SMART LAW
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně
  • Blog
  • GDPR poradna
  • Ke stažení
  • O mně

Zpracování osobních údajů podle mimořádného opatření č.j. MZDR 12398/2020-1/MIN/KAN

29/3/2020

Comments

 
Picture
​Dne 19. března 2020 vydalo Ministerstvo zdravotnictví ČR podle § 69 odst. 1 písm. i) a odst. 2 zákona o ochraně veřejného zdraví mimořádné opatření č.j. MZDR 12398/2020-1/MIN/KAN, jimž uložilo informační povinnost podnikatelům zajišťujícím veřejnou mobilní komunikační síť a bankám. Cílem opatření je zajistit ochranu obyvatelstva a prevenci nebezpečí vzniku a rozšíření onemocnění covid-19 způsobené novým koronavirem SARS-CoV-2. Co přesně opatření přináší?

Co mimořádné opatření říká?

Ministerstvo opatřením č.j. MZDR 12398/2020-1/MIN/KAN nařídilo
  • podnikatelům zajišťujícím veřejnou mobilní komunikační síť (tedy společnostem Vodafone Czech Republic a.s., O2 Czech Republic a.s. a T-Mobile Czech Republic a.s.) předat ministerstvu nebo pověřené krajské hygienické stanici výsledky zpracování provozně lokalizačních údajů souvisejících s provozem určeného mobilního telefonního čísla za stanovené období uživatele určeného čísla,
  • bankám předat ministerstvu nebo pověřené krajské hygienické stanici údaje o době a místě použití elektronického platebního prostředku osob, které se nacházely v oblasti vydefinované ministerstvem nebo pověřenou krajskou hygienickou stanicí na základě údajů získaných od podnikatelů zajišťujících veřejnou mobilní komunikační síť, případně výsledky zpracování těchto údajů.
​Zpracování a předání výše uvedených osobních údajů je podle mimořádného opatření možné provést jen na vyžádání ministerstva nebo pověřené krajské hygienické stanice a jen pro určené mobilní telefonní číslo, přičemž ministerstvo nebo pověřená krajská hygienická stanice je oprávněna osobní údaje vyžádat jen pokud je subjekt údajů osobou nakaženou koronavirem SARS-CoV-2 a dále výslovně a jednoznačně potvrdí předem svůj souhlas s tímto zpracováním osobních údajů.
Před vyslovením souhlasu musí být uživatel zřetelně a jasně informován alespoň o tom, že
  • osobní údaje nebo výsledky zpracování budou podnikatelem zajišťujícím veřejnou mobilní komunikační síť nebo bankou předávány ministerstvu nebo pověřené krajské hygienické stanici, která bude jejich správcem,
  • výlučným účelem zpracování osobních údajů je provedení epidemiologického trasování přenosu nemoci covid-19 a k provedení identifikace rizikových skupin obyvatelstva až na úrovni jednotlivých uživatelů ohrožených nemocí covid-19,
  • operátorem budou zpracovány a předány provozně lokalizační údaje za dobu maximálně 3 týdnů zpětně a v případě bank budou zpracovány a předány některé existující údaje o využití elektronického platebního prostředku,
  • subjekt údajů je oprávněn vzít souhlas kdykoli zpět.
​Uvedené údaje lze uchovávat jen po dobu nezbytně nutnou pro splnění účelu, avšak nikdy ne déle než 6 hodin. Údaje, které nejsou v jednotlivých případech nadále nezbytné ke splnění účelu, se vymažou bezprostředně po ukončení doby zpracování, nejdéle však ve lhůtě 6 hodin.

Z odůvodnění opatření

Cílem mimořádného opatření je tedy zajistit provádění epidemiologického trasování přenosu koronaviru SARS-CoV-2: „Předmětem opatření je stanovení povinnosti subjektům uvedeným v bodě I k činnostem vedoucím k likvidaci epidemie, a to za využití nástrojů pro provádění epidemiologického trasování přenosu COVID-19 a vyhledávání rizikových skupin obyvatelstva ohrožených COVID-19. Touto činností se rozumí zpracování a předání údajů příjemci podle bodu I. Podmínkou pro předání takových údajů, které jsou zásadně chráněny v rámci důvěrnosti komunikace nebo bankovního tajemství, je výslovný, informovaný a svobodný souhlas dotčené osoby - uživatele.“
Ministerstvo zdravotnictví se v odůvodnění mimořádného opatření zabývalo i otázkou přiměřenosti: „Toto opatření také naplňuje podmínky nezbytnosti a přiměřenosti zásahu do osobnostních práv a svobod, když stanoví povinnost souhlasu uživatele, povinnost zpracovávat data pouze k určenému účelu a nepředávat je za jiným účelem. Nebude tedy docházet k jakémukoli odposlouchávání komunikace nebo obsahu dopravovaných zpráv, nevyžadují se žádné informace o zůstatcích na účtu, platbách na účtech apod., získaná data budou využívána pouze k jasně definovanému účelu (viz dále), data nebudou sloužit jako důkaz pro správní či trestní řízení, data budou smazána bezprostředně poté, co pomine účel jejich zpracování. Zároveň platí, že doba uchování těchto údajů a dat nesmí překročit šest hodin.“

Výhrady vůči mimořádnému opatření

Proti uvedenému opatření se ozvaly i kritické hlasy. Např. poslanec Pavel Žáček, místopředseda sněmovního Výboru pro bezpečnost a člen Stálé komise pro kontrolu použití odposlechu a záznamu telekomunikačního provozu, použití sledování osob a věcí a rušení provozu elektronických komunikací, vznesl vůči opatření tyto výhrady (které zveřejnil ve svém komentáři):
  • Nebyla vydána jako součást krizové legislativy s odkazem na celostátní nouzový stav, ani ve formě nařízení vlády ČR, přestože výrazně zasahuje do práv občanů; nebyla předložena Poslanecké sněmovně ve stavu legislativní nouze např. k přijetí dočasné zákonné úpravy.
  • Suspenduje stávající úpravu vydávání údajů chráněných podle zvláštních zákonů (odposlechy, sledování osob a věcí, bankovní tajemství), navíc bez povolení státního zástupce a soudu.
  • Nestanoví, kdo je pověřen a autorizován požadovat příslušné informace od mobilních operátorů a bank (ředitel Krajské hygienické stanice Praha, ředitelé všech KHS, určený pracovník ministerstva zdravotnictví?).
  • Neupravuje podobu souhlasu osoby nakažené koronavirem (ústní, písemný?); pokud je vyžadován pouze ústní souhlas, jak je verifikován?
  • Pokud umožňuje získávat předběžný souhlas pouze od nakažené osoby, na jakém základě jsou získávány údaje od mobilních operátorů či bank o osobách označených za podezřelé z nakažení?
  • Usnesení vlády ČR č. 250 je v rozporu s mimořádným nařízením, neboť schvaluje ministrovi zdravotnictví uzavírání smluv s blíže nespecifikovanými „dodavateli“, kteří jsou z logiky věci zjevně seznamováni s citlivými a chráněnými údaji o nakažených osobách. Mimořádné nařízení přitom nařizuje při získání souhlasu zdůraznit, že nikdo jiný než ministerstvo a krajská hygienická stanice žádné údaje nedostane.
  • Neobsahuje kontrolní mechanismy ani v rámci ministerstva zdravotnictví či orgánů hygieny (např. zmocněnec pro GDPR), ale ani u mobilních operátorů či bank (vnitřní kontrola, audit) nebo jiných zúčastněných subjektů.
  • Dvojsečnost šestihodinové lhůty pro uchování údajů a jejich smazání; jde o dostatečnou dobu k jejich využití pro trasování? Jak se údaje předané od mobilních operátorů a bank zpracovávají? Vkládají se do informačních systémů, formulářů či tzv. „heat map“? Mažou se po šesti hodinách i tyto údaje? A co údaje předávané „dodavatelům“ – spadají pod stejný režim a kdo to případně kontroluje?
  • Likvidace údajů po šesti hodinách navíc znemožňuje zpětnou kontrolu nakládání s daty.
  • V neposlední řadě nestanoví dobu platnosti, např. do zrušení nouzového stavu.

Srovnání informací poskytnutých jednotlivými operátory

Všichni tři operátoři (Vodafone Czech Republic a.s., O2 Czech Republic a.s. a T-Mobile Czech Republic a.s.) na webových stránkách informovali o zpracování osobních údajů svých zákazníků dle mimořádného opatření č.j. MZDR 12398/2020-1/MIN/KAN:
Picture
Vodafone Czech Republic a.s. 1/2
Picture
T-Mobile Czech Republic a.s.
Picture
Vodafone Czech Republic a.s. 2/2
Picture
O2 Czech Republic a.s.
Výše dostupné screenshoty byly pořízeny z webových stránek Vodafone Czech Republic a.s., O2 Czech Republic a.s. a T-Mobile Czech Republic a.s.
Podle článku 12 odst. 1, čl. 13 a čl. 14 GDPR musí správce poskytnout subjektu údajů, tedy identifikované nebo identifikovatelné fyzické osobě, stručné, transparentní, srozumitelné a snadno přístupné informace o zpracování jeho osobních údajů. Při pohledu na výše uvedené informace je zřejmé, že tento požadavek nejlépe splnila společnost Vodafone Czech Republic a.s. (a to zejména díky grafické úpravě poskytnutých informací, která umožňuje lépe se v textu orientovat a rychleji najít potřebné informace).

A co banky?

​Přesto je však nutné poznamenat, že všichni tři operátoři přistoupili k informování klientů ohledně zpracování osobních údajů svých zákazníků dle mimořádného opatření č.j. MZDR 12398/2020-1/MIN/KAN zodpovědněji než banky, které, alespoň tak se v této chvíli jeví, neberou nutnost informovat zákazníky příliš vážně. Pokud jste podobné informace u své banky objevili, tak budu rád, pokud mi je zašlete. S pomocí internetového vyhledávače ani prohlížením webových stránek vybraných bank se mi je nepovedlo v době psaní příspěvku dohledat.
DOPLNĚNÍ Z 31.3.2020: Z vyjádření bank plyne, že podobné informace zatím zákazníkům neposkytly.
Comments

    Andrej Lobotka

    právník se zájmem o trestní právo, právo informačních technologií a ochranu osobních údajů. Více informací v sekci O MNĚ.

    Štítky

    All
    Advokacie
    Data Retention
    Diskriminace
    GDPR
    Internet
    Koronavirus (COVID 19)
    Kyberkriminalita
    Osobní údaje
    Poradna
    Skimming
    Soudní Dvůr EU
    Svobodný Přístup K Informacím
    Trestní Právo
    Umělá Inteligence
    Vzor

Proudly powered by Weebly