Komentarz COVID-19 zbitki WBI

Zasady wykorzystania teleinformatyki w zwalczaniu pandemii

data wpisu: 2020.04.07 | data publikacji: 2020.04.07

Wykorzystanie systemów teleinformatycznych do wspomagania w walce z pandemią wiąże się z koniecznością masowego gromadzenia danych osobowych, w tym danych lokalizacyjnych. Powoduje to duże obawy o zagwarantowanie praw obywatelskich, szczególnie w przyszłości. Fundacja Panoptykon z innymi interesariuszami opracowała ogólne zasady jakie powinny być spełniane w projektowaniu oraz eksploatacji tego typu systemów. Podpisałem też ten apel, a poniżej przygotowałem jego wersję techniczną.

Zgoda na tak zaawansowane wykorzystanie danych osobowych ( w tym danych wrażliwych, gdyż mówimy o zakażeniu wirusem SARS-CoV-2 oraz chorobie Covid-19)  znacząco zmieniło też nastawienie do interpretowania regulacji GDPR/RODO, sklaniając się do zmiany podejścia do bezwzględnej ochrony podstawowych danych osobowych [co od lat postulowałem]. To zaś będzie musiało być skonfrontowane z zamierzeniami administracji oraz służb ds. bezpieczeństwa Państwa. 

 

Zasady funkcjonowania systemów i aplikacji teleinformatycznych wspomagających zwalczanie epidemii SARS-CoV-2 z zachowaniem podstawowych praw obywatelskich i ochrony danych osobowych.

  1. Zbieranie i gromadzenie danych osobowych
    1. W systemach oraz aplikacjach mogą być zbierane, gromadzone i przetwarzane dane osobowe jedynie niezbędne dla realizacji celów ich funkcjonowania.
    2. Zbierane dane osobowe muszą być weryfikowane co do ich poprawności i zgodności z rzeczywistością, a wszelkie wątpliwości co do rzetelności danych muszą być wyjaśnione, lub dane te muszą być skasowane.
    3. Ujawnianie danych osobowych, zgromadzonych w systemach, a dotyczących stanu zdrowia powinno być ograniczone jedynie do szczególnych przypadków określanych przez służby sanitarno-medyczne.
  2. Dane przechowywane na urządzeniu osobistym
    1. Za ochronę, jego lub innych osób, zdrowotnych danych osobowych przechowywanych w urządzeniu odpowiada właściciel tegoż urządzenia.
    2. Dane osobowe, gromadzone w aplikacjach, dotyczące ochrony zdrowia, w urządzeniach osobistych, mogą być przesyłane poza dane urządzenie wyłącznie za zgodą właściciela urządzenia, z wyjątkiem przypadków ratowania życia.
  3. Bezpieczeństwo, szyfrowanie i anonimizacja danych.
    1. Zbierane i przetwarzane dane osobowe powinny być szczególnie chronione, szyfrowane, zanonimizowanie oraz udostępniane w reżimie kontroli dostępu w ograniczonym zakresie, np. tylko imiennie upoważnionym osobom służb sanitarnych.
    2. Systemy i aplikacje gromadzące dane osobowe powinny być poddane audytowi bezpieczeństwa ze względu na zapewnienie ich ochrony wewnętrznej i zewnętrznej według procedur cyberbezpieczeństwa oraz ochrony danych osobowych (RODO).
  4. Ograniczenie czasu przechowywania danych.
    1. Dane osobowe przechowywane w systemach oraz aplikacjach, po wyczerpaniu celu dla którego zostały zebrane (np. po przekroczeniu okresu zakażania lub kwarantanny) muszą być zaszyfrowane i zarchiwizowane co najmniej z klauzulą POUFNE.
    2. Okres przetwarzania i przechowywania w archiwum danych osobowych dotyczących zdrowia powinien być jawnie określony przez służby sanitarno-medyczne.
  5. Informacja dla obywateli.
    1. Obywatele udostępniający swoje dane osobowe w sposób jawny oraz autonomiczny (np. zbierane z urządzeń lokalizacyjnych, kamer wizyjnych oraz ze zdalnych odczytów temperatury) muszą być o tym poinformowani, ale zgoda na ich pobieranie powinna wynikać z odpowiedniego postanowienia sanitarno-medycznego.
    2. Obywatele korzystający z aplikacji zainstalowanych przymusowo lub dobrowolnie w ich urządzeniach osobistych muszą otrzymać zrozumiałą instrukcję ich obsługi z pełnym opisem realizowanych przez te aplikacje funkcji oraz okresem ich użytkowania.
    3. Każdy system lub aplikacja teleinformatyczna służąca zwalczaniu epidemii musi mieć swój opis funkcjonalny na stronie internetowej z ograniczeniem informacji dotyczących zapewnienia bezpieczeństwa danego systemu lub aplikacji,
  6. Audyt systemów i aplikacja,
    1. Każdy system oraz aplikacja musi być dostępna dla zewnętrznego audytu weryfikacji kodu, algorytmów oraz specyfikacji danych, przy czym ze względu na zapewnienie bezpieczeństwa audytorami mogą być zespoły mające certyfikat bezpieczeństwa.
    2. Odpowiedzialność Państwa Za wszystkie systemy i aplikacje zakupione lub opracowane dla potrzeb zwalczania epidemii odpowiada wskazany urząd administracji państwowej w zakresie zagwarantowania standardów ochrony i bezpieczeństwa gromadzonych danych osobowych oraz samego systemu i aplikacji.