Nova usluga na portalu e-uprave – „Iskazivanje interesovanja za vakcinisanje protiv kovida 19” je sa stanovišta prava na privatnost i Zakona o zaštiti podataka o ličnosti primer koji ne treba slediti, a razloga ima puno.  Ukratko, sva utvrđena načela obrade podataka – 1. zakonitosti, poštenja i transparentnosti, 2. ograničenosti svrhe, 3. minimizacije podataka, 4. tačnosti, 5. ograničenog čuvanja, 6. bezbednosti i 7. odgovornosti – nisu primenjena. Njihova specifičnost u odnosu na načela u drugoj oblasti jeste njihova „opipljivost” – reč je o konkretnim obavezama.

Obrada podataka mora biti zakonita, poštena i transparentna

Zakonitost obrade podrazumeva adekvatni pravni osnov (primera radi, zakonsko ovlašćenje ili pristanak lica), koji je ovde pod znakom pitanja. Da je reč o nekom ovlašćenju, moralo bi da bude propisano nekim zakonom. Pristanak lica za obradu nije adekvatan pravni osnov kada je reč o organima vlasti, a posebno ukoliko se tiče njegove nadležnosti ili delokruga rada. U ovom slučaju, pravni osnov nije ni naveden. Budući da se obrađuju i podaci o postojanju „specifičnog oboljenja” ili „zdravstvenih problema”, primenjuju se posebni uslovi i obaveze.

Dalje, rukovalac je u obavezi da svako lice na koje se podaci odnose obavesti o svim relevantnim aspektima obrade. Ovo obaveštenje o obradi mora da sadrži podatke o identitetu i kontakt podatke rukovaoca, zatim lica za zaštitu podataka (posebno imajući u vidu da je reč o organu vlasti), svrsi nameravane obrade i pravnom osnovu, primaocima podataka (primera radi zdravstvene ustanove na teritorijama gde lice želi da primi vakcinu), kao i o roku čuvanja, pravima lica, pravu na pritužbu povereniku i dr. Sve što u ovom slučaju izostaje.

Svrha obrade mora biti ograničena

Svrha obrade podataka je osnova svake obrade. Stoga, ona mora biti određena, i to na taj način da je jasan cilj koji se želi postići. Na stranici o usluzi navodi se da se popunjavanjem upitnika iskazuje interesovanje da lice primi vakcinu, i to bi bila svrha popunjavanja upitnika za pojedinca. Međutim, u terminologiji zaštite podataka, svrha se odnosi na ono što rukovalac želi da ostvari. Primera radi, priprema plana nabavke vakcina (pod uslovom da već nisu nabavljene i pod uslovom da upitnik ne popunjavaju lica za koja već postoji plan vakcinacije).

Obrađuju se samo neophodni podaci

Budući da svaka obrada predstavlja zadiranje u pravo lica, ona mora da bude srazmerna. Drugim rečima, obrađuju se samo podaci koji su neophodni. Dakle, ukoliko je neophodno da se zna poimence ko je „zainteresovan” za vakcinaciju, onda je neophodna obrada podataka kojim se lice identifikuje. Ukoliko je važan samo broj lica i eventualno opština, onda je suvišno obrađivati JMBG ili podatke o kontaktu lica.

Jasno je da ostvarivanje ovog načela, odnosno obaveze da se ne prikuplja više podataka nego što je neophodno, zavisi od određenosti svrhe.

Podaci moraju biti tačni

Da bi zadiranje u privatnost imalo opravdanje, nužno je da su podaci tačni (i u primenjivim slučajevima ažurni). Budući da je reč o upitniku koji samo lice popunjava, pitanje je kako je tačnost obezbeđena. Usluga je dostupna i licima koja nisu registrovana na portalu e-uprave, a to znači da verifikacije podataka nema, osim ukoliko se ne vrši upoređivanje imena lica i pripadajućeg JMBG.

Istovremeno, lice može popuniti i podatke o maloletnom licu, a da ne postoji provera autentičnosti. Kako ovi podaci nisu proverljivi, onda su oni i nepouzdani, pa se time ne postiže svrha obrade, koja, u ovom slučaju nije predočena.

Obrada podataka je ograničena

Retke su situacije da se podaci čuvaju trajno, već dužina čuvanja zavisi od svrhe obrade i mora biti određena, primera radi, rokom izraženim u danima, ili odrediva nastupanjem uslova. U konkretnom slučaju, rok čuvanja nije jasan, a to je opet posledica neodređene svrhe obrade.

Podaci moraju biti bezbedni

Obrada podataka podrazumeva primenu mera kojima se obezbeđuje njihov integritet i poverljivost. Ove mere mogu biti tehničke, organizacione i kadrovske. S obzirom na to da je reč o obradi podataka koji se odnose na zdravstveno stanje, reč je posebnoj vrsti podataka koji pretpostavljaju dodatne mere zaštite. Prema članu 42. zakona, ove mere, budući da se u konkretnom slučaju istovremeno radi o primeni tehnologije, obradi posebne vrste podataka u velikom obimu (dan po objavljivanju usluge na portalu 40.000 lica je popunilo upitnik), kao i da je očigledan rizik za prava i slobode lica, mere bezbednosti su morale biti ugrađene u sam dizajn obrade.

Prema podacima se postupa odgovorno

Pored načela ograničenosti svrhe, ovo načelo odgovornosti čini osnov svake obrade. Nema obrade bez odgovornosti, svaki podatak predstavlja odgovornost, a koja podrazumeva poštovanje svih zakonskih obaveza, a posebno ostvarivanje prava lica.

Obaveze rukovaoca, prema Zakonu o zaštiti podataka o ličnosti, mogu biti opšte i posebne. Pored poštovanja svih načela, kao i prava lica, u ovom slučaju je očekivano da je pripremljena i „procena uticaja na zaštitu podataka o ličnosti”. Da jeste, ona bi odgovorila na nedostajuća pitanja, između ostalog: koja je svrha obrade, da li je uopšte neophodna i da li je srazmerna svrsi, da li smo svesni rizika po prava lica (privatnost je samo jedno od prava), te koje mere nameravamo da preduzmemo da bismo umanjili rizik i da li su one adekvatne. I kada pripremamo ovu procenu u obavezi smo da tražimo mišljenje lica za zaštitu podataka o ličnosti.

Navedena procena uticaja na zaštitu podataka o ličnosti bi pomogla da ovaj upitnik, tačnije, u velikom obimu izmenjeni upitnik, zaista pomogne da se ostvari svrha, ukoliko se ona artikuliše.

*Fondacija za otvoreno društvo

Prilozi objavljeni u rubrici „Pogledi” odražavaju stavove autora, ne uvek i uređivačku politiku lista