Rozhodovacia prax: spracovanie OÚ v súvislosti s COVID-19

Prostredníctvom tohto príspevku Vám prinášame prehľad výberu zaujímavých rozhodnutí niektorých dozorných orgánov vo veciach týkajúcich sa spracúvania osobných údajov dotknutých osôb v súvislosti s ochorením COVID-19. Porušenie ochrany osobných údajov môže mať pre prevádzkovateľov vážne následky, najmä ak sa jedná o tak závažnú oblasť, akou sú zdravotné údaje dotknutých osôb. Ďalej preto apelujeme na zodpovedný prístup k ochrane osobných údajov a náležitostiam GDPR.

Nezákonné spracovanie osobných údajov – Česká republika

V roku 2022 český dozorný orgán uložil Ministerstvu vnútra Českej republiky vo výške 975 000 CZK v súvislosti so spracúvaním osobných údajov dotknutých osôb, ktorým bola z dôvodu ochorenia COVID-19 nariadená karanténa. V zmysle zverejnenej tlačovej správy,  nezákonným spracúvaním osobných údajov bolo dotknutých 2 000 000 osôb, ktorí sa nakazili COVID-19 v období od 01.04.2021 do 01.03.2022. Predmetné rozhodnutie bolo v apríli 2023 potvrdené predsedom českého dozorného orgánu, ktorým bolo konštatované porušenie ochrany osobných údajov v zmysle nezákonného spracúvania osobných údajov o zdravotnom stave dotknutých osôb Políciou Českej republiky (ďalej len „Polícia ČR“) z nasl. dôvodov:

• spracúvaním osobných údajov bez väzby na konkrétny šetrený prípad ochorenia (plošne a preventívne spracúvanie),
• nesplnením informačnej povinnosti voči dotknutým osobám,
• nevykonaním pred zamýšľaným spracúvaním osobných údajov posúdenia vplyvu na ochranu osobných údajov a bez vykonania predchádzajúcej konzultácie s českým dozorným orgánom.

Predseda českého dozorného úradu (Jiří Kaucký) v danej veci doplnil – „orgány verejnej moci môžu uplatňovať svoju právomoc zákonným spôsobom. To platí vždy, teda aj v prípade mimoriadnych okolností vrátane pandémie. Zákon o Polícií ČR neumožňuje plošné zhromažďovanie tzv. citlivých osobných údajov, ku ktorým patria aj údaje o zdravotnom stave. Ich plošné spracúvanie, vykonané naviac bez splnenia informačnej povinnosti dotknutým osobám, ktorých sa spracúvanie týka, môže prinášať veľmi závažné riziká.“

Porušenie ochrany osobných údajov – Holandsko

Holandský dozorný orgán uložil začiatkom roka 2023 holandskej polícií pokutu vo výške 50 000 EUR z dôvodu porušenia ochrany osobných údajov v rámci prevádzky kamerového systému.

Holandská polícia v meste Rotterdam v roku 2020 v trvaní 5 týždňov nasadila na dve policajné autá tzv. 360-stupňové kamerové systémy, ktoré v rámci boja proti koronavírusu monitorovali pohyb fyzických osôb z dôvodu dodržiavania pravidiel dostatočného odstupu (1,5 metra). Kamerovými záznamami bolo možné identifikovať konkrétne fyzické osoby. Holandský dozorný orgán v rozhodnutí konštatoval viaceré porušenia na úseku ochrany osobných údajov. Jedná sa najmä o nasledovné:

• holandská polícia nemala pred vykonávaním spracúvania v súlade s článkom 35 GDPR vypracované posúdenie vplyvu na ochranu údajov a to napriek skutočnosti, že sa jednalo o spracúvanie osobných údajov, ktoré pravdepodobne viedlo k vysokému riziku pre práva a slobody fyzických osôb,
• dotknuté osoby nemali v dispozícií informáciu o spracúvaní osobných údajov na daný účel (absencia informačnej povinnosti),
• porušenie princípov proporcionality a nevyhnutnosti spracúvania osobných údajov na daný účel.

Porušenie ochrany osobných údajov – Belgicko

Belgický dozorný orgán rozhodnutiami z roku 2022 uložil letisku Zaventem  pokutu vo výške 200 000 EUR, a letisku South Charleroi vo výške 100 000 EUR (obe letiská sa nachádzajú v meste Brusel) za porušenie pravidiel na úseku ochrany osobných údajov a to z dôvodu kontroly teploty pasažierov v rámci boja proti pandémií COVID-19. 

V období pandémie boli v rámci oboch letísk vykonávané kontroly teploty prostredníctvom termo-kamier, ktoré selektovali pasažierov s telesnou teplotou nad 38°C. Uvedené dotknuté osoby následne vypĺňali povinné dotazníky o možných príznakoch spojených s koronavírusom. 

Belgický dozorný orgán v rozhodnutiach vytýkal nasledovné pochybenia:

• absencia právneho základu na spracúvanie osobitných kategórií osobných údajov dotknutých osôb (zdravotné údaje) na daný účel,

• zistenie nedostatkov v rámci splnenia informačnej povinnosti voči dotknutým osobám, a

• nedostatočnú kvalitu vykonaného posúdenia vplyvu na ochranu osobných údajov.

V nadväznosti na uvedené rozhodnutia predseda belgického dozorného orgánu (David Stevens) dodal –  „predmetné rozhodnutia zdôrazňujú dôležitosť vykonania dôslednej a úplnej analýzy vplyvu na ochranu osobných údajov a to pred zahájením spracúvania, ktoré by mohlo predstavovať riziká pre dotknuté osoby.“

Porušenie predpisov spracúvania osobných údajov – Španielsko

• Španielsky dozorný orgán v apríli 2023 vydal rozhodnutie vo veci Španielskej federácie stolného tenisu (ďalej len „prevádzkovateľ“), ktorým prevádzkovateľovi uložil pokutu vo výške 10 000 EUR z dôvodu porušenia predpisov na úseku spracúvania osobných údajov. 

Prevádzkovateľ 20.11.2021 organizoval skúšky trénerov stolného tenisu (za účelom ich certifikácie). Podmienkou účasti bolo absolvovanie testu na COVID-19 organizovaného prevádzkovateľom. Po vykonaní registrácie na daný test, dotknuté osoby obdržali e-mail so žiadosťou o predloženie očkovacieho pasu alebo negatívneho PCR testu a to za účelom absolvovania testu na COVID-19 na mieste určenom prevádzkovateľom. Deň pred vykonaním testu zaslal prevádzkovateľ subjektu, ktorý mal vykonať testovanie, mená a identifikačné čísla dotknutých osôb, ktoré splnili požiadavky na vykonanie testu. Dotknuté osoby namietali zákonnosť spracúvania ich osobných údajov a podali sťažnosť na španielsky dozorný orgán, ktorý prevádzkovateľovi vytýkal nasledovné skutočnosti:

• prevádzkovateľ použil na spracúvanie osobných údajov nesprávny právny základ, -spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutých osôb – prevádzkovateľovi nič nebránilo získanie osobitného súhlasu,

• športové federácie/asociácie nie sú verejnými orgánmi, z uvedeného dôvodu sa nemôžu spoliehať ani na právny základ podľa čl. 6 ods. 1 písm. e) GDPR,

• predpisy na úseku ochrany zdravia v danom čase nevyžadovali preukázanie potvrdenia o očkovaní alebo PCR test,

• španielsky dozorný orgán pripomenul, že účastníci skúšky nie sú zamestnancami prevádzkovateľa a preto nepodliehajú osobitnej právnej regulácií na úseku prevencie o ochrany,
• v danej veci existovali menej invazívne prostriedky narušenia súkromia dotknutých osôb, pre daný účel by postačovalo predloženie náhľadu k vyžadovaným informáciám na mieste vykonania testu na COVID-19.

Záver

Údaje týkajúce sa zdravia považujeme za tzv. osobitné kategórie osobných údajov. Z povahy daných údajov vyplýva, že ich ochrane je potrebné venovať náležitú pozornosť. Z rozhodovacej praxe je zrejmé, že na porušenia týkajúce sa osobitných kategórií osobných údajov nazerajú dozorné orgány citlivejšie a prípadné porušenie ochrany osobných údajov týkajúce sa zdravotných údajov vedie k ukladaniu vyšších pokút a to nielen pre súkromný sektor, ale aj pre orgány verejnej moci.

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb