Ochrona danych w czasach koronaawirusa: nie pytanie czy, ale jak

This page has been translated automatically. Read the original or leave us a message if something is not right.
czw., 04/09/2020 - 13:47
person on computer, corona virus in the background

W ostatnich dniach nasiliły się dyskusje na temat wykorzystania danych do zwalczania pandemii korony

Dlatego też napisaliśmy dokument ad hoc v0.3 (PDF, w języku angielskim) dotyczący zgodności z PKBR i chcielibyśmy skorzystać z tej okazji, aby przedstawić wstępny przegląd tych projektów.

Przegląd różnych środków i projektów

Dużo się mówi o różnych działaniach koronacyjnych i projektach, które mają na celu powstrzymanie rozprzestrzeniania się wirusa za pomocą danych Należą do nich, na przykład:

  • Portale informacyjne (takie jak informacje do autodiagnozy lub mapy obszarów ryzyka),
  • anonimowej analizy danych (zwłaszcza z sieci telefonii komórkowej),
  • aplikacje, które próbują rejestrować możliwe sytuacje infekcji (śledzenie kontaktów),
  • aplikacje do kontroli środków w zakresie kwarantanny
  • próby śledzenia osób zainfekowanych za pomocą różnych danych, takich jak śledzenie telefonu komórkowego lub korzystanie z danych kart kredytowych.

W artykuł na stronie GDPRhub.eu, noyb opracowała pierwszy przegląd konkretnych aplikacji i projektów w Europie i poza nią, aby rzucić nieco światła również na tę kwestię.

Zdecydowana większość tych podejść jest daleka od problematycznych form masowego nadzoru lub "chińskiego podejścia"

PKBR pozwala na wykorzystanie danych w przypadku epidemii - pytanie nie brzmi czy, ale jak.

W przeciwieństwie do wielu wstępnych sprawozdań, nie ma ogólnego konfliktu między ochroną danych (zwłaszcza PKBR) a wykorzystaniem danych osobowych w walce z epidemią. Stwierdzenia, że należy "zrezygnować" z ochrony danych, wydają się być oparte na fałszywym rozumieniu prawa.

Max Schrems, honorowy prezes Noyb: "PKBR wyraźnie przewiduje przetwarzanie danych w walce z epidemiami. W związku z tym nie można "uchylić" przepisów dotyczących ochrony danych, ale po prostu przestrzegane.”

Artykuł 6 ust. 1 lit. d) i art. 9 ust. 2 lit. i) PKBR zezwala, zgodnie z motywami PKBR, na przetwarzanie danych na przykład w celu zwalczania "transgranicznych zagrożeń zdrowia" lub w celu zwalczania "epidemii"

Jednakże PKBR zawiera również przepisy ograniczające do minimum ingerencję w nasze prawa podstawowe, nawet w walkę z koronaawirusem

Max Schrems: "Prawo przewiduje wykorzystanie danych w walce z koroną, ale tylko w rozsądny sposób. Prawo ogranicza wykorzystanie danych do tego, co jest absolutnie konieczne. Wraz z koncepcjami takimi jak "Prywatność w fazie projektowania" możliwe jest opracowanie prawnie uzasadnionych aplikacji i systemów, które pomogą w walce z tą epidemią. Nie chodzi więc o to, czy możliwe jest wykorzystanie danych osobowych, ale o to, jak to zrobić właściwie"

Jest wiele miejsca pomiędzy nadmiernym masowym nadzorem a zbieraniem i specyficznym przetwarzaniem pewnych ważnych informacji. Korzystanie z danych może, z punktu widzenia praw podstawowych, stanowić również "mniej uciążliwą drogę" w porównaniu z obecnymi ograniczeniami swobody przemieszczania się lub swobody prowadzenia działalności gospodarczej.

Schrems: "Przydatne mogą być dobrowolne aplikacje oparte, na przykład, na lokalnie przechowywanych i zaszyfrowanych samośledzeniach. Jeśli takie dane zostaną odszyfrowane tylko w przypadku pozytywnego wyniku testu koronnego, systemy takie mogą w sposób weryfikowalny chronić prywatność użytkowników. Takie podejście przypomina raczej noszenie prywatnego nadajnika lawinowego - w przeciwieństwie do scentralizowanego rządowego systemu nadzoru.

Aby wesprzeć projekty w zakresie wdrażania rozwiązań zgodnych z zasadami ochrony danych, firma Noyb opublikowała dokument ad hoc dotyczący aplikacji do ustalania kontaktów zakaźnych.

Zaufanie jest niezbędne dla powodzenia takich systemów

Ludzie muszą być w stanie zaufać technologii w walce z koronaawirusem, tak aby wystarczająco dużo ludzi wzięło w niej udział. Można to osiągnąć za pomocą takich środków, jak dobre szyfrowanie danych, przechowywanie danych w telefonach użytkowników oraz publikacja kodu źródłowego ("open source").

Schrems: "Te projekty działają tylko wtedy, gdy uczestniczy w nich duża część społeczeństwa. W tym celu potrzebujemy systemów, które pozwalają użytkownikom kontrolować ich dane. Kod źródłowy musi być możliwy do przeglądania. Jeśli jest to zrobione poprawnie, takie systemy mogą być zdecydowanie zalecane"

Realistyczne spojrzenie na możliwości techniczne

To, co obecnie zaskakuje w niektórych stwierdzeniach, to niezachwiana wiara w technologię. Bardziej złożone aplikacje, takie jak "śledzenie kontaktów" po zakażeniu, nie są możliwe do zrealizowania bez bardzo konkretnych danych. Sugestie, takie jak obliczenie ryzyka infekcji między dwoma osobami korzystającymi z danych z sieci komórkowej, są bardziej życzeniowe niż możliwa rzeczywistość techniczna.

Horst Kapfenberger, informatyk w Noyb: "Ze względu na ich nieścisłość, dane dotyczące lokalizacji przez operatorów telefonii komórkowej są absolutnie nieprzydatne, na przykład do określenia możliwych infekcji koronaawirusem. Nie możemy budować sensownych modeli z niedokładnymi, surowymi danymi".

Ponadto, nadal istnieją wątpliwości co do rozprzestrzeniania się wirusa koronowego. Często dostępne są bardzo różne i niejasne informacje na temat sposobów i harmonogramu rozprzestrzeniania się wirusa. Im bardziej niejasne są parametry związane z rozprzestrzenianiem się wirusa, tym mniej konkretne kontakty ryzyka można obliczyć za pomocą rozwiązań technicznych.

Istnieje niebezpieczeństwo utraty użytkowników w lawinie nieistotnych ostrzeżeń i informacji ("przeciążenie informacyjne"). Dlatego ważne jest, aby zebrać odpowiednie dane o odpowiedniej jakości, aby rzeczywiście osiągnąć cele projektu.

Max Schrems: "Systemy te nie mają na celu zgadywania, jakimi reklamami możemy być zainteresowani, ale zapewnienie zdrowia ludności. Dlatego potrzebujemy konkretnych, dokładnych i prawidłowych informacji. Do sporządzenia statystyk wystarczają często dane przybliżone i anonimowe. Do prób rejestrowania łańcuchów infekcji potrzebne są jednak bardzo dokładne dane - które mogą być przechowywane lokalnie i szyfrowane w siedzibie użytkownika"