Naša objava od prije nekoliko dana o neusklađenostima Digitalnog asistenta Andrije po pitanju ispunjenja obveza iz članka 13. GDPR-a i ispunjenja obveza načela transparentnosti iz članka 5. GDPR-a je, uz apele ostalih, nadamo se, pomogla.
Stranica Andrija.ai je izbrisala sporne točke svojih Uvjeta korištenja i objavila zasebna pravila privatnosti koja od danas možete vidjeti ovdje:
https://andrija.ai/pravila-privatnosti
----
GDPR Croatia ne bi bio to što i jest, da ipak ne pronađemo mjesta za unaprjeđenja zaštite privatnosti korisnika Andrije.
Kao što smo i prilikom prvog upozorenja naglasili, izuzetno cijenimo napore svih strana koje pomažu u borbi s opakom zarazom, i sami vrlo aktivno sudjelujemo humanitarnim radom i pomaganju bolnicama u nabavci opreme i osobnim donacijama, a na ovaj način pomažemo i da se osigura potrebna zakonitost u prikupljanju podataka.
Sukladno članku 13. GDPR-a Voditelj obrade, u ovom slučaju Ministarstvo zdravstva, mora javno objaviti primatelje ili barem kategorije primatelja osobnim podataka, ako ih ima.
Što kaže Andrija?
Obvezujemo se na povjerljivost i čuvanje osobnih podataka i nećemo ih priopćavati odnosno učiniti dostupnima trećim osobama bez posebnog odobrenja, osim u slučajevima kada smo na isto u obvezi. U tom slučaju podatke prosljeđujemo samo trećim osobama koje pružaju razumna jamstva te su poduzele odgovarajuće tehničke i organizacijske mjere kako bi se osigurala i zaštitila prava svakog korisnika Andrije.
Ovdje ne nalazimo o kojim primateljima ili trećim osobama se radi, ili barem opisno, o kojim kategorijama primatelja se radi.
Jesu li to tvrtke koje održavaju i nadograđuju Andriju? Jesu li to neka druga ministarstva? Ili neke druge institucije države koje se ne spominju ovdje? Fali transparentnosti.
----
Ono što smo ipak očekivali da će se spomenuti, nije se dogodilo.
Radi se o izradi profila pojedinca automatiziranim načinom.
Iako Andrija tvrdi da ne može identificirati pojedinca, po nama tome nije tako, jer se temeljem prikupljenih podataka o broju mobilnog uređaja, njegovoj lokaciji, IP adresi i ostalim detaljima (sjetite se kako to izgleda kada vam se putem Whatsappa javi osoba koju nemate u imeniku) i tehnikama može identificirati osoba.
Naime, prema definicijama iz članka 4. GDPR-a, Andrija prati pojedince na internetu, među ostalim, mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize, kako navodi uvodna izjava (24) GDPR-a.
Štoviše, uvodna izjava (30) ističe da pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.
Prema uvodnoj izjavi (60) ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila, a prema uvodnoj izjavi (63) i o logici automatske obrade osobnih podataka i o posljedicama takve obrade.
Uvodna izjava (71) kaže da se automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smiju dopustiti samo pod posebnim uvjetima a diskriminacijski učinci na pojedince na temelju zdravstvenog stanja se moraju spriječiti.
---
E, to nam fali ovdje...