3 kwietnia na twitterowym profilu Ministerstwa Cyfryzacji ogłoszono, że rozpoczęto prace nad aplikacją ProteGO, która „pozwoli kontrolować i zahamować rozprzestrzenianie się koronawirusa”.
Założenia są następujące: użytkownicy instalują aplikację, a smartfony mają cały czas włączony Bluetooth; smartfony posiadające uruchomioną aplikację komunikują się ze sobą i jeżeli okaże się, że któryś z użytkowników został zainfekowany koronawirusem, „aplikacja poinformuje [użytkowników] o możliwym ryzyku”. Jak zaznacza Ministerstwo Cyfryzacji, aplikację „przygotowuje społeczność polskich programistów, projektantów, grafików i testerów”, a na stronie resortu już dzisiaj udostępniono jej kod źródłowy. Choć w materiałach ministerstwa taka informacja nie pada, projekt wykazuje wiele wspólnego z pozarządową inicjatywą PEPP-PT, stawiającą sobie taki sam cel: przygotowanie aplikacji, która stanowiłaby wsparcie dla obywateli w czasie pandemii i pozwalałaby zminimalizować ryzyko rozprzestrzeniania się infekcji. Podobne inicjatywy pojawiają się też w innych krajach Unii Europejskiej.
Na samym początku należy nazwać ten projekt po imieniu: to profilowanie obywateli, i to w oparciu o szczególną kategorię danych osobowych, jaką są dane dotyczące zdrowia. Na podstawie zebranych danych algorytm będzie wskazywał osoby, co do których istnieje ryzyko zachorowania. Jak można przeczytać na stronach Ministerstwa Cyfryzacji, aplikacja będzie informowała nas o możliwym ryzyku na dwa sposoby, za pomocą statusu: status będzie czerwony, jeżeli użytkownik miał kontakt z osobą zakażoną, a zielony, jeżeli nie miał. Ta informacja ma być też przekazywana organom administracji sanitarnej – na jej podstawie będą mogły skontaktować się z użytkownikami, co do których istnieje ryzyko zakażenia. Będzie to więc klasyczna postać automatycznego podejmowania decyzji na podstawie profilowania, i to decyzji wywołujących wobec nas skutki prawne w postaci interwencji organów administracji sanitarnej.
Automatyczne podejmowanie decyzji na podstawie profilowania opartego o dane dotyczące zdrowia jest dopuszczalne wtedy, gdy osoba profilowana wyraża na to zgodę albo gdy profilowanie wynika z odpowiedniego przepisu prawa (w Polsce musi to być przepis rangi co najmniej ustawy). Co więcej, muszą także istnieć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą (art. 22 ust. 4 RODO).
Ministerstwo nie pisze tego wprost, ale – jak się wydaje – założenie jest takie, że korzystanie z aplikacji ma być dobrowolne. Świadczą o tym choćby takie wypowiedzi, jak „Wdrożenie tej aplikacji będzie miało sens tylko wtedy, gdy zyska społeczną akceptację” czy „Chcielibyśmy, aby docelowo z aplikacji korzystali wszyscy użytkownicy smartfonów w Polsce. Zdajemy sobie sprawę, że aby tak się stało, potrzeba czasu i zaufania” (wypowiedzi ministra Marka Zagórskiego cytowane na stronie resortu). Jeżeli w istocie tak miałoby być, to taka zgoda na korzystanie z aplikacji z punktu widzenia zasad zbierania zgód dotyczących danych osobowych pozostawia wiele do życzenia. W szczególności, taka zgoda nie mogłaby zostać uznana za dobrowolną. Mówiąc obrazowo, wygląda to mniej więcej tak: środek oceanu, nasz statek zaczyna nabierać wody – ale mamy tratwę ratunkową, szczyt techniki; chcemy uruchomić panel sterowania tratwy, a ta pyta nas o nasze dane osobowe i o dobrowolną zgodę na ich przetwarzanie; ile osób odmówi? Strach i poczucie zagrożenia nie sprzyjają dobrowolności decyzji i trzeźwości osądów.
Do tego dochodzi presja społeczna, także ze strony rządu, bo przecież ta aplikacja ma sens tylko wtedy, gdy będą jej używać wszyscy. Czy więc można jej działanie oprzeć o zgodę? Nie. Co więcej, opierając działanie aplikacji o zgodę, trzeba by wdrożyć też tzw. prawo do uzyskania ludzkiej ingerencji w procesie automatycznego podejmowania decyzji. W uproszczeniu, mielibyśmy prawo do tego, żeby dane, które przetworzył algorytm, przetworzył jeszcze raz człowiek. Jak ministerstwo wyobraża sobie zastosowanie się do tego wymagania, zwłaszcza w takim krótkim czasie, jakiego wymaga reakcja na informację o możliwości zakażenia koronawirusem, tego nie wiemy.
Działania aplikacji ProteGO nie można oprzeć o zgodę użytkownika – ale nie trzeba też, jak wieszczą niektórzy, dokonywać kopernikańskiego przewrotu w obowiązujących zasadach ochrony danych osobowych i prywatności. Ba, nawet nie wolno tego robić, bo tego rodzaju decyzje także będą naznaczone strachem, jaki towarzyszy nam dzisiaj. Trzeba skorzystać z drugiej możliwości, jaką daje nam RODO, i przyjąć ustawowe przepisy regulujące korzystanie z aplikacji ProteGO. Ale wtedy, mówiąc „a”, trzeba wypowiedzieć też kilka kolejnych liter alfabetu.
Po pierwsze, trzeba przyznać, że wchodzimy do grona państw takich, jak np. Chiny, które stosują profilowanie obywateli na podstawie danych dotyczących zdrowia. To wymaga pewnej odwagi. A ponieważ jest to tendencja widoczna też w innych państwach Europy, tej odwagi trzeba wymagać także od rządów innych państw europejskich.
Po drugie, trzeba się zastanowić, czy wdrożenie tego rodzaju rozwiązania jest rzeczywiście niezbędne w demokratycznym państwie prawnym, jakim jest Rzeczpospolita Polska. Czyli, nieco upraszczając, czy nie da się podobnych rezultatów osiągnąć bez tak głębokiej ingerencji w prawo do ochrony danych osobowych. Taka analiza mogłaby stać się zaczątkiem być może pierwszej w Polsce oceny skutków dla ochrony danych osobowych opracowanej na etapie legislacyjnym, czyli analizy okoliczności, w jakich odbywa się przetwarzanie danych osobowych w ramach aplikacji ProteGO, oraz konsekwencji, jakie mogą powstać w sferze praw i wolności osoby fizycznej w związku z tym przetwarzaniem. A dodam, że w tym przypadku ocena skutków dla ochrony danych osobowych jest wymagana przez art. 35 RODO, kiedyś trzeba będzie ją więc wykonać: albo teraz, albo na etapie wdrażania aplikacji.
I po trzecie wreszcie, trzeba w ramach aplikacji przewidzieć mechanizmy ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. I nie można tego sprowadzać wyłącznie do kwestii zastosowanej technologii, choć ona w tym kontekście jest bardzo ważna. W praktyce oznacza to także konieczność zapewnienia możliwości odwołania się użytkownika aplikacji od automatycznego rozstrzygnięcia, a odwołanie takie powinno być rozpatrywane przez człowieka. To wszystko to wymogi prawa, ale też dobrej praktyki w ramach filozofii Privacy by Design, która musi – i to znów wymóg prawa – przyświecać pracom nad aplikacją. Nie wiemy dziś, jak te wymogi będą realizowane w ramach aplikacji ani nawet czy Ministerstwo Cyfryzacji ma świadomość tego, że te wymogi zrealizować musi.
I na koniec łyżka miodu do tej beczki dziegciu – cieszy to, że prace nad aplikacją ProteGO mają być prowadzone w sposób otwarty, co będzie z pewnością służyło budowaniu zaufania do projektu, tak tego chce Ministerstwo Cyfryzacji. Nie można jednak w tym sposobie prowadzenia pracy upatrywać panaceum na wszystkie ewentualne ryzyka, jakie ta aplikacja ze sobą niesie. Być może jednak otwarte podejście umożliwi zaangażowanie w projekt prezesa Urzędu Ochrony Danych Osobowych, co z punktu widzenia ochrony praw nas wszystkich byłoby wielce pożądane.
dr Paweł Litwiński - adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p., Centrum Prawa Nowych Technologii i Ochrony Danych Osobowych Uczelni Łazarskiego