#epidemija: Zasebnost

Informacijska pooblaščenka (IP) je samo lani obravnavala 102 inšpekcijska postopka povezana z epidemijo, "kar se mi zdi zelo veliko", pove Mojca Prelesnik. V letu 2020 je ta državni organ sicer vodil 1137 inšpekcijskih postopkov.

Nevarnost zbirk je v tem, da se v kritičnih situacijah, kot nedvomno čas epidemije je, raven človekovih pravic zmanjšuje, ponekod tudi drastično zmanjšuje. In ko enkrat raven človekovih pravic pade, se vedno zelo zelo težko vrne na tisto prvotno stanje.

Mojca Prelesnik, Informacijska pooblaščenka

Najpogostejše obravnave v povezavi z epidemijo so bili čezmerni posegi v pravico do zasebnosti in osebnih podatkov zaradi nesorazmernega zbiranja osebnih podatkov, kot so: težnja po uvedbi obvezne aplikacije za slednje stikov ter sledenje lokacijam posameznikov, vsesplošno merjenje telesne temperature in obdelava osebnih podakov v okviru anonimnega zbiranja podatkov o počutju, ki so jih posamezniki sami vnašali prek spletne strani http:⁄⁄covid-19-stats.si.

"Srečevali smo se tudi s pomanjkljivim informiranjem posameznikov o obdelavi njihovih osebnih podatkov, npr. pri zbiranju interesa prek portala eUprava ter zbiranju prijav na cepljenje prek spletne strani Zdravstvenega doma Ljubljana in njihovega obdelovalca Gospodar zdravja, pri izvedbah tajnih glasovanj preko različnih spletnih aplikacij," še pojasnjuje Mojca Prelesnik, ki dodaja, da je imela uvedba tehnologij za nadzor nad širjenjem epidemije zelo pogosto negativne posledice predvsem na pravice o zasebnosti, varstvo osebnih podatkov, pravice do enake obravnave in svobode gibanja.

Natakar, ki v lokalu meri telesno temperaturo stranke. Foto: Shutterstock
Natakar, ki v lokalu meri telesno temperaturo stranke. Foto: Shutterstock

Prostovoljno prisilno cepljenje

Da smo se v obdobju epidemije pogosto znašli v položaju, ko smo morali tehtati dejavnosti dejanj, usmerjenih v zagotavljanje splošnega javnega zdravja in na drugi strani zasebnosti, opaža tudi Bojana Pleterski, strokovnjakinja s področja varstva osebnih podatkov ter ustanoviteljica Info hiše, "in lahko bi rekli, da je zasebnost v tem tehtanju v več primerih potegnila kratko".

Bojana Pleterski vidi položaj, da so se nekateri cepili proti covidu-19 samo zato, da bodo lahko svobodni in potovali, kot položaj vzemi-pusti oziroma prisilnega prostovoljstva ali posredne prisile. "Pred kratkim sem slišala komentar v smislu: "Cepim se zato, da bom svoboden, sicer se izogibam zdravilom, nikoli se ne cepim." Kaj to pomeni? Tako se odločimo, da bomo lahko šli, kamor bomo želeli; na počitnice, v notranjost lokala, v restavracije, da bomo lahko koristili neko storitev. Za cepljenje se ne odločimo, da bi bili zdravi."

Nekateri so se cepili proti covidu-19, samo zato, da bodo svobodni in da bodo lahko potovali, kot položaj vzemi ali pusti, torej položaj prisiljenega prostovoljstva ali posredne prisile.

Bojana Pleterski, Info hiša

V takih položajih se po njenih besedah sicer znajdemo večkrat, tudi z nedavno uvedbo obvezne dvofaktorske avtentifikacije pri plačilu s kreditnimi karticami, t. i. standard PSD2. “Banke so svoje uporabnike prisilile v uporabo mobilne aplikacije. Kaj če ne želimo uporabljati aplikacij ali če sploh nimamo pametnega telefona? Da niti ne omenimo sledenja uporabe aplikacij na naših napravah, marsikaterih obdelav naših podatkov se sploh ne zavedamo."

Nadajevanje članka s področja epidemije in uvajanja biometrije bo objavljen v sedo. Vabljeni k branju!

Da so se začele različne vladne aplikacije za omejitev širjenja okužb z novim koronavirusom nadgrajevati za dodatne namene, pripomni Domen Savič, ustanovitelj neprofitnega Zavoda Državljan D, ki se ukvarja z analiziranjem politik informacijske družbe. "Nadgrajevati so jih začele za dodatne namene, za katere niso bile sprva načrtovane, govorim o digitalnih covidnih potrdilih, ki bodo omogočila lažje prehajanje meja. Hkrati pa se ni nihče resno ukvarjal s problemi, kako se bo zamejilo zbiranje podatkov teh aplikacij, kdo bo usklajeval uporabo z dejanskim namenom in kako se bo ta aplikacija enkrat v teoriji nehala uporabljati?"

Informacijska pooblaščenk Mojca Prelesnik poudarja pomen sorazmernosti pri uvajanju novih ukrepov. Foto: MMC RTV SLO/Andrej Trček
Informacijska pooblaščenk Mojca Prelesnik poudarja pomen sorazmernosti pri uvajanju novih ukrepov. Foto: MMC RTV SLO/Andrej Trček

Kaj pomeni upoštevanje načela sorazmernosti?

Informacijska pooblaščenka izpostavi, da bi moralo biti pri uvedbi epidemioloških ukrepov primarno vodilo sorazmernost.

"Vedno se je treba vprašati, ali je ustrezno, da se dostop do neke storitve ali kraja omeji s tem, da mora oseba izkazati svoj status, t. i. PCT, da je oseba prebolela covid-19, bila testirana nanj ali cepljena proti njemu."

"Tveganja okužb namreč niso povsod enaka, na prostem ali ob uporabi zaščitne opreme," nadaljuje, "in nimajo vsi enakega dostopa do cepljenja in testiranja, če bolezni še niso preboleli". Slovenska vlada je ravno v četrtek odločila, da bo od ponedeljka dalje za javne shode in prireditve z več kot 100 udeleženci veljal pogoj PCT, razen za mlajše od 18 let, ki se shoda udeležijo z družino ali ustanovo.

"Prav tako pa ni sorazmerno, da moramo svoje občutljive osebne podatke razkrivati na vsakem koraku, prav tako pa je trajanje imunosti po preboleli okužbi v veliki meri še vedno neznanka, kot tudi možnost, da se virus prenaša kljub cepljenju. Gotovo so na tem področju potrebna znanstveno argumentirana pojasnila in utemeljitve," sklene Mojca Prelesnik.

Kdo lahko zbira naše osebne podatke?

Kakšno je torej strokovno pojasnilo, da smo se znašli na točki, ko moramo za določeno storitev, kot sta kosilo v restavraciji ali ogled lutkove predstave z otrokom, deliti svoj osebni podatek (PCT) z osebjem ali celo prisilno-prostovoljno privoliti v izmero telesne temperature na javnem mestu? In ne pozabimo, povišana telesna temperatra, ki je eden od možnih simptomov obolelosti za covidom-19, je lahko tudi znak hormonskega neravnovesja, alergične reakcije, nevrološke motnje ali tumorja.

To, da bi natakarji, receptorji in drugi zbirali posebne vrste osebnih podatkov vsekakor ne pomeni sorazmerne obdelave osebnih podatkov. Pri opredeljevanju ukrepov se na to pogosto pozablja, natakarji, receptorji, prodajalci namreč niso in ne smejo postati zdravstvena policija.

Mojca Prelesnik, Informacijska pooblaščenka

To, da bi natakarji, receptorji in drugi zbirali posebne vrste osebnih podatkov, vsekakor ne pomeni sorazmerne obdelave osebnih podatkov. Pri opredeljevanju ukrepov se na to pogosto pozablja. Natakarji, receptorji, prodajalci namreč niso in ne smejo postati zdravstvena policija. Tudi nimajo možnosti brskanja po dokumentih posameznika. Na tem mestu je, kot že rečeno, potreben razmislek, čemu služijo ta pravila in, ali bi bilo cilje odpiranja storitev mogoče doseči na drug način, brez obdelave osebnih podatkov gostov, ki so poleg tega nezanesljivi, preverjanju pa so izpostavljeni le tisti gostje, ki tam niso poslovne narave," pove zaskrbljeno Moja Prelesnik. "Če namreč ti ukrepi niso znanstveno ustrezno podkrepljeni, pomenijo neutemeljen poseg v pravice,” doda.

Poleg tega lahko oseba, ki je prebolela covid-19 ali pa je cepljena proti njemu, še vedno zboli in prenaša novi koronavirus, s čimer ogroža druge, ki imajo opravljen negativni test ali novega koronavirusa sploh še niso imeli in delajo, recimo, v skupnem prostoru, kot sta tovarna ali odprta pisarna z več deset zaposlenimi.

PCT bo pogoj za udeležbo na shodih, prireditvah z več kot 100 udeleženci

Zato smo za strokovno pojasnilo sorazmernosti epidemioloških ukrepov prosili Nacionalni inštitut za varovanje zdravje (NIJZ), kjer pa so nam odgovorili, da je "tolmačenje ukrepov v domeni strokovne skupine na MZ pod vodstvom prof. dr. Logarjeve in MZ, zato naj se z vprašanji obrnemo na resorno ministrstvo."

Mateja Logar: Sistem PCT-ja ni diskriminatoren

Infektologinja Mateja Logar je glede sorazmernosti ukrepa pojasnila, da je lahko tudi nekdo, ki je na PCR-testu negativen, v vmesnem času postal pozitiven, "tako da vsi ukrepi, ki jih predlagamo, omogočajo normalizacijo življenja, z nobenim pa 100-odstotno ne moremo preprečiti širjenja okužb. Vendar sistem PCT-ja zagotavlja veliko stopnjo varnosti, če ga uporabljamo dosledno in pravilno. Velja tudi, da če se cepljena oseba okuži, je verjetnost prenosa znotraj družine bistveno manjša, kot je pri necepljenih osebah."

Da bi se PCT kot nesorazmeren ukrep lahko izkazal na delovnem mestu, odgovori, da so "v pisarnah in drugih zaprtih prostorih še vedno potrebne maske".

Maske, razkuževanje, razdalja, PCT še naprej obvezni. Poklukar: Grožnje še ni konec.

Na vprašanje, ali bi bil lahko ukrep PCT-ja diskriminatoren, pa pravi, da "ne".

"Sistem PCT-ja ni diskriminatoren, saj ljudem omogoča, da se odločijo, ali bodo za obisk restavracije ali prireditve opravili HAT ali se bodo cepili, oboje je brezplačno in dosegljivo vsem državljanom."

Pojasnila je še, da tako PCT kot digitalna potrdila ostajajo v veljavi tudi po koncu epidemije.

Kdaj bo aplikacijo #OstaniZdrav ukinjena?

Aplikacijo #OstaniZdrav si je do 9. junija letos naložilo 339.891 uporabnikov sistema Android in 39.521 sistema iOS; kot smo preračunali, je to malo manj kot 19 odstotkov od 60 odstotkov, ki bi bili po oceni stroke potrebni, da bi se aplikacija izkazala za učinkovito.

Tako se postavlja vprašanje smiselnosti aplikcije za sledenje stikov, ki v celoti sledi odprtokodni aplikaciji Corona-Warn-App (CWA), razviti v Nemčiji.

Da smo si na jasnem - tako namen aplikacije #OstaniZdrav kot digitalnega zelenega potrdila na ravni EU-ja je dober – zaščititi splošno javno zdravje. Konkretno, namen aplikacije je "olajšati delo epidemiologov pri sledenju stikov, še posebej tistih, za katere ne vemo, da so se zgodila," potrdila pa "olajšajo gibanje državljanov in državljank po EU-ju med pandemijo covida-19".

Foto: BoBo
Foto: BoBo

A kot je razvidno s spletne strani ministrstva za javno upravo, so maja letos aplikacijo celo nadgradili z različico 1.14.3 ter dodatnim spremljanjem statistike in t. i. dnevnikom srečanj. Poleg podatka, koliko uporabnikov je vneslo potrditveno kodo v aplikacijo, bodo lahko uporabniki zdaj kar sami, brez vedenja druge osebe, v aplikacijo vnesli podatek o krajih stikov z drugimi osebami, ki bo “služil kot digitalni pripomoček, da se lahko (op. p. uporabnik) spomni svojih stikov in jih obvesti o izpostavljenosti,” kot pojasnjujejo na spletni strani.

Aplikacija bo prenehala delovati, ko bo epidemiološka služba prišla do sklepa, da je ne potrebuje več

Odgovor ministrstva za javno upravo na vprašanje, kdaj bodo ukinili aplikacijjo #OstaniZdrav

Podatki srečanj bodo shranjeni na mobilnem telefonu, dostopni bodo le uporabnikom, ne bodo povezani s podatki v telefonskem imeniku, izbrisali pa naj bi se po 16 dneh, še piše na gov.si.

Zato smo na ministrstvo za javno upravo poslali šest vprašanj, med njimi: kako so zadovoljni z učinkovitostjo aplikacije, koliko odstotkov državljanov RS jo uporablja, koliko časa bo še v uporabi, za kakšne namene zbirajo pridobljene podatke, se jim aplikacija še vedno zdi smiselna in do kdaj bo v uporabi? Vprašali smo jih tudi o varnostnem vidiku portala zVem in o tem, kdaj ga nameravajo ukiniti.

Odgovorili so nam na dve vprašanji iz prvega sklopa, rekoč, da so vsi podatki objavljeni na odprtem portalu Slovenije OPSI in da bo "aplikacija prenehala delovati, ko bo epidemiološka služba prišla do zaključka, da je ne potrebuje več". Kdaj bo to, niso pojasnili.

Glede portala zVem pa so odgovorili, da ni povezan z aplikacijo #OstaniZdrav.

"Portal zVem je v upravljanju Ministrstva za zdravje oziroma Nacionalnega inštituta za javno zdravje, prav tako potrdila o cepljenju, prebolevnosti in testiranju, ki jih uporabniki lahko pridobijo tudi na portalu zVem."

Kako varna sta aplikacija zVEM in digitalno zeleno potrdilo?

Foto: BoBo
Foto: BoBo

Nekoliko bolj konkretna je bila Bojana Pleterski, ki je pojasnila, da aplikacija zVEM ne zbira veliko osebnih podatkov (EMŠO, ZZZS-številka, elektronski naslov in mobilna številka) oziroma ima povsem drug sklop podatkov v primerjavi z aplikacijo #OstaniZdrav."

"Tudi za digitalno covidno potrdilo je predvidenih malo podatkov (ime in priimek, datum rojstva, datum izdaje in relevanten podatek o cepljenju, testu ali prebolevnosti). Glede na podatke, ki so na voljo, aplikacija zVEM in digitalno zeleno potrdilo ne delujeta tako varnostno problematično in po moji presoji podatki znotraj teh aplikacij niso toliko komercialno privlačni. Res pa je, da se vseeno lahko izkoristijo v ta namen."

Pobuda evroposlancev: Brezplačni PCR- in hitri testi za vsakega prebivalca Slovenije

So pa uporabniki pri morebitnem vdoru v sistem lahko žrtve t. i. phishinga, kar pomeni, da lahko na svoj elektronski naslov prejmejo sporočilo navideznega upravljavca, v smislu: "Opazili smo, da še niste bili cepljeni, in vas prosimo, da na povezavi izpolnite še naslednje podatke" in tako lahko celo zahteva geslo ali kakšen drug pomemben osebni podatek, še pojasni sogovornica.

Nadzor gibanja z GPS-napravami okoli gležnja, kot jih nosijo kaznjenci

Razne aplikacije za sledenje okuženim po svetu so bile deležne številnih kritik, od tega, da so prisilne in da omejujejo gibanje, ki da ga tudi nadzorujejo. V ZDA in Avstraliji so se pojavile celo ideje o nošenju t. i. GPS-naprav okoli gležnja ali zapestja, ki jih sicer nosijo obsojenci na pogojnem izpustu, o čemer je poročala ameriška organizacija Electronic Frontier Foundation (EFF).

Nagrajena ameriška novinarka, ki med drugim dela tudi za EFF na področju varstva človekovih svoboščin in pravic uporabnikov v digitalnem svetu Karen Gullo je za MMC dejala, da je avtomatično sledenje lokacije, tudi z aplikacijami za sledenje, grob poseg v človekove pravice in svoboščine.

Digitalno covidno potrdilo potrjeno, v veljavi od 1. julija

"Takšen ukrep ni upravičen le zato, ker je bila nekomu odrejena karantena po potrjenem covidu-19 ali zato, ker naj bi bil izpostavljeni mogoči okužbi," pravi.

Ob tem opozori, da so tako ruske kot kitajske oblasti ob izbruhu epidemije celotni javnosti, in ne le okuženim z novim koronavirusom, zadale, naj si naložijo aplikacije za sledenje stikom na telefonu. "Te vlade pa uporabljajo aplikacije za sledenje in omejitev gibanja splošne javnosti. Zgodovina kaže, da se po izbruhu kriz vlade oklepajo sprejetih ukrepov tudi po tem." Po njenih besedah obstaja velika nevarnost, da bi vzpostavljena infrastruktura med epidemijo covida-19 ostala tudi po njej, zato morajo vlade po koncu epidemije tovrstne ukrepe odpraviti.

Nevarnost diskriminacije posameznikov zaradi njihovega zdravstvega stanja

Evropska unija (EU) dva tedna po tem, ko bo v Sloveniji preklicana epidemija, ne pa tudi nekateri ukrepi za preprečitev širjenja novega koronavirusa, uvaja digitalno zeleno oziroma covidno potrdilo, opremljeno s QR-kodo v papirni ali digitalni obliki. Njegova pridobitev bo brezplačna in ne bo veljala kot potovalni dokument, poudarja Evropski parlament, pa čeprav ga moramo izkazati ob prehodu mej. Od uvedbe 1. julija bo njegova veljavnost omejena na 12 mesecev, do 2. avgusta 2022. Je pa ob tem morda zanimivo, da določeni zdravstveni domovi v Sloveniji samo za tiskanje oziroma fotokopijo potrdila o cepljenju proti covidu-19 ali prebolevnosti zaračunavajo 15 evrov ...

Vendar pa se je EU ogradil od tega, kako bodo posamezne države članice ukrepale v povezavi s potrdilom.

"Po eni strani bi tak sistem na ravni EU-ja pomenil, da bodo različni subjekti zbirali manj podatkov o tistih, ki potujejo, saj bo sistem samo preveril, ali nekdo ima primeren vnos v potrdilu, in ne bo zbiral še dodatnih podatkov o statusu osebe. Na drugi strani pa taka potrdila pomenijo doslej še neznano intenziteto zbiranja občutljivih podatkov o vseh nas, saj, kot kaže, države v EU-ju potrdila ne bodo uporabljale le v okviru potovanj med državami, ampak je govor o najrazličnejših rabah takih potrdil od vstopa na prireditve, v lokale, na bazen ipd.," opozori Informacijska pooblaščenka.

Po njenem mnenju je pri tem največja nevarnost ustvarjanje novih megazbirk osebnih podatkov z izredno široko opredelitvijo namena uporabe, "v zvezi s tem pa se sama po sebi poraja nevarnost diskriminacije posameznikov glede na njihov zdravstveni status".

Tako Evropski odbor za varstvo podatkov (EDPB) kot Evropski nadzornik za varstvo podatkov (EDPS) sta v svojem mnenju glede predloga digitalnega zelenega potrdila opozorila, da obdelava podatkov za ta namen pomeni tveganje za neenako obravnavo posameznikov, torej diskriminacijo, zaradi različnih možnosti dostopa do cepiv, testiranj in potrdil o prebolevnosti.

"Ko enkrat zbirko podatkov pridobimo, se je težko znebimo"

Velike zbirke podatkov so z vidika varovanja zasebnih podatkov vedno slabša izbira od manjših zbirk podatkov, saj pomenijo večja tveganja za zlorabo, še nadaljuje Informacijska pooblaščenka Mojca Prelesnik.

"Tukaj je ključno vprašanje informiranosti. En tak šolski primer je Kitajska. Nikoli in nikdar si ne želimo, da bi pristali v takšni fazi, kot je Kitajska, ampak Kitajska, ko vemo, ocenjuje in točkuje svoje državljane, ali so primerni za pridobitev posojila, ali se bodo lahko vpisali na šolo, ki jo želijo, in da bodo ne nazadnje lahko sedli na avtobus javnega prometa, ki so si ga zaželeli. In to je težava velikega podatkovja, velikih zbirk osebnih podatkov, ko smo posamezniki praktično razgaljeni in se ve dejansko vse o nas in je naš status, naše življenje v resnici odvisno od odločevalcev, ki s to veliko zbirko osebnih podatkov razpolagajo," opredeli Mojca Prelesnik in še doda:

“Nevarnost zbirk je v tem, da se v kritičnih situacijah, kot nedvomno čas epidemije je, raven človekovih pravic zmanjšuje, ponekod tudi drastično zmanjšuje. In ko enkrat raven človekovih pravic pade, se vedno zelo zelo težko vrne na tisto prvotno stanje (…), ko enkrat neko zbirko dobimo, ko neko zbirko osebnih podatkov razširimo, se tega v praksi, kot je pokazala zgodovina, težko znebimo."