Chcecie zagranicznego urlopu? Wakacyjnych wojaży? Lata pełnego przygód poza domem? Stosowanie aplikacji do śledzenia kontaktów może być na to sposobem – twierdzi unijna komisarz Margrethe Vestager
Złota plaża pośród palm, zapach pinii nad Adriatykiem, pląsy w rytm egzotycznej muzyki. Słońce, morska bryza, zapierające dech widoki i unikatowe zabytki. Przywołując nadchodzące lato, unijna komisarz Margrethe Vestager, wiceprzewodnicząca Komisji Europejskiej ds. cyfrowej Europy, stwierdziła w czasie debaty europarlamentarnej komisji rynku wewnętrznego (IMCO), że aplikacje mobilne śledzące nasze kontakty mogą być „znaczącym wsparciem” w łagodzeniu ograniczeń w podróżowaniu. Wywołała szerszą dyskusję na ten temat, a dziś (14 maja) o aplikacjach śledzących kontakty transgranicznie debatował Parlament Europejski. Ale po kolei.
Kluczowe przejrzystość i zaufanie
Vestager na posiedzeniu komisji IMCO 4 maja stwierdziła, że Unia „może w pełni wykorzystać te aplikacje, aby umożliwić niektórym podróżowanie w okresie wakacyjnym”. Została zaproszona na debatę Komisji po tym, jak ministrowie spraw wewnętrznych UE podkreślili kilka dni wcześniej, że wspólne podejście do korzystania z aplikacji śledzących „może przyczynić się do złagodzenia lub zniesienia kontroli na granicach wewnętrznych i potencjalnego zniesienia ograniczeń wjazdu na zewnętrznych granicach Unii”.
Vestager mówiła do europosłów z IMCO, że przejrzystość i zaufanie są kluczowymi aspektami dobrowolnego wdrożenia technologii, której skuteczność może zależeć od liczby korzystających z niej osób. Mówiła wówczas, że „różne aplikacje mogą ze sobą współpracować, co pomoże zapewnić bezpieczeństwo podróży i turystyki transgranicznej tego lata”.
„Musimy również upewnić się, że wszyscy programiści aplikacji opracowują urządzenia, które mogą ze sobą współpracować” – mówiła Vestager. Ostrzegała również, że „bez technologii bardzo trudno będzie otworzyć [społeczeństwo – red.] w stopniu, jakiego wszyscy pragniemy” – zwłaszcza że nowe ogniska koronawirusa mogą pojawiać się aż do opracowania szczepionki.
Wytyczne i narzędzia
W połowie kwietnia Komisja Europejska przedstawiła zestaw wytycznych przyjętych przez państwa członkowskie na temat korzystania z aplikacji mobilnych do śledzenia kontaktów w kontekście pandemii koronawirusa. 17 kwietnia Parlament Europejski uzgodnił rezolucję, że dane z tych aplikacji nie powinny być przechowywane w scentralizowanych bazach danych, które „zawsze są zagrożone i które mogłyby zagrozić wdrożeniu tych aplikacji na dużą skalę” . Podkreślił w niej w odniesieniu do aplikacji śledzącej kontakty, że „władze krajowe i unijne muszą w pełni przestrzegać przepisów o ochronie danych i prywatności” oraz że „dane o lokalizacji na urządzeniach mobilnych mogą być przetwarzane wyłącznie zgodnie z zasadą prywatności elektronicznej i RODO”.
Stwierdzono też, że korzystanie z aplikacji nie może być obowiązkowe i że powinny być zastosowane klauzule wygaśnięcia, tak aby można było zlikwidować aplikacje, gdy pandemia się skończy.
Posłowie podkreślili też potrzebę zanonimizowanych danych, aby ograniczyć ryzyko potencjalnych nadużyć.
Aby uważnie śledzić postęp choroby – i szybko zidentyfikować jej ogniska – kraje UE zgodziły się zapewnić transgraniczne działanie aplikacji telefonicznych śledzących kontakty
Parlament zaznaczył również, że powinno być jasno przedstawione, jak aplikacje mają pomóc w ograniczaniu zarażeń, jak działają oraz jakie są interesy handlowe ich deweloperów.
„Zbieranie informacji o przemieszczaniu się poszczególnych osób w kontekście aplikacji do śledzenia kontaktów spowodowałoby poważne problemy z bezpieczeństwem i prywatnością” – stwierdzono w zestawie narzędzi UE* przyjętym przez kraje unijne i wspieranym przez Komisję Europejską. Poza tym brak koordynacji między państwami członkowskimi może powodować problemy przy przekraczaniu granic i stwarzać wyzwania techniczne, takie jak interoperacyjność między różnymi aplikacjami.
Jednak według ekspertów decentralizacja aplikacji do śledzenia kontaktów daje lepszą ochronę danych. „Staramy się osiągnąć konsensus z państwami członkowskimi w sprawie podejścia zdecentralizowanego” – powiedziała posłom z IMCO Vestager. Warto zaznaczyć, że jeszcze wtedy Francja i Wielka Brytania broniły stosowania podejścia scentralizowanego.
A co z wolnością?
Wykorzystaniem i ochroną danych osobowych w zarządzaniu COVID-19, w tym aplikacjami na smartfony 7 maja zajął się Komitet Wolności Obywatelskich [LIBE]. W dyskusji uczestniczyli m.in. dr Wojciech Wiewiórowski, Europejski Inspektor Ochrony Danych (EIOD) i Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych (EDPB). Omówiono m.in. narzędzia używane już w państwach członkowskich w celu przeciwdziałania rozprzestrzenianiu się pandemii na podstawie danych z telefonów komórkowych poszczególnych osób.
Posłowie przyznali, że aplikacje do ustalania kontaktów ostrzegające ludzi, którzy przez jakiś czas przebywali w pobliżu zakażonej osoby, okazały się najbardziej obiecujące z punktu widzenia zdrowia publicznego. Wartością dodaną tych aplikacji jest to, że mogą rejestrować kontakty, których dana osoba może nie zauważyć lub nie pamiętać.
– Niektóre zainteresowane strony postrzegają obecny kryzys jako szansę i wskazują na ochronę danych jako przeszkodę. Ale ochrona danych nie jest problemem – jest częścią rozwiązania. Nowa normalność nie powinna ustąpić miejsca trwałej erozji praw, z którą walczyliśmy. Unijne przepisy dotyczące ochrony danych muszą być częścią unijnej drogi do naprawy gospodarczej – mówił Wiewiórowski. – Pandemia będzie testem dla naszej cywilizacji. EIOD planuje przeprowadzić dokładną analizę długoterminowych implikacji tej pandemii dla naszych podstawowych praw i wolności – zaznaczył.
Najlepiej przez Bluetooth
EIOD poinformował Komisję o możliwości wykorzystania zagregowanych i zanonimizowanych danych dotyczących lokalizacji do monitorowania rozprzestrzeniania się ogniska COVID-19. Tego samego dnia (7 maja) opublikował najnowsze wydanie „Tech Dispatch„, cyklicznego raportu wyjaśniającego rozwój technologii. Tym razem dotyczył aplikacji do śledzenia kontaktów zakaźnych.
– Stwierdza m.in., że dzięki globalnym systemom nawigacji satelitarnej, śledzących lokalizację, takim jak GPS lub Galileo, smartfony mogą określać swoje położenie geograficzne z dokładnością do 5 metrów, ale nie nadają się do śledzenia kontaktów w transporcie publicznym czy w sklepach.
Poza tym ponieważ dane o lokalizacji są podatne na ponowną identyfikację, w ogóle najlepiej unikać śledzenia na podstawie lokalizacji. Z kolei dzięki technologii Bluetooth Low Energy smartfony wysyłają wiadomości z małymi pakietami danych do swojego najbliższego otoczenia, zwykle w odległości od kilku do kilkuset metrów. Aplikacje do cyfrowego śledzenia zbliżeniowego na smartfony nie wymagają śledzenia lokalizacji poszczególnych użytkowników.
Współpracujące aplikacje
13 maja Komisja opublikowała wytyczne dotyczące interoperacyjności dla zatwierdzonych aplikacji mobilnych do śledzenia kontaktów. KE poinformowała, że wszystkie państwa członkowskie i Komisja uważają, że interoperacyjność między aplikacjami oraz między systemami zaplecza ma zasadnicze znaczenie dla tych narzędzi, aby umożliwić śledzenie transgranicznych łańcuchów zakażeń. Ostatecznie wysiłki te będą wspierać stopniowe znoszenie kontroli granicznych w UE i przywrócenie swobody przemieszczania się.
Aplikacje do śledzenia kontaktów zakaźnych są instalowane przez obywateli dobrowolnie i opierają się na technologii bliskości Bluetooth, która nie umożliwia śledzenia lokalizacji osób. Zatem przedstawione 17 kwietnia wytyczne zostaną uzupełnione o specyfikacje interoperacyjności dla transgranicznych łańcuchów transmisji pomiędzy zatwierdzonymi aplikacjami.
Trzy etapy uwalniania
Podczas gdy decyzje o ponownym otwarciu granic należą do rządów krajowych, Bruksela wezwała 27 państw UE do przyjęcia skoordynowanego podejścia do zniesienia ograniczeń. Proponuje trzystopniowe otwieranie granic, zaczynając od obecnej sytuacji, w której zakazuje się większości nieistotnych podróży transgranicznych. W kolejnej fazie UE chce znieść ograniczenia na granicach między krajami i regionami na podobnym etapie pandemii i tam, gdzie poprawia się sytuacja zdrowotna. W końcowej fazie mają być zniesione wszystkie kontrole graniczne.
Podróżujący powinni nosić maski na twarzy podczas wspólnego transportu, a hotele i restauracje będą zachęcane do ograniczenia liczby gości. Aby uważnie śledzić postęp choroby – i szybko identyfikować jej ogniska – kraje UE zgodziły się zapewnić transgraniczne działanie aplikacji telefonicznych śledzących kontakty.
Dyskutował parlament
KE zaleciła ostatnio przedłużenie tymczasowych obostrzeń w podróżowaniu na obszar UE+ (kraje strefy Schengen plus cztery kraje stowarzyszone: Islandia, Liechtenstein, Norwegia i Szwajcaria) do 15 czerwca.
Posłowie PE podkreślali w dzisiejszej debacie (14 maja), że podróżowanie między krajami nie może być uzależnione od instalacji takiej aplikacji ani też otwarcie granic nie powinno być zależne od ich stosowania.
Aplikacje do śledzenia kontaktów muszą być dobrowolne, przejrzyste, czasowe, cyberbezpieczne, oparte na technologii Bluetooth i interoperacyjne między granicami
Poseł Paul Tank stwierdził, że najlepiej, aby takie aplikacje nie były zależne od gigantów technologicznych jak Apple i Google, które oferują oprogramowanie smartfonów. Laura Ferrara mówiła o konieczności szerokich kampanii informujących, jak działają takie aplikacje, gdzie gromadzone są dane. Sophia In ‘t VELD apelowała o pełną transparentność – czemu kraje wybierają taką a nie inna aplikację, a Alexandra Geese naciskała, by informować obywateli, gdzie gromadzone są dane, kto je niszczy, na czyje zlecenie i kto tego pilnuje.
Konkrety od komisarza
W debacie europarlamentu wziął udział komisarz Didier Reynders. – Epidemia nie zna granic, a dane i technologie mogą pomóc z nią walczyć. Aplikacje do śledzenia kontaktów mogą odegrać w tym rolę – mówił, przypominając o zaleceniach Komisji dotyczących użycia technologii w czasie pandemii. Tworzenie, wdrażanie i używanie takich aplikacji powinno odbywać się zgodnie z rekomendacjami Komisji i poszanowaniem prawa do prywatności i ochrony danych osobowych oraz zapobiegania masowemu nadzorowi i stygmatyzacji.
Przypomniał zasady „Zestawu narzędzi do wykorzystania technologii i danych w celu zwalczania i wyjścia z kryzysu COVID-19, opracowane przez państwa członkowskie Unii przy współpracy z KE i uzupełnione przez wytyczne Komisji na temat poszanowania prywatności i ochrony danych osobowych.
Podstawowe zasady to według Komisji nadzór i kontrola krajowych władz zajmujących się zdrowiem i zarządzaniem kryzysowym nad aplikacjami, których instalacja powinna być dobrowolna, a dane o kontaktach powinny być gromadzone wyłącznie na urządzeniu użytkownika i z jego inicjatywy. Aplikacje nie mogą używać geolokalizacji, wyłącznie technologii Bluetooth i gromadzić wyłącznie dane niezbędne do działania aplikacji.
Automatyczna dezaktywacja
Identyfikacja nie może być przekazana innemu użytkownikowi, a dane nie mogą być przechowywane dłużej niż to konieczne – aplikacje takie powinny być używane wyłącznie w czasie kryzysu pandemii i automatycznie dezaktywowane po jego zakończeniu bez wymogu deinstalacji przez użytkownika. Powinny mieć najwyższy poziom zabezpieczeń, łącznie z szyfrowaniem. W ich tworzenie, rozwój i używanie powinny być zaangażowane władze zajmujące się ochroną danych osobowych.
– Zadziałają tylko wtedy, kiedy obywatele będą wiedzieć, że są bezpieczne, że ich prywatne życie i dane są chronione i używane wyłącznie do walki z epidemią, a nie do masowego nadzoru – wyjaśniał komisarz. Muszą być dobrowolne, przejrzyste, czasowe, cyberbezpieczne, oparte na technologii Bluetooth i interoperacyjne między granicami i systemami.
Reprezentantka Rady Unii Europejskiej Nikolina Brnjac poinformowała, że 5 maja ministrowie technologii i cyfryzacji odbyli nieformalną wideokonferencję i doszli do porozumienia, że potrzebne jest zintegrowanie aplikacji działających w każdym kraju. – Aplikacje śledzące i interoperacyjne pomogą przywrócić życie Europie i odżyć turystyce. Technologia jest kluczowa w mieszance czynników warunkujących strategię wyjścia z kryzysu – zaznaczyła.
*Zestaw narzędzi dla aplikacji śledzących UE w pigułce
• Krajowe organy ds. zdrowia powinny zatwierdzać aplikacje i ponosić odpowiedzialność za zgodność z przepisami ochrony danych osobowych UE.
• Użytkownicy mają pełną kontrolę nad danymi osobowymi. Instalacja aplikacji powinna być dobrowolna i powinny zostać odinstalowane, jak tylko nie będą już potrzebne.
• Ograniczone wykorzystanie: wykorzystanie tylko danych osobowych istotnych dla danego celu, nie powinno obejmować śledzenia lokalizacji.
• Ścisłe limity czasowe: dane osobowe powinny być przechowywane nie dłużej niż to konieczne.
• Bezpieczeństwo: dane powinny być przechowywane na urządzeniu użytkownika i szyfrowane.
• Interoperacyjność: aplikacje powinny funkcjonować również w innych krajach UE.
• Krajowe organy ochrony danych powinny być w pełni zaangażowane i konsultować.
Zestaw narzędzi UE do korzystania z aplikacji mobilnych do śledzenia kontaktów i ostrzegania Komisja opublikowała 16 kwietnia.