Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Mnenje glede ocene učinka na varstvo podatkov v zvezi s spletno aplikacijo COVID-19 Samoporočanje

+ -
Datum: 01.04.2020
Številka: 07122-1/2020/1
Kategorije: EMŠO in davčna, Ocene učinkov v zvezi z varstvom podatkov, Posebne vrste, Privolitev, Rok hrambe OP, Statistika in raziskovanje, Svetovni splet, Vgrajeno in privzeto varstvo podatkov, Zavarovanje osebnih podatkov, Zdravstveni osebni podatki, Anonimizacija/psevdonimizacija

Prejeli smo vaš dopis, s katerim ste nam v predhodno posvetovanje poslali oceno učinka na varstvo podatkov v zvezi s spletno aplikacijo COVID-19 Samoporočanje.

* * *

1. Uvodoma

Informacijski pooblaščenec (v nadaljevanju: IP) uvodoma pojasnjuje, da je po določbi člena 35(1) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba) ocena učinka v zvezi z varstvom osebnih podatkov (v nadaljevanju: ocena učinka) potrebna, kadar „je možno, da bi [dejanje obdelave] lahko povzročil[o] veliko tveganje za pravice in svoboščine posameznikov“. Upravljavec podatkov mora nato oceniti tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in opredeliti ukrepe, predvidene za zmanjšanje navedenih tveganj na sprejemljivo raven, ter dokazati skladnost s Splošno uredbo (člen 35(7)). Skladno s priporočili Evropskega odbora za varstvo podatkov (ang. EDPB, evropski odbor), kot so navedena v smernicah o ocenah učinka[1], velja, da če je upravljavec podatkov štel, da so tveganja zadosti zmanjšana, se lahko glede na razlago člena 36(1) Splošne uredbe ter uvodnih izjav (84) in (94) obdelava nadaljuje brez posvetovanja z nadzornim organom. Upravljavec podatkov se mora z nadzornim organom posvetovati v primerih, ko opredeljenih tveganj ne more ustrezno obravnavati (tj. preostala tveganja ostajajo velika). 

Kot je pojasnjeno v smernicah evropskega odbora, med nesprejemljivo veliko preostalo tveganje spadajo primeri, ko lahko posameznika, na katerega se nanašajo osebni podatki, doletijo pomembne ali celo nepopravljive posledice, ki jih ta ne more odpraviti (na primer nezakonit dostop do podatkov, zaradi katerega je ogroženo življenje posameznikov, na katere se nanašajo osebni podatki, ali zaradi katerega je lahko posameznik odpuščen ali v finančnih težavah), in/ali kadar se zdi očitno, da se bo navedeno tveganje uresničilo (na primer ker ne bo mogoče zmanjšati števila oseb, ki imajo dostop do podatkov, zaradi načinov njihove izmenjave, uporabe ali razširjanja, ali kadar znana ranljivost ni odpravljena).

Upravljavec podatkov se mora posvetovati z nadzornim organom vedno, kadar ne najde zadostnih ukrepov za zmanjšanje tveganj na sprejemljivo raven (tj. so preostala tveganja še vedno visoka). Poleg tega se mora upravljavec posvetovati z nadzornim organom vedno, kadar je to potrebno v skladu s pravom države članice in/ali kadar mora v skladu z njim pridobiti predhodno dovoljenje nadzornega organa glede obdelave za izvajanje naloge, ki jo upravljavec izvede v javnem interesu, vključno z obdelavo v zvezi s socialno zaščito in javnim zdravjem (člen 36(5)). Evropski odbor še poudarja, da obveznost hrambe evidence ocene učinka in njenega posodabljanja ostaja, ne glede na to, ali je glede na raven preostalega tveganja posvetovanje z nadzornim organom potrebno ali ne.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi točke (a) člena 58(3), v povezavi s členom 35 in 36 Splošne uredbe, 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi s predloženo oceno učinka.

* * *

2. Pregled ocene učinka

Ob pregledu ocene učinka ugotavljamo, da je bila ocena učinka pripravljena primarno z namenom analize možnosti izvedbe spletne aplikacije COVID-19 Samoporočanje na način, da se pri tem ne bi obdelovalo osebnih podatkov.

2.1 Splošne ugotovitve

Pregled ocene učinka se v nadaljevanju opravi s formalnega in vsebinskega vidika.

2.2 Formalni pregled celovitosti ocene učinka

IP je najprej pregledal predloženo oceno učinka z vidika njene celovitosti skladno s členom 36(7) Splošne uredbe in priporočili Evropskega odbora za varstvo podatkov (ang. EDPB, evropski odbor), kot so navedena v Prilogi 2 smernic o ocenah učinka.

S pomočjo kontrolnega seznama za celovitost ocene učinka iz priloge 2 smernic o ocenah učinka ugotavljamo, da so delno izpolnjene naslednje zahteve glede celovitosti ocene učinkov:

  • Podan je sistematičen opis obdelave (člen 35(7a)):
  • upoštevani so narava, obseg, okoliščine in namen obdelave (uvodna izjava (90));
  • deloma je opredeljen je nabor podatkov, upravljavci in uporabniki ter roki hrambe;
  • podan je opis podatkovnih tokov in udeleženih subjektov;
  • delno so opredeljena sredstva obdelave osebnih podatkov (strojna in programska oprema, omrežja, človeški viri, komunikacijska sredstva);

Glede nabora podatkov niso opredeljeni podatki, ki se posredujejo spletnemu strežniku ob vnosu podatkov (kot, npr. IP naslov in ostala vsebina podatkov uporabniške seje) ter nameni in  roki hrambe teh podatkov. Sredstva obdelave osebnih podatkov so delno opredeljena (strojna in programska oprema, omrežja, človeški viri, komunikacijska sredstva).

  • Obvladovana so tveganja za pravice in svoboščine posameznika:
  • podana je ocena izvora, narave, posebnosti in resnosti tveganj (uvodna določba 84), pri čemer so tveganja ocenjena z vidika posameznika, tako da:
    • so upoštevani viri tveganj (uvodna določba 90);
    • so upoštevani možni učinki na pravice posameznika v primeru nezakonitega dostopa, spremembe ali izgube podatkov;
    • sta ocenjeni verjetnost in resnost tveganj (uvodna določba 90);
  • opredeljeni so ukrepi za obvladovanje tveganj (člen 35(7d) in uvodna določba 90).

IP pozdravlja, da sta ocenjeni tako verjetnost in resnost tveganj (uvodna določba 90), opredeljeni ukrepi za zamejitev tveganj ter ocenjena tudi raven tveganja po izvedenih ukrepih za zamejitev tveganj.

Ocena učinka glede na kontrolni seznam za celovitost ocene učinka iz priloge 2 smernic o ocenah učinka ne vsebuje:

  • ukrepov, ki prispevajo k varstvu pravic posameznika:
    • pravica do seznanitve in prenosljivosti podatkov (člena 15 in 20);
    • pravica do popravka in izbrisa podatkov (členi 16, 17 in 19);
    • pravica do ugovora in omejitve obdelave (členi 18, 19 in 21);
    • odnosi s (pogodbenimi) obdelovalci;
    • varovalke glede prenosa v tretje države;
  • ukrepov, ki prispevajo k informiranju posameznika o obdelavi podatkov (členi 12, 13 in 14).
  • Vključitev zainteresiranih strani – ali so bila pridobljena so mnenja posameznikov oziroma predstavnikov posameznikov, kjer je to primerno (člen 35(9)).

Iz predložene ocene učinka ni razvidno, ali so bila pridobljena mnenja posameznikov oziroma njihovih predstavnikov, kjer je to primerno (člen 35(9)) oz. zakaj ne ter ali obstaja dokumentacija o tovrstnem posvetovanju oziroma o razlogih, zakaj posvetovanje ni bilo opravljeno. Kot pojasnjujemo v nadaljevanju je v konkretnem primeru relevantno predvsem stališče zdravstvene stroke.

2.3 Vsebinski pregled ocene učinka

Pregled ocene tveganj in ukrepov za njihovo obvladovanje izvedemo po temeljnih načelih varstva osebnih podatkov:

  1. zakonitost, poštenost in preglednost,
  2. omejitev namena,
  3. najmanjši obseg podatkov,
  4. točnost,
  5. omejitev shranjevanja,
  6. celovitost in zaupnost,
  7. odgovornost.

V predloženi oceni učinka tveganja so obravnavana po temeljnih načelih, kot je priporočljivo zaradi celovitosti in konsistentnosti. Razdelitev tveganja po temeljnih načelih pripomore k temu, da se določena tveganja ne zapostavijo oz. spregledajo, prav tako velja upoštevati vse zahteve in dolžnosti, ki jih določa Splošna uredba (npr. glede pogodbene obdelave, evidentiranja dejavnosti, informiranja in pravic posameznikov ipd.).

IP meni, da bi morala biti obravnavana tudi tveganja, ki so povezana z uveljavljanjem pravic posameznika (členi 15 do 22 Splošne uredbe). Tako je treba obravnavati npr. tveganje, da posamezniku ne bo mogoče omogočiti izvajanja pravice do dostopa, popravka ali izbrisa podatkov ali da to ne bo možno zagotoviti v predpisanem roku.

Eno ključnih tveganj pri vsaki obdelavi osebnih podatkov je vnaprejšnja in natančna opredelitev in preveritev pravnih podlag za obdelavo osebnih podatkov.

Kot izhaja iz vaših pojasnil, je bila ocena učinka pripravljena v luči analize tveganj in prilagoditve delovanja spletne aplikacije tako, da bi ponovnem zagonu spletne aplikacije ne bi šlo za obdelavo osebnih podatkov.

Gre vsekakor za ključno vprašanje, pri čemer je treba nujno opozoriti, da je anonimizacija zdravstvenih podatkov izjemno težka. V ponazoritev: podatki, da je imela oseba x npr. zlom stegnenice leta 2012 in vnetje žolčnika leta 2015, brez kakršnihkoli identifikatorjev, tudi naključno dodeljenih, že omogočajo določljivost tega posameznika, saj je, kot smo opozarjali, na določljivost posameznika treba gledati na široko – ali je možna z upoštevanjem drugih resursov, drugih podatkov in drugih zmožnosti. Seveda določljivost v konkretnem primeru ni omogočena komurkoli, a določljivost je možna, saj je zelo malo verjetno, da obstajata dva posameznika z istimi zdravstvenimi težavami – če to vzamemo kot vhodni podatek lahko iz zdravstvenega sistema osebe, ki imajo dostop do ustreznih podatkov, enostavno določijo, za katero osebo gre. Zgoraj uporabljani primer se seveda razlikuje od konkretne situacije, kjer je treba priznati, da je določljivost posameznika težja – uporabljen je predvsem za namen boljšega razumevanja.

Zaradi posebne občutljivosti zdravstvenih podatkov, katerih javna objava, zloraba ali drugačno napačno ravnanje s podatki ima za posameznika pomeni zelo hude težave, je treba k anonimizaciji zdravstvenih podatkov pristopiti z vso skrbnostjo in največji možni meri zmanjšati tveganja ponovne identifikacije posameznikov iz zbranih podatkov. Klasična napaka in napačno prepričanje je, da se anonimizacijo lahko zagotovi z uničenjem identifikacijskih podatkov[2] (npr. imen in priimkov, uporabniških imen, e-naslovov, IP naslovov, EMŠO, davčnih in drugih identifikatorjev posameznikov) – posamezniki so lahko določljivi tudi iz njihovih transakcijskih podatkov (podatkov o nakupih, gibanju, klicih, zdravstvenih dogodkih itd.), možnost ponovne identifikacije pa z velikostjo baze narašča. Tako identifikacijski kot transakcijski podatki se štejejo za osebne podatke, če se nanašajo na določljivega posameznika. Gre za pogosto napačno razumevanje, zato na to dejstvo posebej opozarjamo.

Uporaba naključnih identifikatorjev dejansko lahko oteži ponovno identifikacijo posameznikov iz zbranih podatkov, vendar pa  - upoštevaje zgoraj navedeno - ni nujno, da jo tudi povsem onemogoči. Treba je izključiti tudi možnost, da bi bil posameznik določljiv celo brez uporabe katerihkoli enoličnih identifikatorjev, saj je lahko entropija zbranih podatkov tudi brez enoličnih identifikatorjev lahko dovolj velika, da je ponovna identifikacija vsaj dela oseb možna. Kakšna je ta možnost zelo težko sodimo brez poglobljenih analiz. Ponovno opozarjamo na vsa tveganja v povezavi z določljivostjo posameznikov, kot so našteta v smernicah Evropskega odbora za varstvo podatkov glede anonimizacijskih metod in tehnik:

https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_sl.pdf

Glede na navedeno menimo, da je priporočljivo in bolj odgovorno izhajati iz premise, da je delovanje zadevne spletne aplikacije povsem brez obdelave osebnih podatkov zelo težavno, in da se do zbiranja podatkov pristopi tako, da se zbrani podatki štejejo kot osebni podatki, tudi če se uporabi naključne identifikatorje. To ni prepovedano, morajo pa v celoti biti spoštovane zahteve Splošne uredbe, torej predvsem:

    • Ustrezno informiranje posameznika po členu 13 Splošne uredbe preden vpisuje svoje podatke[3], pri čemer je treba posameznike jasno in natančno obvestiti, da ne gre za sporočanje anonimnih podatkov temveč, da anonimnosti posameznika ni nujno mogoče z gotovostjo zagotoviti zaradi možnosti določljivosti posameznike že iz samih zdravstvenih podatkov posameznika. Posameznike je treba informirati tudi o obsegu, namenih in rokih hrambe[4] tudi za podatke iz seje uporabnika. Jasno mora biti opredeljeno, kdo je upravljavec podatkov.
    • Privolitev posameznika mora izpolniti vse zahteve za njeno veljavnost (https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/#c1923;).
    • Zagotovitev ustreznih postopkov za varnost podatkov (tehničnih in organizacijskih ukrepov);
    • Upoštevanje temeljnih načel varstva osebnih podatkov, s posebnim poudarkom na načelu sorazmernosti ter načelu vgrajenega in privzetega varstva osebnih podatkov. Tu poudarjamo, da - kolikor še ni bilo - bi bilo potrebno primarno pridobiti stališče zdravstvene stroke, ali in kateri podatki so za njihovo učinkovito delovanje sploh relevantni in potrebni in to stališče upoštevati pri naboru podatkov, ki se vpisujejo in obdelujejo.

Kot ste namreč pojasnili, so nameni zbiranja podatkov, cit.:

  • grafični in tabelarični prikaz agregiranih podatkov na nivoju države/regije/občine;
  • grafični in tabelarični prikaz projekcije agregiranih podatkov na celotno populacijo na nivoju države/regije/občine;
  • usmerjanje posameznikov na ustrezne spletne vsebine glede na njihov vnos (z ali brez simptomov).

Upoštevaje temeljeno načelo minimizacije obdelave podatkov za doseganje cilje oziroma namenov se tako kot možnost kaže sprotna (torej praktično v realnem času) agregacija podatkov, ki se zapišejo v bazo pri upravljavcu podatkov. Na ta način se da v veliki meri zmanjšati možnosti za ponovno identifikacijo, je pa treba upoštevati, da takšen način onemogoča naknadno popravljanje vnesenih individualnih podatkov, saj v takšnem primeru ti praktično že takoj po samem posredovanju ne obstajajo več. Če so nameni pridobivanja podatkov, kot tudi sami navajate, zgolj agregatne analize in statistike, potem je to gotovo opcija, ki je vredna razmisleka. Zelo verjetno je z ustrezno prilagoditvijo delovanja spletne aplikacije vse navedene namene možno doseči s sprotnim agregiranjem vnesenih podatkov (praktično v realnem času), tako da se individualni vnosi (za posameznika) takoj po agregaciji nikjer ne hranijo. Rok hrambe vnesenih osebnih podatkov je torej le do izvedene agregacije.  Prav tako je tudi namen usmerjanja posameznikov na ustrezne spletne vsebine glede na njihov vnos je možno doseči brez hrambe individualnih podatkov, saj zadostuje ustrezen algoritem glede na izbrane opcije.

Glede naknadnega popravljanja podatkov s strani posameznikov, pri katerih se je stanje spremenilo, opozarjamo, da iz predložene ocene učinka ni razvidno, kako se dodeli naključni identifikator in kakšna je njegova povezava z EMŠO, ter ali je za naključno dodelitev identifikatorja EMŠO sploh potreben. Kot smo že opozorili običajne zgoščene vrednosti podatkov (hash) ne zagotavljajo anonimnosti podatkov.

Če obstaja dejanska potreba po določitvi identifikatorjev, potem je k temu treba pristopiti s t.i. soljenjem, torej da se hash ali naključna vrednost izračuna z uporabo dodatnega niza podatkov (angl. salted hash[5]); s čimer ste verjamemo seznanjeni. Priporočljivo je, da je ta niz znan samo upravljavcu, da je dovolj dolg in da se po možnosti spreminja za vsako izračunano vrednost. Ob takšnem ustreznem preoblikovanju podatkov in brez hrambe izvornih podatkov je možnost ponovne identifikacije zelo težka.

Če torej obstaja utemeljena potreba po možnosti naknadnega popravljanja podatkov s strani posameznikov in uporabe enoličnih identifikatorjev, potem se dejansko ni mogoče izogniti obdelavi osebnih podatkov, saj posameznik ne bi smel popravljati podatkov za druge posameznike Odgovor na to vprašanje bi z vidika potrebe po podatkih morala podati zdravstvena stroka, izvedba dodeljevanja naključnega identifikatorja pa bi v primeru potrebnosti morala upoštevati zgoraj opisani pristop.

3. Zaključno

IP zaključno poudarja, da mnenje, ki ga IP izda na podlagi člena 36 Splošne uredbe, temelji zgolj na informacijah, ki so mu bile posredovane in ne more veljati kot zagotovilo ali potrditev nadzornega organa za varstvo osebnih podatkov, da bo zadevna obdelava zakonita, saj se to lahko ugotovi le v okviru uradnega inšpekcijskega postopka. IP ne razpolaga z vsemi informacijami, ki so bile vhodni podatki za izdelavo ocene učnika, in kot nadzorni organ ne more prevzemati svetovalne vloge upravljavcem, kako izvesti določeno obdelavo osebnih podatkov skladno z zakonodajo, zaradi česar je odgovornost za skladnost z zakonodajo vedno v prvi vrsti na strani upravljavcev.

Zavedamo se, da se mogoče zapisano zdi kompleksno, a verjamemo, da se z dovolj znanja in truda da izpeljati številne projekte in to na način, da se zagotovi varstvo osebnih podatkov, ne pa ogrozi. To dokazujejo tudi številne delujoče in zakonite informacijske rešitve, kjer se obdeluje še večji nabor še bolj tveganih osebnih podatkov. Običajno se projektov ne izpelje zato, »ker se ne da zaradi varstva osebnih podatkov«, ampak prej zato, ker se varstva osebnih podatkov ne razume ali ne upošteva dovolj. Tudi sam zakonodajni okvir snovalce projektov »sili« v to, da varstvo osebnih podatkov pravočasno vgradijo v svoje rešitve (člen 25 o vgrajenem in privzetem varstvu podatkov, člen 35 o predhodnih ocenah učnika na varstvo osebnih podatkov).

Upamo na vaše razumevanje, da Informacijski pooblaščenec ne more namesto vas sprejemati odločitev, da pa se v največji možni meri trudimo podati vsa možna pojasnila, opozorila, priporočila in napotke na druga obstoječa gradiva, saj je tudi naš namen v največji meri prispevati k čim hitrejši zajezitvi širjenja epidemije COVID-19. Glede na naše poslanstvo smo dolžni opozarjati na napake pri zbiranju in obdelavi osebnih podatkov, zlasti ko gre za zdravstvene osebne podatke, kot se je pa velikokrat pokazalo, z dovolj znanja in truda varstvo osebnih podatkov ni ovira. Ravno obratno – upoštevanje temeljnih načel varstva osebnih podatkov se vedno bolj kaže kot prednost, ki omogoča zaupanje tako javnosti kot posameznikov, neupoštevanje pa lahko vodi v neuspešne projekte, ki ne nudijo zaupanja in lahko kršijo zakonodajo. Pravočasno upoštevanje in vgrajevanje varstva osebnih podatkov v informacijske rešitve že v dizajnu rešitev bo vedno bolj konkurenčna prednost in pomemben gradnik uspešnih informacijskih projektov; verjamemo, da se tega tudi sami zavedate.

Upamo, da smo vam z našim mnenjem pomagali in da se bodo našle ustrezne rešitve, saj smo kot rečeno vsi skupaj v boju proti širjenju epidemije.

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav.,                                                 

informacijska pooblaščenka

Pripravil:

                                                                                                                                 

mag. Andrej Tomšič,

namestnik informacijske pooblaščenke       

                                              

           

[1] Smernice glede ocene učinka v zvezi z varstvom podatkov in opredelitve, ali je „verjetno, da bi [obdelava] povzročila veliko tveganje“, za namene Uredbe (EU) 2016/679, 17/SL, DS 248 rev.01; dostopno na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/Mednarodno_delovanje/wp248_rev.01_sl.pdf

[2] V javnosti je znan predvsem primera AOL: https://en.wikipedia.org/wiki/AOL_search_data_leak. Podrobno o tej temi glej Ohm, Paul: BROKEN PROMISES OF PRIVACY: RESPONDING TO THE SURPRISING FAILURE OF ANONYMIZATION, 2009; dostopno na: https://digitalcommons.law.scu.edu/cgi/viewcontent.cgi?article=1016&context=hightechevents.

[3] V pomoč je lahko ustrezno upoštevan obrazec IP: https://www.ip-rs.si/fileadmin/user_upload/doc/vzorci/VZOREC_OBVESTILA_POSAMEZNIKOM_GLEDE_OBDELAVE_OSEBNIH_PODATKOV.docx

[4] Roki hrambe teh podatkov (dnevniške datoteke spletnega strežnika) morajo biti sorazmerni glede na namen uporabe teh podatkov, če je sploh kakšen.

[5] Več o tem npr.: https://crackstation.net/hashing-security.htm