zVem marsikaj, vendar ničesar o 14. členu GDPR

Velike obdelave podatkov so zanimiva tema, saj se vedno znova postavlja vprašanje, ali jih znamo izvesti skladno z zahtevami Splošne uredbe o varstvu podatkov. Kot že nekajkrat, smo tokrat pod drobnogled spet vzeli obdelavo podatkov, katere namen je obvladovanje širjenja nalezljive bolezni COVID-19. V preteklih mesecih smo se bolj podrobno ukvarjali z aplikacijo, namenjeno sledenju tveganih stikov, danes bomo pa svojo pozornost usmerili v aplikacijo za naročilo na cepljenje.

Splošna uredba o varstvu podatkov velja že od maja 2018, torej slaba tri leta. Do danes smo jo že dobro spoznali, vzpostavljene je tudi že precej nadzorne prakse, saj je IP v svoji zbirki odločb objavil že več kot 2400 dokumentov.

Pa poglejmo, kako se svojih obveznosti po Splošni uredbi loteva NIJZ.

Javno zdravje je primarni namen, ki ga zasleduje NIJZ. V okoliščinah, v katerih smo se znašli v zadnjem času zaradi COVID-19, je odigral pomembno vlogo. V teh dneh, ko so po letu dni trajanja pandemije na voljo cepiva in je treba izvesti cepljenje (skoraj?) celotnega prebivalstva je njegova primarna vloga koordiniranje tega podviga. Pri izvedbi te naloge si - jasno - pomagajo z uporabo informacijske tehnologije. Pripraviti je treba sezname posameznikov, ki se želijo cepiti in voditi podatke o cepljenju (kdo, kdaj, koliko odmerkov cepiva …). Za ta namen so pripravili aplikacijo v sistemu zVem.

V aplikacijo lahko vstopimo vsi, ki obiščemo spletno stran in se želimo prijaviti na cepljenje. Za razliko od številnih drugih elektronskih storitev državne uprave, za prijavo na cepljenje ne potrebujemo digitalnega potrdila. Ob dejstvu, da veliko posameznikov nima potrdila, je to pohvalno, na ta način je prijava na cepljenje omogočena vsem.

Za namen prijave na cepljenje (namen je ona od osnovnih predpostavk, ki jih je treba določiti za vsako obdelavo osebnih podatkov in ki je bila pomanjkljivo določena pri prvi prijavi interesa za cepljenje prek e-uprave) je treba dati nekaj osnovnih podatkov. Med njimi so:

• EMŠO,
• številka ZZZS,
• prvi črki imena in priimka,
• številka mobilnega telefona in
• naslov elektronske pošte.

Takšna aplikacija je povsem logična, vendar pa poglejmo, kaj pravi naš pravni red. Ustava določa, da bi morale biti vse obdelave osebnih podatkov določene z zakonom (drugi odstavek 38. člena). In res - v Zakonu o zbirkah s področja zdravstvenega varstva lahko v 14. členu preberemo določbe, ki predstavljajo pravno podlago za delovanje sistema zVem, v 14.b členu pa je zapisan tudi nabor podatkov, ki se sme obdelovati v sistemu. V naboru podatkov smo zaman iskali številko mobilnega telefona in naslov elektronske pošte.

Če beremo zgolj našo Ustavo, imamo problem.

Ampak imamo še Splošno uredbo, ki v 6. členu določa zakonitost obdelave osebnih podatkov. Ta v prvem odstavku našteva pogoje za zakonitost, pri čemer ugotovimo, da bi cepljenje kot stvar javnega zdravja spravili pod točko e), ki se glasi “obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu”. Ustreza.

Za točko e) Splošna uredba dalje v tretjem odstavku 6. člena določa dodatne pogoje. Pravna podlaga za obdelavo mora biti določena s pravom Unije ali s pravom države članice. Na srečo to ni vse in se tretji odstavek še nadaljuje: “Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu.”. Niti s pravom Unije, niti s pravom članice ni urejeno zbiranje podatkov, kot jih zbira zVem, ampak kot smo ugotovili, je zbiranje kontaktnih podatkov potrebno za uspešno izvedbo naloge NIJZ v javnem interesu, torej cepljenja prebivalstva. Ustreza.

Potem imamo pa tukaj še določbo 13. člena Splošne uredbe, ki določa, da je treba osebam, na katere se nanašajo osebni podatki, ki se obdelujejo, dati določene informacije o obdelavi. Med podatki, ki jih je treba zagotoviti, so kontaktni podatki upravljavca, kontaktni podatki pooblaščenca za varstvo osebnih podatkov, uporabnike podatkov in podobno.

Po hitrem pregledu vstopne strani za registracijo ugotovimo, da so ti podatki res na voljo.

Vendar pa … Splošna uredba je večen vir presenečenj.

Aplikacija NIJZ omogoča tudi, da naročilo za cepljenje oddamo za drugo osebo, na primer za svoje stare starše, ki se z moderno tehnologijo, ki je potrebna za prijavo na cepljenje, ne razumejo povsem. Vredno pohvale. Ta dodatna funkcionalnost pa odpre vrata drugi določbi Splošne uredbe. 14. člen namreč določa informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo. Ob hitrem pregledu povezave na podatke po 14. členu nismo našli, prav tako iz obrazca aplikacije ni razvidno, da bi obstajal mehanizem za obveščanje posameznika, ki ga je na cepljenje prijavil nekdo drug. Verjetno bomo za primer dobre prakse s tega področja morali počakati še naslednje pol leta.

Od primera do primera

Izvajanje obsežnega cepljenja ni le logističen podvig, je tudi pravni. Velike obdelave osebnih podatkov zahtevajo tudi razmislek o tem, kako bomo obdelovali podatke, kako bomo skrbeli za njihovo varnost, ali jih sploh potrebujemo in kako jih bomo uporabili, da dosežemo cilje.

“Glas z ulice pravi”, da se pojavljajo težave. Obstajajo primeri, ko so posamezniki obveščeni o več terminih cepljenja. Obstajajo primeri, ko so posamezniki obveščeni o tem, da se umrli ne morejo prijaviti cepljenje (čeprav so še povsem živi), obstajajo pa tudi primeri, ko iz podatkov zVem izhaja, da so že bili cepljeni, čeprav niso bili. Vse skupaj kaže na spoštovanje načel zagotavljanja pravilnih podatkov v zbirkah na podlagi katerih se odloča o pravicah.

Če se to dogaja, se postavlja pod vprašaj pravna podlaga obdelave. Če se podatki namreč ne uporabljajo za učinkovitost izvedbe cepljenja, zakaj se potem sploh uporabljajo?