Zveřejňování informací o lidech, kteří se nechali očkovat proti Covid-19, jejich veřejné pomlouvání a hanobení, je protiprávní. Nejde však o porušení osobní ochrany podle GDPR. Poškození proto mají podat žalobu nebo trestní oznámení, vzkazuje Úřad pro ochranu osobních údajů. Úřad nyní naopak řeší únik rodných čísel z rezervačního systému očkování reservatic do USA přes cookies do Google Analytics. U ostravské firmy zahájil kontrolu.
O úniku rodných čísel obyvatel České republiky do Google Analytics informoval Úřad pro ochranu osobních údajů v pondělí 1. února 2021 s tím, že ve firmě, která systém reservatic pro stát provozuje, zahajuje kontrolu, a to na základě vážného podezření o nezákonném nakládání se soukromými údaji obyvatel. Firma Reservatic s. r. o., která byla vybrána jako provozovatel státního rezervačního systému, sídlí v prostorách technické univerzity v Ostravě.
„Předmětem kontroly bude zejména posouzení oprávněnosti předávání osobních údajů (tj. zejména rodných čísel pojištěnců) do USA prostřednictvím souborů cookies (aktuálně: ads/ga-audiences, NID, _ga, _gat, _gid, collect), prověření bezpečnostních záruk takového předávání, jakož i plnění informační povinnosti při zpracovávání osobních údajů v rámci Centrálního rezervačního systému pro očkování proti COVID-19,“ uvedl v pondělí večer ÚOOÚ.
Údaje zájemců o očkování sdílela firma Google
Jak dále vyplývá z vyjádření Úřadu, ohlášení porušení zabezpečení osobních údajů obdržel Úřad už 20. ledna 2021 od Ministerstva zdravotnictví a od Národní agentury pro komunikační a informační technologie. „Údajně ,chybou při funkcionalitě rezervačního systému ´ reservatic provozovaného soukromým dodavatelem mělo dojít k zobrazení čísla pojištěnce (a tím také rodného čísla) a následnému přenosu do systému Google Analytics a sdílení se společností Google,“ uvádí doslova Úřad pro ochranu osobních údajů. Podle Úřadu už došlo k nápravě. Ohlášení i náprava jsou zákonné povinnosti každého, kdo shromažďuje osobní údaje.
„Součástí šetření Úřadu bude i ověření, zda jsou při zpracování osobních údajů dodržovány závěry vyplývající z rozhodnutí rozsudku Evropského soudního dvora ve věci C-311/18, které omezilo přenos osobních údajů mimo Evropskou unii ,“ dodává k tomu ÚOOÚ.
Soudní dvůr EU prohlásil v červenci 2020 rozhodnutí Evropské komise povolit předávat soukromá data obyvatel členských států EU do USA za neplatné, jak Česká justice informovala.
Protekce slavných a mocných u očkování
Jiný případ je opakované zveřejňování jmen lidí, kteří byli očkováni respektive publikování informací o protekčním očkování celebrit nebo politických funkcionářů a o předbíhání starých lidí 80+ mladšími bez práva být očkován proti Covid-19.
Podle Úřadu pro ochranu osobních údajů jde o nahodilé úniky, nikoli o úniky ze systematického zpracování dat. „Nicméně by naším úkolem mělo být zjišťovat v případě úniku osobních údajů, odkud k tomuto úniku došlo,“ uvedl u poslední lednový týden předseda Úřadu pro ochranu osobních údajů Jiří Kaucký.
V případě zveřejněných informací o očkování konkrétní osoby ve zdravotnickém zařízení, kdy zjevně nejde o systémové pochybení, ale o nahodilou situaci, nejde ani o porušení čl. 5 obecného nařízení (GDPR), popisujícího zásady zpracování osobních údajů, konkrétně odst. 1 písm. b) obecného nařízení, kdy osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný, stojí v informaci ÚOOÚ k tomuto způsobu zacházení s informace o lidech.
Podejte žalobu nebo trestní oznámení
„Přičemž správce osobních údajů, v tomto případě zdravotnické zařízení, podle čl. 5 odst. 2 obecného nařízení odpovídá za dodržení těchto zásad zpracování osobních údajů,“ dodává ÚOOÚ s tím, že by v těchto případech mohlo jít o porušení zákoníku práce a porušení povinnosti zachování mlčenlivosti v souvislosti se zdravotními službami. Za to podle ÚOOÚ hrozí pokuta až jeden milión korun a za určitých okolností může jít i o trestný čin. Vyšetřovat pracovně právní nebo trestní věci ale nespadá do kompetence ÚOOÚ, který se zabývá systémovým nastavením bezpečnosti osobních údajů.
Přesto Úřad dává vzkazuje těm, kteří se cítí být poškozeni: „Závěrem je nutné zdůraznit, že i když Úřad není oprávněn řešit případy ochrany osobnosti podle občanského zákoníku, zejména v souvislosti s pomluvami a uváděním nepravdivých a nesprávných informací ohledně očkovaných osob v tisku a na internetu, neznamená to, že by takové jednání nebylo protiprávní. V takových případech je ovšem nutno se obrátit přímo na provozovatele médií, případně na soud nebo na příslušný státní orgán,“ uvádí Úřad ve své zprávě. Rada tedy zní: Podejte žalobu u soudu nebo trestní oznámení u policie nebo na státním zastupitelství.
Irena Válová
