Európsky výbor pre ochranu údajov prijal toto vyhlásenie:
Vlády, verejné a súkromné organizácie v celej Európe prijímajú opatrenia na obmedzenie a zmiernenie COVID-19. To môže zahŕňať spracúvanie rôznych osobných údajov.
Pravidlá ochrany údajov (ako napríklad GDPR) nebránia opatreniam prijatým v boji proti pandémii korona vírusu. Boj proti prenosným chorobám je hodnotovým cieľom, ktorý zdieľajú všetky národy, a preto by sa mal podporovať najlepším možným spôsobom. Je v záujme ľudstva obmedziť šírenie chorôb a používať moderné techniky v boji proti pohromám postihujúcim veľké časti sveta. EDPB by napriek tomu chcel zdôrazniť, že aj v týchto výnimočných časoch musí prevádzkovateľ a sprostredkovateľ zabezpečiť ochranu osobných údajov dotknutých osôb. Preto by sa malo zohľadniť niekoľko aspektov, aby sa zaručilo zákonné spracúvanie osobných údajov, a vo všetkých prípadoch by sa malo pripomenúť, že akékoľvek opatrenie prijaté v tejto súvislosti musí rešpektovať všeobecné právne zásady a nesmie byť nezvratné. Krízová situácia je právny stav, ktorý môže legitimovať obmedzenia slobôd za predpokladu, že tieto obmedzenia sú primerané a obmedzené počas trvania krízovej situácie.
1. Zákonnosť spracúvania
GDPR je rozsiahly právny predpis a ustanovuje pravidlá, ktoré sa vzťahujú aj na spracúvanie osobných údajov v kontexte, ako je ten, ktorý sa týka COVID-19. GDPR umožňuje príslušným orgánom verejného zdravotníctva a zamestnávateľom spracúvať osobné údaje v súvislosti s epidémiou v súlade s vnútroštátnymi právnymi predpismi a za podmienok v nich stanovených. Napríklad, ak je spracúvanie nevyhnutné z dôvodu podstatného verejného záujmu v oblasti verejného zdravia. Za týchto okolností nie je potrebné spoliehať sa na súhlas jednotlivcov.
1.1 Pokiaľ ide o spracúvanie osobných údajov vrátane osobitných kategórií údajov príslušnými verejnými orgánmi (napr. orgánmi verejného zdravotníctva), EDPB sa domnieva, že články 6 a 9 GDPR umožňujú spracúvanie osobných údajov, najmä ak toto spracúvanie spadá do zákonnej pôsobnosti orgánu verejnej moci ustanovenej vnútroštátnymi právnymi predpismi a podmienok zakotvených v GDPR.
1.2 V súvislosti so zamestnaním môže byť spracúvanie osobných údajov nevyhnutné na splnenie zákonnej povinnosti, ktorej podlieha zamestnávateľ, ako sú povinnosti týkajúce sa zdravia a bezpečnosti na pracovisku alebo verejného záujmu, ako napríklad kontrola chorôb a iné ohrozenia zdravia. V GDPR sa tiež predpokladajú výnimky zo zákazu spracúvania určitých osobitných kategórií osobných údajov, ako sú údaje o zdraví, ak je to potrebné z dôvodu významného verejného záujmu v oblasti verejného zdravia (článok 9 ods. 2 písm. i)), na základe právnych predpisov Únie alebo vnútroštátnych právnych predpisov, alebo ak existuje potreba chrániť základné životné záujmy dotknutej osoby (článok 9 ods. 2 písm. c)), keďže odôvodnenie 46 výslovne odkazuje na kontrolu epidémie.
1.3 Pokiaľ ide o spracúvanie telekomunikačných údajov, ako sú lokalizačné údaje, musia sa dodržiavať aj vnútroštátne právne predpisy, ktorými sa vykonáva ePrivacy smernica. Lokalizačné údaje môže operátor v zásade používať iba vtedy, ak sú anonymné alebo so súhlasom jednotlivcov. Avšak, čl. 15 ePrivacy smernice umožňuje členským štátom zaviesť legislatívne opatrenia na zabezpečenie verejnej bezpečnosti. Takáto výnimočná legislatíva je možná iba vtedy, ak predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti. Tieto opatrenia musia byť v súlade s Chartou základných práv a Európskym dohovorom o ochrane ľudských práv a základných slobôd. Okrem toho podliehajú súdnej kontrole Európskeho súdneho dvora a Európskeho súdu pre ľudské práva. V prípade krízovej situácie by sa toto opatrenie malo prísne obmedziť na trvanie krízovej situácie.
2. Základné zásady týkajúce sa spracúvania osobných údajov
Osobné údaje, ktoré sú potrebné na dosiahnutie sledovaných cieľov, by sa mali spracúvať na konkrétne a výslovné účely.
Dotknuté osoby by okrem toho mali dostávať transparentné informácie o vykonávaných spracovateľských činnostiach a ich hlavných črtách, vrátane obdobia uchovávania zozbieraných údajov a účeloch spracúvania. Poskytnuté informácie by mali byť ľahko prístupné a formulované jasne a jednoducho.
Je dôležité prijať primerané bezpečnostné opatrenia a zásady politiky dôvernosti, aby sa zabezpečilo, že osobné údaje nebudú sprístupnené neoprávneným stranám. Opatrenia zavedené na riadenie súčasnej krízovej situácie a základného rozhodovacieho procesu by sa mali náležite zdokumentovať.
3. Používanie lokalizačných údajov z mobilu
· Môžu vlády členských štátov používať osobné údaje týkajúce sa mobilných telefónov jednotlivcov v ich úsilí monitorovať, obmedziť alebo zmierniť šírenie COVID-19?
V niektorých členských štátoch vlády predpokladajú použitie lokalizačných údajov z mobilu ako možného spôsobu monitorovania, obmedzenia alebo zmiernenia šírenia COVID-19. Znamenalo by to napríklad možnosť geografického lokalizovania jednotlivcov alebo zasielanie správ o verejnom zdraví v konkrétnej oblasti telefonicky alebo textovou správou. Orgány verejnej moci by sa mali najprv snažiť spracúvať lokalizačné údaje anonymným spôsobom (t.j. spracúvať údaje agregované takým spôsobom, aby jednotlivci nemohli byť opätovne identifikovaní), čo by mohlo umožniť generovanie správ o koncentrácii mobilných zariadení na určitom mieste („kartografia“).
Pravidlá ochrany osobných údajov sa nevzťahujú na údaje, ktoré boli náležite anonymizované.
Ak nie je možné spracúvať iba anonymné údaje, ePrivacy smernica umožňuje členským štátom zaviesť legislatívne opatrenia na ochranu verejnej bezpečnosti (článok 15).
Ak sa zavedú opatrenia umožňujúce spracúvanie neanonymizovaných lokalizačných údajov, členský štát je povinný zaviesť primerané záruky, napríklad poskytnutie jednotlivcom právo na opravný prostriedok na súde v oblasti elektronických komunikačných služieb.
Uplatňuje sa aj zásada primeranosti. Vždy by sa mali uprednostňovať najmenej invazívne riešenia vzhľadom na konkrétny účel, ktorý sa má dosiahnuť. Invazívne opatrenia, ako napríklad „sledovanie“ jednotlivcov (t. j. spracúvanie historických neanonymizovaných lokalizačných údajov) by sa za výnimočných okolností a v závislosti od konkrétnych spôsobov spracúvania mohli považovať za primerané. Malo by to však podliehať prísnejšej kontrole a zárukám, aby sa zabezpečilo dodržiavanie zásad ochrany údajov (primeranosť opatrenia z hľadiska trvania a rozsahu, obmedzené uchovávanie údajov a obmedzenie účelu).
4. Zamestnanie
· Môže zamestnávateľ požadovať, aby návštevníci alebo zamestnanci poskytli konkrétne zdravotné informácie v kontexte COVID-19?
Uplatňovanie zásady primeranosti a minimalizácie údajov je tu obzvlášť dôležité. Zamestnávateľ by mal vyžadovať zdravotné informácie iba v rozsahu, v akom to vnútroštátne právne predpisy povoľujú.
· Je zamestnávateľ oprávnený vykonávať lekárske prehliadky zamestnancov?
Odpoveď závisí od vnútroštátnych právnych predpisov týkajúcich sa zamestnania alebo zdravia a bezpečnosti. Zamestnávatelia by mali mať prístup k údajom o zdraví a spracúvať ich, iba ak si to vyžadujú ich vlastné právne povinnosti.
· Môže zamestnávateľ oznámiť, že zamestnanec je infikovaný COVID-19 svojim kolegom alebo externým stranám?
Zamestnávatelia by mali informovať zamestnancov o prípadoch COVID-19 a prijať ochranné opatrenia, ale nemali by oznamovať viac informácií, ako je potrebné. V prípadoch, keď je potrebné odhaliť meno zamestnanca (-ov), ktorý sa nakazili vírusom (napr. v preventívnom kontexte) a vnútroštátne právne predpisy to umožňujú, sú dotknutí zamestnanci vopred informovaní a ich dôstojnosť a integrita je chránená.
· Aké informácie spracúvané v rámci COVID-19 môžu získať zamestnávatelia?
Zamestnávatelia môžu získať osobné informácie na plnenie svojich povinností a na organizovanie práce v súlade s vnútroštátnymi právnymi predpismi.
Vyhlásenie je dostupné v anglickom jazyku na tomto odkaze https://edpb.europa.eu/our-work-tools/our-documents/other/statement-processing-personal-data-context-covid-19-outbreak_en
V oficiálnom preklade do slovenského jazyka je vyhlásenie dostupné na tomto odkaze tu.
Verzia pre tlač