9. května 2020

Chytrá karanténa aneb Jak protiprávně nakládat s daty občanů (Trasování po česku, 3. díl)

(FORUM 24) Přinášíme třetí díl analytického cyklu poslance Pavla Žáčka, který má titul „Trasování po česku“. Poslanec ODS Pavel Žáček je místopředsedou výboru pro bezpečnost a členem Stálé komise pro kontrolu použití odposlechu a záznamu telekomunikačního provozu, použití sledování osob a věcí a rušení provozu elektronických komunikací.

V souvislosti s rozhodnutím Městského soudu v Praze o nezákonnosti některých mimořádných opatření vydaných ministerstvem zdravotnictví, respektive s aktuální snahou protiústavně posílit pravomoci ministra zdravotnictví Adama Vojtěcha, je namístě připomenout a zdůraznit, jakým způsobem již dnes tento resort prolamuje platnou legislativu týkající se chráněných práv občanů České republiky, konkrétně v oblasti nakládání s citlivými osobními daty.

Z odpovědí na otázky, které jsem před měsícem položil vybraným zainteresovaným státním orgánům i privátním subjektům (viz zde), se mi podařilo zrekonstruovat postup ministerstva při obcházení stávajících právních norem, ba dokonce i vlastního mimořádného nařízení. Nejde o pouhé „šmírování“, jak je někdy emocionálně argumentováno v médiích, ani o „pokrokové“ využívání digitálních stop ve prospěch „chytré karantény“, ale o systematické budování nebezpečného systému převodu citlivých osobních údajů mimo právní rámec České republiky.

ODPOVĚDI NA OTÁZKY

Nejprve jsem z reakce předsedkyně Úřadu pro ochranu osobních údajů Ivany Janů zjistil, že při „přípravě a realizaci“ zjevně protiprávního mimořádného opatření z 19. března 2020, čj. MZDR 12398/2020-1/MIN/KAN, nebyl její úřad ministerstvem zdravotnictví konzultován. Uvedla navíc, že „výslovný a jednoznačný“ souhlas podle tohoto opatření nepovažuje za souhlas se zpracováním osobních údajů podle článku 6 odst. 1 písm. a) a článku 9 odst. 2 písm. a) GDPR, přičemž toto Obecné nařízení na ochranu osobních údajů jako by autoři kritického řídícího aktu vůbec neznali.

Pověřenkyně pro ochranu osobních údajů Tereza Pavlíčková mě přesto za ministerstvo zdravotnictví ujistila, že při zapojení informačních technologií do zpracování osobních dat občanů během trasování jsou nastavena „bezpečnostní opatření a automatizované procesy pro výmaz vybraných údajů. IT procesy budou podrobeny auditu od společnosti PwC Česká republika.“ (Podle informace PricewaterhouseCoopers Audit s. r. o. se ovšem tato společnost do projektu COVID19CZ zapojila pouze jako smluvní dodavatel a nezávislý poradce. „V žádném případě neprovádíme audit ani prověrku podle Mezinárodních auditorských standardů nebo zákona č. 93/2009 Sb., o auditorech, ani podle Mezinárodních standardů pro prověrky. Naše současné zapojení je omezené pouze na činnost projektu Call centra pro tzv. chytrou karanténu. Naše práce, poskytovaná pro bono, se omezuje na zhodnocení funkčnosti nastavených procesů a interních kontrol.“)
Zástupkyně ministerstva zdravotnictví ve své odpovědi až příliš stručně popsala systém vytváření „vzpomínkových map“ prostřednictví call centra, na jehož provozu se podílejí mj. společnosti Keboola Czech s. r. o., Daktela s. r. o. a CleverMaps, a. s., a to na základě uzavřené smlouvy o spolupráci. Blíže nespecifikovaným způsobem měla být zapojena také Národní agentura pro komunikační a informační technologie, s. p.

Na oprávněný dotaz, kdo konkrétně je ve smyslu mimořádného opatření oprávněn vyžadovat osobní údaje nakažených občanů od mobilních operátorů a bank (zda např. ministr zdravotnictví, hlavní hygienik, ředitel odboru či vedoucí oddělení ministerstva, ředitel Ústavu zdravotnických informací a statistiky, anebo vedoucí krajské hygienické stanice), jsem dostal odpověď, jako by snad tyto údaje za resort generoval robot. „Údaje jsou vyžadovány automatizovaně dodavatelem technologického řešení, tedy zpracovatelem osobních údajů, a to na základě informovaného souhlasu pacienta. Pracovník call centra doplní údaj o souhlasu pacienta do informačního systému, a ten automaticky k danému telefonnímu číslu vyžádá údaje od mobilního operátora.“ Ministerstvo zdravotnictví se úplně vyhnulo klíčové otázce, jaký funkcionář či pracovník resortu vloží do IT systému soukromého subjektu osobní údaje nakažených osob (a na základě jakého zákonného oprávnění). Zároveň potvrdilo, že informovaný souhlas „nakaženého pacienta“ k využití údajů o jeho pohybu od mobilních operátorů a banky se získává během nahrávaného telefonního hovoru.

Pověřenkyně ministerstva vyloučila, že by tento souhlas byl vyžadován od jiných než prokazatelně nakažených pacientů. „Osoby podezřelé z nákazy jsou nejprve otestovány a až v případě, že je výsledek jejich vyšetření na COVID-19 prokazatelně pozitivní, je od nich vyžadován souhlas k použití lokalizačních údajů a je s nimi také vytvářena tzv. vzpomínková mapa.“ Zároveň potvrdila, že jsou s osobními daty – charakteru citlivých osobních údajů – nakažených seznamovány také třetí subjekty nad rámec mimořádného nařízení, tj. společnost Keboola Czech s. r. o. a její partneři. „S osobními daty nakažených pacientů je seznamován správce a zpracovatel (dodavatel) a další zpracovatel osobních údajů. Mezi uvedenými subjekty jsou uzavřeny smlouvy o zpracování osobních údajů a jsou nastavena bezpečnostní opatření. Veškeré přístupy jsou logovány.“

PROVOZOVÁNÍ CALL CENTRA

Další podrobnosti o zpracování a předávání osobních údajů trasovaných občanů obsahovala smlouva o spolupráci z 19. března 2020, uzavřená mezi ministerstvem a technologickou společností Keboola Czech (dostupná v registru smluv), překvapivě se v rozporu s ministrovým opatřením v záhlaví odkazující na vyhlášení třicetidenního nouzového stavu vládou podle čl. 5 a 6 ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky. Již v jejím úvodu bylo řečeno, že spolupráce bude zaměřena především na provoz call centra sloužícího „zejména k vytipování a kontaktování osob potenciálně nakažených C19.“

Technologická společnost Keboola Czech zajistila provoz call centra, kterému stanovený orgán (krajská hygienická stanice) ministerstva předává „kontaktní údaje osoby s potvrzeným onemocněním C19 v rozsahu celé jméno a telefonní číslo“, a po získání souhlasu „Pacienta“ jako jeho „zástupce“ žádá – bez odkazu na jakékoliv další zákonné oprávnění – příslušného mobilního operátora o předání vybraných lokalizačních údajů, resp. příslušnou banku o kopii „některých osobních údajů“, a to konkrétně těch, které umožní lokalizovat jeho pohyb. Call centrum podle dohody mohlo navíc zpracovávat i dodatečné informace o potenciálně nakažených (rozsah informací překvapivě nebyl upraven písemně, ministerstvo jej mělo ještě upřesnit). „Předání lokalizačních údajů bude probíhat automatizovaně prostřednictvím aplikace call centra.“ Z podnětu ministerstva může call centrum realizovat i další opatření proti epidemii, zejména v oblasti zjištění tzv. dodatečných údajů.

Smlouva navíc – dokonce v rozporu s mimořádným nařízením – stanovila, že při provozování call centra se budou podle pokynů ministerstva „zpracovávat osobní údaje Pacientů a Potenciálních pacientů“. Podle přílohy 4 šlo u Pacientů o jméno a telefonní číslo, infekční období, obecné informace o pacientovi s C19 apod., u Potenciálních pacientů o některé další dodatečné údaje včetně lokalizačních údajů operátorů a bank. Souhlasy od Pacientů měly být za účelem poskytnutí údajů mobilními operátory získávány dle podmínek nařízení GDPR (srozumitelný, informovaný, svobodný, aktivní, prokazatelný), jejich nahrávky v zabezpečené podobě uchovávány po dobu devíti měsíců, přičemž se na vyžádání do pěti pracovních dnů předávaly operátorům.

Další příloha 5 smlouvy kromě ministerstvem schválených subdodavatelů, tj. společností Daktela s. r. o. a CleverMaps, a. s., umožňovala technologické společnosti Keboola Czech uzavírat dohody o mlčenlivosti a zpracování osobních údajů také s fyzickými osobami, proškolenými jako operátoři. Smlouvu uzavřenou na šest měsíců – a ze strany státu vypověditelnou s okamžitou účinností – podepsala MUDr. Jarmila Rážová, Ph.D., pověřená Hlavní hygienička ČR.

POHLED MOBILNÍCH OPERÁTORŮ

Vstupní oslovení operátora Call centra zní: „Volám vám, protože vás v tuto chvíli evidujeme jako pozitivního v testování na nákazu koronavirem a potřebujeme od vás zjistit více podrobností o tom, kde jste se mohli nakazit, a o tom, s kým jste posléze přišli do kontaktu. (…) Je Vaší zákonnou povinností nám tyto údaje poskytnout. Údaje bude zpracovávat Ministerstvo zdravotnictví ČR za účelem ochrany veřejného zdraví.“

Podle vyjádření T-Mobilu předává mobilní operátor provozně lokalizační údaje za účelem realizace tzv. epidemiologického trasování na základě elektronického dotazu ministerstva zdravotnictví anebo pověřené krajské hygienické stanice prostřednictvím společnosti Keboola Czech. Žádost, která obsahuje pouze mobilní telefonní číslo, není doručována v listinné podobě a její odesílatel je autorizován elektronicky.

Podle vyjádření společnosti Vodafone se oprávněnost žádosti opírá „o právní princip ochrany důvěry v zákonnost postupu orgánů veřejné moci“, jelikož jediným žádajícím subjektem může být ministerstvo zdravotnictví, a to prostřednictvím zpracovatele Keboola Czech. Navíc dochází k předávání jen „velmi omezeného rozsahu lokalizačních údajů“ – konkrétně informace o čísle a adrese buňky, ke které byla osoba s potvrzenou nákazou přihlášena po dobu delší než 15 minut. Společnost Vodafone zároveň konstatovala, že předávané údaje neobsahují informace o spojení s jinými telefonními čísly ani informace o dalších číslech, která se vyskytovala ve stejné lokalitě. T-Mobile i společnost O2 po obdržení žádosti automaticky odesílají informační SMS na dotazovaný mobil.

Společnost O2 Czech Republic a. s. potvrdila, že provozně lokalizační údaje jsou zpracovány za tři týdny zpětně, a to na úrovni informace o základnové stanici, ke které bylo telefonní číslo nakaženého připojeno. Předání těchto údajů se realizuje elektronickým zabezpečeným kanálem.

První telefonní číslo nakaženého bylo předáno 20. března 2020; do 3. dubna společnost Keboola Czech obdržela od mobilních operátorů cca 228 osobních údajů. V této první fázi banky žádné údaje nepředávaly, neboť jim pro identifikaci klientů logicky nestačil ústní souhlas, a pochopitelně nechtěly jejich ověřování svěřit nikomu třetímu.

DATA MIMO RESORT (A REPUBLIKU)

Dne 9. dubna 2020 ministerstvo zdravotnictví podepsalo novou navazující smlouvu, „ohledně spolupráce na vývoji aplikací pro usnadnění předávání dat mezi MZ a osobami, které jsou nebo byly nakaženy C19 a k sledování jejich polohy“. V souvislosti s provozováním call centra vyvinula Keboola Czech a její subdodavatelé mobilní aplikaci eRouška.cz, která za pomoci bluetooth technologie se souhlasem Pacientů zaznamenává informace o telefonech Potenciálních pacientů až 30 dní zpátky v čase. Keboola Czech se zavázala zřídit pro pověřené pracovníky resortu zdravotnictví prostřednictvím call centra přístup k aplikaci; informace v rozsahu telefonní číslo, datum a čas setkání s telefonem s danou instalací, síla bluetooth signálu mezi telefonem a telefonem pacienta se ze serveru měly mazat po 6 hodinách od jejich předání.

V příloze 1 smlouvy se navíc objevila tato doložka: „Zpracovatel smí údaje mimo EHP [Evropský hospodářský prostor] předat pouze do USA v rámci využití dalšího zpracovatele Google Ireland Limited. Zpracovatel je pro tento případ povinen uzavřít s dalším zpracovatelem standardní smluvní doložky schválené Evropskou komisí jako nástroj dostatečné ochrany při předání údajů do států, které neposkytují dostatečnou ochranu osobním údajům, zároveň je další zpracovatel účastníkem v programu Privacy Shield.“

AKTUALIZACE SMLOUVY

Po rozsáhlé kritice byla 20. dubna 2020 původní smlouva z 19. března kompletně nahrazena smlouvou novou, podle níž (hygienické) orgány ministerstva předávaly společnosti Keboola Czech kontaktní údaje „Nakažených“ (nikoliv již Pacientů) v rozsahu celé jméno, datum narození a telefonní číslo, nedohodnou-li se smluvní strany na „jiném rozsahu těchto úvodních údajů“, tj. v případě, když příslušný orgán hygieny „vyhodnotil takovou osobu jako vhodnou ke kontaktování Call centrem podle této smlouvy“.

Operátor call centra má nadále povinnost poučit Nakaženého (a podle přílohy 3 také Potenciálně nakaženého) o zpracování osobních údajů ze strany ministerstva zdravotnictví. Pokud byl souhlas získán, call centrum si – konečně již jménem orgánu hygieny (a nikoliv jménem Pacientů jako předtím) – vyžaduje lokalizační údaje od příslušného mobilního operátora a banky, „kterým potvrdí udělení souhlasu v rozsahu dle této smlouvy Nakaženým.“ Pokud Nakažený používá aplikaci eRouška a souhlasí s poskytnutím těchto dat, jsou využita ke zpracování. Operátor call centra s využitím lokalizačních údajů mobilních operátorů a bank, dat z eRoušky a na základě rozhovoru s Nakaženým získává co nejpodrobnější informace o lokalitách, osobách či skupinách osob („Potenciálně nakažení“), u nichž existuje významná pravděpodobnost nákazy.

Z popudu Úřadu pro ochranu osobních údajů se na základě přeformulované smlouvy operátor call centra Nakaženého nově dotazuje, zda poskytne souhlas podle § 91 odst. 2 zákona č. 127/2005 Sb. o elektronických komunikacích, na jehož základě mobilní operátor posléze předává ministerstvu vybrané lokalizační údaje (jak víme, nepředává je ministerstvu, ale soukromému subjektu pouze na základě smluvního vztahu; v rozporu se zněním zákona navíc Nakažený není informován o předávání údajů „třetí straně“).

Paralelně je nově vyžadován souhlas Nakaženého podle § 38 zákona č. 21/1992 Sb. o bankách (aniž by ovšem tento souhlas byl v tomto paragrafu jakkoliv upraven), aby každá označená banka předala resortu zdravotnictví informace umožňující lokalizovat pohyb Nakaženého během tzv. infekčního období, tj. během posledních tří týdnů. Pokud Nakažený souhlasí, požádá jej operátor call centra o sdělení posledních čtyř čísel platební karty (platebních karet), u nichž budou zjišťovány lokace použití. Z přílohy 4 vyplývá, že banka předává údaje ze všech platebních karet identifikovaného nakaženého klienta (i když uvede pouze jedinou), týkající se fyzických (tj. ne e-commerce) transakcí a interakcí (případně jen výběrů) v bankomatech.

Telefonáty s Nakaženými i Potenciálně nakaženými jsou call centrem nahrávány a ukládány v komponentech aplikace Daktela a Keboola Data Connection, případně na základě žádosti předkládány bance. Obě smlouvy definují společnost Keboola Czech jako zpracovatele osobních údajů a ministerstvo jako správce. Fyzické osoby, proškolené Keboolou Czech jako pracovníci call centra (nebo k jeho podpoře), uzavírají smlouvu o mlčenlivosti a zpracování osobních údajů. Těmito pracovníky se mohou stát také zaměstnanci hygienických stanic anebo dalších orgánů ministerstva (čili např. nikoliv příslušníci armády).

Po ukončení spolupráce by Keboola Czech měla osobní údaje předat orgánům ministerstva a následně je vymazat, „ledaže má zákonnou povinnost takové údaje zachovat.“ Nahrávky s udělením souhlasů nakažených musí být uloženy po dobu tří let. V datové platformě má být auditní stopa zpracování a následného smazání dat, což má umožnit kontrolu (auditovatelnost) celého procesu.

Doložka v jedné z příloh byla navíc rozšířena: „Keboola pracuje s údaji jen ve státech EHP s výjimkou předání do USA v rámci využití dalšího zpracovatele Amazon Web Services EMEA SARL [poskytovatel cloudového úložiště se sídlem v Lucemburku], kdy Keboola nastaví pro uložení dat region v rámci EHP a šifrování ukládaných dat, ale další zpracovatel je oprávněn ve výjimečných případech předat data do USA, a s výjimkou předání do USA dalším zpracovatelem GoodData s.r.o. a GoodData Corporation [se sídlem v San Francisku].“

ZÁSADNÍ POCHYBNOSTI ZŮSTÁVAJÍ

1) Pochybné nařízení ministra zdravotnictví z 15. března 2020 od počátku ignoruje krizovou legislativu, nařízení GDPR, zákony o elektronických komunikacích a bankách či další právní normy a účelově se odkazuje pouze na zákon o ochraně veřejného zdraví.

2) Klíčovou otázkou je: Na jakém základě předává ministerstvo a jeho zdravotnické orgány osobní citlivé údaje občanů, jim svěřené a chráněné dle zvláštního zákona, mimo resort, navíc soukromým subjektům (a je to ošetřeno pouhou smlouvou o spolupráci!)? Tento absolutně klíčový problém neřeší dokonce ani samotné mimořádné opatření. (Mimo nechme „zastřešení“ získávání a soustřeďování dat ve specifické aplikaci, do níž vkládají někteří občané své údaje „dobrovolně“.)

3) Nejdůležitější procesy zpracování dat byly a jsou upraveny pouze smlouvou o spolupráci (zpracování a získávání dat nejenom tzv. Pacientů/Nakažených, ale také Potenciálních pacientů/Potenciálních nakažených), jejíž kompletní přeformulací z 20. dubna 2020 není možné zhojit právní nedostatečnost mimořádného nařízení ministra. Navíc je tato dohoda v řadě důležitých pasáží neurčitá a umožňuje více výkladů; mj. stanoví (logicky) dobu uchování nahrávky souhlasu občanů po dobu devíti měsíců a nikoliv šesti hodin, jak je tomu v nařízení.

4) Zákonné zmocnění neexistuje ani k předávání citlivých osobních údajů mimo resort, ale ani k získávání údajů od mobilních operátorů a bank. Oslovený občan je v rozporu se zákonem i mimořádným opatřením uváděn v omyl informací, že zpracovatelem údajů je ministerstvo zdravotnictví a jeho hygienické orgány, což objektivně není pravda, neboť tímto je podle nařízení vlády z 18. března 2020 a obou smluv o spolupráci soukromý subjekt a jeho další nestátní partneři.

5) Zjevně neexistuje ani zákonné zmocnění pro předávání citlivých osobních dat mimo Českou republiku (dokonce k dalšímu zpracování). V této souvislosti se nabízí další otázka: Kde jsou zálohována data páteřních systémů resortu zdravotnictví, např. Informačního systému nemocnic provozovaného Ústavem zdravotnických informací a statistiky ČR? Také v zahraničí?

x x x

Tato analýza není ani tak zaměřena proti iniciativě technologických společností v čele s Keboola Czech, ale proti neschopnosti vlády a ministerstva zdravotnictví dostat jejich modernizační aktivity do potřebného právního rámce. Z tohoto pohledu není divu, že se těmto aplikacím hygienici spíše brání, a poněkud naivní zástupci IT komunity chválící podporu „politiků z vlády“ hovoří o „srážce s byrokracií“.

Vláda však již několikrát měla možnost za stavu legislativní nouze navrhnout dočasnou úpravu zákonné pravomoci ministerstva zdravotnictví, možná dokonce včetně zpracovávání osobních dat mimo resort. Ale nestalo se – protiprávní stav tak nadále existuje a podporuje všeobecnou nejistotu a nedůvěru.

Kdo za tento stav může?

Pochopitelně vláda, zejména pak premiér Andrej Babiš, podvojný ministr Karel Havlíček, kteří bez znalosti veškerých souvislostí mediálně iniciovali zkonstruování tohoto obludného datového přenosu, a samozřejmě ministr zdravotnictví Adam Vojtěch, bezprostředně se podílející na prolamování stávající právní jistoty občanů České republiky.

Za těchto okolností pohrdání českým právním řádem by jakékoliv posilování pravomocí ministra zdravotnictví bylo nebezpečným hazardem.

Komentář vyšel na serveru Forum24.cz.

PhDr. Pavel Žáček, Ph.D.

poslanec PČR
zakladatel a první ředitel Ústavu pro studium totalitních režimů a Archivu bezpečnostních složek