Evropská komise připravuje dokument, jenž by obsahoval doporučení pro tvorbu mobilních aplikací a dalších digitálních řešení pro současnou situaci okolo pandemie nového typu koronaviru, se kterou se nyní evropské země potýkají. Tento dokument se Komise rozhodla konzultovat s Evropským sborem pro ochranu osobních údajů, což je orgán na úrovni EU, který sdružuje zástupce všech národních dozorových orgánů, které mají na starost vymáhání pravidel na ochranu osobních údajů (zejména tedy GDPR). Obsah samotného dokumentu Evropské komise není v tuto chvíli úplně to nejpodstatnější, protože předsedkyně Sboru této příležitosti využila k tomu, aby napsala obecnější odpověď, ve která vypíchla základní principy z hlediska ochrany soukromí, na kterých musí jakékoliv projekty e-karantény a jim podobné stát, a které je třeba za všech okolností respektovat. Tuto svou odpověď pak zveřejnila a vysílá tím jasný signál státům i soukromým subjektům napříč EU, které v tomto ohledu již mají nějaké plány nebo jsou již ve fázi jejich realizace.
Vývoj aplikací a digitálních nástrojů pro boj s koronavirem musí být zejména zcela transparentní, a to až na úroveň zveřejnění zdrojových kódů pro odbornou veřejnost. Samozřejmostí je provedení posouzení vlivu na ochranu osobních údajů a důsledná implementace principu záměrné a standardní ochrany osobních údajů (tj. zejména od počátku komplexní a proaktivní přístup k vyhledávání slabých míst z hlediska ochrany soukromí a jejich odstraňování v rámci samotného vývoje, testování, nasazení a každodenního používání – důraz na ochranu soukromí musí být v samotném jádru aplikace). Účelem není naplnění litery právních předpisů nebo spokojený úředník, ale poskytnutí maxima informací lidem, jež mají aplikaci následně s důvěrou používat, a díky tomu rozptýlení jakýchkoliv obav či pochyb na straně uživatelů a samozřejmě také možnost dovodit odpovědnost v případě jakýchkoliv pochybení.
Specificky aplikace, jež mají mít funkcionalitu trasování a zasílání varovných zpráv v případě expozice viru musí být dány k dispozici uživatelům výhradně na dobrovolné bázi. To přitom neznamená, že právním titulem pro zpracování osobních údajů musí být souhlas – vhodným právním titulem zde je podle názoru předsedkyně Sboru provádění úkolu ve veřejném zájmu, případně zákonná úprava členských států EU, jež vhodným způsobem podporuje používání takové aplikace. Zákony by však v žádném případě neměly běžné lidi k používání takovéto aplikace nutit nebo v případě jejího nepoužívání jakkoliv trestat či znevýhodňovat. Členské státy by naopak měly vždy zajistit řádnou informační kampaň, případně propagaci takových nástrojů a pomoc s jejich zajištěním pro zvláště zranitelné skupiny obyvatel, jako jsou staří lidé, osoby s hendikepem, atd.
Podle názor předsedkyně Sboru trasovací aplikace nevyžadují sledování pohybu konkrétních uživatelů. Účelem těchto aplikací totiž má být pouze mapování konkrétních událostí – kontaktů dosud nenakažených osob s pozitivně testovanými osobami, jež jsou spíše méně pravděpodobné a v případě mnoha uživatelů ani vůbec nenastanou. Sledování pohybu uživatelů aplikace by tak bylo zcela jasně v rozporu s požadavkem minimalizace zpracování osobních údajů, se kterým by navíc bylo spojeno vysoké bezpečnostní riziko a riziko z hlediska soukromí jednotlivce.
Provoz takovéto aplikace by měl být výhradně v rukou orgánu státu, resp. orgánů ochrany veřejného zdraví. Vždy by přitom měl být pod dohledem školeného personálu a vyhodnocování dalších kroků na základě dat z aplikace by nemělo být svěřenou výhradně algoritmu. Zapojení lidského faktoru je v tomto ohledu klíčové a uživatelé aplikace by vždy měli mít možnost se obrátit na lidského operátora. Data, se kterými aplikace pracuje, by přitom měla být z bezpečnostních důvodů čerpána z či ukládána pokud možno lokálně na zařízení koncových uživatelů spíše než na centrální servery. Nakonec implementace a užívání takovýchto systémů, jež mají nouzovou povahu, by mělo být striktně omezeno pouze na dobu trvání krize a po jejím skončení by neměly nadále zůstat v provozu.
Všechny uvedené požadavky jsou nyní formálně vzato názorem předsedkyně Sboru, který zaslala Evropské komisi, nicméně Sbor již pracuje na podrobnějších vodítkách, která by měla vyjít v tomto týdnu, a která by již byla závazným stanoviskem unijního orgánu pro ochranu osobních údajů. Dá se přitom logicky očekávat, že úvahy uvedené v dopise se objeví i v těchto vodítkách.
Bude tedy zajímavé sledovat, zda je nějak vezme v úvahu tým Ministerstva zdravotnictví, který připravuje projekt tzv. chytré karantény, případně jestli uzná za vhodné se s nimi alespoň nějak vypořádat. Bylo by patrně na místě, aby zde výrazně důrazněji a intenzivněji konal a veřejně vystupoval také Úřad pro ochranu osobních údajů, jehož zástupci by se konec konců na přípravě zmíněných vodítek měli podílet a měli by tak mít informace z první ruky. Doposud se zdá, že úřad zaujal spíše vyčkávací taktiku.