Krízové opatrenia COVID-19 v oblasti pracovného práva a výber opatrení vo finančnej oblasti
3.5.2020
Nové výzvy ochrany osobných údajov prostredníctvom objektívu COVID-19[1]
New data protection challenges through the lens of COVID-19
JUDr. PhDr. Lilla Garayová, PhD.
Paneurópska vysoká škola
Fakulta práva
Ústav medzinárodného a európskeho práva
E-mail: lilla.garayova@paneurouni.com
Kľúčové slová:
ochrana osobných údajov, GDPR, koronavírus, súkromie
Key words:
data protection laws, GDPR, coronavirus, privacy
Abstrakt:
Od prijatia GDPR Európa hrdo tvrdí, že má najsilnejšie právne predpisy na ochranu údajov na celom svete. Chaos vyvolaný COVID-19 sa však ukazuje ako záťažová skúška pre modernú správu štátu. Vírus odhalil nielen slabiny našej imunity, ale aj zlomové línie GDPR.[2]
Abstract/Summary:
For the longest time Europe has been proudly claiming to have the strongest data protection legislation worldwide. The chaos created by Covid-19 is however proving to be a stress test for modern governance. The virus has exposed not only the weaknesses of our immunity, but also the fault lines of our data protection legislation.
Úvod
Pandémia Covid-19 mala obrovský vplyv na spôsob, akým si predstavujeme svoje súkromie a dôležitosť, ktorú prikladáme ochrane našich osobných údajov. V priebehu iba niekoľkých mesiacov zmenila pandémia Covid-19 spôsoby našej práce, socializácie a myslenia, ktoré majú dopad na takmer všetky aspekty našej ekonomiky, spoločnosti a duševného zdravia. To, čo si predstavujeme pod pojmom súkromie, a dôležitosť, ktorú sme priznávali ochrane našich osobných údajov, bola tiež výrazne ovplyvnená v roku 2020 práve v dôsledku pandémie. Dostala sa do popredia úloha vlád, aby našli rovnováhu medzi ochranou zdravia a súkromia. Je dôležite, aby sme využili tieto kritické udalosti aj na to, aby sme sa venovali otázke ako je možné zachovať najvyššie štandardy v oblasti ochrany súkromia a osobných údajov aj za výnimočných okolností. Koronakríza priniesla potrebu pracovať s novými technológiami v záujme prevencie nákazy, no všetky opatrenia proti koronavírusu majú byť prijaté tak, aby mali čo najmenší dopad na súkromie. Ochrana údajov pritom nemôže brániť boju proti pandémii ochorenia Covid-19. Nariadenie GDPR ostáva v platnosti a umožňuje účinne bojovať s pandémiou a súčasne chrániť základné práva a slobody. Aj keď je nevyhnutné objasniť, že ochrana osobných údajov nemôže byť v žiadnom prípade prekážkou pri záchrane ľudských životov, je rovnako dôležité opätovne zdôrazniť, že výkon ľudských práv, najmä práv na súkromie a na ochranu údajov, sú stále uplatniteľné. Zásady ochrany údajov umožňujú patrične vyvážiť príslušné záujmy.
Právo na súkromie ako základné ľudské právo
Právo na súkromie a právo na ochranu osobných údajov sú základné ľudské práva, a preto sú ako také chránené aj rôznymi legislatívnymi prostriedkami. Zaraďujeme ich medzi relatívne práva, nie absolútne. Absolútne práva sú tie ľudské práva, ktoré sú neobmedziteľné a ktoré nemôžu byť porušené ani v kritických situáciách, ako je napríklad boj proti terorizmu, alebo bezpečnosť štátu. Podľa filozofickej tradície právo je absolútne, ak prevažuje nad každým iným prvkom – teda aj nad inými ľudskými právami. V prípade relatívnych práv, ako sú napríklad právo na súkromie alebo právo na ochranu osobných údajov, už poznáme proporcionálne obmedzenia.[3]
Zmieňuje sa o tom i Všeobecné nariadenie o ochrane údajov Európskej únie (ďalej len „GDPR alebo nariadenie“), podľa ktorého:
„Právo na ochranu osobných údajov nie je absolútne právo; musí sa posudzovať vo vzťahu k jeho funkcii v spoločnosti a musí byť vyvážené s ostatnými základnými právami, a to v súlade so zásadou proporcionality.“[4]
Núdzové stavy, národné záujmy a výnimočné okolnosti umožňujú dočasné obmedzenie základných práv, ako je právo na súkromie. Pandémia Covid-19 je okolnosťou, ktorá viedla krajiny na celom svete k vyhláseniu výnimočných stavov. Rôzne legislatívne nástroje upravujú možnosti obmedzenia práva na súkromie a práva na ochranu osobných údajov.
Článok 52 Charty základných práv Európskej únie ustanovuje rozsah pôsobnosti práv a zásad Charty a upravuje pravidlá na ich výklad. Odsek 1 ustanovuje, že obmedziť výkon práv a slobôd uznaných v Charte je možné, iba ak skutočne zodpovedajú cieľom všeobecného záujmu. Odsek 1 ustanovuje režim obmedzenia práv a jeho formulácia vychádza z judikatúry Súdneho dvora.[5] Podľa tohto obmedzenia nemôžu vytvoriť neprimerané a neodôvodnené prekážky podkopávajúce samotnú podstatu týchto práv.
„Akékoľvek obmedzenie výkonu práv a slobôd uznaných v tejto charte musí byť ustanovené zákonom a rešpektovať podstatu týchto práv a slobôd. Za predpokladu dodržiavania zásady proporcionality možno tieto práva a slobody obmedziť len vtedy, ak je to nevyhnutné a skutočne to zodpovedá cieľom všeobecného záujmu, ktoré sú uznané Úniou, alebo ak je to potrebné na ochranu práv a slobôd iných.“[6]
Čl. 8 ods. 2 Európskeho dohovoru o ľudských právach vymenúva legitímne ciele, ktoré môžu odôvodniť porušenie práva na rešpektovanie súkromného a rodinného života.
„Štátny orgán nemôže do výkonu tohto práva zasahovať s výnimkou prípadov, keď je to v súlade so zákonom a nevyhnutné v demokratickej spoločnosti v záujme národnej bezpečnosti, verejnej bezpečnosti, hospodárskeho blahobytu krajiny, predchádzania nepokojom alebo zločinnosti, ochrany zdravia alebo morálky alebo na ochranu práv a slobôd iných.“[7]
Tieto úvahy ďalej dopĺňa Všeobecné nariadenie o ochrane údajov Európskej únie. Čl. 23 ods. 1 GDPR umožňuje členským štátom obmedziť práva dotknutých osôb, ako aj zásady ochrany údajov uvedené v čl. 5 GDPR, „pokiaľ takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť národnú bezpečnosť; obranu; verejnú bezpečnosť; predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie alebo výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzanie; iné dôležité ciele všeobecného verejného záujmu Únie alebo členského štátu, najmä predmet dôležitého hospodárskeho alebo finančného záujmu Únie alebo členského štátu vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia a sociálneho zabezpečenia...“[8]
Nový pohľad na ochranu osobných údajov prostredníctvom objektívu
Covid-19
Normy ochrany súkromia a osobných údajov v Európe boli za posledných 50 rokov predmetom veľmi výraznej harmonizácie. V širšej Európe je všetkých 47 krajín Rady Európy zmluvnou stranou Dohovoru o ochrane jednotlivcov pri automatickom spracovaní osobných údajov (Dohovor 108). Bol otvorený aj pre štáty, ktoré nie sú členmi Rady Európy. Dohovor 108 od zmluvných strán vyžaduje, aby vo svojich vnútroštátnych právnych predpisoch prijali potrebné opatrenia na uplatňovanie zásad, ktoré Dohovor stanovuje, s cieľom zabezpečiť rešpektovanie základných ľudských práv všetkých osôb v súvislosti so spracúvaním osobných údajov na svojom území. Aj keď základné princípy obsiahnuté v Dohovore 108 vďaka technologicky neutrálnemu prístupu obstáli v skúške časom, Rada Európy považovala za potrebné modernizovať tento právny nástroj. Dohovor bol aktualizovaný v roku 2018 (teraz známy ako Dohovor 108+) s ohľadom na súčasné výzvy a všetky štáty Rady Európy ho podpísali. Modernizácia bola potrebná, najmä aby vyriešila nové výzvy vyplývajúce z využívania nových informačných a komunikačných technológií. Európska únia aktualizovala svoje právne predpisy o ochrane údajov v roku 2016 Všeobecným nariadením o ochrane údajov (GDPR). Všeobecne sa uznáva, že nariadenie stanovilo zlatý štandard ochrany údajov. Zákonodarcovia EÚ aj Rady Európy si pri aktualizácii svojich opatrení boli dobre vedomí výziev technologického rozvoja v oblasti práv jednotlivcov. Všetky tieto opatrenia preto boli prijaté s cieľom zabezpečiť správnu rovnováhu medzi právami dotknutých osôb a inými štátnymi záujmami pri spracúvaní osobných údajov. V čase pandémie sa však niektorí aktéri snažia zmeniť pravidlá a prepísať podmienky, za ktorých majú prístup k osobným údajom a zásady ich spracúvania.
Pandémia, ako je koronavírus v roku 2020, predstavuje výnimočnú situáciu, v ktorej je spracovanie osobných údajov nevyhnutné na to, aby sa mohli prijať príslušné opatrenia na zabránenie šíreniu vírusu a následné zmiernenie jeho účinkov.
Vznikla zvýšená potreba spracovania osobných údajov, aby štáty mohli zistiť, či jednotlivec navštívil postihnutú oblasť, alebo sa stretol s nakazeným človekom. Týka sa to okrem bežných osobných údajov (ako meno, priezvisko, pracovisko, adresa, cestovné informácie) aj osobitných kategórií osobných údajov (ako napríklad zdravotné údaje vrátane výsledkov diagnostických testov).
Podľa európskych regionálnych rámcov ochrany údajov je spracovanie osobných údajov, ktoré identifikujú jednotlivca alebo umožňujú jeho identifikáciu, povolené za predpokladu, že sú dodržané určité zásady: zákonnosť, spravodlivosť a transparentnosť, obmedzenie účelu, minimalizácia údajov, presnosť, obmedzenie úložiska, integrita, dôvernosť, a zodpovednosť.
Samozrejme, aj v prípade núdzového stavu sa vzťahujú na spracovanie osobných údajov štandardné pravidlá ochrany osobných údajov, ako napríklad zásada zákonnosti. Zákonnosť môžeme označiť za jeden z najdôležitejších zásad ochrany osobných údajov. Tento princíp vyjadruje podmienku, že spracúvanie musí byť založené na legitímnom a legálnom právnom základe. Nariadenie taxatívne vymenúva podmienky, za ktorých je spracúvanie zákonné. Z hľadiska koronavírusu najdôležitejšie podmienky sú obsiahnuté v čl. 6 ods. 1 písm. d) a e), podľa ktorých:
„d) spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby;
e) spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.“[9]
Pojmy, ako „životne dôležité záujmy“ alebo „verejný záujem“, s ktorými Nariadenie operuje v článku 6, sa môžu zdať na prvý pohľad vágne, inde však už nájdeme konkrétnejšie vysvetlenie priamo v Nariadení, podľa ktorého: „Niektoré typy spracúvania môžu slúžiť na dôležité účely verejného záujmu aj životne dôležité záujmy dotknutej osoby, napríklad ak je spracúvanie nevyhnutné na humanitárne účely vrátane monitorovania epidémií a ich šírenia alebo v humanitárnych núdzových situáciách, najmä v prípade prírodných katastrof a katastrof spôsobených ľudskou činnosťou.“[10] Spracovanie musí dosiahnuť hranicu „nevyhnutnosti“, to znamená, že spracovanie musí byť proporcionálne na dosiahnutie cieľa a výsledok spracovania nemožno dosiahnuť menej rušivým spôsobom. Ani jeden z týchto právnych dôvodov neumožňuje spracúvať údaje na neobmedzené obdobie. Spracovanie z týchto dôvodov je povolené, pokiaľ existujú dôvody na ochranu životne dôležitých a / alebo verejných záujmov. Napríklad, keď prestane existovať hrozba šírenia vírusu, zanikne aj dôvod verejného záujmu na spracovanie údajov.
Pokiaľ ide o zdravotné údaje, právny základ pre spracovanie nájdeme v čl. 9 ods. 2 GDPR a ďalšie usmernenia poskytujú odôvodnenia 52 a 54 GDPR. Podľa Nariadenia, spracúvanie osobitných kategórií osobných údajov je povolené, ak je to potrebné z dôvodov verejného záujmu v oblasti verejného zdravia, napríklad z dôvodu ochrany pred vážnymi cezhraničnými hrozbami pre zdravie alebo na účely zdravotnej bezpečnosti, monitorovania a varovania, prevencie alebo kontroly prenosných chorôb a iných závažných hrozieb pre zdravie. Takéto spracúvanie by malo podliehať vhodným a konkrétnym opatreniam na ochranu práv a slobôd fyzických osôb.[11]
Európsky regulačný rámec pre ochranu údajov je založený na predpoklade, že určité typy údajov si vyžadujú prísnejšiu ochranu ako iné typy údajov, pretože ich spracovanie by mohlo viesť k vyšším rizikám ochrany súkromia a bezpečnosti. GDPR aj Dohovor 108+ zaobchádzajú s genetickými a biometrickými údajmi a údajmi o zdravotnom stave jednotlivcov ako s „citlivými údajmi“ (článok 9 ods. 1 GDPR; článok 6 dohovoru 108+). Európsky súd pre ľudské práva potvrdil, že údaje o zdraví musia podliehať prísnejším zárukám ako údaje, ktoré nie sú citlivé.[12] Spracovanie tejto osobitnej kategórie údajov je zakázané, pokiaľ sa nevykonáva na konkrétne účely a za určitých podmienok. Podľa GDPR nemožno citlivé údaje spracúvať, pokiaľ s tým dotknutá osoba výslovne nesúhlasí alebo ak to nie je založené na iných vhodných právnych základoch. Tu vyniká niekoľko právnych dôvodov, pre ktoré je povolené spracovanie citlivých údajov. Podľa článku 9 ods. 2 písm. h) Nariadenia, citlivé údaje možno spracovať, ak je to potrebné z dôvodov zdravotnej starostlivosti („na účely preventívneho alebo pracovného lekárstva, posúdenia pracovnej spôsobilosti zamestnanca, lekárskej diagnózy, poskytovania zdravotnej alebo sociálnej starostlivosti alebo liečby, alebo riadenia systémov a služieb zdravotnej alebo sociálnej starostlivosti na základe práva Únie alebo práva členského štátu alebo podľa zmluvy so zdravotníckym pracovníkom, a podlieha podmienkam a zárukám uvedeným v odseku 3“).[13] Tento právny základ sa spravidla týka spracovania údajov vykonávaných za účelom poskytovania zdravotných služieb, ako sú hospitalizácie a ďalšie súvisiace administratívne účely. V súvislosti s pandémiou Covid-19 sa to týka spracovania citlivých údajov na lekársku diagnostiku vrátane testovania, plánovania a prevádzky zdravotníckych služieb.
Ďalším právnym základom spracovania citlivých osobných údajov uvádza článok 9 ods. 2 písm. i) Nariadenia, podľa ktorého spracúvanie je nevyhnutné z dôvodov verejného záujmu v oblasti verejného zdravia, ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti a liekov alebo zdravotníckych pomôcok.[14] Tento právny základ pokrýva širšie otázky verejného zdravia, ako je prideľovanie zdrojov a potreby zdravotnej starostlivosti.
Nariadenie GDPR takisto umožňuje spracovanie citlivých údajov na lekársky výskum, ak je to povolené zákonom, ktorý dodržiava zásadu proporcionality, rešpektuje podstatu práva na ochranu osobných údajov a poskytuje konkrétne záruky ochrany základných práv .jednotlivcov. Tento právny základ je významný pre spracovanie citlivých údajov pri vykonávaní všeobecného lekárskeho výskumu o pandémii Covid-19.[15]
Dohovor 108+ zakazuje spracovanie citlivých údajov, pokiaľ nie je založené na zákone, ktorý poskytuje príslušné záruky, ktoré dopĺňajú záruky ochrany údajov zakotvené v dohovore (článok 6 Dohovoru 108+). Odporúčanie Rady Európy o ochrane údajov o zdravotnom stave síce nie je záväzné, poskytuje však rámec, ktorý by mali štáty Rady Európy implementovať do svojich vnútroštátnych právnych predpisov. Poskytuje právne základy, na základe ktorých je možné spracovávať údaje týkajúce sa zdravia a predstavuje postupy zdieľania citlivých údajov medzi zdravotníckymi pracovníkmi navzájom a medzi zdravotníckymi a inými odborníkmi.
Nedostatky regulačného rámca počas pandémie
Častým argumentom proti GDPR je, že jeho prísne pravidlá zabraňujú zhromažďovaniu a používaniu údajov a spomaľujú dátovo orientované reakcie, ako sú riešenia založené na umelej inteligencii. Tento argument nie je nový v podmienkach pandémie, dlhodobo existuje pretrvávajúci skepticizmus voči GDPR ako prekážke inovácie a ekonomického rastu. V tejto súvislosti sa vyjadril aj predseda Európskeho výboru pre ochranu údajov (EDPB), podľa ktorého tieto zásady nepredstavujú prekážku v boji proti šíreniu vírusu. GDPR nezakazuje zhromažďovanie a spracovanie údajov, ale povoľuje ich, ak sú splnené určité zásady. Robí tak s cieľom zabezpečiť rešpektovanie integrity, dôstojnosti a základných práv jednotlivcov, ako je právo na súkromie.
Pandémia Covid-19 vyústila do bezprecedentného narušenia sociálnych a ekonomických štruktúr na celom svete. Väčšina vlád, ktoré bojujú proti neviditeľnému nepriateľovi, vírusu, zaviedla drastické opatrenia na potlačenie jeho šírenia a vyrovnanie pandemickej krivky. Pandémia poskytuje vládam morálnu licenciu na prijatie mimoriadnych opatrení, ako sú cestovné obmedzenia, zákazy verejných zhromaždení, zatvorenie podnikov mimo kritickej infraštruktúry a prechod na prácu na diaľku. Obzvlášť pozoruhodnou charakteristikou pandémie Covid-19 bolo rýchle nasadenie nových digitálnych technológií, ako sú napríklad aplikácie na sledovanie kontaktov.
Vlády, súkromné spoločnosti a verejné orgány sa tradične spoločne podieľajú na formovaní noriem pre digitálny dohľad v Európe. Počas pandémie Covid-19 boli digitálne technológie nasadené ad hoc bez náležitého posúdenia ich vplyvu, bez konzultácie so zainteresovanými stranami alebo bez hlbšieho hodnotenia. Pretože mnohé z týchto digitálnych technológií sú náročné na dáta a generujú obrovské množstvo dôverných biometrických a lokalizačných údajov boli vznesené obavy z ich vplyvu na súkromie a ochranu osobných údajov.
Obavy sa sústreďujú na to, že pandémia by sa mohla zneužiť ako príležitosť na normalizáciu vládneho sledovania. Tieto obavy sú oprávnené, pretože núdzové stavy majú často za následok zvýšený dohľad a obchádzanie práv jednotlivca. Nasadzovanie nových aplikácií a intenzívnejšie využívanie existujúcich technológií na boj proti pandémii Covid-19 sa nevyskytujú v regulačnom vákuu, a preto dodržiavanie právnych predpisov o ochrane údajov, najmä Nariadenia GDPR je kľúčom k úspešnému nasadeniu a prijatiu týchto technológií. Všeobecné zásady ochrany údajov, ako sú zásada proporcionality, zásada zákonnosti a zásada transparentnosti, pripravujú pôdu pre súlad aplikácií na sledovanie kontaktov s právnymi predpismi o ochrane údajov. Tieto zásady vyžadujú, aby vývojári nových alebo existujúcich technológií ich implementovali od začiatku s ohľadom na ochranu súkromia a zabezpečili, aby sa nespracovalo viac osobných údajov, ako je nevyhnutné na vysledovanie kontaktu s osobou infikovanou vírusom Covid-19, takisto, že údaje sa nepoužívajú na iné účely ako na obmedzenie šírenia Covid-19 a že použitie akýchkoľvek údajov zhromaždených pomocou týchto nových a inovatívnych technológií je pre používateľov transparentné.[16]
Akcelerácia je kľúčovým aspektom moderny a zvýšená rýchlosť technologických inovácií a procesov, ide ruka v ruke so sociálnymi zmenami. Takéto zrýchlenie je viditeľné najmä v technologickom priemysle, kde rýchlosť predstavuje dôležitú súčasť obchodného modelu, a to tak medzi veľkými technologickými spoločnosťami, ako aj medzi startupmi. Rýchla inovácia je v kríze obzvlášť dôležitá, a to nielen preto, aby spoločnosti mohli využívať trhové výhody, ale aj preto, aby bolo možné rozvinúť riešenia na zachovanie života, spoločnosti a hospodárstva tam, kde je to potrebné. Vlády na celom svete čelia kritike za to, že konajú príliš pomaly a stojí to životy. Neustála aktualizácia štatistík smrti Covid-19 online, ponúka strohú pripomienku, že v kríze sa nikdy nemôže stať nič dostatočne rýchlo. Spoločenská obava o rýchlosť reakcie a rýchle kroky na riešenie niektorých z najväčších svetových výziev rastie. Prudký pokrok v inováciách má však svoje vlastné problémy. Niekedy je potrebné vzdať sa vysokých regulačných štandardov, aby sme rýchlo reagovali na nové naliehavé požiadavky, je to tak aj v prípade pandémie.
Medzi krajinami Európskeho hospodárskeho priestoru (EHP) existuje veľká rôznorodosť, pokiaľ ide o to, či a ako využívajú tieto ustanovenia GDPR. Napríklad, pokiaľ ide o implementáciu článku 9 ods. 2 písm. j), Spojené kráľovstvo a Holandsko[17] obmedzili okrem iného aj uplatňovanie týchto ustanovení na výskum vo verejnom záujme, Švédsko vyžaduje súhlas a Fínsko stanovilo definované požiadavky na technické záruky. GDPR ďalej udeľuje členským štátom právomoci prijímať ďalšie obmedzenia týkajúce sa spracovania zdravotných a genetických údajov, čím sa zvyšuje pravdepodobnosť rozdielov medzi štátmi. Niektoré krajiny dokonca prijali samostatné pravidlá pre zdravotné údaje na jednej strane a pre genetické údaje na druhej strane. Napríklad Írsko opätovne zaviedlo výslovný súhlas ako nevyhnutnú podmienku[18].
V dôsledku tohto heterogénneho prístupu sa v celej Európe vytvorila neprehľadná škála ustanovení o spracovaní osobných údajov pre pandemický výskum. Tento neharmonický sortiment rôznych riešení nie je nápomocný tam, kde je potrebné globálne cezhraničné zdieľanie a včasné riešenia. To dokazujú aj usmernenia EDPB týkajúce sa Covid-19 a výskumu. Odporúčania zostávajú na všeobecnej úrovni a odkazujú na riešenia členských štátov bez ďalšej diskusie o súvislostiach a požiadavkách pandémie.
V prípade skutočne globálnej pandémie existuje jasná potreba spolupráce výskumných pracovníkov a rýchleho medzinárodného zdieľania údajov. Kapitola V GDPR ukladá obmedzenia týkajúce sa prenosu osobných údajov mimo EHP, ktorých cieľom je zabezpečiť, aby sa na osobné údaje Európanov vzťahovala v zásade rovnaká úroveň ochrany, keď sa zasielajú do iných krajín.
Pandémia však môže v konkrétnych situáciách odôvodniť spoliehanie sa na výnimky. Cezhraničné prevody je možné legitimovať výslovným súhlasom podľa článku 49 ods. 1 písm. a); musia sa však prekonať isté praktické prekážky. Dotknutá osoba musí byť napríklad informovaná o konkrétnych predpokladaných prenosoch; nie je preto možné, aby dotknutá osoba dala plošný súhlas s akýmikoľvek budúcimi nešpecifikovanými prenosmi mimo EHP. Výslovný súhlas je vhodný iba v určitých situáciách, napríklad pre súkromné subjekty vykonávajúce výskum Covid-19, neposkytuje však žiadne ďalšie usmernenie.
V prípade akútnej pandemickej situácie by vhodnejšie riešenie mohli poskytnúť prevody potrebné z dôvodov verejného záujmu, najmä preto, že cezhraničná výskumná spolupráca je dôležitým aspektom v boji proti pandémii.[19]
EDPB uznáva význam medzinárodných prevodov pre pandemický výskum, aj keď len polovičato („prevody sú pravdepodobne potrebné“).[20] EDPB tiež navrhuje, aby na uskutočnenie týchto prevodov stačili existujúce ustanovenia nariadenia GDPR. Vzhľadom na to, že európska výskumná komunita stále čaká na vývoj riešení na zdieľanie medzinárodných výskumných údajov mimo pandemického kontextu, zostáva nedostatok jasného postupu vážnym problémom.
Ďalšia prekážka sa vytvára prostredníctvom prísnych povinností poskytnúť informácie, ktoré majú výskumné inštitúcie voči subjektom podľa GDPR. Pred zhromaždením údajov musia byť dotknutej osobe poskytnuté rozsiahle informácie o použití údajov vrátane informácií o právnom základe pre spracovanie a zámere preniesť osobné údaje do tretích krajín. Existujú iba menšie výnimky z tejto požiadavky. Výnimky sa týkajú najmä prípadov, keď sa údaje nezískavajú priamo od dotknutej osoby. Do tejto výnimky môže spadať výskum Covid-19 zahŕňajúci sekundárne použitie údajov zhromaždených počas starostlivosti o vážne chorých pacientov. Ak by informovanie subjektu takéhoto výskumu nebolo možné alebo by vyžadovalo neprimerané úsilie, možno všeobecné informácie zdieľať na webovej stránke alebo vo verejných oznámeniach. Aj v prípade sekundárneho použitia údajov zhromaždených v zdravotníctve by však pôvodný poskytovateľ zdravotnej starostlivosti bol stále povinný informovať dotknutú osobu o zdieľaní údajov na ďalšie spracovanie v kontexte výskumu.
Kritiky týkajúce sa implementácie týchto požiadaviek sú rôznorodé, ale najčastejšie: poskytnutie ďalších informácií v klinickom kontexte počas stavu núdze, u mnohých pacientov vo vážnom stave choroby a s dýchacími problémami, nemusí byť uskutočniteľné.
Mnoho krajín v EHP poskytuje možnosť, že v núdzových situáciách môže vláda prijať zákony na riešenie krízy, ako je pandémia. Tieto ustanovenia môžu obmedziť práva občanov vrátane ich práv na ochranu osobných údajov, ako to predpokladá samotné nariadenie GDPR. V prípade pandémie sa tieto nariadenia môžu odchýliť od práv dotknutých osôb a poskytnúť právny základ pre spracovanie nad rámec existujúceho právneho rámca. Tieto núdzové právomoci stále sledujú zásady ochrany osobných údajov – teda prijaté opatrenia musia byť nevyhnutné, vhodné a primerané sledovanému cieľu. Opatrenia vykonávané na základe núdzových situácií by sa mali striktne obmedziť na trvanie núdzovej situácie. Aby sa navyše dalo spoľahnúť na tieto právomoci v oblasti výskumu, musí existovať úzka a bezprostredná súvislosť medzi uskutočňovaným výskumom a reakciou na pandémiu.
Núdzová legislatíva s osobitnými ustanoveniami pre výskum bola predstavená v Taliansku, kde sa za určitých okolností možno zbaviť povinnosti predchádzajúcej konzultácie s úradom na ochranu osobných údajov, ak nie je možné získať súhlas[21]. Táto požiadavka je zjavne neprimeraná za normálnych okolností; avšak aj za súčasného stavu krízy Covid-19 je použiteľná iba na klinické skúšky, pozorovacie štúdie liekov a súcitné terapeutické použitie, ktoré je nevyhnutné pre boj s touto chorobou, ako aj pre výskumné projekty ústavov Covid-19. Talianska výnimka demonštruje, ako súčasná pandémia odhaľuje nedostatky v právnych predpisoch na ochranu údajov pre výskum a ako možno núdzové predpisy použiť ako rýchly, aj keď dočasný prostriedok nápravy.
Záver
GDPR predpokladá mechanizmy, ktoré umožňujú výskum v pandémii, medzi ktoré patrí spracovanie citlivých údajov zraniteľných osôb, potreba rýchlej akcie a globálne zdieľanie údajov. Tieto mechanizmy však vo veľkej miere závisia od vnútroštátnej implementácie. Rozdiely medzi implementáciami jednotlivých štátov bránia koordinovanej reakcii globálneho výskumu v boji proti Covid-19. Bez právnej istoty európskych a vnútroštátnych zákonodarcov bude pravdepodobne potrebné, aby výskumné inštitúcie konali na základe svojich najlepších interpretácií súčasných regulačných rámcov. Mnohým zákonodarcom a orgánom na ochranu údajov stále chýba hlbšie pochopenie potrieb zdravotného výskumu. Ak sa poučia z krízy Covid-19, mali by vyvinúť operačný rámec, ktorý je primeraný potrebám globálneho výskumu v čase pandémie a poskytuje výskumným pracovníkom právnu istotu, aby mohli konať. Umožnilo by to výskumníkom bojovať nielen s budúcimi pandémiami, ale aj s ostatnými naliehavými prioritami v oblasti verejného zdravia.
Zoznam prameňov:
[1]) Táto práca bola podporovaná Agentúrou na podporu výskumu a vývoja na základe Zmluvy č. APVV-16-0521.
[2]) Táto práca bola podporovaná Agentúrou na podporu výskumu a vývoja na základe Zmluvy č. APVV-16-0521.
[3]) Wenar, Leif, „Rights”, The Stanford Encyclopedia of Philosophy (Spring 2020 Edition), Edward N. Zalta (ed.), Dostupné online: https://plato.stanford.edu/archives/spr2020/entries/rights 30.11.2020
[4]) NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[5]) Rozsudok z 13. apríla 2000 vo veci C-292/97
[6]) Článok 52 Charty základných práv Európskej únie
[7]) Čl. 8 ods. 2 Európskeho dohovoru o ľudských právach
[8]) NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[9]) NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[10]) Tamtiež.
[11]) VENTRELLA, E. Privacy in emergency circumstances: data protection and the COVID-19 pandemic. ERA Forum 21, 379–393 (2020). Dostupné online: https://doi.org/10.1007/s12027-020-00629-3, 30.11.2020
[12]) Z. proti Fínsku z 25. 2. 1997, č. 22009/93
[13]) NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
[14]) Tamtiež.
[15]) NEWLANDS, G., LUTZ, C., TAMÒ-LARRIEUX, A., VILLARONGA, E.F., HARASGAMA, R.; SCHEITLIN, G.: Innovation under pressure: Implications for data privacy during the Covid-19 pandemic. Big Data & Society, 7(2), p.2053951720976680.
[16]) PARKER, M.J., FRASER, C., ABELER-DÖRNER, L.; BONSALL, D.: Ethics of instantaneous contact tracing using mobile phone apps in the control of the COVID-19 pandemic. Journal of Medical Ethics.
[17]) Uitvoeringswet Algemene verordening gegevensbescherming.Overheid.nl.
Dostupné online: https://wetten.overheid.nl/BWBR0040940/2019-02-19 30.11.2020
[18]) Data Protection Act 2018 (Section 36(2)) (Health Research) Regulations 2018.
Dostupné online: http://www.irishstatutebook.ie/eli/2018/si/314/made/en/pdf. 30.11.2020
[19]) MILAN, S.; TRERÉ, E., 2020. Rise of the Data Poor: The COVID-19 Pandemic Seen From the Margins. Social Media+ Society, 6(3), p.2056305120948233.
[20]) Usmernenia 3/2020 k spracúvaniu údajov týkajúcich sa zdravia na účely vedeckého výskumu v kontexte vypuknutia nákazy COVID-19
[21]) Raccolta delle principali disposizioni adottate in relazione allo stato di emergenza epidemiologica da Covid-19 aventi implicazioni in materia di protezione dei dati personali. Garante per la protezione dei dati personali. Dostupné online: https://www.garanteprivacy.it/documents/10160/ 30.11.2020
12.1.2024
12.1.2024
1.3.2022
1.3.2022
1.3.2022
1.3.2022
1.3.2022
1.3.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
25.2.2022
1.3.2022
25.2.2022
27.3.2022
16.5.2020
14.5.2020
3.5.2020
4.1.2022