Podmienky ochrany súkromia – eKaranténa

Podmienky ochrany súkromia týkajúce sa mobilnej aplikácie „eKARANTÉNA“ (ďalej len „Aplikácia“).

Prevádzkovateľom Aplikácie spracúvajúcim Vaše osobné údaje je Úrad verejného zdravotníctva SR, so sídlom Trnavská cesta 52, 826 45 Bratislava, IČO: 00607223 (ďalej len „my“ alebo „Prevádzkovateľ“). Kontaktné údaje našej zodpovednej osoby sú:

E-mail: zodpovedna.osoba@uvzsr.sk

Korešpondenčná adresa: Úrad verejného zdravotníctva SR, zodpovedná osoba, Trnavská cesta 52, 826 45 Bratislava,

Tel.: 02 / 49 284 201

 

Pri spracúvaní osobných údajov sa riadime predovšetkým:

• všeobecným nariadením EÚ o ochrane údajov (“GDPR”), ktoré upravuje aj Vaše práva ako dotknutej osoby;
• tými ustanoveniami zákona č. 18/2018 Z.z. (ďalej len „Zákon o ochrane osobných údajov“), ktoré sa na nás vzťahujú;
• ustanovením § 55 ods. 5 zákona č. 351/2011 Z.z. (ďalej len „Zákon o elektronických komunikáciách“); a
• ustanoveniami § 60a až § 60e zákona č. 355/2007 Z.z. o ochrane, podpore a rozvoji verejného zdravia (ďalej len „Zákon o verejnom zdraví“).

Tieto podmienky ochrany súkromia sa týkajú výlučne spracúvania údajov v rámci Aplikácie. Všeobecné informácie o spracúvaní osobných údajov mimo Aplikácie nájdete na našej webstránke[1].

Ako vývojár tejto Aplikácie je v Google Play a App Store uvedené Národné centrum zdravotníckych informácií (NCZI), ktoré Aplikáciu zverejnilo a spravuje v mene Prevádzkovateľa na základe poverenia Prevádzkovatelia a osobitnej zmluvy s Prevádzkovateľom podľa čl. 28 GDPR.

Aplikácia je určená len pre osoby staršie ako 16 rokov.

Prečo používame Aplikáciu?

Aplikácia slúži na monitorovanie nariadenej izolácie v domácom prostredí tým, že upozorňuje dotknuté osoby ako aj príslušné štátne orgány na nedodržiavanie nariadenej izolácie (tzv. karanténna funkcionalita). Používanie Aplikácie v domácom prostredí predstavuje jednu z výnimiek z povinnosti absolvovať izoláciu v štátnych zariadeniach. Pri nastavení Aplikácie sme vychádzali aj z odporúčaní Komisie[2] a snažili sme sa Aplikáciu nastaviť najmenej intruzívnym spôsobom vo vzťahu k Vášmu súkromiu. Aplikácia nie je nástrojom na sledovanie občanov, ale dôležitým nástrojom v boji proti vírusu COVID-19.

Na aké účely a na základe čoho spracúvame Vaše osobné údaje?

Vaše osobné údaje spracúvame v rámci Aplikácie na účel ochrany života a zdravia v súvislosti so šírením vírusu COVID-19, tak ako je bližšie vyvetlený v § 60a a nasl. Zákona o verejnom zdraví.  Právnym základom spracúvania osobných údajov v rámci tohto hlavného účelu plnenie úlohy vo verejnom záujme podľa čl. 6 ods. 1 písm. e) GDPR, pričom v niektorých prípadoch sa zároveň spoliehame aj na Váš súhlas v zmysle čl. 6 ods. 1 písm. a) GDPR (systémové umožnenie sledovania polohy, push notifikácií alebo prístup k fotoaparátu). Na Váš súhlas sa nespoliehame, ak sa na Vás vzťahujú povinnosti podľa § 60d ods. 4 Zákona o verejnom zdraví, nakoľko v takom prípade máte povinnosť umožniť Aplikácii dané funkcie. Vo vzťahu k údajom o zdraví (t.j. informácia o infikovaní vírusom) postupujeme podľa čl. 9 ods. 2 písm. i) GDPR.

Osobné údaje spracúvané na vyššie uvedený účel Prevádzkovateľ spracúva aj na štatistické účely a účely vedeckého výskumus poukazom na § 60b ods. 2 Zákona o verejnom zdraví.

Za účelom prejednávania priestupkov môžu byť zákonom obmedzený rozsah údajov poskytnutý na ďalšie spracúvanie miestne príslušným regionálnym úradom verejného zdravotníctva, orgánom policajného zboru alebo miestnej polícii s poukazom na § 60c ods. 2 Zákona o verejnom zdraví.

Aký verejný záujem sledujeme?

Konkrétny verejný záujem, ktorý sledujeme je verejný záujem na odstránení rizík spojených so šírením vírusu COVID-19 a odstránením situácií spojených s núdzovým stavom. Tento verejný záujem súvisí jednak so úlohami, ktoré Prevádzkovateľ plní podľa Zákona o verejnom zdraví, najmä § podľa 60a až § 60e Zákona o verejnom zdraví, ale aj s konkrétnymi opatreniami Prevádzkovateľa, Ústredného krízového štábu SR a Vlády SR v súvislosti s ochranou verejného zdravia pred vírusom COVID-19 (najmä uznesenia vlády č. 113/2020 a č. 115/2020).

Na území Slovenskej republiky vyhlásená mimoriadna situácia počnúc od 12. marca 2020, 6:00 hod. Úrad verejného zdravotníctva SR vydal dňa 12. marca 2020 opatrenie, ktorým nariadil povinnú izoláciu po dobu 14 dní osobám, ktoré sa vrátali zo zahraničia alebo sú s takými osobami v spoločnej domácnosti.

Sleduje Aplikácia Vašu polohu?

Áno, Aplikácia sleduje Vašu polohu (ak jej to systémovo dovolíte), a to iba pre potreby karanténnej funkcionality. Informácie o Vašej polohe sú ukladané iba vo Vašom zariadení a nie sú odosielané na vzdialené servery. Prevádzkovateľ ani žiadna iná osoba nemá prístup k informácii o tom, kde sa užívateľ aktuálne nachádza. Výnimkou je nahlásené miesto izolácie v domácom prostredí. Túto informáciu máte povinnosť poskytnúť aj bez ohľadu na existenciu Aplikácie. Ak sa s Vašim mobilným zariadením vzdialite od tohto miesta, Aplikácia odošle miestne príslušnému regionálnemu úradu verejného zdravotníctva hlásenie o tom, že pravdepodobne nedodržiavate povinnosť nariadenej izolácie v domácom prostredí spolu s informáciou o závažnosti daného porušenia. Ani v takom prípade však Aplikácia nezbiera informáciu o tom, kde presne sa nachádzate.

Aké osobné údaje spracúvame prostredníctvom Aplikácie?

Rozsah údajov spracúvaných prostredníctvom Aplikácie je stanovený v § 60b Zákona o verejnom zdraví pre všetky aj v budúcnosti plánované funkcionality Aplikácie. Aktuálne ide najmä o identifikátor a unikátny kód Aplikácie, miesto a ďalšie informácie o izolácii v domácom prostredí, poloha mobilného zariadenia, informácie o dodržiavaní alebo porušení nariadenej izolácie, informácie o počte zostávajúcich dní nariadenej izolácie, informácia týkajúca sa závažnosti porušenia domácej izolácie, telefónne číslo, údaj o zdraví týkajúci sa infikovania sa vírusom spôsobujúcim ochorenie COVID-19 a podobizeň tváre používateľa mobilnej aplikácie. Skutočnosť, že Aplikácia spracúva tieto údaje ešte neznamená, že k ním má Prevádzkovateľ prístup. Prevádzkovateľ nesmie získať prístup k polohe Vášho zariadenia ani k podobizní Vašej tváre, nakoľko tieto informácie zostávajú uložené len na Vašom zariadení.

Aplikácia spracúva aj určité systémové, technické a v niektorých prípadoch štatistické dáta o všetkých jej užívateľoch. Ide napr. o identifikátor zariadenia (ID), IP adresu, typ zariadenia, push token, obsah push notifikácie alebo informáciu, že daný užívateľ nemá/má povinnosť domácej karantény.

Prevádzkovateľ a ďalšie orgány štátu spracúvajú v súvislosti s opatreniami proti COVID-19 aj ďalšie osobné údaje, ktoré sa nezískavajú prostredníctvom Aplikácie. Ide najmä o údaje týkajúce sa registrácie alebo nahlasovania miesta nariadenej izolácie v domácom prostrední prostredníctvom webových alebo iných formulárov (napr. meno, priezvisko, rodné číslo, emailová adresa a pod.). Tieto údaje môžu byť načítané Aplikáciou po overení cez Vaše telefónne číslo.

Pre funkcionalitu aplikácie nie sú potrebné žiadne prevádzkové a lokalizačné dáta od mobilných operátorov v zmysle Zákona o elektronických komunikáciách.

Komu poskytujeme Vaše osobné údaje?

Podrobnosti o poskytovaní a sprístupňovaní osobných údajov v súvislosti s Aplikáciou upravuje § 60c Zákona o verejnom zdraví. K údajom spracúvaným prostredníctvom Aplikácie môžu mať prístup oprávnení a poverení zamestnanci Úradu verejného zdravotníctva SR, Národného centra zdravotníckych informácií, miestnych regionálnych úradov verejného zdravotníctva, polície alebo miestnej polície.

Funkcionalita Aplikácie vyžaduje aj použitie niektorých technologických riešení zazmluvnených dodávateľov. Ide najmä o popredných a dôveryhodných poskytovateľov serverového úložiska (v rámci EÚ), systému SMS brány, nástrojov na ovládanie push notifikácií v Aplikácii alebo poskytovateľov analýzy technických a bezpečnostných dát. Z dôvodu bezpečnosti a okolností konkrétneho prípadu však Prevádzkovateľ neposkytuje údaje o všetkých konkrétnych dodávateľoch ale len o kategóriách príjemcov v súlade s čl. 13 ods. 1 písm. e) GDPR („príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú“).

Do ktorých krajín prenášame Vaše osobné údaje?

Štandardne neprenášame osobné údaje týkajúce sa Aplikácie mimo územia EÚ, nakoľko servery Aplikácie sú umiestnené v rámci EÚ. Avšak, niektorí z vyššie uvedených technologických partnerov môžu byť usadení alebo ich servery sa môžu nachádzať v Spojených štátoch amerických, ktoré – ako také – predstavujú tretiu krajinu, ktorá nezaručuje ochranu osobných údajov primeranú ochrane v EÚ. Tieto cezhraničné prenosy sa týkajú iba čiastkových dát, ktoré sa priamo netýkajú žiadnej fyzickej osoby, ale týkajú sa skôr technického fungovania Aplikácie.  Tieto cezhraničné prenosy prebiehajú na základe rozhodnutia Komisie EÚ o primeranosti (ako napr. EU-US Privacy Schield) alebo na základe splnenia iných záruk na ochranu osobných údajov (napr. uzatvorenie tzv. zmluvných doložiek) v súlade s GDPR. To znamená, že všetkým údajom ktoré sú spracúvané v rámci Aplikácie je vymožiteľnými nástrojmi zaručená rovnaká miera ochrany ako podľa európskych predpisov na ochranu osobných údajov.

Ako dlho uchovávame Vaše osobné údaje?

Údaje týkajúce sa karanténnej funkcionality automaticky likvidujeme do 30 dní od ich získania. Všeobecná doba uchovávania ostatných údajov spracúvaných prostredníctvom Aplikácie je stanovená na obdobie, ktoré je nevyhnutné na splnenie hlavného účelu spracúvania, najneskôr však do 31. decembra 2020. Túto všeobecnú dobu uchovávania priebežne monitorujeme a vyhodnocujeme. Prirodzene plánujeme pristúpiť k likvidácii dát získaných prostredníctvom Aplikácie akonáhle nám to okolnosti týkajúce sa vírusu COVID-19 umožnia.

Ak počas tejto doby dôjde k začatiu správneho alebo priestupkového konania, doby uchovávania stanovuje iný prevádzkovateľ, ktorým je buď miestne príslušný regionálny úrad verejného zdravotníctva alebo ním poverený orgán polície alebo miestnej polície podľa § 56 Zákona o verejnom zdraví.

Ako o Vás získavame osobné údaje?

Vaše osobné údaje získavame priamo od Vás prostredníctvom Aplikácie, Vášho mobilného zariadenia alebo prostredníctvom webových alebo iných formulárov. Rozhodnutie o používaní Aplikácie je dobrovoľné.

Ak sa Aplikáciu rozhodne používať osoba, ktorá má nariadenú izoláciu, daná osoba má povinnosť používať Aplikáciu spôsobom podľa § 60a ods. 4 Zákona o verejnom zdraví. V rámci týchto povinností má používateľ povinnosť poskytnúť resp. umožniť Aplikácii získať osobné údaje. Porušenie týchto povinností predstavuje priestupok, za ktorý môže byť podľa § 56 Zákona o verejnom zdraví uložená pokuta až do výšky 1,659 eur. Tieto povinnosti však trvajú len počas obdobia nariadenej izolácie (14 dní).

Ak je používateľom Aplikácie osoba, ktorá nemá nariadenú izoláciu, daná osoba nemá povinnosť používať Aplikáciu spôsobom podľa § 60a ods. 4 Zákona o verejnom zdraví a jej nepoužívanie alebo neposkytnutie údajov prostredníctvom nej nemá žiadne negatívne následky. Zároveň v takom prípade nemôže dôjsť k vzniku priestupkovej zodpovednosti § 56 Zákona o verejnom zdraví.

Aké práva máte ako dotknutá osoba?

„Máte právo namietať proti spracúvaniu osobných údajov, ktoré vykonávame na základe verejného záujmu vrátane profilovania, a to z dôvodu Vašej konkrétnej situácie. Máte právo kedykoľvek svoj súhlas, čím nie je dotknutá zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním.“

Ak spracúvame Vaše údaje na základe súhlasu dotknutej osoby, odvolať tento súhlas môžete primárne zmenou systémového nastavenia vo Vašom zariadení. Vzhľadom na okolnosti spracúvania osobných údajov však máme za preukázané, že nevyhnutné oprávnené dôvody na spracúvanie, prevažujú nad záujmami, právami a slobodami dotknutých osôb.

Ako dotknutá osoba máte ďalej tieto práva :

• Právo požiadať o prístup k osobným údajom podľa článku 15 GDPR, ktoré o Vás spracúvame. Toto právo zahŕňa právo na potvrdenie o tom, či o Vás spracúvame osobné údaje, právo získať prístup k týmto údajom a právo získať kópiu osobných údajov, ktoré o Vás spracúvame, ak je to technicky uskutočniteľné;
• Právo na opravu a doplnenie osobných údajov podľa článku 16 GDPR, ak o Vás spracúvame nesprávne alebo neúplne osobné údaje;
• Právo na vymazanie Vašich osobných údajov podľa článku 17 GDPR;
• Právo na obmedzenie spracúvania osobných údajov podľa článku 18 GDPR;
• Právo na prenosnosť údajov podľa článku 20 GDPR;
• Právo namietať podľa čl. 21 GDPR;
• Právo, aby sa na Vás nevzťahovalo automatizované individuálne rozhodnutie podľa čl. 22 GDPR.

Takisto máte právo kedykoľvek podať sťažnosť Úradu na ochranu osobných údajov Slovenskej republiky (Hraničná 12, 820 07 Bratislava 27, e-mail: statny.dozor@pdp.gov.sk) alebo obrátiť sa so žalobou na príslušný súd.

V každom prípade odporúčame akékoľvek spory, otázky alebo námietky riešiť primárne komunikáciou s nami. Všetky práva môžete uplatniť písomne alebo elektronicky použitím vyššie uvedených kontaktných údajov našej zodpovednej osoby.

Dochádza k automatizovanému individuálnemu rozhodovaniu vrátane profilovania?

Nie. Rozhodnutia, ktoré môžu byť na základe dát zbieraných Aplikáciou prijaté voči fyzickým osobám, majú povahu ľudských rozhodnutí, ktoré sa nedejú automatizovaným (algoritmickým) spôsobom.

V rámci aplikácie však dochádza k profilovaniu, ktoré podľa čl. 4 bodu 4 GDPR predstavuje: „automatizovanú formu spracúvania osobných údajov, ktorá pozostáva z použitia osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.“

Týmto profilovaním je automatizované vyhodnocovanie, či používateľ porušuje alebo neporušuje nariadenú izoláciu v domácom prostredí v súvislosti s polohou zariadenia a automatizovane zasiela hlásenia miestne príslušným úradom verejného zdravotníctva spolu s informáciou týkajúcou sa závažnosti porušenia nariadenej izolácie.

Na základe týchto hlásení môže regionálny úrad verejného zdravotníctva (ako subjekt odlišný od Prevádzkovateľa) začať priestupkové konanie voči fyzickej osobe. Aj keď začatie priestupkového konania bezpochyby má právne účinky pre fyzické osoby, rozhodnutie z ktorého vyplývajú nemá automatizovanú povahu, nakoľko ide o ľudské rozhodnutie. Na samotné profilovanie popísané vyššie sa právo podľa čl. 22 GDPR nevzťahuje (iba právo namietať podľa čl. 21 GDPR).

Cookies

Prostredníctvom Aplikácie ukladáme resp. získavame prístup k informáciám uloženým vo Vašom koncovom zariadení v súlade s § 55 ods. 5 Zákona o elektronických komunikáciách. Podľa toho, či sa na používateľa Aplikácie vzťahujú alebo nevzťahujú povinnosti podľa § 60a ods. 4 Zákona o verejnom zdraví, postupujeme buď na základe výnimky upravenej pre Úrad verejného zdravotníctva SR alebo na základe Vášho súhlasu. Informácie uvedené v týchto podmienkach ochrany súkromia sa vzťahujú aj na spracúvanie informácii spadajúcich pod reguláciu cookies.

Zmena podmienok ochrany súkromia

Informácie, ktoré sme Vám povinní vzhľadom na naše spracúvanie osobných údajov poskytnúť sa môžu meniť alebo prestať byť aktuálne. Z tohto dôvodu si vyhradzujeme možnosť kedykoľvek tieto podmienky upraviť a zmeniť. V prípade, ak zmeníme tieto podmienky podstatným spôsobom, túto zmenu Vám vopred dáme do pozornosti napr. všeobecným oznámením na našej webstránke alebo osobitným oznámením prostredníctvom Aplikácie.

Úrad verejného zdravotníctva SR

Bratislava, máj 2020

Informácie bezplatne pripravila advokátska kancelária Dagital Legal.

[1] http://www.uvzsr.sk/index.php?option=com_content&view=category&layout=blog&id=236&Itemid=147

[2] https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf