Vodítka vydaná Sborem stanovují pravidla pro tvorbu a fungování mobilních aplikací, softwarových nástrojů a obecně zpracování osobních údajů pro účely epidemiologického trasování a další úkoly související s bojem proti nemoci COVID-19. Tyto nástroje jsou z hlediska Sboru samozřejmě použitelné, ale musí naplňovat několik základních charakteristik.
Lokalizační data mohou mít v zásadě dva zdroje – mobilní operátory a poskytovatele aplikací, které jsou používány koncovými uživateli zařízení. Na zpracování osobních údajů těmito subjekty se plně uplatní pravidla směrnice o e-privacy, což znamená zejména to, že tato data mohou být zpracovávána v zásadě pouze se souhlasem subjektu údajů anebo pokud jsou nezbytná pro poskytnutí služby, kterou si subjekt údajů vyžádal. Sbor v tomto kontextu zdůrazňuje, že samotná lokalizační data by vždy měla být zpracovávána pokud možno v anonymizované podobě. Je přitom nezbytné vnímat podstatný rozdíl mezi anonymizací (z osobních údajů se nevratně stávají generická data, na která se pak již pravidla GDPR nevztahují) a pseudonymizací (osobní údaje jsou pouze „skryty“ za pseudonymem, ale stále se jedná o osobní údaje a je s nimi podle toho třeba zacházet). Anonymizace má pochopitelně své technické limity a jde tak o to, aby byla odstraněna možnost identifikovat konkrétní osoby při vynaložení „rozumně očekávatelného“ úsilí. Robustnost anonymizace se dá posoudit podle třech vlastností dat – schopnosti na základě dat izolovat konkrétní osobu ve větší skupině, schopnosti spojit dva údaje týkající se téže osoby a schopnosti se značnou pravděpodobností odvodit neznámou informaci o konkrétní osobě. O anonymizaci lokalizačních údajů je tak potřeba vždy uvažovat nikoliv v jednotlivých případech, ale v kontextu celých datasetů. Anonymizace lokalizačních údajů tak může být vcelku tvrdým oříškem, jelikož údaje o pohybu jednotlivce jsou ze své povahy dosti unikátní. Z tohoto důvodu Sbor doporučuje zpracovávat lokalizační datasety jako celky a zpracovávat data spíše velkých skupin jednotlivců za použití robustních anonymizačních technik, jež musí být řádně implementovány. Sbor také klade důraz na řádné vysvětlení anonymizačních technik, které jsou v rámci zpracování využity. (Jak ukazuje nedávný příklad uniklých dat na Slovensku, není v těchto situacích až tak složité za určitých okolností určit či alespoň vytipovat osobu z velmi malého počtu jednotlivců, kterých se veřejně známá informace – osoby s diagnostikovanou nemocí – týká.)
Používání aplikací pro trasování osob musí být dle názoru EDPB zcela dobrovolné a osoby, které se rozhodnou takovou aplikaci nepoužívat, nesmějí být nijak penalizovány. Sbor je toho názoru, že nejvhodnějším správcem takových osobních údajů jsou orgány ochrany veřejného zdraví, nicméně tím nevylučuje zapojení i jiných (např. soukromých) subjektů. V každém případě však musí jednotlivé role, úkoly a rozsah odpovědnosti v rámci takového zpracování být jasně vysvětleny uživatelům.
Účel musí být vydefinován natolik jasně, aby neumožňoval jakékoliv jiné zpracování mimo krizový management související s probíhající pandemií (zejména pak znemožnil jakékoliv další komerční zpracování nebo využití pro účely „běžného“ vymáhání práva). Na základě řádně vydefinovaného účelu jsou pak stanoveny další náležitosti zpracování, jako je rozsah nebo délka doby zpracování. Zásadním aspektem zpracování je dodržení záměrné a standardní ochrany osobních údajů a princip minimalizace. To znamená, že trasovací aplikace nemají fungovat na principu sledování polohy uživatele, nýbrž mají využívat údaje o přiblížení nebo setkání konkrétních uživatelů („proximity data“). Trasovací aplikace by také měly fungovat bez přímé identifikace konkrétních osob. Sesbíraná data by měla zůstávat na koncovém zařízení uživatele a pouze relevantní údaje by měly být staženy, pokud je to absolutně nezbytné.
Sbor podotýká, že vhodným právním základem se v tomto případě jeví být provádění úkolu ve veřejném zájmu nebo při výkonu veřejné moci ve smyslu čl. 6 odst. 1 písm. e) GDPR. Z tohoto hlediska je však potřeba upozornit, že právním základem není samotné ustanovení GDPR (jak bývá někdy mylně chápáno). Právním základem je to, na co předmětné ustanovení GDPR odkazuje, tj. „provádění úkolu ve veřejném zájmu nebo výkon veřejné moci“. Z toho v tomto konkrétním případě plyne, že výkon veřejné moci nebo provádění úkolu ve veřejném zájmu, na němž má být založeno příslušné zpracování osobních údajů, musí mít oporu v zákoně, resp. musí být zákonem jasně vymezeno, jaké osobní údaje, za jakým účelem, kdo a v jakém rozsahu smí zpracovávat (argument čl. 2 odst. 3 Ústavy ČR a čl. 2 odst. 2, resp. čl. 4 Listiny základních práv a svobod). Pro účely epidemiologického trasování a souvisejícího zpracování osobních údajů však český právní řád taková ustanovení jednoduše neobsahuje a jak už jsme před časem poukázali, ani opatření přijímaná podle krizové legislativy takovou možnost neskýtají. Domníváme se navíc, že na této úvaze by nic nezměnilo, ani kdyby zpracování bylo založeno na jiném právním základu, např. na souhlasu, neboť takovou autonomii můžeme připustit sice ve vztahu k soukromým subjektům (ať se dohodnou, na čem chtějí), ovšem ve vztahu k veřejným institucím narážíme na ústavní principy výkonu veřejné moci pouze na základě a v mezích zákona. Sbor navíc požaduje, aby takovýto právní základ obsahoval smysluplné záruky, kterými má být zejména jasná specifikace účelu, limitace dalšího užití dat, jasné vymezení správce případně dalších osob, jež budou mít k údajům přístup a odpovědnosti včetně zmínění dobrovolnosti účasti. Jenou ze záruk je také stanovení přesných kritérií, za kterých bude od užívání aplikace upuštěno a určení osoby, která bude odpovědná za takové rozhodnutí. Tyto záruky současnou českou legislativou podle našeho názoru jednoznačně nejsou dány (uvědomme si, že vládním opatřením by sice takové záruky bylo možné stanovit, ale stejně jednoduše by je bylo možné měnit, a proto by zde měla být uplatněna jednoznačně výhrada zákona). Dle názoru Sboru je také nezbytné před implementací takovéhoto nástroje provést posouzení vlivu na ochranu osobních údajů, jelikož související zpracování zahrnující zpracování osobních údajů o zdravotním stavu, rozsáhlý sběr dat, systematické monitorování a používání nových technických nástrojů může představovat vysoké riziko pro práva a svobody subjektů údajů.
Sbor ve vodítkách uvádí také doporučení a funkční požadavky na aplikace, které jsou dle jeho názoru nezbytné z hlediska minimalizace souvisejících rizik a dosažení souladu se základními principy ochrany osobních údajů. Zejména od samotného počátku vývoje trasovací nebo obdobné aplikace musí být do jakýchkoliv úvah zahrnuto hodnocení, jaké dané řešení bude mít vliv na soukromí uživatelů a jejich práva. Jakákoliv data, která mají být aplikací odesílána, mají být vybavena unikátními a pseudonymní identifikátory. Tyto identifikátory by pak měly být pravidelně obnovovány. Jakýkoliv server, na kterém mají být centrálně uchovávány údaje z trasovacího systému, musí uchovávat pouze historii kontaktů nebo pseudonymní identifikátory osoby, která byla pozitivně identifikována jako infikovaná na základě lékařského vyšetření. To navíc pouze po dobu nezbytnou k poskytnutí informace o expozici viru osobám, které s infikovaným jedincem přišly do kontaktu. Správce by se v žádném případě neměl snažit o identifikaci konkrétních nakažených. Data by měla být kryptograficky chráněna technikami na úrovni state-of-the-art, tedy nejlepšími dostupnými prostředky, a to jak na serveru, tak v aplikaci, tak v rámci komunikace mezi vzdáleným serverem a aplikací. Identifikace osoby v aplikaci coby COVID-19 pozitivní musí být podmíněno mechanismem důvěryhodné autentizace jako např. kódem na jedno použití vázaným na pseudonymizovanou identitu infikované osoby a konkrétního poskytovatele zdravotních služeb, který testování provedl. V neposlední řadě všechny zúčastněné osoby, ale zejména orgány ochrany veřejného zdraví by pak měly dbát na řádnou distribuci správného odkazu na stažení aplikace, aby se zabránilo šíření podvržených odkazů na aplikace třetích stran.
Ve snaze, aby vodítka Sboru nebyla pouze rétorickým cvičením, obsahují také praktickou přílohu, která shrnuje zásadní principy, na jejichž základě má zpracování osobních údajů v tomto kontextu stát a zejména poskytuje velmi přehlednou tabulku, pomocí které jsou vydefinovány základní funkční parametry a charakteristiky trasovacích aplikací. Jde o základní pojmy, všeobecné předpoklady užití aplikací, povolené účely, základní funkční charakteristiky, rozsah zpracovávaných dat, technické vlastnosti aplikace, bezpečnostní požadavky a specifické požadavky z hlediska ochrany osobních údajů. Vodítka jsou tak díky této příloze dle našeho názoru nápomocná i přímo vývojovým týmům případně dalším osobám implementujícími tyto systémy do praxe.
