Mnenje glede pravne podlage za pridobivanje podatkov v zvezi s COVID-19 - Upravljavec.si
- 30 marca, 2020
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje predvidene pomoči Instituta “Jožef Stefan” je Vladi RS ponudil pomoč pri vzpostavitvi začasnega informacijskega sistema, ki bo omogočal analizo neosebnih in
anonimiziranih podatkov s področij zdravstvene dejavnosti finančno-ekonomskih tokov, elektronskih komunikacij, javnih služb, prometa, transporta in drugih dejavnosti, za katere se izkaže, da so povezane z načrtovanjem in izvajanjem ukrepov za obvladovanje epidemije COVID-19. Kot ste pojasnili je namen tega sistema, da bo Vlada lahko bolje ocenjevala trenutne razmere, napovedovala razvoj dogodkov v zvezi z epidemijo COVID-19 in pripravljala podlage za sprejemanje ukrepov za zajezitev epidemije COVID-19.
Pripravili ste predlog sklepa Vlade ter dogovor med MO, MZ in Institutom in nas prosite za mnenje glede ustreznosti pravne podlage za zbiranje podatkov. Gre za neosebne in anonimizirane podatke izvajalcev zdravstvene dejavnosti, Finančne uprave Republike Slovenije, operaterjev elektronskih komunikacij ter drugih. Originatorji podatkov bodo podatke posredovali prostovoljno. Med drugim gre tudi za lokacijske podatke, vendar se bo te podatke obdelovalo le za statistične namene, npr. da se preveri, ali se ukrepi v zvezi z COVID-19 upoštevajo ter za analizo gibanja populacije, z namenom ugotavljanja dnevnih migracij znotraj in izven Slovenije (4. odstavek 3.člena Dogovora) kot npr. “kontrolne točke je v obdobju od 8.00 do 22.00 ure prestopilo 45 oseb z mobilno številko italijanskega operaterja”.
Zanima vas, ali originatorji podatkov za posredovanje teh podatkov Institutu, ter stranke dogovora (MO, MZ in Institut) za statistično analizo ter analitično presojo teh podatkov potrebujejo pravno podlago? Poleg tega bi želeli preveriti, ali je potreben sprejem interventnega zakona, za primer, če se izkaže, da bi državni organi te lokacijske
podatke želeli uporabiti za drugačne namene (npr. sledenje skupinam ljudi)?
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.
IP uvodoma opozarja, da razume potrebe po učinkovitih ukrepih države za obvladovanje epidemije s koronavirusom, vendar pa ta čas ne sme biti izkoriščen za omejevanje temeljnih človekovih pravic in svoboščin in opozarja, da morajo biti predvideni ukrepi učinkoviti in nujni v okviru tega, kar je razumno v demokratični družbi. Razumemo, da je z določenimi anonimnimi podatki možno do neke mere bolje načrtovati in izvajati ukrepe za obvladovanje epidemije, vendar pa je potrebna posebna pozornost pri razumevanju anonimizacije, morebitna uporaba anonimnih podatkov pa mora imeti prednost pred uporabo osebnih podatkov, še posebej na področju lokacij in komunikacij posameznikov ter njihovih zdravstvenih podatkov. V demokratični družbi je nedopustno posegati v informacijsko in komunikacijsko zasebnost posameznikov, če zasledovane cilje lahko dosežemo z dejansko anonimiziranimi podatki, posegi v komunikacijsko in informacijsko zasebnost pa morajo upoštevati določbe Ustave RS.
IP pojasnjuje, da je glede pravnih podlag ključno vprašanje, ali gre v konkretnem primeru za obdelavo osebnih podatkov ali ne. Sklep, ki ga prilagate, nameravano obdelavo podatkov, kot tudi vrste podatkov, ki naj bi bile za te namene uporabljene opiše zelo splošno. Ne glede na zagotovila, ki jih navajate, da naj bi šlo pri vseh kategorijah podatkov za anonimizirane podatke, Informacijski pooblaščenec meni, da vsaj pri nekaterih kategorijah obstaja upravičen dvom, ali je tovrstne podatke mogoče posredovati v načrtovani sistem in jih obdelovati na način, ki bi zagotavljal, da bi obdelava dejansko zadevala anonimne podatke. V nadaljevanju podrobneje pojasnjujemo naše skrbi, še posebej glede podatkov o komunikacijah in lokacijah, ki bi jih pridobili od operaterjev elektronskih komunikacij. Menimo, da je pri tem tipu podatkov težko dosegati standarde anonimizacije, ki bi pomenili, da za njihovo obdelavo ni potrebna posebna pravna podlaga. Posebej poudarjamo, da je pri postopkih anonimizacije treba upoštevati tudi tveganje, da do identifikacije posameznika lahko pride tudi po tem, ko se v veliko podatkovno zbirko združijo domnevno ustrezno anonimizirani podatki različnih originatorjev. Skupek podatkov lahko omogoča nove povezave med njimi, ki omogočajo določljivost posameznikov, posebej, kadar so del tudi podatki o lokacijah in prometu elektronskih komunikacij. V primeru, da pri načrtovani obdelavi podatkov ni mogoče z (ustrezno statistično) gotovostjo trditi, da gre za anonimne podatke, IP poudarja, da je za obdelavo potrebna ustrezna pravna podlaga, da mora upravljavec natančno določiti nabor podatkov, ki se obdelujejo ter namene obdelave, upoštevati temeljna načela obdelave, med drugim sorazmernost ter izvajati vse druge obveze, ki jih določa Splošna uredba (tudi glede priprave ocene vpliva na varstvo osebnih podatkov iz člena 35). Pri podatkih o prometu elektronskih komunikacij in lokacijskih podatkih pa posebej opozarjamo, da gre za podatke, ki jih ščiti 37. člen Ustave RS . V nadaljevanju podrobneje pojasnjujemo naše navedene skrbi.
1. Obdelava anonimiziranih podatkov različnih originatorjev
Čeprav iz dokumentacije ni mogoče razbrati natančno, katere vrste podatkov po posameznih originatorjih naj bi bile uporabljene, glede na vsebino predlaganega sklepa vlade in dogovora ugotavljamo, da pri naboru podatkov iz 3. in 5. odstavka 3. člena dogovora najverjetneje ne gre za osebne podatke, saj gre za podatke o stanju glede prodaje ali zaloge izdelkov stanje pri poslovnih subjektih s področja trgovin z živili, goriv in zdravil – če se seveda pri tem ne bodo obdelovali nobeni podatki o kupcih fizičnih osebah, ampak samo stanje prodaje in zalog; podobno ne gre za osebne podatke pri izvajalcih zdravstvene dejavnosti ali lekarniške dejavnosti iz prvega odstavka dogovora, če se dejansko nanašajo zgolj na statistične, neosebne in anonimizirane podatke o dnevnem stanju porabe sredstev ali zdravil ali splošno oceno zdravstvenih stanj glede na epidemijo COVID-19 in ne na zdravstvene podatke posameznikov. V kolikor je mogoče take podatke posredno ali neposredno povezati z določljivim posameznikov, tudi če to lahko naredi tretja oseba in ne upravljavec sam (kot pojasnjujemo v nadaljevanju), pa gre tu za osebne podatke oziroma glede na vir – občutljive osebne podatke.
Posebna previdnost je potrebna tudi pri podatkih po 4. odstavku 3. člena dogovora, ki določa, da se podatki operaterjev elektronskih komunikacij iz prvega odstavka tega člena nanašajo na tiste neosebne podatke, ki omogočajo, da se dnevno izkaže količina oziroma pogostnost elektronskega komuniciranja na določenih lokacijah in podatkov, ki omogočajo analizo gibanja populacije, z namenom ugotavljanja dnevnih migracij znotraj in izven Slovenije.
Do teh podatkov ni mogoče pridi brez obdelave izvornih osebnih podatkov iz prometa elektronskih komunikacij in to obdelavo v smislu anonimizacije lahko izvajajo samo tisti, ki imajo za to pravno podlago, kar pomeni, da bi morali anonimizacijo izvesti že operaterji sami in IJS ali drugim subjektom predati samo anonimizirane podatke in nikakor ne osebnih podatkov. Tu posebej opozarjamo tudi na omejitve, ki jih glede obdelave podatkov o prometu določa 5. odstavek 151. člena ZEKom-1, ki opredeljuje konkreten nabor oseb, ki smejo pod nadzorstvom operaterja obdelovati podatke le za točno določene namene. Zadevna določba sicer sodi v področje nadzora Agencije za komunikacijska omrežja in storitve IJS tako ne sme biti tisti, ki bi lahko samostojno izvajal anonimizacijo, temveč morajo biti podatki o prometu in lokacijah posameznikov anonimizirani s strani originatorja. Le v kolikor bi IJS osebne podatke za namen anonimizacije obdeloval zgolj v okviru pooblastil in navodil operaterja, skladno s členom 28 Splošne uredbe, bi bilo mogoče govoriti o pogodbeni obdelavi osebnih podatkov. Prav tako obdelava za namen anonimizacije ne sme biti zlorabljena za druge namene, saj bi to pomenilo kršitev načela namenskosti in kršitev Splošne uredbe in Zakona o elektronskih komunikacijah (ZEKom-1).
Iz vaših gradiv ni mogoče razbrati konkretnejših zagotovil glede zagotavljanja, da bi se od operaterjev v nov informacijski sistem dejansko prenesli le anonimizirani podatki, saj ni opredeljeno niti, iz katere baze podatkov pri operaterjih bi podatke za anonimizacijo črpali, katere vrste osebnih podatkov bi pri tem uporabili, niti s kakšnimi metodami bi jih anonimizirali. V nadaljevanju zato podrobneje pojasnjujemo, kaj pomeni, da so podatki anonimizirani, t.j., da posameznika ni mogoče posredno ali neposredno določiti.
Glede na navedeno IP posebej izpostavlja neustreznost določb 1. in 2. odstavka 4. člena ter 1. in 2. odstavka 5. člena dogovora, saj kot rečeno IJS samostojno nima podlage za kakršnokoli izvajanje anonimizacijskih postopkov ali drugačne obdelave osebnih podatkov pri originatorjih, temveč lahko to storijo kvečjemu originatorji podatkov sami, če njihova področna zakonodaja tega posebej ne omejuje.
Predlagamo tudi, da se v dogovor vnesejo izrecne varovalke, ki vsem razen originatorjev prepovedujejo obdelavo podatkov, ki niso dejansko anonimizirani in na dolžnost uporabnikov, da originatorje nemudoma opozorijo, če bi od njih prejeli podatke, iz katerih bi se dalo določiti posameznike, takšne podatke pa pri sebi uničijo.
2. Določljivost posameznika in pravne podlage za obdelavo podatkov o prometu in lokacijah
V primeru, da pri načrtovani obdelavi podatkov ni mogoče z (ustrezno statistično) gotovostjo trditi, da gre za anonimne podatke, IP poudarja, da bi morala biti za obdelavo osebnih podatkov s strani subjektov, ki niso orginatorji, in/ali izven zakonitih namenov originatorjev, podana zakonska podlaga, kjer bi moralo biti upoštevano načelo sorazmernosti v ožjem in širšem smislu, ter natančno opredeljeni nameni obdelave, udeleženi subjekti, nabori podatkov in trajanje obdelave ter upoštevani ostali pogoji glede na določbe Ustave RS, kot pojasnjujemo v nadaljevanju.
Tu posebej opozarjamo na pravilno razumevanje določljivosti posameznika. Pomembno je namreč, da se zavedamo, da se osebni podatki nanašajo na določljive posameznike, a se moramo pri tem vprašati« ali se da posameznike iz podatkov določiti« in ne »ali jih mi znamo določiti«. Na določljivost moramo gledati široko – ali je ta možna, ali imajo drugi subjekti znanje, možnosti in podatki, s katerimi lahko pride do določljivosti podatkov. Obenem je treba biti izjemno pazljiv pri podatkih, ki se nanašajo na manjše skupine (npr. manj kot 5 ljudi), še posebej, ko gre za lokacijskem in komunikacijske podatke(!), saj se tu določljivost posameznika izrazito poveča. Pri postopkih anonimizacije je treba upoštevati tudi tveganje, da do identifikacije posameznika lahko pride tudi po tem, ko se v veliko podatkovno zbirko združijo domnevno ustrezno anonimizirani podatki različnih originatorjev. Skupek podatkov lahko omogoča nove povezave med njimi, ki omogočajo določljivost posameznikov, posebej, kadar so del tudi podatki o lokacijah in prometu elektronskih komunikacij.
Opozarjamo tudi na nujnost razlikovanja med šifriranimi in anonimiziranimi podatki podatkov – ustrezno šifriranje preprečuje nepooblaščenim osebam seznanitev z vsebino, ne pomeni pa, da so podatki razosebljeni in da identifikacija oseb ni več možna. Šifrirani osebni podatki so psevdonimizirani osebni podatki in s tem še vedno osebni podatki (glej 5. točko člena 4 Splošne uredbe), ter tako ne anonimni podatki, zato je tudi za obdelavo zgolj psevdonimiziranih osebnih podatkov potrebna ustrezna pravna podlaga. To, da se pri šifriranju uporabijo enosmerni zgoščevalni oz. šifrirni algoritmi namreč ne pomeni, da izvornih podatkov ni nikoli mogoče restavrirati – to je zlasti možno, če vemo, kakšne vrste so bili izvorni podatki in toliko bolj, če so izvorni podatki posebej strukturirani, kot je npr. EMŠO ali davčna številka posameznika. Isti EMŠO bo vedno generiral isto šifrirano vrednost. Ugotavljanje izvornih podatkov pa je precej težje, če ne vemo, kakšne strukture so bili vhodni podatki (številka, beseda, daljši tekst, slika). Če pridejo v roke nepooblaščenim osebam psevdonimizirani osebni podatki je isto, kot če bi dobili neobdelane osebne podatke, le pod do identifikacije posameznikov bo mogoče nekoliko daljša. Do resnično anonimnih podatkov pridemo le z uporabo posebnih anonimizacijskih metod in tehnik (kot so npr. dodajanje šuma, permutacija, diferencirana zasebnost, združevanje, k-anonimnost, l-raznolikost in t-podobnost) in ne zgolj s kodiranjem, šifriranjem ali drugimi preslikavami 1:1.
V pomoč glede razumevanja anonimizacijskih tehnik je lahko Mnenje EDPB o anonimizacijskih tehnikah in metodah, ki je dostopno na:
https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf
Priporočamo, da s temi smernicami seznanite originatorje in IJS, kolikor z njimi še niso seznanjeni, da jih ustrezno upoštevajo.
Posebej opozarjamo tudi, da na določena vprašanja po podatkih ni mogoče ne priti ne odgovoriti na neoseben način.
Takšna so morebitna vprašanja do operaterjev, kot so: »Kje se nahaja(jo) ali giblje(jo) določeni (okuženi) posameznik(i)?«, »Ali je bila oseba A v času t na lokaciji z oz. v bližini osebe B?«, »Kateri posamezniki so bili v času t na lokaciji x?« in podobno. Za pridobitev tovrstnih podatkov, ki so prav gotovo osebni podatki, je potreben poseg v ustavno varovane baze podatkov v prometu elektronskih komunikacij, in vsak takšen poseg in odgovor na takšna vprašanja se prav tako šteje tako za poseg tako v komunikacijsko kot v informacijsko zasebnost posameznika, tudi če je odgovor zgolj pritrdilen ali nikalen. Na tovrstna vprašanja ni mogoče odgovoriti brez omenjenih posegov in brez obdelave osebnih podatkov, za katere bi morali operaterji imeti ustrezno pravno podlago za obdelavo masovnih podatkov svojih uporabnikov, ki pa je v okviru namenov, ki jih izpostavljate, t. j. ukrepov, povezanih z epidemijo COVID-19, Informacijski pooblaščenec v trenutnem pravnem okviru ne vidi. Gre namreč za poseg v ustavno varovano pravico do komunikacijske zasebnosti, ki jo varuje 37. člen Ustave RS, ki določa, da je poseg vanj mogoč, samo, če so kumulativno spoštovani vsi ustavni pogoji:
(1) samo zakon lahko to predpiše,
(2) da se na podlagi odločbe sodišča
(3) za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti,
(4) če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost države.
***
Zaključno poudarjamo, da je pri obdelavi podatkov, kot jo predlagate absolutno nujno zagotoviti, da so predvidene obdelave omejene na (dejansko) anonimizirane podatke in opozarjamo na to, da se kaže upravičen dvom, da je to glede na namene, ki jih izpostavljate, mogoče.
V primeru, da pri obdelavi podatkov na način, kot ga predlagate, ni mogoče z ustrezno gotovostjo govoriti o anonimiziranih podatkih, pa opozarjamo, da je za obdelavo potrebna ustrezna pravna podlaga. V zvezi z oblikovanjem potencialnih novih pravnih podlag za obdelavo podatkov, katerih upravljavci so operaterji elektronskih komunikacij, pa še opozarjamo, da je ključno, da taki ukrepi trajajo le za čas razglašene epidemije, saj se moramo zavedati, da sta obdelava podatkov o elektronskem komunikacijskem prometu ter obdelava osebnih podatkov ustavno varovani kategoriji po 37. in 38. členu Ustave RS in da morajo biti posegi v te pravice omejeni na to, kar je nujno v demokratični družbi; morebitni izredni ukrepi v izrednih razmerah ne smejo biti izkoriščeni kot mehanizem za poseganje v temeljne človekove pravice.
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav.,
Informacijska pooblaščenka
Pripravil:
mag. Andrej Tomšič,
namestnik informacijske pooblaščenke