GDPR, ochrana súkromia a "Lex Corona". Môže byť strana Smer úspešná pri "Lex Corona" ?

Autor: Martin Greguš | 30.3.2020 o 7:01 | (upravené 9.4.2020 o 18:16) Karma článku: 8,61 | Prečítané:  1763x

Môže byť strana SMER úspešná pri svojom podaní na Ústavný súd pri "Lex Corona", ktorý nazývajú "špehovacím zákonom"? Aké je usmernenie Európskeho výboru pre ochranu osobných údajov v oblasti monitorovania mobilnej komunikácie?

V minulom týždni najviac zarezonovala tvrdá diskusia medzi vládnymi stranami a opozíciou o návrhu zákona "Lex Corona", ktorý nazval pán Fico „špehovacím zákonom“. Okrem toho, že sa diskusia k vládnemu návrhu „zvrhla“ na tradičnú „vládno-opozičné hašterenie“ nezaznelo moc odborných stanovísk. Prednosť na verejnosti dostali „marketingové“ slová a zdôvodnenia. Citujem tie, ktoré po zverejnený zámeru 24.3. asi najviac vystihli vzájomný nesúlad medzi predstaviteľmi vlády a opozície:

  • Nebojte sa, veď by nás zjedli, keby sme tu spustili nejaký Big Brother, že budeme sledovať ľudí. Nepotrebujeme sledovať, kto komu telefonuje, čo telefonuje a aké správy si posiela,“ hovorí pán premiér Matovič. Podľa premiéra bude jedinou informáciou, ktorá teraz štát zaujíma, „kde sa nakazený človek predtým pohyboval“. Premiér ďalej vysvetľoval: „Keď si predstavíte mapu Slovenska, mapu okresu, mapu mesta, budete vidieť, že ten nakazený človek chodil takto po tom meste – jeden deň, druhý deň, tretí deň. Budete vidieť jeho zvyklosti, ako sa pohyboval, a zároveň zistíte druhých ľudí, ktorí mali veľmi podobné zvyklosti,“.
  • Je to zákon špehovací, je to najhrubší zásah do ľudských práv,“ povedal pán poslanec Fico. Smer vyčíta vládnemu zákonu, ktorým sa má monitorovať pohyb nakazených, že je príliš široký a zbiera priveľa dát. Fico vysvetľoval: „Zákon môže zisťovať, kde ste, s kým ste telefonovali, o čom, môžu sa sledovať aj esemesky. Urobili to tak, aby mohli odpočúvať a sledovať kohokoľvek v krajine. Majú to v krvi, je to v ich DNA“.
  • Podľa ministerky spravodlivosti Márie Kolíkovej (Za ľudí) systém zabezpečí niekoľko ochranných pák – zber dát sa bude týkať len ochrany zdravia a životov, bude sa týkať len obdobia núdzového stavu a môže platiť len do konca roka. „Uvedomujeme si, že je to zásah do základných práv a slobôd, ten je však možný, ak je jeho účel primeraný.“ Ochrana osobných údajov podľa nej nie je absolútnym právom, pokiaľ ho prevyšuje ochrana životov a zdravia ľudí.

Tak ako to s tou primeranosťou zásahu do základných práv a slobôd a ochranou osobných údajov (GDPR) v tomto prípade?

Európsky výbor pre ochranu osobných údajov (ang. European Data Protection Board, skratka EDPB) v súvislosti s pandémiou koronavírusu „2019-nCoV“ vydal 20.marca usmernenie pod názvom „Statement on the processing of personal data in the context of the COVID-19 outbreak“ týkajúce sa aj oblasti monitoringu a použitia mobilných dát o polohe a oblasti výskytu nákazy pomocou moderných technológii, kde konštatuje, že využitie monitoringu vývoja pandémie pomocou moderných technológii je v záujme celého ľudstva.

Európsky výbor pre ochranu osobných údajov (EDPB) sa vo svojom usmernení odvoláva na 2 platné nariadenia Európskeho parlamentu a rady:

  • o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách):
    • ktoré dáva možnosť na spracúvanie údajov z elektronických komunikácií poskytovateľmi elektronických komunikačných služieb a za určitých podmienok by sa podľa tohto nariadenia na základe právnych predpisov dali obmedziť určité povinnosti a práva týkajúce sa elektronickej komunikácie, ak takéto obmedzenie predstavujú potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu konkrétnych verejných záujmov, ku ktorým patrí národná bezpečnosť, obrana, verejná bezpečnosť, predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, ako aj výkon trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu a ďalších dôležitých cieľov všeobecného verejného záujmu Únie alebo členského štátu, a to najmä dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu alebo monitorovacej, kontrolnej alebo regulačnej funkcie spojenej s výkonom verejnej moci v súvislosti s takýmito záujmami.
    • toto nariadenie nemá vplyv na možnosť členských štátov zákonne zachytávať elektronické komunikácie alebo prijímať iné opatrenia, ak je to nevyhnutné a primerané na účely ochrany uvedených verejných záujmov, je v súlade s Chartou základných práv Európskej únie a Európskym dohovorom o ochrane ľudských práv a základných slobôd podľa výkladu rozhodnutí Súdneho dvora Európskej únie a Európskeho súdu pre ľudské práva.
  • o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (2016/679 z 27. apríla 2016), ktorým sa ruší smernica 95/46/ES (všeobecné nariadenie o ochrane údajov), ktoré
    • v článku 9 Spracúvanie osobitných kategórií osobných údajov – v odseku 1 sa zakazuje spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby, pričom v odseku 2 tohto článku nariadenie hovorí: Odsek 1 sa neuplatňuje, ak platí niektorá z týchto podmienok a následne vymenováva jednotlivé možné situácie, pričom v písmene i, sa odsek 1 neuplatňuje ak spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo;
    • v recitály  č. 46 uvádza: spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.

Môžu teda  vlády členských štátov využiť osobné údaje týkajúce sa mobilných telefónov jednotlivcov v snahe monitorovať, zvládať alebo tlmiť šírenie pandémie spôsobenej koronavírusom „2019-nCoV“?

Podľa odporúčaní Európskeho výboru pre ochranu osobných údajov verejné orgány by sa predovšetkým mali snažiť spracovávať údaje o polohe anonymizovaným spôsobom (tj. údaje agregované tak, aby nebolo možné jednotlivca spätne identifikovať), čo by mohlo umožniť vydávať správy o koncentráciu mobilných zariadení na určitom mieste. Pravidlá ochrany osobných údajov sa nevzťahujú na riadne anonymizované dáta. Ak nie je možné spracovať len anonymizované údaje, potom smernica o elektronickom súkromí dáva členským štátom možnosť zaviesť legislatívne opatrenia na ochranu verejnej bezpečnosti (v zmysle článku 15 nariadenia o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES). 

Ak sú zavedené opatrenia dovoľujúce spracúvať údaje o polohe v neanonymizované podobe, je členský štát povinný uplatniť primerané záruky, akým je poskytnutie práva nápravy súdnou cestou užívateľom elektronických komunikačných služieb. Platí tiež zásada proporcionality. Vždy by mala uprednostniť najmenej vtieravá riešenie s ohľadom na konkrétny sledovaný účel. Podľa odporúčaní  Európskeho výboru pre ochranu osobných údajov  invazívne opatrenia, ako je stopovanie jednotlivcov (tj. spracovanie starých neanonymizovaných údajov o polohe) by mohla byť považovaná za proporcionálny len za výnimočných okolností a v závislosti na konkrétnych spôsoboch spracovania. Mala by však byť predmetom väčšieho dohľadu a záruk pre dodržanie zásad ochrany osobných údajov (primeranosť opatrení v zmysle doby trvania a rozsahu, obmedzeného uchovanie dát a obmedzenia účelu).

Podľa nariadenia o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (2016/679, známe pod názvom GDPR):

  • žiadosti o poskytnutie by mali orgány verejnej moci zasielať vždy písomne, spolu so zdôvodnením, príležitostne a nemali by sa týkať celého informačného systému ani viesť ku prepojeniu informačných systémov (recitál 31)
  • ak dotknutá osoba udelila súhlas alebo sa spracúvanie zakladá na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti, najmä na ochranu dôležitých verejných záujmov, mal by mať prevádzkovateľ možnosť osobné údaje ďalej spracúvať bez ohľadu na zlučiteľnosť účelov. V každom prípade by sa malo zabezpečiť uplatnenie zásad stanovených v tomto nariadení, najmä povinnosti informovať dotknutú osobu o týchto iných účeloch a o jej právach vrátane práva namietať (recitál 50).
  • podľa článku 15,  Právo dotknutej osoby na prístup k údajom dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú.

Čo môže byť na diskusiu?

Mimoriadny stav, ktorý umožňuje obmedzenia ľudských práv môže trvať podľa ústavného zákona 90 dní. „Špehovací zákon“ má byť platný do konca mimoriadnej situácie, najneskôr jeho platnosť ma skončiť do 30.12.2020. Zákon definuje situácie pre ktoré sa majú zbierať údaje v čase mimoriadnej situácie alebo núdzového stavu v zdravotníctve:

  • použitie anonymizovaných dát na účely modelovania v kontexte plošných preventívnych opatrení;
  • použitie na účel identifikácie príjemcov správ, ktorým je potrebné oznámiť osobitné opatrenia úradu verejného zdravotníctva
  • na účel identifikácie používateľov v záujme ochrany života a zdravia.

Úrad verejného zdravotníctva musí operátorom vždy zaslať odôvodnenú písomnú žiadosť, pritom tá sa musí vzťahovať na konkrétne osoby, respektíve ich skupinu. Podľa článku 7 nariadenie EU o GDPR, podmienky vyjadrenia súhlasu, ak je spracúvanie založené na súhlase, prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov. Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

Údaje je nutné zo strany úradu podľa tohto zákona zničiť najneskôr do konca roka 2020. Po tomto dátume však zber u operátorov pretrvá (ak by opäť vznikla mimoriadna situácia alebo núdzový stav z dôvodu pandémie), len akýkoľvek prístup úradu k dátam bude nutné obnoviť zákonom. Ďalším diskutabilným opatrením v tomto zákone je prístup štátu k dátam na účely identifikácie, kde sa dá diskutovať o podmienkach nevyhnutnosti a primeranosti, čo už naráža aj na odporúčania Európskeho výboru pre ochranu osobných údajov, ktorý hovorí o primeranosti opatrení v zmysle doby trvania a rozsahu, obmedzeného uchovanie dát a obmedzenia účelu. 

Záver:

Nariadenia Európskeho parlamentu a rady o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách) a o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (2016/679 z 27. apríla 2016, GDPR) umožňujú členskému štátu EU na základe právnych predpisov obmedziť určité povinnosti a práva týkajúce sa elektronickej komunikácie, ak takéto obmedzenie predstavujú potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu konkrétnych verejných záujmov a pristúpiť  aj k monitorovaniu mobilnej komunikácie.

Európsky výbor pre ochranu osobných údajov však pripomína, že aj v tejto mimoriadnej dobe je potrebné dodržiavať adekvátne zabezpečenie ochrany osobných dát a údajov. Tieto opatrenia musia byť v súlade s Chartou základných práv a Európskym dohovorom o ochrane ľudských práv a základných slobôd. V prípade tejto mimoriadnej situácie by sa toto opatrenie malo prísne obmedziť na trvanie mimoriadnej situácie.

Na základe výrokov politikov môžeme len predpokladať hlavný problém „špehovacieho zákona“ a ním bude princíp proporcionality. Na tento princíp nám odpoveď nedajú nariadenia Európskeho parlamentu v oblasti GDPR a súkromí, ale  pravdepodobne až nezávislý súd. Dovtedy bude tento zákon aj naďalej predmetom „vášnivých“ diskusii oboch politických táborov.

 

Zdroje k príspevku:

  • nariadenia Európskeho parlamentu a rady o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a o zrušení smernice 2002/58/ES (smernica o súkromí a elektronických komunikáciách)
  • nariadenia Európskeho parlamentu a rady (EÚ) 2016/679  z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
  • European Data Protection Board : Statement on the processing of personal data in the context of the COVID-19 outbreak z 20.3.2020
Páčil sa Vám tento článok? Pridajte si blogera medzi obľúbených a my Vám pošleme email keď napíše ďalší článok
Pridaj k obľúbeným

Hlavné správy

Autorská strana Zuzany Vasičákovej Očenášovej

Na tri mesiace som znovu prežila socíkovské detstvo

Dejiny sa neopakujú, len rýmujú.


Už ste čítali?