Az elmúlt napokban felerősödtek az adatok felhasználása körüli viták a koronajárvány leküzdésére.
Ezért írtunk egy ad hoc dokumentumot v0.3 (PDF, angol) a GDPR-nak való megfelelésről, és szeretnénk megragadni az alkalmat, hogy első áttekintést adjunk ezekről a projektekről.
A különböző intézkedések és projektek áttekintése
Sok szó esik a különböző koronaintézkedésekről és projektekről, amelyek célja a vírus terjedésének megfékezése az adatok felhasználásával. Ezek közé tartoznak például a következők:
- Információs portálok (például az öndiagnózishoz szükséges információk vagy a kockázati területek térképei),
- anonim adatelemzés (különösen a mobiltelefon-hálózatokból),
- olyan alkalmazások, amelyek megpróbálják rögzíteni a lehetséges fertőzési helyzeteket (kontaktkövetés),
- a karanténintézkedések ellenőrzésére szolgáló alkalmazások
- a fertőzött személyek nyomon követésére irányuló kísérletek különböző adatok, például mobiltelefon-nyomkövetés vagy hitelkártyaadatok felhasználása révén.
Egy gDPRhub.eu oldalon megjelent cikkben, noyb összeállított egy első áttekintést konkrét európai és Európán kívüli alkalmazásokról és projektekről, hogy némi fényt derítsen erre a kérdésre is.
E megközelítések túlnyomó többsége távol áll a tömeges megfigyelés problematikus formáitól vagy a "kínai megközelítésektől".
A GDPR lehetővé teszi az adatok felhasználását járványok esetén - a kérdés nem az, hogy ha, hanem az, hogy hogyan.
Számos kezdeti jelentéssel ellentétben nincs általános ellentmondás az adatvédelem (különösen a GDPR) és a személyes adatok felhasználása között a járványok elleni küzdelemben. Az olyan kijelentések, amelyek azt állítják, hogy az adatvédelemről "le kell mondani", úgy tűnik, téves jogértelmezésen alapulnak.
Max Schrems, a noyb tiszteletbeli elnöke: "A GDPR kifejezetten rendelkezik a járványok elleni küzdelemben történő adatkezelésről. Az adatvédelmi jogszabályokról tehát nem szabad "lemondani", hanem egyszerűen be kell tartani."
A GDPR 6. cikke (1) bekezdésének d) pontja és 9. cikke (2) bekezdésének i) pontja a preambulum szerint lehetővé teszi az adatok feldolgozását például a "határokon átnyúló egészségügyi veszélyek " elleni küzdelem vagy a "járványok" elleni küzdelem érdekében.
A GDPR azonban olyan szabályokat is tartalmaz, amelyek az alapvető jogainkba való beavatkozást a minimálisra korlátozzák, még a koronavírus elleni küzdelemben is.
Max Schrems: "A törvények lehetővé teszik az adatok felhasználását a koronavírus elleni küzdelemben, de csak ésszerű módon. A törvény az adatok felhasználását a feltétlenül szükségesre korlátozza. Az olyan koncepciókkal együtt, mint a 'Privacy by Design', lehetséges olyan jogilag megalapozott alkalmazásokat és rendszereket fejleszteni, amelyek segítenek a járvány elleni küzdelemben. A kérdés tehát nem az, hogy lehet-e személyes adatokat használni, hanem az, hogy hogyan lehet ezt megfelelően tenni."
A túlzott tömeges megfigyelés és bizonyos fontos információk gyűjtése és célzott feldolgozása között nagy a mozgástér. Az adatok felhasználása az alapvető jogok szempontjából is jelentheti a "kevésbé terhes utat" a mozgásszabadság vagy a vállalkozás szabadságának jelenlegi korlátozásához képest.
Schrems:"Hasznosak lehetnek például a helyben tárolt és titkosított önkövetésen alapuló önkéntes alkalmazások. Ha ezeket az adatokat csak pozitív koronateszt esetén dekódolják, az ilyen rendszerek igazolhatóan védhetik a felhasználók magánéletét. Az ilyen megközelítések inkább olyanok, mintha egy privát lavinajelzőt hordoznának magukkal - ellentétben egy központosított kormányzati megfigyelőrendszerrel."
Az adatvédelemnek megfelelő megoldások megvalósításával kapcsolatos projektek támogatására a noyb kiadott egy ad hoc dokumentumot a kapcsolatkövetési alkalmazásokról.
Az ilyen rendszerek sikeréhez bizalomra van szükség
Az embereknek bízniuk kell a technológiában a koronavírus elleni küzdelemben, hogy elegendő ember vegyen részt benne. Ezt olyan intézkedésekkel lehet elérni, mint a jó adattitkosítás, az adatok tárolása a felhasználó telefonján belül és a forráskód közzététele ("nyílt forráskód").
Schrems:"Ezek a projektek csak akkor működnek, ha a társadalom nagy része részt vesz bennük. Ehhez olyan rendszerekre van szükség, amelyek lehetővé teszik a felhasználók számára az adataik feletti ellenőrzést. A forráskódnak felülvizsgálhatónak kell lennie. Ha ez megfelelően történik, akkor az ilyen rendszerek mindenképpen ajánlhatók."
A technikai lehetőségek reális megítélése
Ami jelenleg meglepő néhány nyilatkozatban, az a technológiába vetett rendíthetetlen hit. Az összetettebb alkalmazások, mint például a fertőzés utáni "kapcsolatkövetés", nem valósíthatóak meg nagyon specifikus adatok nélkül. Az olyan javaslatok, mint például a két ember közötti fertőzés kockázatának kiszámítása a mobilhálózati adatok felhasználásával, inkább vágyálom, mint lehetséges technikai realitás.
Horst Kapfenberger, a noyb informatikusa: "A mobiltelefon-szolgáltatók helymeghatározási adatai pontatlanságuk miatt teljesen alkalmatlanok például a koronavírussal való lehetséges fertőzések meghatározására. Pontatlan nyers adatokkal nem tudunk értelmes modelleket építeni".
Emellett a koronavírus terjedésével kapcsolatban is vannak még bizonytalanságok. Gyakran nagyon eltérő és homályos információk állnak rendelkezésre a vírus terjedésének módjairól és időbeli ütemezéséről. Minél homályosabbak a vírus terjedését övező paraméterek, annál kevésbé lehet technikai megoldásokkal konkrét kockázati kapcsolatokat számítani.
Fennáll a veszélye annak, hogy a felhasználók elvesznek a lényegtelen figyelmeztetések és információk lavinájában ("információ-túlterhelés"). Ezért fontos, hogy a projekt céljainak tényleges elérése érdekében megfelelő minőségű, releváns adatokat gyűjtsünk.
Max Schrems: "Ezek a rendszerek nem arra szolgálnak, hogy kitalálják, milyen reklámok érdekelhetnek minket, hanem arra, hogy biztosítsák a lakosság egészségét. Ezért konkrét, pontos és korrekt információkra van szükségünk. Egy statisztikához gyakran elegendőek a durva és anonim adatok. A fertőzési láncok rögzítésére irányuló kísérletekhez azonban rendkívül pontos adatokra van szükség - amelyeket akár helyben, titkosítva is tárolhatnak a felhasználóknál."
