Univerzitetna diplomirana pravnica, ki od leta 2014 opravlja funkcijo informacijske pooblaščenke (IP), se je te dni znašla v središču orkana zaradi aplikacije PCT. Čeprav se v zvezi z aplikacijo nihče od odgovornih ni obrnil na njeno pisarno, pa je izjava za javnost, s katero je pozvala k spoštovanju pravne ureditve, bila dovolj, da je v dir pognala podpornike aktualne vlade, ki so jo že vnaprej začeli obtoževati za prihajajoči četrti val, da bi se le sami odrešili odgovornosti.

Ali ste do tega trenutka prejeli kakšno vprašanje NIJZ ali katerega drugega odgovornega organa glede aplikacije PCT?

Ne, do tega trenutka z nami glede aplikacije za preverjanje izpolnjevanja pogojev PCT ni kontaktiral še noben organ, povezan oziroma odgovoren za aplikacijo, niti od NIJZ še nismo prejeli zahtevanih pojasnil. NIJZ je sicer zaprosil za podaljšanje roka za posredovanje odgovorov do 18. avgusta, kar mu je državna nadzornica za varstvo osebnih podatkov delno ugodila in mu rok zaradi nujnosti ter obsežne obdelave podatkov podaljšala le do petka, 6. avgusta.

Kako v praksi deluje inšpekcijski postopek, ki poteka glede tega? Ste že spoznali obstoječo aplikacijo?

IP je predprejšnji petek, 23. julija, prejel prijavo zoper NIJZ, na podlagi katere je seveda moral začeti inšpekcijski postopek. Državna nadzornica je nato NIJZ v ponedeljek, 26. julija, pisno pozvala, da ji najpozneje do 30. julija posreduje pojasnila glede obdelave osebnih podatkov z aplikacijo, tako da bo sploh mogoče ugotoviti, ali ta poteka skladno z Zakonom o varstvu osebnih podatkov in Splošno evropsko uredbo, ki jo javnost pozna tudi po kratici GDPR. Namesto vsebinskih odgovorov je NIJZ 30. julija zaprosil za podaljšanje roka za posredovanje pojasnil, ker so zaradi koriščenja letnega dopusta ključni skrbniki in razvijalci aplikacije odsotni do 18. avgusta 2021. Ker se po zakonu, ki ureja upravni postopek, tak rok lahko podaljša le, če obstajajo upravičeni razlogi za podaljšanje, državna nadzornica takemu zaprosilu ni v celoti ugodila in je rok podaljšala le do 6. avgusta, saj gre pri tem za posege v pravico do zasebnosti in varstva osebnih podatkov. Težko si je namreč predstavljati, da nosilna državna institucija za javno zdravje ne razpolaga s sodelavci, ki so ključni skrbniki in razvijalci aplikacije, da bi lahko pojasnili pravno podlago in njene tehnične podrobnosti delovanja. Ne gre prezreti, da gre tu za dokumentacijo in pojasnila, ki so morala biti pripravljena vnaprej, torej preden se je sploh pristopilo k razvoju aplikacije. Gre namreč za obdelavo osebnih podatkov široke možice ljudi, na podlagi katere je tem posameznikom omogočeno ali zavrnjeno izpolnjevanje še ene temeljne človekove pravice – pravice do svobode gibanja. Sicer se mi osebno zdi nelogično, da se ob drugih državnih organih, predvsem imam v mislih ministrstvo za javno upravo, z razvojem aplikacije ukvarja NIJZ, ampak najbrž za to odločitvijo stoji tehten razmislek. IP sicer vse do danes glede aplikacije ni prejel še nobenih uradnih informacij.

Kako gledate na napade na organ IP in vas osebno s strani predstavnikov in podpornikov vlade ter vladi naklonjenih medijev zaradi aplikacije?

Seveda to pove največ o njih samih. Težko bi sicer rekla, da smo glede na izkušnje zadnjega več kot leta dni nad odzivi posameznih predstavnikov oblasti in njihovih podpornikov še presenečeni, saj se to ne dogaja prvič. IP v resnici ne opozarja na nič novega, saj vsa leta svojega delovanja opozarjamo enako, to pa je, da morajo vsakokratne in vse oblasti spoštovati ustavno zahtevano načelo sorazmernosti ter tako resne posege, kot so obvezne aplikacije, ki obdelujejo podatke v zvezi z zdravjem, zakonsko urediti. V Sloveniji je varstvo osebnih podatkov varovano z 38. členom ustave že desetletja. Od nastanka države je za posege v varstvo podatkov zahtevana zakonska ureditev. Na veliko žalost vseh prebivalcev se kljub temu ponovno izgubljata čas in energija za tovrstne napade namesto za strokovne razprave o tem, kateri ukrepi so potrebni in kako jih ustrezno zakonsko urediti. Gre za razprave, ki bi morale potekati vnaprej, s stroko in v državnem zboru, ne pa prek medijskih napadov in družbenih medijev. Ponovno se delo nadzornega organa za varstvo podatkov poskuša prikazati kot izgovor za težave države z uveljavljanjem ukrepov za obvladovanje in preprečevanje širjenja covida-19. Žalostno je, da se je sploh treba na tak način pogovarjati in izčrpavati v času, ko smo vsi prebivalci, posebej pa zdravstveni in drugi delavci iz širše stroke zdravstvene oskrbe in nege ter šolstva, in celotno gospodarstvo izčrpani od posledic epidemije. Kot lahko razberemo iz spodletelih poskusov zakonskega urejanja različnih za splošno javnost pomembnih področij in tudi iz odločitev ustavnega sodišča, pa nikakor ni problem le varstvo podatkov.

V izjavi za javnost ste navedli, da Slovenija nima sprejete ustrezne zakonodaje, ki bi dopuščala tako aplikacijo PCT, kot naj bi si jo zamislili pri NIJZ. Kako je to mogoče in kakšno spremembo zakonodaje bi to natančno zahtevalo? Je glede tega vprašanja IP bil v stiku z odločevalci iz vlade/NIJZ/parlamenta/strank?

Namen uvedbe skupnega enotnega evropskega, torej covidnega potrdila EU je bil le eden, in sicer omogočiti svobodno gibanje znotraj EU za vse tiste, ki so covid-19 preboleli, so cepljeni ali testirani. Pravna podlaga za preverjanje potrdila PCT tako obstaja le za namene lažjega prehajanja meja znotraj EU, če pa se države odločijo to potrdilo uporabiti tudi za druge namene, denimo za dostop do raznih storitev, prireditev in prostorov, pa je to mogoče le na temelju ustrezne nacionalne zakonodaje, ki pa v Sloveniji še ni bila sprejeta. Evropski odbor za varstvo podatkov (EDPB) in Evropski nadzornik za varstvo podatkov (EDPS) sta glede uporabe digitalnega zelenega potrdila EU sprejela skupno mnenje, v katerem sta izpostavila, da če bi se v državah članicah vzpostavili okviri za uporabo zelenega potrdila za dostop do različnih storitev in prostorov, je to mogoče le na temelju zakonodaje, ki mora upoštevati načela učinkovitosti, nujnosti in sorazmernosti, kar torej predstavlja potrebno pravno varnost in zaščito ljudi pred posegi v njihovo zasebnost. Tovrstne pravne podlage bi zato morale jasno opredeliti najmanj obseg obdelave podatkov, natančen namen, kategorije prejemnikov podatkov in varovalke za preprečevanje zlorab pravic posameznikov, še posebej če gre za avtomatizirano obdelavo in obdelavo občutljivih osebnih podatkov. Sicer pa nadzorni organ IP zgolj preverja zakonitost obdelave osebnih podatkov, ki in kot jo zastavi upravljavec. Kot pa smo v teh dneh že večkrat povedali, z IP glede tega ni kontaktiral niti NIJZ, niti vlada ali kdorkoli drug.

mojca-prelesnik
STA
"Tehnologija se razvija bistveno hitreje, kot ji lahko sledijo predpisi in mehanizmi nadzora nepravilnosti."

Kako redni so sicer vaši stiki z odločevalci?

Ti stiki so zelo različni od področja do področja. Glede nekaterih tem se predlagatelji predpisov pogosto obračajo na nas, glede nekaterih tem sploh ne. Prav tako se med seboj zelo razlikuje iskrenost namere in iskanja zasebnosti prijaznih rešitev ter posledično upoštevanje mnenj in priporočil IP. IP namreč ne more biti predlagatelj predpisa in ne more zakonov pisati namesto odločevalcev, saj smo primarno inšpekcijski organ. V posameznih primerih predlagatelji predpisov resnično vložijo veliko truda, predvsem ko pripravljajo zakonske rešitve za uvedbo različnih sistemskih obdelav osebnih podatkov. Spet na drugi strani je veliko primerov, ko so prizadevanja za spoštovanje varstva zasebnosti zgolj navidezna ali jih ni. IP kot nadzorni organ pa nima čarobne paličice, s katero bi lahko dosegali čudežne rešitve brez iskrenega prizadevanja tistega, ki uvaja neki sistem za obsežno, celo množično obdelavo osebnih podatkov, pa naj gre za podjetje ali državo. IP ima kot najbolj radikalen ukrep pri izvedbi nadzora možnost izreka prepovedi obdelave osebnih podatkov in izbrisa podatkov. Oba ukrepa imata lahko resne posledice, zato vsa svoja pooblastila IP razume in uporablja skrajno resno. Z njimi pa se v nobenem primeru ne reši problema nepripravljenosti za iskanje zasebnosti prijaznih rešitev.

Ali menite, da obstaja temeljno (ne)razumevanje nalog in poslanstva IP v politiki oziroma širši javnosti?

Nedvomno opažamo, da posamezniki pogrešajo več aktivnega vključevanja različnih akterjev s področja varstva človekovih pravic. Vsaka posamezna institucija mora dosledno uresničevati ustavo tudi v praksi. Včasih se na IP obračajo tudi ljudje, ki jim IP glede na svoje zakonsko opredeljene pristojnosti ne more pomagati. Ko so ljudje obupani, poskušajo vse možnosti v iskanju rešitev, poprave krivic. Morda se v širši javnosti zato včasih zdi, da tisti nadzorni organi, ki aktivno opozarjamo na napake in težave, dobimo na svoja pleča še vsa neizpolnjena pričakovanja do vseh ostalih akterjev na področju varstva pravic. Prav tako je treba vedeti, da je laično razumevanje samega pomena varstva podatkov ter posledic kršitev in napak včasih ozko in omejeno, zlasti to opažamo v času strahu pred epidemijo. Povsem neopravičljiv pa je takšen ozek pogled na človekove in ustavne pravice, ko gre za profesionalne politike, ki imajo strokovne službe za podporo. Ti bi se morali zavedati posledic svojih odločitev, odločitve pa bi morali sprejemati premišljeno in nikoli ne brez razumevanja širšega konteksta človekovih pravic ter razmerja med posameznimi pravicami. Smo pa v praksi pred kratkim v javnem sektorju žal zaznali tudi, da so strokovne službe, ki se ukvarjajo z varstvom osebnih podatkov, sicer opozorile na nujnost spoštovanja predpisov in nevarnosti, ki pri tem pretijo, a so bile s strani odločevalcev v celoti prezrte.

Kako se spreminja delo z IP in kako se še bo z vse intenzivnejšo digitalizacijo družbe? Kakšne dodatne izzive to prinaša?

Na obeh področjih našega dela, tako na področju varstva podatkov kot na področju dostopa do informacij javnega značaja, so primeri, s katerimi se ukvarjamo, kompleksnejši. Hkrati opažamo, da tudi že dogovorjena raven spoštovanja pravic ni več samoumevna, postavlja se pod vprašaj, relativizira se. Tehnologija se razvija bistveno hitreje, kot ji lahko sledijo predpisi in mehanizmi nadzora nepravilnosti. Moderna tehnologija namreč pomeni nenehno nove rešitve urejanja družbe na povsem tehnični ravni, nove oblike in poskuse nadzora družbe s strani oblasti in gospodarstva, nove poslovne modele, ki izkoriščajo osebne podatke in imajo zato resne posledice za posameznike. Temu sledi tudi delo nadzornih oziroma pritožbenih organov, ki pa moramo slediti predpisom in ustavi. Zato sta trenutno naša največja izziva velik obseg dela in zagotavljanje ustreznih tehnoloških znanj za izvajanje nadzora. IP namreč ne more brez ustreznih analiz prepovedovati obdelav ali odrejati izbrisa podatkov. Prav tako nadzorni organi ne moremo biti tisti, ki narekujemo družbi, kam naj gre na področju modernih tehnologij. Lahko odrejamo prenehanje tistih nepravilnosti, ki jih je kot take prepoznal zakonodajalec, ne moremo in ne smemo pa pisati zakonov, delati ocen učinkov v zvezi z varstvom podatkov namesto podjetij, predlagateljev predpisov in drugih organizacij.

Je sama epidemija imela vpliv na vaše zadolžitve in ali imate za sabo ustrezno veliko ekipo, da jih lahko izpolnjujete?

Zaradi epidemije in z ukrepi povezanih hudih poskusov zmanjševanja pravic tudi v zvezi z varstvom podatkov se je nedvomno povečal tako obseg dela kot tudi zahtevnost izzivov, s katerimi se srečujemo. Enako velja za področje dostopa do informacij javnega značaja, kjer se je v zadnjem več kot letu dni v praksi pokazalo, kako bistvena sta transparentna javna uprava in učinkovit dostop do informacij javnega značaja v časih, ko so temeljne pravice drastično omejene. Na obeh področij zahtevnost nastalih razmer potrjuje tudi nenehna rast števila prijav kršitev na področju varstva podatkov in pritožb v zvezi z zahtevami za dostop do informacij javnega značaja. Vsako prijavo in pritožbo je treba vzeti resno. Hkrati je veliko dela na področju svetovalnega dela v obliki mnenj, pripomb na predpise. Pokamo po šivih in poskušamo z ustreznim postavljanjem prioritet čim bolj učinkovito izvajati vse svoje pristojnosti.

Kje opažate, da ima Slovenija največje primanjkljaje pri urejanju področja osebnih podatkov v primerjavi z ostalimi evropskimi državami?

Težko bi bilo izpostaviti zgolj eno področje, sektor ali vsebino, ki izstopa. V Sloveniji imamo veliko posameznikov, ki področje varstva zasebnosti poznajo zelo dobro in se na svojih področjih trudijo za uveljavitev njegovega spoštovanja. Žal pa niso vedno uslišani s strani tistih, ki odločajo (pa naj gre za podjetja ali državno upravo). Opažamo, podobno kot tudi v drugih državah po svetu, da se ob izredno hitro razvijajoči se tehnologiji velikokrat rado pozabi na varstvo zasebnosti širše, ne le varstvo osebnih podatkov, v želji po biti hitrejši, boljši, učinkovitejši. Izzivi epidemije so zasebnost nedvomno porinili niže na lestvici vrednot v državah in gospodarstvu. Zlasti občasno opažamo temeljno, včasih imam občutek, da tudi namerno nerazumevanje pomena varstva osebnih podatkov pri uvedbi nekaterih sistemov obdelav osebnih podatkov, ki imajo resne posledice za posameznika. Na primer predhodna izdelava ocene učinkov v zvezi z varstvom podatkov pred uvedbo obdelav, ki resno posegajo v zasebnost posameznikov, še vedno ni nekaj samoumevnega ali pa so narejene na hitro in šele po »nerganju« IP, čeprav jo splošna uredba v takih primerih zahteva. Hkrati že samo število posameznikov, podjetij in drugih, ki se obračajo na IP s prošnjami za mnenja in nasvete, tudi s prijavami in pritožbami glede uveljavljanja pravic, dokazuje, da je skrb za varstvo podatkov dokaj visoko na lestvici prioritet ljudi in to nas navdaja z upanjem.