Tietosuoja koronaviruksen aikoina: ei ole kysymys jos, mutta miten

Apr 09, 2020

Viime päivinä keskustelut tietojen käytöstä koronapandemian torjunnassa ovat lisääntyneet.

Siksi olemme kirjoittaneet ad hoc -lehden v0.3 (PDF, englanti) GDPR: n noudattamisesta ja haluaisimme käyttää tilaisuutta antaaksemme alustavan yleiskatsauksen näistä hankkeista.

Katsaus eri toimenpiteisiin ja hankkeisiin

Siellä puhutaan paljon erilaisista koronatoimenpiteistä ja projekteista, joiden on tarkoitus hillitä viruksen leviämistä tietojen avulla. Näitä ovat esimerkiksi:

  • Tietoportaalit (kuten itsediagnoosia koskevat tiedot tai riskialueiden kartat),
  • anonyymi data-analyysi (erityisesti matkapuhelinverkoista),
  • sovellukset, jotka yrittävät tallentaa mahdollisia tartuntatilanteita (kontaktien jäljitys),
  • sovelluksia karanteenitoimenpiteiden tarkistamiseksi
  • yrittää seurata tartunnan saaneita henkilöitä erilaisten tietojen, kuten matkapuhelinten seurannan tai luottokorttitietojen avulla.

Eräässä artikkelissa GDPRhub.eu, noyb on koonnut ensimmäisen katsauksen konkreettisia sovelluksia ja projekteja Euroopassa ja sen ulkopuolella, jotta valottaa tätä asiaa samoin.

Suurin osa näistä lähestymistavoista on kaukana massavalvonnan ongelmallisista muodoista tai "kiinalaisista lähestymistavoista".

GDPR sallii tietojen käytön epidemioissa - kysymys ei ole siitä, vaan miten.

Toisin kuin monet alkuperäiset raportit, tietosuojan (erityisesti GDPR: n) ja henkilötietojen käytön välillä epidemian torjunnassa ei ole yleistä ristiriitaa. Lausunnot, joissa väitetään, että tietosuojasta on "luovuttava", näyttävät perustuvan lain väärään käsitykseen.

Noyb: n kunniapuheenjohtaja Max Schrems: "GDPR: ssä määrätään nimenomaisesti tietojenkäsittelystä epidemioiden torjunnassa. Tietosuojalaeista ei siis pidä" luopua ", vaan yksinkertaisesti noudattaa niitä ."

GDPR: n 6 artiklan 1 kohdan d alakohta ja 9 artiklan 2 kohdan i alakohta sallivat GDPR: n johdanto-osan kappaleiden mukaan tietojen käsittelyn esimerkiksi rajat ylittävien terveysuhkien torjumiseksi tai torjumiseksi "epidemiat".

GDPR sisältää kuitenkin myös sääntöjä, joilla rajoitetaan perusoikeuksiemme puuttuminen minimiin jopa koronaviruksen torjunnassa.

Max Schrems: "Laissa säädetään tietojen käytöstä koronaa vastaan taistelussa, mutta vain kohtuullisilla tavoilla. Laki rajoittaa tietojen käytön siihen, mikä on ehdottoman välttämätöntä. Yhdessä sellaisten käsitteiden kanssa, kuten" Privacy by Design ", on mahdollista kehittää laillisesti luotettavia sovelluksia ja järjestelmiä, jotka auttavat torjumaan tätä epidemiaa. Kysymys ei siis ole siitä, onko mahdollista käyttää henkilötietoja, vaan miten se tehdään oikein. "

Liiallisen joukkovalvonnan ja tiettyjen tärkeiden tietojen keräämisen ja käsittelyn välillä on paljon tilaa. Tietojen käyttö voi perusoikeuksien kannalta edustaa myös "vähemmän raskasta tapaa" verrattuna nykyisiin liikkumisvapautta tai liiketoiminnan vapautta koskeviin rajoituksiin.

Schrems: " Esimerkiksi paikallisesti tallennettuihin ja salattuihin itseseurantaan perustuvat vapaaehtoiset sovellukset voivat olla hyödyllisiä. Jos tällaiset tiedot puretaan vain positiivisen koronatestin tapauksessa, tällaiset järjestelmät voivat todentaa käyttäjän yksityisyyden. Tällaiset lähestymistavat ovat enemmän kuin yksityisen lumivyörymajakkaan kantaminen - päinvastoin kuin valtion keskitetty valvontajärjestelmä. "

Tukeakseen projekteja tietosuojavaatimusten mukaisten ratkaisujen toteuttamisessa, noyb on julkaissut tapauskohtaisen asiakirjan yhteystietojen jäljityssovelluksista.

Luottamus on välttämätöntä tällaisten järjestelmien menestykselle

Ihmisten on voitava luottaa tekniikkaan koronaviruksen torjunnassa, jotta tarpeeksi ihmisiä osallistuu. Tämä voidaan saavuttaa esimerkiksi hyvällä tietojen salauksella, tietojen tallentamisella käyttäjän puhelimiin ja lähdekoodin julkaisemisella ("avoimen lähdekoodin").

Schrems: " Nämä projektit toimivat vain, jos suuri osa yhteiskunnasta osallistuu. Tätä varten tarvitsemme järjestelmiä, jotka mahdollistavat käyttäjien hallita tietojaan. Lähdekoodin on oltava tarkistettavissa. Jos tämä tehdään oikein, tällaisia järjestelmiä voidaan ehdottomasti suositella . "

Realistinen näkemys teknisistä mahdollisuuksista

Joidenkin lausuntojen yllätys on tällä hetkellä horjumaton usko tekniikkaan. Monimutkaisemmat sovellukset, kuten "kontaktien jäljittäminen" tartunnan jälkeen, eivät ole mahdollisia ilman erittäin spesifisiä tietoja. Ehdotukset, kuten kahden matkapuhelinverkon dataa käyttävän ihmisen välisen tartuntariskin laskeminen, ovat enemmän toiveajattelua kuin mahdollista teknistä todellisuutta.

Horst Kapfenberger, noyb : n tietojenkäsittelytieteen tutkija: "Matkapuhelinoperaattorien sijaintitiedot ovat epätarkkuuksiensa vuoksi ehdottomasti sopimattomia esimerkiksi koronaviruksen mahdollisten infektioiden määrittämiseen. Emme voi rakentaa mielekkäitä malleja epätarkkoilla raakatiedoilla."

Lisäksi koronaviruksen leviämisessä on edelleen epävarmuutta. Usein viruksen leviämisen tavoista ja aikataulusta on saatavilla hyvin erilaista ja epämääräistä tietoa. Mitä epäselvämmät viruksen leviämistä koskevat parametrit ovat, sitä vähemmän riskikontaktit voidaan laskea teknisten ratkaisujen avulla.

On olemassa vaara, että käyttäjät menetetään merkityksettömien varoitusten ja tietojen lumivyöryssä ("ylikuormitus"). Siksi on tärkeää kerätä tarvittavat tiedot tarvittavalla laadulla hankkeen tavoitteiden saavuttamiseksi.

Max Schrems: "Näiden järjestelmien ei ole tarkoitus arvata, mitkä mainokset saattavat olla kiinnostuneita, vaan väestön terveyden varmistamiseksi. Tarvitsemme siis tarkkoja, tarkkoja ja oikeita tietoja. Tilastotietojen saamiseksi riittää usein karkea ja tuntematon tieto. Infektioketjujen tallennusyrityksiin tarvitaan kuitenkin erittäin tarkkoja tietoja - jotka voidaan tallentaa paikallisesti ja salata käyttäjien tiloissa. "

Uploads