Dokument vsebuje tudi poglobljen pregled aplikacij za sledenje stikov z okuženimi in orodij za nadzor in ugotavlja, da države aplikacije za boj proti covidu-19 uporabljajo predvsem za sledenje stikom z okuženimi, samodiagnozo ter ugotavljanje spoštovanja odločb o karanteni.
Poročilo v vrsti držav ugotavlja pomanjkljivosti pri uresničevanju konvencije Sveta Evrope o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov, znane tudi kot konvencija 108. Te pomanjkljivosti se nanašajo predvsem na zahtevo po pravni podlagi za sprejete ukrepe, njihovo sorazmernost ter upravičenost glede na javni interes. Kot še dodajajo v poročilu, je Slovenija edina država podpisnica konvencije 108, kjer je aplikacija zakonsko obvezna, predstavljeno pa je bilo, da bo prostovoljna. Prav tako omenjajo več potencialnih nepravilnosti, ki jih je odkril informacijski pooblaščenec, ki so jih delno upoštevali.
"Slovenski informacijski pooblaščenec je na podlagi številnih pritožb ugotovil varnostne pomanjkljivosti na spletnem mestu, ki obdeluje zdravstvene podatke, o katerih je sam poročal, in zlasti pomanjkanje ustreznega šifriranja. Upravljavci spletnega mesta so morali začasno ustaviti spletne dejavnosti spletnega mesta, dokler v sistem niso bile vnesene potrebne izboljšave, vključno z oceno vpliva na zasebnost," še piše v poročilu Sveta Evrope.
Sezname delijo z drugimi
Med državami s pomanjkljivostmi glede zaščite podatkov poročilo omenja tudi Slovenijo. Slovenske zdravstvene oblasti (tako kot grške in madžarske) sezname bolnikov delijo s policijo in upravnimi organi, omenja poročilo. Svet Evrope ob tem tudi izraža obžalovanje, ker se državam ni uspelo dogovoriti za enotno evropsko aplikacijo za sledenje stikom z okuženimi. Zaradi številnih različnih sistemov je učinkovitost aplikacij omejena, še poudarja.
Poročilo tudi ugotavlja, da se je med 55 državami, ki so ratificirale konvencijo 108, za decentraliziran pristop pri aplikacijah za sledenje stikov z okuženimi odločilo 26 držav, med njimi Slovenija. 14 se jih je odločilo za centraliziran pristop, deset jih aplikacije bodisi razvija, se še odločajo, ali jih bodo imele ali pa jih bodo delile s sosednjimi državami. Pet držav se je že odločilo, da ne bodo imele aplikacij za sledenje stikom.
Ministrstvo za javno upravo: Poročilo je napisano površno
Na poročilo Sveta Evrope glede aplikacije #OstaniZdrav ter zaščite podatkov pa so se odzvali tudi na Ministrstvu RS za javno upravo. "Žal ugotavljamo, da je poročilo napisano površno, kar si tako ugledna institucija kot je Svet Evrope, ne bi smela privoščiti. Zaradi nekaterih pavšalnih povzetkov in interpretacij poročila, smo se nanj primorani odzvati," navajajo uvodoma.
"Poročilo aplikacijo #OstaniZdrav in tudi druge evropske aplikacije pohvali kot dobro orodje za iskanje stikov z okuženimi in samodiagnozo. Tudi Nacionalni odzivni center za kibernetsko varnost SI-CERT glede varnosti aplikacije ocenjuje, da je prilagoditev iz nemške aplikacije narejena tako, da ne omogoča zlorabe osebnih podatkov uporabnikov. Tudi podatkov o lokaciji, ki jo je treba vklopiti na telefonu ob njeni namestitvi, ni mogoče zlorabiti," zatrjujejo na ministrstvu.
Kot dodajajo, pa je ob tem treba ločevati med aplikacijo #OstaniZdrav in drugimi platformami oziroma spletnimi portali. "V poročilu je namreč največkrat namesto aplikacije #OstaniZdrav omenjena spletna stran https://covid-19-stats.si, ki je ni vzpostavila Vlada Republike Slovenije. Ta spletna stran je omogočala prijavo okužbe, uporabnik je moral vanjo vpisati svoj EMŠO in na ta način zagotoviti, da ni prihajalo do lažnih prijav. Spletno stran so morali njeni avtorji zaradi pomanjkljive varnosti in zbiranja osebnih podatkov umakniti ter izbrisati pridobljene podatke."
V poročilu je po navedbah ministrstva tudi povsem napačno navedeno, da slovenska aplikacija #OstaniZdrav deluje na centraliziranem sistemu zbiranja podatkov. "O tem nismo nikoli razmišljali, saj smo za slovenski trg zgolj prilagodili nemško aplikacijo, ki seveda - to navaja tudi to isto poročilo - deluje na decentraliziranem sistemu. To pomeni, da se stiki zaznavajo na telefonih uporabnikov in ne na centralnem strežniku. Decentraliziran sistem uporabnikom zagotavljala večjo anonimnost. Decentraliziran pristop sta izbrala tudi Apple in Google pri sistemu za obveščanje o izpostavljenosti bolezni covid-19, ki je osnova za delovanje slovenske in nemške različice, zato aplikacije #OstaniZdrav sploh ne bi bilo mogoče narediti na podlagi centraliziranega sistema."
Na ministrstvu za javno upravo pa ob tem še poudarjajo, da je aplikacija #OstaniZdrav povsem prostovoljna. Bodo pa na podlagi predloga in usklajevanj z Uradom Informacijskega Pooblaščenca v Predlog zakona o začasnih ukrepih za omilitev in odpravo posledic covid-19 (ZZUOOP), ki bo v četrtek obravnavan na izredni seji Državnega zbora, dodani tudi členi, ki se nanašajo izključno na prostovoljno aplikacijo #OstaniZdrav. "Z novimi določbami PKP5 se torej dodatno konkretizira pravna podlaga za delovanje aplikacije iz Splošne uredbe o varstvu osebnih podatkov (GDPR)."
KOMENTARJI (249)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.