Andrija je fijasko zaštite osobnih podataka

Andrija je fijasko zaštite osobnih podataka
Dražen Tomić / Tomich Productions

Andrija nije dio perfidnog plana ukidanja demokracije, nego samo još jedan dokaz zanemarivanja zaštite podataka u hrvatskom zdravstvu i šire.

Put u pakao je popločen dobrim namjerama. Ministarstvo zdravstva u najboljoj je namjeri pokrenulo servis Andrija za pomoć građanima RH. Imajući u vidu posebne okolnosti, razumljivo je da svaka pomoć iscrpljenim epidemiolozima unosi neku toplinu oko srca i dobro je došla. Apsolutno ne mogu propitkivati stručnu kompetentnost kriznog tima u području zaštite zdravlja, no Andrija, on je u samom središtu moje stručne domene - zaštite osobnih podataka.

Javnost je vrlo brzo uočila količinu i vrstu podataka koje Andrija prikuplja i postavila pitanje kršenja elementarnog ljudskog prava garantiranog svim građanima EU - prava na zaštitu osobnih podataka. U tim je trenucima bilo nezahvalno iznositi bilo kakva stručna mišljenja jer su se ona mogla temeljiti isključivo na pretpostavkama. Razvijen i pokrenut, neki će reći u rekordnom roku, a neki navrat-nanos, servis je javnosti predstavljen pompozno, ali bez jasnih informacija o njegovom utjecaju na privatnost. U međuvremenu, Andrija je objavio dokument u kojem daje osnovne informacije o obradama osobnih podataka koje provodi i njihovoj zaštiti. Struka sada ima na čemu temeljiti svoje mišljenje, a osobno ističem nekoliko stavova koje ću u slijedećim člancima i jasno argumentirati.

Prvo, Andrija nije dio perfidnog plana ukidanja demokracije i ilegalnog uhođenja građana, nego tek primjer zanemarivanja zaštite podataka u hrvatskom zdravstvu i tijelima državne uprave, koji može prerasti u prijetnju zaštiti privatnosti.

Drugo, Andrija bez ikakve sumnje ne pruža razinu zaštite osobnih podataka kakvu nam kao svojim građanima jamči Europska unija.

Treće, u kriznom timu za vođenje cijele ove situacije s koronom nedostaju ljudi koji bi kompetentno upravljali rizicima informacijske sigurnosti i zaštitom osobnih podataka što bi nam se svima moglo obiti o glavu.

Četvrto, nadležna tijela javnosti nisu pružila uvjerljive dokaze da su prilikom odabira rješenja, dizajna i pružanja usluge provrele i provode odgovarajuće mjere zaštite osobnih podataka, što ukazuje na povećanu razinu rizika od slučajne i namjerne zlouporabe podataka u Andriji.

Sumnjiva procjena rizika u Andriji

Pokretanje servisa za masovne obrade posebnih kategorija osobnih podataka povlači sa sobom veliku odgovornost, a šteta koju takav servis može prouzročiti lako može postati veća od koristi koju donosi. U Andrijinim pravilima privatnosti, tvrdi se da je provedena procjena utjecaja na zaštitu osobnih podataka (DPIA) dokazala je da je rizik koji Andrija može prouzročiti za prava i slobode korisnika minimalan. Ako je DPIA stvarno i stručno provedena, obzirom na opseg i potencijalni utjecaj ovog servisa na ljudska prava, njeno bi izvješće bilo primjereno objaviti barem sažeto, ako ne i u cijelosti, no to nije učinjeno.

Službena dokumentacija koju je Andrija objavio napisana je na način koji osjećaj sigurnosti kod korisnika i javnosti postiže izostavljanjem ili izvrtanjem činjenica ključnih za razumijevanje rizika koji proizlaze iz korištenja ovog servisa.

Štoviše, službene informacije o Andriji doslovce vrve pokazateljima nerazumijevanja područja upravljanja rizikom i zaštitom osobnih podataka, što u kombinaciji s neobjavljivanjem ikakvih DPIA izvješća budi ozbiljnu sumnju.

Srećom, sve upućuje na to da ništa od navedenoga nije učinjeno zlonamjerno, već jednostavno propustom koji se može pripisati nedostatku stručnjaka za zaštitu podataka u kriznom timu.

Ministarstvo zdravstva ne razumije što smije a što ne smije raditi s osobnim podacima

Prema objavljenim pravilima privatnosti, Andrija osobne podatke obrađuje temeljem legitimnog interesa Ministarstva zdravstva kako je to definirano člankom 6.(f), GDPR-a, a što je Ministarstvu izričito zabranjeno, i ono bi to moralo znati.

U prvom retku iza stavka na koji se oslanjaju jasno piše da se on ne odnosi na obrade koje provode tijela javne vlasti pri izvršavanju svojih zadaća, a ovdje je upravo to slučaj.

Ovo Andriju na stavlja s druge strane zakona, ali ukazuje da kriznom timu nedostaju resursi stručni u području zaštite osobnih podataka. Oni (osobni podaci) se u Andriji naime obrađuju temeljem potpuno drugih pravnih osnova:

  • (d) obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe i/ili
  • (e) obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.

Probleme sa razumijevanjem zaštite osobnih podataka u zdravstvu u uočile su brojne nadzorne agencije u EU i prije pojave COVID-19, pa su kažnjene zdravstvene institucije u više članica. Prema istraživanju o aktivnostima nadzornih tijela, probleme u zdravstvu posebno je istaknulo Nizozemsko nadzorno tijelo za zaštitu osobnih podataka, koje je u tom sektoru najavilo i pojačane aktivnosti nadzora.

Kad bi Ministarstvo podatke smjelo obrađivati temeljem svog legitimnog interesa, to bi moglo rezultirati izlaskom obrada iz okvira ovlasti Ministarstva, odnosno iz zakonskih okvira. Upravo zato je GDPR tijelima javne vlasti to izričito zabranio.

Kome uopće dajemo svoje podatke kad pričamo s Andrijom?

Preduvjet za stjecanje povjerenja građana kod ovako osjetljivih obrada je potpuna transparentnost prema javnosti. Mora se znati tko uopće provodi obradu, koje podatke obrađuje, zašto, temeljem čega i kako su zaštićeni, te kako je sve navedeno moguće dokazati. Andrija, pada već na onom prvom zahtjevu - tko provodi obradu podataka.

Andrijina politika privatnosti jasno navodi da je voditelj obrade osobnih podataka Ministarstvo zdravstva. Slučajno je to ministarstvo na čelu gospodarske grane koja se prema istraživanju zaštite osobnih podataka na web stranicama, ubraja među najgore u Hrvatskoj.

Postoji cijeli niz pokazatelja da objavljene informacije o zaštiti osobnih podataka u Andriji nisu točne, a Ministarstvo zdravstva to ne uviđa.

Dok u politici privatnosti piše jedno, u uvjetima korištenja piše drugo. Prema njima, uvjete korištenja ne određuje Ministarstvo zdravstva nego Vlada RH. Prema GDPR-u, osnovna zadaća voditelja obrade jest određivanje njene svrhe i sredstava za obradu, pa tako i uvjeta korištenja usluge. Prema tome, čini se da je voditelj obrade i vlasnik servisa ipak Vlada RH. ... ili ne?! U podnožju Andrijine web stranice pak piše da je vlasnik autorskih prava Ministarstvo uprave RH?! Sve ovo pobuđuje sumnju da podacima ili dijelu podataka uz odgovarajući zahtjev ili čak i bez njega može pristupiti puno više osoba i tijela nego se to iščitava iz politike privatnosti. Pored toga, podaci koje razmjenjujete s Andrijom dostupni su u većoj ili manjoj mjeri i tvrtkama uključenima u projekt, kako onima koje definiraju Andrijin način „ponašanja", tako i onima koje posreduju u komunikaciji.

Andrija se oslanja na komunikacijski kanal koji dokazano krši pravila privatnosti

Zašto je Andrija za komunikaciju odabrao upravo WhatsApp kojem je 2017. u Italiji radi dijeljenja osobnih podataka sa Facebookom izrečena kazna od 3 milijuna eura, a u Irskoj bi mu svaki čas trebala biti izrečena još jedna kazna za kršenje EU GDPR-a. Čini se da WhatsApp nije puno naučio iz prve kazne izrečene u Italiji.

Tehnička arhitektura cijelog Andrija servisa kao ni dijagram toka osobnih podataka nigdje nisu objavljeni unatoč tome što su neophodni za ozbiljnu procjenu rizika koja mora obuhvaćati i rizike komunikacijskog kanala.

Korisnici WhatsApp-a i tako moraju imati pametni telefon. Zašto se onda ne koristi direktniji vid komunikacije (npr. uobičajeni chatbot na mobilnoj web stranici) koji ne bi nepotrebno uključivao cijeli niz sudionika koji mogu ostvariti pristup podacima, a bio bi dostupan i sa bilo kojeg računala spojenog na internet. Andrijin rad ovisi o cijelom nizu servisa koji nisu pod kontrolom Ministarstva zdravstva, Republike Hrvatske ni EU, uopće nisu potrebni za pružanje takve usluge i unose dodatnu nesigurnost. Njegov komunikacijski kanal naime uključuje minimalno: mobitel korisnika, WhatsApp aplikaciju, posrednika i komunikacijski kanal koji ga povezuje s Andrijom. Obzirom da o ostalim sudionicima u tom lancu ne znamo puno, možemo se samo nadati da je tamo situacija bolja nego kod WhatsAppa. Narod kaže da je lanac jak koliko i njegova najslabija karika, ali ovo pravilo u području informacijske sigurnosti ne vrijedi. Slabosti svih karika se zbrajaju i svako uključivanje dodatnih sudionika neminovno povećava rizik neovlaštene obrade podataka.

Sa sigurnosnog aspekta, odabir IT arhitekture koja se nepotrebno oslanja na cijeli lanac sudionika i komunikacijski kanal kažnjavan za kršenje sigurnosnih pravila, teško je opravdati.

Andrija - Anonimnost ili prikriveni nadzor što je?

U procjeni rizika od eventualne zlouporabe, moguće scenarije je neophodno sagledali kroz mogućnost povezivanja podataka iz Andrije sa konkretnim osobama i brojnim bazama podataka o građanima RH kojima vlasnici Andrije imaju pristup ili mogu pristupiti. Procjenjujemo li rizik zaštite anonimnosti, moramo razmotriti nekoliko scenarija od kojih ni jedan ne daje uvjerljive dokaze osiguranja anonimnosti.

To su:

moć državnih tijela u pribavljanju dodatnih podataka o korisnicima Andrije,

način rada umjetne inteligencije koja navodno pogoni Andriju,

Uvjerenja u učinkovitost upravljanja zaštitom podataka u Andriji koja su pružena javnosti.

Andrija tvrdi da se podaci anonimiziraju nakon 3 mjeseca. Po definiciji, to znači da se opći podaci razdvajaju od identifikacijskih podataka na način da više nisu povezivi. Za očekivati je da se ovdje radi o brisanju broja telefona s kojega su poruke došle, no to ni blizu nije dovoljno. Građani moraju znati kako su njihovi podaci učinjeni anonimnima. Zakon o elektroničkim komunikacijama od pružatelja usluga zahtijeva čuvanje podataka o ostvarenoj komunikaciji najmanje 12 mjeseci.

Dakle, ako su ti podaci obrisani iz Andrije, ostali su pohranjeni kod posrednika koji pruža uslugu komuniciranja preko WhatsAppa, a i u samom WhatsAppu. Europski je sud u slučaju Brayer protiv Republike Njemačke precizirao da se prilikom utvrđivanja povezivosti podataka sa konkretnom osobom u obzir moraju uzeti sva sredstva koja su razumno na raspolaganju voditelju obrade. Obzirom da su voditelj državna tijela u vrlo posebnoj situaciji, jasno je kako su ta sredstva gotovo neiscrpna. Štoviše, WhatsApp je u svojoj biti VoIP (Voice over IP) rješenje, što znači da on korisnika zapravo prepoznaje po IP adresi koja je također negdje zapisana.

Drugi, ili možda prvi problem anonimnosti je sam princip rada Andrije koji se navodno temelji na principima umjetne inteligencije, što u pravilu znači da Andrija prikuplja i obrađuje velike količine podataka, na temelju njih izvlači zaključke i donosi odluke.

Postoji li u Andriji bilo kakav zajednički identifikator koji ukazuje na određenu osobu, čak ako ona i nije poznata, to će se i dalje smatrati osobnim podatkom. Potrebno je shvatiti da identifikator ne mora biti jedan podatak već to može biti i više njih (npr. jedinstvena dijagnoza ili porodična situacija) Što je kompleksnost identifikatora veća, to ga je običnom čovjeku teže uočiti. Idealan alat za uočavanje ovakvih identifikatora je, pogađate - upravo umjetna inteligencija. Povezivanjem s drugim bazama podataka, značajno raste i vjerojatnost naknadnog povezivanja ovih podataka i izrađenih profila sa konkretnim imenima.

Sve dok Andrija jasno ne objavi na koji se točno način provodi anonimizacija, postojat će ozbiljna sumnja u njenu učinkovitost.

Andrija, DA ili NE?

Andrija nije savršen ni funkcionalno ni sigurnosno, ali ne treba vjerovati u teorije zavjere ni nasjedati izjavama političkih populista koji ga uporno pokušavaju poistovjetiti sa sofisticiranim rješenjem za praćenje građana i povući paralelu sa prijedlogom izmjena regulative o telekomunikacijama. Ovog su, budimo realni, običnog digitalnog asistenta koji za sada ne pokazuje neke znakove umjetne inteligencije zamislili kao pomoć kriznom stožeru u borbi protiv korone. Informacije koje je on u stanju pružiti već su objavljene na web stranicama koronavirus.hr na pregledan i lako razumljiv način, a rizik po zaštitu privatnosti koji proizlazi iz čitanja vijesti značajno je manji nego što je to slučaj s Andrijom.

Broj korisnika kojim se hvali u medijima (30.000 prvi dan), nije pokazatelj korisnog rješenja, nego dobrog marketinga. Ustanovi li se da je s uvođenjem Andrije značajno opao broj poziva na kontaktne centre, tada možemo pričati o smislenosti cijelog Andrija projekta. Naravno, prvo moramo shvatiti razloge pada broja poziva, jer oni uvelike ovise o općoj razini informiranosti koja stalno raste, kao i o stupnju zaraze u Hrvatskoj koji se stalno popravlja.

Bez prave koristi, Andrija je zanimljiv eksperiment - više igračka koja bi mogla zaintrigirati građane i zabaviti ih u doba izolacije. U toj igri, ne treba smetnuti s uma sve rizike koje nosi korištenje takvog rješenja, ali ni to da se građani sličnim rizicima izlažu svakodnevno popunjavajući razne kvizove na Facebooku i sl. Bi li ga državni organi mogli zloupotrijebiti? Bi, ali kad bi već željeli na taj način postupati s osobnim podacima građana, za zlouporabu ima puno zanimljivijih baza podataka od Andrijine. Hoće li biti zloupotrijebljeni? Možda. Ako to učini država, bit će to iz neznanja. Ako to učini netko drugi, bit će to zbog tradicionalne hrvatske nebrige (pri tom ne mislim ni na jednu vladu ili stranku) za zaštitu osobnih podataka.

 

* O autoru: Stanko Cerin, direktor tvrtke Ostendo Consulting, predsjednik Udruge za zaštitu osobnih podataka i stručnjak koji se zaštitom osobnih podataka bavi više od 15 godina

 

Na čemu temeljim ove zaključke, pročitajte u:

Sumnjiva procjena rizika u Andriji

Ministarstvo zdravstva ne razumije što smije a što ne smije raditi s osobnim podacima u Andriji

Andrija se oslanja na komunikacijski kanal koji dokazano krši pravila privatnosti

Andrija - Anonimnost ili prikriveni nadzor?

Andrija, DA ili NE?