„Rządowa aplikacja może pomóc w łagodzeniu skutków pandemii, nie możemy jednak zapominać o ochronie prywatności. Historia uczy nas, że kryzysy i okresy zagrożenia bywają wykorzystywane do nadmiernej ingerencji w prawa i wolności, a rozwiązania przyjęte na czas kryzysu pozostają z nami na długo”, ostrzegają prawnicy z Helsińskiej Fundacji Praw Człowieka

Minister cyfryzacji ogłosił, że w tym tygodniu będzie gotowa aplikacja mobilna, która ustali, czy użytkownik telefonu miał kontakt z osobą zakażoną koronawirusem. Jej działanie ma opierać się na monitorowaniu położenia dużej liczby osób – tylko w ten sposób rozwiązanie będzie skuteczne. Korzystanie z aplikacji może pomóc w zahamowaniu rozprzestrzeniania się wirusa w okresie znoszenia ograniczeń poruszania się wprowadzonych w związku z pandemią. Aplikacja musi być wprowadzona w sposób rozważny i transparentny, tak aby nadmiernie nie ingerować w naszą prywatność.

Stosowanie aplikacji mobilnych określających, czy użytkownicy powinni poddać się kwarantannie, zapoczątkowano w lutym w Chinach. Osobom korzystającym z aplikacji przypisywany jest kod – zielony, żółty lub czerwony – który określa ich status zdrowotny. Kilka tygodni po uruchomieniu aplikacji, „New York Times” podał, że informacje dotyczące osób korzystających z aplikacji gromadzone są na centralnym serwerze i najprawdopodobniej przekazywane policji. Nie wiadomo, na jakiej zasadzie przyznawane są oznaczenia. Aplikacje pozwalające na sprawdzenie, czy doszło do bliskiego kontaktu z osobą zarażoną, stosuje się już w ponad 20 krajach na całym świecie. Rozwiązania nie są jednak identyczne. Przykładowo, w przypadku systemu wprowadzonego w Singapurze dane są przechowywane na telefonach użytkowników i użytkowniczek. Jeśli jednak zdiagnozowano u nich chorobę COVID-19, są zobowiązani współpracować z władzami, między innymi poprzez udostępnienie ministerstwu zdrowia danych aplikacji w celu identyfikacji osób, z którymi mieli kontakt.

Polska aplikacja

W Polsce także trwają prace nad aplikacją, która ma kontrolować i zahamować rozprzestrzenianie się wirusa. Już 3 kwietnia Ministerstwo Cyfryzacji poinformowało na swojej stronie internetowej, że nad takim rozwiązaniem pracuje grupa polskich programistów. Na stronie ministerstwa czytamy: „[w] momencie, kiedy jeden z użytkowników zaznaczy w aplikacji, że ma koronawirusa – dane o urządzeniach napotkanych przez jego telefon w trakcie ostatnich dwóch tygodni trafią na specjalny serwer. Ten przekaże tę informację na urządzenia napotkanych przez chorego (w ciągu ostatnich 14 dni) osób, biorąc pod uwagę długość i częstotliwość spotkań (zgodnie z wytycznymi WHO). Wówczas zmieni się ich status (z zielonego na czerwony)”.

Na uznanie zasługuje decyzja o udostępnieniu kodu źródłowego i deklaracja, że dane o napotkanych urządzeniach będą przechowywaniu jedynie na aparatach telefonicznych. Eksperci zajmujący się tematyką ochrony danych osobowych zwrócili jednak uwagę, że wprowadzenie do użycia tego typu aplikacji oznacza znaczną ingerencję w prywatność użytkowników, a choć samo korzystanie z aplikacji ma być dobrowolne, to ze względu na presję społeczną zgody udzielonej na przetwarzanie danych osobowych nie można uznać za faktycznie dobrowolną. W ostatnich tygodniach w związku z działaniami rządu, w przestrzeni publicznej pojawił się także apel o projektowanie technologii, które mają pomóc w walce z korona wirusem zgodnie z zasadami przetwarzania danych osobowych wymienionych w RODO.

W tym samym czasie Sejm przyjął ustawę, która w związku z przeciwdziałaniem koronawirusowi przewiduje pozyskiwanie danych o lokalizacji użytkowników od operatorów telekomunikacyjnych. Ustawa oczekuje teraz na podpis prezydenta. W aktualnym brzmieniu projekt mówi o dwóch trybach gromadzenia danych w czasie stanu zagrożenia epidemicznego, stanu epidemii albo stanu klęski żywiołowej. Po pierwsze, operatorzy będą zobowiązani do udostępniania ministrowi cyfryzacji na jego żądane danych z ostatnich 14 dni o lokalizacji użytkownika zarażonego koronawirusem lub objętego kwarantanną. Ponadto minister cyfryzacji będzie mógł pozyskiwać informacje o lokalizacji także innych użytkowników, ale w tym przypadku dane mają być zanonimizowane. Wcześniejsza wersja projektu, do której dotarły media, przewidywała jeszcze trzeci tryb, który umożliwiał premierowi wydanie polecenia przekazania także innych danych o lokalizacji, czyli również danych niezanonimizowanych i niedotyczących osób zarażonych ani poddanych kwarantannie. Ten fragment przepisu spotkał się z szeroką krytyką i szczęśliwie został wykreślony.

Nieprecyzyjne przepisy

Należy jednak zauważyć, że konstrukcja także pozostałych dwóch sposobów pozyskiwania danych może budzić pewne wątpliwości. Ustawa nie określa bliżej celu gromadzenia tych informacji. Nie jest jasne, czy chodzi tu weryfikację, czy osoba zobowiązana do izolacji lub kwarantanny wywiązuje się z tego obowiązku, czy też ma to również służyć odtworzeniu miejsc, w których dana osoba przebywała – i potencjalnie osób, z którymi mogła się kontaktować – także zanim dowiedziała się, że jest zarażona lub musi poddać się kwarantannie. Nie wiadomo również, jak długo dane te mają być przechowywane – projekt nie przewiduje, że mają być one zniszczone po zakończeniu kwarantanny czy nawet po wycofaniu stanu epidemii. Wreszcie, brakuje informacji o jakiejkolwiek kontroli nad pozyskiwaniem tych danych – nie przewidziano nawet następczej i zasadniczo zbiorczej kontroli sądowej, która jest stosowana wobec pozyskiwania danych telekomunikacyjnych przez policję i inne służby. Wątpliwości budzi także możliwość skutecznej anonimizacji danych o lokalizacji użytkowników. Istotne byłoby ujawnienie planowanych metod anonimizacji oraz innych technicznych i organizacyjnych środków, które mają zapewnić poszanowanie praw osób, których dane są przetwarzane. Przyjęte zmiany budzą także wątpliwości w świetle niedawnych wytycznych wydanych w związku z wirusem przez Europejską Radę Ochrony Danych, czyli niezależny organ europejski, w którego skład wchodzą krajowe organy ochrony danych z całej Unii. Rada zwróciła uwagę, że korzystanie z niezanonimizowanych danych z sieci komórkowych dotyczących lokalizacji stanowi inwazyjny środek, dopuszczalny tylko w wyjątkowych okolicznościach, który musi być poddany wzmożonej kontroli i powinny mu towarzyszyć odpowiednie zabezpieczenia przed ryzykiem nadużyć.

Rząd działa „bez żadnego trybu”

Jak ujawniła Fundacja Panoptykon, rząd jednak nie czekał na przyjęcie procedowanej ustawy i już obecnie może pozyskać od operatorów niezanonimizowane dane o lokalizacji telefonów w związku z epidemią koronawirusa. Pod koniec marca premier zobowiązał operatorów telekomunikacyjnych do przekazywania takich danych wszystkim wojewodom oraz właściwym terytorialnie jednostkom służb ustawowo powołanych do niesienia pomocy. Polecenie dotyczy informacji o lokalizacji nie tylko osób poddanych kwarantannie, hospitalizacji oraz izolacji, ale również osób podlegających nadzorowi epidemiologicznemu, który nie wiąże się z całkowitym zakazem opuszczania domu, lecz jedynie z ograniczeniem wyjść i kontaktów z innymi oraz kontrolą swojego stanu zdrowia w porozumieniu z pracownikami inspekcji sanitarnej. Decyzja ta została wydana na podstawie nowego uprawnienia premiera do wydawania poleceń prywatnym przedsiębiorstwom, nie została w żaden sposób uzasadniona i ujrzała światło dziennie wyłącznie dzięki wnioskowi o informację publiczną, złożonemu przez Sieć Obywatelską Watchdog Polska.

„Ile wolności jesteśmy gotowi poświęcić, żeby poczuć się bezpiecznie?”. Po atakach na World Trade Center w 2001 roku to pytanie padało w kontekście „wojny z terroryzmem”. Obecnie politycy i dziennikarze ponownie odwołują się do wojennej retoryki. Tym razem wrogiem jest wirus, a walczymy o zdrowie. Dla władz Stanów Zjednoczonych konieczność zdławienia międzynarodowych grup terrorystycznych leżała u podstaw poszerzenia uprawnień służb specjalnych. Służbom umożliwiono nadzorowanie aktywności użytkowników i użytkowniczek w internecie, zbieranie informacji o tym, dokąd podróżujemy oraz umożliwienie dostępu do danych o tym, z kim i o czym rozmawiamy. Informacje ujawnione w 2013 roku przez Edwarda Snowdena ukazały masową skalę inwigilacji prowadzonej przez służby specjalne USA i Wielkiej Brytanii. Skala nadzoru nad obywatelami i obywatelkami nie są proporcjonalne i wykraczają poza deklarowane cele związane z bezpieczeństwem narodowym. W Polsce również zwracano uwagę na nadużycia w związku ze stosowaniem kontroli operacyjnej i zbyt częste sięganie przez służby po dane operatorów telekomunikacyjnych.

W obliczu zagrożenia życia i zdrowia, ochrona prywatności schodzi na dalszy plan. W wielu sytuacjach jest to uzasadnione, bo z wyjątkiem kilku praw absolutnych, prawa człowieka mogą być ograniczane. Wymaga to jednak spełniania szeregu warunków. Za każdym razem należy rozważyć, czy wyznaczonego celu, w tym wypadku ograniczenia rozpowszechniania się choroby, nie można osiągnąć za pomocą środka, który w mniejszym stopniu ingeruje w prawa człowieka. Każde rozwiązanie, zarówno legislacyjne, jak i technologiczne, musi być proporcjonalne do celu. Ponadto powinny mu towarzyszyć techniczne i prawne zabezpieczeniami ograniczające ryzyko nadużyć.

Ponieważ podejmowane kroki – monitorowanie kontaktów, śledzenie lokalizacji osób oraz związane z tym profilowanie – mają charakter bezprecedensowy, tym bardziej potrzebna jest szczególna przejrzystość takich działań, umożliwiająca odpowiednią kontrolę społeczną nad przyjmowanymi rozwiązaniami. Historia uczy nas, że kryzysy i okresy zagrożenia bywają wykorzystywane do nadmiernej ingerencji w prawa i wolności, a rozwiązania przyjęte na czas kryzysu pozostają z nami na długo. Powracają również głosy, że powinnyśmy zweryfikować nasze dotychczasowe rozumienie praw i wolności, bo ich standardy ochrony rzekomo nie są przystosowane do nowych zagrożeń, czy wręcz – że musimy wybrać między naszymi prawami a bezpieczeństwem. Takie postawienie problemu jednak nie tylko może łatwo prowadzić do nadużyć, ale również przedstawia fałszywy obraz standardów ochrony naszych praw podstawowych. W rzeczywistości stanowią one bowiem instrument, do którego istoty należy równoważenie wartości – w tym bezpieczeństwa i zdrowia. Jednocześnie standardy ochrony praw człowieka wyznaczają granicę przed nieproporcjonalnymi środkami ingerencji i wskazują, jakie gwarancje powinny towarzyszyć nawet daleko idącym ingerencjom w nasze prawa. Dlatego nawet w sytuacjach bezprecedensowych nie powinniśmy godzić się na konieczność wyboru między naszymi prawami a bezpieczeństwem.

Fot. Wallpaperflare.com