17.2.2021. Pandemijska obrada podataka građana

Uspješno upravljanje pandemijom Corona virusa podrazumijeva uspostavu novih praksi prikupljanja osjetljivih podataka građana s ciljem očuvanja javnog zdravlja. Udruga Politiscope je provela analizu epidemioloških praksi prikupljanja i obrade podataka, s ciljem detektiranja kršenja temeljnih prava građana.

U fokusu analize su tijela javne vlasti koja oblikuju epidemiološka prikupljanja podataka građana – Stožer za civilnu zaštitu, Hrvatski zavod za javno zdravstvo Agencija za zaštitu osobnih podataka, Vlada RH. Analiza je namijenjena institucionalnim akterima zaduženima za oblikovanje javne politike privatnosti, samostalnim i neovisnim institucijama koje štite ljudska prava građana, organizacijama civilnog društva te građanima i široj javnosti. Izvještavanjem o radu navedenih javnih tijela, utemeljenom na analizi, želimo dokinuti nezakonite pandemijske prakse prikupljanja podataka te izgraditi principe dobrog upravljanja i transparentnosti među institucionalnim akterima koji oblikuju javnu politiku privatnosti.

Provedena analiza ukazuje na to da ključna tijela javne vlasti koja upravljaju pandemijom u Hrvatskoj, pokazuju kontinuirani nemar prema zaštiti podataka građana provodeći i promovirajući nezakonite i štetne prakse. Analiza daje pregled najrelevantnijih i najproblematičnijih slučajeva pandemijske obrade i prikupljanja podataka: i) neustavne izmjene Zakona o elektroničkim komunikacijama, ii) nelegitimni i nezakoniti pravni okvir za pandemijsku obradu podataka, iii) digitalni asistent Andrija objavljen bez Politike privatnosti, iv) nezakonite upute Stožera frizerskim i kozmetičkim salonima, v) nelegitimna obrada podataka učenika u školama, vi) slučaj Beroš-Badrić, vii) dostava pogrešnih rezultata testiranja.

Ključan problem detektiran analizom je nepostojanje zasebnog zakonskog okvira koji uređuje prikupljanje i obradu podataka o kontaktima u svrhu zaštite javnog zdravlja. U navedenoj situaciji se podaci mogu prikupljati i bez privole građana, no recital 45. Uredbe definira jasnu obvezu kreiranja zakonskog okvira koji uređuje takvu obradu. S obzirom da pandemijska obrada podataka uključuje i obradu osjetljivih podataka, na opisanu situaciju primjenjuje se i obveza definirana recitalom 52. Uredbe, koja također podrazumijeva kreiranje zasebnog pravnog okvira. Iako AZOP voditelje pandemijskih obrada redovito upućuje na nacionalne propise kao pravnu osnovu za prikupljanje podataka (npr. zakoni koji uređuju rad škola), nijedan od postojećih zakona ne sadrži sve nužne elemente propisane recitalom 45. Uredbe (poput svrhe i opsega prikupljanja podataka, načina zaštite, roka čuvanja, obveze uništenja podataka, i sl.). Ne iznenađuje da je u ovakvom pravnom neredu Hrvatski zavod za javno zdravstvo izdavao frizerskim i kozmetičkim salonima nezakonite upute, dok su škole provodile nelegitimnu obradu podataka učenika u školama.

Vlada je na mjesto ravnatelja samostalne i neovisne institucije AZOP imenovala nestručnu osobu koja se zbog bliskosti s Vladom i vladajućom strankom nalazi u trajnom sukobu interesa. Analiza pojedinačnih slučajeva ukazuje da se ne radi samo o dojmu ovisnosti, već o stvarnoj podređenosti ove institucije Vladi RH. Tako je Vlada objavila asistenta Andriju bez politike privatnosti dok AZOP ne pronalazi ništa problematično u tome da ministar javno iznosi informacije o zdravlju pojedinaca s kojima je bio u kontaktu, s ciljem umanjivanja štete vlastitom ugledu izazvane neodgovornim ponašanjem. Posebice zabrinjava da AZOP nije sugerirao, upozorio ili savjetovao vladu da pandemijske prakse prikupljanja i obrade podataka uskladi s recitalima 45. i 52. Uredbe.

Photo: Electronic Frontier Foundation

Dokumenti