Dodržiavanie GDPR pri overovaní COVID PASSOV a iných potvrdení v režime OP a OTP

V súčasnosti sú to už viac ako dva roky od vypuknutia bezprecedentnej globálnej krízy zapríčinenej ochorením COVID-19, pričom v rámci neustálej snahy odvrátiť vyhlásenú pandemickú situáciu, vlády a ďalšie príslušné orgány členských štátov EÚ prijímajú protipandemické opatrenia a vykonávajú ďalšie činnosti smerujúce k obmedzeniu šírenia tohto ochorenia. 

Jedným z moderných nástrojov v rámci opatrení proti pandémii je aj zavedenie tzv. digitálnych COVID preukazov EÚ (ďalej len „covid pass“) určených na preukazovanie „bezinfekčnosti“ (resp. režim OP/OTP) fyzických osôb. Zavedenie covid passov zohráva dôležitú úlohu, najmä v súvislosti s opatreniami prijatými Úradom verejného zdravotníctva [1]. Zákonná povinnosť a zároveň oprávnenie konkrétnych subjektov požadovať preukázanie bezinfekčnosti fyzických osôb formou covid passov má v podmienkach SR svoj základ v Zákone o ochrane verejného zdravia [2].

Ako však dosiahnuť rovnováhu medzi ochranou osobných údajov na jednej strane, a možnými rizikami pre verejné zdravie, ktoré so sebou priniesla pandémia na strane druhej? Potreba presadzovať právo na ochranu osobných údajov a zároveň umožniť účinnú reakciu na pandémiu je jednou z kľúčových tém mnohých aktuálnych diskusií a zahŕňa aj množstvo právnych otázok.

Môže pri overovaní covid passov dochádzať k rozporu s právnou úpravou GDPR?

S poukazom na údaje, ktoré sú obsahom covid passov [3] je nepochybné, že sa jedná aj o osobné údaje týkajúce sa zdravia fyzických osôb (zaradených do tzv. osobitnej kategórie osobných údajov), pre ktorých spracúvanie sa vyžaduje naplnenie aspoň jednej z výnimiek zo zákazu spracúvania taxatívne uvedených v článku 9 ods. 2 GDPR [4]. Okrem toho si spracúvanie takýchto údajov a informácií vyžaduje obzvlášť vysokú úroveň ochrany.

GDPR už aj v čase jeho prijatia určitým (právne nezáväzným) spôsobom aprobovalo spracúvanie osobných údajov v súčasnej situácii, nakoľko „niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia [5].“ Na druhej strane, používanie covid passov na iné ako lekárske účely, najmä na prístup k službám, ktoré nesúvisia s prevenciou, ochranou zdravia a riadením pandémie, vyvoláva pochybnosti súvisiace s obmedzením práva na ochranu osobných údajov, keďže „spracúvanie osobitných kategórií osobných údajov bez súhlasu dotknutej osoby môže byť potrebné z dôvodov verejného záujmu v oblasti verejného zdravia. Takéto spracúvanie údajov tykajúcich sa zdravia z dôvodov verejného záujmu by nemalo viesť k spracúvaniu osobných údajov na iné účely tretími stranami, napríklad zamestnávateľmi či poisťovňami a bankami [6].“ Okrem toho si spracúvanie takýchto údajov a informácií vyžaduje obzvlášť vysokú úroveň ochrany.

Prijatím Nariadenia o zavedení covid passov [7], malo dôjsť k odstráneniu právnej neistoty vo vzťahu k ochrane osobných údajov v nich obsiahnutých, keďže jeho úlohou bolo, o.i., vytvoriť právny rámec pre ďalšie vnútroštátne ale aj medzinárodné využívanie covid passov, vrátane stanovenia právneho základu pre spracúvanie osobných údajov v nich obsiahnutých. Bol vytvorený tzv. jedinečný identifikátor potvrdenia, ktorého úlohou je najmä zabezpečiť dodržiavanie zásady minimalizácie spracúvania osobných údajov. Dotknutým fyzickým osobám je k dispozícii tzv. „Privacy policy“ digitálnych covid passov [8].

Je však potrebné zobrať na vedomie, že Nariadenie o zavedení covid passov upravuje iba zákonné spracúvanie osobných údajov za účelom uľahčenia uplatnenia práva na voľný pohyb v rámci EÚ, pričom oprávnenými subjektmi na ich spracúvanie sú príslušné orgány členského štátu určenia alebo tranzitu, alebo prevádzkovatelia služieb cezhraničnej osobnej dopravy, ktorým túto povinnosť ukladajú vnútroštátne predpisy členských štátov [9]. Uchovávanie, resp. iné spôsoby spracúvania týchto údajov ako je ich kontrola Nariadenie o covid passoch neumožňuje [10].

Zákon o ochrane verejného zdravia prostredníctvom splnomocňujúcich ustanovení [11] upravil právomoc ÚVZ/RÚVZ [12] nariaďovať opatrenia pri ohrození verejného zdravia, ktorými sú o.i., dočasné podmieňovanie vstupu (i) osôb do prevádzkových zariadení, v ktorých dochádza k zhromažďovaniu osôb a vstupu na hromadné podujatia; (ii) zamestnanca na pracovisko zamestnávateľa preukázaním svojej bezinfekčnosti. Stanovením tejto zákonnej povinnosti, a zároveň oprávnenia uvedených prevádzkovateľov požadovať preukázanie bezinfekčnosti dotknutých osôb boli splnené podmienky článku 6 ods. 1 písm. c) a článku 9 ods. 2 písm. g) GDPR. Keďže v čase do nadobudnutia účinnosti novely zákona č. 304/2021, (ktorým bol novelizovaný zákon o ochrane, podpore a rozvoji verejného zdravia) [13] bola povinnosť podmieňovať vstup fyzických osôb do prevádzok alebo do zamestnania preukázaním svojej bezinfekčnosti uložená  prostredníctvom ustanovení podzákonných právnych predpisov [14], do pozornosti sa dostávala sporná otázka zákonnosti spracúvania osobných údajov na tomto základe, a to práve s poukazom na čl. 2 ods. 3 Ústavy SR, v zmysle ktorého „každý môže konať, čo nie je zákonom zakázané, a nikoho nemožno nútiť, aby konal niečo, čo zákon neukladá.

Keďže overovanie/kontrolu covid passov v zmysle definície článku 4 bod 2 GDPR možno bezpochyby považovať za spracúvanie osobných údajov, jednotliví prevádzkovatelia by mali spracúvanie realizovať v súlade so zásadami spracúvania osobných údajov [15]. Mali by sa spravovať predovšetkým zásadou minimalizácie spracúvania osobných údajov, bez nutnosti ich automatizovaného spracúvania, ukladania, či zapisovania do akejkoľvek evidencie (pokiaľ je to možné), tzn. výlučne nahliadnutím, či osoba spĺňa podmienku bezinfekčnosti (resp. režim OP/OTP).

V prípade, ak sa niektorí z prevádzkovateľov rozhodnú pre vykonávanie spracovateľských operácií vo väčšom rozsahu ako len samotnou kontrolou/nahliadnutím do covid passu, je nevyhnutné vziať do úvahy aj ďalšie povinnosti, ktoré prevádzkovateľom GDPR ukladá. Pôjde najmä o splnenie informačnej povinnosť vo vzťahu k dotknutým osobám – na aké účely sú tieto osobné údaje spracúvané, na základe čoho sú oprávnení údaje spracúvať, prípadne vykonať posudzovanie vplyvu týchto nových spracovateľských operácií podľa článku 35 GDPR. Obzvlášť odporúčame týmto prevádzkovateľom venovať vysokú mieru pozornosti aktualizácii svojich interných „privacy policy“, ako aj pristúpiť k posúdeniu, či ich aktuálne bezpečnostné a organizačné opatrenia zodpovedajú charakteru spracúvaných osobných údajov, tzn. aj spracúvaniu osobitných kategórií osobných údajov.  

Mgr. Richard Plevák,
advokátsky koncipient 

JUDr. Marieta Svitaničová,
advokát 


[1] Napr. Vyhláška ÚVZ SR č.1/2022 zo dňa 7.1.2022, ktorou sa nariaďujú opatrenia pri ohrození verejného zdravia k obmedzeniam prevádzok; Vyhláška ÚVZ SR č. 264/2021, ktorou sa z dôvodu ochrany verejného zdravia nariaďuje dočasné opatrenie pre vstup zamestnancov na pracovisko zamestnávateľa zo dňa 24.11.2021

[2] Zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

[3] V rozsahu meno a priezvisko, dátum narodenia, adresa pobytu, údaj o absolvovaní očkovania/výsledku negatívneho testu/prekonaní ochorenia (resp. režim OP/OTP)

[4] NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679  z 27. apríla 2016  o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

[5] Recitál č. 46 GDPR

[6] Recitál č. 54 GDPR

[7] Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/953 o rámci pre vydávanie, overovanie a uznávanie interoperabilných potvrdení o očkovaní proti ochoreniu COVID-19, o vykonaní testu a prekonaní tohto ochorenia (digitálny COVID preukaz EÚ) s cieľom uľahčiť voľný pohyb počas pandémie ochorenia COVID-19 zo dňa 14.06.2021

[8] https://www.getcovidpass.eu/privacy-en?lang=sk

[9] Napr. Ministerstvo dopravy a výstavby SR podľa § 48 ods. 4 písm. ab) zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

[10] Článok 10 ods. 3 Nariadenia Európskeho parlamentu a Rady (EÚ) 2021/953

[11] § 48 ods. 4 písm. z) a písm. aa) zákona č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

[12] Úrad verejného zdravotníctva/Regionálne úrady verejného zdravotníctva

[13] Zákon č. 304/2021 ktorým sa mení a dopĺňa zákon č. 355/2007 Z. z. o ochrane, podpore a rozvoji verejného zdravia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

[14] Napr. Uznesenie vlády SR č. 693 uverejnené pod č. 298/2020 Z. z zo dňa 28.10.2020

[15] https://dataprotection.gov.sk/uoou/sk/content/zasady-pri-spracuvani-osobnych-udajov

Publikované na | www.epravo.sk dňa 26.1.2022.