Sporočilo za javnost glede obdelave osebnih podatkov preko neodvisne spletne strani za zbiranje in prikazovanje podatkov o okužbi Covid-19 v Sloveniji https://covid-19-stats.si/ (COVID-19 SAM
+ -Informacijski pooblaščenec (IP) je danes prejel več deset prijav in vprašanja posameznikov glede zakonitosti obdelave podatkov o zdravstvenem stanju, ki jih posamezniki sami vnašajo preko spletne strani https://covid-19-stats.si/ (t.i. COVID-19 SAMOPOROČANJE). Zbiranje podatkov preko te spletne strani je namenjeno predstavitvi osveženih in podrobnih statistik o zdravih, okuženih, samoizoliranih in ozdravljenih Slovencih na nivoju Slovenije, regije in posamezne občine.
IP pozdravlja plemenite iniciative organizacij javnega in zasebnega sektorja za sprejemanje ukrepov za zajezitev in ublažitev posledic virusa COVID-19, tudi s pomočjo sodobne tehnologije, vendar opozarja, da morajo upravljavci in obdelovalci osebnih podatkov tudi v teh izjemnih časih zagotoviti varstvo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, še posebej takrat, ko se zbirajo tudi podatki o zdravstvenem stanju, saj pravila s področja varstva osebnih podatkov (Splošna uredba o varstvu podatkov, Zakon o varstvu osebnih podatkov-ZVOP-1) ne ovirajo sprejemanja ukrepov, potrebnih v boju proti pandemiji koronavirusa.
Zbiranje podatkov o počutju posameznikov preko spletne strani https://covid-19-stats.si/ poteka na način, da posameznik na spletni strani označi, ali kaže katerega od simptomov obolelosti s COVID-19, nato pa, glede na prisotnost ali odsotnost simptomov, označi zahtevane podatke (število družinskih članov gospodinjstva, simptome, datum zaznave prvih simptomov okužbe) ter vnese svojo EMŠO številko ter regijo in občino bivališča. Upravljavec na spletni strani sicer navaja, da ne zbira in ne obdeluje nobenih osebnih podatkov, saj se vpisana EMŠO številka ne pošlje preko spleta na njihov strežnik in se posledično tudi ne shranjuje. Pred pošiljanjem EMŠO številke se namreč na napravi uporabnika le-ta šifrira s SHA256 algoritmom, s čimer naj bi dosegel, da do na tak način preoblikovanih EMŠO številk, ki jih hrani, ni mogoče več priti oz. dostopati. Posledično naj tudi ne bi bilo možno priti do prave EMŠO številke osebe, ki je izpolnila obrazec na navedeni spletni strani.
IP opozarja, da pri uporabi SHA256 algoritma nikakor ne gre za anonimizacijo vnešenih podatkov in na tak način neprepoznavnih za kateregakoli uporabnika. Podatki so na ta način zgolj psevdonimizirani, to pomeni, da imajo še vedno naravo osebnih podatkov, ki jih je z uporabo določenih metod možno relativno hitro povrniti na prvotno vrednost. To pa pomeni, da mora upravljavec tudi v teh izjemnih časih in okoliščinah zagotoviti varstvo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, in sicer:
- zagotoviti zakonitost takšne obdelave (tj. razpolagati mora z ustrezno pravno podlago, ki je v konkretnem primeru lahko privolitev, upoštevaje dejstvo, da se obdelujejo tudi podatki v zvezi z zdravjem (točka (a) drugega odstavka člena 9 Splošne uredbe o varstvu podatkov), pri čemer mora biti privolitev prostovoljna, specifična, informirana in nedvoumna (podrobno na tej povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/privolitev/#c1923;
- ustrezno informirati posameznike, kar je predpogoj za zakonito obdelavo osebnih podatkov (člen 13 Splošne uredbe o varstvu podatkov),
- izvesti potrebno oceno učinka (podrobneje o tem na tej povezavi: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/) in
- zagotavljati vse ostale obveznosti, ki jim jih nalagata Splošna uredba o varstvu osebnih podatkov in ZVOP-1 ter drugi predpisi o varstvu osebnih podatkov (npr. Zakon o elektronskih komunikacijah).
Pri tem opozarjamo na pogosto napačno razumevanje, da namreč šifriranja osebnih podatkov ne smemo enačiti z anonimizacijo podatkov – ustrezno šifriranje preprečuje nepooblaščenim osebam seznanitev z vsebino, ne pomeni pa, da so podatki razosebljeni in da identifikacija oseb ni več možna. Šifrirani osebni podatki so psevdonimizirani osebni podatki in s tem še vedno osebni podatki (glej 5. točko člena 4 Splošne uredbe), ter tako ne anonimni podatki, zato je tudi za obdelavo zgolj psevdonimiziranih osebnih podatkov potrebna ustrezna pravna podlaga. To, da se pri šifriranju uporabijo enosmerni zgoščevalni oz. šifrirni algoritmi namreč ne pomeni, da izvornih podatkov ni nikoli mogoče restavrirati – to je zlasti možno, če vemo, kakšne vrste so bili izvorni podatki in toliko bolj, če so izvorni podatki posebej strukturirani, kot je npr. EMŠO ali davčna številka posameznika. Isti EMŠO bo vedno generiral isto šifrirano vrednost. Ugotavljanje izvornih podatkov pa je precej težje, če ne vemo, kakšne strukture so bili vhodni podatki (številka, beseda, daljši tekst, slika). Če pridejo v roke nepooblaščenim osebam psevdonimizirani osebni podatki je isto, kot če bi dobili neobdelane osebne podatke, le pod do identifikacije posameznikov bo mogoče nekoliko daljša. Do resnično anonimnih podatkov pridemo le z uporabo posebnih anonimizacijskih metod in tehnik (kot so npr. dodajanje šuma, permutacija, diferencirana zasebnost, združevanje, k-anonimnost, l-raznolikost in t-podobnost) in ne zgolj s kodiranjem, šifriranjem ali drugimi preslikavami 1:1.
Pomembno je tudi, da se zavedamo, da se osebni podatki nanašajo na določljive posameznike, a se moramo pri tem vprašati« ali se da posameznike iz podatkov določiti« in ne »ali jih mi znamo določiti«. Na določljivost moramo gledati široko - ali je ta možna, ali imajo drugi subjekti znanje, možnosti in podatki, s katerimi lahko pride do določljivosti podatkov.
Ob številnih pomislekih in skrbeh posameznikov IP verjame, da je z upoštevanjem potreb zdravstvene stroke, vsekakor možno razviti ustrezne aplikacije, ki zagotavljajo potrebne podatke, obenem pa spoštujejo občutljive podatke posameznikov. Prav zdravstveni podatki so najpogosteje tisti, katerih zloraba lahko omogoča najhujšo stigmatizacijo posameznikov.