Pozdravljamo svaki napor države i privatnog sektora u sprječavanju širenja COVID-19 zaraze i zaštite ljudi, stoga ne želimo da ovaj naš post bude shvaćen kao kritika takvim naporima, ali kao profesionalcima u području zaštite podataka dužnost nam je skrenuti pozornost na bitne nedostatke digitalnog asistenta Andrija i neusklađenosti s propisima iz područja zaštite osobnih podataka.
Ovim putem apeliramo naručitelju aplikacije, voditeljima obrade prikupljenih podataka i svim izvršiteljima obrade da poduzmu korake u zaštiti privatnosti korisnika Andrije.
Ukoliko pregledamo Opće uvjete korištenja sustava Andrija digitalni asistent objavljene na ovoj web stranici
https://andrija.ai/uvjeti-koristenja
izdvojit ćemo ključne točke:
7. Sustav ANDRIJA DIGITALNI ASISTENT temelji se na sustavu umjetne inteligencije koji „uči“ te se razvija kroz interakciju s građanima. Zbog toga je potrebno kontinuirano ažuriranje sustava ANDRIJA DIGITALNI ASISTENT u skladu s dinamikom razvoja kao i zbog usklađivanja s najnovijim uputama i preporukama nadzornih tijela....
8. Rizici koji se obično vežu za uporabu tehnologije umjetne inteligencije, a koja čini temelj sustava ANDRIJA DIGITALNI ASISTENT, očituju se kroz moguću netransparentnost prilikom donošenja odluka, kroz moguću diskriminaciju na temelju spola ili nekih drugih značajki korisnika poput zadiranja u privatni život korisnika kao i kroz moguću zlouporabu sustava. Autori sustava su u fazi dizajna pokušali na odgovarajući način neutralizirati navedene rizike i svesti ih na najmanju moguću mjeru. Međutim, dok se ne provede cjelovita operacionalizacija sustava, iste nije moguće u potpunosti isključiti.
9. U okviru rada sustava ANDRIJA DIGITALNI ASISTENT prikupljaju se i obrađuju podaci korisnika, kao što su: broj telefona/mobitela, približna lokacija kao i podaci koji se odnose na zdravlje korisnika. Sustav je dizajniran tako da se navedeni podaci ne povezuju s konkretnim fizičkim osobama. Prilikom obrade podataka u okviru sustava, s podacima se postupa sukladno primjenjivim propisima o zaštiti podataka.
--------------------------------------
Kao što vidimo, Andrija još "uči" i rizici na privatnost postoje.
Međutim, ovdje postoje i ozbiljne prepreke s obzirom na važeći okvir u području zaštite podataka i nedavne preporuke Europske komisije:
A. Obveze iz članka 13. GDPR-a nisu ispunjene: nije navedeno TKO je voditelj obrade, KOJI su kontaktni podaci Službenika za zaštitu podataka, KOJI su pravni temelji iz članaka 6. i 9. GDPR-a primijenjeni, TKO su primatelji naših osobnih podataka, KOJIM međunarodnim organizacijama se prenose naši osobni podaci, na KOJI rok se pohranjuju, KOJA su prava svih pojedinaca koji daju svoje osobne podatke i KAKO ih i na KOJE kontakte ostvariti, i na kraju PRAVO na podnošenje prigovora AZOP-u.
GDPR lijepo kaže da nije dovoljno dati obećanje da s osobnim podacima postupamo u skladu s propisima o zaštiti podataka, ta vremena su iza nas. Članak 13. GDPR-a je jedan od temeljnih o kojima moramo voditi brigu.
B. Obveza poštivanja načela transparentnosti iz članka 5. GDPR-a nije ispunjena s obzirom na Smjernice o transparentnosti koje se nalaze na web stranici AZOP-a na
https://azop.hr/images/dokumenti/217/smjernice-o-transparentnosti.pdf
i koje u točki 8. jasno kažu da bi se informacije o obradi i zaštiti podataka trebale, citiramo: "..jasno razlikovati od ostalih informacija koje nisu povezane s privatnošću kao što su ugovorne odredbe ili opći uvjeti korištenja. U internetskom kontekstu, upotrebom slojevitih izjava/obavijesti o privatnosti omogućit će se ispitaniku da pristupi određenom odjeljku izjave/obavijesti o privatnosti kojemu želi odmah pristupiti, a da pritom ne mora prelistavati velike količine teksta u potrazi za određenim pitanjima."
Štoviše, iste Smjernice u točki 10. jasno navode, citiramo:
"Središnji je aspekt načela transparentnosti, koji je prikazan u tim odredbama, to da bi ispitanici trebali moći unaprijed utvrditi opseg i posljedice obrade podataka i kasnije ne bi trebali biti iznenađeni načinima na koji su njihovi osobni podaci korišteni. To je isto važan aspekt načela poštenosti iz članka 5. stavka 1. Opće uredbe o zaštiti podataka i povezan je s uvodnom izjavom 39. u kojoj se navodi da bi „[p]ojedinci [...] trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka...”. Posebno, kad je riječ o složenim, tehničkim ili neočekivanim obradama podataka, Radna skupina iz članka 29. smatra da bi voditelji obrade, uz pružanje informacija utvrđenih u člancima 13. i 14. (koje se obrađuju u nastavku ovih Smjernica), trebali i nedvosmislenim jezikom zasebno navesti najvažnije posljedice obrade. Drugim riječima, kakve će učinke određena obrada podataka koja je opisana u izjavi/obavijesti o privatnosti stvarno imati na ispitanika? U skladu s načelom odgovornosti i uvodnom izjavom 39., voditelji obrade podataka trebali bi procijeniti postoje li konkretni rizici za pojedince koji su uključeni u tu vrstu obrade, a na koje bi ispitanike trebalo upozoriti."
U točki 11. Smjernica jasno se navodi zahtjev, citiramo:
"Element „lake dostupnosti” znači da ispitanici ne bi trebali sami tražiti predmetne informacije, nego bi im trebalo odmah biti očito gdje i kako mogu pristupiti tim informacijama..."
Nažalost, ove temeljne zahtjeve u području zaštite privatnosti Andrija ne ispunjava.
Cilj nam je skrenuti pozornost autorima Andrije da poprave ove detalje.
Dodatno smo zabrinuti oko činjenice na koji način pojedinac može biti siguran da se njegova lokacija ne prati od trenutka prijave na Andriju?
Hoće li i Whatsapp, a posredno i Facebook, imati pristupa svim tim podacima, uključujući podatke o lokaciji i o zdravlju osoba koje se prijave na aplikaciju?
I zaključno, Europska je komisija 08.04.2020. javno objavila službene preporuke o stvaranju jedinstvene EU online platforme i aplikacije za borbu protiv COVID-19 pandemije
https://ec.europa.eu/info/files/recommendation-apps-contact-tracing_en
u kojima navode okolnosti nastanka niza raznih aplikacija na teritoriju EU i izvan nje, koje mogu ugroziti temeljna ljudska prava, i da EU pokreće izradu jedinstvene platforme.
