INFORMACIJSKI POOBLAŠČENEC PONOVNO OPOZARJA NA NEUSTREZNE PRAVNE PODLAGE ZA DELOVANJE APLIKACIJE COVID

31 julija, 2020

Ministrstvo za javno upravo je izdelalo oceno učinka v zvezi z varstvom osebnih podatkov za aplikacijo za obveščanje o stikih z okuženimi z virusom COVID-19 (aplikacija »COVID«), ki naj ne bi temeljila na sprejetem ZIUPDV. Informacijski pooblaščenec (IP) v mnenju na predloženo oceno učinkov ponovno opozarja, da resnih pomanjkljivosti zakona in tveganj, ki iz tega izvirajo za zakonito obdelavo osebnih podatkov, ni možno sanirati z oceno učinkov. Ministrstvo ni zakonodajalec, ki bi s takim dokumentom lahko razveljavil ali zadržal uporabo zakonskega predpisa, ki ga je sprejel Državni zbor.

IP je na težave z delovanjem aplikacije opozarjal predlagatelja zakona in zakonodajalca od samih začetkov razprav o aplikaciji. Opozorila niso bila upoštevana, kar bo v nadaljnjih fazah implementacije aplikacije pripeljalo do resnih težav tako za naročnika aplikacije, kot tudi za MJU, NIJZ ter nadzorne organe (zlasti IP in inšpekcije), obenem pa je zato nastal velik povsem nepotreben časovni zamik.

Ocene učinka so namenjene pravočasni identifikaciji in obvladovanju tveganj pri varstvu osebnih podatkov, zato jih je v tovrstnih primerih smiselno izdelati pred sprejemom zakona in so gradivo, ki popravlja pomanjkljivosti predvidenih predpisov, utemeljuje potrebo po ali izkazuje prednosti določnih projektov ali obdelav osebnih podatkov. Po naravi stvari se namreč ocene učinkov osredotočajo na tveganja, torej na »negativne« vidike obdelav osebnih podatkov, ki jih želimo zmanjšati oziroma obvladovati. Naloga IP je zato opozarjati na pomanjkljivosti, neidentificirana tveganja ali neprimerne ukrepe za obvladovanje tveganj in ne na vidike, ki so že ustrezno obvladovani.

Kot smo opozarjali že pred sprejemom ZUIPDV, nejasnosti o tem, ali obstaja jasna in ustavno skladna pravna podlaga za obdelavo osebnih podatkov v zvezi z delovanjem aplikacije, pomenijo ključno težavo za vzpostavitev aplikacije in zakonito obdelavo podatkov uporabnikov predvsem s strani NIJZ. NIJZ namreč glede aplikacije v ZUIPDV sploh ni naveden kot upravljavec podatkov. Tega visokega tveganja ni mogoče nasloviti zgolj z organizacijskimi ukrepi in izjavami o neuporabi določb ZIUPDV za konkretno aplikacijo, saj terja primerno ureditev v zakonodaji.

Pravno nejasna je tudi izjava o »neuporabi ZIUPDV«. ZIUPDV je veljavni predpis, ki določa dodatne namene in v določenih primerih obvezno uporabo aplikacije. Zato ni jasno, na kakšnem pravnem temelju lahko ministrstvo veljavni zakon prezre oz. ga ne uporablja. Vprašanje je, kako bo v praksi dolžan ravnati okuženi, če predstavnik vlade javno pove, da je uporaba prostovoljna, obenem pa je sprejet zakon, ki določa, da si mora kot okuženi obvezno namestiti aplikacijo in vnesti kodo.

Neprimerna pravna podlaga, ki med drugim npr. določa globe 100 do 600 EUR za kršitev v primerih obvezne uporabe aplikacije, predstavlja resne težave za njeno zakonito delovanje, obenem pa nadzorne organe, kot sta inšpektorat pristojen za nadzor ZIUPDV in IP spravlja v nezavidljivo situacijo, da naj po navodilu ministra ne bi izvajala in upoštevala veljavnih predpisov.

Četudi bi šlo v celoti zgolj za prostovoljno aplikacijo, je za obdelavo osebnih podatkov s strani več javnih organov preko ‘državne’ aplikacije potrebna pravna podlaga v zakonu. Soglasja uporabnika, da si na telefon namesti aplikacijo ne gre enačiti s privolitvijo posameznika v (namestitvi sledečo) obdelavo njegovih osebnih podatkov za namen obveščanja o stikih z okuženimi posamezniki s strani MJU in NIJZ. Tako stališče enotno zastopamo vsi evropski nadzorni organi za varstvo osebnih podatkov in Evropski odbor za varstvo podatkov (EDPB), zato je v skupnih smernicah jasno zapisano, da samo dejstvo, da je uporaba aplikacij za sledenje stikom prostovoljna, ne pomeni, da bo obdelava osebnih podatkov nujno temeljila na privolitvi. Kadar javni organi zagotavljajo storitev na podlagi pooblastila, ki jim je podeljeno in je v skladu z zakonsko določenimi zahtevami, je najbolj relevantna pravna podlaga za obdelavo ta, da je obdelava potrebna za opravljanje naloge v javnem interesu, tj. člen 6(1)(e) Splošne uredbe. Pravna podlaga ali zakonodajni ukrep, ki predstavlja zakonito podlago za uporabo aplikacij za sledenje stikom, mora vključevati smiselne zaščitne ukrepe, vključno s sklicem na prostovoljno naravo aplikacije. Vključiti bi bilo treba jasno opredelitev namena in izrecne omejitve glede nadaljnje uporabe osebnih podatkov ter jasno opredeliti udeležene upravljavce.

Žal prizadevanja in stališča IP, da bi uporabo aplikacije natančno in ustrezno uredili v zakonu, niso bila upoštevana. Zato ne glede na vložen trud pripravljavcev ocene učinkov, ta ne more sanirati resnih pomanjkljivosti veljavnega zakona. Vsako aplikacijo pa je nenazadnje potrebno umestiti v pravni red in konkretno družbeno okolje – četudi gre za aplikacijo po vzoru Nemčije, je ključna razlika v tem, ali država ima pravno podlago za uvedbo (morebiti sicer zasebnosti povsem prijazne aplikacije) ali ne.

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka

INFORMACIJSKI POOBLAŠČENEC PONOVNO OPOZARJA NA NEUSTREZNE PRAVNE PODLAGE ZA DELOVANJE APLIKACIJE COVID - Upravljavec.si