Môže štát použiť údaje od telekomunikačných operátorov na monitorovanie povinností týkajúcich sa šírenia tzv. koronavírusu? V tomto krátkom odbornom blogu sa autor zamýšľa nad aplikáciou právneho rámca spracúvania osobných údajov v prípade, ak by štát využíval údaje o polohe od telekomunikačných operátorov na akékoľvek vynucovanie povinností v súvislosti so šírením ochorenia COVID-19 v Slovenskej republike.
Takéto technológie počas pandémie boli z časti využité v Izraeli, Číne či Iráne prostredníctvom špionážnych aplikácií v mobilných telefónoch užívateľov.[1] Prirodzene, v európskej právnej kultúre stojacej na rešpektovaní základných ľudských práv a slobôd by tento prístup narazil na viaceré legislatívne úskalia. Cieľom tohto krátkeho príspevku je analyzovať platný právny rámec týkajúci sa monitorovania údajov o polohe a posúdiť jeho využiteľnosť.
Právny rámec
Na úvod je potrebné poznamenať, že aplikovateľný právny rámec je pomerne komplikovaný. Dôležitým determinantom taktiež je, či vláda SR vyhlási núdzový stav pre celé územie Slovenskej republiky.[2]
Právo na súkromie a právo na ochranu osobných údajov sú základné ľudské práva, ktoré svoj status čerpajú z medzinárodnoprávnych dokumentov (Dohovor o ochrane ľudských práv a základných slobôd alebo Charta základných práv Európskej únie) či Ústavy SR.
Základným právnym aktom týkajúcim sa spracúvania osobných údajov na úrovní EÚ je Všeobecné nariadenie na ochranu údajov (GDPR).[3] Niektoré otázky, ktoré zákonodarca nechal na úpravu v jednotlivých členských štátoch sa nachádzajú v zákone č. 18/2018 Z. z. o ochrane osobných údajov (Zákon o ochrane osobných údajov),[4] ktorý má však pomerne komplikovanú pôsobnosť a častokrát sa na spracúvanie osobných údajov nebude vzťahovať ako celok.
Zároveň je potrebné upozorniť na to, že údaje spracúvané telekomunikačnými operátormi sú v osobitnom režime v zmysle tzv. ePrivacy smernice (smernica o súkromí a elektronických komunikáciách),[5] ktorá je v podmienkach SR implementovaná v zákone č. 351/2011 Z. z. o elektronických komunikáciách (Zákon o elektronických komunikáciách). Predmetná smernica je vo vzťahu lex specialis voči GDPR a je momentálne v procese revidovania zo strany EÚ zákonodarcu, ktorý plánuje prijať ePrivacy nariadenie[6] doplňujúce GDPR. Súčasťou právneho rámca sú zároveň aj osobitné právne úpravy týkajúce sa bezpečnosti štátu v čase vojny, krízového či núdzového stavu.
Modelová situácia
Predstavme si teda nasledujúci stav. Štát sa rozhodne vyžiadať si od telekomunikačných operátorov lokalizačné údaje o jednotlivých občanov za účelom sledovania dodržiavania karantény prípadne regulovania pohybu po návrate z rizikových krajín. Telekomunikační operátori s pomocou tretej strany totiž vedia lokalizovať (i) SIM kartu prihlásenú do inej telekomunikačnej siete v zahraničí a (ii) s rôznou presnosťou užívateľa telekomunikačnej siete na území Slovenskej republiky.[7] Druhý aspekt pomohol napríklad orgánom činným v trestnom konaním pri vyšetrovaní vraždy novinára a jeho snúbenice.[8]
Podľa môjho názoru existujú tri scenáre s ohľadom na právny rámec, v ktorých by štát mohol lokalizačné údaje využívať.
Osobné a anonymizované údaje?
Samozrejme, ak by v prípade monitorovania išlo o anonymizované údaje (t.j. také, z ktorých nie je možné identifikovať dotknutú osobu ako napr. informácia, že v Bratislave sa nachádza 8000 SIM kariet, ktoré v predchádzajúcich 14 dňoch boli prihlásené do talianskej komunikačnej siete), neaplikujeme právny rámec na ochranu osobných údajov v podobe GDPR. Situácia je iná, ak by štát naozaj chcel jednotlivcov preventívne monitorovať a kontrolovať (napríklad aj prostredníctvom zasielania adresných SMS správ). V tomto prípade je potrebné poznať konkrétne telefónne čísla užívateľov telekomunikačnej siete (a ich polohu) a pôjde už o osobné údaje. Vychádzam z toho, že definícia osobných údajov je široká[9] a extenzívne býva aj vykladaná.[10] Samotným dôvodom takéhoto opatrenia v podobe monitorovania je totiž identifikácia, či už za účelom kontroly alebo uloženia potenciálnej sankcie.
GDPR predstavuje všeobecný rámec spracúvania osobných údajov. Potrebné je ale dodať, že v prípade ePrivacy smernice a jej implementácie je irelevantné, či údaje, na ktoré sa daná smernica vzťahuje sú osobné alebo nie. Zákon o elektronických komunikáciách definuje lokalizačné údaje ako „údaje spracúvané v sieti alebo prostredníctvom služby, ktoré označujú geografickú polohu koncového zariadenia užívateľa verejnej služby.“ Na aplikáciu daného právneho rámca tak nie je podstatné, či lokalizačné údaje spĺňajú definíciu osobných údajov alebo nie. Predmetný záver vychádza z rozhodnutia Súdneho dvora Európskej únie vo veci Planet49.[11]
1. Scenár: Aplikuje sa GDPR, neaplikuje sa implementácia ePrivacy smernice
Ak telekomunikační operátori spracúvajú prevádzkové či lokalizačné údaje o používateľoch telekomunikačných sietí, musia tak robiť v súlade so Zákonom o elektronických komunikáciách, ktorý napr. upravuje špecifické právne základy (dôvody) na spracúvanie daných údajov (plnenie zmluvy za účelom fakturácie). Je pravda, že na spracúvanie lokalizačných údajov poskytuje Zákon o elektronických komunikáciách jediný právny základ v podobne súhlasu.[12] Ako je však uvedené vyššie aj s ohľadom na medializované informácie, operátori môžu disponovať aj inými využiteľnými dátami, ktoré by v týchto časoch mohli štátu pomôcť.
Ak by sa tieto dáta dostali do dispozície štátu prípadne by sa ich štát rozhodol využiť a operátora by použil ako sprostredkovateľa, boli by sme podľa môjho názoru už v režime GDPR, nakoľko Zákon o elektronických komunikáciách sa vzťahuje na podniky, ktoré poskytujú elektronické komunikačné služby alebo prevádzkuje sieť. V našom scenári štát túto definíciu nenapĺňa, iba využíva údaje získané prostredníctvom takýchto podnikov. Rátame tak s tým, že samotný štát by bol prevádzkovateľom týchto údajov. Zároveň je potrebné poznamenať, že v právnom poriadku musí existovať mechanizmus na legálne vyžiadanie si týchto dát od telekomunikačných operátorov či už pôjde o orgány činné v trestnom konaní alebo iné štátne orgány. Navyše, ak by išlo o orgány činné v trestnom konaní pri plnení tzv. trestnoprávnych účeloch (účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu), na tieto orgány sa vzťahuje iný, striktnejší právny režim spracúvania osobných údajov.
Za predpokladu, že by štát musel pri využívaní týchto údajov dodržiavať GDPR, niektoré dozorné orgány v iných členských štátov už poskytli určité návody, ktoré sa dajú v priebehu epidémie použiť.[13] Napriek tomu, že tieto usmernenia sa priamo netýkajú používania údajov o polohe získaných od telekomunikačných operátorov, sú tieto krátke návody rámcovo použiteľné, nakoľko akcentujú využitie správneho právneho základu či dodržiavanie informačnej povinnosti a základných zásad spracúvania osobných údajov. Štát by tak musel o spracúvaní takýchto údajov transparentne informovať, určiť dobu uchovávania týchto údajov v súlade so zásadou minimalizácie uchovávania či nemohol by spracúvať viac údajov, ako je na dosiahnutie daného účelu potrebné.
Z hľadiska zákonnosti spracúvania a hľadania vhodného právneho základu (dôvodu) na takéto využívanie dát by podľa môjho názoru nebol súhlas používateľa potrebný a ani vhodný,[14] GDPR totiž upravuje aj právny základ v podobe verejného záujmu (a osobne si neviem predstaviť silnejší verejný záujem v rukách štátu ako prevencia zachovanie verejného zdravia svojich obyvateľov), ktorý možno oprieť o niekoľko konkrétnych ustanovení z Ústavy SR[15] či iných právnych predpisov. Navyše, GDPR v článku 9 ods. 2 upravuje aj viacero použiteľných výnimiek pre spracúvanie citlivých osobných údajov.[16] Znamená to, že GDPR poskytuje pomerne množstvo záruk, aby štát tieto údaje používal v rámci rozumných limitov.
2. Scenár: Neaplikuje sa GDPR, aplikuje sa Zákon o ochrane osobných údajov
Teoreticky do úvahy prichádza aj scenár, že GDPR bude v prípade niektorých udalostí neaplikovateľné. Opierame sa o článok 2 ods. 2 písm. a), ktorý ustanovuje, že GDPR sa prirodzene nevzťahuje na situácie, ktoré nepatria do pôsobnosti Európskej únie. Otázka, či spracúvanie osobných údajov pri záujmoch verejnej / národnej bezpečnosti jednotlivých členských štátov patrí do pôsobnosti európskych inštitúcií je skôr otázka na kolegov venujúcim sa právu EÚ. Judikatúra SDEÚ naznačuje, že aj v prípadoch vyžiadania si dát od súkromných firiem na účely štátnej bezpečnosti je nutné rešpektovať legislatívu na ochranu osobných údajov. Domnievam sa však, že túto možnosť nie je vhodné nechať bez opomenutia a odbornej diskusie.
Ak by však aj došlo k aktivácií negatívnej pôsobnosti GDPR, aplikoval by sa Zákon o ochrane osobných údajov. Vychádzame už zo spomínanej komplikovanej pôsobnosti našej právnej úpravy, ktorá sa vzťahuje aj na prípady, kde právo EÚ nemá pôsobnosť.[17] V takom prípade by bolo nutné aplikovať Zákon o ochrane osobných údajov ako celok (okrem časti, ktorá sa vzťahuje na orgány činné v trestnom konaní a iné kompetentné orgány poverené vyšetrovaním a prevenciou pri trestnej činnosti). Nakoľko náš zákon vo veľkej miere kopíruje ustanovenia GDPR, de facto sa tak nemenia závery prvého scenára.
3. Scenár: Vyhlásenie núdzového stavu a obmedzenie základných ľudských práv a slobôd
Ako už bolo uvedené v úvode predkladaného blogu, vláda SR môže vyhlásiť tzv. núdzový stav v zmysle ústavného zákona č. 227/2002 Z. z. o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu v znení neskorších ústavných zákonov. Ak by sa tak stalo, jedným z opatrení je aj obmedzenie pomerne širokého katalógu základných práv a slobôd podľa článku 5 ods. 3 predmetného právneho predpisu. V súvislosti s ochranou súkromia však je však jedinou možnou reštrikciou obmedzenie „nedotknuteľnosti osoby a jej súkromia evakuáciou na určené miesto.“ Diskutovaný článok nehovorí nič o obmedzení súkromia novými technológiami. V tomto smere vidím v danom predpise medzery, ktoré by mohli byť citlivo doplnené, prirodzene so zachovaním určitých limitov.
Podľa môjho názoru by však bolo možné využiť možnosti, ktoré ponúka článok 23 GDPR. Ten sa týka prijatia legislatívneho opatrenia, ktoré môže obmedziť rozsah konkrétnych povinností a práv ustanovených v GDPR napr. s cieľom národnej bezpečnosti, verejnej bezpečnosti či iných verejných záujmov EÚ alebo štátu. Mohlo by teda ísť aj o nariadenie vlády, ktoré by čo i len dočasne spracúvanie osobných údajov na účely prevencie verejného zdravia regulovalo počas núdzového stavu. Zároveň článok 23 GDPR upravuje konkrétne parametre, ktoré by legislatívne opatrenia malo obsahovať s cieľom ustanoviť záruky na ochranu práv a slobôd dotknutých osôb. Otázka však je, či by takýto postup bol ústavne konformný a či článok 23 GDPR predstavuje dostatočný právny základ na potenciálnu limitáciu z hľadiska nášho ústavného práva.
Dodržiavanie základných ľudských práv a slobôd
Prirodzene, takéto aktivity štátu by vzbudili pozornosť týkajúcu sa zásahov do práva na súkromie a práva na ochranu osobných údajov. Je však potrebné poznamenať, že ide o bezprecedentnú situáciu, ktorá v minulosti nenastala. Jediným prípadom zásahu do práva na súkromie, o ktorý sa môžeme oprieť je podľa môjho názoru prípad Digital Rights Ireland,[18] a základe ktorého bola zrušená smernica o uchovávaní údajov. Zjednodušene, predmetná smernica umožňovala telekomunikačným operátorom uchovávanie údajov po dobu od 6 do 12 mesiacov na účely trestného konania bez akejkoľvek selekcie osôb či primeraných záruk. Inými slovami, zbierali a spracúvali sa údaje o všetkých obyvateľov bez ohľadu na ich potenciálnu trestnú činnosť. SDEÚ v tomto prípade judikoval nesúlad danej smernice s článkami 7 a 8 Charty základných práv EÚ (právo na súkromie a právo na ochranu osobných údajov) z dôvodov nedostatočného vymedzenia zásahu štátu do týchto práv, absencie limitov prístupu k týmto údajom zo strany orgánov verejnej moci či neexistencie konkrétnych postupov na ich získanie. Toto rozhodnutie SDEÚ je tak cenným príspevkom s ohľadom do diskusie o kritériách a limitoch zásahu do základných práv a slobôd v súčasnej situácií.
Záver
V tomto krátkom blogu som sa snažil rozpliesť sieť právnych predpisov, ktoré sa vzťahujú na potenciálne monitorovanie osôb pri pandemických situáciách. Štátu sa núka viacero možností, ako by takéto monitorovanie mohla vykonávať. Alfou a omegou je však tieto zásahy do základných práv a slobôd robiť nesmierne citlivo s ohľadom na ochranu základných práv a slobôd a dodržania primeraných záruk.
Autor: JUDr. Matúš Mesarčík, LL.M , Univerzita Komenského v Bratislave, Právnická fakulta, Ústav práva informačných technológií a práva duševného vlastníctva, E-mail: matus.mesarcik@flaw.uniba.sk
[1] https://www.forbes.com/sites/zakdoffman/2020/03/14/coronavirus-spy-apps-israel-joins-iran-and-china-tracking-citizens-smartphones-to-fight-covid-19/amp/?__twitter_impression=true alebo https://www.politico.eu/article/coronavirus-tests-europe-resolve-on-privacy-tracking-apps-germany-italy/ (dostupné 16.3.2020).
[2] K tomu pozri ŠKROBÁK, J. : Správne právo v časoch pandémie koronavírusu Časť prvá: Núdzový stav(?), https://comeniusblog.flaw.uniba.sk/2020/03/15/spravne-pravo-v-casoch-pandemie-koronavirusu-cast-prva-nudzovy-stav/ (dostupné 16.3.2020).
[3] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). Ú. v. EÚ L 119, 4.5.2016, s. 1 – 88.
[4] Kedy Nariadenie a kedy zákon o ochrane osobných údajov? https://dataprotection.gov.sk/uoou/sites/default/files/kedy_zakon_kedy_nariadeniepdff.pdf (dostupné 16.3.2020).
[5] Smernica Európskeho parlamentu a Rady2002/58/ES z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách). Ú. v. ES L 201, 31.7.2002, s. 37 – 47
[6] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017PC0010 (dostupné 16.3.2020).
[7] https://zive.aktuality.sk/clanok/145828/mobilni-operatori-statu-pre-koronavirus-pomahame-no-podrobne-udaje-o-pohybe-poskytnut-nevieme/?utm_campaign=cross&utm_content=box-tech-hp&utm_medium=zona-hp&utm_source=aktuality.sk
[8] https://dennikn.sk/1715310/vrahov-kuciaka-vypatrali-aj-vdaka-googlu-facebooku-a-mobilnym-operatorom/
[9] Článok 4 bod 1 GDPR: „Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby.“
[10] Pozri napr. PURTOVA, N. : The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law, 2018 Law, Innovation and Technology 10(1).
[11] Rozsudok Súdneho dvora (druhá komora) z 1. októbra 2019, C-673/17 – Planet49.
[12] § 57 ods. 2 Zákona o elektronických komunikáciách.
[13] Napr. Data Protection and COVID-19, https://dataprotection.ie/en/news-media/blogs/data-protection-and-covid-19 (dostupné 16.3.2020).
[14] Opačný názor na https://www.euractiv.com/section/digital/news/eu-privacy-rules-no-obstacle-to-coronavirus-fight-smartphone-tracking-a-no-no/ (dostupné 16.3.2020).
[15] Napr. článok 40 Ústavy SR: „Každý má právo na ochranu zdravia. Na základe zdravotného poistenia majú občania právo na bezplatnú zdravotnú starostlivosť a na zdravotnícke pomôcky za podmienok, ktoré ustanoví zákon.“
[16] Významný verejný záujem podľa článku 9 ods. 2 písm. g) GDPR alebo ochrana verejného zdravia podľa článku 9 ods. 2 písm. i) GDPR.
[17] Pozri § 3 Zákona o ochrane osobných údajov a Kedy Nariadenie a kedy zákon o ochrane osobných údajov? https://dataprotection.gov.sk/uoou/sites/default/files/kedy_zakon_kedy_nariadeniepdff.pdf (dostupné 16.3.2020), s. 4.
[18] Rozsudok Súdneho dvora (veľká komora) z 8. apríla 2014 v spojených veciach C‑293/12 a C‑594/12 Digital Rights Ireland Ltd proti Minister for Communications, Marine and Natural Resources.