Нова услуга на порталу е-управе – „Исказивање интересовања за вакцинисање против ковида 19” је са становишта права на приватност и Закона о заштити података о личности пример који не треба следити, а разлога има пуно. Укратко, сва утврђена начела обраде података – 1. законитости, поштења и транспарентности, 2. ограничености сврхе, 3. минимизације података, 4. тачности, 5. ограниченог чувања, 6. безбедности и 7. одговорности – нису примењена. Њихова специфичност у односу на начела у другој области јесте њихова „опипљивост” – реч је о конкретним обавезама.
Обрада података мора бити законита, поштена и транспарентна
Законитост обраде подразумева адекватни правни основ (примера ради, законско овлашћење или пристанак лица), који је овде под знаком питања. Да је реч о неком овлашћењу, морало би да буде прописано неким законом. Пристанак лица за обраду није адекватан правни основ када је реч о органима власти, а посебно уколико се тиче његове надлежности или делокруга рада. У овом случају, правни основ није ни наведен. Будући да се обрађују и подаци о постојању „специфичног обољења” или „здравствених проблема”, примењују се посебни услови и обавезе.
Даље, руковалац је у обавези да свако лице на које се подаци односе обавести о свим релевантним аспектима обраде. Ово обавештење о обради мора да садржи податке о идентитету и контакт податке руковаоца, затим лица за заштиту података (посебно имајући у виду да је реч о органу власти), сврси намераване обраде и правном основу, примаоцима података (примера ради здравствене установе на територијама где лице жели да прими вакцину), као и о року чувања, правима лица, праву на притужбу поверенику и др. Све што у овом случају изостаје.
Сврха обраде мора бити ограничена
Сврха обраде података је основа сваке обраде. Стога, она мора бити одређена, и то на тај начин да је јасан циљ који се жели постићи. На страници о услузи наводи се да се попуњавањем упитника исказује интересовање да лице прими вакцину, и то би била сврха попуњавања упитника за појединца. Међутим, у терминологији заштите података, сврха се односи на оно што руковалац жели да оствари. Примера ради, припрема плана набавке вакцина (под условом да већ нису набављене и под условом да упитник не попуњавају лица за која већ постоји план вакцинације).
Обрађују се само неопходни подаци
Будући да свака обрада представља задирање у право лица, она мора да буде сразмерна. Другим речима, обрађују се само подаци који су неопходни. Дакле, уколико је неопходно да се зна поименце ко је „заинтересован” за вакцинацију, онда је неопходна обрада података којим се лице идентификује. Уколико је важан само број лица и евентуално општина, онда је сувишно обрађивати ЈМБГ или податке о контакту лица.
Јасно је да остваривање овог начела, односно обавезе да се не прикупља више података него што је неопходно, зависи од одређености сврхе.
Подаци морају бити тачни
Да би задирање у приватност имало оправдање, нужно је да су подаци тачни (и у примењивим случајевима ажурни). Будући да је реч о упитнику који само лице попуњава, питање је како је тачност обезбеђена. Услуга је доступна и лицима која нису регистрована на порталу е-управе, а то значи да верификације података нема, осим уколико се не врши упоређивање имена лица и припадајућег ЈМБГ.
Истовремено, лице може попунити и податке о малолетном лицу, а да не постоји провера аутентичности. Како ови подаци нису проверљиви, онда су они и непоуздани, па се тиме не постиже сврха обраде, која, у овом случају није предочена.
Обрада података је ограничена
Ретке су ситуације да се подаци чувају трајно, већ дужина чувања зависи од сврхе обраде и мора бити одређена, примера ради, роком израженим у данима, или одредива наступањем услова. У конкретном случају, рок чувања није јасан, а то је опет последица неодређене сврхе обраде.
Подаци морају бити безбедни
Обрада података подразумева примену мера којима се обезбеђује њихов интегритет и поверљивост. Ове мере могу бити техничке, организационе и кадровске. С обзиром на то да је реч о обради података који се односе на здравствено стање, реч је посебној врсти података који претпостављају додатне мере заштите. Према члану 42. закона, ове мере, будући да се у конкретном случају истовремено ради о примени технологије, обради посебне врсте података у великом обиму (дан по објављивању услуге на порталу 40.000 лица је попунило упитник), као и да је очигледан ризик за права и слободе лица, мере безбедности су морале бити уграђене у сам дизајн обраде.
Према подацима се поступа одговорно
Поред начела ограничености сврхе, ово начело одговорности чини основ сваке обраде. Нема обраде без одговорности, сваки податак представља одговорност, а која подразумева поштовање свих законских обавеза, а посебно остваривање права лица.
Обавезе руковаоца, према Закону о заштити података о личности, могу бити опште и посебне. Поред поштовања свих начела, као и права лица, у овом случају је очекивано да је припремљена и „процена утицаја на заштиту података о личности”. Да јесте, она би одговорила на недостајућа питања, између осталог: која је сврха обраде, да ли је уопште неопходна и да ли је сразмерна сврси, да ли смо свесни ризика по права лица (приватност је само једно од права), те које мере намеравамо да предузмемо да бисмо умањили ризик и да ли су оне адекватне. И када припремамо ову процену у обавези смо да тражимо мишљење лица за заштиту података о личности.
Наведена процена утицаја на заштиту података о личности би помогла да овај упитник, тачније, у великом обиму измењени упитник, заиста помогне да се оствари сврха, уколико се она артикулише.
*Фондација за отворено друштво
Прилози објављени у рубрици „Погледи” одражавају ставове аутора, не увек и уређивачку политику листa
