W dniu 17 sierpnia 2023 r. Sejm uchwalił ustawę o zmianie ustawy o zdrowiu publicznym oraz niektórych innych ustaw (dalej: „Ustawa”). Zasadniczo przedmiotem rzeczonej ustawy jest wprowadzenie z dniem 1 stycznia 2024 r. zakazu sprzedaży napojów energetyzujących (napojów z dodatkiem kofeiny lub tauryny) osobom poniżej 18 roku życia. Jednakże, w powyżej wskazanym akcie prawnym, znalazły się także przepisy nowelizujące ustawę o sporcie, ustawę – Prawo oświatowe oraz ustawę o systemie informacji oświatowej, które stworzyły podstawy prawne do funkcjonowania prowadzonej przez ministra właściwego ds. kultury fizycznej i sportu ewidencji „Sportowe talenty”, a w szkołach wprowadziły obowiązkowe testy sprawnościowe. Od początku: proces […]
RODOtechnika: Aplikacje do walki z COVID-19 – bezpieczne czy nie?
23 kwietnia 2020 | Paulina Kużdowicz
W poprzednim artykule z cyklu RODOtechnika omówiłam wykorzystanie smartfonów w walce z COVID-19. Wspominałam w nim, że nie tylko w Polsce stosuje się nowe technologie do podnoszenia prawdopodobieństwa wykrycia choroby. W związku z zainteresowaniem państw wykorzystywaniem lokalizacji obywateli oraz aplikacji pozwalających na ustalenie z kim kontaktowali się chorzy w ciągu ostatnich dni przed wystąpieniem objawów problem ten poruszyły również Komisja Europejska oraz Europejska Rada Ochrony Danych.
Stanowisko Państw Członkowskich i Komisji Europejskiej
Na całym świecie trwają prace nad zwalczeniem COVID-19. Jednym z działań jest tworzenie i utrzymywanie aplikacji mobilnych, mających pomóc w tej walce. Aplikacje te można podzielić na trzy grupy:
-
służące do informowania obywateli i ułatwiania organizacji opieki medycznej nad osobami chorymi,
-
służące do ostrzegania osób znajdujących się w pobliżu osoby chorej o możliwości zarażenia się wirusem,
-
służące do monitorowania iegzekwowania kwarantanny.
W związku z tym, dnia 8 kwietnia 2020 r., Komisja Europejska opublikowała zalecenia „w sprawie wspólnego unijnego zestawu instrumentów ułatwiającego wykorzystanie technologii i danych w celu zwalczania kryzysu wywołanego przez COVID-19 i wyjścia z niego, w szczególności w odniesieniu do aplikacji mobilnych i wykorzystywania zanonimizowanych danych dotyczących mobilności” (2020/518). Wśród zaleceń wymieniono następujące zasady:
-
wbudowanie zabezpieczeń zapewniających poszanowanie praw podstawowych izapobieganie stygmatyzacji, w szczególności mającychzastosowanie przepisów dotyczących ochrony danychosobowychi poufności komunikacji,
-
preferowanie najmniej inwazyjnych, ale skutecznych środków,w tym wykorzystywanie danych dotyczących bliskości fizycznej oraz unikanie przetwarzania danych o lokalizacji lub przemieszczaniu się poszczególnych osób, a także wykorzystywanie w miarę możliwości zanonimizowanych i zagregowanych danych,
-
istnienie wymogów technicznychdotyczącychodpowiednichtechnologii (np.Bluetooth oniskim zużyciu energii) służących ustaleniu bliskości urządzenia, szyfrowania, ochrony danych, przechowywaniadanych na urządzeniu przenośnym, możliwego dostępu organów ds. zdrowia oraz przechowywania danych,
-
istnienie skutecznych wymogów w zakresie cyberbezpieczeństwa w celu ochrony dostępności, autentyczności, integralności i poufności danych,
-
wygaśnięcie zastosowanych środków iusunięcie danych osobowych uzyskanych za pomocą tych środków najpóźniej w momencie, w którym ogłoszone zostanie opanowanie pandemii,
-
wysyłanie danych dotyczących bliskości fizycznej w przypadku potwierdzonego zakażenia i stosowanie odpowiednich metod ostrzegania osób, którepozostawały w bliskim kontakcie zosobą zakażoną –która pozostaje anonimowa, oraz
-
istnienie wymogów przejrzystości dotyczących ustawień prywatności w celu zapewnienia zaufania do aplikacji.
Zanonimizowane i zagregowane dane dotyczące mobilności miałyby być wykorzystywane do modelowania map oraz przewidywania rozprzestrzeniania się choroby i jej wpływu na potrzeby systemów opieki zdrowotnej w państwach członkowskich oraz optymalizacji środków mających na celu ograniczenie rozprzestrzeniania się i walkę z COVID-19, a także środków służących pozyskaniu i wykorzystaniu tych danych.
Co ciekawe zgodnie z preambułą niektóre aplikacje mobilne mogą być uznawane za wyroby medyczne. Dotyczy to przypadków, w których aplikacje mają być wykorzystywane do diagnozy, zapobiegania, monitorowania, przewidywania, prognozowania, leczenia lub łagodzenia przebiegu choroby.
Na tym się jednak nie skończyło. Dnia 15 kwietnia 2020 r. Państwa Członkowskie przy wsparciu Komisji Europejskiej wydały zestaw wytycznych dla twórców aplikacji mobilnych mających wspomagać walkę z COVID-19 o nazwie „Mobile applications to support contact tracing in the EU’s fight against COVID-19. Common EU Toolbox for Member States”. Na razie jest to wersja oznaczona jako 1.0, a prace będą kontynuowane. Dokument dotyczy aplikacji podobnych do opracowywanej w Polsce ProteGO, która została przeze mnie omówiona w poprzednim wpisie . W tym miejscu pozwolę sobie przypomnieć tylko, że jest to aplikacja mająca za zadanie pomoc w jak najszybszym poinformowaniu użytkownika o ryzyku zarażenia od ostatnio napotkanych osób oraz rejestrowanie kontaktów między osobami, które być może ze swojego kontaktu nie zdawałyby sobie nawet sprawy. W planach jest jednak przygotowanie wytycznych dla innych rodzajów aplikacji, jak i dla wykorzystania danych o mobilności dla zrozumienia rozpowszechniania się choroby oraz wyjścia z kryzysu. Jak zaznaczono w dokumencie aplikacja Kwarantanna domowa nie podlega wytycznym wskazanym w dokumencie ze względu na jej inne niż w przypadku ProteGo przeznaczenie.
Już we wstępie nacisk położono na:
-
dobrowolność
-
akceptację krajowego organu odpowiedzialnego za zdrowie publiczne,
-
szyfrowanie danych osobowych,
-
zakończenie działania systemów, gdy nie będą już więcej potrzebne.
Zleceń jest wiele, jednak w tym artykule chciałabym skupić się na najciekawszych z nich.
W zakresie wymagań technicznych warto zwrócić uwagę na fakt, że ID użytkownika powinno zmieniać się w czasie i być generowane pseudolosowo (ponieważ urządzenia elektroniczne takie jak komputery osobiste czy smartfony działają w oparciu o algorytmy wygenerowanie liczby w pełni losowej jest niemożliwe), kod wykorzystywany do potwierdzenia zachorowania powinien również być pseudolosowy i jednorazowy, a dane w aplikacji powinny pozostawać kompletne, dokładne, integralne, skalowalne i bezpieczne. Ponadto aplikacja powinna móc działać w tle oraz zapewniać „odpowiednią” dokładność w określaniu odległości pomiędzy urządzeniami. Oczywiście musi ona mieć możliwość zapisywania ID innych urządzeń (w formie zaszyfrowanej i tylko w przypadku urządzeń znajdujących się w odpowiedniej odległości i przez odpowiedni okres czasu, który może skutkować zakażeniem) i stale nadawać swoje ID. Zaszyfrowana powinna być również komunikacja między urządzeniem a tzw. backendem przy wykorzystaniu powszechnie znanych oraz odpowiednio przetestowanych algorytmów kryptograficznych i protokołów. Biblioteki wykorzystywane przez aplikację, na tyle na ile to możliwe, powinny być bibliotekami niskiego poziomu udostępnianymi przez systemy operacyjne, a biblioteki pochodzące od osób trzecich nie powinny być stosowane.
Dane na telefonie użytkownika powinny być przechowywane nie dłużej niż 14-16 dni, a po zakończeniu kryzysu związanego z pandemią aplikacja powinna zostać automatycznie zdezaktywowana, zaś dane osobowe oraz dane dotyczące bliskich kontaktów powinny zaś zostać usunięte.
Zwrócono również uwagę na konieczności zapewnienia możliwości wymiany informacji pomiędzy państwami na temat osób zarażonych lub narażonych na zarażanie. Aby było to możliwe wymagane jest posługiwanie się przez państwa tymi samymi pojęciami, o tym samym znaczeniu. W wytycznych wskazano na konieczność umożliwienia wymiany informacji między samymi systemami, uzasadniając to możliwością spotkania użytkowników dwóch różnych aplikacji. Jeżeli do wymiany informacji by nie doszło, użytkownicy nie zostaliby poinformowani o zagrożeniach. W dokumencie dopuszczono też możliwość przetwarzania zanonimizowanych danych z aplikacji do celów badań prowadzonych przez publiczne organy ochrony zdrowia.
Jak już wspominałam w poprzednim artykule istotne jest zaufanie do aplikacji, a jednym z czynników budujących takie zaufanie może być publiczne udostępnienie kodu źródłowego (co zwiększyłoby również bezpieczeństwo aplikacji). Ponadto wskazano, że do jego powstania może przyczynić się też przeprowadzenie niezależnych testów oraz udostępnienie polityki radzenia sobie z podatnościami (słabymi punktami) aplikacji. Państwa powinny również dokonać oceny ryzyka zastosowania aplikacji.
Co istotne, zgodnie z zaleceniami, aplikacje mają być dostępne nie tylko na najnowszych systemach operacyjnych, ale również na starszych. Brak smartphona, brak umiejętności poprawnego posługiwania się aplikacją (co może stanowić problem zwłaszcza dla osób w podeszłym wieku oraz małych dzieci), czy niepełnosprawności, takie jak wada wzroku mogą prowadzić do wykluczenia pewnych grup od możliwości korzystania z aplikacji. Aby temu zaradzić zaproponowano wprowadzenie np. urządzeń do noszenia, które nie wymagałyby do działania smartfona i byłyby kompatybilne z systemem aplikacji (co kojarzy się jednak nieco z dozorem elektronicznym stosowanym w prawie karnym). Jest to o tyle niebezpieczne, że osoba, która nie jest w stanie obsłużyć aplikacji może nie być też w stanie zrozumieć zasad przetwarzania jej danych ani nie zdawać sobie sprawy ze związanych z tym zagrożeń. Ponadto aplikacje muszą być przyjazne użytkownikom i proste w obsłudze, aby w jak największym stopniu wyeliminować błędy w ich użytkowaniu. Co ciekawe pomyślano nawet o konieczności zapewnienia używania przez aplikację jak najmniejszej ilości energii, aby zapewnić jak najdłuższy czas pracy urządzenia na baterii. Wymagania te są uzasadniane bezpośrednim przekładaniem się ilości użytkowników na skuteczność aplikacji. Zgodnie bowiem z badaniami przeprowadzonymi przez Uniwersytet Oxfordzki, aby aplikacja była skuteczna musi z niej korzystać co najmniej 60% obywateli.
Do końca kwietnia Komisja wraz z państwami członkowskimi planuje pozyskanie wyjaśnień, w odniesieniu do propozycji protokołu opracowywanego przez Google i Apple (o ich inicjatywie więcej można przeczytać w poprzednim artykule z cyklu RODOtechnika). Celem tych poszukiwań ma być stwierdzenie zgodności ich działań z Unijnym podejściem do przetwarzania danych.
Wśród zaleceń znajdziemy również takie jak:
-
ograniczenie możliwości potwierdzenia zakażenia i uruchomienia ostrzeżenia tylko do upoważnionych organów (np. organów zajmujących się zdrowiem publicznym czy laboratoriów),
-
informowanie użytkowników niezwłocznie po wykonaniu testu z wynikiem pozytywnym o zagrożeniu zarażeniem,
-
nieudostępniania danych osobowych osoby zarażonej innym użytkownikom.
Jednoznacznie stwierdzono też, że dane dotyczące lokalizacji nie powinny być przetwarzane przez aplikacje, ponieważ ich celem nie jest śledzenie poruszania się użytkowników ani egzekwowanie nakazów. Przetwarzanie danych o położeniu użytkowania stanowiłoby więc naruszenie zasady minimalizacji danych.
W dokumencie zaproponowano dwa rozwiązania w celu zapewnienia minimalizacji przetwarzanych danych. Zgodnie z pierwszym z nich dane dotyczące bliskości kontaktu z innymi urządzeniami zapisywane byłyby tylko na urządzeniu użytkownika. Dane te obejmowałyby jedynie identyfikatory urządzenia, a organy zajmujące się zdrowiem publicznym nie otrzymywałyby zanonimizowanych danych pochodzących z aplikacji. Drugie rozwiązanie bazowałyby na serwerach, na których przechowywane byłyby identyfikatory urządzenia (miałyby to być jedyne dane, które by na nie trafiały). W tym wypadku organy do spraw zdrowia publicznego miałyby możliwość korzystania ze zanonimizowanych danych. Niezależnie od przyjętego rozwiązania wskazuje się, że podanie przez użytkownika numeru telefonu powinno być dobrowolne, zgodnie z zasadą minimalizacji danych. Główny system informowania użytkowników miąłby więc opierać się o system powiadamiania przez aplikację, za pomocą automatycznych alertów.
Stanowisko Europejskiej Rady Ochrony Danych (EROD)
Dnia 14 kwietnia odbyło się 21. posiedzenie plenarne Europejskiej Rady Ochrony Danych (EROD), podczas którego przyjęto pismo dotyczące opisanych powyżej wskazówek Państw Członkowskich i Komisji Europejskiej. EROD poprała wniosek dotyczący dobrowolnego zastosowanie aplikacji, których wykorzystywanie powinno być dokonywane przez osoby fizyczne jako „dowód zbiorowej odpowiedzialności”. Wprowadzenie danej aplikacji powinno, zdaniem EROD, być konsultowane z organem ochrony danych, aby dane osobowe były przetwarzane „zgodnie z prawem, z poszanowaniem praw osób fizycznych i zgodnie z prawem ochrony danych”.
Rada odniosła się do podstaw przetwarzania danych, stając na stanowisku, że zgoda użytkownika aplikacji nie jest konieczna do przetwarzania za jej pomocą danych osobowych tej osoby. Podstawą może być również niezbędność wykonania zadania w interesie publicznym. Jako przykład takiej sytuacji podano wydanie mandatu na podstawie obowiązujących przepisów. Podstawę prawną mogą stanowić również przepisy krajowe, promujące dobrowolne korzystanie z aplikacji i nieprzewidujące negatywnych konsekwencji dla osób z nich niekorzystających. Przepisy te nie mogą zmuszać obywateli do korzystania z aplikacji. Użytkownik powinien mieć możliwość rezygnacji z korzystania z aplikacji w dowolnej chwili, jak i w dowolnej chwili móc rozpocząć korzystanie.
Zachęcono również do promowania narzędzi na poziomie krajowym tak, aby podnieść świadomość obywateli, w tym w szczególności nieletnich, niepełnosprawnych oraz osób mniej wykształconych lub wykwalifikowanych, podkreślając istotę odpowiedniego korzystania z narzędzi. Nieprawidłowe ich użytkowanie może bowiem prowadzić do niespełniania przez nie swoich funkcji.
EROD zgodziła się, że aplikacje służące do śledzenia kontaktów nie wymagają śledzenia lokalizacji użytkowników. Ich celem nie jest bowiem śledzenie poruszania się osób lub egzekwowanie nakazów, tylko wykrywanie kontaktu z osobami, u których stwierdzono wirusa. Wskazano również, że zbieranie danych o przemieszczaniu się użytkownika tworzyłoby zagrożenie dla bezpieczeństwa i prywatności.
Wśród wskazówek dotyczących działania aplikacji wskazano między innymi, że zadanie polegające na udzielaniu informacji użytkownikom nie powinno być w pełni zautomatyzowane. Zasugerowano zastosowanie mechanizmu umożliwienia użytkownikowi kontaktu z odpowiednim organem. Miałby on polegać na podaniu użytkownikowi numeru telefonu, pod którym mógłby uzyskać dodatkowe informacje od osoby do tego wyznaczonej. Podczas ich udzielania nie mogłyby być podawane jakiekolwiek dane osobowe dotyczące innych osób. Informacje te nie powinny być również dostępne w ramach korzystania z aplikacji.
Podsumowanie
Ocenę, czy aplikacja opierająca się o takie standardy wzbudza zaufanie pozostawiam czytelnikom. Niniejsza publikacja ma na celu jedynie naświetlenie katalogu zagadnień wymagających uwzględnienia przy jej wprowadzaniu i użytkowaniu. Zgodnie z omówionymi dokumentami już niebawem możemy się spodziewać kolejnych wskazówek odnośnie kwestii związanych z tworzeniem aplikacji. W najbliższych dniach mają się również pojawić wytyczne w sprawie geolokalizacji i innych narzędzi śledzenia oraz wskazówki dotyczące naukowych i pracy zdalnej. Zapraszam do śledzenia naszego bloga, na którym prezentujemy Państwu najistotniejsze, aktualne informacje, nie tylko o teorii ochrony danych osobowych, ale również o tym, co dzieje się w praktyce.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.