Hoci sa o ňom už veľmi nehovorí, COVID (koronavírus) je stále reálnou hrozbou. Odborníci preto aj naďalej vyvíjajú nové nástroje a vymýšľajú inovatívne metódy, pomocou ktorých chcú ešte väčšmi zredukovať mieru šírenia nebezpečnej nákazy. Jedným z nástrojov s týmto účelom je aj mobilná aplikácia čTečka, ktorú vyvinula česká vláda na skenovanie tzv. COVID certifikátov. Mala však jeden veľký problém, a to spôsob, akým narábala s osobnými údajmi používateľov.
Prejsť na:
Európska únia (EÚ) považuje ochranu citlivých údajov používateľov za nevyhnutnosť a kladie obrovský dôraz na to, aby technologické spoločnosti striktne dodržiavali pravidlá, ktoré v tomto smere nastolila.
Česká aplikácia čTečka, ako sme spomenuli v úvode, slúži na kontrolu COVID preukazov. Do pozornosti sa dostala kvôli obávam zo spôsobu, akým narába s citlivými údajmi používateľov. Teraz sa vďaka správe od advokátskej kancelárie Dagital Lethal dozvedáme, že Súdny dvor Európskej únie (SDEÚ) v októbri potvrdil, že používanie mobilnej aplikácie čŤečka sa považuje za „spracúvanie“ osobných údajov podľa článku 4 ods. 2 GDPR. No čo presne to znamená?
Podľa odborníka na ochranu osobných údajov ide o potvrdenie obáv, na ktoré bolo upozorňované už v časoch, kedy vznikali prvé proticovidové opatrenia. Ani Slovensko nebolo pri zavádzaní protipandemických opatrení výnimkou.
Za sporné opatrenia z hľadiska ochrany osobných údajov možno považovať napríklad kontrolovanie veku pri vstupe do obchodných prevádzok.
Ak ste sa počas obdobia najsilnejšej pandémie chceli v Českej republike zúčastniť určitého podujatia, museli ste sa preukázať o svojom zdravotnom stave, pričom organizátor alebo poverená osoba mala za povinnosť preveriť splnenie podmienok, ktoré vyplývali z mimoriadneho opatrenia Ministerstva zdravotníctva (MZ) ČR, a to prostredníctvom aplikácie čTečka.
Pofidérne narábania s údajmi
Aplikácia z vystaveného COVID certifikátu načítala QR kód, po čom získala prístup k viacerým citlivým informáciám danej osoby, vrátane mena, priezviska, dátumu narodenia, štátnej príslušnosti, údajov o podstúpení očkovania, dátumu očkovania, použitej vakcíne, informácií o prekonaní choroby alebo podstúpení PCR testovania.
Tento pracovný postup neostal v utajení. Na Najvyšší správny súd ČR (NSS ČR) prišla žaloba o zrušenie mimoriadneho opatrenia, odôvodnená neprimeranosťou zásahu do súkromia navrhovateľa a celkovou nezákonnosťou spracovateľských operácií s osobnými údajmi. Ministerstvo sa ohradilo argumentom, že nejde o spracúvanie osobných údajov, keďže aplikácia informácie neuchováva a ani nikam neodosiela. Vraj ich len dočasne zobrazí na obrazovke mobilného telefónu.
NSS ČR sa rozhodol riešenie tejto situácie posunúť do rúk SDEÚ. Ten napokon minulý mesiac rozhodol, že používanie mobilnej aplikácie čŤečka, ktorú vyvinula česká vláda, sa považuje za „spracúvanie“ osobných údajov podľa článku 4 ods. 2 GDPR. Aplikácia teda podlieha zákonu, ktorý ukladá prísne pravidlá pre narábanie s osobnými údajmi používateľov.
Ani Slovensko nie je nevinné
Podobná situácia vznikla aj na Slovensku, keďže aj u nás platili prísne proticovidové opatrenia. Za náramne sporné odborníci považujú napríklad kontrolovanie veku osôb pri vstupe do prevádzky.
„Zákazníci museli pri vstupe do prevádzok preukazovať svoj vek predložením občianskeho preukazu, ktorý obsahuje viacero ďalších osobných údajov, ktoré s predmetom kontroly nesúviseli. Ešte v roku 2020 sme upozorňovali, že kontrolu veku je možné dosiahnuť aj iným dokumentom, ako práve občianskym preukazom,“ vysvetľuje Jakub Berthoty, odborník na ochranu osobných údajov z advokátskej kancelárie Dagital Legal. „V prípade, ak by predajcovia vyžadovali preukázanie sa výlučne občianskym preukazom, sme ľuďom odporúčali a aj do budúcnosti odporúčame prekryť ostatné údaje na občianskom preukaze napríklad prstami alebo dlaňou.“
Rozhodnutie SDEÚ podľa Berthotyho podporuje názor odborníkov. „Vzhľadom na rozhodnutie Súdneho dvora EÚ, ako aj vzhľadom na samotné znenie GDPR, odporúčame vždy pristupovať k akémukoľvek zaobchádzaniu s osobnými údajmi obozretne a riadne si plniť svoje informačné povinnosti voči dotknutým osobám. Dotknuté osoby majú právo podozrenia z porušenia ochrany osobných údajov hlásiť, čo môže pre kontrolujúcich znamenať riziko pokút.“
