Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Iskalnik po mnenjih GDPR

+ -
Datum: 09.04.2020
Naslov: Sledenje posameznikom, ki so zboleli za COVID-19 preko aplikacij na mobilnih telefonih
Številka: 07120-1/2020/278
Vsebina: Definicija OP, Moderne tehnologije, Posebne vrste, Pravne podlage, Telekomunikacije in pošta, Zdravstveni osebni podatki
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaš dopis, v katerem nas prosite za mnenje, in sicer glede sledenja posameznikom s telefonsko aplikacijo, s katero naj bi zagotovili, da se okuženi posamezniki ne gibljejo izven svojih bivališč. Sledenje s telefonsko aplikacijo naj bi potekalo na naslednji način:

  • aplikacijo bi si posameznik naložil na mobilni telefon ob izdaji odločbe o karanteni ali ob odreditvi izolacije zaradi bolezni, aplikacija bi bila aktivna 14 dni z možnostjo podaljšanja na podlagi zdravnikove presoje, da je oseba še kužna;
  • aplikacija bi vsebovala določen radij gibanja posameznika, ki je še dopusten;
  • aplikacija bi zajemala samo podatke o lokaciji brez dostopa do ostalih vsebin na mobilnem telefonu;
  • aplikacija bi uporabniku nudila tudi podporo v obliki enostavnega stika z zdravnikom;
  • po izteku obdobja (14 dni) bi se vsi podatki povezani z aplikacijo uničili.

 

Kot izhaja iz predloga, bi se aplikacija uporabljala le za čas trajanja kužnosti bolnikov, in sicer za 14 dni, z možnostjo podaljšanja na predlog zdravnika, če bi šlo za težji potek bolezni.

 

Zanima vas predvsem ustreznost in dopustnost omenjenega predloga z vidika pravice do zasebnosti in varstva osebnih podatkov, pri čemer nas prosite za usmeritve, katerim vsebinam s področja varstva osebnih podatkov bi bilo treba ob zakonskem urejanju  uvedbe aplikacije nameniti še posebno pozornost. Zanima vas, ali je predlog za aplikacijo vprašljiv z vidika zagotavljanja pravice posameznika do komunikacijske zasebnosti in varstva osebnih podatkov v povezavi s 37. členom Ustave Republike Slovenije (Uradni list RS št. 33/91-I, 42/97 – UZS68, 66/00 – UZ80, 24/03 – UZ3a, 47, 68, 69/04 – UZ14, 69/04 – UZ43, 69/04 – UZ50, 68/06 – UZ121,140,143, 47/13 – UZ148, 47/13 – UZ90,97,99 in 75/16 – UZ70a), saj bi se »sledenje prek aplikacije« izvajalo brez odredbe sodišča.

 

Pravno podlago bi sicer uredili v ustreznem predpisu s področja zdravstva (npr. Zakon o nalezljivih boleznih). Po mnenju Zakonodajno pravne službe Državnega zbora Republike Slovenije je treba pravico do komunikacijske svobode razlagati široko, torej se ne nanaša le na vsebino sporočila, temveč zajema tudi sklop povezanih podatkov o prometu in lokaciji.

 

Kot pojasnjujete, je predlog za telefonsko aplikacijo podala zdravstvena stroka, ki te ukrepe ocenjuje kot nujne za varovanje zdravja vseh prebivalcev Republike Slovenije. Ne glede na navedeno gre za poseg v nedotakljivost človekove zasebnosti, zato prosite tudi za naše mnenje, ali je ob izpolnitvi pogoja nujnosti in sorazmernosti ukrepa, navedeni ukrep sploh dopustno urejati na zakonski ravni.

 

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju na podlagi 58. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba), 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

 

IP uvodoma pojasnjuje, da nadzorni organi za varstvo osebnih podatkov budno spremljamo razvoj aplikacij in storitev za omejevanje širjenja okužb s koronavirusom ter obvladovanje epidemije. Številne države in organizacije v tem času hitijo z razvojem tehnoloških rešitev, ki bi omogočile boljše razumevanje poteka epidemije in učinkovitejše načrtovanje in izvajanje ukrepov za njeno zajezitev. Nekatere nevladne in druge organizacije so o tem pripravile tudi omejene analize, kot npr. Privacy International[1], Future of Privacy Forum[2], NYOB[3].

 

Tehnološke rešitve, o katerih trenutno tečejo razprave na ravni EU in na svetovni ravni so zelo raznolike, tako glede njihovega namena in pričakovanega rezultata, glede načina pridobivanja podatkov z namenom obvladovanja epidemije, kot tudi z vidika posega v temeljne pravice posameznikov, predvsem v zasebnost in varstvo osebnih podatkov. Namen nekaterih je analiza vzorcev mobilnosti v družbi, za pomoč pri načrtovanju ukrepov in spremljanje njihove učinkovitosti. Podatki uporabljani za te namene naj bi bili anonimizirani, o čemer je IP že izdal mnenje št. 07120-1/2020/25, dostopno na: www.ip-rs.si/vop/. Namen nekaterih je omogočiti posameznikom boljšo informiranje in samoporočanje simptomov ter komunikacijo z zdravstvenimi delavci. Razprava pa poteka tudi o aplikacijah za iskanje stikov okuženega posameznika, ki so lahko izvedene na različne načine in z različno invazivnimi posegi v pravice posameznikov ter tudi ob upoštevanju različnih pravnih okvirov v različnih  državah. Prav tako se oblikujejo vprašanja glede aplikacij, ki niso prostovoljne in jih predpiše država, pri katerih so vprašanja glede posega v pravice posameznikov najbolj pereča. IP tematikam sledi in aktivno prispeva k razpravam ter dokumentom na to temo na ravni Evropskega odbora za varstvo podatkov.

 

Iz vašega opisa tehnološke rešitve ne izhaja natančno:

  • za kakšno tehnološko izvedbo sledenja posamezniku naj bi šlo pri aplikaciji, ki jo načrtujete (sledenje lokacij preko baznih postaj, GPS, WiFi, itd.),
  • prav tako ni jasen nabor podatkov posameznika, ki bi se pri tem obdelovali.
  • Ni jasno razvidno, ali bi na podlagi aplikacije posameznik lahko izmenjeval sporočila ali bi šlo le za sledenje njegovi lokaciji.
  • Ni jasno razvidno niti, za kakšne namene naj bi bila aplikacija vzpostavljena (za preverjanje ali posameznik upošteva ukrepe glede izolacije, ali tudi za komunikacijo z zdravstvenimi delavci).

 

Zato bi želeli najprej zlasti izpostaviti, da bi bilo (kot podrobneje pojasnjujemo v nadaljevanju) glede na izkušnje nekaterih drugih držav nujno najprej izvesti oceno učinkov z jasnimi tehničnimi parametri aplikacije glede na cilje, ki se jih zasleduje in z vidika načela sorazmernosti (zgolj elementi, ki jih navajate za to ne zadoščajo) in šele nato razmišljati o oblikovanju zakonskega okvirja.  Posamezne elemente, na katere je treba biti pozoren navajamo v nadaljevanju. Zlasti pa opozarjamo na potrebo po skrbnosti z vidika transparentnosti o tem, katere osebne podatke bo aplikacija dejansko obdelovala, za katere namene (ti morajo biti ozko in jasno določeni), kje se bodo hranili, kdo bo upravljavec teh podatkov, na kateri pravni podlagi, kako se bodo ti podatki shranjevali, koliko časa in kako bo zagotovljeno brisanje podatkov.

 

IP se kot nadzorni organ do konkretnih obdelav osebnih podatkov ne sme opredeljevati izven inšpekcijskega postopka, prav tako IP ne more nastopati v vlogi potrjevalca tovrstnih aplikacij. Zaradi zgoraj navedenega pa tudi ne moremo podati natančnejšega mnenja o predlagani rešitvi. Različni pristopi pomenijo namreč bistveno različne vrste posegov v zasebnost in pravice posameznika. V nadaljevanju zato pojasnjujemo temelje pravnega okvira za varstvo osebnih podatkov, ki jih je treba upoštevati pri razvoju tehničnih rešitev za pomoč pri omejevanju epidemije COVID 19, ki slonijo na telefonskih aplikacijah.

 

Vsekakor pa predlagamo, da pri oblikovanju zakona, ki naj bi uveljavil morebitne oblike obveznega sledenja posameznikom preko predlagane aplikacije dosledno spoštujete temeljna načela Ustave RS in Evropske konvencije o človekovih pravicah, kot so povzeta med drugim tudi v dokumentu Sveta Evrope (na voljo je na spletu: https://rm.coe.int/sg-inf-2020-11-respecting-democracy-rule-of-law-and-human-rights-in-th/16809e1f40). V dokumentu so podrobneje razdelani elementi temeljnih standardov varstva pravic posameznikov, ki jih države ne bi smele prezreti pri oblikovanju zakonskih in morebitnih drugih ukrepov v zvezi z nastalimi izrednimi razmerami epidemije. Država mora slediti:

  • načelu zakonitosti ukrepov (tudi ustavnim določbam glede omejevanja temeljnih pravic),
  • načelu časovne omejenosti ukrepov – to pomeni tudi izbiro ukrepov, katerih posledice za temeljne pravice posameznikov so vnaprej jasne,
  • načelu sorazmernosti in nujnosti glede na zasledovane legitimne in zakonite cilje (poseg je dopusten, če z drugimi manj invazivnimi sredstvi zakonitega cilja resnično ni mogoče doseči),
  • zagotavljanju ustreznega nadzora (zlasti tudi ustavnega in sodnega nadzora) nad ukrepi.

 

1. Vprašanje posega v 37. člen Ustave RS in pravni okvir za varstvo osebnih podatkov

 

V zvezi z vašim vprašanjem, ali je predlog za aplikacijo vprašljiv z vidika zagotavljanja pravice posameznika do komunikacijske zasebnosti in varstva osebnih podatkov v povezavi s 37. členom Ustave Republike Slovenije poudarjamo, da vprašanje, ali je treba podatek o lokaciji mobilnega telefona vedno razumeti kot integralen del podatkov o vsebini komunikacije, presega pristojnosti in zmožnosti IP. Gre namreč za interpretacijo meja 37. člena Ustave RS, ki določa pravico do tajnosti pisem in drugih občil. Ob tem ponujamo naše razumevanje, da odločba Ustavnega sodišča Up-106/05-27, ki se sicer nanaša na kontekst operaterjev elektronskih komunikacij, njihovo obdelavo prometnih podatkov (torej tudi podatka o lokaciji) razume kot integralen del podatkov o vsebini komunikacij. Glede na vaš opis delovanja aplikacije, ki naj bi omogočala tudi komunikacijo posameznika glede zdravstvenega stanja in ne le zajem podatka o lokaciji, ki ne bi bil integralen del podatka o vsebini komunikacije, vsekakor vidimo sorodnosti z razlago Ustavnega sodišča ter z razlago, ki jo je glede posega v 37. člen Ustave, navedla tudi Zakonodajno pravna služba Državnega zbora in, ki jo omenjate v svojem dopisu.

 

V kolikor delovanje aplikacije, kot jo predlagate, ne bi pomenilo posega v 37. člen Ustave RS, v nadaljevanju pojasnjujemo pravni  okvir za varovanje osebnih podatkov, kot ga določa 38. člen Ustave RS, ki bi moral biti upoštevan tako pri načrtovanju tehnične rešitve, kot tudi pri njeni uporabi, ter pri razvoju morebitnih pravnih podlag.

 

Specialni predpis na tem področju je Zakon o elektronskih komunikacijah (Uradni list RS, št. 109/12, 110/13, 40/14 – ZIN-B, 54/14 – odl. US, 81/15 in 40/17, v nadaljevanju ZEKom-1), s katerim je v slovenski pravni red prenesena Direktiva 2020/58/ES, ki postavlja omejitve za obdelavo podatka o lokaciji uporabnika  terminalne opreme/pametnega telefona za operaterje elektronskih komunikacij, pa tudi za druge ponudnike storitev informacijske družbe. 157. člen ZEKom-1 namreč določa, da so lahko tehnologije za pridobivanje podatkov s terminalne opreme uporabnikov (kamor sodijo tudi aplikacije, ki s pametnega telefona uporabnika pridobivajo podatke o lokaciji) uporabljene le, če posameznik v to privoli oziroma v primerih nujnih izjem. Direktiva 2002/58/ES v členu 15 dopušča, da države članice sprejmejo zakonske ukrepe, s katerimi omejijo obseg pravic in obveznosti, med drugim določenih v členu, ki se nanaša na pridobivanje podatkov iz terminalne opreme posameznika, kadar takšna omejitev pomeni potreben, primeren in ustrezen ukrep v demokratični družbi za zaščito državne varnosti, obrambe, javne varnosti in preprečevanje, preiskovanje, odkrivanje in pregon kriminalnih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema iz člena 13(1) Direktive 95/46/ES.

 

Delovanje tovrstnih aplikacij običajno pomeni obdelavo osebnih podatkov posameznikov (npr. ime, priimek, telefonska številka, drugi identifikatorji terminalne opreme, lokacija, ipd.) ter občutljivih podatkov o zdravstvenem stanju, izrečenem ukrepu za izolacijo/karanteno, ipd., zato je nujno upoštevanje določb Splošne uredbe ter ZVOP-1, ki predpisujeta pogoje za zakonito obdelavo tovrstnih osebnih podatkov ter obveznosti upravljavca osebnih podatkov in drugih subjektov. V nadaljevanju pojasnjujemo temeljna načela, ki jih določa člen 5 Splošne uredbe, in na katerih bi morala temeljiti tehnološka rešitev.

 

2. Temeljna načela varstva osebnih podatkov in aplikacije za slednje posameznikom za namen omejevanja epidemija COVID 19

Osebni podatki morajo biti obdelani zakonito, pošteno in na pregleden način. Načelo zakonitosti pomeni, da mora za obdelavo podatkov preko aplikacije obstajati jasna pravna podlaga, kjer posebej opozarjamo na podlage, ki jih v členu 6 določa Splošna uredba (v primeru obdelave osebnih podatkov s strani javnih organov točka f člena 6(1) ne pride v poštev) ter na podlage in omejitve, ki jih za obdelavo občutljivih osebnih podatkov določa Splošna uredba v členu 9. Ob tem izpostavljamo, da gre v opisanem primeru najverjetneje za obdelavo posebnih vrst (občutljivih) osebnih podatkov (mednje sodijo podatki v zvezi z zdravjem), saj naj bi aplikacija nujno neposredno ali posredno vsebovala/zbirala/obdelovala podatek o okuženosti posameznika.

 

Posebej opozarjamo, da pravna podlaga klasične privolitve, za rešitev, kot jo opisujete, ne bi bila primerna, saj je veljavnost privolitve v pogojih, kot jih predvidevate, zelo vprašljiva, saj podaja privolitve v razmerju posameznik – država težko dosega standarde svobodne podaje. Tudi z zakonom opredeljena privolitev, kot jo opredeljuje 9. člen ZVOP-1 v razmerah, kot jih opisujete se ne zdi realna možnost. Posameznik mora namreč imeti možnost, da brez pravnih posledic zanj takšno privolitev zavrne (zastavlja se torej vprašanje, ali je tovrstna aplikacija posledično potrebna). Drugačna bi bila situacija z aplikacijami, ki ne bi bile obvezne za nikogar in bi se o sodelovanju posamezniki resnično odločali sami in po lastni izbiri.

 

V kolikor bi se odločili za zakonsko opredeljeno možnost obvezne izbire posameznika med različnimi obveznimi ukrepi v zvezi z odločbo o karanteni npr., potem mora biti v zakonu jasno opredeljeno tudi, kaj so pravne posledice za posameznika v primeru določene izbire na način, da je posameznik ustrezno informiran, o čem se odloča.

 

Pravna podlaga, ki bi jo za delovanje tehnološke rešitve predvidel drug zakon, bi morala biti v skladu z določbami členov 6 oz. 9 Splošne uredbe, poleg tega pa bi moral zakon zelo jasno in ustrezno ozko določiti namene obdelave osebnih podatkov, nabor osebnih podatkov, ki se obdelujejo, roke hrambe in, upravljavca osebnih podatkov in druge omejitve. Tovrstni posegi v zasebnost bi morali poleg ozke opredelitve namena izključno v povezavi z obvladovanjem epidemije vsebovati varovalke – npr. sodna odredba za izvedbo posredovanja podatkov organom pregona ali drugim uporabnikom – za zagotovitev tega, da bi zbrani osebni podatki resnično ostali v obdelavi v okviru zdravstvene stroke.

 

Osebni podatki morajo biti zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni. V zvezi z načelom omejitve namena obdelave podatkov poudarjamo tudi predvsem vprašanje, ali je tehnična rešitev, kot jo opisujete učinkovita, sorazmerna in potrebna glede na cilje, ki jih zasledujete – t. j. omejitev epidemije COVID 19, in ožje, nadzor nad osebami, ki jim je bil odrejen ukrep omejitve gibanja. Glede širšega namena, t. j. omejevanja epidemije COVID 19 IP predvsem meni, da ima tu ključno vlogo stroka, ki edina lahko presodi, koliko lahko posamezna tehnična rešitev bistveno doprinese oz. je resnično nujna za obvladovanje epidemije. To pomeni, da določenih ciljev ni mogoče doseči na drug način. Kot pojasnjujemo v zadnjem delu mnenja, je uvodna priporočila glede tehničnih sredstev izdala tudi Evropska komisija, in iz teh priporočil ni razvidna strokovna podpora aplikacijam za nadzor nad upoštevanjem odrejene karantene.

 

Glede ožjega namena, torej samega nadzora nad posamezniki z odrejenim ukrepom, pa nas skrbi učinkovitost takega ukrepa, posebej ob upoštevanju, da nimajo vsi pametnega mobilnega telefona, na katerega bi si lahko naložili aplikacijo (npr. ranljive skupine, otroci, starejši), da posameznik mobilni telefon lahko pusti na lokaciji in odide na drugo mesto brez njega, ipd. Če temu dodamo vprašanja natančnosti merjenja lokacije posameznika (ki je lahko znotraj večstanovanjske stavbe vprašljiva), se sprašujemo, v kolikšni meri bi lahko takšen ukrep sploh učinkovito pripomogel k nadzoru posameznika z ukrepom in k širšemu cilju omejevanja epidemije COVID 19. To pa posledično pod vprašanje postavlja skladnost tovrstnih ukrepov z načelom sorazmernosti, kot izhaja iz Ustave RS.

 

Glede na invazivnost tovrstnih aplikacij, ki ne temeljijo na prostovoljni rabi posameznikov, pač pa so predpisane z zakonom zato opozarjamo, da je pred pripravo zakonske podlage potreben pozoren razmislek glede nujnosti in sorazmernosti takega ukrepa in vključitev varovalk za pravice posameznikov.

 

Preglednost obdelave osebnih podatkov se nanaša na izčrpne in jasne informacije, ki jih mora glede na člene 13 in 14 Splošne uredbe prejeti posameznik, ne glede na to, ali gre za podlago privolitve ali določeno obdelavo podatkov predpisuje zakon. Poleg tega mora biti posamezniku omogočeno izvajanje njegovih pravic iz členov 15 do 22 Splošne uredbe (do seznanitve z lastnimi podatki, popravka in izbrisa, omejitve obdelave, ugovora, prenosljivosti).

 

Ob navedenem je pomembno zagotoviti, da so osebni podatki, ki se obdelujejo točni in, kadar je to potrebno, posodobljeni. Natančnost merjenja lokacije je tu veliko vprašanje, saj različne tehnologije merjenja lokacije podajo različno natančne podatke – s tem pa je povezana odločitev, ali posameznik krši naložen ukrep, kar ima lahko zanj pomembne pravne posledice. Izbor tehnologije za sledenje (ta ne izhaja iz vašega opisa) je tako ključnega pomena in ne bi smel biti izveden brez tehtnega premisleka o zmogljivosti določenih tehnoloških rešitev.

 

Osebni podatki morajo biti hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo. Določitev roka hrambe mora biti ustrezna glede  na namene obdelave osebnih podatkov in glede na nabor osebnih podatkov – ker iz vašega dopisa to ne izhaja natančno, se do ustreznosti 14 dnevnega roka hrambe težko opredelimo. Vsekakor pa je v zvezi s tem ključno zavedanje, da bi bilo treba tako pridobljene podatke glede na invazivnost posega po vnaprej zakonsko določenem roku izbrisati (in npr. ne zgolj blokirati). Ena izmed resnih nevarnosti tovrstnih zbirk podatkov je namreč, kot je omenjeno zgoraj, kasnejša uporaba takih podatkov za druge namene, ki s prvotnim zakonom niso predvideni, npr. v policijskih postopkih, v prekrškovnih postopkih ipd.

 

Načelo ustreznega zavarovanja podatkov pomeni, da se osebni podatki obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi. Pri tem opozarjamo, da po naših izkušnjah hitenje z razvojem tehničnih rešitev pogosto pomeni nastanek varnostnih pomanjkljivosti, zaradi katerih so lahko podatki izpostavljeni nepooblaščenim vpogledom. Glede na to, da v kontekstu, kot ga opisujete, govorimo o obdelavi občutljivih osebnih podatkov, je treba upoštevati tudi posebne določbe glede zavarovanja takih podatkov, ki jih določa 14. člen ZVOP-1. Poleg tega pa Splošna uredba v členu 25. nalaga upoštevanje načela vgrajenega in privzetega varstva osebnih podatkov, ki poenostavljeno pomeni, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost.

 

Del načrtovanja tovrstnih aplikacij mora biti nujno tudi razmislek o tem, kako in pri kom bodo lahko posamezniki uveljavljali svoje pravice kot npr. pravice do seznanitve z lastnimi osebnimi podatki.

 

Odločitev o uporabi in zakonski uvedbi tovrstnih storitev prav gotovo terja izvedbo ocene učinka na varstvo osebnih podatkov, s pomočjo katere se pravočasno in predhodno naslovijo tveganja glede varstva osebnih podatkov (člen 35 Splošne uredbe) in zgoraj omenjene dileme. Takšna ocena bi glede na naravo opisane aplikacije morala biti izvedena pred končno odločitvijo o uvedbi in oblikovanjem zakonske podlage za uvedbo takšne aplikacije. Namen predhodne ocene učinke je namreč pravočasno ugotoviti in obvladovati tveganja glede varstva osebnih podatkov (npr. glede primerne pravne podlage) kakor tudi izvesti zgoraj omenjene postopke minimizacije obdelave. Vse informacije o ocenah učinka so na voljo na naši spletni strani:

 

www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/kljucna-podrocja-uredbe/ocena-ucinka-v-zvezi-z-varstvom-podatkov/

 

Glede na nujnost situacije je ocena učinka lahko kratka in jedrnata. Oceno učinka mora izvesti upravljavec, IP lahko na oceno učinka poda mnenje (člen 36 Splošne uredbe).

 

 

3. Sklepno

Glede na zgoraj navedene temelje pravnega okvira za varstvo osebnih podatkov v Sloveniji in EU ter glede na informacije o razvoju različnih tehničnih sredstev za omejevanje epidemije COVID 19 sklepno opozarjamo, da morate o svoji rešitvi opraviti temeljit razmislek, tako z vidika dopustnosti v slovenskem pravnem redu, kot tudi z vidika učinkovitosti takega ukrepa za dosego ciljev omejevanja epidemije.

 

IP je mnenja, da tehnologija vsekakor lahko tvorno pripomore k omejevanju epidemije COVID19, vendar le ob upoštevanju pravnega okvira za varstvo zasebnosti in osebnih podatkov. Prav tako podpiramo razumevanje, da je pri razvoju tehnologij in pristopov nujno stremeti k usklajevanju ukrepov znotraj držav članic EU, saj raznolike ali neusklajene pobude posameznih držav članic ne morejo biti učinkovite. Ob tem pa mora Republika Slovenija zasledovati visoko raven spoštovanja temeljnih pravic, kot jo zahteva slovenska Ustava in tudi na ravni EU zagovarjati takšne rešitve. Epidemija ne bi smela biti razlog za izničenje ustavnih načel. Na tej točki izpostavljamo, da je Evropska komisija (v nadaljevanju EK) pravkar objavila priporočila glede tehnologij za omejevanje epidemije COVID 19[4], kjer se opredeljuje do rešitev, ki bi lahko bile v tem okviru učinkovite (tudi v smislu različnih aplikacij, ki lahko bolj ali manj učinkovito dosegajo cilje) in glede varovalk, ki morajo biti sprejete za varstvo pravic posameznikov. Posebno vlogo pri dogovarjanju glede učinkovitih ukrepov EK vidi v mreži eHealth Network, ki deluje v okviru EU in katere članica je tudi Slovenija, kjer lahko tvorno sodelujejo tudi slovenski organi v iskanju učinkovitih, sorazmernih in nujnih tehničnih rešitev. V tem okviru smo v sodelovanje vpeti tudi evropski organi za varstvo osebnih podatkov, ki delujemo v Evropskem odboru za varstvo podatkov. Prav odbor naj bi v naslednjih dneh izdal tudi poenoteno mnenje o mobilnih aplikacijah za omejevanje širjenja COVID-19, ki vam ga lahko posredujemo. Kot izhaja iz komunikacije Evropske komisije, namerava ta 15. aprila 2020 sprejeti tudi smernice glede upoštevanja pravnega okvira za varstvo osebnih podatkov pri razvoju različnih aplikacij.

 

Skladno s tem IP toplo priporoča in poziva, da Slovenija z ukrepi, ki temeljijo na aplikacijah in sledenju posameznikov zaradi invazivnosti in posega v njihove pravice, sledi razvoju tematike na EU ravni in se z drugimi članicami preko temu namenjenih forumov in mrež usklajuje glede tehničnih rešitev, ki so učinkovite in zasleduje cilj najmanjšega posega v pravice posameznikov za doseganje vsem nam skupnega cilja – omejevanja epidemije COVID 19 ob hkratnem spoštovanju temeljnih pravic. Razvoj tehnoloških rešitev lahko doprinese tem ciljem le ob upoštevanju visoke ravni varstva temeljnih pravic posameznikov.

 

 

S spoštovanjem,

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 


[1] privacyinternational.org/examples/apps-and-covid-19

[2] fpf.org/2020/04/03/fpf-charts-the-role-of-mobile-apps-in-pandemic-response-chart/.

[3] gdprhub.eu/index.php

[4] ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf