Od minulého čtvrtku jsou čeští mobilní operátoři a banky povinni vydat Ministerstvu zdravotnictví („Ministerstvo“) nebo Krajským hygienickým stanicím geolokační data o svých klientech, resp. data o provedených platbách. Dle mimořádného opatření Ministerstva („Mimořádné opatření“) jsou mobilní operátoři povinni vydat tzv. provozně lokalizační údaje související s provozem konkrétního telefonního čísla za stanovené období. Jedná se o údaje uživatelů, jež operátorům ukazují, ke které ze stanic šířících signál dané sítě je příslušné zařízení momentálně připojeno. Operátoři tak díky tomu vědí, kde zhruba se uživatel mobilního čísla v určitý čas nachází. Tyto údaje musí mobilní operátoři na základě zákona o elektronických komunikacích uchovávat až 6 měsíců pro účely jejich zpřístupnění orgánům činným v trestním řízení a od minulého čtvrtku také pro účely omezení šíření koronaviru.
Zpřístupnění těchto údajů dle mimořádného opatření za účelem omezení šíření koronaviru je však (na rozdíl od jejich využití policií) poměrně úzce specifikováno. Zaprvé, s takovýmto předáním musí souhlasit uživatel telefonního čísla (a souhlas může kdykoliv odvolat). Zadruhé, hygienické stanice nebo ministerstvo zdravotnictví může požádat pouze o vydání údajů týkající se osoby, u které je prokázána nákaza novým koronavirem. Zatřetí, účelem zpracování smí být pouze epidemiologické trasování přenosu viru a operátorem smí být takto předána data za dobu maximálně tří týdnů zpětně. Ministerstvo nebo hygienické stanice pak nesmí samotná předaná data uchovat podobu delší než 6 hodin a následně je musí vymazat. O těchto skutečnostech musí být také uživatel telefonního čísla vždy řádně informován. Z praktického hlediska tak bude muset Ministerstvo, resp. hygienické stanice vyřešit otázku, jakým způsobem budou souhlasy sbírat a evidovat (příp. evidovat jejich odvolání), zda tak budou činit elektronicky či papírově a stejně tak bude muset být vyřešena otázka řádného poučení subjektů údajů a dokumentace splnění informační povinnosti ve smyslu čl. 13 GDPR.
Banky jsou pak povinny dle Mimořádného opatření vydat údaje o době a místě použití elektronických platebních prostředků osob, které se nacházely v oblasti vydefinované na základě údajů získaných od mobilních operátorů. Jednoduše řečeno pokud se z dat poskytnutých mobilním operátorem ukáže, že nakažená osoba byla nakupovat v supermarketu, ministerstvo či hygienici požádají banky o předání údajů o všech osobách, které tam v přibližně stejnou dobu platily kartou. Předání těchto bankovních údajů však již nepodléhá souhlasu příslušných osob. Stále však platí omezení účelem (epidemiologické trasování) a dobou uchování (maximálně 6 hodin od předání dat). Zde bude taky velmi zajímavé sledovat, zda a jakým způsobem bude plněna informační povinnost vzhledem k osobám používajícím sledované platební prostředky. Tato povinnost zde totiž také bude bezesporu existovat.
Mimořádná situace patrně vyžaduje mimořádné prostředky, nicméně i v době epidemie koronaviru bychom měli pamatovat na to, že nakládání s osobními údaji podléhá principům zákonnosti, transparentnosti a přiměřenosti. Je tak vždy potřeba zvážit, zda příslušná opatření, obzvlášť pokud nejsou časově nijak omezena, jsou nezbytná ve svobodné a demokratické společnosti a zda mají lidé možnost se s dopady takovýchto mimořádných zásahů do svých práv seznámit.