Opća uredba o zaštiti podataka, kao vrlo široki zakonodavni okvir, predviđa i pravila koja se primjenjuju na obradu osobnih podataka, poput primjerice trenutne situacije s koronavirusom, omogućujući zakonsku osnovu prikupljanja i obrade osobnih podataka poslodavcima i tijelima javnog zdravstva bez obveze dobivanja suglasnosti od samog pojedinca. Ovo pravilo primjenjuje se kad je obrada osobnih podataka poslodavcima potrebna iz razloga javnog interesa iz područja javnog zdravstva ili zaštite vitalnih interesa (propisane čl. 6. i 9. GDPR-a), ili radi ispunjavanja druge zakonske obveze.
Uz nedavno objavljen službeni stav EDPB-a da pravila o zaštiti podataka poput GDPR-a ne sprječavaju mjere koje se provode u borbi protiv pandemije koronavirusa, hrvatsko nadzorno tijelo AZOP prenijelo je zajedničku izjavu Predsjednice savjetodavnog Odbora za Konvenciju 108 i Povjerenika za zaštitu podataka pri Vijeću Europe u kojima se podsjeća na principe zaštite podataka tijekom ovih kriznih vremena.
Izjavu prenosim u cijelosti, a izvornici oba dokumenta su na kraju članka.
ZAJEDNIČKA IZJAVA O PRAVU NA ZAŠTITU PODATAKA U KONTEKSTU PANDEMIJE COVID-19 VIJEĆA EUROPE
Pandemija COVID-19 (poznatija kao koronavirus) predstavlja neviđene prijetnje i izazove za pojedince i zemlje širom svijeta. Potreba za zaustavljanjem njegova širenja i izlječenjem onih koji su istim pogođeni, cilj je kojeg dijele narodi diljem svijeta. Uloženi napori Svjetske zdravstvene organizacije, međunarodnih organizacija, vlada, zdravstvenih ustanova i njihovog osoblja kao i poduzeća, na sprječavanju širenja virusa u većem razmjeru, kako bi se spasili ljudi i zaštitilo društvo, neograničeni su i trebalo bi ih snažno poduprijeti.
U kontekstu demokracije, države se moraju suočiti s prijetnjama koje proizlaze iz pandemije COVID-19 za vladavinu prava i ljudskih prava, uključujući i pravo na privatnost i zaštitu podataka.
U nastojanju suzbijanja daljnjih novih zaraza, vlade su morale pribjeći izvanrednim mjerama, uključujući i proglašavanje izvanrednog stanja u mnogim slučajevima. Iako je alarmantna situacija u području javnog zdravlja tih zemalja opravdavala uvođenje posebnih režima, treba naglasiti da je tijekom tih ograničenih razdoblja, ostvarivanje ljudskih prava, kako je utvrđeno u nekoliko međunarodnih i nacionalnih instrumenata (poput Međunarodnog pakta o građanskim i političkim pravima i Europske konvencije o ljudskim pravima) primjenjivo i ne može ih se suspendirati, već samo derogirati ili ograničiti zakonom, u mjeri u kojoj to strogo zahtijevaju potrebe pojedine situacije, poštujući bit temeljnih prava i sloboda.
Opća načela i pravila zaštite podataka
Kada je riječ o pravu na zaštitu podataka, prije svega treba napomenuti da su Konvencija 108, kao i modernizirana „Konvencija 108+“, postavili visoke standarde za zaštitu osobnih podataka koji su kompatibilni i uskladivi s drugim temeljnim pravima i relevantnim javnim interesima. Važno je podsjetiti da zaštita podataka ni na koji način ne može biti prepreka spašavanju života te da primjenjiva načela uvijek omogućuju uravnoteženje interesa.
U skladu s Konvencijom 108+, čak i u posebno teškim situacijama, ključno je poštivanje načela zaštite podataka. U tom smislu, ključno je:
- ispitanicima osigurati upoznavanje s obradom njihovih podataka;
- obradu osobnih podataka vršiti samo, ako je potrebno i proporcionalno izričitom, određenom i legitimnom cilju kojem se teži;
- procjenu učinka provodi prije početka obrade;
- osigurati tehničku i integriranu zaštitu podataka te kojom se usvajaju odgovarajuće sigurnosne mjere za zaštitu podataka i to osobito kada je riječ o posebnim kategorijama podataka, kao što su podaci koji se odnose na zdravlje;
- ispitanici imaju pravo na ostvarivanje svojih prava.
Jedno od glavnih načela zaštite podataka predviđeno Konvencijom 108+ jest načelo zakonitosti prema kojem se obrada podataka može provesti ili na temelju privole ispitanika ili po nekoj drugoj zakonitoj osnovi. Treba napomenuti da, a kao što je izričito predstavljeno u Objašnjenju Protokola o izmjeni Konvencije o zaštiti pojedinaca u pogledu automatske obrade osobnih podataka, takav pravni temelj posebno obuhvaća obradu podataka potrebnih za vitalne interese pojedinaca te obradu podataka koja se provodi na temelju javnog interesa, kao što je to u slučaju praćenja epidemije opasne po život.
Na primjer, pravo na zaštitu podataka ne sprječava javne zdravstvene službe pri razmjeni popisa zdravstvenih djelatnika (imena i kontakt podataka ) sa subjektima kojima je povjerena distribucija FFP2 maski. Također se ne može tvrditi da je pravo na zaštitu podataka nespojivo s epidemiološkim nadzorom, ističući da anonimni podaci nisu obuhvaćeni zahtjevima za zaštitu podataka. Stoga upotreba zbirnih informacija o lokaciji za signaliziranje skupova koji krše uvjete zatvaranja ili za označavanje kretanja osoba koje putuju kroz područja pogođena pandemijom u velikom razmjeru (u smislu broja pozitivnih osoba COVID-19) ne bi bila spriječena zahtjevima za zaštitu podataka.
Nadalje, „Konvencija 108+“ potvrđuje potrebu za dopuštenim iznimkama i ograničenja u kontekstu hitnih ciljeva od javnog interesa i vitalnih interesa pojedinaca. Ipak, ograničenja njegovih načela i prava moraju odgovarati vrlo jasnim zahtjevima, čak i za vrijeme izvanrednog stanja, a kako bi se osiguralo trajno poštovanje vladavine prava i temeljnih prava. Prema Konvenciji 108+ (članak 11.) iznimke su „predviđene zakonom, poštuju suštinu temeljnih prava i sloboda te predstavljaju nužnu i razmjernu mjeru u demokratskom društvu“.
Kad se primjenjuju ograničenja te se mjere moraju poduzeti samo privremeno i samo na razdoblje izričito ograničeno na izvanredno stanje. Također je ključno uspostaviti posebne zaštitne mjere i uvjerenje o tome da se osobnim podacima pruža potpuna zaštita nakon ukidanja izvanrednog stanja. Navedeno bi trebalo uključivati konkretne posebne mjere i postupke koji se odnose na povratak u uobičajeni režim obrade podataka, s posebnom pažnjom na baze podataka koje sadrže zdravstvene podatke ili druge posebne kategorije podataka i/ili one stvorene u svrhu praćenja i profiliranja pojedinaca čija je obrada izvršena u vrijeme izvanrednog stanja. Tijela za zaštitu podataka se pozivaju da pažljivo procjene mjere koje su poduzela državna tijela u odnosu na te uvjete.
Obrada podataka povezanih sa zdravljem
Pod uvjetom da je prioritet ljudsko biće i da su u području zdravstvenog liječenja prihvaćeni profesionalni standardi vodeće vrijednosti, obrada podataka povezanih sa zdravljem jamči poštivanje prava i temeljnih sloboda svakog pojedinca, posebno prava na privatnost te zaštitu osobnih podataka. S tim u vezi, Preporuka CM/Rec (2019)2 o podacima koji se tiču zdravlja, daje posebne smjernice. Njezine odredbe o razmjeni podataka, između zdravstvenih djelatnika i između zdravstvenog i drugih sektora, trebale bi usmjeriti praksu pojedinih stručnjaka. Posebno poglavlje Preporuke posvećeno je znanstvenim istraživanjima koja su u ovom trenutku jedno od ključnih područja međunarodne suradnje u borbi protiv COVID-19.
Obavješćivanje javnosti koje provode zdravstvena i vladina tijela trebalo bi i dalje biti od prioritetne važnosti kako bi mogli zaštiti, informirati i savjetovati cjelokupnu javnost. Međutim, tijekom takvih izvještavanja trebalo bi izbjegavati objavljivanje osjetljivih podataka (poput zdravstveno povezanih podataka) određenih osoba i preporučuje se da se obrada takvih podataka vrši samo ako se poduzmu dodatne tehničke i organizacijske mjere koje nadopunjuju one primjenjive na neosjetljive podatke.
Obrada podataka velikih razmjera
Budući da se generiraju ogromni podaci i baze podataka, iskorištavajući prednosti tehnika obrade podataka i tehnologija poput 'Big data' i umjetne inteligencije, ti bi se podaci trebali obrađivati u okruženjima koja poštuju ljudsko dostojanstvo i zaštitu podataka. U kontekstu 'Big data' i umjetne inteligencije, Odbor Konvencije 108 razvio je odgovarajuće smjernice koje mogu biti korisni alati za programere i vlade kod oblikovanja tih obrada na način koji štiti od zlouporabe ili nenamjernih negativnih posljedica, uključujući diskriminaciju pojedinaca ili grupa pojedinaca.
Transparentnost i „objašnjivost“ analitičkih ili rješenja baziranih na umjetnoj inteligenciji, predostrožni pristup i strategija upravljanja rizikom (uključujući rizik od ponovne identifikacije u slučaju anonimnih podataka), usredotočenost na kvalitetu podataka i minimiziranje te uloga ljudskog nadzora, neke su od ključnih točaka koje treba uzeti u obzir u razvoju inovativnih rješenja za borbu protiv COVID-19.
Obrada podataka koju provode poslodavci
Istovremeno štiteći javnost i svoje zaposlenike, poslodavci se suočavaju s poteškoćama u održavanju svog poslovanja ili djelatnosti, a osobito kada zaposlenici rade na daljinu, putem mreža. Međutim, ova praksa ne bi trebala dovesti do praćenja zaposlenika, uključujući video sredstva; nenametljive mjere treba uzeti u obzir prilikom organizacije i uvjeta rada.
U datim okolnostima poslodavci će možda morati obrađivati osobne ili osjetljive podatke koje obično ne obrađuju (poput zdravstvenih podataka); stoga treba podsjetiti da pri tome trebaju poštivati načela nužnosti, proporcionalnosti i odgovornosti. Također, trebaju se voditi principima namijenjenim minimiziraju svih rizika koje takva obrada može predstavljati za prava i temeljne slobode zaposlenika, posebno njihovim pravima na privatnost, a kako je razrađeno u Preporuci CM/Rec (2015)5 o obradi osobnih podataka u kontekstu zapošljavanja. Posebno, poslodavci ne bi trebali obrađivati osobne podatke osim onoga što je nužno za identifikaciju potencijalno izloženih zaposlenika.
Ako su prema zakonu obvezni objaviti određene podatke državnim tijelima iz javnozdravstvenih razloga, poziva ih se da to rade uz strogo poštivanje temeljne pravne osnove, uz poduzimanje potrebnih mjera da se vrate u "uobičajenu" obradu (uključujući trajno brisanje) nakon što izvanredno stanje više nije primjenjivo.
Mobilni, računalni podaci
Telekomunikacijske tvrtke, internetske platforme i pružatelji internetskih usluga, također su aktivno uključeni u borbu protiv širenja COVID-19 te su oni, u sve većoj mjeri obvezni razmjenjivati podatke pretplatnika, osobne podatke koje prikupljaju kao i druge vrste informacija s javnim tijelima, a kako bi značajno pridonijeli epidemiološkom nadzoru, uključujući analizu prostornih podataka radi utvrđivanja lokacije potencijalno zaraženih osoba. Slično tome, privatna i javna tijela mogu razviti informatička rješenja za nadzor epidemije.
Obrada osobnih podataka velikih razmjera može se provesti samo ako na temelju znanstvenih dokaza, potencijalne javnozdravstvene koristi takvog digitalnog nadzora epidemije (npr. praćenje kontakata), uključujući njihovu točnost, nadilaze prednosti drugih alternativnih rješenja koja bi bila manje nametljiva. Razvoj tih nadzornih rješenja trebao bi se temeljiti na prethodnoj procjeni vjerojatnog utjecaja namjeravane obrade podataka na prava i temeljne slobode ispitanika, te treba osmisliti obradu podataka na takav način da se spriječi ili umanji rizik od miješanja u prava i temeljne slobode.
S obzirom na načela predostrožnosti i proporcionalnosti, preporučuje se provođenje prethodnih testiranja u različitim ''sandučićima'', kao što je to slučaj s različitim mogućim lijekovima koji se testiraju u kliničkim ispitivanjima. Iako informacije o širenju virusa u stvarnom vremenu mogu biti od značaja za njegovo izoliranje, potrebno je naglasiti da uvijek treba dati prednost najmanje nametljivim rješenjima.
Obrada podataka u obrazovnim sustavima
Škole i sveučilišta ulažu sve moguće napore za povećanje vještina i resursa za učenje na daljinu, a sami profesori i nastavnici suočavaju se s izazovom izoliranosti. Prilikom razmatranja tehničkih rješenja usmjerenih na osiguranje kontinuiteta odgojno-obrazovnog rada, prednost treba dati konfiguracijama, orijentiranima na zaštitu podataka, na primjer u vezi sa zadanim postavkama, tako da upotreba aplikacija i softvera ne narušava prava ispitanika pri čemu je potrebno i izbjegavati obrade više podataka nego što je potrebno za postizanje legitimne svrhe osiguravanja obrazovnog kontinuiteta.
Također, od primarne važnosti je odabir odgovarajućeg pravnog temelja (uključujući odobrenje roditelja ili zakonskog zastupnika, ako je potrebno) te omogućavanje roditeljima maksimalnu transparentnost u pogledu obrade podataka svoje djece. Dodatne smjernice u vezi s obradom osobnih podataka, u kontekstu obrazovanja, trenutačno priprema Odbor za konvenciju 108 i služit će praktičarima i donositeljima odluka.
Dok se ljudi suočavaju s teškim i prijetećim vremenima, dok se situacija brzo razvija i vlade poduzimaju mjere zaštite stanovništva, navedeno moraju činiti bez dugoročnijeg ugrožavanja društva. Jedino ćemo jedinstvom i solidarnošću, uz puno poštivanje vladavine prava, ljudskih prava i demokracije, prevladati ovu situaciju bez predrasuda.