Biuletyn Informacji Publicznej RPO

• Model przetwarzania danych w aplikacji mobilnej „Kwarantanna Domowa” jest zgodny z wymaganiami RODO – zapewnia resort cyfryzacji
• Aplikacja korzysta z dostępu do lokalizacji na podstawie GPS, sieci komórkowej i WiFi. Aplikacja nie rejestruje tych danych
• Zgoda na dostęp do robienia i nagrywania filmów jest niezbędna do wykonywania zdjęć, potwierdzających przebywanie na kwarantannie
• Lokalizacja jest zaś konieczna do prawidłowego odczytu danych lokalizacyjnych pobytu osoby objętej kwarantanną

Obywatele mają wątpliwości wobec zakresu informacji, do jakich ma dostęp aplikacja „Kwarantanna Domowa”. Dla prawidłowego działania wymaga ona, aby urządzenie mobilne umożliwiało jej dostęp do: internetu, aparatu, zdjęć, lokalizacji, a nawet i mikrofonu.

Rzecznik Praw Obywatelskich nie kwestionuje obowiązku przestrzegania kwarantanny oraz innych działań dla zapobiegania koronawirusowi. Trzeba jednak zapewnić, aby narzędzia wykorzystywane  przez państwo mieściły się w konstytucyjnym standardzie ochrony prywatności i autonomii informacyjnej jednostki,  a także spełniały wymogi RODO.

400 tys. obywateli na kwarantannie należą się jasne, zrozumiałe i wyczerpujące informacje co do wpływu aplikacji na ich prywatność

Dlatego Rzecznik zwrócił się do premiera i zarazem ministra cyfryzacji Mateusza Morawieckiego  o ocenę działania aplikacji.

Odpowiedź wiceministra cyfryzacji Marka Zagórskiego

Aplikacja została udostępnioną głównie w celu wsparcia służb w monitoringu osób odbywających obowiązkową kwarantannę. Rozwiązanie umożliwia, wykorzystując technikę weryfikacji twarzy i koordynatów lokalizacji, na zdalne potwierdzanie przebywania danej osoby w zadeklarowanym miejscu odbywania kwarantanny. Dodatkowo aplikacja zawiera usługi, które przydatne są dla osób przebywających na kwarantannie, a mianowicie:

• usługę wysłania formularza z zapotrzebowaniem do ośrodka pomocy społecznej (posiłek, artykuły spożywcze, pomoc psychologiczna, kontakt),
• usługę dostępu do komunikatów informujących o aktualnej sytuacji dotyczącej koronawirusa SARS-CoV-2,
• usługę bezpośredniego kontaktu ze służbami odpowiedzialnymi za nadzór nad użytkownikami poddanymi kwarantannie,
• usługę korekty numeru telefonu dostępnej dla użytkowników, których numer telefonu przypisany jest również innym osobom odbywającym kwarantannę.

Aplikacja udostępnia również usługę zewnętrzną pn. „Sprawdź, czy masz objawy COVID-19”, która umożliwia użytkownikowi aplikacji sprawdzenie jakie objawy chorobowe mogą oznaczać zakażenie koronawirusem. Korzystanie z tej usługi jest dobrowolne i odbywa się na odrębnych zasadach.

Reasumując, udostępnienie aplikacji ma istotny wpływ na przeciwdziałanie rozprzestrzenianiu się koronawirusa SARS-CoV-2 – głównie dzięki możliwości prowadzenia zdalnego monitoringu osób objętych kwarantanną, a także dzięki umożliwieniu tym osobom zdalnego załatwiania niezbędnych, zważywszy na ich sytuację, W efekcie zmniejsza to liczbę bezpośrednich kontaktów, co w sytuacji zagrożenia lub stanu epidemicznego ma zasadnicze znaczenie.

W kwestii przetwarzania i ochrony danych osobowych należy poinformować, że Minister Cyfryzacji jako administrator danych osobowych użytkowników aplikacji „Kwarantanna Domowa” - projektując aplikację - dołożył wszelkich starań w celu zapewnienia odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były wyłącznie te dane osobowe użytkowników, które są niezbędne dla osiągnięcia celu przetwarzania, jakim jest monitoring realizacji kwarantanny osób, co do których istnieje podejrzenie, że mogą być nosicielami wirusa SARS-CoV-2 wywołującego chorobę COVID-19.

W zakresie technicznym zastosowano szyfrowanie danych, jak też szyfrowanie komunikacji pomiędzy aplikacją a środowiskiem, na którym dane są przechowywane. Dostęp administracyjny do aplikacji jest ograniczony tylko do niezbędnych osób technicznych, które łączą się bezpiecznymi połączeniami z ograniczonej listy IP. Aplikacja poddana została także m. in. procedurom Privacy by design (art. 25 ust. 1 RODO2) i Privacy by default (art. 25 ust. 2 RODO) oraz DPIA (art. 35 RODO), a ich wyniki skonsultowane zostały z Inspektorem Ochrony Danych byłego Ministerstwa Cyfryzacji.

Podsumowując – wdrożony w aplikacji model przetwarzania danych jest zgodny z wymaganiami przetwarzania danych określonymi w art. 5 RODO.

Odnosząc się natomiast do przedstawionej w Pana piśmie kwestii „(…) że konieczność pozostawania w stałej gotowości do wykonania zadania jest wyzwaniem dla osób pracujących zawodowo oraz chorych” należy podkreślić, że obowiązek instalacji aplikacji „Kwarantanna Domowa” wynika z zapisów wymienionej wcześniej ustawy i dotyczy wyłącznie osób przebywających na kwarantannie, a oznacza to, że zgodnie z art. 2 pkt 18 u.z.z.l3 są to osoby zdrowe, które były tylko narażone na zakażenie.

Natomiast osoby chore – zgodnie z art. 2 pkt 11a u.z.z.l. – przebywają, z uwagi na przebieg choroby niewymagającej bezwzględnej hospitalizacji ze względów medycznych, w „izolacji w warunkach domowych”. Osoby takie nie są objęte obowiązkiem instalacji i stosowania aplikacji „Kwarantanna Domowa” i z takimi osobami aplikacja nie komunikuje się. Natomiast osoby pracujące podczas kwarantanny muszą niestety pogodzić oba te uwarunkowania. Wysyłanie przez aplikację zadań do wykonania (zdjęcie typu „selfie”) w nieregularnych odstępach czasowych wynika z głównego założenia jakim jest możliwość zdalnej weryfikacji i potwierdzenia, że dana osoba wypełnia warunki kwarantanny – to znaczy, że przez cały czas nie opuszcza zadeklarowanego miejsca pobytu, co jest bezwzględnym wymogiem kwarantanny.

Jednocześnie należy poinformować, że aplikacja jest stale rozwijana i ulepszana, aby jak najbardziej odpowiadała na potrzeby jej użytkowników. Staramy się również reagować na wszystkie sygnały przez nich zgłaszane, niemniej jednak niektóre z nich nie mają w wielu przypadkach uzasadnienia.

Dotyczy to głównie tych zagadnień, które są kwestionowane, a wynikają z wymagań systemowych, jak np. udzielenie dostępu do zdjęć czy lokalizacji. Bez uzyskania zgody na dostęp do tych zasobów nie byłoby możliwe wykorzystanie tej aplikacji zgodnie z założonym celem jakiemu ma służyć, tj. prowadzenie zdalnego monitoringu.

Aplikacja do prawidłowego działania wymaga, aby urządzenie mobilne umożliwiało jej w określonych sytuacjach dostęp do:

1) internetu – aplikacja korzysta z dostępu do lokalizacji na podstawie GPS, sieci komórkowej i WiFi. Aplikacja nie rejestruje tych danych, tj. nie odnotowuje z jakiej sieci korzysta obywatel;

2) aparatu – podczas wykonywania pierwszego zadania widoczne jest pytanie o zgodę na dostęp do robienia i nagrywania filmów.  Zgoda jest niezbędna do wykonywania zdjęć, czyli realizowania zadań potwierdzających przebywanie na kwarantannie;

3) lokalizacji – jest to niezbędne do prawidłowego odczytu danych lokalizacyjnych pobytu osoby objętej kwarantanną;

4) zdjęć, zapisu, odczytu – jest to wykorzystywane do zapisania wykonanego zdjęcia oraz jego odczytania w celu przesłania do automatycznej weryfikacji.

Aplikacja nie odczytuje, nie przetwarza, nie korzysta z innych zasobów. Uprawnienia do zasobów są wywoływane dopiero w momencie ich użycia.

Należy również podkreślić, że sam system operacyjny smartfonów wymaga udzielania pewnych zgód w celu korzystania z wielu innych, oferowanych przez wydawców aplikacji oraz funkcji. Osoby korzystające ze smartfonów z systemem Android samoistnie stają się „klientami” Google Play, gdzie ich dane są przetwarzane i nie wynika to z faktu nałożenia ustawowego obowiązku stosowania aplikacji „Kwarantanna Domowa”.

Ustawa uwzględnia też sytuację, że nie wszystkie osoby objęte kwarantanną posiadają odpowiednie telefony, jak też nie wymusza nabycia tych urządzeń w celu jej instalacji. Zgodnie z art. 7e ust. 2 ww. ustawy z obowiązku instalacji aplikacji zwolnione są osoby z dysfunkcją wzroku (niewidzące lub niedowidzące) a także osoby, które właściwym służbom złożyły oświadczenie, że nie są abonentami lub użytkownikami sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania.

Pakiet szczegółowych informacji na temat aplikacji „Kwarantanna Domowa” i jej działania, regulamin usługi jak też informacje o zmianach w zakresie jej funkcjonowania udostępniony jest na stronie gov.pl. Dodatkowo, w zakładce Materiały; Pytania i odpowiedzi – umieszczone są odpowiedzi na pytania, które najczęściej pojawiają się w przestrzeni publicznej. Jednocześnie, w celu wsparcia użytkowników aplikacji w sytuacjach dla nich problematycznych, związanych z posługiwaniem się aplikacją, została uruchomiona dedykowana infolinia pod numerem 22 165 57 44. Konsultanci na bieżąco udzielają  informacji, a w przypadku kłopotów technicznych zgłoszenia przekierowywane są do pomocy technicznej.

VII.501.75.2020