Splošna uredba o varstvu podatkov velja že od maja 2018, torej slaba tri leta. Do danes smo jo že dobro spoznali, vzpostavljene je tudi že precej nadzorne prakse, saj je IP v svoji zbirki odločb objavil že več kot 2400 dokumentov.
Pa poglejmo, kako se svojih obveznosti po Splošni uredbi loteva NIJZ.
Javno zdravje je primarni namen, ki ga zasleduje NIJZ. V okoliščinah, v katerih smo se znašli v zadnjem času zaradi COVID-19, je odigral pomembno vlogo. V teh dneh, ko so po letu dni trajanja pandemije na voljo cepiva in je treba izvesti cepljenje (skoraj?) celotnega prebivalstva je njegova primarna vloga koordiniranje tega podviga. Pri izvedbi te naloge si - jasno - pomagajo z uporabo informacijske tehnologije. Pripraviti je treba sezname posameznikov, ki se želijo cepiti in voditi podatke o cepljenju (kdo, kdaj, koliko odmerkov cepiva …). Za ta namen so pripravili aplikacijo v sistemu zVem.
V aplikacijo lahko vstopimo vsi, ki obiščemo spletno stran in se želimo prijaviti na cepljenje. Za razliko od številnih drugih elektronskih storitev državne uprave, za prijavo na cepljenje ne potrebujemo digitalnega potrdila. Ob dejstvu, da veliko posameznikov nima potrdila, je to pohvalno, na ta način je prijava na cepljenje omogočena vsem.
Za namen prijave na cepljenje (namen je ona od osnovnih predpostavk, ki jih je treba določiti za vsako obdelavo osebnih podatkov in ki je bila pomanjkljivo določena pri prvi prijavi interesa za cepljenje prek e-uprave) je treba dati nekaj osnovnih podatkov. Med njimi so:
- EMŠO,
- številka ZZZS,
- prvi črki imena in priimka,
- številka mobilnega telefona in
- naslov elektronske pošte.
Brez teh podatkov registracija ni mogoča. Verjetno registracija brez teh podatkov tudi ni smiselna, saj bi sicer težko sledili registracijam, obveščali posameznike o terminu cepljenja in podatke o cepljenju preverjali (dvojne prijave itd.).
Takšna aplikacija je povsem logična, vendar pa poglejmo, kaj pravi naš pravni red. Ustava določa, da bi morale biti vse obdelave osebnih podatkov določene z zakonom (drugi odstavek 38. člena). In res - v Zakonu o zbirkah s področja zdravstvenega varstva lahko v 14. členu preberemo določbe, ki predstavljajo pravno podlago za delovanje sistema zVem, v 14.b členu pa je zapisan tudi nabor podatkov, ki se sme obdelovati v sistemu. V naboru podatkov smo zaman iskali številko mobilnega telefona in naslov elektronske pošte.
Če beremo zgolj našo Ustavo, imamo problem.
Ampak imamo še Splošno uredbo, ki v 6. členu določa zakonitost obdelave osebnih podatkov. Ta v prvem odstavku našteva pogoje za zakonitost, pri čemer ugotovimo, da bi cepljenje kot stvar javnega zdravja spravili pod točko e), ki se glasi “obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu”. Ustreza.
Za točko e) Splošna uredba dalje v tretjem odstavku 6. člena določa dodatne pogoje. Pravna podlaga za obdelavo mora biti določena s pravom Unije ali s pravom države članice. Na srečo to ni vse in se tretji odstavek še nadaljuje: “Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu.”. Niti s pravom Unije, niti s pravom članice ni urejeno zbiranje podatkov, kot jih zbira zVem, ampak kot smo ugotovili, je zbiranje kontaktnih podatkov potrebno za uspešno izvedbo naloge NIJZ v javnem interesu, torej cepljenja prebivalstva. Ustreza.
Potem imamo pa tukaj še določbo 13. člena Splošne uredbe, ki določa, da je treba osebam, na katere se nanašajo osebni podatki, ki se obdelujejo, dati določene informacije o obdelavi. Med podatki, ki jih je treba zagotoviti, so kontaktni podatki upravljavca, kontaktni podatki pooblaščenca za varstvo osebnih podatkov, uporabnike podatkov in podobno.
Po hitrem pregledu vstopne strani za registracijo ugotovimo, da so ti podatki res na voljo.
Prav te informacije so manjkale v primeru zbiranja podatkov o interesu za cepljenje, v zvezi s katerim je Informacijski pooblaščenec izvedel nadzor, lahko preberemo v novici na njihovi spletni strani. Informacijski pooblaščenec je inšpekcijski postopek uvedel zaradi neustreznega informiranja vlagateljev prijave interesa za cepljenje proti COVID-19 preko portala eUprava, torej neskladnosti z določbami člena 13 Splošne uredbe o varstvu podatkov (GDPR). Postopek je nato ustavil zaradi odprave nepravilnosti. Zanimivo je, da se nabor podatkov v razkritjih po 13. členu ne ujema s podatki, ki jih sistem dejansko obdeluje. Kot kaže je po pol leta inšpekcijskega postopka pomembno, da je na spletni strani nekaj (karkoli že). In to zadošča.
Vendar pa … Splošna uredba je večen vir presenečenj.
Aplikacija NIJZ omogoča tudi, da naročilo za cepljenje oddamo za drugo osebo, na primer za svoje stare starše, ki se z moderno tehnologijo, ki je potrebna za prijavo na cepljenje, ne razumejo povsem. Vredno pohvale. Ta dodatna funkcionalnost pa odpre vrata drugi določbi Splošne uredbe. 14. člen namreč določa informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo. Ob hitrem pregledu povezave na podatke po 14. členu nismo našli, prav tako iz obrazca aplikacije ni razvidno, da bi obstajal mehanizem za obveščanje posameznika, ki ga je na cepljenje prijavil nekdo drug. Verjetno bomo za primer dobre prakse s tega področja morali počakati še naslednje pol leta.
Od primera do primera
Izvajanje obsežnega cepljenja ni le logističen podvig, je tudi pravni. Velike obdelave osebnih podatkov zahtevajo tudi razmislek o tem, kako bomo obdelovali podatke, kako bomo skrbeli za njihovo varnost, ali jih sploh potrebujemo in kako jih bomo uporabili, da dosežemo cilje.
“Glas z ulice pravi”, da se pojavljajo težave. Obstajajo primeri, ko so posamezniki obveščeni o več terminih cepljenja. Obstajajo primeri, ko so posamezniki obveščeni o tem, da se umrli ne morejo prijaviti cepljenje (čeprav so še povsem živi), obstajajo pa tudi primeri, ko iz podatkov zVem izhaja, da so že bili cepljeni, čeprav niso bili. Vse skupaj kaže na spoštovanje načel zagotavljanja pravilnih podatkov v zbirkah na podlagi katerih se odloča o pravicah.
Če se to dogaja, se postavlja pod vprašaj pravna podlaga obdelave. Če se podatki namreč ne uporabljajo za učinkovitost izvedbe cepljenja, zakaj se potem sploh uporabljajo?