Na konci dubna vydala Evropská unie pokyny k aplikacím podporujícím boj proti pandemii COVID-19 ve vztahu k ochraně osobních údajů (2020/C 124 I/01). Ačkoliv nejsou právně závazné, stanovují určitá základní východiska zejména pro vývojáře tzv. dobrovolných aplikací určených pro boj proti pandemii COVID-19, které:
• poskytují přesné informace o pandemii COVID-19, nebo
• poskytují dotazníky pro sebehodnocení a pokyny pro jednotlivce (funkce vyhodnocování příznaků), nebo
• upozorňují osoby, které se po určitou dobu nacházely v blízkosti nakažené osoby, s cílem poskytnout informace, zda podstoupit domácí karanténu a kde se nechat otestovat (funkce vysledování kontaktů a varování), nebo
• poskytují komunikační fórum mezi pacienty v samoizolaci a lékaři, nebo v případě, kdy je zajišťováno poradenství ohledně další diagnostiky a léčby (větší využívání telemedicíny).
Při jejich dodržení by tedy podobné aplikace měly ustát test souladu s předpisy o ochraně osobních údajů, zejména s nařízením GDPR.
Prvním východiskem je určení osoby správce osobních údajů, tedy toho, kdo je odpovědný za určení účelu a právního základu zpracování a kdo by měl poskytnout subjektům údajů informace o zpracování. Tím by, dle pokynů, měly být (s ohledem na citlivost dat) vnitrostátní zdravotnické orgány (tedy zejména nikoliv osoby soukromého práva). Užívání aplikací by současně mělo být založeno na plné dobrovolnosti, a to hned z několika hledisek:
– nestažení či neužívání aplikace by správci údajů neměli spojovat s žádnými negativními důsledky
– jednotlivé funkce aplikace by měly podléhat samostatnému souhlasu, aby každý uživatel mohl skutečně svobodně volit způsoby a účely zpracování svých osobních údajů (souhlas by tedy v tomto případě měl být skutečně velice konkrétní)
– pokud jsou využívána data o vzájemném přiblížení (data vygenerovaná výměnou signálů „Bluetooth Low Energy“ mezi zařízeními v rámci epidemiologicky relevantní vzdálenosti a během epidemiologicky relevantní doby), měla by být ukládána v zařízení dané osoby. Jestliže tato data mají být sdílena se zdravotnickými orgány, měla by být sdílena až poté, co bude potvrzeno, že je dotčená osoba onemocněním COVID-19 nakažena, a za podmínky, že se tak rozhodne učinit
– aplikace by měla být schopna automatické deaktivace (bez nutnosti jejího odinstalování uživatelem) nejpozději poté, kdy bude prohlášeno, že se pandemie COVID-19 dostala pod kontrolu
Evropská komise jako právní základ jednoznačně preferuje souhlas subjektu údajů, a to právě s ohledem na velice citlivé a detailní informace, které jimi mohou být zpracovávány.
Pokyny EK dokonce hovoří o situaci, kdy by zdravotnické orgány (resp. státní orgány působící v oblasti zdravotnictví) zpracovávaly osobní údaje např. pro splnění právní povinnosti. I v takovém případě by mělo platit, že žádný uživatel by k instalaci aplikace neměl být nucen a její neužívání by nemělo být spojeno s žádnými negativními důsledky. Tedy že by každý subjekt údajů měl mít právo na to, aby jeho osobní údaje nebyly zpracovány.
Pokyny se dále velice podrobně zabývají povinností minimalizovat údaje, které jsou zpracovávány, jakož i problematikou omezování či zpřístupnění údajů. A to podle účelu zpracování. Právě na účel zpracování je přitom nutné klást velké nároky z hlediska informovanosti subjektů údajů i z hlediska jejich konkretizace. EK v případě těchto aplikací důrazně poukazuje na potřebu nespojovat různé funkce (informační, vyhledávací, funkci varování apod.), ale naopak držet je v maximální míře oddělené. S možností subjektu údajů užívat jen část z nich zcela dle jeho volby. I přes existující rizika onemocnění COVID-19 totiž Komise klade obrovský důraz na to, aby nedošlo k neoprávněnému prolomení práva na ochranu osobních údajů a soukromí obecně. Například i v případě pozitivně testovaného člověka by mělo být na něm, zda dovolí aplikaci (potažmo zdravotnické instituci, která jeho údaje zpracovává) informovat ostatní o takovém testu (tj. informovat je o tom, že se dostali do kontaktu s nemocným). Je totiž zřejmé, že i kdyby taková informace byla anonymizována (tj. příjemce by se nedozvěděl o tom, kdo oním nakaženým je), v konkrétních situacích může být identita nemocného odhalena nepřímo – například s odkazem na čas či místo, kde ke kontaktu došlo.
Pokyny Evropské unie naznačují, že ochrana lidských práv, vč. ochrany soukromí a osobních údajů, nesmí ustoupit technokratickému pojetí boje proti COVID-19. Lze jen věřit tomu, že si tuto skutečnost uvědomí i vývojáři a provozovatelé aplikací i správci osobních údajů a budou ji respektovat. Lze navíc předpokládat, že zcela unikátní zkušenosti ze současné doby mohou vést i k určité budoucí redefinici, nebo upřesnění specifikace takových znaků zákonného zpracování osobních údajů, jakým je dobrovolnost souhlasu. Je například otázkou, zda by subjekt údajů poskytl souhlas se zpracováním svých údajů způsobem, který po něm žádá příslušná aplikace pro boj proti COVID-19, kdyby se k němu dostaly objektivní informace o onemocnění a jeho rizicích.
Tomáš Nielsen