Na GDPR Croatia više puta smo javljali i pojašnjavali jasan okvir zahtjeva koji je Europska komisija postavila prema državama članicama EU za uvođenje mobilnih aplikacija u svrhe sprječavanja širenja pandemije.
EU smjernice jasno ukazuju da se ne smije pratiti lokacija korisnika, niti se uzimati ime i mobilni broj.
Daje se ovlast ministarstvima zdravstva zemalja članica EU da upravljaju aplikacijom ali pri tom ne prikupljaju navedene osobne podatke korisnika.
Štoviše, aplikacija ne prati lokaciju ni kretanje pojedinca, već bluetooth tehnologijom prepoznaje blizinu zaražene osobe.
Na taj način, uz samostalnu slobodnu volju svakog korisnika da instalira aplikaciju, trebala bi se osigurati anonimnost korisnika aplikacije kao i anonimnost osobe za koju se naknadno utvrdi da je zaražena kao i njenih kontakata.
S obzirom na još uvijek vrlo šture informacije iz medija, preostaje nam se nadati da će tome tako i biti.
***********
Međutim, sada se moramo vratiti na temu od prije nekoliko tjedana - na ANDRIJU.
Svi koji nas pratite vidjeli ste koliko smo upozoravali na ugrožavanje zaštite privatnosti korisnika digitalnog asistenta Andrija i propuste u osiguranju usklađenosti s GDPR obvezama.
Digitalni asistent Andrija putem Whatsappa prikuplja podatke o vašem mobilnom broju, imenu i prezimenu i trenutnoj lokaciji na kojoj se nalazite. Zašto je to potrebno?
Pravila privatnosti Andrije kažu, citiramo:
"U slučaju uskrate broja mobitela nije moguće aktivirati uslugu jer se komunikacija odvija putem WhatsApp aplikacije i nema mogućnosti komuniciranja bez takvog broja."
Andrija se opravdava da je nužan mobilni broj jer se komunikacija odvija putem Whatsappa.
U vezi uzimanja podatka o trenutnoj lokaciji nema obrazloženja o neophodnosti.
Iz današnjeg primjera nove aplikacije jasno vidimo da za potrebnu funkcionalnost i komunikacija s osobom ne treba mobilni broj, ime ili lokacija, a najmanje što treba je Whatsapp platforma kao jedna od najpoznatijih "kradljivaca" online privatnosti.
Andrija je mogao i morao biti postavljen kao zasebna aplikacija ili web stranica kojom bi se ispunile svrhe, bez praćenja mobilnog broja i lokacije, u skladu s okvirom koji je EU zadala.
Ovako Andrija ne poštuje jedno od temeljnih načela iz članka 5. GDPR-a "smanjenje količine podataka" na način da osobni podaci koji se prikupljaju moraju biti primjereni, relevantni i OGRANIČENI NA ONO ŠTO JE NUŽNO U ODNOSU NA SVRHE U KOJE SE OBRAĐUJU.
Nadamo se da će ova nova aplikacija u cijelosti ispoštovati zadane EU okvire. Više u članku iz medija
https://www.vecernji.hr/vijesti/mobitel-ce-javljati-20-minuta-sa-zarazenim-na-manje-od-2-metra-1402020
