Bezpieczeństwo użytkowników w ProteGO Safe

Warto zatem spojrzeć na element „rzeczy inteligentnej” w proponowanym wprowadzaniu aplikacji na urządzenia mobilne „dla naszego bezpieczeństwa”. Czy w takiej rzeczywistości nie zostaną przekroczone zasady i reguły określone w prawie do prywatności? Jakie gwarancje przed zastosowaniem aplikacji zostaną skonsultowane oraz jasno i czytelnie ogłoszone? Czy tak zaawansowana „inteligentna rzecz” nie przeniknie zbyt daleko w prywatność „osoby zainstalowanej” i jej otoczenia tj. innych satelitarnych osób?

W związku z nieoczekiwanym stanem pandemii wirusa SARS-CoV-2 Ministerstwo Cyfryzacji wyszło z inicjatywą (samo)kontroli stanu zdrowia obywateli poprzez aplikację ProteGO Safe na urządzenia mobilne. Aplikacja ta ma na celu weryfikację stanu zdrowia użytkownika i jego otoczenia. Poprzez wypełnienie formularza startowego, w którym użytkownik ma za zadanie odpowiedzieć na kilka krótkich pytań, aplikacja może uzyskać informacje np. o płci, grupie krwi, nałogach, dolegliwościach lub przewlekłych chorobach.

Dodatkowo aplikacja wykorzystując technologie Bluetooth w telefonie użytkownika może mieć skojarzenie się ze smartfonami (określone modele z wyłączeniem telefonów tradycyjnych bez możliwości instalacji dodatkowych aplikacji w danej technologii) innych użytkowników, korzystających z tej samej aplikacji, jednocześnie informując nas o potencjalnym zagrożeniu wynikającym z kontaktu z osobą, która należeć może do grupy ryzyka.

Twórcy aplikacji starają się podkreślić zasady bezpieczeństwa, którymi kierowali się podczas jej tworzenia oraz zapewniają użytkowników o tym, że ich dane wprowadzane do aplikacji przechowywane są wyłącznie na jego urządzeniu. Jednak powstaje pytanie czy w ekspresowym tempie prac wykonano odpowiednie symulacje, a wyniki testów potwierdzają ich skuteczność?

Analiza charakterystyki aplikacji oraz polityki prywatności ProteGO Safe budzi wątpliwości wobec przejrzystości zasad oraz zakresu przetwarzanych danych osobowych w aplikacji i skłania do głębszego pochylenia się nad zachowaniem zasad dotyczących przetwarzania danych osobowych oraz konstytucyjnym atrybutem obywatela – jego prywatnością.

Przyznać należy, iż wyjątkowość sytuacji usprawiedliwia zaproponowane przez Ministerstwo Cyfryzacji rozwiązania. Założenie nadrzędnego celu wspomagania osób i instytucji w kontrolę oraz zahamowanie rozprzestrzeniania się wirusa SARS-CoV-2.

Gdy jest to możliwe, najnowsze technologie można wykorzystywać w celu poprawy jakości życia oraz bezpieczeństwa obywateli. Jednak zadanie twórców „inteligentnej rzeczy” to duża doza odpowiedzialności i tym samym należyzdefiniować jasne i przejrzyste zasady przetwarzania danych.

Zgodnie z zapewnieniami telefony korzystające z aplikacji wymieniać się będą tymczasowymi kodami – przypadkowymi ciągami znaków, które nie ujawnią tożsamości użytkownika. Ich zadaniem jest umożliwienie ustalenia, że w danym przedziale czasu właściciele konkretnych urządzeń spotkali się w przestrzeni fizycznej.

Wychodząc naprzeciw rzetelności oraz przejrzystości przetwarzania danych osobowych oraz troszcząc się o prawa osób, których dane będą przetwarzane w aplikacji (art. 4 pkt 2 RODO), opracowano dokumentpolityki prywatności zawierający założenia aplikacji i zasady przetwarzania danych osobowych.

Analizując zapisy dokumentu, może rodzić wątpliwość założenie jakoby ProteGO Safe było rozwiązaniem budowanym zgodnie z zasadami wynikającymi z przepisów o ochronie danych osobowych. W zapisach można dostrzec – „Aplikacja jest budowana zgodnie z zasadami wynikającymi z ogólnego rozporządzenia o ochronie danych osobowych (RODO), w tym minimalizacji danych, privacy by design, privacy by default, prawidłowości, integralności oraz poufności.”    ¹.

Tyle z cytowanego i powszechnie dostępnego pisma. Po pierwsze, jeżeli według podanych informacji, dane osobowe nie są przetwarzane poza urządzeniami użytkowników, to w jakim celu wskazuje się obligatoryjnie na przesłanki przetwarzania danych w wyżej wymienionym dokumencie?

Po drugie, skoro wskazuje to bezpośrednio na fakt przetwarzania danych osobowych użytkowników czy możliwy jest jednak fakt ich pełnego zidentyfikowania?

Przetwarzanie danych, znajdujące swoją definicję w przepisach RODO w art. 4, odnosi się do operacji na danych osobowych o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zatem można dostrzec koniunkcję zdarzeń użytkownik plus umowa z operatorem i operator aplikacji znający dane osoby związanej umową, trudniej ustalić, czy urządzenie jest w posiadaniu właściciela czy jego rodziny lub pupila.

Należy zatem zadać kolejne pytanie, czy pozyskiwane od użytkowników dane przetwarzane będą zgodnie z zapisami polityki prywatności i zachowaniem zasad bezpieczeństwa danych.

Zapisy dokumentu, wprowadzają użytkownika w dysonans - zostaje zapewniony, że jego bezpośrednia identyfikacja nie będzie możliwa. Następnie stwierdzenie zostaje podważone informacją o prawdopodobnym jednak wystąpieniu stanu umożliwiającego jego pełną identyfikację.

W tym momencie należy powtórzyć pytanie, jakiego zakresu danych może wymagać aplikacja, jeżeli Administrator będzie w stanie zidentyfikować użytkownika? Ewentualnie do jakich danych w telefonie aplikacja zażąda dostępu? – Jeżeli nie w wersji pierwotnej, to zaktualizowanej o dodatkowe funkcjonalności, o czym mowa w dokumencie.

Kolejną wątpliwą kwestią są zasady ochrony danych osobowych użytkownika, w rozumieniu zastosowanych rozwiązań technicznych. Zgodnie z motywem 26 RODO zasady ochrony danych, w tym anonimizacja danych osobowych, nie mają zastosowania do informacji, które jak zapewniają autorzy aplikacji nie pozwalają na zidentyfikowanie danego użytkownika.

Czy można przypuszczać, że niezależnie od zakresu danych wprowadzonych przez użytkownika do aplikacji, każdy kto ją wykorzystuje, wbrew zapewnieniom Administratora będzie osobą w pełni identyfikowalną?

Dalsza analiza wskazuje na rozbieżność w zakresie dostępu przez Administratora do informacji personalnych, które użytkownik wprowadza do aplikacji. W polityce prywatności użytkownik zapewniony zostaje, że Administrator nie będzie miał dostępu do informacji oraz danych osobowych. W kolejnym punkcie Administrator informuje użytkownika, że informacje wprowadzone do ProteGO Safe będą przesłane do komercyjnego podmiotu zewnętrznego.

W kontekście zapisów dokumentu, należy wziąć pod uwagę sposób przetwarzania danych z wykorzystaniem metody profilowania, której zastosowanie w aplikacji przedstawiane jest w polityce prywatności podkreślone w sposób sprzeczny.

Z jednej strony twórcy (programu lub opisu, ufać należy, że współpracowali) informują nas, że jednym z celów przetwarzania będzie „profilowanie w celu przeciwdziałania pandemii SARS-CoV-2”, z drugiej zaś użytkownik zostaje zapewniony, że jego dane nie będą poddawane profilowaniu - podparte zostaje to sformułowaniem, iż „Administrator nie podejmuje względem użytkownika decyzji w sposób zautomatyzowany”. Przytoczmy zatem co oznacza profilowanie użytkownika.

Literalnie profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. W efekcie użytkownik może wątpić w jasność przekazu.

Jeśli użytkownik zostaje poinformowany, że jego dane będą profilowane, to w żadnym wypadku ta informacja nie może być negowana przez Administratora poprzez zapewnienie, iż żadna decyzja względem użytkownika nie będzie podejmowana w sposób zautomatyzowany.

Biorąc pod uwagę założenia i istotę funkcjonalności omawianej aplikacji oraz niejasności płynące z przekazu w zakresie zachowania podstawowych praw odnoszących się do prywatności człowieka, przyznać należy, że aplikacja ma jeszcze przed sobą daleką drogę zanim będzie rozwiązaniem w pełni akceptowalnym społecznie. Pomysł ten wymaga dopracowania nie tylko kwestii technicznych, jak jest to podkreślane w wielu publikacjach, ale również pod kątem zgodności z prawem polskim i Unii Europejskiej w zakresie ochrony danych.

Społecznym czynnikiem, który może utrudniać implementację technologii na szerszą skalę jest brak zaufania do rozwiązania wymagającego, jak wykazała analiza, nieproporcjonalnego zakresu danych personalnych o użytkowniku. Dodatkowo opinie specjalistów ds. cyberbezpieczeństwa wywołują szereg teorii stojących w opozycji do pierwotnie uznanych założeń w zakresie celu wykorzystania aplikacji i wpływają na wzrost świadomości społeczeństwa co do zakresu możliwości wykorzystania ich danych.

Występowanie stanów nieprzewidywalnych, takich jak pandemia, które powodują nagły i celowy rozwój technologiczny, wymuszają edukację społeczeństwa w tym zakresie. Sytuacje takie stawiają prekursorów rozwoju sztucznej inteligencji i Internetu rzeczy przed nie lada wyzwaniem w zakresie sformułowania norm, standardów oraz granic etycznych i moralnych odnoszących się do implementacji co raz to nowych rozwiązań

Jednym z czynników wpływających pozytywnie na postrzeganie rozwiązań wykorzystujących nowe technologie na skalę globalną jest współpraca z ekspertami ochrony prywatności oraz instytucjami edukacji, która skutkować będzie wzrostem kultury ochrony danych osobowych.

Autorzy:

Dawid Czerw – Inspektor Ochrony Danych, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001

Piotr Kitela - Inspektor Ochrony Danych, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001