Z Nacionalnega inštituta za javno zdravje (NIJZ) so sporočili, da so v četrtek zvečer objavili novo različico mobilne aplikacije za preverjanje izpolnjevanja pogojev PCT. Ta z odčitavanjem QR kode evropskega digitalnega potrdila uporabniku posreduje podatek o izpolnjevanju PCT pogoja, odčita se tudi osebno ime in letnica rojstva osebe.
Gre za tretjo različico aplikacije, ki jo je NIJZ objavil v zadnjih tednih. Prvo različico aplikacije so objavili 23. julija, dan potem, ko je vlada sklenila, da morajo organizatorji dogodkov pri udeležencih preverjati izpolnjevanje pogojev prebolevnosti, cepljenosti in testiranja (PCT).
Čeprav sta tako minister za zdravje Janez Poklukar in vodja svetovalne skupine za covid-19 Mateja Logar zatrjevala, da aplikacija ne bo razkrivala nobenih osebnih podatkov, pač pa le dejstvo, ali posameznik izpolnjuje PCT pogoj, se je namreč izkazalo, da se pri branju kode QR evropskega digitalnega covidnega potrdila prikaže ime in priimek ter datum rojstva, hkrati pa je bilo vidno tudi, ali je oseba prebolela covid-19, bila proti njemu cepljena, ali pa ima veljaven negativni test na novi koronavirus.
Popolnoma anonimizirana aplikacija odpira možnosti zlorab
Na NIJZ so nato razvili novo aplikacijo, ki je bila anonimizirana in je pokazala le, ali posameznik izpolnjuje PCT pogoj ali ne. Nato pa so strokovnjaki opozoril, da takšna aplikacija odpira možnost zlorab.
Ob tem je še informacijska pooblaščenka Mojca Prelesnik opozorila, da so organi EU večkrat poudarili, da je pravna podlaga za uporabo evropskih covidnih potrdil le za prehajanja meje. Če bi države članice želele ta potrdila uporabljati tudi za druge namene, pa morajo sprejeti ustrezno nacionalno zakonodajo, ki bi to dopuščala, je pojasnila Prelesnikova in dodala, da v Sloveniji tak zakon ni bil sprejet.
Tako je vlada v sredo sprejela odlok o načinu ugotavljanja izpolnjevanja pogojev PCT, na podlagi katerega je nastala nova, tretja različica aplikacije. Aplikacija z odčitavanjem QR kode uporabniku posreduje podatek o izpolnjevanju PCT pogoja, pri čemer iz podatka ni razvidno, katerega od pogojev izpolnjuje oseba, za katero preverja izpolnjevanje pogojev. Odčita se tudi osebno ime in letnica rojstva osebe, kar je nujno zaradi ugotovitve, da se potrdilo nanaša na osebo, ki ga je predložila.
Prelesnik je sicer v četrtek napovedala, da bo vprašanje ustreznosti odloka, s katerim vlada določa obdelavo osebnih podatkov, prepustila v presojo ustavnemu sodišču. Kot je navedla, razume epidemiološke razmere in nujnost ukrepov, a poudarja, da lahko v skladu z ustavo obdelavo osebnih podatkov določa le zakon.
Krek: Inšpekcijski nadzor nepravilen in nepošten
Direktor NIJZ Milan Krek je na novinarski konferenci napovedal, da bodo naprej delali v skladu z vladnim odlokom. Odločitev Prelesnikove pa po njegovem mnenju dokazuje, da je bil inšpekcijski nadzor do NIJZ nepravilen in nepošten ter je na koncu sama ugotovila, kaj je težava. Upa, da bo tudi naslednjič ob drugih srečanjih to pravočasno ugotovila.
Krek ob tem opozarja, da so inšpekcijski nadzori informacijske pooblaščenke za NIJZ zelo zahtevni po kadrovski plati, poleg tega pa se na NIJZ bojijo dolgotrajnosti postopka. Spomnil je, da je nadzor glede seznamov na ministrstvu za javno upravo potekal tri mesece, kar je imel pred očmi, ko je nazadnje videl njeno obvestilo glede nadzora. Spomnil je namreč na to, da smo že v četrtem valu epidemije in bi bil pomemben ukrep, kot je preverjanje pogojev PCT, z dolgotrajnim postopkom neuporaben.
Odzivi NIJZ, med drugim, da so aplikacijo vmes anonimizirali, so po njegovih besedah sledili temu, da se dolgotrajnemu procesu, ki bi bil lahko za ljudi usoden, izognejo. Na vprašanje, zakaj se že v začetku niso posvetovali glede pravne podlage, je odgovoril, da se jim ni treba v vsem posvetovati z informacijsko pooblaščenko. Pojasnil pa je tudi, da imajo na NIJZ skupino nekaj pravnikov, med katerimi je oseba, ki je delala pri informacijskem pooblaščencu in je seznanjena s postopki.
Aplikacija, ki je na voljo od četrtka, po Krekovih navedbah deluje, nima pa trenutno podatka, koliko ljudi jo je že naložilo. Ob tem je opozoril, da imajo vse evropske države razen Slovenije aplikacijo, kot jo je NIJZ sprva zagnal, torej so poleg imena, priimka in rojstnega datuma vidni tudi drugi osebni podatki. Če denimo naložite čitalnik QR kode iz Nemčije, lahko preberete našo kodo z vsemi podatki. Naša obstoječa aplikacija po Krekovih navedbah deluje tudi, če z njo odčitajo denimo digitalno potrdilo nemškega državljana. Prikažejo se ime, priimek in datum rojstva.
Italijanska vlada je denimo za to sprejela odlok, ki ga bo posredovala v parlament. Pri nas je pravno podlago za aplikacijo urejala novela zakona o nalezljivih boleznih, ki je za to matični zakon, a jo je DZ zavrnil. To bi lahko uredili tudi v kakšnem drugem zakonu, a iste materije ne morejo urejati v več zakonih, je pojasnil Krek.
Povedal je še, da aplikacije niso le nadgradili, pač pa dejansko naredili že tri aplikacije. Za to je bil bojavljen javni razpis, izvajalec je podjetja Endava.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje