Uporaba aplikacije za izvajanje elektronskega glasovanja

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za načelno opredelitev glede ustreznosti spreminjanja splošnih aktov univerze, s katerimi se ustvarjajo pravne podlage za uvedbo elektronskih volitev, še posebej pa izvajanja tajnega elektronskega glasovanja z integrirano aplikacijo za izvajanje hitrih spletnih (anonimnih) anket, pridobivanje povratnih informacij ipd. (ameriškega podjetja) v platformi za skupinsko sodelovanje v okolju Microsoft 365, kjer se kot avtentikacijski sistem za prijavo uporablja dodeljena digitalna identiteta (kombinacija e-naslova in gesla) posameznikom na univerzi. V zvezi s tem izražate številne pomisleke glede same varnosti in tajnosti volitev ter zastavljate več vprašanj skladnosti obdelav osebnih podatkov s predpisi varstva osebnih podatkov pri izvedbi elektronskih volitev s predstavljeno konkretno programsko rešitvijo.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1, v nadaljevanju: ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju: ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašimi vprašanji.

IP uvodoma poudarja, da v okviru mnenja ne more presojati ustreznosti določene programske rešitve, niti ne more vnaprej potrjevati posameznih rešitev z vidika skladnosti z obstoječimi predpisi s področja varstva osebnih podatkov. IP tako ne izvaja storitve pregleda ali vnaprejšnje odobritve različnih storitev, aplikacij ali drugih sistemov, ki jih uvajajo posamezni upravljavci, z vidika njihove skladnosti z veljavnimi predpisi. Presojo o ustreznosti lahko IP izvede le v okviru konkretnega inšpekcijskega postopka.

IP se v podrobno opisanem primeru tudi načelno ne more opredeljevati do ustreznosti spreminjanja splošnih aktov univerze, s katerimi se ustvarjajo pravne podlage za uvedbo elektronskih volitev in tajnega elektronskega glasovanja (akademskih) organov univerze, kot tudi ne do ustreznosti uporabljenih tehničnih rešitev in predpisanih postopkov za zagotavljanje varnosti in tajnosti glasovanja, saj to sodi med vprašanja glede katerih je univerza skladno z določbo 58. člena Ustave avtonomna in tako tudi ureja svoje zadeve v organizacijskem in funkcionalnem smislu.

IP pojasnjuje, da se pravila o varstvu osebnih podatkov ne uporabljajo zgolj za podatke, ki so ustrezno anonimizirani. Popolno anonimnost bi zaradi varnostnih in administrativnih razlogov (izpostavljenih v priloženem strokovnem mnenju) v konkretnem primeru bilo težko zagotoviti, saj je samo za dostop do programske opreme potreben podatek o identifikaciji upravičenega uporabnika, nadalje pa tistega posameznika, ki ima volilno pravico že zaradi preprečitve večkratne oddaje glasu istega posameznika, medtem ko se pri spremljanju rezultatov »v živo« in primerjanju rezultatov skozi čas lahko določljivo identificira tudi volivca in vsebino njegovega glasu.

Programska oprema in spletna orodja, katerih osrednja funkcionalnost je izmenjava in zbiranje podatkov (mnenj ali odločitev posameznika) v anonimni obliki na način, da iz njih ni mogoče izluščiti njegove identitete, še ne pomeni, da se pri njihovi uporabi ne obdelujejo nobeni osebni podatki, sploh če so kot vmesnik integrirana v določeno platformo, kjer se že zaradi zagotavljanja varnosti zahtevajo najmanj podatki o identifikaciji uporabnika, ki postanejo del gostiteljskega procesa obdelav podatkov, s tem pa običajno tudi del servisne pogodbe in pravnih norm predpisov varstva osebnih podatkov.

Upravljavec mora zato pred uvedbo rešitve presoditi dopustnost in sorazmernost obdelav osebnih podatkov glede na zasledovane cilje in dokumentirati skladnost obdelav s predpisi varstva osebnih podatkov ter sprejeti ustrezne varnostne ukrepe in politike zasebnosti za zagotovitev preglednih informacij o dejavnostih obdelav in njihovih glavnih značilnostih, kot to določa člen 13 Splošne uredbe o varstvu podatkov.

Vsaka obdelava osebnih podatkov mora potekati transparentno in skladno z določbami Splošne uredbe o varstvu podatkov in ZVOP-1. Upravljavec je dolžan posameznika vnaprej tako natančno seznaniti z izbrano rešitvijo, načinom njene namestitve in delovanja, da je posamezniku, katerega osebni podatki se pri uporabi obdelujejo jasno, kateri (vsi) osebni podatki in kdaj natančno se po telekomunikacijskem omrežju prenesejo kam (komu), za katere posamične namene se obdelujejo, na katerih pravnih podlagah, za koliko časa in kje se shranijo, kateri uporabniki jih obdelujejo in na kateri pravni podlagi, če jih obdelujejo za druge namene kot tiste, za katere so bili zbrani, ali je pri tem prišlo do prenosa v tretjo državo ali mednarodno organizacijo in kakšni zaščitni ukrepi so pri tem bili zagotovljeni, kdaj so posamični nameni dejavnosti obdelav izpolnjeni do te mere, da se podatki izbrišejo ali anonimizirajo ter kakšne pravice do tedaj posamezniki lahko uveljavljajo in pri komu. Navedene informacije morajo biti posameznikom podane jasno, pregledno in v razumljivi, lahko dostopni obliki.

Element prostovoljnosti sodelovanja v elektronski medmrežni izmenjavi osebnostnih mnenj in podatkov posameznika v primerjavi z elektronsko oddajo volilnega glasu po dolžnosti zaradi uresničevanja določenih pravic in svoboščin ima znatno drugačno težo pri oceni ustreznosti izbrane programske opreme z vidika vgrajene informacijske zasebnosti, ki zadeva varovanje in zaupnost podatkov tako med njihovih prenosom, kot pri njihovem shranjevanju in možnostih njihove uporabe za druge namene od tistih, za katere so podatki bili zbrani. Kadar lahko dejanja obdelav verjetno povzročijo veliko tveganje za pravice in svoboščine posameznikov, bi moral upravljavec, odgovoren za integracijo določene informacijske rešitve v svoje informacijsko okolje, izvesti ocene učinkov v zvezi z varstvom podatkov, skladno s členom 35 Splošne uredbe o varstvu podatkov, da bi ocenil predvsem izvor, naravo, posebnost in resnost tega tveganja. Rezultat ocene bi moral upravljavec upoštevati pri določitvi ustreznih ukrepov, da bi dokazal, da je obdelava osebnih podatkov z uporabo izbrane rešitve skladna s predpisi varstva osebnih podatkov.

Sama obdelava osebnih podatkov v okviru rešitve mora potekati na eni od pravnih podlag, kot jih določa člen 6 Splošne uredbe o varstvu podatkov. Ob tem mora upravljavec poskrbeti tudi za zavarovanje zbirke osebnih podatkov, ki nastane na podlagi uporabe rešitve. Gre za organizacijske in tehnične ukrepe, ki jih določata člen 32 Splošna uredba o varstvu podatkov in 24. in 25. člen ZVOP-1. Dodatne informacije v zvezi z zavarovanjem osebnih podatkov so na voljo v smernicah IP, ki so dostopne na spletni strani IP:

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_zavarovanju_OP.pdf

Ob tem IP posebej opozarja na načelo najmanjšega obsega podatkov, ki določa, da morajo biti pod pogojem, da obstaja pravna podlaga, osebni podatki, ki se obdelujejo, ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Navedeno načelo pomeni, da je potrebno obdelovati samo (ali največ) toliko osebnih podatkov uporabnikov in zgolj (največ) toliko časa, kolikor je nujno potrebno za izpolnitev zasledovanega namena ali cilja (v konkretnem primeru elektronskega (tajnega) glasovanja v razmerah izvajanja ukrepov za omejitev in ublažitev COVID-19). Nujnost je pravni pogoj, ki lahko upraviči omejitve svoboščin, če so te omejitve sorazmerne in omejene na obdobje izrednih razmer. Na podlagi pojasnjenega IP poudarja, da je upravljavec v danih okoliščinah še vedno odgovoren za presojo ustreznosti in nujnosti izbrane rešitve ter zakonitosti in sorazmernosti obdelav osebnih podatkov, ki se izvajajo v okviru njenega delovanja.

Kadar upravljavec o namenih in sredstvih, ki so potrebna za nemoteno in učinkovito delovanje rešitve in o načinu zagotavljanja varnosti in dostopa do podatkov posameznikov, katerih osebni podatki se obdelujejo v njenem okviru ne odloča (sam) ali na to celo nima nobenega vpliva, razen v primeru, če aplikacije sploh ne uvede, bi moral s ponudnikom, ki določa namene in sredstva obdelav z aplikacijo zbranih podatkov (npr. skupno rabo informacij, kot so podatki o računu in profilu ali nastavitvi podporne platforme kot to izhaja iz politike zasebnosti v konkretnem primeru), vnaprej jasno dogovoriti pristojnosti in odgovornosti za zagotavljanje varnosti osebnih podatkov in varstva pravic ter svoboščin posameznikov, toliko bolj, če gre hkrati za prenos podatkov v tretjo državo ali mednarodno organizacijo, kjer niso zagotovljeni zadostni zaščitni ukrepi.

Glede na dejstvo, da se (edina) ustanovitev ponudnika (proizvajalca) konkretne aplikacije nahaja v ZDA, torej v t.i. tretji državi, bi moral upravljavec podatkov, kot izvoznik podatkov, pred pričetkom uporabe izbrane rešitve zagotoviti tudi skladnost s Poglavjem V Splošne uredbe o varstvu podatkov (Prenos osebnih podatkov v tretje države ali mednarodne organizacije). Določbe Poglavja V Splošne uredbe o varstvu podatkov opredeljujejo ukrepe, ki zagotavljajo, da osebni podatki ostanejo varovani, in sicer na način, ki je v bistvu skladen z ravnjo varstva osebnih podatkov v EU, tudi po prenosu v tretje države. Ob upoštevanju, da je bil t.i. zasebnostni ščit EU-ZDA (Privacy Shield) za prenos podatkov razveljavljen, se lahko prenos v ZDA izvrši na podlagi ustreznih zaščitnih ukrepov iz člena 46 Splošne uredbe o varstvu podatkov. V konkretnem primeru se zdi najprimernejši ustrezni zaščitni ukrep sprejem t.i. standardnih pogodbenih določil iz člena 46(2)(c), vsekakor pa je odločitev o izbiri ukrepa za zagotovitev ustreznega varstva osebnih podatkov ob prenosu v tretje države na strani upravljavca, ki je skladno z načelom odgovornosti iz člena 5 Splošne uredbe o varstvu podatkov odgovoren za zakonito obdelavo osebnih podatkov.

IP sklepno poudarja, da v okviru pristojnosti za izdajo mnenj ne more in ne sme namesto upravljavcev sprejemati odločitev glede zagotovitve skladnosti pri izvajanju konkretnih dejavnosti obdelav osebnih podatkov. Odgovornost za zagotovitev pogojev skladnosti je na upravljavcu osebnih podatkov, ki je dolžan skladnost tudi izkazati (člen 24 v povezavi s členom 5(2) Splošne uredbe o varstvu podatkov). Splošna uredba o varstvu podatkov v členu 25 upravljavcu med ostalim nalaga obveznost, da pred obdelavo zagotovi vgrajeno in privzeto varstvo osebnih podatkov, ki vključuje odgovornost, da upravljavec pred dejansko obdelavo zagotovi ukrepe za spoštovanje načel varstva osebnih podatkov, vključno z načelom zakonitosti obdelave osebnih podatkov.

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka