Ze względu na niezbędność przetwarzania dla ważnego interesu publicznego w dziedzinie zdrowia publicznego nasze prawo do prywatności i anonimowości może zostać zepchnięte na drugi plan. Aktualnie w tej właśnie kwestii toczą się dyskusje na międzynarodowym szczeblu. Co nas czeka i jak sprawa wygląda z punktu widzenie RODO?

Podstawy przetwarzania w ramach aplikacji Kwarantanna domowa

Mija miesiąc od wprowadzenia w Polsce aplikacji Kwarantanna domowa. Od początku kwietnia jest ona obowiązkowa dla osób zdrowych, które jednak „miały kontakt z chorymi lub podejrzewanymi o zakażenie koronawirusem”, a także dla wjeżdżających na teren RP z zewnątrz. Jest to aplikacja, która przede wszystkim usprawnia i ułatwia egzekwowanie obowiązkowej kwarantanny w warunkach domowych. Jej głównym zadaniem jest potwierdzenie uprawnionym instytucjom miejsca, w którym przebywa osoba objęta kwarantanną.

Administratorem danych przetwarzanych w ramach aplikacji Kwarantanna domowa jest Minister Cyfryzacji. Przetwarzanie danych osobowych w ramach tej aplikacji odbywa się przede wszystkim na podstawie art. 9 ust. 2 lit. i RRODO, tj. ze względu na niezbędność przetwarzania danych dla ważnego interesu publicznego w dziedzinie zdrowia publicznego, takich jak m.in. ochrona przed transgranicznymi zagrożeniami zdrowotnymi.

Europejskie plany dotyczące aplikacji do walki z koronawirusem

Od kilku dni coraz głośniej mówi się o aplikacjach wspierających walkę z pandemią SARS-CoV-2 na szczeblu międzynarodowym. Europejski plan działania prowadzący do zniesienia środków powstrzymujących rozprzestrzenianie się COVID-19 zakłada tzw. środki towarzyszące, służące zarządzaniu stopniowym znoszeniem środków izolacji. Spośród zestawienia wspomnianych środków, szczególnie dwa odnoszą się do zagadnień związanych z przetwarzaniem i ochroną danych osobowych:

  1. Gromadzenie danych i opracowanie solidnego systemu sprawozdawczości.
  2. Stworzenie ram śledzenia kontaktów i ostrzegania z wykorzystaniem aplikacji mobilnych zapewniających prywatność danych.

Wspólna baza danych

Gromadzenie danych i opracowanie solidnego systemu sprawozdawczości ma służyć przede wszystkim polepszeniu i zharmonizowaniu wymiany danych na szczeblu międzynarodowym, odnoszącym się do rozprzestrzeniania się wirusa oraz charakterystyki osób chorych oraz wyleczonych, a także ich potencjalnych bezpośrednich kontaktów. Co ciekawe, w rozważanych scenariuszach nie wyklucza się użycia danych z mediów społecznościowych, czy też danych od operatorów sieci komórkowych na potrzeby funkcjonowania swoistej bazy danych. Wskazuje się jednak, że miałoby to być przetwarzanie danych zanonimizowanych, odnoszących się tylko do mobilności, interakcji społecznych, a także dobrowolnych zgłoszeń dotyczących łagodnego przebiegu choroby.

Zasady śledzenia w aplikacji międzynarodowej

Kolejny środek, to stworzenie ram śledzenia kontaktów i ostrzegania z wykorzystaniem aplikacji mobilnych zapewniających prywatność danych. W przeciwieństwie do obowiązkowej aplikacji krajowej, planowana aplikacja „międzynarodowa” ma być całkowicie dobrowolna, a podstawą przetwarzania danych osobowych każdorazowo miałaby być zgoda użytkownika. Aplikacja ma ostrzegać obywateli o kontakcie z osobą, która otrzymała pozytywny wynik testu na COVID-19. Śledzenie bliskości między urządzeniami mobilnymi miałoby być realizowane w sposób anonimowy, bez namierzania obywateli, a nazwiska potencjalnie zakażonych osób nie powinny być ujawniane innym użytkownikom. Podstawowy planowany skutek zastosowania aplikacji, to przede wszystkim efektywne działania następcze, takie jak skuteczne ostrzeganie osób zainteresowanych na podstawie swoistej listy kontaktów. Zaufanie do tego rodzaju aplikacji ma być budowane przez zgodność z zasadami prywatności i ochrony danych osobowych. W tym celu Europejska Rada Ochrony Danych (dalej: EROD; dawna Grupa robocza art. 29) zajęła stanowisko dotyczące projektu Wskazówek dotyczących aplikacji wspierających walkę z pandemią COVID-19. Jest ono obecnie jedynie wstępne i częściowe, ale warto zwrócić uwagę na najważniejsze kwestie.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Główne wskazówki EROD dotyczące aplikacji do walki z COVID-19

EROD wskazuje, że aplikacja nie musi funkcjonować na zasadzie dobrowolności, tj. zgody osoby fizycznej. Podobnie jak w przypadku aplikacji Kwarantanna domowa, rozwiązanie międzynarodowe może być także oparte o niezbędność przetwarzania do wykonania zadania w interesie publicznym (tj. art. 9 ust. 2 lit. i RODO).

Rada przywiązuje dużo uwagi do zasady minimalizacji danych, tj. tworzenia tzw. listy kontaktów. Podkreśla, że aplikacja śledząc kontakty nie miałaby wymagać śledzenia lokalizacji użytkowników. Jej celem powinno być przede wszystkim wykrywanie zdarzeń, tj. faktycznego kontaktu z osobami, które uzyskały pozytywny wynik testu. Kompleksowe gromadzenie informacji na temat przemieszczania się użytkowników poprzez aplikację naruszałoby zasadę minimalizacji danych (tj. art. 5 ust. 1 lit. c RODO) i powodowałoby poważne zagrożenie dla bezpieczeństwa i prywatności. Nadto, zdaniem EROD, powinno się dążyć do zdefiniowania, co jest informacją o zdarzeniu, którą należy się podzielić z użytkownikami, a następnie dookreślić czy informacja ma być przechowywania w urządzeniach poszczególnych osób, czy też powinna być przechowywana tylko w sposób scentralizowany.

Pełna automatyzacja niewskazana

EROD podkreśla, że funkcjonowanie aplikacji nie powinno być całkowicie zautomatyzowane.

Ważny fragment

Konieczne jest działanie aplikacji pod nadzorem wykwalifikowanego personelu, który uniemożliwi wprowadzanie fałszywych wyników i będzie udzielał ewentualnych porad dotyczących kolejnych etapów postępowania.

EROD wskazuje na działanie mechanizmu oddzwaniania, dzięki któremu dana osoba otrzyma kanał kontaktowy w celu uzyskania dalszych informacji. Żaden z elementów ewentualnej porady nie może pozwalać na identyfikację innych osób zakażonych przez użytkownika. Istotna jest ochrona użytkowników aplikacji przed rozpowszechnianiem ewentualnego fałszywego alarmu społecznego, który mógłby powodować stygmatyzację. Dane osobowe wprowadzane do aplikacji, tj. przede wszystkim potwierdzone informacje o zarażeniu, powinny bazować na mechanizmie autoryzacji. Jako przykład podaje się jednorazowy kod, który mógłby być skanowany przez osobę po otrzymaniu pozytywnego wyniku testy. Następnie każdy indywidualny kontakt byłyby badany tylko przez organy ochrony zdrowia po dokonaniu oceny istotnych dowodów.

Podkreśla się także, że dane osobowe przetwarzane w ramach takiej aplikacji powinny być usuwane lub całkowicie anonimizowane bezpośrednio po zakończeniu kryzysu. Dla porównania można wskazać, że aplikacja Kwarantanna domowa wskazuje także potrzebę przechowania danych osobowych również przez okres przedawnienia roszczeń, który będzie liczony od momentu dezaktywacji aplikacji.

Ochrona prywatności w dobie pandemii

Przetwarzanie danych osobowych w obliczu pandemii jest szalenie ważnym tematem. Z całą pewnością aplikacja pozwalająca na ustalenie „listy kontaktów” osoby zakażonej ułatwi objęcie kwarantanną potencjalnych nosicieli. Niezwykle istotnym czynnikiem jest tutaj ochrona prywatności, i – jak słusznie wskazuje EROD – wykluczenie sytuacji, w której użytkownicy aplikacji (a szczególnie osoby zarażone) byłyby identyfikowane i w konsekwencji stygmatyzowane. Ciekawym i zapewne wysoce kontrowersyjnym rozwiązaniem byłoby obligatoryjne korzystanie z aplikacji, której działanie wówczas mogłoby być oparte na niezbędności przetwarzania do realizacji działań dla interesu publicznego.

Zagadnienie jest rozwojowe. Będziemy informować o postępach prac i rozwiązaniach.

AUTOR: Kacper Rączkowiak

Koronawirus: wskazówki dla pracowników i pracodawców

KADRY I PŁACE

  1. Wydatki pracodawcy na profilaktykę w walce z koronawirusem to KUP
  2. Koronawirus. Zamknięcie szkół i przedszkoli – uprawnienia pracowników/rodziców
  3. Od kiedy przysługuje zasiłek opiekuńczy – stanowisko ZUS
  4. Koronawirus – prawa pracodawców i pracowników
  5. Przetwarzanie danych osobowych w obliczu pandemii koronawirusa
  6. Rząd ogłasza Tarczę Antykryzysową, czyli pakiet osłonowy dla biznesu
  7. Zawieszenie badań okresowych pracowników na czas epidemii
  8. Jakie rozwiązania dla rynku pracy znajdziemy w przyjętej przez Sejm Tarczy Antykryzysowej?
  9. RODO a praca zdalna: 10 zasad bezpieczeństwa
  10. Rozwiązania Tarczy Antykryzysowej ratujące miejsca pracy
  11. Aplikacje do monitorowania osób na kwarantannie a RODO

PODATKI

  1. 10 podatkowych szczepionek przeciw koronawirusowi
  2. Tarcza Antykryzysowa. Postulaty podatkowe nieuwzględnione
  3. Jak „podatkowo” poprawić płynność, gdy Tarcza Antykryzysowa nie wystarczy
  4. Tarcza Antykryzysowa. Interpretacja indywidualna dopiero po 6-ciu, a nawet 9-ciu miesiącach
  5. TOP 10 propozycji Rządu na sezonowe wsparcie dla podatników w kryzysie koronawirusowym
  6. Decyzja o wsparciu w obliczu pandemii koronawirusa
  7. Zmiana warunków wsparcia w PSI/SSE
  8. Tarcza 2.0 – poświąteczne ostatki dla podatników
  9. Ceny transferowe – wyzwania w dobie COVID-19 i kryzysu gospodarczego
  10. Koronawirus powodem kolejnego odroczenia przepisów o WHT
  11. Łatwiejszy dostęp do Tarczy Finansowej PFR

PRAWO

  1. Pakiet osłonowy, czyli remedium na koronawirusa dla przedsiębiorców?
  2. Niewykonanie umów w czasach pandemii a odpowiedzialność w obliczu siły wyższej
  3. Jak zachować ciągłość działania spółek w czasie pandemii? Praca zdalna organów spółek
  4. Prokurent – nieocenione wsparcie w prowadzeniu biznesu (nie tylko) w obliczu pandemii koronawirusa
  5. Jak uniknąć odpowiedzialności za naruszenie umowy handlowej z kontrahentem zagranicznym w związku z pandemią?
  6. Sądy rejestrowe w dobie koronawirusa
  7. Czy obowiązki spółek zostaną odroczone w związku z epidemią koronawirusa?
  8. TOP 10 propozycji Tarczy Antykryzysowej dla dużych przedsiębiorców
  9. Niezłożenie wniosku o ogłoszenie upadłości drogą do utraty majątku prywatnego i wolności
  10. Zawiadomienie kontrahenta o problemach z wykonaniem umowy
  11. Handel w obliczu koronawirusa, czyli umowy z konsumentami zawierane na odległość
  12. Najem powierzchni w galeriach handlowych w świetle tarczy antykryzysowej, czyli więcej pytań niż odpowiedzi

FINANSE

  1. Ryzyko walutowe dla importerów znacznie wzrosło
  2. Konsekwencje pandemii z punktu widzenia kredytobiorcy
  3. Konsekwencje pandemii koronawirusa dla sprawozdań finansowych
  4. Tarcza Antykryzysowa – czy proponowane działania wystarczą by utrzymać płynność przedsiębiorstw?
  5. Wartość przedsiębiorstwa w czasach zarazy. Silne fundamenty ratunkiem na koronawirusa
  6. Importerzy z Chin nie są skazani na obecne poziomy USD/PLN
  7. Terminy raportowania w czasie pandemii
  8. Tarcza dla przedsiębiorców, czy ciągle jednak tylko listek figowy?
  9. Wydłużanie okresu spłaty kredytów w kontekście powiązanych transakcji zabezpieczających
  10. Regiony kierują unijne fundusze na walkę z epidemią
  11. Dofinansowanie pomoże w walce z COVID-19
  12. Sprawozdanie biegłego rewidenta z badania a epidemia. Istotna niepewność dotyczącej kontynuacji działalności

ZARZĄDZANIE 

  1. Koronawirus. Czy polscy pracodawcy są gotowi na pracę zdalną?
  2. Jak zarządzać projektem w kryzysie światowej pandemii?
  3. 10 przykazań antykryzysowych dla przedsiębiorców
  4. Łatwiej o dotację w obliczu pandemii koronawirusa

NARZĘDZIA CYFROWE I BEZPIECZEŃSTWO 

  1. Badania jakościowe – dlaczego i jak badamy produkty cyfrowe w czasie kwarantanny
  2. Badania w e-commerce – lekarstwo na problemy ze sprzedażą w e-sklepie
  3. eBOK – jak zaprojektować skuteczne Biuro Obsługi Klienta
  4. Biznes na video. Jak bezpiecznie prowadzić wideokonferencje

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Ochrona danych osobowych (RODO)

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.