V posledních dnech se zintenzivnily diskuse o využití dat v boji proti pandemii korony.
Proto jsme sepsali ad hoc dokument v0.3 (PDF, anglicky ) o souladu s GDPR a rádi bychom využili této příležitosti, abychom poskytli první přehled těchto projektů.
Přehled různých opatření a projektů
Hodně se mluví o různých korunových opatřeních a projektech, které mají pomocí dat omezit šíření viru. Patří mezi ně např:
- Informační portály (například informace pro vlastní diagnostiku nebo mapy rizikových oblastí),
- anonymní analýza dat (zejména ze sítí mobilních telefonů),
- aplikace, které se snaží zaznamenávat možné situace nákazy (sledování kontaktů),
- aplikace pro kontrolu karanténních opatření
- pokusy o sledování nakažených osob prostřednictvím různých údajů, jako je sledování mobilních telefonů nebo využití údajů z kreditních karet.
V článku na webu GDPRhub.eu, noyb sestavil první přehled konkrétních aplikací a projektů v Evropě i mimo ni, aby osvětlil i tuto problematiku.
Naprostá většina těchto přístupů má daleko k problematickým formám masového sledování nebo "čínským přístupům".
GDPR umožňuje využití údajů v případě epidemií - otázkou není zda, ale jak.
Na rozdíl od mnoha původních zpráv neexistuje obecný rozpor mezi ochranou údajů (zejména GDPR) a využitím osobních údajů v boji proti epidemii. Zdá se, že prohlášení, která tvrdí, že je třeba "upustit od ochrany údajů", vycházejí z nesprávného chápání práva.
Max Schrems, čestný předseda noyb: "GDPR výslovně stanoví zpracování údajů v boji proti epidemiím. Od zákonů na ochranu údajů se proto nesmí "upouštět", nýbrž pouze dodržovat."
Čl. 6 odst. 1 písm. d) a čl. 9 odst. 2 písm. i) nařízení GDPR umožňují podle bodů odůvodnění GDPR zpracovávat údaje například pro boj proti "přeshraničním zdravotním hrozbám " nebo pro boj proti "epidemiím".
GDPR však obsahuje také pravidla, která omezují zásahy do našich základních práv na minimum, a to i v boji proti koronaviru.
Max Schrems: "Zákony umožňují použití údajů v boji proti koronaviru, ale pouze přiměřeným způsobem. Zákon omezuje použití údajů na nezbytně nutnou míru. Spolu s koncepty, jako je 'Privacy by Design', je možné vyvinout právně nezávadné aplikace a systémy, které pomohou v boji proti této epidemii. Otázka tedy nezní, zda je možné osobní údaje používat, ale jak to dělat správně."
Mezi nadměrným masovým sledováním a shromažďováním a specifickým zpracováním určitých důležitých informací je velký prostor. Využívání údajů může z hlediska základních práv představovat i "méně zatěžující způsob" ve srovnání se současným omezováním svobody pohybu nebo svobody podnikání.
Schrems:"Dobrovolné aplikace založené například na lokálně uloženém a zašifrovaném sledování vlastních údajů mohou být užitečné. Pokud jsou tyto údaje dešifrovány pouze v případě pozitivního koronálního testu, mohou takové systémy ověřitelně chránit soukromí uživatelů. Takové přístupy připomínají spíše nošení soukromého lavinového majáku - na rozdíl od centralizovaného vládního sledovacího systému."
Na podporu projektů při zavádění řešení, která jsou v souladu s ochranou osobních údajů, vydala společnost noyb ad hoc dokument o aplikacích pro sledování kontaktů.
Pro úspěch takových systémů je nezbytná důvěra
Aby se do boje proti koronaviru zapojil dostatečný počet lidí, musí lidé technologiím důvěřovat. Toho lze dosáhnout opatřeními, jako je kvalitní šifrování dat, ukládání dat v telefonech uživatelů a zveřejňování zdrojového kódu ("open source").
Schrems:"Tyto projekty fungují pouze tehdy, pokud se na nich podílí velká část společnosti. K tomu potřebujeme systémy, které umožní uživatelům kontrolu nad jejich daty. Zdrojový kód musí být přezkoumatelný. Pokud se to udělá správně, lze takové systémy rozhodně doporučit."
Realistický pohled na technické možnosti
To, co v současné době na některých výrocích překvapuje, je neochvějná víra v technologie. Složitější aplikace, jako je například "sledování kontaktů" po infekci, nejsou bez vysoce specifických dat proveditelné. Návrhy, jako je výpočet rizika nákazy mezi dvěma osobami pomocí údajů z mobilní sítě, jsou spíše zbožným přáním než možnou technickou realitou.
Horst Kapfenberger, počítačový vědec v noyb: "Údaje o poloze od poskytovatelů mobilních telefonů jsou kvůli své nepřesnosti naprosto nevhodné například pro určení možné nákazy koronavirem. S nepřesnými surovými daty nemůžeme sestavit smysluplné modely".
Kromě toho stále existují nejasnosti ohledně šíření koronaviru. Často jsou k dispozici velmi rozdílné a nejasné informace o způsobech a časovém harmonogramu šíření viru. Čím nejasnější jsou parametry týkající se šíření viru, tím méně konkrétních rizikových kontaktů lze pomocí technických řešení vypočítat.
Hrozí nebezpečí, že se uživatelé ztratí v lavině irelevantních varování a informací ("informační přetížení"). Proto je důležité shromažďovat relevantní údaje v potřebné kvalitě, aby bylo možné skutečně dosáhnout cílů projektu.
Max Schrems: "Tyto systémy nejsou určeny k tomu, aby odhadovaly, jaké reklamy nás mohou zajímat, ale k zajištění zdraví obyvatelstva. Potřebujeme proto konkrétní, přesné a správné informace. Pro statistiku často stačí hrubé a anonymní údaje. Pro pokusy o evidenci infekčních řetězců však potřebujete velmi přesné údaje - ty mohou být uloženy lokálně a zašifrovány u uživatelů."
