Mnenje glede anonimizacije zdravstvenih podatkov pri delovanju spletne aplikacije

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje in sicer anonimizacije zdravstvenih podatkov pri delovanju spletne aplikacije, Kot ste pojasnili, se zavedate, da je v primeru obdelave občutljivih zdravstvenih osebnih podatkov posameznikov potrebno pridobiti stališče zdravstvene stroke za več aspektov obdelave, npr. katere podatke zbirati, ali omogočiti naknadno popravljanje podatkov itd., žal pa slovenska zdravstvena stroka ne želi sodelovati in praviloma odgovarja z molkom, razen nekaj posameznikov, katerih stališče seveda ne more biti relevantno. Kot navajate je to v bistvu edini razlog, da želimo podatke obdelovati tako, da ne bodo obravnavani kot osebni podatki.

Glede agregiranja ste pojasnili, da se pri postopku sprotnega agregiranja podatkov podatki prenašajo od klienta do serverja preko HTTP GET zahtevka po SSL protokolu in ta zahtevek je obdelan tako, da se podatki posameznika ne shranijo v bazo podatkov kot posamezni zapis, ampak se v ustrezne agregate prišteje vrednost 1. Torej se podatek o posamezniku tehnično gledano nahaja samo nekaj milisekund v HTTPS GET zahtevku in iz zahtevka se na strežniku preberejo podatki, povečajo ustrezni agregati, zahtevek sam pa je po tem pozabljen. Primer: pri zbiranju samo podatka o stanju NEOKUŽEN/OKUŽEN, datuma pojavitve simptomov, statistične regije in občine, bi se torej v primeru vpisa osebe, ki sklepa da je okužena in je opazila simptome 18.3.2020 ter je iz Ljubljane v Osrednjeslovenski regiji, najpodrobnejšemu možnemu agregatu OKUŽEN/18.3.2020/Osrednjeslovenska/Ljubljana prištela vrednost 1.

Zanima vas, ali menimo, da gre v tem primeru (zgornji odstavek) za obdelavo osebnih podatkov in ste zato zavezani GDPR in ZVOP-1 ter tega ne smemo početi brez stališča zdravstvene stroke?

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

IP uvodoma pojasnjuje, da je možnost določljivosti posameznika, kolikor bi sistem deloval, kot ste opisali in bi se vneseni osebni podatki praktično v realnem času agregirali (ob tem bi tudi hramba podatkov o seji uporabnika morala biti zavržena v čim krajšem času ter bi bila upoštevana naša opozorila iz mnenja št. 07122-1/2020/1, dejansko zelo nizka oziroma malo verjetna. Vendar pa gre za oceno, ki je povezana z določenimi tveganji. V primeru, da se izkaže, da je bila vendarle napačna, potem je prišlo do zbiranja osebnih podatkov, za katere se je predpostavljalo, da niso osebni podatki in bi bila torej celotna obdelava verjetno nezakonita.

Upamo, da razumete, da te odločitve namesto vas IP ne more sprejeti – organizacijam lahko pomagamo z nezavezujočimi mnenji, smernicami, opozorili in priporočili, ne moremo pa namesti njih sprejemati odločitev in oblikovati informacijskih rešitev.

Posledično kljub zelo majhni verjetnosti, da  gre ob zgoraj opisanih predpostavkah, za osebne podatke, je za vse, tako za tistega, ki postavlja sistem, kot za posameznike bolj varno, da se k zadevi pristopi s predpostavko, da gre za osebne podatke, ki pa se zelo hitro agregirajo ob tem pa ne hranijo surovi vhodni podatki. Navedeno ne pomen, da je projekt nemogoče izvesti – ključno je predvsem natančni in jasno informiranje posameznikov. Posameznike bi bilo treba ustrezno informirati, pridobiti njihovo privolitev (ta je lahko podana po elektronski poti z označitvijo vnaprej praznega polja ob pogoju ustrezne predhodne informiranosti). Povsem ustrezno in primerno je, da se uporabnikom tudi pošteno pove, kako se s podatki ravna, kateri podatki se hranijo v bazi in kateri ne) in da se praktično v realnem času agregirajo. Tveganja z vidika osebnih podatkov so pri ustrezno agregiranih podatkih ob zavrženju vhodnih podatkov temu primerno majhna, obenem so manjše odgovornosti upravljavca (npr. glede pravic posameznika, saj iz agregiranih podatkov ne more identificirati posameznika in izpolnjevati zahtev glede njegovih pravic).

Menimo pa, da je potrebno opozoriti še na nekaj – kot navajate, se zavedate, da je v primeru obdelave občutljivih zdravstvenih osebnih podatkov posameznikov potrebno pridobiti stališče zdravstvene stroke za več aspektov obdelave, npr. katere podatke zbirati, ali omogočiti naknadno popravljanje podatkov itd., kar poizkušate pridobiti že od 16.3.2020, žal pa slovenska zdravstvena stroka ne želi sodelovati in praviloma odgovarja z molkom, razen nekaj posameznikov, katerih stališče seveda ne more biti relevantno. Niso nam znani razlogi, zakaj zdravstvena stroka ni odzivna, saj je vzrok za to lahko splošna preobremenjenost v trenutnih časih, lahko pa je tudi posredno izraženo stališče, da takšni podatki za njihovo delo niso potrebni? Če je temu tako, je seveda pod vprašaj postavljana smiselnost razvoja tovrstne aplikacije. V vsakem primeru bi priporočili, da od zdravstvene stroke glede tega dobite jasne in neposredne odgovore. Stališče zdravstvene stroke formalno gledano ni nujno za zakonitost obdelave, vendar pa lahko da precejšnjo težo samemu namenu pridobivanja podatkov in s tem samemu smislu aplikacije. Če namreč zdravstvena stroka ne vidi potrebe po teh podatkih, potem je dejansko vprašljivo, zakaj vlagati resurse v razvoj in ob tem sprejemati odločitve in z njimi povezana tveganja.

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

Pripravil:                                                                                                                       

mag. Andrej Tomšič,
namestnik informacijske pooblaščenke