Bezpieczeństwo użytkowników w ProteGO Safe

Dodano: 8 czerwca 2020
logo_beztla_2

Stany wyższej konieczności, ratowanie ludzkiego zdrowia i życia, wprowadzanie ustawowych ograniczeń jest uzasadnione i może mieć miejsce wyłącznie w zgodności z Konstytucją RP i ustawami. Okres pandemii, czas zagrożeń epidemicznych i szczególne okoliczności towarzyszące tym zdarzeniom wyzwalają potrzebę zastosowania niestandardowych rozwiązań - jednak muszą się one opierać o naczelną zasadę zgodności z prawem polskim i UE, której jesteśmy partnerem.

Warto zatem spojrzeć na element „rzeczy inteligentnej” w proponowanym wprowadzaniu aplikacji na urządzenia mobilne „dla naszego bezpieczeństwa”. Czy w takiej rzeczywistości nie zostaną przekroczone zasady i reguły określone w prawie do prywatności? Jakie gwarancje przed zastosowaniem aplikacji zostaną skonsultowane oraz jasno i czytelnie ogłoszone? Czy tak zaawansowana „inteligentna rzecz” nie przeniknie zbyt daleko w prywatność „osoby zainstalowanej” i jej otoczenia tj. innych satelitarnych osób?

Czym jest ProteGO Safe

W związku z nieoczekiwanym stanem pandemii wirusa SARS-CoV-2 Ministerstwo Cyfryzacji wyszło z inicjatywą (samo)kontroli stanu zdrowia obywateli poprzez aplikację ProteGO Safe na urządzenia mobilne. Aplikacja ta ma na celu weryfikację stanu zdrowia użytkownika i jego otoczenia. Poprzez wypełnienie formularza startowego, w którym użytkownik ma za zadanie odpowiedzieć na kilka krótkich pytań, aplikacja może uzyskać informacje np. o płci, grupie krwi, nałogach, dolegliwościach lub przewlekłych chorobach.

Dodatkowo aplikacja wykorzystując technologie Bluetooth w telefonie użytkownika może mieć skojarzenie się ze smartfonami (określone modele z wyłączeniem telefonów tradycyjnych bez możliwości instalacji dodatkowych aplikacji w danej technologii) innych użytkowników, korzystających z tej samej aplikacji, jednocześnie informując nas o potencjalnym zagrożeniu wynikającym z kontaktu z osobą, która należeć może do grupy ryzyka.

Twórcy aplikacji starają się podkreślić zasady bezpieczeństwa, którymi kierowali się podczas jej tworzenia oraz zapewniają użytkowników o tym, że ich dane wprowadzane do aplikacji przechowywane są wyłącznie na jego urządzeniu. Jednak powstaje pytanie czy w ekspresowym tempie prac wykonano odpowiednie symulacje, a wyniki testów potwierdzają ich skuteczność?

Analiza charakterystyki aplikacji oraz polityki prywatności ProteGO Safe budzi wątpliwości wobec przejrzystości zasad oraz zakresu przetwarzanych danych osobowych w aplikacji i skłania do głębszego pochylenia się nad zachowaniem zasad dotyczących przetwarzania danych osobowych oraz konstytucyjnym atrybutem obywatela – jego prywatnością.

Przyznać należy, iż wyjątkowość sytuacji usprawiedliwia zaproponowane przez Ministerstwo Cyfryzacji rozwiązania. Założenie nadrzędnego celu wspomagania osób i instytucji w kontrolę oraz zahamowanie rozprzestrzeniania się wirusa SARS-CoV-2.

Gdy jest to możliwe, najnowsze technologie można wykorzystywać w celu poprawy jakości życia oraz bezpieczeństwa obywateli. Jednak zadanie twórców „inteligentnej rzeczy” to duża doza odpowiedzialności i tym samym należyzdefiniować jasne i przejrzyste zasady przetwarzania danych.

Zgodnie z zapewnieniami telefony korzystające z aplikacji wymieniać się będą tymczasowymi kodami – przypadkowymi ciągami znaków, które nie ujawnią tożsamości użytkownika. Ich zadaniem jest umożliwienie ustalenia, że w danym przedziale czasu właściciele konkretnych urządzeń spotkali się w przestrzeni fizycznej.

Uwaga

Szczególną uwagę zwraca zakres danych podawanych w aplikacji w celu przydziału do konkretnej grupy RYZYKA oraz wewnętrznie sprzeczne zapisy „polityki prywatności”.

Zasady przetwarzania danych w aplikacji

Wychodząc naprzeciw rzetelności oraz przejrzystości przetwarzania danych osobowych oraz troszcząc się o prawa osób, których dane będą przetwarzane w aplikacji (art. 4 pkt 2 RODO), opracowano dokumentpolityki prywatności zawierający założenia aplikacji i zasady przetwarzania danych osobowych.

Analizując zapisy dokumentu, może rodzić wątpliwość założenie jakoby ProteGO Safe było rozwiązaniem budowanym zgodnie z zasadami wynikającymi z przepisów o ochronie danych osobowych. W zapisach można dostrzec – „Aplikacja jest budowana zgodnie z zasadami wynikającymi z ogólnego rozporządzenia o ochronie danych osobowych (RODO), w tym minimalizacji danych, privacy by design, privacy by default, prawidłowości, integralności oraz poufności.    1.

Przykład

Autorzy bardzo często przytaczają w tekstach opisujących funkcjonalność aplikacji sprzeczne ze sobą sformułowania, takie jak:

  • Staramy się nie pozyskiwać od Ciebie informacji, które umożliwią Twoją identyfikację (tj. danych osobowych), ale może się zdarzyć tak, że podczas korzystania z Aplikacji podasz nam tyle informacji, że będziemy w stanie Cię zidentyfikować (nawet pośrednio) – oznacza to, że będziemy administratorem Twoich danych.”

  • Nie będziemy mieli dostępu do informacji i danych osobowych, które wprowadzisz do aplikacji ProteGO Safe. Nie będziemy podejmowali aktywnych działań, aby Cię zidentyfikować. Nie będziemy także analizowali jak korzystasz z ProteGO Safe.”

  • Informacje wprowadzone do ProteGO Safe związane z samooceną ryzyka infekcji wirusem SARS-CoV-2 będą w sposób zanonimizowany przesłane do Infermedica.”

  • Danych Osobowych – rozumie się przez to podstawowe dane o Użytkowniku, tj. nazwa Użytkownika oraz inne dane podawane podczas korzystania z ProteGO Safe i określone w niniejszej Polityce”

  • „Administrator danych może przetwarzać następujące Dane Osobowe (kategorie Danych Osobowych): identyfikator Urządzenia Użytkownika, nazwa Użytkownika (imię), dane dotyczące zdrowia, płeć, wiek, dane dotyczące palenia papierosów i inne […].”

  • Dane Osobowe przetwarzane są wyłącznie w następujących celach:

    • przeciwdziałania pandemii wirusa SARS-CoV-2;

    • profilowanie w celu przeciwdziałania pandemii wirusa SARS-CoV-2

    • korzystania przez Użytkownika z Aplikacji zgodnie z Regulaminem;

    • analiza, organizowanie i ulepszanie ProteGO Safe.”

  • Dane Osobowe nie będą poddawane profilowaniu. Administrator nie podejmuje względem Użytkownika decyzji w sposób zautomatyzowany.”

  • „Dane Osobowe będą przechowywane nie dłużej niż trwa korzystanie z ProteGO Safe, a także nie dłużej niż jest to wymagane przepisami prawa i nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Po zaprzestaniu korzystania z ProteGO Safe Dane Osobowe zostaną usunięte wraz z Aplikacją.”

  • „Odbiorcami zanonimizowanych danych i informacji z ProteGO Safe mogą być:

      1. podmioty, które współpracują z Administratorem danych w celu rozwoju i utrzymania ProteGO Safe:

    1. Minister Cyfryzacji z siedzibą w Warszawie, ul. Królewska 27, 00 – 060 Warszawa, e-mail: [email protected] (Administrator Systemu);

    2. TYTANI24 Spółka z ograniczoną odpowiedzialnością z siedzibą we Wrocławiu, ul. Ząbkowicka 55, 50 – 511 Wrocław (adres biura: ul. Kościerzyńska 32A, Wrocław, 51 – 410), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000725465, REGON 369879064, NIP 8992843182, o kapitale zakładowym opłaconym w całości w wysokości 20 000,00 zł;

      1. Podmiot, który dostarcza narzędzie umożliwiające samoocenę ryzyka zarażenia COVID-19: Infermedica Sp. z o.o. z siedzibą we Wrocławiu, Plac Solny 14/3, 50-062 Wrocław, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS 0000429183, REGON 021889810, NIP 8971782877 (polityka prywatności Infermedica: https://infermedica.com/privacy-policy, informacje o Usłudze Triażu: https://developer.infermedica.com/docs/covid-19#triage);

      2. Podmiot dostarczający infrastrukturę umożliwiającą pobranie i aktualizowanie ProteGO Safe: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia VAT IE6388047V (usługa Google Firebase - https://firebase.google.com/support/privacy).

      3. Podmiot dostarczający w przyszłości dodatkowe funkcjonalności: Centrum Systemów Informacyjnych Ochrony Zdrowia z siedzibą w Warszawie, ul. Stanisława Dubois 5a, 00-184 Warszawa, e-mail: [email protected];

      4. Minister Zdrowia z siedzibą w Warszawie, ul. Miodowa 15. 00-952 Warszawa, NIP 5251918554, Regon 000287987.”

Tyle z cytowanego i powszechnie dostępnego pisma. Po pierwsze, jeżeli według podanych informacji, dane osobowe nie są przetwarzane poza urządzeniami użytkowników, to w jakim celu wskazuje się obligatoryjnie na przesłanki przetwarzania danych w wyżej wymienionym dokumencie?

Po drugie, skoro wskazuje to bezpośrednio na fakt przetwarzania danych osobowych użytkowników czy możliwy jest jednak fakt ich pełnego zidentyfikowania?

Przetwarzanie danych, znajdujące swoją definicję w przepisach RODO w art. 4, odnosi się do operacji na danych osobowych o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zatem można dostrzec koniunkcję zdarzeń użytkownik plus umowa z operatorem i operator aplikacji znający dane osoby związanej umową, trudniej ustalić, czy urządzenie jest w posiadaniu właściciela czy jego rodziny lub pupila.

Należy zatem zadać kolejne pytanie, czy pozyskiwane od użytkowników dane przetwarzane będą zgodnie z zapisami polityki prywatności i zachowaniem zasad bezpieczeństwa danych.

Zagrożenia prywatności

Zapisy dokumentu, wprowadzają użytkownika w dysonans - zostaje zapewniony, że jego bezpośrednia identyfikacja nie będzie możliwa. Następnie stwierdzenie zostaje podważone informacją o prawdopodobnym jednak wystąpieniu stanu umożliwiającego jego pełną identyfikację.

W tym momencie należy powtórzyć pytanie, jakiego zakresu danych może wymagać aplikacja, jeżeli Administrator będzie w stanie zidentyfikować użytkownika? Ewentualnie do jakich danych w telefonie aplikacja zażąda dostępu? – Jeżeli nie w wersji pierwotnej, to zaktualizowanej o dodatkowe funkcjonalności, o czym mowa w dokumencie.

Kolejną wątpliwą kwestią są zasady ochrony danych osobowych użytkownika, w rozumieniu zastosowanych rozwiązań technicznych. Zgodnie z motywem 26 RODO zasady ochrony danych, w tym anonimizacja danych osobowych, nie mają zastosowania do informacji, które jak zapewniają autorzy aplikacji nie pozwalają na zidentyfikowanie danego użytkownika.

Czy można przypuszczać, że niezależnie od zakresu danych wprowadzonych przez użytkownika do aplikacji, każdy kto ją wykorzystuje, wbrew zapewnieniom Administratora będzie osobą w pełni identyfikowalną?

Dalsza analiza wskazuje na rozbieżność w zakresie dostępu przez Administratora do informacji personalnych, które użytkownik wprowadza do aplikacji. W polityce prywatności użytkownik zapewniony zostaje, że Administrator nie będzie miał dostępu do informacji oraz danych osobowych. W kolejnym punkcie Administrator informuje użytkownika, że informacje wprowadzone do ProteGO Safe będą przesłane do komercyjnego podmiotu zewnętrznego.

W kontekście zapisów dokumentu, należy wziąć pod uwagę sposób przetwarzania danych z wykorzystaniem metody profilowania, której zastosowanie w aplikacji przedstawiane jest w polityce prywatności podkreślone w sposób sprzeczny.

Z jednej strony twórcy (programu lub opisu, ufać należy, że współpracowali) informują nas, że jednym z celów przetwarzania będzie „profilowanie w celu przeciwdziałania pandemii SARS-CoV-2”, z drugiej zaś użytkownik zostaje zapewniony, że jego dane nie będą poddawane profilowaniu - podparte zostaje to sformułowaniem, iż „Administrator nie podejmuje względem użytkownika decyzji w sposób zautomatyzowany”. Przytoczmy zatem co oznacza profilowanie użytkownika.

Literalnie profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. W efekcie użytkownik może wątpić w jasność przekazu.

Jeśli użytkownik zostaje poinformowany, że jego dane będą profilowane, to w żadnym wypadku ta informacja nie może być negowana przez Administratora poprzez zapewnienie, iż żadna decyzja względem użytkownika nie będzie podejmowana w sposób zautomatyzowany.

Uwaga

Co to oznacza dla użytkownika i jego prywatności w świetle tak wielu niejasności? Swego czasu, Generalny IODO upatrywał profilowanie jako zagrożenie będące przesłanką do kategoryzowania osób według różnych cech lub zachowań. Dodatkowo możliwości wyciągania na ich temat wniosków w oparciu o zebrane i przetworzone informacje. U użytkownika budzić to może wątpliwości, czy aby na pewno jego prywatność zostanie zachowana podczas użytkowania aplikacji.

Wnioski

Biorąc pod uwagę założenia i istotę funkcjonalności omawianej aplikacji oraz niejasności płynące z przekazu w zakresie zachowania podstawowych praw odnoszących się do prywatności człowieka, przyznać należy, że aplikacja ma jeszcze przed sobą daleką drogę zanim będzie rozwiązaniem w pełni akceptowalnym społecznie. Pomysł ten wymaga dopracowania nie tylko kwestii technicznych, jak jest to podkreślane w wielu publikacjach, ale również pod kątem zgodności z prawem polskim i Unii Europejskiej w zakresie ochrony danych.

Społecznym czynnikiem, który może utrudniać implementację technologii na szerszą skalę jest brak zaufania do rozwiązania wymagającego, jak wykazała analiza, nieproporcjonalnego zakresu danych personalnych o użytkowniku. Dodatkowo opinie specjalistów ds. cyberbezpieczeństwa wywołują szereg teorii stojących w opozycji do pierwotnie uznanych założeń w zakresie celu wykorzystania aplikacji i wpływają na wzrost świadomości społeczeństwa co do zakresu możliwości wykorzystania ich danych.

Występowanie stanów nieprzewidywalnych, takich jak pandemia, które powodują nagły i celowy rozwój technologiczny, wymuszają edukację społeczeństwa w tym zakresie. Sytuacje takie stawiają prekursorów rozwoju sztucznej inteligencji i Internetu rzeczy przed nie lada wyzwaniem w zakresie sformułowania norm, standardów oraz granic etycznych i moralnych odnoszących się do implementacji co raz to nowych rozwiązań

Jednym z czynników wpływających pozytywnie na postrzeganie rozwiązań wykorzystujących nowe technologie na skalę globalną jest współpraca z ekspertami ochrony prywatności oraz instytucjami edukacji, która skutkować będzie wzrostem kultury ochrony danych osobowych.

Źródło:

 

Autorzy:

Dawid Czerw – Inspektor Ochrony Danych, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001

Piotr Kitela - Inspektor Ochrony Danych, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel