„Kwarantanna domowa” w dobie cyfryzacji – czyli na co wyrażamy zgodę instalując aplikację w smartphonie

Wywiązywanie się z obowiązku pozostawania w zadeklarowanym miejscu przez osoby poddane kwarantannie jest weryfikowane przez władzę państwową. Niektórzy „kwarantannowicze” wyczekiwali codziennej wizyty policjantów lub przedstawicieli innych służb mundurowych pod oknami swoich domów, ten czas dobiegł końca. Służby przechodzą w tryb online – korzystanie z aplikacji mobilnej „Kwarantanna domowa” staje się obowiązkowe, choć korzystanie z niej nie wyklucza niezapowiedzianej wizyty służb mundurowych.

W celu monitorowania osób objętych kwarantanną, Ministerstwo Cyfryzacji wprowadziło innowacyjną aplikację mobilną „Kwarantanna domowa” – innowacyjną, ponieważ pierwszy raz wykorzystującą w taki sposób rozwiązania techniczne przez państwo. Aplikacja ma za zadanie weryfikację stosowania się osób objętych kwarantanną do poleceń odpowiednich służb i instytucji. Jednak w cyfrowym świecie nie wszystko jest takie, na jakie wygląda na pierwszy rzut oka, a korzystanie z aplikacji niesie za sobą wątpliwości związane z przetwarzaniem danych osobowych użytkowników.

Instalowanie aplikacji stało się obowiązkowe

Pomimo faktu, że aplikacja została początkowo udostępniona dla chętnych spośród tysięcy osób objętych kwarantanną (których liczba z dnia na dzień rośnie) oraz zapewnień ze strony Ministerstwa Cyfryzacji wyrażonych w regulaminie, że korzystanie z aplikacji jest dobrowolne, stało się to już nieaktualne. Użytkownicy zostali zobowiązani prawnie do wykorzystywania aplikacji ”Kwarantanna domowa”. Należy zwrócić szczególną uwagę na to jak wygląda sytuacja prawna osób objętych kwarantanną na gruncie uchwalonej ustawy z dnia 31 marca o zmianie niektórych ustaw w zakresie systemu ochrony zdrowia związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, która wprowadza  diametralnie zmiany do ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Ustawa zmieniająca dodaje do ustawy art. 7e, wprowadzający dla osób objętych kwarantanną obowiązek zainstalowania oraz używania aplikacji w celu realizacji obowiązku przestrzegania kwarantanny.  Ponadto nowelizacja ustawy przewiduje zamknięty katalog wyłączeń, które uzasadniają brak konieczności zainstalowania i korzystania z aplikacji – dotyczy to jedynie osób niewidzących lub niedowidzących, osób niekorzystających z  sieci telekomunikacyjnej oraz osób nieposiadających urządzenia mobilnego umożliwiającego zainstalowanie aplikacji (np. ze względu na parametry techniczne). Ustawodawca bardzo poważnie potraktował składanie oświadczenia o braku możliwości korzystania z aplikacji przez osobę objętą kwarantanną i obwarował je rygorem odpowiedzialności karnej za składanie fałszywych oświadczeń. Oświadczenie należy złożyć Policji lub państwowemu powiatowemu inspektorowi sanitarnemu właściwemu dla miejsca odbywania kwarantanny – również za pośrednictwem środków komunikacji elektronicznej. Po wprowadzeniu omawianej zmiany, konsekwencją było dokonanie aktualizacji regulaminu aplikacji przez Ministerstwo Cyfryzacji.

Zakres danych przetwarzanych w aplikacji i rzeczywista funkcjonalność aplikacji

Po ściągnięciu aplikacji, akceptacji regulaminu i wprowadzeniu kodu aktywującego otrzymanego przez sms użytkownik musi zezwolić aplikacji na dostęp do Internetu, aparatu, lokalizacji i zdjęć oraz wykonać zdjęcie referencyjne – to wszystko po to, aby aplikacja mogła automatycznie sprawdzać, czy osoba objęta kwarantanną przebywa w deklarowanej przez siebie lokalizacji (dane o lokalizacji znajdują się już w systemie aplikacji i pochodzą z kart lokalizacyjnych wypełnianych przez osoby, objęte kwarantanną. Aplikacja  wysyła zadanie wykonania „selfie” (zdjęcia z ręki), które powinno się obyć w przeciągu 20 minut od otrzymania sms z zadaniem i w granicach 100 metrów od zadeklarowanej lokalizacji. Ilość przychodzących smsów dziennie nie jest jednakowa, zadania wykonania selfie mogą być wysyłane nawet kilka razy dziennie, dlatego warto pamiętać, aby telefon był naładowany i zawsze pod ręką. Jeżeli osoba objęta kwarantanną nie wykona zadania, odpowiednie służby zostają o tym fakcie poinformowane i mogą zastosować środki przymusu określone w ustawie o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi[1]. Aplikacja umożliwia nieodpłatne (poza opłatą operatora za transmisję danych) usługi takie jak złożenie zapotrzebowania na artykułu żywnościowe, posiłek, kontakt z psychologiem, dostęp do komunikacji o aktualnej sytuacji epidemiologicznej i bezpośrednie połączenie ze służbami odpowiedzialnymi za nadzór nad poddanym kwarantannie.

Aplikacja przetwarza dane osobowe osób objętych kwarantanną. W regulaminie wskazano, że przetwarzanie danych obejmuje następujący zakres: id obywatela – techniczny identyfikator obywatela, imię, nazwisko, numer telefonu, deklarowany adres pobytu, zdjęcie, lokalizację obywatela, datę końca kwarantanny. W związku z przetwarzaniem stosunkowo szerokiego katalogu danych osobowych, należy zwrócić uwagę na RODO, które będzie miało zastosowanie dla wszystkich osób objętych kwarantanną. Podstawowym obowiązkiem Ministerstwa Cyfryzacji było zapewnienie dostępu do obowiązku informacyjnego, który powinien spełniać standardy z art. 13 RODO, co Ministerstwo Cyfryzacji wypełniło w ramach regulaminu aplikacji udostępnionego na stronie internetowej. Jednak treści wskazane w obowiązku informacyjnym budzą wątpliwości w zakresie prawidłowości ułożenia procesu przetwarzania danych osobowych.

Autoryzacja wizerunku – wykorzystywanie uwierzytelniania twarzy

Aplikacja podczas uruchomienia przetwarza dane lokalizacyjne urządzenia mobilnego, na którym jest zainstalowana oraz weryfikuje selfie osoby objętej kwarantanną. Analizując selfie aplikacja dokonuje weryfikacji metadanych zdjęcia (znacznik współrzędnych geograficznych i timestamp – czyli określenie czasu wykonania zdjęcia). Zdjęcie podlega dodatkowej weryfikacji przez technologię wykorzystywaną do autoryzacji na urządzeniach mobilnych i komputerach przenośnych, co wskazuje na popularną technikę uwierzytelniania twarzy zwaną FACE ID (nazwa wykorzystywana przez Apple Inc.), z której korzystają inne aplikacje m.in. aplikacje bankowe. Ministerstwo Cyfryzacji informuje, że w taki sposób przeciwdziała ewentualnym oszustwom jakie osoby poddające się kwarantannie mogłyby próbować wykorzystać np. zrobienie zdjęcia zdjęciu.

W ostatnim czasie pojawił się szereg publikacji na temat omawianej aplikacji, jednak jeszcze nikt nie pochylał się nad problemem analizy wizerunku osoby korzystającej z aplikacji. Na gruncie RODO wizerunek możliwej do zidentyfikowania osoby stanowi daną osobową. Taka sytuacja ma miejsce w przypadku Kwarantanny Domowej, która przetwarza imię, nazwisko i wizerunek osoby objętej kwarantanną. Aplikacja wykorzystuje technologię, która ma za zadanie weryfikować, czy osoba na wizerunku to rzeczywiście osoba poddana kwarantannie oraz czy wizerunek został utrwalony w odpowiedniej lokalizacji i odpowiednim czasie. Należy wskazać motyw 51 RODO który wskazuje, że w sytuacji przetwarzania wizerunku specjalnymi metodami technicznymi możemy mieć do czynienia z przetwarzaniem danych biometrycznych, czyli danych szczególnej kategorii. Zgodnie z motywem 51: „(…) fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości (…)”. Z informacji jakie udostępnia Ministerstwo Cyfryzacji wynika, że możemy mieć do czynienia z sytuacją przetwarzania przez Ministerstwo Cyfryzacji jako dostawcy aplikacji wizerunku w charakterze danych biometrycznych. Takie przetwarzanie nie znalazło odzwierciedlenia w treści obowiązku informacyjnego. W efekcie, obowiązek informacyjny nie daje użytkownikom wystarczających informacji na temat operacji przetwarzania ich danych przez aplikację, jest zatem wadliwie skonstruowany.

Czy okres retencji danych przetwarzanych w aplikacji jest odpowiedni?

Standardowy okres pojawiający się w wielu obowiązkach informacyjnych wskazuje na okres 6 lat, czyli okres przedawnienia roszczeń wynikający z art. 118 Kodeksu cywilnego. Jednak jeśli chodzi o główny cel funkcjonowania aplikacji – monitorowanie osób w okresie 14 dniowej kwarantanny – tak przyjęty okres retencji, czyli przechowywania danych budzi wątpliwość. Ministerstwo Cyfryzacji zapewnia, że okres ten nie dotyczy przetwarzania zdjęć, które mają zostać usunięte po dezinstalacji aplikacji, a jedynie zakresu pozostałych danych osobowych przetwarzanych przez aplikację. Jednak RODO w tym miejscu również jest pomocne i w motywie 39 wskazuje, że „(…) dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum (…)”. Trudno jest przyjąć za słuszne, że minimalny okres przechowywania danych przetwarzanych przez aplikację, która ma tak krótki okres funkcjonalności dla jej użytkowników (14 dni), będzie wynosić 6 lat. Ministerstwo Cyfryzacji powinno pochylić się nad ponownym przemyśleniem procesu przetwarzania danych osobowych w aplikacji, który powinien być możliwie jak najmniej ingerujący w prawa i wolności użytkowników objętych kwarantanną.

Podsumowanie – najważniejszy jest zaplanowany proces przetwarzania danych

Nigdy wcześniej służby publiczne w Polsce nie korzystały z narzędzi technicznych umożliwiających uwierzytelniania twarzy i to na taką skalę. Wykorzystywanie tego typu narzędzi niesie za sobą wiele zagrożeń, które mogą m.in. wpłynąć na rozszerzenie inwigilacji w stosunku do obywateli po zakończeniu stanu zagrożenia epidemiologicznego. Zarówno dla podmiotów publicznych, jak i prywatnych przedsiębiorstw wprowadzających na rynek aplikacje mobilne kluczowe jest prawidłowe ułożenie procesu przetwarzania danych osobowych. Ten złożony proces powinien być zgodny z przepisami i wskazówkami dotyczącymi przetwarzana danych osobowych, które wynikają z RODO. Proces należy rozpocząć od przemyślenia celów przetwarzania danych, zestawienia ich z podstawami prawnymi przetwarzania, zapewnieniem realnych środków realizacji praw dla osób, których dane będą przetwarzane, minimalizacji przetwarzanych danych, konieczności przeprowadzenia oceny skutków dla przetwarzania danych osobowych oraz zapewnić wszystkie niezbędne informacje dotyczące przetwarzania danych osobowych. Dla przedsiębiorców zainteresowanych wprowadzaniem innowacyjnych rozwiązań takich jak m.in. aplikacje mobile, związanych z przetwarzaniem danych konsultacja ze specjalistami może okazać się elementem pomocnym nie tylko na tle wsparcia podczas układania procesu przetwarzania danych osobowych oraz identyfikacji ryzyka związanego z udostepnieniem rozwiązań technicznych, ale także na tle biznesowym.

[1] Ustawa z dnia 5 grudnia 2008 o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi (Dz.U. z 2019 r. poz. 1239).