Vyjádření Úřadu k nahodilým únikům informací o očkovaných osobách
Úřad pro ochranu osobních údajů není oprávněn řešit nahodilé a jednorázové úniky informací o očkovaných osobách a jejich zdravotním stavu do médií, jelikož nejde o součást systematického zpracování osobních údajů.
„Nicméně by naším úkolem mělo být zjišťovat v případě úniku osobních údajů, odkud k tomuto úniku došlo,“ uvedl předseda Úřadu Jiří Kaucký. Dle § 50 odst. 1 zákona č. 110/2019 Sb., o zpracování osobních údajů, je Úřad ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.
V případě zveřejněných informací o očkování konkrétní osoby ve zdravotnickém zařízení, kdy zjevně nejde o systémové pochybení, ale o nahodilou situaci, nejde ani o porušení čl. 5 obecného nařízení (GDPR), popisujícího zásady zpracování osobních údajů, konkrétně odst. 1 písm. b) obecného nařízení, kdy osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný. Přičemž správce osobních údajů, v tomto případě zdravotnické zařízení, podle čl. 5 odst. 2 obecného nařízení odpovídá za dodržení těchto zásad zpracování osobních údajů.
Přestože tedy nejde o působnost Úřadu, mohlo by se jednat o pochybení zaměstnance, který porušil ustanovení § 301 písm. a) zákoníku práce, podle kterého jsou zaměstnanci povinni pracovat řádně podle svých sil, znalostí a schopností, plnit pokyny nadřízených vydané v souladu s právními předpisy a spolupracovat s ostatními zaměstnanci. Případné porušení povinnosti zachování mlčenlivosti v souvislosti se zdravotními službami dle § 51 odst. 1 a 5 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (zákon o zdravotních službách), ve znění pozdějších předpisů, za které dle § 177 odst. 4 téhož zákona hrozí pokuta ve výši 1 000 000 Kč, Úřadu nepřísluší posuzovat. Dle názoru Úřadu může být dokonce úmyslné jednání zaměstnance za určitých podmínek (zejména způsobení vážné újmy na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají) posuzováno jako trestný čin dle § 180 trestního zákoníku.
„Jestliže nejde o nahodilou situaci, je podle čl. 33 obecného nařízení platnou povinností ohlásit porušení zabezpečení osobních údajů Úřadu (do 72 hodin od zjištění takového incidentu). Pouze pokud je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, není nahlášení nutné,“ upřesnil předseda Úřadu Jiří Kaucký.
Dále upozorňujeme, že dle čl. 9 odst. 2 písm. e) obecného nařízení se rovněž nezakazuje zpracování zvláštních kategorií osobních údajů, pokud se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů.
Je však také třeba mít na paměti, že může dojít k porušení zabezpečení osobních údajů i zvenčí. Typickým příkladem jednání, které může mít za následek riziko pro práva a svobody fyzických osob, je kybernetický incident, kdy je veden útok na počítač, ve kterém jsou osobní údaje zpracovávány, jehož důsledkem je únik osobních údajů, jejich pozměnění nebo jiné zneužití. Dalším takovým útokem zvenčí může být např. ztráta listinných dokumentů obsahujících osobní údaje, které byly součástí manuálně vedené evidence (kartotéky) fyzických osob nebo byly vytištěny z počítače, ve kterém je taková evidence vedena a obsah těchto dokumentů zakládá riziko pro dotčené osoby (např. ztráta zdravotnické dokumentace). I zde je však nutné rozlišovat rozsah porušení zabezpečení. Úřad nicméně řeší samotné nastavení ochrany osobních údajů správcem, včetně opatření, která byla nastavena poté, co k porušení zabezpečení osobních údajů došlo, s cílem jej vyřešit a neopakovat, nikoli útok jako takový.
Závěrem je nutné zdůraznit, že i když Úřad není oprávněn řešit případy ochrany osobnosti podle občanského zákoníku, zejména v souvislosti s pomluvami a uváděním nepravdivých a nesprávných informací ohledně očkovaných osob v tisku a na internetu, neznamená to, že by takové jednání nebylo protiprávní. V takových případech je ovšem nutno se obrátit přímo na provozovatele médií, případně na soud nebo na příslušný státní orgán.