GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Czy aplikacja „kwarantanna domowa” jest zgodna z RODO?

Czy aplikacja „kwarantanna domowa” jest zgodna z RODO?

Od 1 kwietnia 2020 r. obowiązkowe jest stosowanie aplikacji Ministerstwa Cyfryzacji przez osoby przebywające na kwarantannie. Zwróciliśmy się do Resortu z pytaniem, czy została ona sprawdzona pod kątem ochrony danych osobowych.

Obowiązkowa aplikacja

Obowiązek używania aplikacji wynika z przepisów znowelizowanej ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Zgodnie z tą regulacją, osoba podlegająca obowiązkowej kwarantannie w związku z podejrzeniem zakażenia wirusem instaluje na swoim urządzeniu mobilnym specjalne oprogramowanie służące do potwierdzania realizacji obowiązku przestrzegania kwarantanny. Nie dotyczy to osoby z dysfunkcją wzroku (niewidzącej lub niedowidzącej), osoby, która złożyła oświadczenie, że nie jest abonentem lub użytkownikiem sieci telekomunikacyjnej lub nie posiada urządzenia mobilnego umożliwiającego zainstalowanie aplikacji.

Jak to działa?

Z informacji podanych na www.gov.pl wynika, że osoba obejmowana obowiązkową kwarantanną, np. przy przekraczaniu granicy, wypełnia formularz lokalizacyjny. Deklaruje w nim miejsce odbywania kwarantanny i podaje swój numer telefonu. Dane trafiają do systemu, a później do aplikacji. W tym momencie (po dotarciu danych do systemu) wysyłany jest SMS z informacją o obowiązku zainstalowania i korzystania z aplikacji Kwarantanna domowa.

Aktywacja aplikacji następuje po przybyciu na miejsce odbywania kwarantanny. Indywidualne konto zostaje następnie zweryfikowane przez wprowadzenie kodu, który z znajduje się w wiadomości SMS. Po aktywacji aplikacji użytkownik otrzymuje polecenie zrobienia sobie zdjęcia („selfie”). Jest to tzw. zdjęcie referencyjne – to do niego system będzie porównywał każdą kolejną fotografię. Od tego momentu regularnie nadsyłane będą prośby o zrobienie i przesłanie zdjęcia – każdego dnia po kilka, przy czym  SMS-y będą przychodzić o różnych porach.

W aplikacji wykorzystywana jest geolokalizacja oraz system porównywania twarzy. Na wykonanie zdjęcia użytkownik ma 20 minut. Niewykonanie zadania w tym czasie, to znak dla służb, by sprawdziły, czy nie są łamane zasady odbywania kwarantanny.

Privacy by design i privacy by default

Warto spojrzeć na tę aplikację pod kątem ochrony danych osobowych użytkowników aplikacji.  Zgodnie z wyrażoną w art. 25 RODO zasadą uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych, administrator, który zamierza przetwarzać dane osobowe powinien:

  1. zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –zapewnić odpowiednie środki ochrony danych i chronić prawa osób, których dane dotyczą. Uwzględnia przy tym stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych;
  2. domyślnie przetwarzać wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

Aplikacja  Ministerstwa Cyfryzacji

Wydział Komunikacji Resortu wskazał, iż „aplikacja projektowana była tak, by zbierać wyłącznie niezbędne dane – wykorzystywane w celu weryfikacji lokalizacji obywatela. Odbywa się to poprzez sprawdzenie położenia w momencie uruchomienia przez obywatela aplikacji (i wykonywania zadania) oraz poprzez sprawdzenie metadanych przekazanego przez obywatela zdjęcia”.

Z kwestii technicznych warto podkreślić, iż dane zbierane przez aplikację przetwarzane są w środowisku chmury obliczeniowej Microsoft Azure. Ponadto, Ministerstwo Cyfryzacji w ramach Government Security Program dysponuje pełnym dostępem do informacji dotyczących bezpieczeństwa środowiska i usług Microsoft Azure. Dane przechowywane są jako nieustrukturyzowany zbiór. Baza nie zawiera numeru PESEL i numeru dowodu osobistego. Znajdują się w niej imię i nazwisko obywatela, które używane są w procesie weryfikacji poprawności danych. Dane są usuwane z chmury po odbyciu kwarantanny.

Aplikację Kwarantanna Domowa  poddano procedurze privacy by design oraz privacy by default w wariancie fakultatywnym i obowiązkowym, a procedury te zostały skonsultowane z resortowym Inspektorem Ochrony Danych. Z uwagi na bezpieczeństwo użytkowników aplikacji i obawę o skuteczność zastosowanych zabezpieczeń Ministerstwo nie udostępnia informacji o wynikach w/w procedur.

W prasie pojawiły się co prawda pewne wątpliwości związane z działaniem aplikacji np. fakt, że o wpisanie kodu proszone były tylko osoby, których numery telefonu znajdowały się w bazie systemu, a więc poddane kwarantannie. Można zatem wpisać numery telefonu innych osób i każdorazowo sprawdzać, czy objęte są tym obowiązkiem, co budzi uzasadnione obawy o ich prywatność.