COVID-19 a sledovanie polohy ľudí pomocou mobilov
Nedávne legislatívne zmeny umožňujú Úradu verejného zdravotníctva získavať a spracúvať osobné údaje dotknutých osôb, týkajúce sa ich polohy, resp. polohy ich mobilných telefónov.
Vedeli ste, že dáta pochádzajúce od mobilných operátorov neumožňujú zistiť úplne presnú polohu potenciálne infikovanej osoby? Tieto dáta dokážu iba približne určiť časť obce, štvrť alebo ulicu. Rozhodne nedokážu presne lokalizovať napríklad zastávku MHD alebo rad v obchode pri pokladni.
V boji proti COVID-19 je každý nápad dobrý, preto využitie osobných údajov možno chápať a hneď na začiatku ho nezavrhovať, pozrime sa však na to z pohľadu zásady ochrany osobných údajov a povedzme si, čo takéto spracúvanie predstavuje a ako by sa malo realizovať.
Ochrana osobných údajov a údaje od mobilných operátorov v rukách štátu
Nariadenie Európskeho parlamentu Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov v článku 5 hovorí, že pri spracúvaní osobných údajov musia byť dodržané zásady:
- zákonnosti, spravodlivosti a transparentnosti
- obmedzenia účelu
- minimalizácie údajov
- správnosti
- minimalizácie uschovávania
- integrity a dôvernosti
Asi niet pochýb o tom, že prevádzkovateľom osobných údajov bude Úrad verejného zdravotníctva. Z pohľadu zákonnosti právnym základom spracúvania môže byť čl. 6 ods. 1 písm. d) ochrana životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby; prípadne aj písm. f) splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
Ste firma alebo inštitúcia a chcete si byť istý, že máte všetko okolo GDPR v súlade s nariadeniami a nehrozí vám pokuta? Využite GDPR audit. Tu sa dozviete viac na tému informačná bezpečnosť.
Zákonnosť, spravodlivosť a transparentnosť
Požiadavka na transparentné spracúvanie osobných údajov však môže byť problém. Ak Úrad ako prevádzkovateľ osobné údaje nezíska od dotknutej osoby, je podľa čl. 14 povinný v primeranej lehote po získaní osobných údajov, najneskôr však do jedného mesiaca informovať dotknutú osobu o spracúvaní osobných údajov. Navyše ak sa osobné údaje použijú na komunikáciu s dotknutou osobou, treba dotknutú osobu informovať najneskôr v čase prvej komunikácie.
Úrad teda stojí pred výzvou, ako zabezpečiť informovanie všetkých osôb o tom, že spracúva ich osobné údaje. Bude ich informovať prostredníctvom SMS a odkáže ich na svoju webovú stránku, alebo využije masovo komunikačné prostriedky?
Nariadenie GDPR síce umožňuje informačnú povinnosť neuplatniť, ak sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie. V minulosti však dozorné orgány iných členských štátov EÚ rozhodli, že neprimerané úsilie nemožno považovať ekonomické dôvody (napr. náklady na poštovné, alebo SMS).
Obmedzenie účelu
Z pohľadu určenia účelu bude stáť Úrad verejného zdravotníctva ako prevádzkovateľ pred ťažšou úlohou. Účel spracúvania osobných údajov musí byť dostatočné konkrétny. Podľa medializovaných informácií údaje mali byť použité a určenie polohy osoby t.j miest kde sa nachádzal, trás po ktorých sa pohyboval, identifikovanie kontaktov, t.j. určenie prípadných iných osôb v blízkosti ktoré môžu byť ohrozené a pod. Pravdepodobne pôjde o viac, ako iba o jeden účel spracúvania. Navyše bude dochádzať k spracúvaniu osobitnej kategórie osobných údajov – údajov o zdraví, pretože môžeme predpokladať, že prevádzkovateľ „spojí“ údaje infikovaných osôb s údajmi od mobilných operátorov, inak by spracúvanie nedávalo zmysel. Preukázať dodržania zásady obmedzenia účelu spracúvania bude možné iba ak bude mať spracúvanie jasné pravidlá – tie politici zatiaľ nepredstavili.
Minimalizácia údajov
Dodržať zásadu minimalizácie údajov pre dosiahnutie zamýšľaného účelu spracúvania tiež nebude ľahké. Nie je jasné, či Úrad verejného zdravotníctva obdrží od mobilných operátorov iba údaje vybraných osôb ktoré si vyžiada, alebo lokalizačné údaje všetkých pripojených účastníkov. V prvom prípade ak Úrad obdrží iba vybrané údaje o konkrétnych infikovaných osobách, môže byť spracúvanie neprimerané – rovnaké údaje o svojom pohybe môže osoba poskytnúť aj sama nemusí ich žiadať od operátora. V druhom prípade ak by operátori poskytovali údaje o všetkých osobách – bude veľkosť dát extrémna a náročná na spracúvanie, ktorú v súčasnosti asi úrad nemá (t.j. servery na ukladanie a analýzu dát, aplikácie schopné z dát určiť trasy, ohrozené osoby, zaučených pracovníkov schopných so softvérom pracovať).
Správnosť
Aj dodržať zásadu správnosti môže byť problém. Spracúvané osobné údaje majú byť správne a podľa potreby aktualizované. Musia sa prijať všetky potrebné opatrenia, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymažú alebo opravia. Hlavným problémom môže byť presnosť lokalizačných údajov. Štát má záujem, aby mohol zistiť na akom miesto a v akom čas sa osoby nachádzajú. Ak budú operátori poskytovať údaje tak ako predbežne avizovali, t.j. 6 hodinových v časových úsekoch a s presnosťou na niekoľko sto metrov (presnosť závisí od hustoty vysielacích základní, v centrách miest je presnosť vyššia na okrajoch, menších obciach a prírode je presnosť nižšia), preto je otázne či, osobných údaj že sa osoba v čase medzi 12 – 18 hod. nachádzala 180 minút v práci, 30 minút na ceste, 10 minút v obchode a 140 minút doma je na účel spracúvania dostatočne presný. Podľa informácií od operátora totiž presný čas nebude súčasťou dát, rovnako ako postupnosť pohybu – takže nebude možné určiť, či osoba bola v práci a išla domov, alebo bola doma a išla potom do práce, prípadne či na nákup zastavila pred cestou alebo po ceste.
Minimalizácia uschovávania
Zásady minimalizácie uschovávanie bude možno dodržaná, tak že sa dáta vymažú k dátumu 31.12.2020, túto lehotu predpokladá schválený zákon. Túto zásadu treba však dodržať s ohľadom na účel spracúvania. Ak poskytnuté údaje už nie sú potrebné na dosiahnutie účelu, mali by sa vymazať aj skôr ako je zákonom učený termín. V praxi bude zásadu minimalizácie veľmi ťažké dodržať. Ťažko si predstaviť, že by Úrad verejného zdravotníctva disponoval aplikáciou a databázovým prostredím schopným rozlišovať ktoré údaje sú ešte potrebné a ktoré už nie.
Bezpečnosť osobných údajov spracúvaných v boji proti COVID-19
Najväčšou výzvou pre prevádzkovateľa je dodržať zásady integrity a dôvernosti údajov, t.j. zabezpečiť ich v IT prostredí pred stratou krádežou, alebo zneužitím.
Povinnosťou úradu je pred plánovaným spracúvaní vykonať posúdenie vplyvu na ochranu osobných údajov. Na základe medializovaných informácií:
- bude spracúvanie bude využívať moderné technológie
- budú spracúvané osobitné kategória údajov – údaje o zdraví
- bude dochádzať systematickému monitorovaniu osôb
- bude rozsah spracúvaných údajov veľký (veľká časť populácie)
- hrozí dotknutých osobám obmedzenie osobnej slobody (obmedzenie pohybu, karanténa)
Podľa čl. 35 nariadenia ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (tzv. DPIA).
Spracúvanie údajov o pohybe osôb, tak ako boli medializované, môže byť veľmi náročné a zatiaľ nebol predstavený systematický opis toho ako bude spracúvanie prebiehať. Medializovaný bol zámer, t.j. výsledok spracúvania (informovať občanov o riziku, ktoré predstavuje pohyb osôb). Prevádzkovateľa však bude musieť okrem zákonných požiadaviek splniť aj náročné technické požiadavky na bezpečnosť dát. Ak si ich zosumarizujeme:
- Meno a priezvisko
- Mobilné telefónne číslo
Na základe týchto údajov je osoba jednoznačne identifikovateľná
- údaje o zdraví (minimálne údaj či je COVID-19 pozitívna)
- lokalizačné údaje – údaje pohybe, alebo mieste pobytu
Spracúvanie týchto údajov pomocou moderných technológií (ich prenášanie, využívanie, poskytovanie, uschovávanie) predstavujú riziko pre práva a slobody osôb, najmä v dôsledku porušenia ich ochrany (únik údajov, zverejnenie, zneužitie spracúvania na iné účely, obmedzenie slobody v dôsledku nesprávnych údajov, a pod.).
Integrita a dôvernosť
Mobilní operátori si IT prostredie budovali roky, disponujú tímami odborníkov v oblasti kybernetickej bezpečnosti, majú aplikácie na analýzy veľkých dát. Úrad verejného zdravotníctva naproti tomu ničím podobným nedisponuje. Vybudovať bezpečný informačný systém ktorý by v priebehu pár týždňov, či mesiacov dokázal začať spracúvať poskytované osobné údaje, je nereálne.
Ak by sa dáta poskytnuté od mobilných operátorov týkali zopár osôb, spracovať ich pomocou Excelu, a máp bolo náročné na ľudské zdroje, ale v zásade možné. Ak ale mobilní operátori začnú poskytovať gigabajty a tera bajty dát týkajúce sa všetkých mobilných telefónov, nevedno ako ich úrade verejného zdravotníctva k sebe vôbec prenesie, kam si ich uloží, nehovoriac o tom, ako ich následne spracuje.
Zabezpečiť dôvernosť dát neznamená iba zaviazať pracovníkov mlčanlivosťou. Je potrebné im vytvoriť pracovné podmienky na to, aby sa mohli k údajom prihlasovať bezpečne, aby systém prístupových práv rozlišoval jednotlivé úrovne poverení na prácu, aby údaje nebolo možné neoprávnene kopírovať, alebo prenášať, aby ukladané a prenášané údaje boli zašifrované a aby odolali pokusom hackerov prelomiť ochranu a údaje zneužiť.
Druhou možnosťou spracúvania údajov je poskytnutie prístupu Úradu verejného zdravotníctva do špeciálne pripravených vyčlenených systémov priamo v IT prostredí operátorov. Bezpečnosť by bola vyriešená ľahšie, ale problémom je že dáta štyroch rôznych operátorov by sa nadali „spojiť“ a identifikovať kontakty ohrozených osôb by bolo limitované iba na okruh mobilov príslušného operátora.
Čo dodať na záver?
Niet pochýb o tom, že situácia s pandémiou ochorenia COVID-19 je vážna a treba hľadať aj nové riešenia na riešenie vzniknutej situácie. Pripravené, otestované a funkčné technologické riešenie v súčasnosti neexistuje.
Zámer využiť nové technológie je dobrý, ale legislatívne riešenie nie je dostatočnej konkrétne. Dáva právomoc úradu, ktorý nie je na to dostatočne technicky, organizačne ani personálne pripravený.
Zatiaľ (na základe zverejnených informácií) možno usudzovať, že poskytovanie údajov predstavuje pre dotknuté osoby väčšie riziko, ako prípadný prínos k ochrane životov a zdravia.
Autor článku: Dušan Peško, Senior Consultant spoločnosti Avris
Top comments