Pandemia koronawirusa SARS-CoV-2 nie zwalnia. Państwo wprowadza kolejne ograniczenia oraz rozwiązania mające na celu walkę z rozprzestrzenianiem się tej choroby. Jednym z nich jest – dostarczana przez Ministerstwo Cyfryzacji – aplikacja Kwarantanna domowa. Zdaniem ministerstwa, ma ona służyć ułatwieniu i usprawnieniu przeprowadzeniu obowiązkowej kwarantanny domowej. W regulaminie funkcjonowania aplikacji wskazane jest, że korzystanie z niej jest dobrowolne. Sytuacja może jednak ulec zmianie w związku z projektem modyfikacji przepisów w tym zakresie.
Projekt nowelizacji
Aktualnie procedowana nowelizacja ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych, przewiduje wprowadzenie obowiązku dla osób objętych obowiązkową kwarantanną domową zainstalowania na urządzeniu mobilnym oprogramowania służącego do potwierdzania realizacji obowiązku przestrzegania kwarantanny. Z tego obowiązku zwolnione są jedynie osoby z dysfunkcją wzroku oraz te, które złożą stosowne oświadczenie – pod rygorem odpowiedzialności karnej – że nie są abonentem lub użytkownikiem sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania.
Szeroki zakres danych
Zgodnie z regulaminem funkcjonowania aplikacji Kwarantanna domowa (regulamin dostępny TUTAJ: https://www.gov.pl/web/koronawirus/kwarantanna-domowa), za jej pośrednictwem przetwarzane są dane osobowe użytkownika w zakresie jego imienia, nazwiska, numeru telefonu, deklarowanego adresu pobytu, lokalizacji, czy też dnia końca obowiązywania kwarantanny domowej. Co ciekawe, użytkownik zobowiązany jest także, do udostępniania za pośrednictwem aplikacji swojego wizerunku, co służyć ma potwierdzeniu przebywania w określonym miejscu. Regulamin aplikacji zobowiązuje również użytkownika do niezwłocznego poinformowania – za jej pośrednictwem – o wystąpieniu u niego objawów zakażenia SARS-CoV-2.
Dane zgromadzone za pośrednictwem aplikacji mogą być – zgodnie z regulaminem – udostępniane na rzecz licznych podmiotów. Wśród nich znajdują się Komenda Główna Policji, wojewodowie, Centrum Systemów Informacyjnych Ochrony Zdrowia, ale także inne podmioty, jak np. spółka Take Task S.A.
Ustawodawca uzasadnia nałożenie na określone osoby obowiązku korzystania z aplikacji szeroko pojętym interesem publicznym związanym z walką z rozprzestrzenianiem się wirusa SARS-CoV-2. Mając na względzie zakres danych osobowych przetwarzanych za pośrednictwem tego oprogramowania (również dane szczególnej kategorii), liczny katalog podmiotów, które mogą być odbiorcami danych, jak również szybkość prac nad wdrożeniem nowych rozwiązań informatycznych, wydaje się, że wprowadzenie obowiązku korzystania z aplikacji Kwarantanna domowa może budzić obawy użytkowników w kontekście ochrony ich danych osobowych.
Privacy by design i privacy by default (?)
W myśl art. 25 RODO administrator zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdrożyć musi odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą. Pod uwagę wziąć musi stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Domyślnie przetwarzane powinny być też wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.
Powstaje pytanie, czy przeprowadzono takie szczegółowe analizy, dokonano precyzyjnego szacunku ryzyka i wdrożono stosowne środki mające chronić prawa i wolności użytkowników aplikacji, związane z przetwarzaniem ich danych osobowych w aplikacji.
