Menu

Fotky v éře GDPR. Co můžete bez obav zveřejnit?

Fotku nebo video může pořídit a zveřejnit prostřednictvím internetu v podstatě každý. Do hry se přitom nedostává jen GDPR. Na co si dát pozor?

Čtěte dál

GDPR.cz jsem založila jako osvětový a vzdělávací portál k problematice Obecného nařízení o ochraně osobních údajů neboli General Data Protection Regulation, které přináší zásadní změny v ochraně soukromí občanů celé EU a astronomické pokuty za její porušování. Najdete zde srozumitelný úvod do celé problematiky, blog se spoustou aktualit, článků a materiálů, ale také nabídku dokumentůporadenství, seminářů či školení. A pokud se vás GDPR týká profesně, určitě oceníte naši skupinu na LinkedIn.

Mgr. Eva Škorničková
zakladatelka GDPR.cz a konzultantka právní ochrany osobních údajů


27. května

GDPR spory v rodině: Pozor na porušení soukromí

Čtěte dál


Pokud v současné pandemické době existuje oblast, kde dostává ochrana soukromí skutečně na frak, tak tím je bezesporu projekt tzv. “inteligentní karantény”. Nicméně si nemyslím, že tomu tak ve skutečnosti musí být a pokud se zamyslíme nad pravými důvody uvádění různých trasovacích aplikací do života, tak v tomto případě budu jednoznačně pro takové aktivity. Pokud má být jakákoliv aplikace maximálně efektivní, tak musí být zavedena plošně, nejlépe globálně tak, aby v ní zpracovávaná data mohla být analyzována bez ohledu na národní zájmy, zákony či hranice. Upřímně řečeno, koronavirus si také nevybírá země, do kterých vstoupí a hlavně se nás na nic neptá. A proto je třeba se jeho šíření postavit úplně stejným způsobem.

V první řadě jakékoliv sledování osob, které jsou buď nakaženy nebo jim to bezprostředně hrozí, nemůže být založeno na jejich souhlasu. Opět se mi vrací doba GDPR souhlasové tsunami před účinností nařízení v roce 2018, kdy si každá organizace chtěla pojistit zpracování osobních dat souhlasem. Proboha, zkusme již na tento naprosto nejistý právní titul zpracování na chvíli zapomenout a použít pro boj s virem něco stabilnějšího a hlavně rozumnějšího. A že se nám těch možností nabízí celkem dost.

Neustále kritizované GDPR ve svém článku 6 odst 1. jasně říká, že lze osobní údaje zpracovávat, pokud je to nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Nacházíme se v nouzovém stavu, vir napadá po celém světě tisíce lidí denně, takže si můžeme pomoc i dalším právním titulem, kterým bezesporu je zpracování osobních údajů za účelem ochrany životně důležitých zájmů fyzických osob. Co ještě více než naše zdraví k naplnění tohoto účelu potřebujeme? Místo toho tvůrci aplikace okamžitě sahají po souhlasu, který ráno udělím, v poledne se mi rozleží v hlavě a večer odvolám. Jak stabilní a přesné asi takové zpracování může být?

Pokud má projekt inteligentní karantény smysluplně pomoc v boji proti šíření viru, tak se musí vztahovat na všechny osoby bez rozdílu věku, pohlaví a jejich lokace. A v žádném případě nesmí fungovat na vůli osob, zda-li v něm chtějí být či nikoliv. Stát prostě nařídí ať už formou zákona nebo vládního nařízení, že každá infikovaná osoba bude do trasování zařazena a jen díky takto získaným datům může aplikace ochránit zbytek populace, která se domnívá, že je zdravá.

Nejdůležitější pro funkčnost aplikace je dostatek kvalitních dat z různých zdrojů, nejenom od mobilních operátorů, která budou zpracovávána a analyzována buď v anonymizované nebo pseudonymizované podobě. Pokud tyto technické parametry budou dostatečně zajištěny, tak si nemyslím, že se o svoje soukromí musíme tolik bát. Čeho se však bojím mnohem více, je ztráta důvěry v ty organizace, úřady nebo i soukromé osoby, které aplikaci vyvíjí a k samotným datům mají přístup. Jsou to právě ony, kdo mají zajistit zpracování našich lokalizačních dat jenom za účelem zabránění šíření virové epidemie, nikoliv data vytěžovat pro jiné méně bohulibé účely.

Není vůbec náhodou, proč se například Facebook a Google na těchto trasovacích  projektech nechtějí nikde na světě podílet. Jejich důvěra, bohužel ve světle skandálu typu Cambridge Analytica a jiných kauz v současné době mediálně a regulátory hojně sledovaných, spadla téměř na dno a těžko by v pandemické době přesvědčovali veřejnost, jednotlivé vlády a hlavně nás, samotné uživatele, že data, kterými disponují, nepoužijí pod rouškou koronaviru pro jiné, pro ně mnohem komerčně zajímavější využití. Dle mého názoru je to velká škoda, protože oba technologické giganty disponují takovými daty, o kterých se všem tajným službám na světě může jen zdát, a tím by jejich zapojení do trasování v celosvětovém tažení proti koronaviru mohlo mít obrovský pozitivní přínos. Ano, jednou ztracená důvěra se získává zpět velmi těžce a dlouho.

Souhlasím proto s autorem tohoto článku, že pokud má mít inteligentní karanténa smysl, musí být postavena na úplně jiných základech než je doteď ze strany ministerstva zdravotnictví komunikována. Podobné aplikace se ve světě již osvědčily a zjevně k úbytku infikovaných osob výrazně přispěly i za cenu snížené ochrany soukromí jednotlivých osob. České verzi aplikace chybí řada podstatných atributů, především transparentnost a jednoznačná informovanost o tom, za jakým účelem budou data zpracovávána, jaká data a z jakých zdrojů budou analyzována, po jak dlouhou dobu, kdo k nim bude mít přístup, kde budou uchovávána a jak kvalitně budou zabezpečena před jejich zneužitím. Pokud nemá mít tato aplikace pouze krátkodobý efekt, ale postupným zlepšováním může přispívat ke globálnímu, přinejmenším evropskému sdílení dat, tak je třeba si tuto přípravnou fázi poctivě odpracovat.

Rozhodně bych byla pro celosvětové zavedení inteligentní karantény s jednotnými pravidly, pokud by měla výrazným způsobem přispět k uvolnění té fyzické, protože v omezování našeho pohybu spatřuji mnohem větší omezování svobody a soukromí než efektivní a relativně přesně zacílené sdílení dat o šíření viru. Žijeme v době technologické, tak ji pojďme konečně využít v náš prospěch a ochranu. Máme k tomu jedinečnou možnost, která se jen tak opakovat nebude.


Má ochrana zdraví veřejnosti přednost před ochranou našeho soukromí? Smí zaměstnavatelé sbírat a zpracovávat informace o zdravotním stavu svých zaměstnanců? Kde jsou hranice toho, co je v pořádku a co už je za hranou?

Koronavirová krize možná poprvé otevřela “pandořinu skříňku” a samotnému testu je podrobena i životaschopnost GDPR právě v té pomyslné bitvě mezi ochranou našeho soukromí versus ochranou zdraví a bezpečnosti. 

I v době pandemie je potřeba dodržovat zákony. Pomyslná hranice mezi ochranou soukromí na straně jedné a ochranou bezpečnosti na straně druhé může být významným způsobem broušena národními legislativami a hlavně sociálně kulturními zvyklostmi.

Přestože se pohybujeme v režimu obecného nařízení platného v rámci celé EU, tak jeho výklad je třeba provádět v kontextu dalších národních zákonů, především zákona o ochraně veřejného zdraví, zákoníku práce a v neposlední řadě i krizového zákona, na základě kterého byl vyhlášen nouzový stav.

Na ochranu soukromí nemáme absolutní právo, na druhou stranu se ho nemůžeme bezmezně vzdát jen kvůli hrozícímu koronavirovému onemocnění.

Pravidla stanovená GDPR pamatují na takovou mimořádnou situaci v článku 9 odst. 2 písm. i), podle kterého lze zpracovávat údaje o zdravotním stavu osob, jestliže je to nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví a ochrany před vážnými přeshraničními zdravotními hrozbami.

Příslušné orgány ochrany veřejného zdraví jsou oprávněny provádět epidemiologická šetření zaměřená zejména na ověření diagnózy a zjištění ohniska nákazy. Osoby jsou povinny sdělit příslušnému orgánu na jeho výzvu okolnosti důležité v zájmu podobných šetření. Bližší informace uvádí i ÚOOÚ ve svém vyjádření.

Zaměstnavatelé mají právo vyžadovat informace o tom, zda byl zaměstnanec nebo jeho blízké osoby v exponované oblasti, případně může zjišťovat, zda zaměstnanci neprojevují příznaky nemoci. Zaměstnavatel by však tyto údaje neměl detailně evidovat a měl by je využít pouze pro nezbytné účely jako je ochrana zdraví ostatních zaměstnanců nebo pro organizaci práce z domova. Rozhodně by neměl zaměstnavatel mezi eventuálně dotčené zaměstnance automaticky šířit konkrétní osobní údaje nakaženého zaměstnance (zaměstnance v karanténě). Doporučuje se přistupovat k plnění informačně-prevenční povinnosti s rozvahou a při posouzení míry možných rizik v každém jednotlivém případě. Aktuální stanovisko EDPB rovněž potvrdilo, že pro takové zpracování není nutný souhlas samotných osob.

Nicméně je nutné si uvědomit, že v případě našich zdravotních dat zpracovávají orgány veřejné moci nebo privátní zaměstnavatelé velmi citlivé údaje a proto je potřebujeme adekvátně chránit před jejich zneužitím, jak před vnějším, tak i tzv. vnitřním nepřítelem. Hon na “koroňáky” v podobě zveřejňování jejich jmen na sociálních sítích je velkým pokušením s nedozírnými následky na jejich soukromí i životy jejich blízkých.



Hlavní partneři