STOPCOVID: Cesta kontroverznej aplikácie

STOPCOVID: Cesta kontroverznej aplikácieNeuplynie deň bez toho, aby sa vo Francúzsku, ako aj inde, neriešila otázka „uvoľnenia obmedzení“ obyvateľstva v súvislosti s sledovaním vírusu a osôb, ktoré ho prenášajú.

V poslednom vývoji sa spomína vytvorenie súboru na sledovanie infikovaných ľudí, ktorého podrobnosti sa predkladajú CNIL na preskúmanie.

Médiá tiež informovali o patovej situácii medzi GAFAM a vládou pri implementácii najefektívnejšej aplikácie „stopCovid“.

Hoci sú parlamentné diskusie o tejto žiadosti momentálne pozastavené, môžeme mať jasnú predstavu o problémoch a dopadoch takéhoto digitálneho monitorovania?

Je to otázka národnej suverenity, otázka kontroly údajov alebo, prozaickejšie, „jednoduché“ technické rozhodnutia?

Táto otázka je dôležitá, pretože sa týka nielen Francúzska, ale väčšiny európskych krajín a ďalších štátov, ktoré sa snažia zvládnuť pandémiu.

Protokoly a ich vplyv na spracovanie údajov

Projekt PEPP-PT (Privacy Preserving Proximity Tracing) bol pôvodne zámerom umožniť vývoj aplikácií v Európe na harmonizovanom základe v súlade so zákonom.

Cieľom je informovať osobu o kontakte s infikovanou osobou na základe technológie Bluetooth jej smartfónu bez toho, aby bola geolokovaná.

Hoci sa zdalo, že PEPP-PT si spočiatku získava podporu, niekoľko stoviek vedcov sa od neho dištancovalo a v otvorenom liste zaujalo stanovisko v prospech protokolu založeného na decentralizovanom prístupe, ako je DP-3T (decentralizované sledovanie blízkosti s ochranou súkromia), aby údaje zostali uložené lokálne: to by poskytlo lepšie záruky, pokiaľ ide o bezpečnosť údajov a riziká zneužitia údajov tretími stranami alebo použitia na iné účely.

Pripomeňme si, že lokálne uchovávanie údajov je zásadou proporcionality a ochrany súkromia už v štádiu návrhu, ktorá sa presadzuje aj v iných kontextoch, ako je napríklad spracovanie biometrických údajov.

CNIL má k tejto téme jasný postoj, ktorý možno nájsť najmä v jej oznámení týkajúcej sa používania biometrických údajov v smartfónoch alebo na pracovisku. 

Nástroje implementované spoločnosťami Google a Apple boli vyvinuté (najmä) s ohľadom na túto perspektívu lokálneho úložiska odporúčanú v protokole DP-3T, aby sa zabránilo príliš rušivému využívaniu údajov z notebookov používateľov.

Problém nastáva, keď Francúzsko (a spočiatku Nemecko, ktoré si to rozmyslelo) vyvíja aplikáciu založenú na protokole Robert (pre ROBust a sledovanie blízkosti zachovávajúce súkromie), ktorá nemôže fungovať na základe funkcií navrhnutých spoločnosťami Apple a Google, so špecifickými požiadavkami, pokiaľ ide o Bluetooth a centralizáciu údajov (podrobnosti sú jasne vysvetlené tu).

To samo o sebe neznamená, že francúzska žiadosť porušuje zásady ochrany údajov: boli poskytnuté záruky (najmä pokiaľ ide o pseudonymizáciu) a CNIL síce vydala niekoľko pripomienok, ale kladné stanovisko.

Ale zatiaľ čo Francúzsko prijíma preventívne opatrenia, koľko ďalších viac či menej demokratických krajín by využilo funkcie „à la carte“ ponúkané spoločnosťami Apple a Google na vykonávanie oveľa rušivejšieho dohľadu nad svojím obyvateľstvom?

To čiastočne vysvetľuje neochotu webových gigantov a súčasnú patovú situáciu.

Predsedníctvo Európskej rady zaradilo tento bod do programu svojho zasadnutia 5. mája, počas ktorého sa ministri telekomunikácií EÚ pokúsia prijať spoločný postup.

Právny rámec

Okrem týchto technických aspektov správa kontaktných údajov prostredníctvom tohto typu aplikácie vyvoláva bežné problémy, pokiaľ ide o zákon: hneď na úvod uveďme, že údaje nie sú anonymné, ale pseudonymizované, čo vedie k uplatneniu GDPR a zásad ochrany telekomunikačných údajov.

Okrem dobrovoľnej povahy používania aplikácie môže vláda spracovávať tento typ citlivých údajov iba vtedy, ak je na to oprávnená na základe konkrétneho právneho základu.

Okrem toho musí byť zabezpečená transparentnosť spracovania, údaje musia byť zabezpečené a ich vymazanie musí byť naplánované v prísnych časových limitoch.

Či už ide o CNIL, EDPB (skupinu európskych „CNIL“), Európskeho dozorného úradníka pre ochranu údajov (EDPS) na jeho vypočutí v Senáte 27. apríla alebo Radu Európy, dozorné orgány poukazujú na to, že žiadny systém sa nemôže úplne vyhnúť zraniteľnostiam a rizikám opätovnej identifikácie, či už ide o centralizovaný alebo decentralizovaný systém.

Zhodujú sa na preventívnych opatreniach, ktoré treba prijať pri navrhovaní a používaní aplikácií, ale zároveň zdôrazňujú v prvom rade netriviálnu povahu tohto typu nástroja, pričom poukazujú na riziko predĺženia núdzových situácií a zvyku obyvateľstva na latentný dohľad. 

V rovnakom duchu môžeme citovať študentov, ktorí si dnes musia zvyknúť na pravidelné snímky obrazovky svojich terminálov od učiteľa, keď absolvujú skúšku na diaľku, a ktorí by tento typ narušenia mohli v iných kontextoch považovať za normálny.

Ide teda predovšetkým o to, aby sa nevyhýbalo základnej otázke nevyhnutnosti opatrenia, jeho vplyvu a jeho primeranosti vzhľadom na dôsledky pre základné práva jednotlivcov.

A tiež:

• Vo Francúzsku:

Okrem značného počtu praktické listy týkajúce sa manažmentu pandémie V kontexte vedeckého výskumu, pracovných vzťahov a sledovania jednotlivcov práve spustila CNIL verejná konzultácia o právach maloletých v digitálnom prostredí. Toto je otvorené do 1. júna 2020.

• Európa a medzinárodne:

Európsky výbor pre ochranu údajov (EDPB)) prijala niekoľko dokumentov zameraných na usmernenie verejných orgánov a spoločností v kontexte správy údajov v kontexte pandémie: zamerala sa najmä na podmienky spracovania údajov na účely lekárskeho výskumu, na medzinárodné prenosy týchto údajov a na sledovanie a lokalizáciu prostredníctvom mobilných terminálov.

Na medzinárodnej úrovni sú dokumenty od všetkých orgánov dostupné na webovej stránke Globálneho zhromaždenia o ochrane súkromia.

BEUC (Európska spotrebiteľská organizácia) 21. apríla oznámila spoločnú akciu s viac ako 40 organizáciami pre práva a slobody spotrebiteľov týkajúcu sa rozsiahleho dohľadu zo strany reklamného priemyslu a digitálneho sledovania.

Belgicko Úrad na ochranu údajov uložil Pokuta 50 000 EUR za porušenie zásady nezávislosti zodpovednej osoby Komora pre spory preto usúdila, že kumulácia tejto funkcie s funkciami riaditeľa oddelenia rizík, auditu a dodržiavania predpisov predstavuje konflikt záujmov.

Holandsko: Holandský dozorný orgán uložil najvyššiu pokutu koncom apríla vo výške 725 000 €, voči spoločnosti, ktorá spracovávala odtlačky prstov svojich zamestnancov bez skutočného odôvodnenia z hľadiska bezpečnosti.

Anne Christine Lacoste

Ako právnička špecializujúca sa na právo týkajúce sa údajov pôsobila ako vedúca oddelenia medzinárodných vzťahov v Európskom dozornom úrade pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.

V rámci rozširovania práce na diaľku úrad vykonal aj veľmi podrobné porovnanie hlavných systémov videokonferencií z hľadiska ochrany údajov. Online je dostupná iba holandská verzia, preto prikladáme neoficiálny anglický preklad v plnom znení (vďaka Christopherovi Schmidtovi). Do tohto zoznamu by sme mali pridať aj riešenie Tixeo, ktoré CNIL spomína vo svojich odporúčaniach k videokonferenciám a ktoré certifikovala ANSSI.