ÚOOÚ k projektu „chytrá karanténa“
Předsedkyně Úřadu pro ochranu osobních údajů Ivana Janů požádala s ohledem na zprávy o zpracování osobních údajů v rámci tzv. chytré karantény 31. března 2020 ministra zdravotnictví dopisem o konkrétní dokumentaci k tomuto projektu. Vzhledem k následným reakcím v médiích, poukazujícím nesprávně na „schvalující roli“ kontrolního úřadu při testování a spuštění tohoto projektu, vydává Úřad následující vyjádření.
Základní informace týkající se chytré karantény obdržel Úřad od ministerstva zdravotnictví 8. dubna. Vzápětí došlo ke společnému jednání s vedením ministerstva, hlavní hygieničkou ČR a pověřenkyní (pro ochranu osobních údajů) ministerstva zdravotnictví. Projednány a dohodnuty byly základní aspekty zpracování osobních údajů při mimořádných opatřeních a chytré karanténě a způsob informování o tomto zpracování. Ministerstvo zdravotnictví doporučení Úřadu obratem zapracovalo a na webových stránkách ministerstva byla zveřejněna korektní informace o zákonných aspektech zpracování a o příslušných ustanoveních právních předpisů, podle nichž budou postupovat všechny povinné osoby i subjekty odpovědné za zpracování, včetně soukromých zpracovatelů.
Pro stanovisko je nezbytné, aby ministerstvo, které je správcem odpovědným za celé zpracování osobních údajů, předložilo dokumenty, o které bylo dopisem požádáno 31. března, z nichž bude prakticky zřejmé, jak konkrétně a jakým způsobem budou použity osobní údaje, jak jsou nastaveny datové toky a sdíleny osobní údaje.
Požadované informace Úřad dosud neobdržel. Bez klíčových informací o tom, jaká konkrétní opatření a technologie k ochraně osobních údajů správce a jeho zpracovatel použili, nelze blíže odborně komentovat zprávy o dosud přijatých opatřeních, o dostatečnosti záruk ochrany soukromí, o rizikovosti operací zpracování a o vhodné ochraně údajů před zneužitím v elektronickém a on-line prostředí.
Úřad je připraven vždy s ministerstvem operativně jednat a co nejdříve poskytnout poradenství při plnění zákonných povinností a při aplikaci zásad zpracování údajů dle obecného nařízení.
S ohledem na dynamičnost situace Úřad nepředpokládá zpracování dokonalé formální dokumentace k projektu chytré karantény, ale musí trvat zejména na předložení soupisu struktury a rozsahu uchovávaných, předávaných a sdílených osobních údajů.
Na závěr této zprávy Úřad upozorňuje, že konzultace některých částí zpracování s dozorovým úřadem nenahrazují povinnost správce a zpracovatelů, aby sami (tj. aktivně) používali nástroje ochrany osobních údajů, předcházeli rizikům zpracování, do průběžné „kontroly“ probíhajících zpracování zapojili své pověřence a o klíčových detailech zpracování řádně informovali osoby dotčené zpracováním.
Evropský sbor pro ochranu osobních údajů (EDPB) na svém posledním plenárním zasedání přijal pokyny pro zpracování osobních údajů pro účely vědeckého výzkumu. Kromě toho Sbor vytvořil tým, který má urychlit finalizaci pokynů pro anonymizaci. EDPB rovněž přijal dvě stanoviska ke...