V zadnjih dneh je v javnosti spet vzniknila razprava o posebni aplikaciji, ki omogoča sledenje okuženim z virusom COVID-19. Vlada je namreč v predlog zakona (Zakona o interventnih ukrepih za pripravo na drugi val COVID-19)¹ ponovno zapisala določbe, ki bodo, če bo zakon sprejet, pravni temelj za uporabo aplikacije, ki bo za okužene in posameznike z odločbo o karanteni obvezna.

A vlada tudi tokrat pred pripravo zakonskih določb za mnenje ni vprašala Informacijskega pooblaščenca. Tako namreč izhaja iz sporočila za javnost, ki ga je pooblaščenec objavil 29. 6. 2020, ko je vlada predstavila načrte za uvedbo mobilne aplikacije za sledenje stikom.² Težko je razumeti, zakaj se vlada aplikacije ne loti tako, da bi pred samo uvedbo in pisanjem pravne podlage zanjo za nasvet vprašala stroko, predvsem Informacijskega pooblaščenca. Ali ni ravno transparentnost tista, ki lahko zagotovi manj slabe volje med ljudmi? S preglednim uvajanjem aplikacije bi vlada nedvomno lahko dosegla tudi to, da bi ji (aplikaciji in vladi) ljudje bolj zaupali in posledično bi, to res iskreno verjamem, več ljudi to aplikacijo prostovoljno naložilo. Ključen element uspeha je med drugim tudi ta, da bo aplikacija učinkovita, če si jo bo naložilo vsaj 60 % prebivalcev.

Predvsem pa bi posvet pri Informacijskem pooblaščencu nedvomno lahko zagotovil, da bi bila aplikacija skladna s standardi varstva osebnih podatkov. Tako kot pred tremi meseci, ko je vlada že želela, sicer pod krinko privolitve, vzpostaviti nadzor nad karantenami in izolacijami posameznikov s pomočjo lokacijskih podatkov, ki jih beležijo telekomunikacijski operaterji,³ se tudi tokrat zdi, da stroka s področja varstva osebnih podatkov pri pisanju predloga ni bila prisotna. Takrat je bil sporen 104. člen na pozive pooblaščenca in nekaterih strokovnjakov,⁴ ki so v medijih opozarjali, da ukrepi niso sorazmerni, sicer umaknjen, a sama sem bila prepričana, da le začasno, do naslednjič. In imela sem prav.

V tem času so mnoge evropske države začele razvijati aplikacije za slednje okuženim in Slovenija v teh razmišljanjih še zdaleč ni edina. A v veliki večini držav so aplikacijo dali na razpolago javnosti brez prisile k uporabi; njena uporaba je torej popolnoma prostovoljna.

Tudi pri nas so pristojni sporočali, da bo uporaba aplikacije prostovoljna, in res je v 29. členu predloga zakona zapisano, da mobilno aplikacijo uporabniki namestijo in uporabljajo prostovoljno in brezplačno. Drugi odstavek tega člena pa razkriva pravi namen aplikacije, ki v bistvu pomeni reaktivacijo prej omenjenega spornega 104. člena, le da vseh podatkov država ne bo dobila od telekomunikacijskih operaterjev, temveč kar neposredno od ljudi, ki si bodo morali aplikacijo obvezno naložiti na svoj telefon.

Drugi odstavek 29. člena namreč določa, da mora oseba, ki je uporabnik primernega pametnega telefona in ji je bila odrejena karantena ali je potrjeno pozitivna na virus SARS-CoV-2, ne glede na prejšnji odstavek mobilno aplikacijo namestiti tako, da je vanjo mogoče vnesti naključno kodo iz 31. člena⁵ tega zakona.

Zelo sporen, predvsem zato, ker je preohlapen in za posege v temeljne človekove pravice ne zadošča standardu jasnosti (lex certa), je tudi 24. člen tega predloga:

Če je obdelava identifikacijskih osebnih podatkov ter tudi lokacijskih osebnih podatkov s področja elektronskih komunikacij, ki se nanašajo na določenega posameznika, nujno potrebna za varovanje življenja, telesa ali zdravja ljudi, se lahko ti podatki začasno obdelujejo ne glede na to, da za obdelavo njegovih osebnih podatkov ni druge zakonite pravne podlage, vendar le za obdobje, ko je temu posamezniku posamično in začasno omejena osebna svoboda zaradi ukrepov, sprejetih na podlagi zakona, ki ureja nalezljive bolezni.

29. člen in tudi 24. člen tega zadnjega predloga je močno grajal Informacijski pooblaščenec.⁶ Tudi iz tega zadnjega mnenja namreč izhaja, da pooblaščenec ponovno ni bil seznanjen s predlogom zakona, niti s tehničnimi specifikacijami aplikacije, kar bi mu omogočalo, da lahko svoje mnenje pripravi bolj kakovostno in predvsem pravočasno, torej pred samo javno objavo predloga zakona.

V mnenju, s katerim se v celoti strinjam, je Informacijski pooblaščenec zapisal:

V mnenju poslance opozarjamo na sporno določbo 24. člena, ki jo gre brati v smislu pooblastila, da lahko nedoločen nabor organov za namen nadzora nad upoštevanjem karantene od nedoločenega nabora virov podatkov, t. j. različnih ponudnikov s področja elektronskih komunikacij, pridobiva nedoločen nabor identifikacijskih  podatkov in podatkov o lokaciji te osebe, t. j. o lokaciji njenega telefona ali druge naprave. Tako nedopustno niža standarde za pridobivanje podatka o lokaciji posameznika, celo pod standard, ki velja za pridobivanje enakovrstnega podatka v kazenskem postopku (običajno je za to potrebna odredba sodišča). Iz 24. člena izhaja tudi možnost, da različni ponudniki elektronskih komunikacij (operaterji, ponudniki aplikacij, drugih elektronskih storitev, nosljivih ali drugih pametnih naprav) lahko beležijo identifikacijske podatke in podatke o lokaciji posameznikov, tudi če ti v to niso privolili. Skrb Informacijskega pooblaščenca je dodatno, da določba omogoča tudi beleženje podatka o lokaciji pri nameravani aplikaciji za beleženje stikov, ki naj lokacije sploh ne bi beležila. Tak ukrep v času poletnih počitnic in pogostih prehodov meje v sosednje države z  manj ugodno epidemiološko sliko lahko zadeva potencialno veliko število posameznikov, državljanov Slovenije, katerih podatke o lokaciji bi bilo mogoče spremljati.

Kako pomembno je, na kakšen način aplikacija beleži podatke, katere konkretno in kje so shranjeni (govorim seveda o obeh vrstah aplikacij, tistih, ki jih posamezniki na pametni telefon namestijo prostovoljno, in tistih, ki so obvezne), nam je na Twitterju sporočil moj nekdanji kolega, nekdanji nemški Informacijski pooblaščenec Peter Schaar, ki je zapisal, da je v Nemčiji decentralizirano aplikacijo, ki omogoča popolno anonimnost, naložilo že 15 milijonov ljudi. Dodaja, da je v Franciji uspeh precej slabši (le dva milijona ljudi), razlog pa pripisuje dejstvu, da je tam aplikacija centralizirana, kar pomeni, da se vsi podatki hranijo na enem mestu in takšna hramba posledično ne omogoča popolne anonimnosti. Peter Schaar verjame, da ustrezno varstvo osebnih podatkov povečuje zaupanje.

Ponovno poudarjam (kot sem že pred tremi meseci), da v dani situaciji verjetno nihče ne bi nasprotoval ukrepom, če bi bili prepričljivo predstavljeni kot potrebni in sorazmerni. Kar v pojasnilih vlade najbolj pogrešam, so prav argumenti, na katerih sloni ocena sorazmernosti predlaganih ukrepov. V predlogu zakona in pojasnilih vlade pa jih tudi tokrat ne zasledim.

Glede prostovoljne namestitve aplikacije nimam veliko zadržkov (pod pogojem, da bodo pristojni seveda več povedali o njej – o procesih obdelav, tehničnih specifikacijah itd.), več pravnih zadržkov imam glede tistega dela predloga zakona, ki zahteva, da si jo vsi okuženi in tisti, ki jim je bila določena karantena, obvezno namestijo. Je ta aplikacija za te posameznike sorazmerna glede na število okuženih? Ne! Aplikacija, ki bi bila obvezna za potrjeno okužene, je nesorazmeren ukrep ob tako majhnem številu okuženih, kot jih imamo sedaj. Sprašujem se torej o smiselnosti tega ukrepa, predvsem pa o tem, katere osebne podatke bo aplikacija zbirala od ljudi, za katere bo obvezna, kakšne posledice lahko posameznika doletijo, če bo kršil karanteno ali izolacijo, kdaj in pod kakšnimi pogoji bo policija ali zdravstvena inšpekcija lahko locirala posameznika itn. Vlada je žal ponovno premalo transparentna. Zdaj se že resno sprašujem, zakaj je temu tako?! Če so prvič (marca letos) še lahko rekli, da so hiteli zaradi stiske s časom, zdaj tega ne morejo več zatrjevati, tudi ne morejo več reči, da pravnih argumentov ne poznajo, saj jim jih je več kot enkrat poslal Informacijski pooblaščenec. Si res želimo preveč, če prosimo vlado, da jih prebere?

 

¹ Predlog je dostopen na https://imss.dz-rs.si/IMiS/ImisAdmin.nsf/ImisnetAgent?OpenAgent&2&DZ-MSS-01/44dcddb6b14df15715aa611069c4b19e9569c60ca251e3857dfaa0a2538f5aab.

² Aplikacija za sledenje stikom bi morala biti prostovoljna, pravne podlage pa izrecno opredeljene, dostopno na

https://www.ip-rs.si/novice/aplikacija-za-sledenje-stikom-bi-morala-biti-prostovoljna-pravne-podlage-pa-izrecno-opre-1192/.

³ Glej 104. člen predloga Zakona o interventnih ukrepih za zajezitev epidemije COVID-19 in omilitev njenih posledic za državljane in gospodarstvo, dostopen na https://www.gov.si/assets/vlada/Seja-vlade-SZJ/2020/03-2020/tc_1.pdf.

⁴ Med njimi je bila tudi avtorica tega zapisa. Glej članek Če že sledenje telefonom, naj bo utemeljeno in za točno določene primere v času krize!, dostopen na https://tehnozvezdje.si/ce-ze-sledenje-telefonom-naj-bo-utemeljeno-in-za-tocno-dolocene-primere-v-casu-krize/, in članek Nove pristojnosti policije – sorazmerno? Ne!, dostopen na https://pirc-musar.si/sl/nove-pristojnosti-policije/.

⁵ 31. člen (vnos podatkov) (1) Uporabnik mobilne aplikacije, ki je pozitiven na virus SARS-CoV-2, v mobilni aplikaciji označi, da je pozitiven na virus SARS-CoV-2, za kar potrebuje naključno kodo za enkratno uporabo, ki jo prejme skupaj z rezultati testa, iz katerih izhaja, da je pozitiven na virus SARS-CoV-2. (2) Uporabnik mobilne aplikacije, ki mu je bila odrejena karantena, v mobilni aplikaciji označi, da mu je bila odrejena karantena, za kar potrebuje naključno kodo za enkratno uporabo, ki jo prejme skupaj z odločbo o odreditvi karantene. (3) Ko uporabnik v skladu s prvim odstavkom tega člena v mobilni aplikaciji označi, da je pozitiven na virus SARS-CoV-2, mu mobilna aplikacija omogoči tudi vnos datuma začetka simptomov.

⁶ 2. 7. 2020: Informacijski pooblaščenec Državnemu zboru predlaga, da ne potrdi določb glede spremljanja lokacij državljanov in glede obvezne aplikacije za sledenje stikov, mnenje je dostopno na https://www.ip-rs.si/novice/informacijski-pooblascenec-drzavnemu-zboru-predlaga-da-ne-potrdi-dolocb-glede-spremljanja-1194/.

Vir: Dr. Nataša Pirc Musar, odvetnica