EDPB (European Data Protection Board) kao središnje tijelo za zaštitu podataka na razini EU jučer (21.04.2020.) donijelo je Smjernice o korištenju podataka o lokaciji i alata za praćenje kontakata sa zaraženima u kontekstu COVID-19 pandemije.
Smjernice su dostupne ovdje:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf
Iz njih izdvajamo:
PRAĆENJE LOKACIJE
- EDPB ističe da aplikacije za praćenje kontakata sa zaraženim osobama moraju biti temeljene na slobodnoj volji pojedinaca i ne smiju pratiti kretanje pojedinca
- praćenje lokacije pojedinca mora biti u skladu s člancima 6. i 9. ePrivacy Direktive (kako i je u hrvatskom Zakonu o elektroničkim komunikacijama, op.a.), a daljnje prenošenje tih podataka mora biti u potpunosti anonimizirano. Pri tom su moguća izuzeća određena u članku 15. ePrivacy Direktive.
- ukoliko podaci o lokaciji nisu anonimizirani, odnosno, ukoliko je njima moguće identificirati osobu drugim parametrima (vrijeme tehnički parametri, npr. mobilni broj), tada se primjenjuje GDPR
- ANONIMIZACIJA PODATAKA O LOKACIJI ZAPRAVO TO I NIJE, jer su tragovi praćenja pojedinca u korelaciji s drugim podacima i jedinstveni su, te je stoga uvijek moguća identifikacija pojedinca
- ukoliko netko tvrdi da su lokacijski podaci anonimizirani, tada treba i opisati metodologiju anonimizacije
KOMENTAR: Andrija.ai uzimanjem podataka o mobilnom broju definitivno omogućava praćenje lokacije osobe koju je moguće identificirati, čime se krše ove Smjernice
APLIKACIJE ZA PRAĆENJE KONTAKATA SA ZARAŽENIMA
- sustavno praćenje lokacije i kontakata između osoba u velikoj mjeri predstavlja kršenje njihove privatnosti, te se mora temeljiti na dobrovoljnom pristanku osoba za svrhu s kojom su upoznati
- voditelj obrade mora biti jednoznačno određen, a ukoliko je više strana uključeno u razvoj aplikacija, uloge i odgovornosti svih strana moraju biti jasno prikazane osobama
- svrha aplikacija mora biti ograničena isključivo na obrade podataka povezanih sa zdravstvenom krizom uzrokovanom koronavirusom
- nakon što je cilj aplikacije utvrđen, tada uporaba osobnih podataka mora biti primjerena, neophodna i razmjerna
- MORA SE VODITI BRIGA O MINIMIZIRANJU OPSEGA PRIKUPLJENIH PODATAKA I OSIGURANJU MJERA ZAŠTITE BY DESIGN I BY DEFAULT - ovo smo posebno naglasili s obzirom na uočene nedostatke Andrije.ai upravo u tim područjima (transparentnost, opseg prikupljenih podataka s obzirom na svrhu i mjere sigurnosti obrada)
- aplikacije za praćenje kontakata sa zaraženima ne trebaju pratiti lokacije osoba već se kontakti prate međusobnom udaljenošću
- takve aplikacije funkcioniraju bez izravne identifikacije pojedinca i mora se osigurati nemogućnost naknadne identifikacije
- strane kojima se otkrivaju osobni podaci moraju biti identificirane kao i svrhe otkrivanja podataka
- trajanje pohrane podataka o zdravlju mora biti u skladu s trajanjem korona krize, nakon prestanka moraju biti izbrisani ili anonimizirani
- DPIA ili Data Protection Impact Assessment ili Procjena učinka na zaštitu podataka mora se provesti, s obzirom da se radi o sustavnoj obradi podataka o zdravlju u velikom opsegu korištenjem tehnoloških rješenja
- EDPB preporuča javnu objavu DPIA
- osobni podaci koji se prikupljaju moraju biti svedeni na strogi minimum, aplikacije ne bi smjele prikupljati podatke koji nisu neophodni kao npr. podatke o lokaciji, komunikacijske identifikatore (čitaj: broj mobilnog telefona), sadržaje adresara u uređajima, poruke, preglede poziva, idenifikatore uređaja i sl.
Nadamo se da će ove Smjernice još danas pročitati svi oni koji rade na primjeni aplikacija pod okriljem sprječavanja širenja COVID-19 zaraze.