Informacijski pooblaščenec Republika Slovenija
   
dekorativna slika

Svetovna skupščina za zasebnost (Globaly Privacy Assembly – GPA)

+ -

Svetovna skupščina za zasebnost (ang. Globaly Privacy Assembly – GPA; prej imenovana Mednarodna konferenca pooblaščencev za varstvo podatkov in zasebnost; ang. International Conference of Data Protection and Privacy Commissioners – ICDPPC) že štiri desetletja predstavlja vodilni svetovni forum na področju varstva podatkov in zasebnosti ter povezuje prizadevanja več kot 130 nadzornih organov za varstvo zasebnosti in podatkov z vsega sveta. V zadnjem letu posebno pozornost posveča zlasti naslavljanju izzivov s področja varstva zasebnosti, s katerimi se države in nadzorni organi srečujejo pri ukrepanju glede epidemije.

Na spletnem mestu https://globalprivacyassembly.org/ se nahajajo številni dokumenti in uporabna gradiva, ki so jih pripravili nadzorni organi v okviru skupščine ter izbor informacij o preteklih in sedanjih dejavnostih ter prihodnjih načrtih.

V spodaj navedenih dokumentih izpostavljamo pomembne resolucije GPA, sprejete na 44. zasedanju skupščine, ki je potekalo v letu 2022 v Turčiji:

Resolucije sprejete na zasedanjih v preteklih letih so dostopne na tej povezavi (https://globalprivacyassembly.org/document-archive/adopted-resolutions/).

Izjava Svetovne skupščine za zasebnost o uporabi zdravstvenih podatkov za namene potovanj

Izvršni odbor Svetovne skupščine za zasebnost (Global Privacy Assembly - GPA), ki povezuje več kot 130 nadzornih organov s področja varstva osebnih podatkov in zasebnosti po svetu, je podala skupno izjavo o uporabi zdravstvenih podatkov za namene domačih in mednarodnih potovanj. V izjavi je združenje poudarilo pomen koncepta vgrajene zasebnosti pri izmenjavi zdravstvenih podatkov med epidemijo covida-19 za namene potovanj.

Mnoge države po svetu sprejemajo ukrepe za zajezitev širjenja virusa covid-19, ki se nanašajo tudi na področje potovanj. Za potnike ti ukrepi pogosto pomenijo, da se kot pogoj za možnost potovanja odredi izmenjava zdravstvenih podatkov, kot so negativni izvid testiranja, podatki o cepljenju idr. Tehnologija omogoča izmenjavo teh podatkov v velikem obsegu in z izjemno hitrostjo, zato bi morali biti sistemi, ki omogočajo obdelavo zdravstvenih osebnih podatkov, zasnovani in razviti na način, ki najbolj varuje zasebnost posameznikov. Inovacije in zasebnost bi morale iti skupaj z roko v roki.

Posamezniki morajo imeti zaupanje v to, kako se obdelujejo njihovi zdravstveni podatki za namene potovanj, zaradi česar je nujno, da se podatki obdelujejo varno; da zahtevani podatki niso prekomerni; da so posamezniku na voljo jasne in dostopne informacije o načinih uporabe njihovih podatkov; da se podatki obdelujejo zgolj za določen namen; in da se podatki ne bodo hranili dlje, kot je potrebno.

Svetovna skupščina za zasebnost je v izjavi poudarila, da morajo ukrepi za obvladovanje epidemije, ki slonijo na obdelavi podatkov in tehnologije, upoštevati določena temeljna načela varstva zasebnosti. Glede obdelave zdravstvenih podatkov za namene mednarodnih potovanj je skupščina izpostavila zlasti nujnost upoštevanja naslednjih načel in praks:

  • čeprav je dovoljeno pogojevati mednarodna potovanja z obdelavo osebnih podatkov zaradi zaščite javnega zdravja, je treba tveganja za zasebnost upoštevati že od samega začetka;
  • vsak sistem, aplikacija ali dogovor o izmenjavi podatkov, ki se tiče obdelave zdravstvenih podatkov za namene mednarodnih potovanj, mora upoštevati načeli vgrajene in privzete zasebnosti. Opraviti je treba celovito presojo vplivov na zasebnost in se posvetovati z nacionalnimi nadzornimi organi za varstvo osebnih podatkov in zasebnosti.
  • Obdelava podatkov lahko poteka le ob jasno opredeljenem in določenem namenu, osebnih podatkov pa se ne sme uporabljati za namene, ki niso skladni s prvotnim namenom, za katerega so bili zbrani.
  • Organizacije, ki obdelujejo omenjene osebne podatke, morajo biti ustrezno pooblaščene za obdelavo in osebne podatke obdelovati ob upoštevanja načel nujnosti in sorazmernosti.
  • Potrebna je skrb za ranljive posameznike, ki morda nimajo dostopa ali možnosti uporabe elektronskih naprav, ter starejše ali zdravstveno ogrožene, ki se zaradi svojih okoliščin ne morejo cepiti.
  • Posameznike je treba na jasen in dosegljiv način obvestiti o tem, kako se uporabljajo njihovi osebni podatki, kdo jih uporablja in za kakšen namen.
  • Upoštevati je treba načelo najmanjšega obsega podatkov in obdelovati le toliko osebnih podatkov, kot je potrebno za doseganje cilja zaščite javnega zdravja.
  • Sprejeti je treba ukrepe za naslavljanje tveganj za zasebnost pri neposrednem črpanju informacij iz zdravstvenih kartotek za namen potovanj.
  • V popolnosti je treba oceniti tveganja za kibernetsko varnost vseh digitalnih sistemov in aplikacij.
  • Skrbno je treba preučiti roke hrambe podatkov in zasnovati urnik za varen izbris informacij po poteku namena hrambe.
  • V sisteme je treba vgraditi klavzulo o časovni omejitvi veljavnosti, ki predvideva trajen izbris podatkov ali zbirk podatkov, ko ti niso več potrebni. Upoštevati je treba, da rutinska obdelava zdravstvenih podatkov na mejah po koncu pandemije morda ne bo več potrebna. Takšne urnike in klavzule je treba redno pregledovati, da se zagotovi, da je obdelava osebnih podatkov med pandemijo nujna in sorazmerna.

Celotna izjava je dostopna na povezavi: https://globalprivacyassembly.org/gpa-executive-committee-joint-statement-on-the-use-of-health-data-for-domestic-or-international-travel-purposes/