ÚOOÚ k projektu „chytrá karanténa“
Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů požádala s ohledem na zprávy o zpracování osobních údajů v rámci tzv. chytré karantény 31. března 2020 ministra zdravotnictví dopisem o konkrétní dokumentaci k tomuto projektu. Vzhledem k následným reakcím v médiích, poukazujícím nesprávně na „schvalující roli“ kontrolního úřadu při testování a spuštění tohoto projektu, vydává Úřad následující vyjádření.
Základní informace týkající se chytré karantény obdržel Úřad od ministerstva zdravotnictví 8. dubna. Vzápětí došlo ke společnému jednání s vedením ministerstva, hlavní hygieničkou ČR a pověřenkyní (pro ochranu osobních údajů) ministerstva zdravotnictví. Projednány a dohodnuty byly základní aspekty zpracování osobních údajů při mimořádných opatřeních a chytré karanténě a způsob informování o tomto zpracování. Ministerstvo zdravotnictví doporučení Úřadu obratem zapracovalo a na webových stránkách ministerstva byla zveřejněna korektní informace o zákonných aspektech zpracování a o příslušných ustanoveních právních předpisů, podle nichž budou postupovat všechny povinné osoby i subjekty odpovědné za zpracování, včetně soukromých zpracovatelů.
Pro stanovisko je nezbytné, aby ministerstvo, které je správcem odpovědným za celé zpracování osobních údajů, předložilo dokumenty, o které bylo dopisem požádáno 31. března, z nichž bude prakticky zřejmé, jak konkrétně a jakým způsobem budou použity osobní údaje, jak jsou nastaveny datové toky a sdíleny osobní údaje.
Požadované informace Úřad dosud neobdržel. Bez klíčových informací o tom, jaká konkrétní opatření a technologie k ochraně osobních údajů správce a jeho zpracovatel použili, nelze blíže odborně komentovat zprávy o dosud přijatých opatřeních, o dostatečnosti záruk ochrany soukromí, o rizikovosti operací zpracování a o vhodné ochraně údajů před zneužitím v elektronickém a on-line prostředí.
Úřad je připraven vždy s ministerstvem operativně jednat a co nejdříve poskytnout poradenství při plnění zákonných povinností a při aplikaci zásad zpracování údajů dle obecného nařízení.
S ohledem na dynamičnost situace Úřad nepředpokládá zpracování dokonalé formální dokumentace k projektu chytré karantény, ale musí trvat zejména na předložení soupisu struktury a rozsahu uchovávaných, předávaných a sdílených osobních údajů.
Na závěr této zprávy Úřad upozorňuje, že konzultace některých částí zpracování s dozorovým úřadem nenahrazují povinnost správce a zpracovatelů, aby sami (tj. aktivně) používali nástroje ochrany osobních údajů, předcházeli rizikům zpracování, do průběžné „kontroly“ probíhajících zpracování zapojili své pověřence a o klíčových detailech zpracování řádně informovali osoby dotčené zpracováním.