochrany životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas,
- súhlasu dotknutej osoby.
V spojitosti s COVID-19 sa medzi osobné údaje, ako aj údaje týkajúce sa zdravia príslušnej dotknutej osoby zaraďujú najmä:[3]
- údaje týkajúce sa práceneschopnosti zamestnanca v kontexte nákazy COVID-19,
- údaje indikujúce pobyt zamestnanca v oblastiach označených ako vysoko rizikové z pohľadu možnej nákazy vírusom,
- údaje ohľadom možného kontaktu s osobou s podozrením na nákazu COVID-19,
- údaje získavané v súvislosti s meraním telesnej teploty pri vstupe do priestorov zamestnávateľa.
„Slovenskí zamestnávatelia, ako aj ostatné organizácie sa môžu pri stanovovaní vhodného právneho základu a príslušnej výnimky zo zákazu spracúvania citlivých dát oprieť najmä o tieto zákony[3]:
- Zákon o civilnej ochrane obyvateľstva, na základe ktorého musí byť vydané konkrétne opatrenie a Zákon o ochrane, podpore a rozvoji verejného zdravia (napr. opatrenie Úradu verejného zdravotníctva o meraní telesnej teploty, opatrenie o povinnej 14-dňovej karanténe u osôb, ktoré prišli zo zahraničia, prípadne ďalšie opatrenia).
- Zákon o bezpečnosti a ochrany zdravia pri práci, na základe ktorého je zamestnávateľ povinný napríklad posudzovať riziko nákazy na pracovisku, a v prípade potreby vykonať vhodné opatrenia na zabezpečenie ochrany zdravia zamestnancov.
- Zákonník práce, na základe ktorého je zamestnávateľ povinný napríklad robiť opatrenia v záujme ochrany života a zdravia zamestnancov pri práci; alebo je povinný svojim zamestnancom zabezpečovať také pracovné podmienky, aby mohli riadne plniť svoje pracovné úlohy bez ohrozenia života, zdravia a majetku.“[1]
Pri spracovávaní osobných údajov o zdravotnom stave je spoločnosť povinná informovať zamestnancov, a taktiež všetky dotknuté osoby, o podmienkach a spôsobe spracovávania daných údajov. „Zamestnávatelia sú povinní vyžadovať zdravotné informácie iba v rozsahu, v akom to vnútroštátne právne predpisy umožňujú a prísne dodržiavať zásadu minimalizácie spracúvaných dát.“[6] Pod zásadou minimalizácia rozumieme spracovávanie iba tých osobných údajov o zdravotnom stave, ktoré sú relevantné a nevyhnutné pre zabránenie šírenia vírusu, a to iba na nevyhnutne dlhú dobu.
Zozbierané informácie o zdravotnom stave svojich zamestnancov je zamestnávateľ povinný chrániť, t.j. zabezpečiť také opatrenia na ochranu osobných údajov, aby dané údaje nemohli byť zneužité[2]. Tretím osobám môže zamestnávateľ poskytnúť dané osobné údaje o zdravotnom stave zamestnancov iba vtedy, ak je to nevyhnutné a má na to zákonný dôvod. Ak je to nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, môže zamestnávateľ tieto údaje následne poskytnúť napr. nemocnici alebo orgánom činným v trestnom konaní. V žiadnom prípade zamestnávateľ nemá právo poskytovať dané osobné údaje o tom, kto je konkrétne nakazený, médiám či verejnosti.[3]
MERANIE TELESNEJ TEPLOTY
V súvislosti s aktuálnou situáciou, a jedným z príznakov ochorenia, je zavedenie merania telesnej teploty. Nameraná hodnota telesnej teploty človeka sa taktiež považuje za jeden z citlivých osobných údajov. Na základe vyhlásených opatrení a Uznesenia vlády Slovenskej republiky, hlavný hygienik Slovenskej republiky vydal Usmernenie ako postupovať pri meraní telesnej teploty, ktoré však ukladá povinnosť merania telesnej teploty iba pri vstupe do nemocníc a priemyselných podnikov. Zamestnávatelia, na ktorých sa uvedené akty nevzťahujú, musia využiť inú vhodnú výnimku pre spracúvanie zdravotných záznamov než výnimku verejného záujmu v oblasti verejného zdravia.[3]
PROBLEMATIKA HOMEOFFICE
V súčasnej situácií mnoho zamestnávateľov umožňuje svojim zamestnancom prácu z pohodlia domova. Väčšina zamestnávateľov však nebola vopred pripravená na hromadné zavádzanie práce prostredníctvom „home office“. V tomto prípade je na mieste otázka ochrany spracúvaných dát, nakoľko zamestnanci pracujú prostredníctvom počítačov pripojených do bežných domácich internetových sietí bez zvýšenej úrovne zabezpečenia. Túto úroveň zabezpečenia zamestnávateľ nevie ovplyvniť, a tak môže ľahko dôjsť k úniku daných osobných údajov. Pri práci mimo kancelárskych priestorov zamestnávateľa sa k citlivým údajom môžu omnoho ľahšie dostať taktiež aj iné osoby[17].
Zamestnávatelia by mali svoju pozornosť upriamiť najmä na aktualizáciu bezpečnostnej firemnej politiky, pravidiel nakladania s citlivými informáciami a prijať vhodné opatrenia. Dané opatrenia je potrebné následne náležite zdokumentovať a informovať o nich všetky zainteresované strany.[1]
GDPR a zavedenie opatrení monitorovania osôb
Veľmi závažnou a diskutovanou témou v spojitosti s vývojom aktuálnej situácie a nárastom pozitívne testovaných osôb je monitoring obyvateľov s cieľom lokalizácie ich pohybu.
Po prepuknutí nákazy, dňa 27.3.2020 nadobúda účinnosť zákon, ľudovo nazývaný „lex korona“. Tento zákon prináša so sebou novelizáciu viacerých právnych predpisov, s cieľom zaviesť ďalšie opatrenia v boji s pandémiou koronavírusu.[8]
Spolu s novelizáciou viacerých zákonov bola zavedená možnosť spracúvania lokalizačných údajov z mobilných zariadení v súvislosti so vznikom pandémie alebo šírením nebezpečnej nákazlivej ľudskej choroby.
„Ak je to nevyhnutné na plnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci, či z iných zákonných dôvodov, môžu štátne orgány získavať aj lokalizačné údaje občanov.“[7] Tieto údaje však môžu získavať primárne anonymizovaným spôsobom. „Anonymizácia znamená použitie techniky, ktorá zabraňuje akémukoľvek dostupnému spätnému identifikovaniu jednotlivcov.“[12]
„Vo vnútroštátnych právnych predpisoch, ktorými sa transponuje ePrivacy smernica je stanovená zásada, že operátor môže použiť lokalizačné údaje iba vtedy, ak sú anonymné alebo s jednotlivec poskytol súhlas.“[13] Takýto spôsob zbierania lokalizačných údajov pomáha zaznamenať zvýšenú koncentráciu osôb (mobilných telefónov) na určitom mieste.
V nevyhnutných prípadoch, „ak nie je možné spracúvať lokalizačné údaje iba v anonymizovanej podobe, môžu členské štáty postupovať podľa čl. 15 ePrivacy Smernice, ktorý umožňuje vo výnimočných prípadoch členským štátom prijať v oblasti elektronickej komunikácie mimoriadne legislatívne opatrenia na zabezpečenie napr. národnej bezpečnosti. Pri prijímaní takejto legislatívy však musia členské štáty zaviesť primerané záruky, medzi ktoré patrí najmä primeraný súdny opravný prostriedok.“[13]
Mobilní operátori spracúvajú lokalizačné údaje primárne na účel identifikácie príjemcov správ, ktorým je potrebné oznámiť osobitné opatrenia Úradu verejného zdravotníctva SR v záujme ochrany života a zdravia, a zároveň tieto údaje poskytujú Úradu verejného zdravotníctva SR na základe odôvodnenej písomnej žiadosti. Úrad následne môže dané údaje zbierať, spracúvať a uchovávať počas trvania mimoriadnej situácie alebo núdzového stavu v zdravotníctve, najdlhšie však do 31. decembra 2020.[8]
Po výrazných komplikáciách s umiestňovaním navrátilcov do štátnych karanténnych zariadení sa Slovensko rozhodlo spustiť inteligentnú domácu karanténu. Začiatky jej fungovania boli spojené s viacerými významnými problémami. Jedným z hlavných problémov bol fakt, že danú mobilnú aplikáciu si ľudia vedeli stiahnuť iba na mobilné telefónny s operačným systémom ANDROID.
„Počas krízovej situácie z dôvodu ochorenia COVID-19 môže úrad verejného zdravotníctva rozhodnúť o tom, že fyzické osoby, ktoré majú povinnosť podrobiť sa nariadenej izolácii, ju môžu absolvovať v domácom prostredí za podmienky písomného súhlasu alebo inak hodnoverne preukázateľného súhlasu s podrobením sa izolácii doma za použitia mobilnej aplikácie na monitorovanie jej dodržiavania.“[10]
„Základnými podmienkami na absolvovanie karantény v domácej izolácii je smartfón s kamerou a určovaním polohy, nonstop Wi-Fi pripojenie alebo dostatok mobilných dát a dostatočný mobilný signál na mieste izolácie. Občan musí v domácej izolácii absolvovať test na COVID-19. Počas domácej izolácie občan ani ostatní členovia domácnosti nemôžu opustiť miesto izolácie.“[9]
Uvedenú aplikáciu je vhodné nainštalovať si ešte pred príchodom na územie Slovenska. Po príchode, a jej následnej aktivácií, sú ľudia najrýchlejšou trasou nasmerovaný do domácej izolácie. Ako je zrejmé z vyššie uvedených podmienok, obyvatelia nachádzajúci sa v domácej izolácií sú nútený využiť pomoc rodinných príslušníkov, susedov, resp. formu donáškových služieb pre zabezpečenie potrebných zásob. Kontrolovanie domácej izolácie prebieha prostredníctvom náhodných výziev na rozpoznanie prostredníctvom biometrie tváre, resp. prostredníctvom lokalizačných údajov daného mobilného zariadenia. Po piatich dňoch inteligentná aplikácia vyzve obyvateľa, aby sa objednal na testovanie. Po negatívnom výsledku testu je obyvateľ zbavený domácej izolácie. Úrad verejného zdravotníctva SR je oprávnený uchovávať získavané informácie iba po dobu nevyhnutnú na monitorovanie daného obyvateľa. Po skončení domácej izolácie daného obyvateľa, je tento úrad povinný údaje odstrániť a ďalej neuchovávať.[11]
Záver
Napriek neustále sa meniacej situácií v spojitosti so šírením nákazy je dôležité neustále sledovať aktuálne informácie a vyhlásenia vlády. Taktiež je potrebné klásť dôraz na dodržiavanie potrebných bezpečnostných opatrení či už pri ochrane svojho zdravia, a pri spracovávaní a narábaní s osobnými údajmi je dôležité konať podľa zákonných pravidiel.
Použitá literatúra
- [1] BLAHUTOVÁ, S. – SEMANČÍNOVÁ, L. COVID-19 a ochrana osobných údajov – epravo.sk. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.epravo.sk/top/clanky/covid-19-a-ochrana-osobnych-udajov-4758.html>.
- [2] KAROVIČ, V. – VESELÝ, P. Vybrané bezpečnostné normy, štandardy a organizácie pre podporu GDPR a testovania bezpečnosti. In Progresívne prístupy a metódy zvyšovania efektívnosti a výkonnosti organizácií [elektronický dokument] . Košice: Slovenská asociácia procesného riadenia, 2018. s. 101–113. ISBN 978-80-972984-1-8.
- [3] KONVIT, M. GDPR pre firmy v čase koronakrízy COVID-19 – KPMG Slovensko. In KPMG [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://home.kpmg/sk/sk/home/insights/2020/05/gdpr-pre-firmy-v-case-koronakrizy-covid-19.html>.
- [4] KORONA.GOV.SK Čo je COVID-19? In Koronavírus a Slovensko [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://korona.gov.sk/co-je-covid-19/>.
- [5] MATUŠOVIČ, M. et al. Protection of Competition – the Global Economic Crisis VI. . Mukařov – Srbín: Ľuboš Janica, 2018. 190 s. ISBN 978-80-270-1037-0.
- [6] MIČUDOVÁ, T. Verejná správa SR – Home office – v kontexte nariadenia GDPR + smernica. In vssr.sk [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.vssr.sk/clanok-z-titulky/home-office-v-kontexte-nariadenia-gdpr-2.htm>.
- [7] SECURION Coronavírus a GDPR: zamestnávatelia a osobitné kategórie. In Securion [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.securion.sk/koronavirus-a-gdpr/>.
- [8] SECURION “Lex korona” a spracúvanie lokalizačných údajov. In Securion [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.securion.sk/lex-korona-a-lokalizacne-udaje/>.
- [9] TASR Domáca inteligentná karanténa je spustená. Zatiaľ iba pre jeden operačný systém. In tvnoviny.sk [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.tvnoviny.sk/koronavirus/1998135_domaca-inteligentna-karantena-je-spustena-zatial-iba-pre-jeden-operacny-system>.
- [10] TASR Inteligentná karanténa bude spustená až po testovaní, Ministerstvo vnútra Slovenskej republiky. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://www.minv.sk/?tlacove-spravy&sprava=inteligentna-karantena-bude-spustena-az-po-testovani>.
- [11] TASR Zverejnili podrobnosti o inteligentnej karanténe. Takto má fungovať novinka. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://slovensko.hnonline.sk/2151640-zverejnili-podrobnosti-o-inteligentnej-karantene-takto-ma-fungovat-novinka>.
- [12] ÚOOÚ SK Aktuálne dokumenty k projektom aplikácií na boj s ochorením COVID-19 | Úrad na ochranu osobných údajov Slovenskej republiky. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://dataprotection.gov.sk/uoou/sk/content/aktualne-dokumenty-k-projektom-aplikacii-na-boj-s-ochorenim-covid-19>.
- [13] ÚOOÚ SK Vyhlásenie predsedníčky EDPB k spracúvaniu osobných údajov v súvislosti s prepuknutím choroby COVID-19 | Úrad na ochranu osobných údajov Slovenskej republiky. In [online]. 2020. [cit. 2020-12-01]. Dostupné na internete: <https://dataprotection.gov.sk/uoou/sk/content/vyhlasenie-predsednicky-edpb-k-spracuvaniu-osobnych-udajov-v-suvislosti-s-prepuknutim>.
- [14] VAVRO, T. GDPR v skratke – ako by sa mal podnikateľ pripraviť? In Podnikajte.sk [online]. 2018. [cit. 2020-12-01]. Dostupné na internete: <https://www.podnikajte.sk/zakonne-povinnosti-podnikatela/gdpr-ako-sa-pripravit>.
- [15] VESELÝ, P. Nové definície pojmov v GDPR. In Ochrana osobných údajov [elektronický dokument] . 2017. .
- [16] VESELÝ, P. Online identifikátory ako osobné údaje. In Ochrana osobných údajov [elektronický dokument] . 2017 .
- [17] VESELÝ, P. Základné zásady spracúvania osobných údajov. In Ochrana osobných údajov [elektronický dokument] . 2018. s. 1–1. .
Celé vydanie časopisu Manažérska Informatika ročník 1, 2020, číslo 2
Indexed : GOOGLE SCHOLAR