Tak nam casom vyplavalo na povrch, ze ten shadow profil je vlastne samotne e-zdravie. Co mam na sebe odsledovane, tak moje prve udaje (tel. cislo a e-mailova adresa) sa tam dostali pravdepodobne uz z MOM (AG testovanie), kde som ale o nicom takomto nebol informovany a ani som neudelil ziaden suhlas. Vychadzam z toho, ze tieto udaje som poskytol MOM (za ucelom dorucenia vysledku a nicoho ineho) a nasledne o par dni som si stiahol DGC, kde po vyplneni tel. cisla a potvrdeni jednej 2FA, mi uz formular predvyplnil moju e-mailovu adresu do druhej 2FA (alebo naopak, uz si presne nepamatam, ktory udaj sa zadava ako prvy). Otazne ale je, ci tento postup bol definovany aj v nejakej vyhlaske alebo to bola len proaktivita zo strany UVZ SR alebo NCZI, rovnako ako pri e-hranici.
Hodim sem este update na pobavenie za tych cca. 6-7 tyzdnov, odkedy som zacal riesit odstranenie udajov v rozsahu tel. cislo a e-mailova adresa poskytnutych v ramci korona formularov.
- Na callcentrum NCZI sa nebolo mozne dovolat (zaciatok jula 2021).
- Podla info z callcentra UVZ SR, e-hranicu (v tej dobe som riesil len nespravne poslany e-mail - k dobrovolnej, resp. dobrovolne-nasilu 14-dnovej karantene mi doslo predvolanie na PCR testovanie) riesi RUVZ SR BA a dostal som tel. kontakt tam.
- Na RUVZ SR BA sa nebolo mozne dovolat.
- Podla odpovede od DPO z RUVZ SR BA, e-hranicu riesi MIRRI (zaujimave, ze v ramci ziadnych mnou udelenych suhlasov, nikde MIRRI nefigurovalo).
- Podla odpovede od DPO z MIRRI, e-hranicu v zmysle GDPR riesi NCZI. MIRRI riesi e-hranicu v zmysle ITVS.
- Podla odpovede od DPO z NCZI, sice oni maju tie udaje, ale podla zmluvy tieto udaje patria UVZ SR, cize sa treba obratit na nich.
Tym sa kruh prehadzovania zodpovednosti a nekompetentnosti uzavrel, ale DPO z UVZ SR je naozaj kompetentny konat - teda len v pripade, ak by chcel chranit zaujmy dotknutych osob, co by malo byt jeho ulohou v danej pozicii.
Podla odpovede od DPO z UVZ SR k mojej ziadosti v zmysle GDPR:
- Podla cl. 16, mi nevykonaju upravu/opravu/aktualizaciu tel. cisla a e-mailovej adresy na prazdny textovy retazec, nakolko nie su opravneny tieto udaje vymazat (to je pri tomto clanku pravda, ale nikto to tu ani nepozadoval), anonymizovat (tiez nikto nepozadoval) a ani ich nahradit za prazdny textovy retazec. Aky udaj ma mat obcan uvedeny, ak nim nedisponuje? Naivne som predpokladal, ze prazdny textovy retazec bude dostatocne vystizny, ale mozno som mal pozadovat zmenu na
NULLalebopostmaster@localhosta+421900000000. - Podla cl. 17, mi tel. cislo a e-mailovu adresu neodstrania, nakolko nebol splneny dovod v zmysle tohto clanku (ale on bol splneny a hned prvy, kedze udaje uz nie su potrebne na ucel, na ktory boli poskytnute - dorucenie vysledku AG testovania z MOM, dorucenie DGC a dorucenie potvrdenia z e-hranice - co bolo vymenovane o 2 riadky nizsie) a ich spracuvanie sa vykonava na splnenie zakonnej povinnosti alebo na splnenie ulohy realizovanej vo verejnom zaujme alebo pri vykone verejnej moci zverenej prevadzkovatelovi, ako aj z dovodov verejneho zaujmu v oblasti verejneho zdravia. Zaverom to cele zhrnuli pod vynimku z vymazu.
- Podla cl. 18, mi neobmedzia spracuvanie tel. cisla a e-mailovej adresy, nakolko nahradenie udajov prazdnym textovym retazcom pre nich nepredstavuje relevantnu poziadavku. Navyse spracuvanie nebolo vyslovene za protizakonne (technicky to je asi pravda, ale diskutabilne je pozadovat vyplnenie formularu s poskytnutim udajov, ktorymi obcan SR ani nemusi disponovat a v pripade ak formular nevyplni, tak mu hrozit pokutou), je vykonavane v medziach pravnych predpisov a vo verejnom zaujme v oblasti verejneho zdravotnictva.
Proaktivne som este skusil prostrednictvom tohto formularu udaje zmenit. Zial nejdu zmenit na prazdny textovy retazec, nakolko je to nevalidny format. Opat, aky udaj ma mat obcan uvedeny, ak nim nedisponuje? Navyse je tam captcha, ktora je opat implementovana v rozpore s podmienkami danej sluzby.
Cize cele by som to mohol zhrnut asi tak, ze na jednoduchu poziadavku na odstranenie udajov, ktorymi ja ako obcan SR ani nemusim disponovat, odpovedali stylom, ze nechceme a nemusime lebo verejny zaujem, resp. vynimka, dovidenia. Skusil som este dalej komunikovat s osobou, ktora bola mojej ziadosti pridelena, ale tato komunikacia taktiez nikam neviedla a to aj napriek tomu, ze som vyjadril svoj explicitny nesuhlas so spracuvanim tychto udajov zo strany UVZ SR ako aj NCZI. Tak si idem pripravovat podnet este aj pre UOOU, ale tam ocakavam rovnake zdovodnenie, resp. potvrdenie vyjadrenia UVZ SR.
Osobne nevidim logicky dovod, preco by UVZ SR mal evidovat tieto udaje, ktore dosli z roznych (neoverenych) zdrojov a to navyse bez vedomia a explicitneho suhlasu obcana. Jedine, co v sucasnom stave vie UVZ SR preukazat je to, ze v danom casovom okamihu mal obcan pravdepodobne pristup k danemu tel. cislu, resp. e-mailovej adrese (a vlastne pri e-hranici nevie ani to, lebo zadat tam mohol ktokolvek cokolvek a tieto udaje sa dalej neoverovali). To ale nic nevypoveda o tom, ci k nim bude mat obcan pristup aj v buducnosti. Navyse UVZ SR uz vobec nema ako preukazat vlastnicke vztahy daneho obcana k danej SIM karte s priradenym konkrentnym tel. cislom alebo k e-mailovej adrese (ak chce tvrdit, ze patria nejakemu obcanovi). Tym padom, vsetky tieto uz nazbierane udaje su im v praxi uplne na nic. Sice mozu skusat napr. na to tel. cislo volat, ale jednak obcan nemusi zdvihnut nezname cislo, jednak obcan nemusi mat zaujem tymto sposobom komunikovat, jednak obcan nemusi potvrdit totoznost volaneho a jednak ani neexistuje mechanizmus, akym by volajuci vedel volanemu preukazat, ze je naozaj tym, za koho sa vydava - co v pripade napr. listinnej formy (doporuceny list na adresu trvaleho pobytu obcana) je uz davno vyriesene (peciatka, podpis, prideleny identifikator, ktory si je mozne u danej institucie overit, atd.). Tym sa opat dostavame k myslienke tohto vlakna a to, ze ak stat pozaduje tieto udaje po obcanoch, mal by im ich poskytnut a tym padom by aj sam garantoval, ze su v case nemenne a v kazdom alebo danom casovom okamihu prisluchaju tej-ktorej konkretnej osobe. V opacnom pripade (sucasny stav) si UVZ SR bude musiet pred kazdou interakciou overovat, ci dany udaj poskytnuty v minulosti je stale platny. Ale v takomto pripade mi unika cela pointa, preco tieto udaje ukladat. Vlastne by to malo byt aj v zaujme UVZ SR, aby vedeli preukazat, ze sprava bola dorucena, co narozdiel od listinnej formy, pri SMS alebo e-maile dokazat nevedia. Jediny legitimny dovod (aj ked osobne s nim nesuhlasim) vidim v trasovani tel. cisiel prichadzajucich zo zahranicia. Ale cisto pre tento ucel by im stacil len kontrolny sucet tel. cisla. To ale opat naraza na problem, ze UVZ SR nema ako preukazat vztah medzi tel. cislom, resp. jeho kontrolnym suctom a samotnym obcanom.
Slovensko ako take ma este velmi dlhu cestu k uspesnej digitalizacii sluzieb statu, ale ocividne niektore statne institucie tento stav nerespektuju a idu si svoje.
Este na zaver. Obdobna ziadost v zmysle GDPR sla aj do Chorvatska, kde im ale nestacil (resp. asi ho ani nepotrebovali) notarsky overeny podpis (so vsetkymi potrebnymi udajmi z OP). Pozadovali len (neovereny) sken OP. Odvtedy ubehli cca. 2-3 tyzdne, ale zatial nic nenasvedcuje tomu, ze by mojej ziadosti nebolo vyhovene (stale je v procese). Mozno ale este prekvapia podobne ako UVZ SR.