Polityka i prawo
Aplikacja STOP COVID gwarantuje ochronę danych
”Wszystkie dane zbierane przez aplikację są gromadzone i przetwarzane lokalnie na urządzeniach użytkowników” - napisał w odpowiedzi na interpelacje poselską sekretarz stanu Marek Zagórski rozwiewając obawy posłów o bezpieczeństwo danych użytkowników.
Poseł Dariusz Joński i posłanka Gabriela Lenartowicz wystosowali interpelację poselską do Ministra Cyfryzacji, w której zadają szereg pytań o ochronę danych w aplikacji STOP COVID (ProteGo Safe).
Były minister cyfryzacji, a obecnie sekretarz stanu w Kancelarii Premiera Marek Zagórski wyjaśnił, że wszystkie dane zbierane przez aplikację są gromadzone i przetwarzane lokalnie na urządzeniach użytkowników. Dane te zgodnie ze specyfikacją API Google/ Apple są wykorzystywane do oceny ryzyka kontaktu z osobą zakażoną. Ocena ryzyka jest wykonywana przez moduł dostarczany przez Google/ Apple zgodnie z algorytmem opisanym w specyfikacji opublikowanej przez Google/ Apple.
Zagórski informuje, że jeśli użytkownik zdecyduje się na wypełnienie testu samodiagnostycznego i prowadzenie dziennika zdrowia, lokalnie na urządzeniu są zbierane i przetwarzane dane z ankiety samooceny. Na podstawia ankiety aplikacja dokonuje oceny ryzyka zachorowania użytkownika. Dane te nie są przesyłane poza urządzenie użytkownika. Co do zasady żadne dane związane z aplikacją STOP-COVID (z wyjątkiem kluczy przekazywanych przez Bluetooth oraz Exposure Keys przekazywanych dobrowolnie przez zakażonego użytkownika) nie opuszczają urządzenia użytkownika. Co więcej, dane niepotrzebne do oceny ryzyka (starsze niż 14 dni) są usuwane z urządzenia.
Sekretarz stanu pytany o to kto ma dostęp do danych wyjaśnił, że dane są przechowywane lokalnie na urządzeniu użytkownika, a dane wykorzystywane przez aplikację są szyfrowane. Jedyną osobą, która ma dostęp do tych danych, jest użytkownik aplikacji. Dodatkowo, jak każde urządzenie podłączające się do sieci, urządzenie ma przydzielony adres IP przez dostawcę połączenia sieciowego. Nie jest to jednak dana przydzielana i zbierana przez administrację, co więcej, nie jest to adres stały urządzenia oraz nie jest powiązany z danymi identyfikującymi urządzenie.
Zagórski wyjaśnił również, że STOP COVID nie śledzi i nie zapisuje lokalizacji urządzenia czy dalej użytkownika. Jeżeli byłoby inaczej, to aplikacja nie przeszłaby audytu Google i Apple i ściągniecie jej ze sklepów tych dwóch firm byłoby niemożliwe.
Sekretarz stanu wyjaśnił również jakie dane są przetwarzane przez aplikację. Wskazał, że STOP COVID zbiera na potrzeby oceny ryzyka kontaktu z osobą zakażoną dane wymagane przez Moduł Analityczny, czyli API Google/Apple7. Są to klucze wymieniane przez Bluetooth oraz Exposure Keys rozgłaszane dobrowolnie przez osoby zakażone. Dodatkowo, jeśli użytkownik zdecyduje się na wypełnienie testu samodiagnostycznego i prowadzenie dziennika zdrowia (Moduł Triażu) lokalnie na urządzeniu są zbierane i przetwarzane dane z ankiety samooceny zdrowia. Co ważne, wszystkie te dane są przechowywane jedynie na urządzeniu użytkownika.
W ostatnim swoim pytaniu posłowie chcieli się dowiedzieć jakie uprawnienia posiada aplikacja. STOP COVID zależnie od systemu operacyjnego (Android, iOS) wymaga włączenia modułu Bluetooth w urządzeniu użytkownika, a także odpowiednio dla urządzeń z systemem operacyjnym Android: włączenia systemowej opcji rejestrowania narażenia na COVID-19 oraz udzielenia zgody na lokalizację (w zakresie modułu Bluetooth, STOP COVID - ProteGO Safe nie wykorzystuje danych GPS), a dla urządzeń z systemem operacyjnym iOS: zaznaczenia opcji Rejestrowanie narażenia na COVID-19. W przypadku urządzeń z systemem Android korzystanie z modułu Bluetooth wymagana takiego uprawnienia, co wynika z samej konstrukcji uprawnień w tym systemie.
Aplikacja została pobrana przez 1 milion 200 tysięcy użytkowników, "co jest w dalszym ciągu dużo za mało w stosunku do tego, co potrzebujemy” - powiedział Marek Zagórski. W tym tygodniu ma się pojawić aktualizacja aplikacji.