Uvod
Nakon različitih mjera ograničenja kretanja i zatvaranja granica zbog pandemije C-19, države članice EU-a počele su se postupno otvarati jedne prema drugima, ali i prema trećim državama. Međutim, pandemija C-19 nije prestala. Štoviše, u nekim državama (uključujući i Hrvatsku) broj zaraženih isti je, ako ne i veći nego u vrijeme restriktivnih mjera. S druge strane, gospodarstvo mora nastaviti funkcionirati. Mobilne aplikacije za praćenje kontakata i slanje upozorenja o rizičnom kontaktu (dalje: aplikacije za praćenje) su jedan od alata od kojeg se očekuje značajna pomoć zdravstvenim vlastima u praćenju i kontroli broja zaraženih.
U ovom članku daje se kronološki pregled usvojenih akata, njihov pravni kontekst i skraćeni prikaz sadržaja te trenutno stanje razvoja aplikacija u državama članicama.
Kronološki pregled
Komisija EU-a (EK) donijela je 8. travnja 2020. Preporuku o zajedničkim alatima Unije za korištenje tehnologije i podataka, osobito mobilnih aplikacija i anonimiziranih mobilnih podataka, za borbu protiv C-19 krize i za izlazak iz nje (Preporuka)1, a 15. travnja 2020. usvojen je u dokument o alatima za izradu aplikacija (Toolbox). Uz to, EK je usvojila Smjernice za zaštitu podataka i privatnosti pri izradi aplikacija.
U travnju 2020. Apple i Google su objavili namjeru objave zajedničkog sučelja za razvoj aplikacija za praćenje. U svibnju 2020. objavili su dokumentaciju za izradu aplikacija za praćenje unutar kojih će biti zaštićena privatnost korisnika.
13. svibnja 2020. usvojene su Smjernice za interoperabilnost odobrenih mobilnih aplikacija za praćenje kontakata, a 16. lipnja 2020. usvojene su tehničke specifikacije za interoperabilnost. Istog dana usvojene su Smjernice o interoperabilnim specifikacijama za prekogranični prijenos između odobrenih aplikacija u EU.
20. lipnja 2020. objavljeno je Izvješće o napretku u razvoju i primjeni aplikacija za praćenje u državama članicama.2
Mjerodavni pravni okvir
Sukladno čl. 288. Ugovora o funkcioniranju EU-a, Komisija ima ovlast donošenja preporuka koje nemaju pravno obvezujuću snagu.
Mjerodavni pravni okvir EU-a za mobilne aplikacije koje su predmet Preporuke čine Opća uredba o zaštiti osobnih podataka (GDPR), koja je neposredno primjenjiva u državama članicama te Direktiva o e-privatnosti (EPD), koja je prenesena u nacionalna zakonodavstva država članica. U RH EPD je prenesena u Zakon o elektroničkim komunikacijama, Poglavlje XII „Zaštita podataka i sigurnost elektroničkih komunikacija", članci 99. do 110.
Budući da se Preporuka odnosi na mjere koje ulaze u domenu e-zdravstva, sukladno Direktivi 2011/24/EU, svi operativni dokumenti vezani uz aplikacije za praćenje usvojeni su u okviru dobrovoljne mreže koja povezuje državna tijela odgovorna za e-zdravstvo, a koja su imenovale države članice (e-Health Network).
Oko pitanja zaštite podataka konzultiraju se EDPB i EDSP.3
BEREC4, NIS grupa5, Radne grupe Vijeća informiraju se o aktivnostima iz Preporuke i, po potrebi, daju svoj doprinos.
Možemo konstatirati da je EK vrlo domišljato iskoristila mrežu e-zdravstva za usvajanje tehničkih dokumenata o aplikacijama za praćenje. Pravno gledano jedini dokumenti koje je EK usvojila su Preporuka i Smjernice za zaštitu podatka. Sve ostalo usvojile su same države članice kroz mrežu e-zdravstva, premda je jasno da su ti dokumenti pripremljeni od EK. U biti, korištenjem te mreže, EK je izbjegla potencijalno dugotrajne rasprave u radnim tijelima Vijeća ili u sklopu komitologije, što bi bio slučaj da je odabran neki formalniji pravni put. Države članice nisu se pobunile protiv takve „uzurpacije“ izvršnih ovlasti. Štoviše, na video konferenciji ministara telekomunikacija održanoj 5. svibnja 2020. ministri su podržali razvoj koordinarnog EU pristupa za razvoj aplikacija za praćenje, kao važnog alata u fazi popuštanja epidemioloških mjera.6
Različiti načini korištenja komunikacijskih podataka za borbu protiv C-19
Korištenja komunikacijskih podataka možemo podijeliti na dobrovoljne mjere koje se baziraju na pristanku korisnika za instalaciju određene aplikacije i dijeljenje podataka iz te aplikacije te na one koje predstavljaju pravno obvezujuće mjere.
U dobrovoljne mjere ubrajaju se aplikacije koje maju dvostruku svrhu. Prvo, pomoć pri dijagnostici i komuniciranju s građanima (npr. Andrija u RH). Drugo, bilježenje bliskih kontakata određenog trajanja, koje se bazira na korištenju „Bluetooth“ funkcionalnosti te obavještavanje kontakata zaražene osobe o potencijalnoj opasnosti od zaraze.
U pravno obvezujuće mjere ulaze propisi koji omogućavaju korištenje mobilnih lokacijskih podataka u svrhu praćenja širenja zaraze, za što se mogu koristiti agregirani i anonimizirani podaci ili korištenje neanonimiziranih mobilnih lokacijskih podataka radi kontrole kretanja osoba kojima je izrečena mjera karantene ili samoizolacije.
I jedne i druge mjere moraju biti u skladu s odredbama GDPR-a i EPD-a. Međutim, oba propisa, osim materijalnih odredaba kojima se osigurava provedba temeljnih prava na privatnost i zaštitu osobnih podataka, sadrže i odredbe kojima se državama članicama dopušta ograničiti opseg obveza i prava putem zakonodavnih akata, ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu niza važnih ciljeva od općeg javnog interesa države članice, uključujući javnu sigurnost i javno zdravstvo (GDPR, čl. 23., EPD čl. 15.)
Osnovne karakteristike EU aplikacija za praćenje
Aplikacije za praćenje baziraju se na dobrovoljnoj osnovi. Tehničko rješenja zasniva se na korištenju „Bluetooth“ tehnologije kojom se detektira ostvareni kontakt. Mobilni uređaji koji su se našli u epidemiološki relevantnom kontaktu razmjenjuju identifikacijske ključeve pomoću kojih se, bez osobne identifikacije, omogućava obavještavanje o realiziranom kontaktu.
Aplikacije moraju zadovoljiti visoke standarde kibernetičke sigurnosti.
Voditelji obrade u smislu GDPR-a trebale bi biti zdravstvene institucije.
Osoba koja instalira aplikaciju treba imati mogućnost kontrole nad funkcionalnostima aplikacije i njihovom slobodnom uključivanju. Informacija o ostvarenom kontaktu koja se dijeli između aplikacija treba biti šifrirana na način koji sprečava identifikaciju dotične osobe.
Osoba koja je pristala na ustupanje podataka iz aplikacije treba biti upoznata sa svim okolnostima daljnje obrade tih podataka, sukladno GDPR-u i EPD-u i imati sva ostala prava iz GDPR-a (npr. prigovor, brisanje). Aplikaciju bi trebalo automatski deinstalirati nakon prestanka kriznih mjera.
Pravna osnova za obradu podataka je članak 5. EPD. U tom smislu pohrana podataka na uređaju korisnika te pristup tim podacima temelji se na pristanku krajnjeg korisnika ili na neophodnoj funkcionalnosti usluge (u ovom slučaju aplikacije) koju je korisnik dobrovoljno instalirao i aktivirao. Za funkcionalnost aplikacije nužna je pohrana podataka, kao što su privremeni alias korisnički ID.
Za prosljeđivanje podataka zaražene osobe zdravstvenim tijelima potrebna je privola korisnika koja zadovoljava uvjete iz GDPR-a (specifična, eksplicitna i informirana).
Pravna osnova za daljnju obradu od strane zdravstvenih tijela nalazi se u čl. 9. st. 2. točka (i) GDPR-a (obrada je nužna u svrhu javnog interesa u području javnog zdravlja).
Ovdje treba naglasiti da EK u Preporuci ističe kako bi uz GDPR trebao postojati i nacionalni propis koji omogućava takvu obradu i koji sadrži i mjere za zaštitu prava i sloboda osoba koje su dale podatke. Te mjere moraju biti razmjerne zadiranju u privatnost (veće zadiranje – strože mjere).
Imajući u vidu da se radi o osjetljivim osobnim podacima, EK smatra da bi radi pravne sigurnosti bilo preporučljivo da je obrada regulirana zakonom, a ne nekim propisom nižeg ranga. Zakon bi trebao detaljno propisati obradu određenih zdravstvenih podataka te jasno propisati svrhu obrade. Trebao bi jasno propisati tko je voditelj obrade i tko ima pristup takvim podacima, isključujući mogućnost korištenja podataka u druge svrhe.
Aplikacija bi trebala funkcionirati na način da zdravstvena tijela imaju pristup samo podacima o bliskim kontaktima zaražene osobe, kako bi ih mogla kontaktirati i upozoriti na rizik od zaraze, i to nakon što ih je zaražena osoba dobrovoljno ustupila.
Zaražena osoba ne bi trebala znati identitet osoba s kojima je bila u bliskom epidemiološkom kontaktu i koje će biti upozorene na opasnost. Naravno, to se ne odnosi na osobe koje zaražena osoba poznaje i s kojima komunicira, već na one koje su se slučajno našle u njezinoj blizini. Jednako tako, osobe koje su upozorene ne bi smjele znati identitet zaražene osobe. Zdravstvena tijela trebala bi raspolagati samo identifikatorom osobe s kojom je zaražena osoba bila u kontaktu 48 sati prije pojave simptoma, pa sve do 14 dana nakon pojave simptoma i to na temelju trajanja i blizine kontakta.
Status aplikacija za praćenje u državama članicama
Aplikacije za praćenje razvijene su ili se planiraju razviti u 19 država članica, uključujući i Hrvatsku.
U ovom trenutku prerano je za procjenu postotka prihvaćenosti aplikacija u onim državama u kojima su uvedene te za procjenu njihove učinkovitosti u praksi.
U većini država članica aplikacije za praćenje razvijene su ili se razvijaju u suradnji IT industrije i zdravstvenih vlasti. Također, u većini država izvorni kod i tehničke specifikacije su javno objavljene.
Većina država opredijelila se za decentralizirani pristup, u kojem su informacije o kontaktima koje generira aplikacija pohranjene samo na mobilnom uređaju korisnika. Samo su se Mađarska i Slovačka (i Norveška kao dio EEA) odlučile na centralizirani pristup, u kojem su anonimizirani podaci o kontaktima pohranjeni na centralnom serveru.
U trenutku dostave podataka (31. svibnja 2020.) aplikacije u različitim državama članicama još nisu bile interoperabilne.
Većina država provela je neovisnu tehničku procjenu kibernetičke sigurnosti i upravljanja rizicima prija puštanja aplikacija u javnost.
Iako EK preporuča donošenje posebnih propisa za obradu podataka prikupljenih putem aplikacija za praćenje, samo je dio država članica to odlučio napraviti. Posebne propise su donijeli, ili ih planiraju donijeti Italija, Danska, Francuska, Estonija, Finska. Ostale države smatraju da su GDPR i nacionalni propisi dovoljni.
Otvorena pitanja
Ključno pitanje je koliko će ljudi instalirati i koristiti aplikacije za praćenje. Inicijalne procjene predviđale su da bi aplikacije mogle biti učinkovite ako bi ih instaliralo barem 60% stanovništva. U ovom trenutku još je prerano procjenjivati razinu prihvaćenosti aplikacija u pojedinim državama, jer nije proteklo dovoljno vremena od njihovog puštanja u javnost.
Drugo, i dalje je otvoreno pitanje interoperabilnosti. Iako je ona proklamirana i doneseni su dokumenti koji bi je trebali osigurati, u stvarnosti se to još nije dogodilo.
Treće, pojedine države članice nisu zadovoljne činjenicom da aplikacije ovise o tehničkom rješenju koje su zajednički ponudili Apple i Goggle i koje omogućava rad aplikacijama na njihovim operativnim sustavima. Te države u tome vide narušavanje europske digitalne suverenosti.
Četvrto, iako su aplikacije izrađene na temelju dokumenata koji su usvojeni u sklopu mreže e-zdravstva, pitanje koliko zdravstvene vlasti država članica mogu imati koristi od njih. Naime, u svakodnevnoj praksi vidimo da epidemiolozima trebaju potpune informacije o kontaktima, što im aplikacije ne omogućavaju, zbog zaštite privatnosti.
Domagoj Maričić
____________________________________________
^ 1 Preporuka od 8. travnja 2020. C(2020) 2296 final
^ 3 EDPB – Europski odbor za zaštitu podataka uspostavljen GDPR uredbom; EDSP - Euroopski nazornik za zaštitu osobnih podataka nezavisno je nadzorno tijelo nadležno za nadzor nad obradom osobnih podataka koju provode institucije i tijela EU
^ 4 BEREC Tijelo europskih regulatora iz područja elektroničkih komunikacija
^ 5 Grupa za suradnju država članica u području kibernetičke sigurnosti.
^ 6 Vidi https://eu2020.hr/Home/OneNews?id=270
