STOPCOVID: Pretrunīgi vērtētas lietotnes ceļojums

STOPCOVID: Pretrunīgi vērtētas lietotnes ceļojumsNav nevienas dienas, kad gan Francijā, gan citviet netiktu risināts jautājums par iedzīvotāju "atkārtotu izolāciju" saistībā ar vīrusa un tā pārnēsātāju izsekošanu.

Jaunākās norises piemin inficēto cilvēku izsekošanas faila izveidi, kura informācija tiek iesniegta CNIL pārskatīšanai.

Mediji arī ziņoja par strupceļu starp GAFAM un valdību, lai ieviestu visefektīvāko lietotni "stopCovid".

Kamēr parlamenta debates par šo pieteikumu pašlaik ir apturētas, vai mēs varam gūt skaidru priekšstatu par šādas digitālās uzraudzības problēmām un ietekmi?

Vai tas ir jautājums par nacionālo suverenitāti, jautājums par datu kontroli vai, prozaiskāk sakot, “vienkāršas” tehniskas izvēles?

Šis jautājums ir svarīgs, jo tas attiecas ne tikai uz Franciju, bet arī uz lielāko daļu Eiropas valstu un citām valstīm, kas cenšas pārvaldīt pandēmiju.

Protokoli un to ietekme uz datu apstrādi

PEPP-PT (Privātuma saglabāšanas tuvuma izsekošanas) projekts sākotnēji bija paredzēts, lai nodrošinātu lietojumprogrammu izstrādi Eiropā saskaņotā veidā, ievērojot likumus.

Mērķis ir informēt personu, ka tā ir bijusi kontaktā ar inficētu personu, pamatojoties uz viedtālruņa Bluetooth tehnoloģiju un nenosakot tās ģeolokāciju.

Lai gan sākotnēji šķita, ka PEPP-PT guva atbalstu, vairāki simti zinātnieku no tā distancējās un atklātā vēstulē pauda atbalstu protokolam, kas balstīts uz decentralizētu pieeju, piemēram, DP-3T (decentralizēta privātuma saglabāšanas tuvuma izsekošana), lai dati paliktu glabāti lokāli: tas sniegtu labākas garantijas datu drošības ziņā un attiecībā uz datu piesavināšanās riskiem no trešo personu puses vai to izmantošanu citiem mērķiem.

Atcerēsimies, ka datu saglabāšana lokāli ir proporcionalitātes un integrētas privātuma princips, kas tiek izvirzīts arī citos kontekstos, piemēram, biometrisko datu apstrādē.

CNIL ir skaidra nostāja šajā jautājumā, kas jo īpaši ir atrodama tās paziņojumā par biometrisko datu izmantošanu viedtālruņos vai darba vietā. 

Google un Apple ieviestie rīki tika izstrādāti (jo īpaši) ar šo lokālās krātuves perspektīvu, kas ieteikta DP-3T protokolā, lai novērstu pārāk uzmācīgu datu izmantošanu no lietotāju klēpjdatoriem.

Problēma rodas, kad Francija (un sākotnēji Vācija, kas kopš tā laika ir mainījusi savas domas) izstrādā lietojumprogrammu, kuras pamatā ir Roberta protokols (ROBust un privātuma saglabāšanas tuvuma izsekošanai), kas nevar darboties, pamatojoties uz Apple un Google piedāvātajām funkcijām, ar īpašām prasībām attiecībā uz Bluetooth un datu centralizāciju (sīkāka informācija ir skaidri izskaidrota šeit).

Tas pats par sevi nenozīmē, ka Francijas pieteikums pārkāpj datu aizsardzības principus: ir sniegtas garantijas (īpaši pseidonimizācijas ziņā), un CNIL, lai gan sniedza dažus novērojumus, ir sniegusi labvēlīgu atzinumu.

Bet, ja Francija veic piesardzības pasākumus, cik daudzas citas vairāk vai mazāk demokrātiskas valstis izmantotu Apple un Google piedāvātās "à la carte" funkcijas, lai veiktu daudz uzmācīgāku savu iedzīvotāju uzraudzību?

Tas daļēji izskaidro tīmekļa gigantu nevēlēšanos un pašreizējo strupceļu situācijā.

Eiropadomes prezidentūra ir iekļāvusi šo punktu savas 5. maija sanāksmes darba kārtībā, kuras laikā ES telekomunikāciju ministri centīsies pieņemt kopīgu pieeju.

Tiesiskais regulējums

Papildus šiem tehniskajiem aspektiem kontaktinformācijas pārvaldība, izmantojot šāda veida lietojumprogrammu, rada kopīgas problēmas saistībā ar likumu: jau pašā sākumā precizēsim, ka dati nav anonīmi, bet gan pseidonimizēti, kas noved pie GDPR un telekomunikāciju datu aizsardzības principu piemērošanas.

Papildus lietojumprogrammas lietošanas brīvprātīgajam raksturam valdība var apstrādāt šāda veida sensitīvos datus tikai tad, ja to atļauj konkrēts juridiskais pamats.

Turklāt ir jānodrošina apstrādes pārredzamība, dati ir jāaizsargā un to dzēšana jāplāno stingros termiņos.

Neatkarīgi no tā, vai tā ir CNIL, EDPB (Eiropas "CNIL" grupa), Eiropas Datu aizsardzības uzraudzītājs (EDPS) savā uzklausīšanā Senātā 27. aprīlī vai Eiropas Padome, uzraudzības iestādes norāda, ka neviena sistēma nevar pilnībā izvairīties no ievainojamībām un atkārtotas identifikācijas riskiem, neatkarīgi no tā, vai tā ir centralizēta vai decentralizēta sistēma.

Viņi piekrīt piesardzības pasākumiem, kas jāveic lietojumprogrammu izstrādē un lietošanā, taču pirmām kārtām uzsver šāda veida rīku nebūtisko raksturu, minot ārkārtas situāciju paildzināšanas un iedzīvotāju pieradināšanas pie latentās novērošanas risku. 

Līdzīgi varam minēt studentus, kuriem mūsdienās, kārtojot attālināto eksāmenu, ir jāpierod pie regulāriem skolotāja uzņemtiem viņu termināļa ekrānuzņēmumiem un kuri citos kontekstos galu galā varētu uzskatīt šāda veida iejaukšanos par normālu.

Tāpēc galvenokārt ir jāizvairās no pamatjautājuma par pasākuma nepieciešamību, tā ietekmi un samērīgumu, ņemot vērā sekas uz indivīdu pamattiesībām.

Un arī:

• Francijā:

Papildus ievērojamam skaitam praktiskās lapas par pandēmijas pārvaldību zinātniskās pētniecības, darba attiecību un personu izsekošanas kontekstā CNIL tikko ir uzsācis Sabiedriskā apspriešana par nepilngadīgo tiesībām digitālajā vidē. Tas ir atvērts līdz 2020. gada 1. jūnijam.

• Eiropa un starptautiskā mērogā:

Eiropas Datu aizsardzības kolēģija (EDAK)) pieņēma vairākus dokumentus, kuru mērķis ir sniegt norādījumus valsts iestādēm un uzņēmumiem datu pārvaldības kontekstā pandēmijas kontekstā: tajā īpaša uzmanība tika pievērsta datu apstrādes nosacījumiem medicīnisko pētījumu nolūkos, šo datu starptautiskai pārsūtīšanai, kā arī izsekošanai un lokalizācijai, izmantojot mobilos termināļus.

Starptautiskā līmenī visu iestāžu dokumenti ir pieejami Globālās privātuma asamblejas tīmekļa vietnē.

BEUC (Eiropas Patērētāju organizācija) 21. aprīlī paziņoja par kopīgu rīcību ar vairāk nekā 40 patērētāju tiesību un brīvību organizācijām attiecībā uz plaši izplatīto reklāmu tehnoloģiju nozares uzraudzību un digitālo izsekošanu.

Beļģija Datu aizsardzības iestāde ir noteikusi 50 000 eiro sods par datu aizsardzības speciālista neatkarības principa pārkāpumu Tādēļ strīdu izskatīšanas palāta uzskatīja, ka šīs funkcijas apvienošana ar riska, audita un atbilstības nodaļu direktora funkcijām rada interešu konfliktu.

Nīderlande: Nīderlandes uzraudzības iestāde aprīļa beigās piemēroja savu augstāko sodu, kura apjoms bija 725 000 €, pret uzņēmumu, kas apstrādāja darbinieku pirkstu nospiedumus bez reāla pamatojuma drošības ziņā.

Anna Kristīna Lakoste

Juriste, kas specializējas datu tiesībās, viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.

Attālinātā darba paplašināšanas ietvaros iestāde ir veikusi arī ļoti detalizētu galveno videokonferenču sistēmu salīdzinājumu attiecībā uz datu aizsardzību. Tiešsaistē ir pieejama tikai nīderlandiešu versija, tāpēc pievienojam pilnu neoficiālo tulkojumu angļu valodā (paldies Kristoferam Šmitam). Šim sarakstam jāpievieno arī Tixeo risinājums, ko CNIL savos ieteikumos par videokonferenču rīkošanu minējusi un ko sertificējusi ANSSI.