Nowelizacja tarczy antykryzysowej, nad którą właśnie trwają prace w Parlamencie, wprowadza bardzo ważne zmiany w prawie telekomunikacyjnym. Za ich sprawą minister cyfryzacji zyska dostęp do danych o lokalizacji z 14 dni chorego na koronawirusa lub objętego kwarantanną, a także do zanonimizowanych danych o lokalizacji nawet wszystkich użytkowników telefonów, i to bez wiedzy posiadacza telefonu. Eksperci ostrzegają, że na tej podstawie będzie można nałożyć karę za łamanie zakazów. Ponadto przepisy są nieprecyzyjne. Nie wiadomo, kto będzie miał dostęp do danych i jak długo będzie je wykorzystywał, a nasza prywatność zostanie mocno zagrożona.

Czytaj w LEX: Zagrożenie koronawirusem a prawo do prywatności >

Co gorsza, Fundacja Panoptykon ostrzega, że częściowo już się tak dzieje. Otóż za sprawą decyzji premiera telekomy muszą informować wojewodów o lokalizacji  176 tysięcy osób hospitalizowanych, objętych kwarantanną czy nadzorem. Z danych Ministerstwa Zdrowia wynika, że 15 marca w Polsce hospitalizowanych było 2499 osób, objętych kwarantanną - 145 875 , a nadzorem epidemiologicznym - 28 084. Za sprawą ustawy rząd będzie wiedział więcej, o tym co dokładnie robiły takie osoby przed objęciem nadzorem, a także za sprawą danych zanonimizowanych w jakich skupiskach przebywały. Maciej Gawroński, radca prawny, partner w Kancelarii Gawroński & Partners,  rozumie, że nadzwyczajne sytuacje wymagają nadzwyczajnych środków, obawia się jednak, że gdy sytuacja wróci do normy - te nadal pozostaną. By tak nie było, przepisy trzeba doprecyzować.

Czytaj w LEX: Ważne pytania o ochronę danych osobowych podczas epidemii koronawirusa >

 


Dwa niebezpieczne przepisy o geolokalizacji

Tzw. Tarcza 2 to ustawa o szczególnych instrumentach wsparcia w związku z rozprzestrzenianiem się wirusa SARS-CoV-2, która jednak zmienia też ustawę z 2 marca 2020 r. o szczególnych rozwiązaniach związanych ze zwalczaniem COVID‑19. Za sprawą  jej art. 11f podczas stanu zagrożenia epidemicznego, stanu epidemii albo stanu klęski żywiołowej, operatorzy telekomunikacyjni  z mocy prawa będą obowiązani do udostępniania ministrowi właściwemu do spraw informatyzacji danych o lokalizacji, obejmujących okres ostatnich 14 dni, telekomunikacyjnego urządzenia użytkownika końcowego chorego na chorobę zakaźną COVID-19 lub objętego kwarantanną. Ponadto operator zostanie zobowiązany do przekazania zanonimizowanych danych o lokalizacji urządzeń końcowych użytkowników końcowych, nawet wszystkich. W obu przypadkach zgoda użytkownika końcowego na przetwarzanie i udostępnianie danych nie będzie wymagana. Dane będą przekazywane na żądanie ministra właściwego do spraw informatyzacji w sposób i w formie ustalonej przez niego. Co to oznacza w praktyce?
- Będą przekazane dane o lokalizacji osoby chorej lub na kwarantannie, która faktycznie korzysta z urządzenia, a nie abonenta (bo abonent jest stroną umowy, a może przekazać telefon np. swoim pracownikom) - z 14 dni poprzedzających wniosek. To jest jedna grupa danych – wyjaśnia Marcin Maruszczak, radca prawny z Kancelaria YLS.  - Lokalizacja pokaże,  gdzie przez 14 dni chory się przemieszczał, ale będzie też można ustalić, czy ta osoba w ciągu tych 14 dni znajdowała się w jakichś skupiskach ludzkich - np. w centrum handlowym itp. Może też pokazać, że znajdował się cały czas w domu i zakres osób, z którymi się kontaktował jest ograniczony. Druga  grupa to zanonimozwane dane lokalizacyjne – tłumaczy.  W praktyce zaś może się okazać, że operatorzy będą musieli zawrzeć z ministrem cyfryzacji umowy podobne do tych, które już zawierają z wojewodami na podstawie decyzji wydanych przez premiera Matusza Morawieckiego na podstawie art. 11 ust. 1 ustawy o przeciwdziałaniu Covid-19 - tutaj przykładowa decyzja wobec Orange Polska. Na ich podstawie firmy telekomunikacyjne już obecnie od ponad dwóch tygodni przekazują wojewodom oraz właściwym terytorialnie służbom informacje o lokalizacji telefonów osób objętych nadzorem epidemiologicznym, kwarantanną, hospitalizowanych lub izolowanych. Po wejściu w życie nowych przepisów zakres danych będzie znacznie większy i trafią one do ministerstwa cyfryzacji. Po co rządowi takie dane?

Po co ministrowi cyfryzacji takie dane?

Helsińska Fundacja Praw Człowieka wskazuje, że uzasadnienie ustawy milczy na temat racji, które mają stać za  obowiązkiem przesyłania danych o lokalizacji urządzeń końcowych. W uzasadnieniu projektu trudno znaleźć bowiem wyjaśnienie po co pozyskiwane są dane, można się domyślić, że do walki z epidemią. I co do zasady, tak zapewne będzie. Przepisy jednak są tak nieprecyzyjne, że pozwolą na inwigilację osób zdrowych czy np. polityków, ale nie tylko.  - W praktyce dane mogą posłużyć do śledzenia aktywności jednostek i weryfikacji, czy dana osoba nie łamie zakazów przemieszczania się bez uzasadnionej przyczyny i np. nie przebywa na obszarze wyłączonym z użytkowania, np. w parku lub w lesie czytamy w stanowisku Fundacji.

Czytaj w LEX: Szerokie uprawnienia GIS przy przetwarzaniu danych w związku z koronawirusem >

- Dane mogą więc pomóc wykazać złamanie obowiązku kwarantanny i ułatwić przeprowadzenie postępowania nakładającego kary - uważa mec. Maruszczak. Z kolei Adam Bodnar, rzecznik praw obywatelskich, w analizie dla Senatu wskazuje, że jest to kolejne wkroczenie w prywatność obywateli po uczynieniu aplikacji "Kwarantanna domowa" obowiązkowym prawnie narzędziem. - Jak można wywnioskować dostęp do danych osób chorych i poddanych kwarantannie będzie wykorzystywany do "uszczelnienia" systemu, tj. weryfikacji, gdzie znajdują się osoby które nie zainstalowały aplikacji - uważa Bodnar.  Można też wykorzystać je nie tylko do walki z epidemią. - Na przykład, gdy zachoruje ktoś z opozycji i zostanie to stwierdzone, będzie dostęp do danych z kim kontaktował się w ciągu ostatnich 14 dni, być może był u jednego z polityków koalicjanta? – zauważa mec. Maruszczak. W taki sposób będzie można też sprawdzać inne osoby, np. prawników.

Sprawdź w LEX: Czy ramach zdalnego nauczania w ramach lekcji wychowania fizycznego szkoła ma prawo wymagać od uczniów przesyłania zdjęć i filmów z wykonywanych ćwiczeń? >

Dane zanonimizowane też są niebezpieczne

Co więcej zdaniem ekspertów zawarty w ustawie wymóg anonimizacji nie w pełni będzie chronił prywatność. Dlaczego?  Według RPO mogą być wykorzystywane do wspierania działań odpowiednich organów, np. przesuwania patroli służb w miejsca gromadzenia się osób. Piotr Liwszic, ekspert ds. ochrony danych w ODO 24, zwraca uwagę, że z badań naukowców wynika, że pełna anonimizacja danych znajdujących się w dużych zbiorach jest bardzo skomplikowanym przedsięwzięciem. - Istnieje wiele prac naukowych wskazujących, że z przekazywanych danych przez operatorów można wywnioskować konkretne lokalizację użytkowników, a posiadając dodatkowe informacje o miejscu pracy czy najczęściej odwiedzanych miejscach dojść do konkretnej osoby - mówi Piotr Liwszic.

Czytaj w LEX: Ochrona danych osobowych osób skierowanych na izolację i chorych >

HFPCz alarmuje zaś, że wysłanie w ślad za danymi patrolu służb mundurowych połączone z weryfikacją nagrań monitoringu wizyjnego może okazać się skutecznym sposobem do ustalenia tożsamości użytkownika końcowego przemieszczającego się urządzenia telekomunikacyjnego i pociągnięcia go do odpowiedzialności karnej lub administracyjnej. Dane mogą też pozwolić zweryfikować, czy ludzie zachowują odstęp od siebie, czy w sklepie przebywa faktycznie tyle osób, ile może. Dlatego eksperci postulują doprecyzowanie przepisów.

 


Przepisy trzeba poprawić

Prawnicy nie mają wątpliwości, że w obecnej formie przepisy są mało precyzyjne i pozwalają na znaczące i nieuzasadnione naruszanie naszej prywatności. Zdaniem Adama Bodnara w prawie telekomunikacyjnym trzeba doprecyzować m.in.: w jakich sytuacjach minister cyfryzacji może sięgać po określone dane, wobec jakich dokładnie kategorii osób i w jakim dokładnie celu. Powinien też zostać sprecyzowany okres za jaki będą udostępniane zanonimizowane dane lokalizacyjne osób zdrowych, kto konkretnie i jakie dokładnie podmioty, będą mieć do nich dostęp. HFPR podkreśla, że ustawa powinna też gwarantować zniszczenie danych po określonym czasie, a także uniemożliwiać ich przyszłe wykorzystanie do innych celów.  Piotr Liwszic zauważa zaś, że to przed podmiotami, które będą zmuszone do udostępnienia zanonimizowanych danych stoi ogromna odpowiedzialność za jakość przekazanych danych. - To od przyjętych przez te podmioty metod anonimizacji danych zależeć będzie nasza prywatność - ostrzega Liwszic.

Sprawdź w LEX: Czy pracodawca może zamontować kamery termowizyjne do pomiaru temperatury ciała pracowników wchodzących na teren zakładu pracy? >

Mec. Marcin Maruszczak uważa, że w ogóle należy wykreślić nieostry i pełen niejasności zapis o przesyłaniu danych ministrowi właściwemu do spraw cyfryzacji. – Można skorzystać z procedury już przewidzianej przez prawo telekomunikacyjne, które m.in. nakazuje przekazywanie danych odpowiednim służbom. Jest to proces przetestowany, bezpieczny, szybki i praktycznie pozbawia ryzyk przekazywania danych osobom nieuprawnionym – podkreśla mec. Maruszczak. Wojciech Klicki przyznaje, być może już teraz na podstawie decyzji premiera wystarczyłoby przekazywanie danych, które trafiają do wojewody, tylko policji i tylko w sytuacji, gdy brak raportów z aplikacji „Kwarantanna domowa” nasuwa podejrzenia, że doszło do naruszenia obowiązku

Mec. Maruszczak dodaje, że choć pobieranie danych odbywa się bez zgody użytkowników końcowych, to powinni oni być o tym informowani i mieć możliwość weryfikacji usuwania danych. - Nie mówimy tu o podejrzanych o dokonywanie przestępstw, a o osobach, które znajdują się w szczególnej i - co do zasady - niezawinionej sytuacji. Brakuje partnerskiego podejścia do osoby, której dane będą wykorzystywane. Ministerstwo powinno wysłać sms, że dane służyły zwalczeniu epidemii i zostały bezpowrotnie zniszczone – podkreśla mec. Maruszczak. I dodaje, że mimo tego złowieszczego anturażu jest za tym, aby wykorzystywać zdobycze techniki z głową i co najważniejsze z szeregiem realnych zabezpieczeń, przy zastosowaniu szczegółowych procedur, bezpieczników i kontroli.

-  Już obecnie państwo zbiera informację o lokalizacji obywatela objętego kwarantanną z dwóch źródeł jednocześnie: za pośrednictwem obowiązkowej od pewnego czasu aplikacji „Kwarantanna domowa” i bezpośrednio od firm telekomunikacyjnych. Z perspektywy celu – nadzoru nad osobami poddanymi kwarantannie – to za dużo - ocenia Wojciech Klicki z Fundacji Panoptykon.