Sistem SI-Alarm je zasnovan na obvezni vključitvi vseh uporabnikov mobilnih naprav v sistem brez predhodne privolitve in brez možnosti prostovoljnega izstopa. Medtem ko lahko uporabniki onemogočijo nekatera obvestila, za sporočila najvišje stopnje te možnosti ni, kar pomeni, da lahko država kadarkoli dostavi sporočilo na vsako mobilno napravo v državi, ne da bi ji lastnik dovolil uporabo svoje naprave. Pomisleki se nanašajo tudi na zbiranje in hranjenje podatkov o sami lokaciji, kjer se mobilna naprava (in torej njen lastnik) nahaja, kot tudi o dostavi sporočil ali času prejema.

Zato je več kot na mestu vprašanje, zakaj se namesto sistema brez možnosti svobodne izbire ne uporablja aplikacija, ki bi uporabnikom omogočila soglasje tako z uporabo svoje zasebne mobilne naprave kot tudi s prejemanjem obvestil.

Na vprašanje o pravni podlagi, na kateri država v okviru sistema SI-Alarm brez privolitve lastnika mobilnega telefona uporablja osebne mobilne naprave oziroma komunikacijsko infrastrukturo, ki jo uporabnik sam plačuje operaterju, ministrstvo za digitalno preobrazbo pojasnjuje, da vzpostavitev sistema javnega alarmiranja zahteva direktiva Evropske unije: "V prvi vrsti vzpostavitev sistema javnega obveščanja in alarmiranja zahteva od držav članic Direktiva (EU) 2018/1972 Evropskega parlamenta in Sveta z dne 11. decembra 2018 o Evropskem zakoniku o elektronskih komunikacijah."

Kdo vse bo odločal o sporočilih? 

O sporočilih, ki jih bomo obvezno morali sprejemati, bo odločal širok krog posameznikov – vlada,  minister, pristojen za varstvo pred naravnimi in drugimi nesrečami, župan občine "prizadetega območja", državni, regijski ali občinski poveljnik civilne zaščite (CZ) ali njegovi namestniki, generalni direktor URSZR ali njegov namestnik, predstojniki izpostav URSZR, predstojnik občinske službe, pristojen za varstvo pred naravnimi in drugimi nesrečami (VPNDN), vodje intervencij in "druge osebe po pooblastilu vlade ali župana".

Po prvih ocenah bi lahko torej šlo za precej raznoliko skupino posameznikov, ki bodo imeli prost dostop do uporabe mobilnih telefonov državljanov na osnovi presoje, kaj sodi v "javni interes" in "nujne ukrepe". 

Zakaj ne aplikacija z možnostjo soglasja?

Glede možnosti, da posamezniki, ki ne želijo prejemati teh sporočil, izstopijo iz sistema, pa ministrstvo pojasnjuje, da ima sistem več nivojev, vendar za obvestila "najvišje stopnje" lastnik mobilne naprave nima možnosti odločanja. "Sistem oddaje potisnih sporočil omogoča, da pošiljatelj (Uprava RS za zaščito in reševanje) pošlje sporočila z različnimi nivoji. Uporabniki lahko nastavijo svojo mobilno napravo tako, da ta ne bo prikazala določenih nivojev sporočil, vendar to ne velja za obvestila najvišje stopnje." Uporabniki imajo torej možnost, da onemogočijo prikaz sporočil vseh nivojev "razen najvišjega nivoja".

Glede zbiranja osebnih podatkov državljanov na ministrstvu sicer zagotavljajo, da sistem ne zbira in obdeluje podatkov. "Sistem ne zbira in ne obdeluje osebnih podatkov, prav tako ne zbira podatkov o tem, katerim mobilnim napravam je bilo potisno sporočilo dostavljeno."

Ministrstvo pojasnjuje tudi, zakaj pri obveščanju lastnik mobilne naprave nima možnosti podati soglasje in zakaj se za obveščanje raje ne uporablja aplikacija. "Aplikacije bi si morali uporabniki namestiti sami, kar bi močno zmanjšalo doseg sistema obveščanja in alarmiranja. V Sloveniji smo se na podlagi javne strokovne razprave odločili za sistem cell broadcast in ne za mobilno aplikacijo ali lokacijska SMS sporočila," navajajo.

Bi morala država za uporabo zasebnih naprav plačevati?

Glede plačevanja nadomestil uporabnikom mobilnih telefonov za uporabo njihovih naprav za državne komunikacijske namene na ministrstvu te potrebe ne vidijo. "Nadomestil uporabnikom ne bo," so zapisali.

Država je za delovanje sistema sklenila pogodbe o vzpostavitvi, delovanju in vzdrževanju sistema z vsemi štirimi operaterji v Sloveniji. "Znova poudarjamo, da je namen sistema varovanje življenj in premoženja in ne splošna komunikacija z državljani, zato ocenjujemo, da bo vzpostavitev delovanja sistema izboljšala kakovost, predvsem pa varnost v RS in da torej ne gre za izkoriščanje uporabnikov mobilnih komunikacijskih storitev."

Informacijski pooblaščenec: "Obdelave osebnih podatkov ni možno povsem izključiti"

Za pojasnila smo se obrnili tudi na Informacijskega pooblaščenca (IP), ki je najvišji nadzorni organ na področju varstva osebnih podatkov v Sloveniji. 

"Množično pošiljanje sporočil posameznikom z uporabo njihovih telefonskih številk, kot npr. v primeru nevarnih nesreč, implicira obdelavo osebnih podatkov, saj se sporočila dostavijo z uporabo kontaktnih podatkov posameznika, kot je njegova telefonska številka, kar pomeni, da mora biti tovrstno pošiljanje sporočil izvedeno v skladu z zakonodajo, po mnenju IP pa sicer zelo omejene obdelave osebnih podatkov ni možno povsem izključiti tudi v primeru, če gre za t. i. celično oddajo," so pojasnili.

Glede skladnosti s pravili o varstvu osebnih podatkov IP ocenjuje, da nov sistem ne zahteva novih baz podatkov. "Glede načela najmanjšega obsega podatkov je treba ugotoviti, da način celične oddaje, pri katerem se ne uporabijo telefonske številke uporabnikov, ne zahteva uporabe baze podatkov o naročnikih in tudi ne implicira beleženja podatkov, komu in kdaj je bilo sporočilo dostavljeno ter kje se je takrat posamezni uporabnik nahajal, zato menimo, da z vidika načela najmanjšega obsega podatkov ni posebnih težav."

Kljub temu pa IP ocenjuje, da bi bila izvedba ocene učinka sistema SI-Alarm na varstvo osebnih podatkov potrebna. "Glede ocene učinka na varstvo osebnih podatkov (35. člen Splošne uredbe) glede na obseg obdelave ocenjujemo, da bi bila izvedba ocene učinka potrebna, nismo pa seznanjeni s tem, ali je bila izvedena."

IP tudi pojasnjuje, kakšne možnosti imajo posamezniki, ki menijo, da sistem SI-Alarm neupravičeno posega v njegove pravice. Kot navajajo, lahko "posameznik, ki meni, da zavezanec krši predpise s področja varstva osebnih podatkov, poda prijavo oziroma pobudo za uvedbo postopka inšpekcijskega nadzora po Zakonu o inšpekcijskem nadzoru (ZIN), ki ga IP vodi po uradni dolžnosti (inšpekcijski postopek). Če meni, da upravljavec, obdelovalec ali pristojni organ za obravnavo kaznivih dejanj krši varstvo njegovih oz. njenih osebnih podatkov, pa lahko na podlagi 30. člena Zakona o varstvu osebnih podatkov (ZVOP-2) zahteva nadzor zakonitosti obdelave svojih osebnih podatkov (t. i. postopek, ki se vodi na zahtevo prijavitelja s posebnim položajem)."