Iz urada IP odgovorili, zakaj gostinec lahko vpogleda v osebne podatke pri točenju alkohola, ne pa pri preverjanju PCT

Po tem, ko smo se ob spremljanju zgodbe nastajanja in spreminjanja aplikacije za preverjanje izpolnjevanja pogoja PCT nekaj dni spraševali, kdo je tu nor, zgodba dobiva natančnejše obrise. Medtem ko v več evropskih državah preverjanje pogoja PCT tudi z aplikacijo potek brez večjih zapletov, imamo v Sloveniji trenutno neuporabno aplikacijo, ki zgolj preverja veljavnost posamezne kode, ničesar pa ne pove o njenem lastniku.

A glavni razlog težav ni nujno informacijska pooblaščenka (IP), ampak predvsem v pomanjkanju komunikacije med državnimi organi in neurejenost slovenske zakonodaje. V tem primeru je tudi premier Janša prst usmeril na Ministrstvo za zdravje in NIJZ, češ da nista sledila navodilom vlade.

Zakaj torej imamo aplikacijo PCT, kakršna je, smo povprašali tako na NIJZ kot v Urad IP. Odgovore smo prejeli le iz slednjega in glede njih pridobili še "drugo pravno mnenje". 

Medtem pa se epidemiološka slika pri nas znova slabša, oranžno fazo bi utegnili doseči že prihodnji teden.



Ko gre za obdelavo osebnih podatkov, še posebej takšnih, ki so povezani z zdravjem državljanov, je Evropska unija zelo natančna. Digitalno covid potrdilo, ki ga je Evropska unija vzpostavila za namen enotnega preverjanja pogojev za prehod mej (in ustrezno aplikacijo za njegovo preverjanje) bi bilo mogoče uporabiti tudi za druge namene, denimo omejevanje vstopa v določene prostore, vendar bi v ta namen morali sprejeti ustrezno pravno podlago, pravijo v Uradu informacijskega pooblaščenca. Tega pa Slovenija še ni naredila.

Kot dodajajo, mora takšne ukrepe urejati predpis, ki ga sprejme zakonodajno telo in ne uredba ali odlok vlade, ki je izvršilni organ. To so denimo storili v Avstriji, Franciji in še nekaterih drugih državah, ki že imajo podobne aplikacije, pravi IP.

Pravnik, pri katerem smo preverjali tovrstno stališče, nam je potrdil, da mora načeloma imeti vsak poseg v osebne podatke izrecno zakonsko podlago, podlaga le v odloku ni dovolj. Obenem pa tudi podlaga v odloku nedvomno velja, dokler je ustavno sodišče ne bi razveljavilo kot nezakonito.

Slednje pa pomeni, da bi z nekaj več poguma NIJZ na aplikacijo teoretično lahko dodal vsaj še ime in priimek ter tako počakal na morebitno preverbo ustavnega sodišča. Glede na tvit premierja Janše jim je navodilo v tej smeri dala tudi vlada:



Na družabnih omrežjih pa se iskre krešejo v razpravi ali zakonska podlaga vendarle obstaja, ne prepoznajo pa je, ker gre za pravno črkobralstvo:

Pravna podlaga je zakon in pač NE odlok.

— 🕊 Nataša Pirc Musar (@nmusar) August 4, 2021

https://twitter.com/ZigaTurk/status/1422860708195221507

 

Ni drugega kot urediti zakonodajo

Pomanjkanje zakonodaje, ki bi omogočala obdelavo osebnih podatkov za namen, pa ni edini problem, pri izdelavi aplikacije za preverjanje pogoja PCT. Zaenkrat ni znano, ali je NIJZ izdelal oceno učinkov glede varstva osebnih podatkov, zagotovo pa za mnenje v zvezi s tem ni zaprosil informacijskega pooblaščenca.

Slednjega upravljalec aplikacije NIJZ sicer ni dolžan posredovati informacijski pooblaščenki, če ocenjuje, da ustrezno obvladuje vsa tveganja. Je pa sicer redna praksa, da se upravljalci med izdelavo tovrstnih rešitev posvetujejo z informacijskim pooblaščencem o ustreznosti rešitev, ki jih razvijajo. Mnenje slednjega sicer ne pomeni potrditve zakonitosti rešitve, je pa v pomoč upravljalcem pri pripravi rešitev.



Lahko pa informacijski pooblaščenec zakonitost določene rešitve preveri tudi preko uradnega inšpekcijskega postopka. Slednjega so uvedli glede aplikacije za preverjanje pogoja PCT, vendar pa še ni zaključen, zato konkretnih odgovorov na vprašanja povezana s tem, katere podatke bi lahko prikazovala aplikacija in katerih ne zaenkrat ne morejo dati.

Kot pravijo v uradu IP, preverjajo zakonitost obdelave osebnih podatkov v okviru izkazovanja in preverjanja izpolnjevanja PCT pogojev. Postopek se nanaša na obe verziji aplikacije NIJZ in na ustrezno zagotavljanje varnosti osebnih podatkov v okviru aplikacije zVem, ki omogoča shranjevanje digitalnih COVID potrdil.

Informacijska pooblaščenka Mojca Prelesnik je v medijih sicer že omenjala, da prikazovanje imena in priimka načeloma ne bi smelo biti sporno. Seveda, ob ustrezni pravni podlagi. Urad informacijske pooblaščenke od NIJZ do tega petka pričakuje pojasnilo delovanja aplikacije.

Na NIJZ, kjer na naša vprašanja zaenkrat niso odgovorili, napovedujejo, da bodo odgovore informacijski pooblaščenki poslali do konca tedna.

Odprto tako še vedno ostaja vprašanje, zakaj in na podlagi česa so se odločili izdelati povsem anonimizirano aplikacijo, ki je v praksi zaradi velike možnosti zlorab povsem neuporabna. Iz stališča urada IP bi lahko namreč sklepali celo, da tudi obstoječa anonimizirana aplikacija nima ustrezne pravne podlage, ker načeloma s tem, ko bere QR kodo in preverja njeno veljavnost, obdeluje osebne podatke.

Aplikacije v tujini: Od države do države različno - od imena in priimka, do datuma cepljenja in števila odmerkov

Slovenija je edina država, kjer aplikacija prikazuje zgolj veljavnost PCT pogoja (brez imena in priimka). Večina držav ima aplikacijo, ki prikazuje ime, priimek in datum rojstva. Take so denimo Hrvaška, Italija, Portugalska, Švica in Francija. Grška aplikacija prikazuje le ime in priimek, v Latviji aplikacija prikaže še vrsto PCT pogoja (torej, ali ste cepljeni, testirani ali ste covid preboleli). Madžarska in Danska pa imata aplikacijo, ki poleg vseh prej omenjenih podatkov pokaže tudi vrsto cepiva, datum cepljenja in število odmerkov, ki jih je prejel posameznik.