Raziskovalci Inštituta za kriminologijo pri Pravni fakulteti v Ljubljani smo v mnenju o aplikacijah za sledenje s 14. 4. 2020 že izrazili svojo zaskrbljenost nad uvajanjem tehnoloških rešitev z namenom zajezitve epidemije bolezni COVID-19. Po seznanitvi s predlogom Zakona o interventnih ukrepih za pripravo na drugi val COVID-19 (v nadaljevanju: predlog Zakona), ki v 4. delu določa vzpostavitev in delovanje mobilne aplikacije, ter v 24. členu predvideva novo pravno podlago za pridobivanje in uporabo identifikacijskih podatkov ter lokacijskih podatkov posameznikov, ki jim je bil odrejen ukrep omejitve gibanja, v nadaljevanju podajamo obširnejše in konkretnejše stališče glede predvidenih zakonskih rešitev ter zakonodajnega postopka, po katerem se sprejemajo. Pri tem uvodoma poudarjamo, da razumemo, da je obvladovanje epidemije pomemben vidik naše nove realnosti in da je iskanje tehnološko podkrepljenih rešitev lahko njegov pomemben del. Vendar menimo, da je treba rešitve, ki jih kot družba sprejemamo s takšnim namenom, uvajati kolikor je le mogoče pretehtano, ob upoštevanju opozoril in znanja ustreznih institucij ter spoštovanju pridobljenih pravic in vrednot. Če ne bomo ravnali tako, utegnemo v že tako neugodni situaciji povzročiti več dodatnih težav kot razrešiti obstoječih.
Vključevanje temeljnih sogovornikov
Glede na pomembnost materije ter invazivnost ukrepov, ki jih predlagani Zakon uvaja, bi bilo od predlagatelja pričakovati, da v postopek sprejemanja od samega začetka vključuje vsaj državne organe, na področje delovanja katerih zakonodajni predlog posega. V prvi vrsti sta to Informacijski pooblaščenec in Varuh človekovih pravic. Predlagani ukrepi nedvomno pomenijo poseg v ustavno varovano pravico do varstva osebnih podatkov, ki sodi v neposredno pristojnost prvega. Glede na pričakovane učinke izbrane tehnološke rešitve na celo vrsto drugih pravic in s tem pomembno sooblikovanje bodočega življenja v naši družbi pa je Varuh pomemben drug sogovornik. Vendar je Informacijski pooblaščenec dobil možnost seznanitve s predlogom šele na dan njegove javne objave, 30. 6. 2020, ko je bil zakonodajni predlog že posredovan v Državni zbor.
Iz postopka je bila v celoti izključena tudi javnost, kar je glede na naravo nujnega zakonodajnega postopka, po katerem se zakon sprejema, moč pričakovati tudi v teku zakonodajnega postopka. Ob tem velja opozoriti na dosledno spoštovanje načela sorazmernosti pri opuščanju opravil tudi v nujnem zakonodajnem postopku, v skladu s katerim je dopustno opustiti zgolj tista zakonodajna opravila, ki jih v danih okoliščinah dejansko ni mogoče izvesti, omejitev pa mora biti po obsegu najmanjša možna. V konkretnem primeru se to vprašanje postavlja tako glede popolne izključitve javnosti v pripravi predloga zakona kot tudi glede predloga prepovedi razpisa zakonodajnega referenduma.
Vprašanje (ne)zaupanja
Pri doslednem spoštovanju postopka in vključevanju deležnikov v postopek sprejemanja tovrstnih rešitev pa ne gre zgolj za nepotreben in zamuden pravni formalizem. Izkušnje drugih držav, v katerih se mobilne aplikacije za sledenje stikom bodisi že uporabljajo ali pa so v postopku njihove uvedbe, kažejo na izrazit pomen transparentnosti v postopku njihovega uvajanja. Vsaj seznanjenost javnosti, če ne že dovoljevanje aktivne participacije tako v postopku sprejemanja pravne podlage kot tudi v teku razvoja mobilne aplikacije (ki bi bila v najboljšem primeru odprtokodna), povečuje zaupanje v predvideno tehnološko rešitev. Zgolj ob dovoljšnem zaupanju celotne družbe bo aplikacijo uporabljalo zadostno število uporabnikov, da bo njeno delovanje učinkovito in zanesljivo. Nejasnosti in nedoločni pojmi že v času pripravljanja takšnih aplikacij lahko zato dosežejo ravno nasprotni učinek od želenega: namesto hitre in učinkovite rešitve bo sprejeta ureditev velikemu delu prebivalstva sumljiva in je posledično ne bodo uporabljali. Ob dejstvu, da si številni – pogosto najranljivejši – posamezniki aplikacije niti ne bi mogli naložiti, saj deluje le na pametnih telefonih, je vzpostavljanje zaupanja do aplikacije ključnega pomena za širjenje kroga uporabnikov. Njena premajhna razširjenost namreč pomeni, da bo tudi nezanesljiva in v veliki meri neuporabna, saj so tovrstne rešitve lahko uspešne zgolj ob zadostni stopnji razširjenosti med prebivalstvom.
Prostovoljnost uporabe
Obenem pa je v predlogu Zakona predvideno širjenje kroga uporabnikov z uvedbo obvezne namestitve aplikacije za posameznike, obolele za boleznijo COVID-19, ter posameznike, ki jim je bila odrejena karantena, v evropskem pravnem prostoru nedopustna. Prostovoljna uporaba aplikacije je v skladu s priporočili Evropske komisije, Evropskega parlamenta, Evropskega odbora za varstvo podatkov in Informacijskega pooblaščenca predpogoj za skladnost z veljavnimi pravili s področja varstva osebnih podatkov. Z izjemo Poljske to temeljno načelo upoštevajo vse evropske države, ki so se odločile za uvedbo aplikacij za sledenje z namenom zajezitve koronavirusne bolezni.
Konkretnost predloga
Glede predlagane vsebine zakona ponovno opozarjamo, da je presoja izpolnjevanja pogojev nujnosti in sorazmernosti posega v pravici do zasebnosti in varstva osebnih podatkov mogoča le ob poznavanju tehničnih specifikacij aplikacije kot tudi z njo povezanih konkretnih podatkov o načinu in obsegu obdelave osebnih podatkov.
V predlogu tako pogrešamo odgovor na vprašanje, ali bo aplikacija shranjevala podatke na samih napravah, torej decentralizirano, ali pa je bila izbrana zasebnosti mnogo manj prijazna centralizirana hramba podatkov.
Poleg namena zbiranja osebnih podatkov, ki ga predlog Zakona o interventnih ukrepih za pripravo na drugi val COVID-19 določa v 27. členu, je treba natančneje določiti:
- upravljavca osebnih podatkov,
- obseg njihovega zbiranja,
- organe, ki do podatkov lahko dostopajo,
- roke hrambe
- ter izrecno prepovedati vsakršno obdelavo podatkov za namene, ki niso predvideni v 27. členu Zakona.
Na podlagi nedavne sodne prakse Ustavnega sodišča RS[1] glede ukrepov, sprejetih za zajezitev epidemije COVID-19, pa želimo opozoriti tudi na obveznost periodičnega preverjanja dopustnosti tovrstnih ukrepov. Zakon, ki posega v temeljne pravice posameznikov, mora opredeliti časovna obdobja, v katerih bo opravljen ponovni premislek stroke in politike o tem, ali je ukrep še potreben za zasledovanje ciljev javnega zdravja. Vključitev takšne zakonske določbe bo zadostila temu vidiku načela sorazmernosti, ki terja, da je poseganje oblasti v pravni položaj državljanov nujno potrebno, primerno in najmanj intenzivno za doseganje ustavno dopustnih ciljev.
Anonimnost
Še bolj kot dejstvo, da je zakon glede pogojev obdelave osebnih podatkov bistveno pomanjkljiv, nas skrbi zavajajoča vsebina 30. člena v zvezi z 31. členom, ki določata, da je zagotovljena anonimnost uporabnikov aplikacije s tem, da je posameznim uporabnikom dodeljena naključna koda za enkratno uporabo. Kljub temu, da se uporabnik ne identificira z uporabo osebnega imena, je namreč ta podatek zgolj nadomeščen s kodo, ki bi – podobno kot podatek o IP-naslovu posameznika – sicer otežila identifikacijo posameznika, ne bi pa je preprečila in s tem dosegla anonimizacije. Zbrani podatki zato sodijo v kategorijo osebnih podatkov in s tem v okvir pravnega varstva Splošne uredbe, ZVOP-1 in ZEKom-1.
Identifikacijski in lokacijski podatki
Poleg določb predloga Zakona, ki se nanašajo na mobilno aplikacijo, velja opozoriti tudi na določbo 24. člena. Predlagatelj namreč v njej z zelo ohlapno formulacijo in vsebinsko preveč odprtimi predpostavkami odpira vrata globokim posegom v ustavno zajamčene pravice do zasebnosti in varstva osebnih podatkov izjemno širokemu krogu ljudi. Zbiranje in obdelava identifikacijskih osebnih podatkov in lokacijskih osebnih podatkov s področja elektronskih komunikacij, kot ju je mogoče razbrati iz predlaganega 24. člena, sta v našem pravnem sistemu dovoljena na podlagi Zakona o kazenskem postopku. Vendar sta zbiranje in obdelava takšnih podatkov po ZKP podvržena številnim varovalkam. Takšne posege v zasebnost sme praviloma odrediti samo sodišče, zoper točno določene osebe, pod vnaprej opredeljenim dokaznim standardom, za omejen nabor (najhujših) kaznivih dejanj in za omejen čas.
Besedilo 24. člena je glede ključnih vprašanj, na primer, za katere identifikacijske osebne podatke konkretno gre, kdo (kateri organ) bo podatke zbiral, hranil in obdeloval in kako dolgo ter iz katerih virov jih bo pridobival, popolnoma nedorečeno. Takšna nedorečenost pa podobno kot pomanjkanje informacij o predvideni mobilni aplikaciji niti ne omogoča presoje sorazmernosti predlaganega ukrepa, ki je predpogoj za dopustnost posegov v navedene ustavne pravice.
Zaključno
Vzpostavitvi mobilne aplikacije ne nasprotujemo sami po sebi. V razmerah, v katerih smo se znašli, dopuščamo in v primernem obsegu in obliki celo pozdravljamo možnost za kreativne tehnične rešitve, ki bi omogočile ohranitev pravic posameznikov, kot jih pojmujemo v evropskem pravnem prostoru.
A če naj bodo takšne, morajo temeljiti na prostovoljni odločitvi vsakega posameznika ter decentraliziranem shranjevanju osebnih podatkov ob hkratni uvedbi ustreznih varovalk, ki bodo zagotovile visok standard varstva osebnih podatkov.
Vključitev pristojnih državnih organov in zainteresirane javnosti v proces razvoja mobilne aplikacije in priprave ustrezne pravne podlage za njeno delovanje pa bi pripomogla ne le k pravno sprejemljivi in ustrezni rešitvi, temveč tudi k nujno potrebnemu zaupanju posameznikov v uvedbo težko razumljive, visokotehnološke rešitve, ki hkrati globoko posega v njihove pravno varovane pravice.
Pika Šarf
dr. Aleš Završnik
dr. Mojca Mihelj Plesničar
[1] Sklep Ustavnega Sodišča št. U-I-83/20-10 z dne 16. 4. 2020.