UVOD

Globalna kriza javnog zdravlja u značajnoj meri izmešta fokus odluka sa prava pojedinaca na interes zajednice. Čini se da je zaštita podataka o ličnosti izložena naročito teškom testu, s obzirom na tehničke mogućnosti masovnog prikupljanja i obrade u okolnostima kada je suzbijanje pandemije primarni cilj celokupne javnosti. Po prvi put od donošenja Opšte uredbe o zaštiti podataka (eng. General Data Protection Regulation, GDPR), odnosno našeg Zakona o zaštiti podataka o ličnosti (Zakon ili ZZPL), potrebna je učestalija primena odredbi ovih propisa, dok su se istovremeno njihova načela našla na ozbiljnom ispitu. U kojoj su meri ustanovljeni standardi primenjivi na situaciju u kojoj se nalazimo? Gde ih eventualno treba pooštriti, gde možda sniziti, a u kojim situacijama bi trebalo da ostanu isti?

U ovom Vodiču razmatramo neke od najaktuelnijih tema u doba pandemije bolesti COVID-19.

Zaštita podataka o ličnosti za vreme vanrednog stanja

Pravnu situaciju u Srbiji tokom pandemije bitno određuje vanredno stanje koje je proglašeno 15. marta 2020. godine. Ustav Republike Srbije omogućava da tokom vanrednog stanja Vlada može da propiše mere kojima se odstupa od određenih Ustavom zajemčenih ljudskih i manjinskih prava, među kojima su pravo na tajnost pisama i drugih sredstava opštenja, zaštitu podataka o ličnosti, slobodu mišljenja i izražavanja, slobodu medija ili pravo na obaveštenost. Međutim, do sada, ova zajamčena prava nisu ograničena posebnim merama Vlade. Stoga se u potpunosti primenjuje redovan zakonski režim koji reguliše obradu podataka o ličnosti. Ipak, činjenica da se Srbija nalazi u vanrednom stanju svakako može da utiče na način na koji se pravne norme tumače u trenutnim okolnostima.

Treba imati u vidu da je Savet Evrope svojim članicama dao preporuke za suočavanje sa situacijom koja je nazvana nezapamćenom i masovnom sanitarnom krizom, sa ciljem da obezbedi poštovanje osnovnih vrednosti demokratije, vladavine prava i ljudskih prava. Što se zaštite podataka o ličnosti i privatnosti građana tiče, iako je priznat značaj koji digitalne tehnologije mogu da imaju na suzbijanje pandemije, istaknuta je i važnost poštovanja pravila koja su sadržana u Konvenciji 108+. Konvencija dozvoljava izuzeća od redovnih pravila o zaštiti podataka, ali u ograničenom vremenskom periodu, uz odgovarajuće mere zaštite (npr. anonimizacija) i efikasan nadzor, kako bi se osiguralo da se podaci o ličnosti prikupljaju, analiziraju, čuvaju i dele na zakonite i odgovorne načine.

Što se masovne i automatizovane obrade ličnih podataka tiče, ona bi trebalo bi da se vrši samo kada naučni dokazi uverljivo pokažu da potencijalne dobrobiti za javno zdravlje nadmašuju koristi alternativnih, manje invazivnih rešenja.

Naš Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (Poverenik) na svom sajtu objavio je niz preporuka, saopštenja i apela u pogledu zaštite podataka o ličnosti građana.

Osnovna pravila i načela zaštite podataka o ličnosti

ZZPL koji je usaglašen sa pravilima GDPR-a i standardima Konvencije 108+, sadrži dovoljno opšta pravila koja mogu da se adekvatno primene i pod postojećim izuzetnim okolnostima. Takođe, postoje posebna pravila iz ZZPL-a koja se bave pitanjima zaštite života i javnog zdravlja, kao i obradom zdravstvenih podataka koji se smatraju posebno osetljivom vrstom podataka o ličnosti.

Načela koja su sadržana u članu 5 ZZPL-a ostaju relevantna i za obrade koje se vrše u kontekstu suzbijanja korona virusa, i podrazumevaju sledeće:

Značaj poštovanja svih pravila koja su sadržana u načelima istakao je i Poverenik u svom Saopštenju povodom obrade podataka o ličnosti za vreme vanrednog stanja, u kome je istakao da su rukovaoci i obrađivači i u novonastalim okolnostima dužni da vode računa o tome da za svaku obradu podataka o ličnosti mora postojati odgovarajući pravni osnov i svrha, da se mogu obrađivati samo podaci koji su primereni, bitni i ograničeni na ono što je neophodno za postizanje svrhe obrade, da lica čiji se podaci obrađuju moraju biti upoznata sa obradom, kao i da se moraju preduzimati adekvatne mere zaštite od neovlašćene i nezakonite obrade i primenjivati druga načela obrade utvrđena članom 5 ZZPL-a.

Zdravstveni podaci kao posebna vrsta podataka o ličnosti

Za obradu posebnih vrsta podataka, kao što su podaci o zdravlju nekog lica, važe sva pravila koja su opisana u zakonskim načelima. Međutim, to nije dovoljno. Pored neophodnog postojanja jednog od šest pravnih osnova koji dozvoljava obradu, za sve rukovaoce koji obrađuju takve podatke dodatno je relevantan član 17 ZZPL-a. Ovaj član reguliše u kojih deset situacija je dozvoljeno da se obrađuju podaci o ličnosti koji se smatraju posebnim. Tek ukoliko su ispunjeni dodatni uslovi iz neke od tih deset situacija, mogu se prikupljati i dalje obrađivati podaci kao što su: telesna temperatura, istorija bolesti, krvna grupa, genetski i biometrijski podaci i sl.

Poverenik je ukazao da, sa stanovišta primene ZZPL-a, „nema smetnji za obradu podataka o zdravstvenom stanju lica kada je ona zasnovana na važećim propisima, uključujući i akte koje nadležni državni organi donose u uslovima vanrednog stanja, kao i da se obrada ovih podataka može vršiti u granicama ovlašćenja i uz poštovanje svih načela obrade iz člana 5 ZZPL-a”.

Prema stavu Poverenika, „obrada podataka o licima inficiranim i obolelim od COVID-a 19 u svrhe naučnog istraživanja, nije u suprotnosti sa ZZPL-om, s tim što ulogu rukovaoca može imati samo organizacija koja je, u skladu sa zakonom, registrovana za obavljanje naučnoistraživačke delatnosti i koja je odgovorna za postupanje u skladu sa ZZPL-om”.

Prava građana u vezi sa zaštitom podataka o ličnosti

Fizička lica čiji se podaci obrađuju i u uslovima vanrednog stanja mogu ostvarivati sva prava u vezi sa obradom njihovih podataka koja su im garantovana članovima 26 do 38 ZZPL-a, što je stav i Poverenika. Jasno je, međutim, da se aktivnosti rukovalaca trenutno ostvaruju u izmenjenom režimu. Stoga rukovaoci objektivno neće biti u mogućnosti da po svakom zahtevu postupe u roku od 30 dana od dana prijema zahteva, što je njihova redovna obaveza prema članu 21, stav 3 ZZPL. Poverenik nije ovlašćen da izmeni propisani rok zbog izuzetnih okolnosti, ali je direktno ukazao na Zakonom predviđenu mogućnost produženja roka za postupanje rukovalaca za još 60 dana (ako je to neophodno, uzimajući u obzir složenost i broj zahteva), koja je takođe sadržana u navedenom članu ZZPL-a. To znači da se rukovalac ne može osloboditi obaveze postupanja po zahtevu lica za ostavarivanje bilo kog prava i dužan je da to učini čim se steknu uslovi.

Ako smatraju da su njihovi podaci o ličnosti obrađivani suprotno ZZPL-u, građani imaju na raspolaganju dva procesna puta: (i) pravo na pritužbu Povereniku, kao i pravo da protiv odluke Poverenika po pritužbi pokrenu upravni spor (ii) mogućnost pokretanja sudskog spora zbog povrede prava, pri čemu u sudskom postupku lice može zahtevati određeno činjenje ili naknadu materijalne i/ili nematerijalne štete u skladu sa pravilima Zakona o obligacionim odnosima.

OBRADA PODATAKA O OBOLELIM, TESTIRANIM I RIZIČNIM LICIMA

Prilikom postupanja sa zdravstvenim podacima obavezna je primena sektorskih zakona u oblasti zdravstva uz poštovanje principa i prava građana iz ZZPL.

Epidemiološkim podacima koje u skladu sa svojim ovlašćenjima obrađuje sistem javnog zdravstva, drugi organi smeju da pristupaju samo ako je to neophodno za suzbijanje epidemije.

Lica u postupku epidemiološkog ispitivanja su dužna da pruže potpune i istinite podatke.

Izveštavanje o obolelim testiranim i rizičnim licima mora biti u javnom interesu i uz poštovanje dostojanstva i privatnosti.

Sva prava koje pacijentu imaju, uključujući prava vezana za informisanje i zaštitu privatnosti, aktivna su bez obzira na okolnosti.

Zaštita podataka o ličnosti u zdravstvenom sistemu

Zaštita podataka o ličnosti u zdravstvenom sistemu Srbije regulisana je, pored ZZPL-a, i sektorskim propisima. Zakon o zdravstvenoj zaštiti u vezi sa obradom podataka pacijenata upućuje na Zakon o zdravstvenoj dokumentaciji i evidencijama u oblasti zdravstva. Na osnovu ovog zakona Ministarstvo zdravlja je donelo Pravilnik o obrascima i sadržaju obrazaca za vođenje zdravstvene dokumentacije, evidencija, izveštaja, registara i elektronskog medicinskog dosijea. Prava koja pacijenti imaju u vezi sa svojim podacima o ličnosti sadržana su i u Zakonu o pravima pacijenata.

Međutim, pored ovog opšteg pravnog režima, u uslovima pandemije takođe su relevantne odredbe koje se nalaze u Zakonu o zaštiti stanovništva od zaraznih bolesti. Na osnovu člana 6 ovog Zakona, Vlada Srbije je donela Odluku o proglašenju bolesti COVID-19 izazvane virusom SARS-CoV-2 zaraznom bolešću, i predvidela mere za njeno suzbijanje. U skladu sa ovom odlukom, ali i preporukama Svetske zdravstvene organizacije, Ministarstvo zdravlja je objavilo algoritam pod nazivom “Postupanje sa licem kod koga je postavljena sumnja na infekciju virusom SARS-CoV-2 u fazi lokalne transmisije u Republici Srbiji”. Iako ni navedena Odluka Vlade ni algoritam za postupanje ne regulišu direktno način ni sadržinu obrade podataka o ličnosti, oni svakako propisuju mere i postupke čije sprovođenje podrazumeva prikupljanje, obradu i čuvanje tih podataka.

Vlada Srbije je takođe donela Zaključak o uspostavljanju jedinstvenog i centralizovanog softverskog rešenja – Informacioni sistem COVID-19, kojim je predvidela postupanje svih zdravstvenih institucija u cilju formiranja jedinstvene evidencije o svim slučajevima koji imaju veze sa zaraznom bolešću izazvanom korona virusom.

U ovom Vodiču razmotrićemo one obrade podataka koje su specifične za postupanje u okolnostima COVID-19 pandemije, odnosno obradu podataka koja ne postoji u redovnim uslovima u skladu za opštim zdravstvenim propisima.

Svi navedeni akti koji su relevantni u uslovima vanrednog stanja bi na posredan način mogli da služe kao pravni osnov za obradu zdravstvenih podataka građana Srbije. Međutim, posebno je važno istaći da zakonita obrada podataka podrazumeva primenu svih pravila koja su sadržana u načelima obrade iz ZZPL - što praktično znači da je u svakom konkretnom slučaju neophodno da najpre bude ustanovljena jasna svrha obrade. Generalna svrha - a to je suzbijanje i sprečavanje daljeg širenja pandemije ili lečenje zaraženih lica, ne može biti blanko opravdanje za bilo koju obradu podataka o ličnosti.

U određenim slučajevima je konkretnija svrha sadržana u merodavnim zakonima. Tako Zakon o zaštiti stanovništva od zaraznih bolesti predviđa situacije kada se mora spovoditi epidemiološko ispitivanje, koje je definisano kao prikupljanje i analiza podataka o faktorima koji su doprineli nastanku utvrđene zarazne bolesti, radi utvrđivanja tih faktora, odnosno radi utvrđivanja uzročnika bolesti, a u cilju sprečavanja i suzbijanja bolesti. Nadležne ustanove koje vrše ova ispitivanja imaju osnov u zakonu da prikupe one podatke koji su neophodni da bi ispitivanje bilo uspešno, uključujući i podatke o ličnosti koji se odnose na zdravlje.

Međutim, kada sam zakon ne definiše svrhu obrade podataka, onda svaki organ ili telo koji imaju ulogu rukovaoca treba sami da odrede konkretnu svrhu, uzimajući u obzir svoja javna ovlašćenja koja im služe kao pravni osnov za obradu podataka o ličnosti (na primer, ovlašćenja doma zdravlja su drugačija od ovlašćenja koja ima institut za javno zdravlje). Takođe, u skladu sa tom svrhom konkretan rukovalac treba nužno da odredi: vrstu podataka o ličnosti koja se mora prikupiti radi ostvarivanja svrhe, vremenski period u kom će se podaci obrađivati, ko sme da im pristupi i kome moraju da se pošalju.

Mapiranje tokova podataka

Sledeći infografik predstavlja okvirni prikaz puta podataka o ličnosti građana koji u nekom od svojstava (npr. testirani, oboleli, izlečeni) mogu učestvuju u epidemiološkim, zdravstvenim i drugim procedurama tokom sprečavanja i/ili lečenja od bolesti Covid-19. Infografik je izrađen na raspoloživih informacija koje se nalaze u mnogobrojnim aktima koji regulišu neku od ovih procedura, uključujući zakonski okvir za epidemiološka ispitivanja, posebne propise o postupanju nadležnih organa za vreme vanrednog stanja, algoritme, interne procedure, uputstva i pravila po kojima su ti organi dužni da postupaju, a koji se s vremena na vreme ažuriraju.

Zbog toga što su predmetne procedure detaljne, podrazumevaju veliki broj učesnika i aktera sa različitim zadacima, a pri tom se menjaju s vremena na vreme u skladu sa razvojem situacije - informacije i put podataka predstavljene u infografiku treba razumeti kao uopštenu vizualizaciju za informacione svrhe, pri čemu put podataka u praksi može izgledati drugačije.

Informacioni sistem Covid-19

Prema Zaključku Vlade o uspostavljanju Informacionog sistema Covid-19 (IS Covid-19), čitav niz nadležnih institucija (zdravstvene ustanove u kojima su smeštena na bolničko lečenje lica obolela od bolesti COVID-19; instituti i zavodi za javno zdravlje; laboratorije koje vrše testiranje, kao i drugi nadležni organi i organizacije) obavezni su da u ovom softverskom programu vode podatke o licima koja su (i) izlečena, (ii) preminula, (iii) testirana, i to kao pozitivna ili negativna na bolest COVID-19, kao i licima kojima je (iv) izrečena mera samoizolacije ili smeštaj u objektima za zdravstveno siguran smeštaj stanovništva, sa podacima o lokaciji gde se lica nalaze. Takođe su obavezni da podatke ažuriraju na dnevnom nivou do 14 sati za period zaključno sa prethodnim danom u 24 sata.

Posebno je pitanje da li Vlada ima ovlašćenje da o obradi podataka o ličnosti odlučuje Zaključkom koji je donet samo na osnovu člana 43, stav 3 Zakona o Vladi, dok se ne oslanja ni na jedan zakon koji materijalno uređuje pitanja koja su predmet Zaključka.

Iako detaljno reguliše kategorije lica čiji se podaci moraju naći u ovom sistemu, Zaključak ipak ne reguliše koje tačno podatke sistem sadrži. U tom smislu, od izuzetnog značaja je postupanje u skladu sa načelom minimizacije.

Institut za javno zdravlje „Dr Milan Jovanović Batut” (Institut Batut) ima obavezu da podatke iz Informacionog sistema Covid-19 dostavlja Ministarstvu zdravlja na dnevnom nivou, u cilju pripreme izveštaja i objavljivanja pseudonimizovanih podataka za javnost. Iako se ovde koristi izraz "pseudonimizovani podaci" objavljeni podaci bi svakako morali biti anonimizovani kako na osnovu njih ne bi mogla da se izvrši identifikacija lica na koje se odnose.

Pravna nesigurnost Prema Zaključku, u cilju nadzora nad sprovođenjem mere samoizolacije, kao i radi sprovođenja pojačanog zdravstvenog nadzora, Institut Batut podatke iz IS Covid-19 sistema dostavlja Ministarstvu unutrašnjih poslova, Vojsci Srbije i drugim nadležnim organima radi postupanja u skladu sa njihovim nadležnostima. Ova uopštena odredba izaziva zabrinutost, jer je ovde navedena svrha za dalje korišćenje podataka preširoka, nije jasno šta je "pojačani zdravstveni nadzor". Takođe nije jasno koji su to drugi nadležni organi koji po osnovu ovog Zaključka Vlade mogu da dobiju podatke iz IS COVID-19. Zbog toga je posebno važno da svi organi koji dolaze u kontakt sa ovim podacima u svakom trenutku imaju u vidu obavezu da poštuju načelo minimizacije, da upotrebljavaju anonimizaciju gde god je moguće i da preduzmu mere kako bi podaci bili zaštićeni tako da im ne pristupaju lica koja nisu za to ovlašćena - kako u okviru samih organa koji raspolažu podacima, tako i prilikom međusobne razmene podataka. Slične preporuke važe i za završnu odrebu Zaključka prema kojoj su svi organi državne uprave obavezni da prilikom objavljivanja podataka u vezi sa epidemijom javnosti saopštavaju podatke preuzete iz IS Covid-19. S obzirom na to da Zaključak ne reguliše na koji način “svi organi državne uprave” mogu da pristupe ovom sistemu i preuzmu podatke u cilju njihovog objavljivanja, jasno je da svaki od tih organa ima teret da sam postupi u skladu sa obavezama koje ima prema ZZPL i drugim zakonima koji regulišu njegov rad.

Objavljivanje podataka, postupanje i obaveze medija

Setom medijskih zakona, pravilnicima Regulatornog tela za elektonske medije (REM), kao i samoregulatornim dokumentom - Kodeksom novinara Srbije, garantuje se sloboda izražavanja, ali se propisuje obaveza medija da štite pravo na privatnost i dostojanstvo ličnosti. Zakonski regulisane ili kodeksom profesionalne etike ustanovljene, obaveze medija u pogledu zaštite privatnosti zaraženih, obolelih ili preminulih lica tokom pandemije bolesti Covid 19 nisu suspendovane.

U pogledu podataka o ličnosti, Zakon o javnom informisanju i medijima propisuje obavezu medija da informacije iz privatnog života mogu objaviti samo uz saglasnost lica o kojem je informacija, te da pri objavljivanju informacija koje mogu povrediti čast, ugled ili pijetet lica treba da procenjuju koliko objavljena informacija doprinosi javnoj raspravi. REM je precizirao obaveze pružalaca elektronskih usluga Pravilnikom o zaštiti ljudskih prava u oblasti pružanja medijskih usluga. Kada se radi o informisanju o tragičnim događajima, od medija se traži da ovakve informacije objavljuju bez senzacionalizma i uz poštovanje privatnosti i dostojanstva žrtve, žrtvinih srodnika i drugih bliskih lica (član 91). Elektronski mediji se obavezuju da navedena lica ne izlažu pritisku da daju izjave, te da svojim izveštavanjem ne izazivaju dodatnu patnju. Takođe, navodi se da pružaoci medijskih usluga ne smeju "na neprimeren način spekulisati o uzroku, toku i posledicama tragičnog događaja, broju žrtava tragičnog događaja, njihovom identitetu i njihovom stanju nakon događaja" (član 91). Regulatorno telo za elektronske medije je 19. marta podsetilo pružaoce elektronskih usluga na teritoriji Srbije da poštuju zakonske obaveze u vezi sa dostojanstvom ličnosti i pravom na privatnost.

Slične odredbe sadrži i Kodeks novinara Srbije u odeljku 7 - Poštovanje privatnosti, a na njih podseća i Vodič za novinare o temama o javnom zdravlju, koje je objavilo Nezavisno društvo novinara Vojvodine. Za razliku od implicitnih smernica iz Zakona, Kodeks eksplicitno navodi da je pravo na privatnost javnih ličnosti, a posebno nosilaca javnih funkcija, suženo u odnosu na prava ostalih građana.

Posmatrana iz medijske perspektive, pandemija je specifična situacija. S jedne strane, građani imaju izrazito naglašenu potrebu za informisanjem o čemu svedoče i podaci o povećanom konzumiranju medija. S druge strane, mediji imaju značajnu ulogu u informisanju o merama zaštite i koracima koje preduzimaju nadležni organi, ali i svim drugim događajima koji građanima pomažu da razumeju situaciju. Ostavljajući po strani pitanje nelegitimnog sužavanja medijskih sloboda i izvora/sagovornika koje mediji u pandemiji imaju na raspolaganju, ključno pitanje koje se pred novinare postavlja jeste u kojim situacijama pravo javnosti da zna preteže nad pravom na privatnost.

Ovde treba imati u vidu da Svetska zdravstvena organizacija u jednom od svojih vodiča apeluje na medije da ne kreću u potragu za nultim pacijentom jer na taj način mogu dovesti do stigmatizacije. U istom dokumentu SZO poziva medije da promovišu glasove, priče i slike ljudi koji su imali iskustva sa bolešću COVID-19 i da izveštavaju o ljudima koji su se oporavili ili koji podržavaju svoje najbliže tokom oporavka. Namera ovakvog uputstva jeste da se se pažnja javnosti pomeri ka pozitivnim pričama, međutim iz ugla etičkog izveštavanja i ovakve priče mogu biti problematične ako građani sami ne istupe u javnost. U ovom duhu može se razumeti i izjava Poverenika: "Ko želi da objavi javno svoj podatak, to je u redu i to može da bude umirujuće, a ne uznemirujuće".

Međutim, Poverenik je na početku pandemije upozorio medije da „treba da se uzdrže od objavljivanja informacija koje čine identitet zaraženih lica određenim ili odredivim”. Samo u dva slučaja je procenio da to nije bio slučaj. Prvi takav slučaj bio je izveštaj TV Pink sa Klinike za infektivne i tropske bolesti u Beogradu koji prikazuje pacijente u krupnom kadru, a koji je Poverenik javno osudio. Pitanje koje ovaj slučaj otvara jeste kako mediji treba da se odnose prema snimcima koje sami građani prave a na kojima se nalazi više lica, posebno ako se radi o snimcima iz privremenih bolnica.

U drugom slučaju, Poverenik je reagovao i pokrenuo meru nadzora kada je Štab za vanredne situacije u Šidu objavio inicijale, radno mesto, godine i adresu prve osobe zaražene u tom mestu. Ovu informaciju preneli su pojedini mediji, dok je deo medija postupio odgovorno i podatke iz zvaničnog izvora nije objavio. Treba naglasiti da činjenica da organ vlasti nije poštovao svoje obaveze ne skida teret odgovornosti sa medija, odnosno ako podaci i potiču iz zvaničnih izvora, mediji ne bi trebalo da ih objavljuju ako to čini povredu prava na privatnost.

Takođe, Poverenik je apelovao na rukovaoce podacima da „vode računa da se obrada podataka o ličnosti, kako obolelih tako i potencijalno zaraženih lica, vrši samo u okviru minimuma onih podataka koji su neohodni za ostvarenje svrhe zaštite javnog zdravlja i smanjenja broja obolelih, u skladu sa ZZPL-om”. Tako je na početku pandemije Ministarstvo zdravlja objavljivalo informacije o inicijalima, godini rođenja, bolnici u kojoj su pacijenti boravili i o drugim bolestima od kojih su bolovali pre nego što su u bolnici preminuli od posledica korona virusa što je nije u skladu sa načelom minimizacije.

Mnoge javne ličnosti u svetu i kod nas objavljivale su, najčešće na svojim nalozima na društvenim mrežama, zdravstvene informacije o sebi ili članovima svoje porodice. U “Smernicama za primenu Kodeksa novinara Srbije u onlajn okruženju” navodi se da i ove informacije novinari treba da obrade sa dužnom novinarskom pažnjom. Takođe, ako se koriste informacije koje je objavio pojedinac koji nije javna ličnost, novinar je u obavezi da za to pribavi prethodnu saglasnost, dok za javne ličnosti, posebno za javne funkcionere, saglasnost nije obavezna. Novinari bi trebalo da imaju u vidu da su zdravstveni podaci posebno osetljivi, te da sa mnogo opreza tretiraju status “javne ličnosti” i procene meru u kojoj je neka osoba namerno stupila u javni prostor. U dosadašnjoj praksi, usled povećanog interesovanja javnosti za stanje u zdravstvenim ustanovama, pojedini mediji su, čini se, počeli pogrešno da tretiraju zdravstvene radnike kao javne ličnosti.

Prava pacijenata

I u uslovima vanrednog stanja, lica koja se mogu smatrati pacijentima imaju sva prava koja su im obezbeđena pre svega Zakonom o zaštiti prava pacijenata, od kojih se neka odnose na njihove podatke o ličnosti. Druga lica, koja nisu nužno pacijenti ali su se našli u procedurama koje su usmerene na borbu sa pandemijom, imaju prava koja su regulisana ZZPL-om, među kojima se kao važna u ovom kontekstu ističu pravo na informisanost (tj. pravo da znaju ko vrši obradu njihovih podataka, gde i koliko se podaci čuvaju, kome se i zbog čega šalju) i pravo na pristup (tj. uvid u podatke koji se na njih odnose, koji služe kao osnov za ostvarivanje i svih ostalih prava).

Nakon pandemije, kao posebno važno se otvara pitanje brisanja podataka koji su sakupljeni u cilju njenog suzbijanja. Iako nije sporno da će određeni podaci morati da budu sačuvani i u nekom trenutku arhivirani - to apsolutno ne isključuje obavezu da određeni broj podataka bude ili trajno anomimizovan kako bi mogao da se korsiti u statističke svrhe, ili trajno izbrisan iz svih onih zbirki gde njihovo čuvanje nije potrebno. Trajno brisanje je posebno važno zbog činjenice da će veliki broj podataka zbog urgentne borbe sa pandemijom završiti kod velikog broja organa kojima ti podaci posle pandemije nisu neophodni za obavljanje poslova iz njihove redovne nadležnosti, kada nema vrše svrhe zbog koje je potrebno da ti organi budu u posedu predmetnih podataka o ličnosti.

Najzad, pored prava koja imaju u vezi sa svojim podacima o ličnosti, građani imaju i određene obaveze, koje su usmerene na to da se pandemija suzbije što efikasnije. Tako Zakon o zaštiti stanovništa od zaraznih bolesti propisuje da je lice koje daje podatke u postupku epidemiološkog ispitivanja dužno da govori istinu i da daje tačne i potpune podatke od značaja za otkrivanje rezervoara, izvora i načina prenošenja zarazne bolesti, kao i da se, po potrebi, podvrgne određenim medicinskim ispitivanjima. Lica koja ne poštuju ovu i niz drugih obaveza, mogu prekršajno odgovarati.

OBRADA PODATAKA U RADNOM OKRUŽENJU

Poslodavci mogu da obrađuju zdravstvene i druge podatke zaposlenih u cilju prevencije uz poštovanje principa ograničenja svrhom, poštenja i minimizacije.

Podaci o zaposlenima koji su zaraženi mogu se koristiti za prevenciju, ali se moraju tretirati kao poverljivi.

Rad na daljinu ne bi trebalo da dovede do neopravdanog praćenja zaposlenih korišćenjem digitalnih tehnologija.

Mere zaštite podataka moraju da budu prilagođene novim uslovima i izazovima rada od kuće.

Zaposleni moraju biti obavešteni o novim praksama obrade njihovih podataka i imaju pravo da ulože prigovor ukoliko su te prakse neopravdane.

Zdravstveni podaci u radnom okruženju

U redovnim okolnostima, poslodavci obrađuju određene podatke o zdravlju zaposlenih (na primer, podatke o bolovanju), između ostalog, u cilju ispunjavanja obaveza predviđenih zakonima koji se bave socijalnom i zdravstvenom zaštitom. U uslovima epidemije, obrada podataka o zdravlju zaposlenih postaje posebno relevantna u kontekstu napora poslodavca da u radnom okruženju sprovede primerene mere prevencije i zaštite od korona virusa. S obzirom na to da se podaci o zdravlju, kao posebna vrsta podataka o ličnosti, mogu obrađivati samo pod određenim uslovima propisanim ZZPL-om, postavlja se pitanje da li i u kojoj meri poslodavci imaju mogućnost da prikupljaju i obrađuju zdravstvene podatke u svrhu prevencije i zaštite od bolesti.

Od svih situacija iz ZZPL-a koje omogućavaju takvu izuzetnu obradu, za poslodavce se posebno relevantnim čine odredbe prema kojima je obrada dozvoljena ako je neophodna u cilju: 1) zaštite životno važnih interesa nekog fizičkog lica, ili 2) ostvarivanja javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji zdravlju stanovništva (član 17, stav 1, tačke 3 i 9 ZZPL).

Postupanje i obaveze poslodavca u prevenciji zaraze

Pandemija bolesti COVID-19 donela je nove izazove za poslodavce na kojima je odgovornost da preduzimaju preventivne zaštitne mere u cilju sprečavanja širenja virusa, zaštite bezbednosti na radu i zdravlja zaposlenih.

U praksi se pojavilo pitanje da li poslodavci imaju pravo da zaposlene i/ili posetioce svojih objekata kontrolišu u vezi sa simptomima virusa? U cilju zaštite zdravlja poslodavci pribegavaju različitim načinima provera zdravstvenog stanja svojih zaposlenih, od onih manje invazivnih - kao što je usmeno ispitivanje i popunjavanje raznih upitnika, do invazivnijih - poput provere telesne temperature.

U pogledu mogućnosti poslodavca da vrši obradu podataka koji se odnose na simptome potencijalne infekcije korona virusom kod zaposlenih, kandidata za zaposlenje i drugih lica koja ulaze u poslovne prostorije poslodavca, Poverenik naglašava da je obradu moguće vršiti u skladu sa aktima nadležnih organa koji se odnose na borbu protiv aktuelne pandemije, uz pridržavanje načela obrade iz člana 5 ZZPL-a. U skladu sa ovom opštom smernicom Poverenika, poslodavci bi mogli da vrše proveru simptoma zaposlenih u cilju prevencije širenja bolesti, ukoliko to čine na najmane invanzivan način tj. poštujući načelo minimizacije (na primer, ukoliko se meri telesna temperatura, nije potrebno da se ti podaci bilo gde beleže i čuvaju).

Takođe, Vlada je od proglašenja vanrednog stanja donela Odluku o ograničenju pružanja usluga u oblasti trgovine na malo, koje obuhvataju prodaju robe i vršenje usluga u trgovinskim centrima i lokalima u koje se ulazi iz zatvorenog prostora kojom se obavezuju poslodavci koji obavljaju delatnost u oblasti trgovine na malo prehrambenim proizvodima, lekovima i medicinskim sredstvima, da u odnosu na zaposlene i korisnike usluga primene sve preventivne mere od uticaja na bezbednost i zdravlje korisnika usluga, a posebno one koje se odnose na sprečavanje širenja bolesti COVID -19. Poslodavcima na koje se Odluka odnosi omogućena je obrada određenih podataka o ličnosti u svrhu sprovođenja odgovarajućih preventivnih mera.

Poverenik za informacije Ujedinjenog Kraljevstva je zauzeo stav da je razumno tražiti od zaposlenih da kažu da li osećaju simptome virusa COVID-19. Preporuka je da poslodavci upute zaposlene na zdravstvene institucije, ili brojeve telefona koje mogu pozvati ukoliko osećaju simptome, čime se umanjuje obim ličnih podataka koje poslodavac prikuplja. Ukoliko to nije dovoljno, ova institucija sugeriše poslodavcima da ne prikupljaju više ličnih podataka nego što im je potrebno i da prikupljene lične podatke adekvatno zaštite.

Što se tiče situacije kada određeni zaposleni jesu zaraženi, poslodavac je dužan da preduzme sve razumne mere kako bi zaštitio privatnost zaposlenog koji je zaražen. Naš Poverenik, Evropski odbor za zaštitu podataka (EDPB) i Poverenik za informacije Ujedinjenog Kraljevstva zauzeli su slične stavove u vezi obrade podataka o zdravlju zaposlenih od strane poslodavaca u doba epidemije - poslodavci ne bi smeli da otkrivaju identitet zaraženih zaposlenih, osim ukoliko je to zaista neophodno u cilju prevencije zaraze, ali u tom slučaju uz prethodno obaveštavanje tog zaposlenog i vodeći računa da su njegov integritet i dostojanstvo zaštićeni. Istovremeno, poslodavci moraju da obaveštavaju zaposlene o slučajevima zaraze i preduzmu potrebne mere zaštite, kao i da zaposlenima dostave dovoljno informacija u cilju prevencije širenja virusa. Dakle, poslodavci bi trebalo da pronađu balans između zaštite privatnosti i podataka zaraženog zaposlenog i zaštite zdravlja ostalih zaposlenih, što praktično znači da zaposlenima ne saopštavaju više informacija nego što je neophodno.

Što se tiče zaposlenih kojima je nadležni organ izdao akt o samoizolaciji ili karantinu, prema stavu Ministarstva za rad, zapošljavanje, boračka i socijalna pitanja, oni treba da se jave poslodavcu telefonom i da mejlom ili nekim drugim elektronskim načinom komunikacije, pošalju skeniran ili slikan navedeni akt nadležnog organa. U tom slučaju, važno je obezbediti poverljivost tih podataka, i jasno odrediti kojim licima i na koju adresu se ova dokumenta šalju.

Rad od kuće

Prema Uredbi o organizovanju rada poslodavaca za vreme vanrednog stanja, poslodavac je dužan da omogući zaposlenima obavljanje poslova van prostorija poslodavca (rad na daljinu i rad od kuće), na svim radnim mestima na kojima je moguće organizovati takav rad, odnosno takav rad može odrediti rešenjem ako mu to organizacioni uslovi dozvoljavaju. Predmetnim rešenjem poslodavac treba da odredi trajanje radnog vremena i način vršenja nadzora nad radom zaposlenog.

Ova promena načina rada naterala je poslodavce i zaposlene da pribegnu novim načinima izvršenja poslova i preselila mnoge aktivnosti u digitalnu sferu. Ona takođe podrazumeva neke nove obrade podataka o ličnosti.

U zajedničkom saopštenju predsedavajuće komiteta Konvencije 108 i Komesara za zaštitu podataka Saveta Evrope, u odeljku koji se odnosi na obradu podataka od strane poslodavaca navodi se da, iako se zbog posledica pandemije rad zaposlenih u velikoj meri obavlja na daljinu, ova praksa, ne bi trebalo da dovede do praćenja zaposlenih, uključujući koriščenjem video tehnologija; kao i da je prilikom organizovanja rada potrebno razmotriti najmanje invazivne mere po zaposlene.

Naš Poverenik je na ovu temu zauzeo stav da su „rukovaoci i obrađivači koji u uslovima vanrednog stanja organizuju rad zaposlenih od kuće, ukoliko taj rad obuhvata i obradu podataka o ličnosti, obavezni da obezbede odgovarajuće mere zaštite podataka o ličnosti, što podrazumeva mere kao što su provera bezbednosti veze i korespondencije putem službenih mejlova i dr. U tom smislu, obrađivači nisu ovlašćeni da samostalno donose odluke o tome na koji će način nastaviti obradu podataka u izmenjenim uslovima, već se moraju pridržavati uputstava rukovaoca”.

Uzimajući u obzir da je ovaj način rada nešto na šta su poslodavci bili prinuđeni, te da nije bilo dovoljno vremena za razmišljanje o potencijalnim implikacijama ovakvih metoda po privatnost, bezbednost i druga prava zaposlenih, potrebno je naglasiti i važnost pametnog izbora aplikacija koje poslodavcima i zaposlenima služe da organizuju rad na daljinu. Naime, većina aplikacija koje se koriste za onlajn komunikaciju kao biznis model koriste lične podatke svojih korisnika.

Sa aspekta zaštite podataka o ličnosti zaposlenih, ali i bezbednosti komunikacije, dužnost poslodavca bi trebalo da bude da se upozna sa politikom privatnosti, odnosno politikom obrade podataka koju konkretna aplikacija/kompanija primenjuje. Na osnovu nekih istraživanja koja se tiču načina rada aplikacija za video i audio vezu, postoje razlozi za poseban oprez u smislu poverljivosti komunikacije koja se na ovaj način ostvaruje. U zavisnosti od raspoloživih funkcionalnosti svake aplikacije, poslodavac bi trebalo da unapred donese određena pravila o tome kako će se odabrani alati koristiti (na primer, može da zabrani snimanje video ili audio poziva).

U kontekstu rada od kuće, i poslodavci i zaposleni treba da ulože dodatan napor u pogledu bezbednost podataka, posebno ukoliko ne postoji jedinstveni (centralizovani) način kontrole sigurnosti sistema koji koristi svako od zaposlenih. S jedne strane, poslodavac treba da obezbedi da podaci zaposlenih i drugi lični podaci koji se obrađuju na daljinu budu zaštićeni, tako što će da se koriste samo pouzdani kanali komunikacije. S druge strane, i sami zaposleni moraju da se postaraju da njihovo postupanje ne ugrozi sigurnost podataka o ličnosti koje obrađuju dok rade od kuće (na primer, zaštita i poverljivost podataka u odnosu na ukućane). Drugim rečima, u novim okolnostima moraju se obezbediti odgovarajuće tehničke, organizacione i kadrovske mere kojima se dostiže odgovarajući nivo bezbednosti podataka o ličnosti, u skladu sa obavezama iz člana 50 Zakona.

Najzad, prema Uredbi o organizovanju rada poslodavaca za vreme vanrednog stanja, poslodavac je dužan da vodi evidenciju o zaposlenima koji obavljaju rad van prostorija poslodavca. Uredba ne reguliše sadržinu ove evidencije, ali ona svakako mora da se vodi u skladu sa načelom minimizacije.

Prava zaposlenih

Zaposleni uživaju istu pravnu zaštitu kao i sva druga lica na koje se primenjuje ZZPL. Usled specifičnosti vanrednog stanja i rada na daljinu, postavlja se pitanje mogućnosti nezakonite obrade ličnih podataka zaposlenih, kao i načina na koji se zaposleni mogu zaštititi od zloupotreba.

Obaveza poslodavca je najpre da sve zaposlene pravovremeno informiše o obradi njihovih podataka o ličnosti koji se prikupljaju i obrađuju u novonastalim okolnostima, uključujući i informacije o tome koja je svrha za koju će se novi podaci koristiti, sa kim poslodavac deli lične te podatke, koje mere su preduzete radi njihove bezbednosti, koji su rokovi čuvanja podataka, itd.

Ukoliko zaposleni smatra da nove prakse poslodavca nisu u skladu sa ZZPL, najpre može da iskoristi pred samim poslodavcem prava koja su definisana u Zakonu. U tom smislu posebno mogu biti relevantni: (i) pravo na prigovor (ako poslodavac tvrdi da ima legitimni interes da obrađuje nove podatke, a zaposleni smatra da u konkretnom slučaju ipak pretežu njegovi interesi, prava i slobode), i (ii) pravo na ograničenje obrade (ako zaposleni smatra da je obrada njegovih podataka nezakonita, ali se protivi brisanju, ili ako je u toku odlučivanje po prigovoru koji je zaposleni prethodno uputio poslodavcu).

Ukoliko poslodavac ne uvaži zahteve i argumentaciju zaposlenih, oni se u svakom slučaju mogu obratiti Povereniku koji u postupku nadzora može utvrditi da li je nova vrsta obrade zakonita tj. neophodna u konkretnim okolnostima.

MASOVNA OBRADA PODATAKA

Mere masovnog nadzora moraju biti zaista neophodne i efikasne u suzbijanju pandemije.

Podaci građana se mogu masovno obrađivati u ovom kontekstu samo uz punu transparentnost i jasno informisanje javnosti.

Pristup podacima o geolokaciji uređaja je dozvoljen samo uz saglasnost ili uz odluku suda.

Aplikacije za praćenje kontakata bi trebalo da se koriste samo uz dobrovoljno učešće građana.

Anonimizovane podatke treba koristiti uvek kada se tako može ispuniti svrha.

Mehanizmi za masovnu obradu podataka

Tokom pandemije COVID-a 19 različiti tehnološki alati koji podrazumevaju masovni nadzor građana našli su primenu u pokušajima suzbijanja zaraze. Invazivnost ovakvih alata varira od zemlje do zemlje, ali se čini da u tome prednjače zemlje poput Kine, Izraela i Južne Koreje, mada mnogobrojne primere intruzivnog nadzora građana srećemo i u Evropi.

Nadzor može biti vršen praćenjem geolokacije, video nadzorom, korišćenjem mobilnih aplikacija i slično, a često i kombinacijom ovih metoda. Mada se neka od rešenja mogu pokazati korisnim, raste zabrinutost da bi se nakon završetka pandemije prikupljeni podaci mogli zloupotrebiti, kao i da bi se društva mogla navići na pojačani nadzor i intruzivne mere, i prihvatiti ih kao novi standard života.

Primera radi, kineska vlada zahteva od građana da na svoje mobilne telefone instaliraju softver koji će svakoj osobi dodeliti kod u crvenoj, žutoj ili zelenoj boji, u zavisnosti od nivoa rizika od zaraze, i time odrediti ko će morati da ide u karantin, a ko ne. U regionu je puno pažnje izazvala aplikacija koja, u zavisnosti od lokacije korisnika, prikazuje najbliže adrese i imena građana Crne Gore kojima su izdata rešenja o obaveznoj samoizolaciji, a čiji se lični podaci objavljuju na internet stranici Vlade Crne Gore.

Indicije o primeni masovnog nadzora stanovništva zarad suzbijanja pandemije u Srbiji, dao je predsednik u izjavi o praćenju geolokacija telefona ljudi koji su se vratili iz Italije kako bi se utvrdilo da li poštuju propisane mere. O ovom i “još jednom načinu” praćenja precizinih informacija nema, a izostala su i pojašnjenja o pravnom osnovu i procedurama koje bi omogućile masovni nadzor.

Komunikacija telefonom

Krizni štab za suzbijanje zarazne bolesti COVID-19 poslao je 31. marta 2020. godine jednom broju građana SMS poruku sledeće sadržine: “Situacija je dramatična. Približavamo se scenariju iz Italije i Španije. Molimo Vas da ostanete kod kuće.” Naknadno je utvrđeno da je poruka poslata samo korisnicima mobilne telefonije kompanije Telekom Srbija a.d. koja je u većinskom vlasništvu države. Prema informacijama koje je dao operator, od njega nije tražena baza podataka brojeva korisnika niti je ona kome dostavljena, dok je poruka “generička i poslata je na zahtev kriznog štaba za suzbijanje bolesti Covid 19”.

Slučaj je otvorio pitanje zakonitosti upotrebe ličnih podataka korisnika MTS mreže za dostavljanje ovakvih SMS poruka. Čak i ukoliko podaci o brojevima telefona nisu dostavljeni direktno Kriznom štabu, ipak su upotrebljeni po nalogu Vlade za određenu novu svrhu, drugačiju od svrhe zbog koje te podatke obrađuje Telekom Srbija a.d. - pri čemu sama Vlada nije nikada zvanično saopštila o kakvoj se tačno svrsi radi. U saopštenju za medije navedeno je da je razlog slanja SMS poruke bio da se upozorenje pošalje građanima koji ne gledaju televiziju.

Dakle, u ovom slučaju nije poštovano više pravila iz ZZPL, što ovu obradu čini nezakonitom. Najpre, predmetna obrada je povredila pravo na informisanost, jer građani nisu bili unapred obavešteni da će Krizni štab komunicirati sa građanima na ovaj način. Građani koji su primili poruku stoga nisu mogli da znaju da li je to poruka koja je poslata samo njima, tj. da li se njen sadržaj baš na njih odnosi, ili je u pitanju generička poruka. Takođe je sporna svrha obrade podataka, jer ako je cilj bio da se određena važna informacija dostavi što širem krugu lica, onda nije opravdano koristiti podatke samo jednog od tri operatora mobilne telefonije u Srbiji, tj. jasno je da se takvim postupanjem ovakva svrha ne postiže.

Najzad, sporan je i pravni osnov za korišćenje podataka o broju telefona građana na ovaj način, s obzirom na to da ovakvo postupanje Vlade nije regulisano posebnim propisima, pa ni propisima koji su doneti za vreme vanrednog stanja. Ovakvo korišćenje podataka moglo bi biti zakonito i po osnovu zaštite životno važnih interesa lica na koje se podaci odnose ili drugih osoba. Međutim, i u tom slučajubilo bi potrebno dodatno obrazloženje zbog čega je poruka dostavljena samo korisnicima jedne mreže mobilne telefonije.

Praćenje geolokacije uređaja

U cilju suzbijanja pandemije COVID-a 19, države su počele da pribegavaju nadzoru geolokacije pametnih telefona koja može dati podatke o tome gde se građani trenutno nalaze, odnosno da li poštuju karantinske mere, sa kim su potencijalno zaraženi bili u kontaktu i slično.

Međutim, upitno je koliko je podatak o geolokaciji koji omogućava dostupna tehnologija dovoljno precizan da pokaže da li su ljudi održavali preporučenu udaljenost od dva metra prilikom kontakta. S druge strane, podatak o geolokaciji može da bude bitan u kontekstu praćenja kretanja određene osobe za koju se sumnja da je zaražena.

Postoje dva načina da se dođe do podataka o geolokaciji. Jedan način podrazumeva prikupljanje ovih podataka preko mobilne aplikacije. Zemlje poput Ujedinjenog Kraljevstva, Izraela i Singapura su razvile sopstvene aplikacije za praćenje kretanja građana u cilju utvrđivanja širenja zaraze, dok se druge zemlje oslanjaju na saradnju sa tehnološkim kompanijama kao što je Fejsbuk, od kojih očekuju da ustupe podatke o geolokaciji svojih korisnika.

Drugi način podrazumeva preuzimanje podataka o geolokaciji od telekomunikacionih operatora, uz poštovanje lokalnih zakona koji se bave elektronskim komunikacijama, ali i propisa koji su doneti za vreme vanrednog stanja. U Srbiji je mogućnost prikupljanja i obrade geolokacije regulisana Zakonom o elektronskim komunikacijama (ZEK). U skladu sa članom 129 ZEK-a, podaci o geolokaciji spadaju u zadržane podatke koje je telekomunikacioni operator u obavezi da zadrži u trajanju od godinu dana. U skladu sa članom 128 istog zakona, pristup ovim podacima nije dopušten bez pristanka korisnika, osim na osnovu odluke suda, ako je to neophodno radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije.

Dakle, podacima o geolokaciji je nezakonito pristupiti bez pristanka građana, odnosno bez odluke suda, pa čak i za vreme vanrednog stanja. Postavlja se pitanje - u kojoj je meri Republika Srbija preduzela aktivnosti praćenja geolokacije pametnih telefona, odnosno koliki broj građana je obuhvaćen ovom merom?

Na raspolaganju imamo izjavu predsednika Srbije da vlasti prate da li se kreću ljudi sa italijanskim brojevima u romingu, te da će policija obratiti pažnju na naselja u kojima postoji veliki priliv ljudi iz inostranstva. Navedeno je još i da država ne može biti prevarena ostavljanjem telefona na jednom mestu, jer je pronađen još jedan način da se prati ko i kako krši pravila. Javnosti nije objašnjeno koji je to “još jedan način” koji država koristi da prati građane Srbije.

U susednoj Hrvatskoj izrađen je predlog hitnih izmena Zakona o elektroničkim komunikacijama koji bi dozvolio masovno praćenje geolokacije mobilnih telefona građana u cilju suzbijanja epidemije. Iako je inicijalno trebalo da se izmene zakona donesu po hitnom postupku, nakon brojnih kritika hrvatske stručne javnosti da se njima krše zajamčena ljudska prava, izmene su upućene na drugo čitanje u hrvatski Sabor. Do sredine aprila, izmene zakona nisu usvojene.

U slučaju kontrole lica koja su u karantinu tj. samoizolaciji, telekomunikacioni operatori će biti subjekti od kojih će sudija za prethodni postupak, na predlog nadležnog tužilaštva u skladu sa članom 286 stav 3 u vezi stava 1 Zakonika o krivičnom postupku, tražiti da pruže podatke mobilnog broja koji je registrovan kod njih. To su podaci koji se tiču baznih stanica, odnosno geolokacije na kojojo se telefon nalazi u određenom vremenskom periodu, dolaznih i odlaznih poziva i SMS poruka lica kojima je određena mera izolacije. Ove odredbe se mogu primeniti na krivična dela povezana sa sprečavanjem širenja bolesti COVID-19, kao što je nepostupanje po zdravstvenim propisima za vreme epidemije (član 248 Krivičnog zakonika).

S obzirom na to da na zahtev suda operatori mogu da pruže podatke koji se tiču geolokacija određenog broja mobilnog telefona, kao i specifične oznake koje se odnose na sam aparat, sporno je da li organ postupanja, u ovom slučaju policija, kontroliše lokaciju samo onog broja mobilnog telefona koji se dovodi u vezu sa licem koje se prvobitno prati radi kontrole mera izolacije, za koju organi postupanja imaju naredbu suda, ili i na sve “klastere” tj. grupe brojeva mobilnih telefona koje postoje na tim geolokacijama. Ako se prate svi brojevi na toj lokaciji, onda oni moraju biti tretirani samo u svrhu pronalaska kontakt tačke sa zaraženim, a radi daljeg praćenja tih lica nakon što napuste kritičnu lokaciju.

Ako bi policija nastavila sa praćenjem geolokacija mobilnih telefona koji pripadaju drugim licima mora postojati posebni predlog zamenika javnog tužioca sudiji za prethodni postupak koji donosi novu naredbu za druga lica koja su tom prilikom locirana, a da bi nastavak identifikovanja potencijalno zaraženih bio zakonit. Ustav propisuje da su odstupanja dozvoljena samo na određeno vreme i na osnovu odluke suda, ako su neophodna radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom.

Aplikacije za praćenje kontakata

Mobilne aplikacije zasnovane na “bluethooth” tehnologiji registruju kontakt između uređaja, na osnovu čega se utvrđuju kontakti sa zaraženom osobom. Ovakve aplikacije mogu imati i druge funkcije, poput distribucije obaveštenja o COVID-u 19, upitnika za samoprocenu građana na simptome bolesti, komunikacije doktora i pacijenta u samoizolaciji i slično.

Evropska komisija (EK) je 16. aprila izradila Smernice o aplikacijama koje podržavaju borbu protiv pandemije COVID-a 19 u vezi sa zaštitom podataka o ličnosti, u kojima je naglašena važnost upotrebe aplikacija za praćenje kontakata u suzbijanju pandemije, ali i da takva upotreba mora biti u skladu sa GDPR-om i EU zakonodavstvom koje reguliše zaštitu podataka o ličnosti. Drugim rečima, građanima se mora obezbediti poverenje da aplikacije neće biti korišćene za masovni nadzor, dok je nužno i da građani zadrže kontrolu nad svojim podacima. Pre izrade Smernica, EK se konsultovala sa EDBP-om koji između ostalog naglašava da bi instaliranje i korišćenje ovih aplikacija trebalo da bude dobrovoljno, odnosno ne bi smelo da se desi da vlada konkretne države nameće stanovništvu obavezno instaliranje takve aplikacije.

Video nadzor

Video nadzor, a pogotovo onaj koji podrazumeva tehnologiju prepoznavanja lica (eng. facial recognition) takođe je našao primenu u borbi protiv COVID-a 19, što dodatno ugroožava privatnost građana. Kina prednjači u razvoju video nadzora za svrhe suzbijanja pandemije, a tamošnja pametna tehnologija omogućava ne samo prepoznavanje ljudi koji nose maske, nego čak i merenje temperature lica koja ulaze u vidno polje kamere sa termalnom tehnologijom. Gradske vlasti u Moskvi koriste svoj ekstenzivni sistem od čak 170.000 kamera za proveru da li ljudi u karantinu poštuju propisane mere. Za video nadzor pojedine zemlje koriste i dronove.

Po trenutno dostupnim informacijama, pametne kamere instalirane na ulicama Beograda nalaze se u funkciji i vrše snimanje. Međutim, ne postoji zvanična informacija da li je softver koji omogućava tehnologiju prepoznavanja lica počeo da se koristi, te da li i u kojoj meri vlasti u Srbiji koriste ovu tehnologiju za masovni nadzor u cilju suzbijanja COVID-a 19.

U svakom slučaju, kamere sa tehnologijom prepoznavanja lica trenutno ne bi smele da se koriste ni u jednu svrhu, imajući u vidu da Procena uticaja obrade na zaštitu podataka o ličnosti koju je izradio MUP u vezi sa korišćenjem pametnog video nadzora, nije u skladu sa ZZPL-om, po mišljenju Poverenika kao i po analizi ekspertskih organizacija. U slučaju da se ipak vrši video nadzor građana Srbije u svrhe suzbijanja pandemije, potrebno je da MUP to saopšti građanima, da objasni zbog čega je ova mera neophodna, kao i da, shodno ZZPL-u pronađe zakoniti pravni osnov za ovakvu obradu podataka.

Mogućnosti korišćenja anonimizovanih podataka

Uvek kada je radi suzbijanja pandemije dovoljno koristiti anonimizovane podatke, ne treba koristiti podatke o ličnosti. Onog trenutka kada su podaci anonimizovani tako da onemogućavaju identifikaciju konkretnog lica, oni izlaze iz domena zaštite podataka o ličnosti i na njih se ZZPL ne primenjuje. Tek kada su konkretne mere neefikasne uz pomoć anonimizovanih podataka, treba koristiti podatke o ličnosti u skladu sa načelom minimizacije.

U slučajevima da vlade odluče da koriste geolokaciju za suzbijanje zaraze, EDPB preporučuje da bi državni organi najpre trebalo da anonimizuju podatak o geolokaciji tako da osoba čija se geolokacija obrađuje ne može da bude ponovo identifikovana. S druge strane, anonimizovanje geolokacije bi onemogućilo praćenje konkretne osobe, već bi samo moglo da pruži podatke o koncentraciji mobilnih telefona na određenoj lokaciji (primera radi, situacija kada su ljudi iz Lombardije na severu Italije, masovno krenuli na jug i tako doprineli širenju epidemije). EDBP dalje preporučuje da, u slučaju da vlade država EU procene da je neophodno da obrađuju neanonimizovane podataka, moraju se obezbediti odgovarajuće garancije i pravo na pravnu i sudsku zaštitu građana u vezi sa ovakvim načinom obrade.

Prava građana

I u pogledu masovnog video nadzora, građani najpre imaju pravo na informisanost. To praktično znači da se građanima mora razumljivo objasniti koje tačno mere nadzora se preduzimaju, kako one “rade”, šta se očekuje da će se tim merama postići, koja je uloga svakog građanina u sprovođenju nadzora tj. koje su njegove obaveze, ali i koja su njegova prava. Građani o svemu ovome mogu da budu obavešteni putem sredstava javnog informisanja i to tako da obaveštenje dopre do najvećeg broja građana: da bude više puta ponovljeno, u različitim sredstvima javnog informisanja - televizijama sa nacionalnom frekvencijom, najprodavanijim dnevnim novinama i slično. To se može postići nekom vrstom kampanje koja će ponuditi jasna objašnjenja, edukovati građane i pored informisanja doprineti i povećanju efikasnosti preduzetih mera.

Za određene vrste masovnog nadzora posebno važna mogu biti i prava građana koja se odnose na automatizovano donošenje pojedinačnih odluka koje se na njih odnose, kao i na profilisanje. Najpre je važno napomenuti da je primena odluka koje su donete isključivo automatizovanim sredstvima (dakle bez učešća ljudi u donošenju odluke), načelno zabranjena. Drugim rečima, prema ZZPL građanin ima pravo da se na njega ne primenjuje odluka doneta isključivo na osnovu automatizovane obrade, uključujući i profilisanje, ako se tom odlukom proizvode pravne posledice po to lice ili ta odluka značajno utiče na njegov položaj.

Takva praksa je izuzetno dozvoljena ako je lice na to pristalo, ili je obrada neophodna radi zaključenja i izvršenja ugovora gde je to lice ugovorna strana, ili kada ovakvu obradu eksplicitno reguliše neki zakon. Kada se obrada vrši prema prva dva izuzetka, građanin u svakom slučaju ima pravo da se obezbedi učešće fizičkog lica u donošenju odluke, pravo da izrazi svoj stav u vezi sa odlukom, kao i pravo da ospori odluku pred ovlašćenim licem rukovaoca.

ZAKLJUČAK

Pravila i principi evropskog režima zaštite podataka o ličnosti, kojem je prilagođena i regulativa u Srbiji, dovoljno su opšti da se u potpunosti mogu primenjivati i u vanrednim okolnostima borbe protiv pandemije. Garancije koje pruža Ustav Srbije i niz međunarodnih ugovora, na snazi su i dalje.

Izvesno je da urgentnost zaštite javnog zdravlja ne pruža opravdani osnov za snižavanje zaštite podataka o ličnosti u slučaju većine aktera, poput poslodavaca, medija ili ljudi i organizacija zaduženih za tehničku i organizacionu bezbednost podataka. Naprotiv, čini se da u ovakvim situacijama raste njihova odgovornost prema društvu da ulože dodatni napor za zaštitu dostojanstva i ličnih prava svih građana. S druge strane, pojačana pažnja društva za primerenost odluka i ponašanja javnih ličnosti dodatno smanjuje opseg njihove očekivane privatnosti.

Konačno, kako se podseća u zajedničkom saopštenju komiteta Konvencije 108 i Komesara za zaštitu podataka Saveta Evrope, “važno je naglasiti da zaštita podataka ni u kom slučaju ne može biti prepreka spasavanju života i da odgovarajući principi uvek dozvoljavaju odmeravanje interesa koji su u pitanju”.

S pravom očekujemo da će ukidanje onih intruzivnih mera koje jesu bile neophodne, uskoro biti jedan od prvih znakova da je borba za suzbijanje pandemije okončana uspešno.

RESURSI

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti

European Board for Data Protection

European Data Protection Supervisor

Information Commissioner's Office

Vodič kroz Zakon o zaštiti podataka o ličnosti i GDPR - SHARE Fondacija

Impresum

Urednici: Danilo Krivokapić i Đorđe Krivokapić

Autori: Jelena Adamović, Danilo Krivokapić, Dunja Tasić, Jelena Kleut, Nina Nicović, Kristina Kalajdžić, Damjan Mileusnić i Đorđe Krivokapić

Dizajn: Kristina Pavlak

Obrada teksta: Milica Jovanović i Bojan Perkov

Web development: Arsenije Savić

Ovaj vodič je proizveden uz finansijsku pomoć Evropske unije, Fondacije za otvoreno društvo Srbija i Balkanskog fonda za demokratiju Nemačkog Maršalovog fonda SAD. Sadržaj ovog vodiča je isključiva odgovornost autora i ne može se, ni pod kojim uslovima, smatrati odrazom stavova donatora.

Reference