Artykuł 06.04.2020 10 min. czytania Tekst Image Technologia może pomóc nam w walce z pandemią koronawirusa, ale wdrażanie w trybie przyspieszonym nowych rozwiązań technologicznych nie może stać się furtką do naruszeń praw i wolności obywateli. Monitorowanie społecznych kontaktów przy pomocy narzędzi technologicznych zadziała tylko przy dużym poparciu i dobrowolnej współpracy ze strony ludzi. Taka postawa wymaga wysokiego poziomu zaufania obywateli do narzędzia, które zostanie im zaproponowane przez państwo. Wychodząc naprzeciw potrzebie chwili, przypominamy najważniejsze zasady projektowania narzędzi w sposób zgodny z RODO i budzący społeczne zaufanie: 1. Minimalizacja i poprawność danych W celu przeciwdziałania pandemii można przetwarzać tylko te dane, które są niezbędne do realizacji celu założonego w ramach konkretnego narzędzia (np. jeśli celem jest zarejestrowanie społecznej interakcji, która stwarza ryzyko zarażenia, wystarczy zapisanie pary urządzeń, które się „spotkały”, bez ich rzeczywistej lokalizacji). Co więcej, dostęp do danych powinny mieć tylko osoby i instytucje, które ten cel realizują (np. nie ma potrzeby, by obywatel korzystający z aplikacji do śledzenia społecznych kontaktów wiedział, kto naraził go na zakażenie; taką informację powinny otrzymać tylko służby sanitarne). Wykorzystywane powinny być tylko możliwie najbardziej prawidłowe dane o ludziach. Jest to szczególnie ważne w rozwiązaniach sprawdzających prawdopodobieństwo zarażenia na podstawie danych o lokalizacji: przetwarzanie niepotwierdzonych danych potęgowałoby chaos, bo użytkownicy otrzymywaliby fałszywe powiadomienia o możliwym zarażeniu. 2. Ograniczenie czasu przechowywania danych Dane osobowe nie powinny być przechowywane dłużej, niż jest to konieczne do zrealizowania konkretnego celu, jakiemu mają służyć. Na przykład zapis kontaktów społecznych przemieszczającej się osoby jest potrzebny tylko przez okres, w jakim standardowo pojawiają się objawy zakażenia (do 14 dni), a dane biometryczne osoby objętej kwarantanną, przesłane w raporcie z aplikacji, tylko do momentu zweryfikowania, że raport był poprawny. W ustalaniu maksymalnych terminów powinni brać udział lekarze, epidemiolodzy i eksperci techniczni. 3. Dane przechowywane na urządzeniu obywatela Narzędzia służące do zwalczania koronawirusa nie powinny prowadzić do tworzenia nowych baz danych, przechowywanych na serwerach administracji publicznej. Zasadą powinno być gromadzenie i przetwarzanie danych osobowych na urządzeniu osoby, której te dane dotyczą. Przekazanie danych na zewnętrzny serwer (np. zarządzany przez służby sanitarne) powinno następować tylko w ściśle określonych i uzasadnionych przypadkach (np. stwierdzonego incydentu zarażenia), a obywatel powinien być o tej konieczności uprzednio poinformowany. 4. Bezpieczeństwo, szyfrowanie i anonimizacja danych Dane osobowe powinny być szyfrowane, anonimizowane (tam, gdzie to niemożliwe - pseudonimizowane), a korzystające z nich aplikacje powinny zachowywać najwyższe standardy bezpieczeństwa i być poddawane odpowiednim audytom. W ramach walki z epidemią grozi nam przetwarzanie danych milionów obywateli przez systemy, które powstają pod presją czasu. To sytuacja podwyższonego ryzyka również w kwestii cyberbezpieczeństwa: jakikolwiek wyciek będzie miał katastrofalne skutki dla społecznego zaufania do technologii wdrażanych przez państwo. 5. Czytelna informacja dla obywateli Podstawą społecznego zaufania do narzędzi technologicznych służących walce z pandemią jest czytelna i zrozumiała informacja dla osób, których dane będą wykorzystywane. Obywatele powinni rozumieć zasady działania proponowanych im narzędzi, zakres zbieranych o nich danych oraz to, kto i w jaki sposób z tych danych skorzysta. 6. Otwartość kodu i przejrzystość algorytmów Standardem dla narzędzi służących do walki z pandemią powinna być pełna otwartość kodu oraz algorytmów stosowanych do analizy danych (np. parametry brane pod uwagę przy określaniu ryzyka zakażenia w kontakcie społecznym muszą być jawne). Tylko taki standard umożliwi publiczną kontrolę nad narzędziami technologicznymi, a zarazem przełoży się na ich bezpieczeństwo. Otwartość kodu daje bowiem możliwość szybszego zidentyfikowania błędów i możliwych zagrożeń dla prywatności, co dodatkowo wzmacnia zaufanie do danej aplikacji. 7. Publiczna kontrola nad narzędziami Każde narzędzie, z którego państwo zamierza skorzystać w walce z pandemią, powinno zostać wcześniej zweryfikowane pod kątem cyberbezpieczeństwa i standardów ochrony danych osobowych. W przypadku rozwiązań, których kod jest niedostępny do publicznej analizy, to państwo musi wykazać, że standardy bezpieczeństwa danych i ochrony prywatności są spełnione. W sytuacji, gdy takie rozwiązanie ma być wykorzystywane do zbierania danych osobowych obywateli, organ administracji musi mieć też pełną kontrolę nad systemem. Podpisz apel Wciąż można dopisać się do apelu, wysyłając maila o tytule: 7 filarów zaufania - popieram na adres: fundacja@panoptykon.org. Lista sygnatariuszy będzie aktualizowana cyklicznie, raz na dobę. Podpisy pod apelem przetwarzamy za pośrednictwem e-maila i podajemy do publicznej wiadomości na stronie panoptykon.org. Zebrane w ten sposób dane (tytuł naukowy, imię, nazwisko, adres e-mail, afiliacja) przetwarzamy w celu zarejestrowania Twojego poparcia dla apelu na podstawie naszego prawnie uzasadnionego interesu. Podanie danych jest dobrowolne, ale – w zakresie imienia i nazwiska oraz adresu e-mail – konieczne do wyrażenia poparcia dla apelu. Sygnatariusze apelu Dominik Batorski, Uniwersytet Warszawski Edwin Bendyk Piotr Beńke dr hab. Przemysław Biecek, Politechnika Warszawska Robert Bigos Grzegorz Borowski, Infoshare Maciej Broniarz, Centrum Nauk Sądowych UW Maciek Budzich, Mediafun Dominika Bychawska-Siniarska, Helińska Fundacja Praw Człowieka Jakub Chabik, Politechnika Gdańska Łukasz Chmielniak Mateusz Chrobok Szymon Ciupa, smartcity-expert.eu dr Aleksandra Gliszczyńska-Grabias, INP PAN Krzysztof Głomb, Miasta w Internecie dr hab. Agnieszka Grzelak, ALK Adam Haertle, ZaufanaTrzeciaStrona Natalia Hatalska, infuture.institute dr inż. Wacław Iszkowski Krzysztof Izdebski, Fundacja ePaństwo Łukasz Jachowicz, Internet Society Poland prof. Dariusz Jemielniak, MINDS, Akademia Leona Koźmińskiego Tomasz Karwatka, Divante dr Maciej Kawecki, Instytut Polska Przyszłości im. Stanisława Lema Wojciech Klicki, Fundacja Panoptykon Michał Kluska Filip Kłębczyk, Prezes Polskiej Grupy Użytkowników Linuxa Rafał Kłoczko, CD Projekt Red Piotr Konieczny, Niebezpiecznik dr Michał Kosiński, Stanford University Nikodem Krajewski Artur Krawczyk, Stowarzyszenie „Miasta w Internecie” Robert Kroplewski, Law Office Eliza Kruczkowska Artur Kurasiński Jakub Lipiński, przedsiębiorca dr Paweł Litwiński, Instytut Prawa Nowych Technologii i Ochrony Danych Osobowych Uczelni Łazarskiego Artur Marek Maciąg, Inicjatywa Kultury Bezpieczeństwa Daniel Macyszyn, Fundacja ePaństwo Mirosław Maj, Fundacja Bezpieczna Cyberprzestrzeń Lidka Makowska, Kongres Ruchów Miejskich Gdańsk Marcin Maruta dr Arwid Mednis, Wydział Prawa i Administracji Uniwersytetu Warszawskiego Łukasz Mikuła Natalia Mileszyk, Fundacja Centrum Cyfrowe Michal Olczak Igor Ostrowski dr hab. Marcin Paprzycki, IEEE Computer Society Bartosz Paszcza, Klub Jagielloński dr hab. Aleksandra Przegalińska, Akademia Leona Koźmińskiego dr Agnieszka Pugacewicz, DELab UW Małgorzata Ratajska-Grandin, OVHcloud prof. Wojciech Sadurski, University of Sydney dr Marlena Sakowska Baryła, Stowarzyszenie Praktyków Ochrony Danych Wojciech Sańko, Koduj dla Polski Wiktor Schmidt, Netguru Aneta Sieradzka, Sieradzka & Partners Kancelaria Prawna Andrzej Skworz, Press dr Anna Sledzińska-Simon, WPAiE Uniwersytetu Wrocławskiego prof. Arkadiusz Sobczyk, Uniwersytet Jagielloński dr hab. Dariusz Szostek dr Sebastian Szymański Katarzyna Szymielewicz, Fundacja Panoptykon dr hab. Katarzyna Śledziewska, DELab, Wydział Nauk Ekonomicznych Uniwersytetu Warszawskiego Kamil Śliwowski, Centralny Dom Technologii dr Alek Tarkowski, Fundacja Centrum Cyfrowe dr Krzysztof Wygoda, Wydział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski prof. Mirosław Wyrzykowski Arkadiusz Złotnicki, Stowarzyszenie „Miasta w Internecie” Jan Zygmuntowski, Instrat /dalsze podpisy w kolejności wpływania/ Antoni Napieralski, Uniwersität Wien Tomasz Zieliński, informatykzakladowy.pl Maria Magierska, European University Institute Filip Konopczyński, Fundacja Kaleckiego Tomasz Borys Daniel Ślęzak Damian Klimas, Wydział Prawa, Administracji i Ekonomii, Uniwersytet Wrocławski dr hab. Wojciech Filipkowski Agnieszka Rapcewicz Jacek Grzeszak, Polski Instytut Ekonomiczny Barbara Sowa Krzysztof Pietruszewski, Konin. Mam Prawo Wiedzieć Marek Śledzik, NOVA Komputery Michał Tabor, Ekspert PIIT, Obseratorium.biz Magdalena Doliwa-Górska Zofia Kondracka Jakub Smulewicz Marta Trzcionka dr Dominik Lubasz, Lubasz i Wspólnicy Michał Duszczyński Albert Lewandowski Aleksandra Kulińska, infuture.institute Kuba Piwowar, Uniwersytet SWPS dr hab. Renata Włoch, Instytut Socjologii UW, DELab UW Filip Pazderski, Instytut Spraw Publicznych Ewa Stęplewska - latarniczka projektu Polska Cyfrowa Równych Szans Igor Mróz Małgorzata Fraser, dziennikarka i publicystka r.pr. Tomasz Palak, tomaszpalak.pl Jacek Belof mgr inż. Artur Bać, EBASoft Grzegorz Szymczyk, Kancelaria Radcy Prawnego Grzegorz Szymczyk dr Helena Chmielewska-Szlajfer, Akademia Leona Koźmińskiego adw. Jacek Stefaniuk Maciej Mandelt, Stowarzyszenie Nomada Jan Stradowski, Człowiek 2.0 Tomasz Onyszko, CTO, Predica Patrycja Żarska-Cynk, Safety2gether Adam Mizerski Igor Pierściński Barnaba Mądrecki, pozycjoner, Poznań Dawid Suder, Katedra Informatyki AGH dr inż. Łukasz Faber, Akademia Górniczo-Hutnicza Witold Rakoczy, Polskie Towarzystwo Informatyczne dr Damian Karwala, Stowarzyszenie Praktyków Ochrony Danych adw. Ewelina Gębała Wiesława Lipińska Adam Aleksander Klimowski Witold Chomiczewski, Lubasz i Wspólnicy dr inż. Marek Brudka Łukasz Bieńkowski Andrzej Filipowicz Zbigniew Kupisz-Andrzejewski, CISA, CRISC Liubov Gorobiuk Krzysztof Rutecki, Encedo Artur Markiewicz, cyberkurs.online Paweł Smater Paweł Wołoszyn Mikołaj Domanowski Jarosław Potiuk, Polidea r.pr. Marcin Kozłowski dr Paweł Mirecki Jakub Schimmelpfennig, Fundacja Tikkunology r. pr. Magdalena Witkowska, przewodnicząca Komisji Praw Człowieka KIRP w imieniu Komisji r. pr. Mirosław Wróblewski, Biuro RPO, Komisja Praw Człowieka KIRP Iwona Burzej-Biel r. pr. Maciej Jankowski Rafał Siudak Michał Strzelecki Antonina Zofia Karczewska Tomasz Skraskowski, Tometchy.com Rafał Lorent dr Andrzej Klimczuk Mateusz Knyć, Stowarzyszenie Praktyków Ochrony Danych dr inż. Kajetan Wojsyk, Centrum Systemów Informacyjnych Ochrony Zdrowia Maciej Gruszczyński, Ariergarda sp. z o.o. Ada Florentyna Pawlak, Towarzystwo Etyki i Filozofii Techniki Maciej Jędrzejczyk Sławomir Kosieliński, Fundacja Instytut Mikromakro Michał Boni, Uniwersytet SWPS Piotr Michalak Ryszard Garbacz Michał Starczewski Adam Jurkiewicz, Superbelfrzy RP Tomasz Borkowski Henryk Szymański prof. dr hab. Mariusz Jagielski, Uniwersytet Śląski w Katowicach dr hab. Mariusz Krzysztofek Agnieszka Kubicka-Dzieduszycka Przemysław Florjanowicz-Błachut, prawnik dr hab. Agnieszka Bieńczyk-Missala, Uniwersytet Warszawski Justyna Zając Dagmara Księżyk dr Jakub Możaryn, Politechnika Warszawska Wojciech Flakiewicz Marcin Lenarczyk dr Aleksandra Binicewicz Ignacy Święcicki, Polski Instytut Ekonomiczny Tomasz Malinowski, programista Wiktoria Tomzik Monika Adamczyk Piotr Rutkowski, Instytut Mikromakro Maciej Lewkowicz Tomasz Hajduk Aleksandra Kardaś Michał Zemełka Krzysztof Dobosz, Katedra Informatyki Stosowanej, Uniwersytet Mikołaja Kopernika Rafał Staszek vel Staszewski, Akademia Leona Koźmińskiego Maciej Garmulewicz dr Bartosz Walter Tomasz Kulisiewicz, Ośrodek Studiów nad Cyfrowym Państwem Jarosław Rafa Grzegorz Tanecki, Inspektor Ochrony Danych Roman Nuckowski Grzegorz Ojrzanowski Błażej Marciniak Sylwia Jarmusz-Sokołowska, Uniwersytet Łódzki, fundacja Obszar Wspólny Ewa Siedlecka Aneta Rut Zbigniew Lisiecki, ISOC Mariola Wiatrowska Damian Grodziński dr Dominika Kaczorowska-Spychalska, Centrum Mikser Inteligentnych Technologii Uniwersytetu Łódzkiego r.pr. Agnieszka Oleszczuk-Sowa r. pr. Paweł Bronisław Ludwiczak Miłosz Kłosowicz Tomasz Janowski, Stowarzyszenie Funkcja Miasto Magdalena Włodarczyk Dariusz Parzych, Politechnika Warszawska Jan Kowalik Marcin Kordas Łukasz Bieliński dr Radosław Szymanek Robert Ząbkiewicz, Motorola Solutions Szymon Mikitiuk Krzysztof Kinda mgr inż. Dorota Kawalec Michał Kadlof, Centrum Nowych Technologii adw. Marcin Maciejak Draginja Nadażdin Włodzimierz Napierała Wesprzyj nas w walce o wolność! Wpłać darowiznę na konto Fundacji Panoptykon i przekaż 1% podatku (KRS: 0000327613). Maria Wróblewska Autorka Temat koronawirus Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Zobacz także Podcast Życie za filtrem. Rozmowa z Jackiem Dukajem Koronawirus, wirus akcelerator, przyspieszył wpychanie nas w zglobalizowany świat cyfrowy. Na naszych oczach rozpadają się wspólnoty, tracimy zdolność krytycznego myślenia i doświadczamy rzeczywistości już tylko w sposób zapośredniczony. Cyfrowe korporacje filtrują nam świat, bo inaczej się nie da… 19.05.2021 Dźwięk Podcast Technologią w wirusa. Rozmowa z Małgorzatą Fraser Na całym świecie technologia została wysłana na walkę z koronawirusem. Jednak podejście do tego, kogo i w jaki sposób monitorować, różni się w zależności od państwa. Dziś zapraszamy Was w wieloetapową podróż od dalekich Chin aż po Europę. O tym, czym różnią się poszczególne rozwiązania opowiada… 16.04.2020 Dźwięk Artykuł Certyfikaty odporności przepustką do normalnego życia? Nie idźmy tą drogą! Już na początku pandemii Bill Gates przewidywał (ostrzegał?), że powrót do nieograniczonego podróżowania będzie możliwy pod warunkiem wprowadzenia „certyfikatów odporności”. W ostatnich miesiącach koncepcja zmutowała i mimo krytyki ze strony naukowców kolejne rządy flirtują z nią, szukając drogi… 29.05.2020 Tekst