Tokovi podataka u Informacionom sistemu Covid-19

Integralna analiza „Informacioni sistem COVID-19 u pravnom sistemu Srbije“

Dve nedelje nakon proglašenja vanrednog stanja, Vlada Srbije je 28. marta donela Zaključak o uspostavljanju centralizovanog informacionog sistema za prikupljanje i obradu svih podataka o pandemiji.

Zaključkom je predviđeno da sistem neposredno uspostavlja Institut za javno zdravlje “Dr Milan Jovanović Batut”, uz tehničku podršku Kancelarije za informacione tehnologije i elektronsku upravu i Republičkog fonda za zdravstveno osiguranje.

Time je ustanovljen jedinstveni info sistem u koji podatke unose sve zdravstvene ustanove u kojima se leče oboleli od Kovida-19, svi instituti i zavodi za javno zdravlje, kao i sve laboratorije u kojima se sprovodi testiranje na virus. Ovom spisku dodati su i “drugi nadležni organi i organizacije” bez jasnijeg određenja nadležnosti.

Veliki broj propisa – zakona i pravilnika iz redovnog, kao i dokumenata donetih tokom vanrednog stanja – može se direktno primeniti na obaveze javnih institucija koje unose i iznose podatke iz sistema, kao i na prava i obaveze građana radi čijeg zdravlja je sistem uspostavljen.

Nesporno je da je bilo neophodno uspostaviti jedan ovakav sistem u okviru kontrole pandemije. Međutim, rukovanje osetljivim podacima o zdravlju građana “uređeno” je pre svega u skladu sa tehničkim uputstvima za korišćenje sistema. Od arhitekture same baze podataka, do organizacionih segmenata, Informacioni sistem Covid-19 ima određene aspekte koji su suprotni načelima i nizu odredbi Zakona o zaštiti podataka o ličnosti. 

* Input

Zaključkom Vlade propisano je da se u bazu unose prikupljeni podaci o svim testiranim građanima, bilo da su im rezultati pozitivni ili negativni; o građanima kojima je izrečena ili mera samoizolacije ili smeštaj u bolnicama, sa podacima o lokaciji; o građanima koji su izlečeni, kao i onima koji su preminuli. Podaci se ažuriraju jednom dnevno, najkasnije do 14 sati.

Krug građana čiji se podaci prikupljaju, proširen je Korisničkim uputstvom i Stručno-metodološkim uputstvom gde se navodi da se u sistem unose i podaci o kontaktima svih testiranih osoba. Ovde se termin “kontakt” koristi u kontekstu epidemiologije, dakle odnosi se na druge ljude s kojima su testirani (i pozitivni i negativni) dolazili u bliski dodir.

Unos jedinstvenog matičnog broja građana u sistem automatski povlači podatke iz baze Ministarstva unutrašnjih poslova. Iz toga se može zaključiti da su Batutov informacioni sistem i baza MUP-a direktno povezani, ali nije jasno da li je ova veza dvosmerna.

Osnovna funkcija Batutove baze praktično je vezana za uzimanje brisa za testiranje. To je trenutak u kom sistem generiše jedinstvenu petocifrenu šifru za svaki uzorak pojedinačno; šifra se u bazi vezuje za jedinstveni matični broj građana, dok se rukom upisuje na uzorak koji se šalje u odabranu laboratoriju na testiranje. Nije precizirano šta se dešava u slučajevima kada nije moguće utvrditi jedinstveni matični broj ili kada ga osoba nema.

Većina ostalih podataka prikuplja se tokom zdravstvenog pregleda i razgovora, a to su pre svega podaci o zdravstvenom stanju, kao i o kretanju i ljudima s kojima je testirani dolazio u kontakt. Kako ovi kontakti nisu testirani, njima se ne dodeljuje jedinstvena šifra.

Rezultate testiranja unose laboratorije.

U slučaju kada se građani upućuju na kućno lečenje ili samoizolaciju, taj podatak se mora uneti u sistem najkasnije dva sata nakon izvršenog pregleda ili dobijanja potvrde da je rezultat testa na virus pozitivan.

* Output

Institut Batut svakodnevno dostavlja sirove podatke iz sistema Ministarstvu zdravlja, koje priprema izveštaj i objavljuje pseudonimizovane podatke o toku pandemije u zemlji. Batut anonimizuje podatke koje dostavlja Kancelariji za informacione tehnologije i elektronsku upravu, a to su podaci o datumu, jedinici lokalne samouprave, polu, uzrastu, tipu lečenja (bolničko lečenje ili samoizolacija) i drugi statistički podaci po demografskim parametrima.

Kako je definisano Zaključkom, “radi nadzora nad sprovođenjem mere samoizolacije, kao i radi sprovođenja pojačanog zdravstvenog nadzora” Institut Batut dostavlja podatke iz sistema Ministarstvu unutrašnjih poslova, Vojsci Srbije – ali i “drugim nadležnim organima radi postupanja u skladu sa njihovim nadležnostima”.

Zaključak je 16. aprila dopunjen nalogom Institutu Batut da podatke iz baze dostavlja i Institutu za transfuziju krvi, “radi vođenja evidencije i kontaktiranja potencijalnih” davalaca krvi, odnosno krvne plazme za potrebe “izrade lekova” za lečenje bolesti Kovid-19.

Vladinim Zaključkom je predviđeno da podatke o izrečenim merama samoizolacije Batut dostavlja MUP-u, ali kako način dostavljanja nije preciziran on može podrazumevati i direktan pristup sistemu iz kog policija preuzima podatke o ljudima čije poštovanje mera treba kontrolisati.

U Zaključku se ne pominju kontakti, ali je status ljudi s kojima su testirane osobe dolazile u dodir “regulisan” uputstvom za korišćenje informacionog sistema. Tu se navodi da je ova kategorija od posebnog značaja za policiju u cilju “preventivnog reagovanja na širenje zaraze”. Nema, međutim, izričitog objašnjenja kako policija saznaje ove podatke, niti kakvu pravnu nadležnost policija ima u odnosu na građane kojima zvanično nije izrečena nikakva mera epidemiološkog nadzora.

Uputstvo za korišćenje sistema takođe proširuje listu njegovih korisnika u odnosu na definiciju iz Zaključka Vlade, pa je tako krug korisnika – organizacija koje imaju direktan pristup sistemu – proširen i na sanitarne inspektore i Ministarstvo zdravlja.

* System error

Rekonstrukcija puteva kojima podaci o zdravlju građana ulaze i izlaze iz sistema, ukazuje da se prilikom uspostavljanja ovaj sistem više oslanjao na uputstvo za upotrebu kompjuterskog programa nego na ustavne i zakonske propise o rukovanju ličnim podacima građana.

Uloge ljudi i organizacija koji obrađuju osetljive lične podatke građana o njihovom zdravstvenom stanju, definišu se u odnosu na podatke građana, a ne u odnosu na softver. Iz tih uloga proističu njihove zakonske obaveze, kao i odgovornost u slučaju narušavanja ustavom garantovanih prava građana.

Detaljna mapa tokova podataka kroz Informacioni sistem Covid-19 i njegova pravna analiza predstavljeni su u istraživanju Jelene Adamović i Đorđa Krivokapića.