V danes objavljenem poročilu med državami s pomanjkljivostmi glede zaščite podatkov omenja tudi Slovenijo in izpostavlja, da slovenske zdravstvene oblasti sezname bolnikov delijo s policijo in upravnimi organi. Poročilo z naslovom Digitalne rešitve za boj proti covidu-19 analizira vpliv pravnega okvira in politik na pravico do zasebnosti in za zaščito podatkov. Ker so se pojavila vprašanja o varnosti podatkov v slovenski aplikacijo #OstaniZdrav, je potrebno dodati, da Svet Evrope slovenske korona-aplikacije neposredno ne omenja, v poročilu pa sklicujejo na vire, ki so nastali in bili objavljeni od meseca marca 2020 do septembra 2020.
Poročilo ugotavlja, da se je med 55 državami, ki so ratificirale konvencijo 108, za decentraliziran pristop pri aplikacijah za sledenje stikov z okuženimi odločilo 26 držav, med njimi Slovenija. 14 se jih je odločilo za centraliziran pristop, deset jih aplikacije bodisi razvija, se še odločajo, ali jih bodo imele ali pa jih bodo delile s sosednjimi državami. Pet držav se je že odločilo, da ne bodo imele aplikacij za sledenje stikom.
Dokument vsebuje tudi poglobljen pregled aplikacij za sledenje stikov z okuženimi in orodij za nadzor in ugotavlja, da države aplikacije za boj proti covidu-19 uporabljajo predvsem za sledenje stikom z okuženimi, samodiagnozo ter ugotavljanje spoštovanja odločb o karanteni.
Poročilo v vrsti držav ugotavlja pomanjkljivosti pri uresničevanju konvencije Sveta Evrope o varstvu posameznika glede na avtomatsko obdelavo osebnih podatkov, znane tudi kot konvencija 108. Te pomanjkljivosti se nanašajo predvsem na zahtevo po pravni podlagi za sprejete ukrepe, njihovo sorazmernost ter upravičenost glede na javni interes.
Privolitev v poročilu označujejo kot eno izmed možnih zakonitih podlag za obdelavo osebnih podatkov. A zahteve za veljavno privolitev je težko doseči, zlasti zaradi ko je govora o občutljivih zdravstvenih in lokacijskih podatkih, dodajajo. Tako še posebej v primeru obolelih s covidom-19 vladajo posebne okoliščine in izjemni pritisk za oddajo privolitve. V poročilu Svet Evrope navaja, da v zaposlitvenem in izobraževalnem okviru privolitev ne velja za optimalno pravno podlago, saj je zaradi neravnovesja moči težko oceniti, ali je dana prostovoljno. Tudi slovenski organ za varstvo podatkov je, kot tudi Nemški, izpostavil nustrezno uporabo soglasja v okviru zakonodaje pri obdelavi telekomunikacijskih podatkov.
V drugem poglavju, v katerem se ukvarjajo z omejitvijo namena, shranjevanjem in izmenjavo podatkov, v poročilu Svet Evrope piše, da konvencija 108 določa, da je osebne podatke dovoljeno zbirati le za določene namene obdelave, za druge namene pa uporabe ne izključuje. Prav tako je uporaba zdravstvenih podtakov, če so kodirani ali anonimizirani, dovoljena za znanstvene raziskave, omejitve pa veljajo, če bi z njimi želeli nadzirati gibanje posameznikov. "Zdi se, da je upoštevanje tega načela eden največjih izzivov v okviru krize Covid19," dodajajo in pišejo, da so nekatere vlade so sprejele precej ohlapne predpise, ki jim dajejo veliko manevrskega prostora.
Na Finskem, v Litvi, na Malti, v Mehiki, na Nizozemskem, Poljskem in v Sloveniji so aplikacije in spletne strani razvili za potrebe samodiagnoze.
Med državami s pomanjkljivostmi glede zaščite podatkov poročilo omenja tudi Slovenijo. Slovenske zdravstvene oblasti tako kot grške in madžarske sezname bolnikov delijo s policijo in upravnimi organi, omenja poročilo. V Avstriji imajo župani dostop do podatkov nekaterih bolnikov, saj so odgovorni za zagotavljanje hrane in storitev tistim, ki so v karanteni. Na Nizozemskem mora občinska zdravstvena služba primere okužbe prijaviti županu občine, v kateri prebiva bolnik, in regionalnemu varnostnemu organu, da s tem omogoči sprejetje ukrepov, kot je obvezna karantena za okužene.
Na Madžarskem so minister za inovacije in tehnologijo ter operativni organ, ki ga sestavljajo predstavniki ministrstva za notranje zadeve, policije in zdravstvenih organov, z odlokom upravičeni pridobiti in obdelovati kakršne koli osebne podatke zasebnih ali javnih subjektov, vključno s podatki o lokaciji, ki jo pridobijo od ponudnikov telekomunikacijskih storitev, z zelo široko opredelitvijo namena, za katerega se lahko podatki uporabljajo. Na Danskem je izvršna odredba sprva predvidevala širok dostop do osebnih podatkov s strani policije in danske uprave za varnost pacientov, vključno z bančnimi nakazili in komunikacijskimi podatki, preden se zožili obseg omenjene uredbe.
Nekatere države so objavile podatke o bolnikih ali umrlih osebah. V poročilu Svet Evrope izpostavlja, da tudi če so bili takšni podatki predstavljeni kot anonimizirani, so starost, spol, skupaj z lokacijo v regijah z nizko gostoto prebivalstva, omogočili ponovno identifikacijo in nadaljnjo uporabo. V Črni gori so objavili celo neposredno prepoznavne podatke s polnim imenom okuženih oseb. Z enakim vprašanjem so se pri Svetu Evrope srečali na Češkem, Slovaškem, Portugalskem, v Romuniji in na Madžarskem.
V poročilu opozarjajo še, da je tudi trajanje shranjevanja podatkov pogosto nejasno določeno, zlasti kadar se podatki objavijo ali delijo z zdravstvenimi ali policijskimi subjekti. To vprašanje so sprožili v Grčiji, glede podatkov v zvezi s karanteni. V Združenem kraljestvu pa zakon o koronavirusu predvideva, da lahko državni sekretar sprejme predpise o podaljšanju časa hrambe biometričnih vzorcev, kot so DNK in prstni odtisi, z obrazložitvijo, da gre za nacionalno varnost.
Pri vseh naštetih primerih omejitve namena, shranjevanja in izmenjave podatkov se v poročilu sklicujejo na vire drugih poročil, ki so nastala in bila objavljena od meseca marca 2020 do septembra 2020. Svet Evrope v poročilu tudi izraža obžalovanje, ker se države niso uspele dogovoriti za enotno evropsko aplikacijo za sledenje stikom z okuženimi. Zaradi številnih različnih sistemov je učinkovitost aplikacij omejena, še poudarja.
