Appka “Zostaň zdravý” a GDPR
Slovenskí lekári a informatici vyvinuli aplikáciu „Zostaň zdravý“, ktorá má na základe dobrovoľnej registrácie upozorňovať užívateľov na to, že sa ocitli vo vzdialenosti 50 m od osoby, ktorej bol zistený nový coronavírus. Dáta poskytnú mobilní operátori.
Informácia o aplikácii:
Za bežných okolností by takejto aplikácii, ktorá bude upozorňovať na nosičov určitého ochorenia rozhodne vehementne bránilo Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „GDPR“).
Údaje o zdravotnom stave sú podľa GDPR osobitne chránené a iste by za bežných okolností neprešlo, aby Vás mobilný telefón informoval, že vo Vašom okolí je napríklad osoba chorá na rakovinu alebo človek s iným ochorením, hoc aj prenosným.
Pre všetkej úcte k tvorcom aplikácie, trocha tiež pochybujem, či sú skutočne údaje v appke „anonymné“. Anonymné sú také osobné údaje, ktoré už nie je možné spätne priradiť k osobe, ku ktorej patrili a tiež neumožnia žiadnu osobu identifikovať.
V prípade appky „Zostaň zdravý“ by to znamenalo, že algoritmus, ktorý priradí určitej osobe kód následne „zahodí kľúč“ podľa ktorého kód vytvoril, čiže nielenže ho neposkytne appke, ale ho zlikviduje, zničí, takže ani sám algoritmus, ktorý kód vytvoril nebude reverzne schopný existujúci kód priradiť pôvodnému nositeľovi. No, povedzme, že je to tak (neviem).
Potom stále ostáva problém „identifikovateľnosti“ dotknutej osoby. Ak appka „zameria“ nositeľa ochorenia na 50m, v odľahlých oblastiach s malým počtom obydlí alebo v prírode nebude až také problematické identifikovať o ktorú osobu ide, ak sa tam zdržuje osoba jedna alebo ich je tam len zopár.
Je to ale problém podľa GPDR? Nie, nemusí byť. Lepšie povedané, všeobecne nemusí byť, ale u nás možno áno. Prečo?
Jednoducho preto, že v prípade epidémie idú bežné princípy bokom a uplatní sa princíp verejného záujmu, ktorý charakterizuje bod 46 Preambuly GDPR.
Bod 46 Preambuly GDPR:
„Spracúvanie osobných údajov by sa malo rovnako považovať za zákonné, ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej alebo inej fyzickej osoby. Spracúvanie osobných údajov na základe životne dôležitom záujme inej fyzickej osoby by sa malo uskutočniť v zásade len vtedy, keď sa takéto spracúvanie zjavne nemôže zakladať na inom právnom základe. Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“
Okej, všeobecný princíp by sme mali, ako ho upravuje samotná normatívna časť GDPR?
Čl. 9 ods. 2 písm. i) GDPR stanovuje výnimku zo všeobecného zákazu spracúvania osobných údajov, týkajúcich sa zdravia takto:
Zákaz sa neuplatní, ak je spracúvanie nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok, na základe práva Únie alebo práva členského štátu, ktorým sa stanovujú vhodné a konkrétne opatrenia na ochranu práv a slobôd dotknutej osoby, najmä profesijné tajomstvo
Nuž, otázka, ktorá by sa teraz mala položiť, hoci ju kladiem veľmi nerada, lebo appke „Zostaň zdravý“ osobne fandím je: sú v prípade tejto appky splnené podmienky výnimky podľa čl. 9 ods. 2 písm. i) GDPR?
Nepožaduje sa náhodou, aby takéto použitie údajov o zdraví malo okrem dôvodu verejného záujmu aj právny základ v práve Únie alebo v práve členského štátu?
A ak taký právny základ treba, existuje v Slovenskej republike taký právny základ? Máme dnes právny predpis, ktorý by určoval, ako funguje výnimka podľa čl. 9 ods. 2 písm. i) GDPR – teda použitie údajov pre verejný záujem v oblasti verejného zdravia?
Neviem, nehľadala som ho teraz narýchlo v „zdravotníckych predpisoch“. Logicky by ale takéto pravidlá pre všetky prípady, kde GDPR odkazuje na právo členského štátu, patrili do nášho slávneho zákona 18/2018 Z.z. o ochrane osobných údajov. Pravda, keby išlo o skutočný zákon a nie o paškvil, ktorý doslovne opísal nariadenie (prekvapko pre náš úrad: nariadenie platí aj bez neho). V tomto zákone sme mali riešiť práve a jedine tie otázky, ktoré nariadenie GDPR ponechalo na členské štáty.
Je teda v ňom niečo o podmienkach použitia údajov o zdraví vo verejnom záujme?
Nuž ja som v ňom nič také nenašla, pokiaľ to tam tvorcovia nejako umne nezašifrovali.
Tak čo teraz? Nebude musieť spustenie appky náhodou počkať, až kým napochytro nejaké také právne základy vyrobíme? (Napríklad v zrýchlenom legislatívnom konaní, keďže až teraz ide o typický prípad, ako a kedy by sa malo také konanie používať.)
Obávam sa, že aj v tomto prípade môže ísť o ďalšiu z nášľapných mín, ktoré po sebe zdevastovaná legislatíva a verejná správa po 12 rokoch Smeru nechala.
Výhrada: Neosobujem si právo, že toto moje zamyslenie je nejaká nepriestrelná analýza, za ktorú by si tá správna advokátska kancelária vypýtala od štátu zopár desiatok tisíc. Otázky nezodpovedám, len ich kladiem. Stručne – ide o moje obavy, spísané za 45 minút, počas ktorých som moju uzemnenému školákovi pustila telku, viac času som si medzi dezinfikovaním, varením a vybavovaním pracovných emailov nenašla.
Tak len bodaj by som sa mýlila a bezproblémovému spusteniu appky „Zostaň zdravý“ nestálo právne nič v ceste.
Ostaňme zdraví. A dúfajme v najlepšie.
20.3.2020