Hľadáte niečo konkrétne?

Skúste zadať kľúčové slovo/-á.

  /     /  GDPR   /  Koronavírus a sledovanie polohy ľudí pomocou mobilov – časť 1.

Koronavírus a sledovanie polohy ľudí pomocou mobilov – časť 1.

GDPR

Vláda aj parlament expresnou rýchlosťou schválili legislatívne zmeny, ktoré umožňujú Úradu verejného zdravotníctva získavať a spracúvať osobné údaje dotknutých osôb, týkajúce sa ich polohy, resp. polohy ich mobilných telefónov.

 

Technických informácií je málo, ale podľa dostupných informácií majú Úradu dáta poskytovať mobilní operátori. Dáta budú poskytované 4x denne v časových 6-hodinových úsekoch a ich presnosť možno nebude dostatočná pre zamýšľaný účel spracúvania.

Vedeli ste, že dáta pochádzajúce od mobilných operátorov neumožňujú zistiť úplne presnú polohu potenciálne infikovanej osoby? Tieto dáta dokážu iba približne určiť časť obce, štvrť alebo ulicu. Rozhodne nedokážu presne lokalizovať napríklad zastávku MHD alebo rad v obchode pri pokladni.

V boji proti COVID-19 je každý nápad dobrý, preto využitie osobných údajov možno chápať a hneď na začiatku ho nezavrhovať, pozrime sa však na to z pohľadu zásady ochrany osobných údajov a povedzme si, čo takéto spracúvanie predstavuje a ako by sa malo realizovať.

Ochrana osobných údajov a údaje od mobilných operátorov v rukách štátu

Nariadenie Európskeho parlamentu  Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov v článku 5 hovorí, že pri spracúvaní osobných údajov musia byť dodržané zásady:

  1. zákonnosti, spravodlivosti a transparentnosti
  2. obmedzenia účelu
  3. minimalizácie údajov
  4. správnosti
  5. minimalizácie uschovávania
  6. integrity a dôvernosti

Asi niet pochýb o tom, že prevádzkovateľom osobných údajov bude Úrad verejného zdravotníctva. Z pohľadu zákonnosti právnym základom spracúvania môže byť čl. 6 ods. 1 písm. d) ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby; prípadne aj písm. f) splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

Zákonnosť, spravodlivosť a transparentnosť

Požiadavka na transparentné spracúvanie osobných údajov však môže byť problém. Ak Úrad ako prevádzkovateľ osobné údaje nezíska od dotknutej osoby, je podľa čl. 14 povinný v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca informovať dotknutú osobu o spracúvaní osobných údajov. Navyše ak  sa osobné údaje použijú na komunikáciu s dotknutou osobou, treba dotknutú osobu informovať najneskôr v čase prvej komunikácie.

Úrad teda stojí pred výzvou, ako zabezpečiť informovanie všetkých osôb o tom, že spracúva ich osobné údaje. Bude ich informovať prostredníctvom SMS a odkáže ich na svoju webovú stránku, alebo využije masovo komunikačné prostriedky?

Nariadenie GDPR síce umožňuje informačnú povinnosť neuplatniť, ak sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie. V minulosti však dozorné orgány iných členských štátov EÚ rozhodli, že neprimerané úsilie nemožno považovať ekonomické dôvody (napr. náklady na poštovné, alebo SMS).

Obmedzenie účelu

Z pohľadu určenia účelu bude stáť Úrad verejného zdravotníctva ako prevádzkovateľ pred ťažšou úlohou. Účel spracúvania osobných údajov musí byť dostatočné konkrétny. Podľa medializovaných informácií údaje mali byť použité a určenie polohy osoby t.j miest kde sa nachádzal, trás po ktorých sa pohyboval, identifikovanie kontaktov, t.j. určenie prípadných iných osôb v blízkosti ktoré môžu byť ohrozené a pod. Pravdepodobne pôjde o viac, ako iba o jeden účel spracúvania. Navyše bude dochádzať k spracúvaniu osobitnej kategórie osobných údajov – údajov o zdraví, pretože môžeme predpokladať, že prevádzkovateľ „spojí“ údaje infikovaných osôb s údajmi od mobilných operátorov, inak by spracúvanie nedávalo zmysel. Preukázať dodržania zásady obmedzenia účelu spracúvania bude možné iba ak bude mať spracúvanie jasné pravidlá – tie politici zatiaľ nepredstavili.

Minimalizácia údajov

Dodržať zásadu minimalizácie údajov pre dosiahnutie zamýšľaného účelu spracúvania tiež nebude ľahké. Nie je jasné, či Úrad verejného zdravotníctva obdrží od mobilných operátorov iba údaje vybraných osôb ktoré si vyžiada, alebo lokalizačné údaje všetkých pripojených účastníkov. V prvom prípade ak Úrad obdrží iba vybrané údaje o konkrétnych infikovaných osobách, môže byť spracúvanie neprimerané – rovnaké údaje o svojom pohybe môže osoba poskytnúť aj sama nemusí ich žiadať od operátora. V druhom prípade ak by operátori poskytovali údaje o všetkých osobách – bude veľkosť dát extrémna a náročná na spracúvanie, ktorú v súčasnosti asi úrad nemá (t.j. servery na ukladanie a analýzu dát,  aplikácie schopné z dát určiť trasy, ohrozené osoby, zaučených pracovníkov schopných so softvérom pracovať).

Správnosť

Aj dodržať zásadu správnosti môže byť problém. Spracúvané osobné údaje majú byť správne a podľa potreby aktualizované. Musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Hlavným problémom môže byť presnosť lokalizačných údajov. Štát má záujem, aby mohol zistiť na akom miesto a v akom čas sa osoby nachádzajú. Ak budú operátori poskytovať údaje tak ako predbežne avizovali, t.j. 6 hodinových v časových úsekoch a s presnosťou na niekoľko sto metrov (presnosť závisí od hustoty vysielacích základní, v centrách miest je presnosť vyššia na okrajoch, menších obciach a prírode je presnosť nižšia), preto je otázne či, osobných údaj že sa osoba v čase medzi 12 – 18 hod. nachádzala 180 minút v práci, 30 minút na ceste, 10 minút v obchode a 140 minút doma je na účel spracúvania dostatočne presný. Podľa informácií od operátora totiž presný čas nebude súčasťou dát, rovnako ako postupnosť pohybu – takže nebude možné určiť, či osoba bola v práci a išla domov, alebo bola doma a išla potom do práce, prípadne či na nákup zastavila pred cestou alebo po ceste.

 

Minimalizácia uschovávania

Zásady minimalizácie uschovávanie bude možno dodržaná, tak že sa dáta vymažú k dátumu 31.12.2020, túto lehotu predpokladá schválený zákon. Túto zásadu treba však dodržať s ohľadom na účel spracúvania. Ak poskytnuté údaje už nie sú potrebné na dosiahnutie účelu, mali by sa vymazať aj skôr ako je zákonom učený termín. V praxi bude zásadu minimalizácie veľmi ťažké dodržať. Ťažko si predstaviť, že by Úrad verejného zdravotnícva disponoval aplikáciou a databázovým prostredím schopným rozlišovať ktoré údaje sú ešte potrebné a ktoré už nie.

Toto boli zásady uchovávania osobných údajov v súvislosti so sledovaním polohy občanov Slovenskej republiky.

Ak by bolo možné tieto zásady dodržať, bude potrebné myslieť na ich bezpečnosť. Na tú sa pozrieme v ďalšej časti článku.

 

Autor článku: Dušan Peško, Senior Consultant

SÚVISIACE ČLÁNKY
PRIDAŤ KOMENTÁR

Prihláste sa k odberu nášho Newslettra.

    Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov.

    Odoslaním e-mailovej adresy súhlasím so zasielaním Newslettra e-mailom. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

    Registrácia

    Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov

    Odoslaním údajov súhlasím s ich spracúvaním na účely registrácie. Súhlas je dobrovoľný a môžem ho kedykoľvek odvolať.

    Resetovať heslo

    Radi Vám pomôžeme

      Zásady spracúvania osobných údajov prevádzkovateľom Avris Consulting, s.r.o. nájdete v Ochrane osobných údajov