STOPCOVID: vastuolulise rakenduse teekond

STOPCOVID: vastuolulise rakenduse teekondEi möödu päevagi ilma, et nii Prantsusmaal kui ka mujal ei käsitletaks elanikkonna "karantiinist vabastamise" küsimust seoses viiruse ja selle levitajate jälgimisega.

Hiljutistes arengutes mainitakse nakatunud inimeste jälgimiseks faili loomist, mille üksikasjad esitatakse CNIL-ile läbivaatamiseks.

Meedia teatas ka GAFAMi ja valitsuse vahelisest patiseisust kõige vooruslikuma "stopCovid" rakenduse rakendamiseks.

Kuigi parlamendi arutelud selle taotluse üle on praegu peatatud, kas meil on selge nägemus sellise digitaalse jälgimise probleemidest ja mõjudest?

Kas see on riikliku suveräänsuse küsimus, andmekontrolli küsimus või, proosalisemalt öeldes, „lihtsad” tehnilised valikud?

See küsimus on oluline, sest see ei puuduta ainult Prantsusmaad, vaid enamikku Euroopa riike ja teisi pandeemiaga toimetulekuks püüdvaid osariike.

Protokollid ja nende mõju andmetöötlusele

PEPP-PT (privaatsust säilitav lähedusjälgimine) projekt oli algselt mõeldud selleks, et võimaldada rakenduste arendamist Euroopas ühtlustatud alusel ja seadustega kooskõlas.

Eesmärk on teavitada inimest, et ta on olnud kontaktis nakatunud inimesega, kasutades selleks nutitelefoni Bluetooth-tehnoloogiat, ilma teda geograafiliselt asaskohata.

Kuigi PEPP-PT näis esialgu toetust leidvat, distantseerisid sajad teadlased end sellest ja võtsid avalikus kirjas seisukoha detsentraliseeritud lähenemisviisil, näiteks DP-3T-l (detsentraliseeritud privaatsust säilitav läheduse jälgimine), põhineva protokolli poolt, nii et andmeid hoitakse lokaalselt: see pakuks paremaid tagatisi andmeturbe ja kolmandate isikute poolt andmete omastamise või muul otstarbel kasutamise ohtude osas.

Pidagem meeles, et andmete lokaalne säilitamine on proportsionaalsuse ja privaatsuse sisseprojekteerimise põhimõte, mida on rakendatud ka teistes kontekstides, näiteks biomeetriliste andmete töötlemisel.

CNIL-il on selles küsimuses selge seisukoht, mida võib leida eelkõige selle teatisest biomeetriliste andmete kasutamise kohta nutitelefonides või töökohal. 

Google'i ja Apple'i rakendatud tööriistad töötati välja (eelkõige) DP-3T protokollis soovitatud kohaliku salvestusruumi perspektiivi abil, et vältida kasutajate sülearvutite andmete liigset pealetükkivat kasutamist.

Probleem seisneb selles, et Prantsusmaa (ja esialgu Saksamaa, kes on sellest ajast peale meelt muutnud) arendab Roberti protokollil põhineva rakenduse (ROBust ja privaatsust säilitava lähedusjälgimise jaoks), mis ei saa Apple'i ja Google'i pakutud funktsioonide alusel töötada, kuna Bluetoothi ja andmete tsentraliseerimise osas on erinõuded (üksikasjad on siin selgelt lahti seletatud).

See iseenesest ei tähenda, et Prantsuse taotlus rikub andmekaitse põhimõtteid: tagatised (eriti pseudonümiseerimise osas) on esitatud ja CNIL on küll esitanud mõned tähelepanekud, kuid andnud soodsa arvamuse.

Aga kui Prantsusmaa rakendab ettevaatusabinõusid, siis kui paljud teised enam-vähem demokraatlikud riigid kasutaksid ära Apple'i ja Google'i pakutavaid "à la carte" funktsioone, et oma elanikkonna üle palju pealetükkivamat jälgimist teostada?

See selgitab – osaliselt – veebihiiglaste vastumeelsust ja praegust ummikseisu olukorras.

Euroopa Ülemkogu eesistujariik on selle punkti lisanud oma 5. mai kohtumise päevakorda, mille käigus püüavad ELi telekommunikatsiooniministrid leida ühise lähenemisviisi.

Õiguslik raamistik

Lisaks neile tehnilistele aspektidele tekitab kontaktandmete haldamine seda tüüpi rakenduse kaudu tavapäraseid õiguslikke probleeme: täpsustame kohe alguses, et andmed ei ole anonüümsed, vaid pseudonüümsed, mis viib isikuandmete kaitse üldmääruse ja telekommunikatsiooniandmete kaitse põhimõtete kohaldamiseni.

Lisaks rakenduse vabatahtlikule kasutamisele saab valitsus seda tüüpi tundlikke andmeid töödelda ainult siis, kui tal on selleks konkreetne õiguslik alus.

Lisaks tuleb tagada töötlemise läbipaistvus, andmed peavad olema kaitstud ja nende kustutamine tuleb planeerida rangete tähtaegade piires.

Olgu selleks siis CNIL, EDPB (Euroopa CNIL-ide grupp), Euroopa andmekaitseinspektor (EDPS) 27. aprillil Senatis toimunud kuulamisel või Euroopa Nõukogu, juhivad järelevalveasutused tähelepanu sellele, et ükski süsteem, olgu see siis tsentraliseeritud või detsentraliseeritud süsteem, ei saa täielikult vältida haavatavusi ja taasidentifitseerimise riske.

Nad nõustuvad rakenduste kavandamisel ja kasutamisel võetavate ettevaatusabinõudega, kuid rõhutavad ennekõike seda tüüpi tööriista mittetriviaalset olemust, viidates hädaolukordade pikendamise ja elanikkonna varjatud jälgimisega harjumise ohule. 

Samas vaimus võime tuua näiteid tudengitest, kes peavad tänapäeval harjuma sellega, et õpetaja teeb distantsilt eksami sooritades nende terminalist regulaarselt ekraanipilte ning kes võivad seda tüüpi sissetungi teistes kontekstides lõpuks normaalseks pidada.

Seega on eelkõige küsimus selles, et ei tohiks kõrvale hiilida põhimõttelisest küsimusest, milleks on meetme vajalikkus, selle mõju ja proportsionaalsus seoses tagajärgedega üksikisikute põhiõigustele.

Ja ka:

• Prantsusmaal:

Lisaks märkimisväärsele hulgale pandeemia ohjamisega seotud praktilised lehed teadusuuringute, töösuhete ja üksikisikute jälgimise kontekstis käivitas CNIL äsja avalik konsultatsioon alaealiste õiguste kohta digikeskkonnas. See on avatud kuni 1. juunini 2020.

• Euroopa ja rahvusvaheline:

Euroopa Andmekaitsenõukogu (EDPB)) võttis vastu mitu dokumenti, mille eesmärk on suunata avaliku sektori asutusi ja ettevõtteid andmehalduse kontekstis pandeemia kontekstis: see keskendus eelkõige meditsiiniuuringute eesmärgil andmete töötlemise tingimustele, nende andmete rahvusvahelisele edastamisele ning jälgimisele ja asukoha määramisele mobiilterminalide kaudu.

Rahvusvahelisel tasandil on kõigi ametiasutuste dokumendid kättesaadavad Global Privacy Assembly veebisaidil.

BEUC (Euroopa Tarbijate Organisatsioon) teatas 21. aprillil ühismeetmest enam kui 40 tarbijaõiguste ja -vabaduste organisatsiooniga seoses reklaamtehnoloogia tööstuse laialdase jälitustegevuse ja digitaalse jälgimisega.

Belgia Andmekaitseasutus on kehtestanud 50 000 euro suurune trahv andmekaitseametniku sõltumatuse põhimõtte rikkumise eest Vaidluste koda leidis seega, et selle funktsiooni akumuleerimine riski-, auditi- ja vastavusosakonna direktori ülesannetega kujutab endast huvide konflikti.

Holland: Hollandi järelevalveasutus määras aprilli lõpus oma suurima trahvi summas 725 000 €, ettevõtte vastu, mis töötles oma töötajate sõrmejälgede võtmine ilma tegeliku põhjenduseta turvalisuse mõttes.

Anne Christine Lacoste

Andmeõigusele spetsialiseerunud juristina oli ta Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles isikuandmete kaitse üldmääruse (GDPR) rakendamisega Euroopa Liidus.

Kaugtöö laiendamise osana on amet läbi viinud ka peamiste videokonverentsisüsteemide väga detailse võrdluse andmekaitse osas. Veebis on saadaval ainult hollandikeelne versioon, mistõttu lisame mitteametliku ingliskeelse tõlke täismahus (tänud Christopher Schmidtile). Sellele nimekirjale peaksime lisama ka Tixeo lahenduse, mida CNIL mainib oma videokonverentsi soovitustes ja mille on sertifitseerinud ANSSI.