Koronavírus a sledovanie polohy ľudí pomocou mobilov – časť 2.
V prvej časti článku o sledovaní polohy ľudí sme sa zamerali na podmienky získavania a uchovávania získaných údajov z hľadiska GDPR. V tejto časti sa pozrieme na to, ako s nimi bude možné narábať a spracúvať ich.
Bezpečnosť osobných údajov spracúvaných v boji proti COVID-19
Najväčšou výzvou pre prevádzkovateľa bude dodržať zásady integrity a dôvernosti údajov, t.j. zabezpečiť ich v IT prostredí pred stratou krádežou, alebo zneužitím.
Nie je zatiaľ známe kedy začnú mobilní operátori lokalizačné dáta Úradu verejného zdravotníctva poskytovať, ale povinnosťou úradu je pred plánovaným spracúvaní vykonať posúdenie vplyvu na ochranu osobných údajov. Na základe medializovaných informácií:
- bude spracúvanie bude využívať moderné technológie
- budú spracúvané osobitné kategória údajov – údaje o zdraví
- bude dochádzať systematickému monitorovaniu osôb
- bude rozsah spracúvaných údajov veľký (veľká časť populácie)
- hrozí dotknutých osobám obmedzenie osobnej slobody (obmedzenie pohybu, karanténa)
Podľa čl. 35 nariadenia ak typ spracúvania, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účely spracúvania pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ pred spracúvaním vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov (tzv. DPIA).
Spracúvanie údajov o pohybe osôb, tak ako boli medializované, môže byť veľmi náročné a zatiaľ nebol predstavený systematický opis toho ako bude spracúvanie prebiehať. Medializovaný bol zámer, t.j. výsledok spracúvania (informovať občanov o riziku, ktoré predstavuje pohyb osôb). Prevádzkovateľa však bude musieť okrem zákonných požiadaviek splniť aj náročné technické požiadavky na bezpečnosť dát. Ak si ich zosumarizujeme:
- Meno a priezvisko
- Mobilné telefónne číslo
Na základe týchto údajov je osoba jednoznačne identifikovateľná
- údaje o zdraví (minimálne údaj či je COVID-19 pozitívna)
- lokalizačné údaje – údaje pohybe, alebo mieste pobytu
Spracúvanie týchto údajov pomocou moderných technológií (ich prenášanie, využívanie, poskytovanie, uschovávanie) predstavujú riziko pre práva a slobody osôb, najmä v dôsledku porušenia ich ochrany (únik údajov, zverejnenie, zneužitie spracúvania na iné účely, obmedzenie slobody v dôsledku nesprávnych údajov, a pod.).
Integrita a dôvernosť
Mobilní operátori si IT prostredie budovali roky, disponujú tímami odborníkov v oblasti kybernetickej bezpečnosti, majú aplikácie na analýzy veľkých dát. Úrad verejného zdravotníctva naproti tomu ničím podobným nedisponuje. Vybudovať bezpečný informačný systém ktorý by v priebehu pár týždňov, či mesiacov dokázal začať spracúvať poskytované osobné údaje, je nereálne.
Ak by sa dáta poskytnuté od mobilných operátorov týkali zopár osôb, spracovať ich pomocou Excelu, a máp bolo náročné na ľudské zdroje, ale v zásade možné. Ak ale mobilní operátori začnú poskytovať gigabajty a tera bajty dát týkajúce sa všetkých mobilných telefónov, nevedno ako ich úrade verejného zdravotníctva k sebe vôbec prenesie, kam si ich uloží, nehovoriac o tom, ako ich následne spracuje.
Zabezpečiť dôvernosť dát neznamená iba zaviazať pracovníkov mlčanlivosťou. Je potrebné im vytvoriť pracovné podmienky na to, aby sa mohli k údajom prihlasovať bezpečne, aby systém prístupových práv rozlišoval jednotlivé úrovne poverení na prácu, aby údaje nebolo možné neoprávnene kopírovať, alebo prenášať, aby ukladané a prenášané údaje boli zašifrované a aby odolali pokusom hackerov prelomiť ochranu a údaje zneužiť.
Druhou možnosťou spracúvania údajov je poskytnutie prístupu Úradu verejného zdravotníctva do špeciálne pripravených vyčlenených systémov priamo v IT prostredí operátorov. Bezpečnosť by bola vyriešená ľahšie, ale problémom je že dáta štyroch rôznych operátorov by sa nadali „spojiť“ a identifikovať kontakty ohrozených osôb by bolo limitované iba na okruh mobilov príslušného operátora.
Čo dodať na záver?
Niet pochýb o tom, že situácia s pandémiou ochorenia COVID-19 je vážna a treba hľadať aj nové riešenia na riešenie vzniknutej situácie. Pripravené, otestované a funkčné technologické riešenie v súčasnosti neexistuje.
Zámer využiť nové technológie je dobrý, ale legislatívne riešenie nie je dostatočnej konkrétne. Dáva právomoc úradu, ktorý nie je na to dostatočne technicky, organizačne ani personálne pripravený.
Zatiaľ (na základe zverejnených informácií) možno usudzovať, že poskytovanie údajov predstavuje pre dotknuté osoby väčšie riziko, ako prípadný prínos k ochrane životov a zdravia.
Autor článku: Dušan Peško, Senior Consultant