Tehnoloģijas 07:00, 8. Mai. 2020

Mobilās lietotnes kontaktu izsekošanai

2020-05-08

Ieva Andersone, ZAB "SORAINEN", zvērināta advokāte, LL.M

Tehnoloģiju uzņēmumi gan pasaulē, gan Latvijā ziņo par plāniem attīstīt mobilās lietotnes, kas palīdzētu noskaidrot un izsekot Covid-19 kontaktpersonas. Viena no pirmajām valstīm pasaulē, kas izstrādājusi kontaktu izsekošanas mobilo lietotni, ir Singapūra. Arī citas valstis visā pasaulē pandēmijas apkarošanā izvērtē iespēju izmantot mūsdienu tehnoloģijas. Skaidrs, ka šādu mobilo lietotņu veiksmīga darbība sniegtu būtisku ieguldījumu sabiedrības veselības aizsardzībā, tomēr vienlaikus to lietošana bez atbilstošas uzraudzības un drošības pasākumiem var radīt būtiskus riskus iedzīvotāju privātumam un cilvēktiesībām.

Raksta līdzautore: Lūcija Strauta, ZAB "SORAINEN" jurista palīdze

Šajā rakstā īsi aplūkosim būtiskākos datu aizsardzības noteikumus, kas jāievēro, lai lietotņu izmantošana neradītu bažas par iejaukšanos privātumā. Analizēsim arī jaunās Eiropas Komisijas (EK) Vadlīnijas mobilo lietotņu izstrādātājiem.

Lietotņu darbības veids un ietekme uz privātumu

Lietotņu izveidē plānots izmantot tādus tehnoloģiskos risinājumus kā bluetooth un globālās pozicionēšanas sistēmu (GPS), ar ko iespējams iegūt datus par laiku un attālumu, kādā mobilo tālruņu lietotāji atradušies viens no otra. Tādējādi, ja kādai personai tests uzrādītu pozitīvu Covid-19 rezultātu, lietotne atpazītu visas slimnieka kontaktpersonas un automātiski tām ziņotu par nepieciešamību pašizolēties un veikt testu.

Šāda lietotne būtiski paātrinātu kontaktpersonu apzināšanu un informēšanu, kas šobrīd vairumā valstu notiek sarežģītā epidemioloģiskās izmeklēšanas procesā, epidemiologiem pašiem iegūstot informāciju par slimnieka gaitām un satiktajiem cilvēkiem. Tā kā izmeklēšanas pamatā ir slimnieka atmiņa un spējas atcerēties, kādas vietas viņš apmeklējis un ar ko ticies, šāds process ir smagnējs un lēns. Turklāt epidemiologiem pašiem jāsazinās un jāinformē kontaktpersonas. Kā izpētījuši speciālisti, lai kontaktu izsekošanas lietotnes darbotos efektīvi, nepieciešams, lai tās lietotu vismaz 50% sabiedrības.

Lejuplādējot tālrunī jebkuru mobilo lietotni, ikreiz jāapzinās, ka šī vienkāršā darbība var ietekmēt mūsu privātumu. Parasti lietotnēm pievienoti detalizēti privātuma noteikumi, taču retajam ir laiks un pacietība tos lasīt un iedziļināties. Tomēr tad, ja lietotne tiecas piekļūt mūsu ikdienas gaitu un kontaktu lokam tiešā nozīmē, ir vērts iepriekš apdomāt un saprast, kādos apstākļos un ciktāl tas būtu vai nebūtu pieļaujams.

Jautājumos, kas attiecas uz privātuma aizsardzību un personas datu apstrādi, visā Eiropā pašlaik ir spēkā vienots regulējums – Eiropas Parlamenta un Padomes regula 2016/679 jeb Vispārīgā datu aizsardzības regula (Regula). Tādēļ arī atbildes, kādos apstākļos un kādā veidā jaunās mobilās lietotnes drīkstētu piekļūt personas datiem, sākotnēji jāmeklē Regulā. Svarīgākais ir saprast, kas šādā situācijā būtu personas datu apstrādes pamats, jo ikvienai datu apstrādei jānotiek, pamatojoties uz kādu no Regulā noteiktajiem pamatiem.

Ja lietotnē izmantotie dati ir pilnībā anonimizēti

Ja mobilā lietotne vāc anonimizētus datus, ko izmanto apkopotā veidā, lai pētītu un prognozētu ar vīrusa izplatīšanos saistītus aspektus, Regulas ietvaros tā nav uzskatāma par personas datu apstrādi, līdz ar to datu aizsardzības principi anonīmas informācijas apstrādei nav jāpiemēro.

Par anonīmu uzskatāma informācija, kas nav attiecināma uz identificētu fizisku personu, kā arī personas dati tiek sniegti tādējādi, ka personu, par kuru vāc datus, nav iespējams identificēt nekādiem līdzekļiem, proti, apstrādājot mobilās lietotnes datus, ne ar kādiem līdzekļiem vairs nav iespējams noteikt, tieši no kuras personas ierīces informācija nākusi. Ja, apstrādājot datus, tomēr iespējams identificēt konkrētu fizisku personu un dati ir izsekojami, tad tie nav anonimizēti dati, bet gan pseidonimizēti dati, tas ir, informācija, kas attiecināma uz netieši identificējamām personām, pastāvot iespējai iegūt konkrētu personu.

Identificējamu personu datu apstrāde

Ja dati nav anonimizēti un pēc tiem iespējams identificēt konkrētu personu, piemērojami datu apstrādes principi. Atbilstoši Regulai datus iespējams apstrādāt tikai tad, ja pastāv kāds no Regulas 6. pantā minētajiem datu apstrādes pamatiem. Viens no tiem ir mobilās lietotnes lietotāja skaidra un nepārprotama piekrišana, taču datu apstrāde pieļaujama arī bez tās. Proti, kā piemēroti datu apstrādes pamati šajā situācijā varētu būt arī Regulas 6.panta 1. punkta d) vai e) apakšpunkti – vajadzība aizsargāt datu subjekta vai citas fiziskas personas vitālas intereses vai uzdevums, kas jāveic sabiedrības interesēs.

Pandēmijas seku mazināšana un rūpes par sabiedrības veselību un drošību, visticamāk, uzskatāmas par atbilstošām sabiedrības interesēm, turklāt, vērtējot plašākā mērogā, epidēmijas izplatīšanās mazināšana aizsargātu gan mobilās lietotnes lietotāja, gan citu fizisku personu vitālās intereses. Regulas preambulas 41. apsvērumā paredzēts, ka juridisks pamats var pastāvēt bez atsevišķa tiesiska regulējuma, ja vien tas ir skaidrs un precīzs un personas, uz kurām tas attiecināms, spēj saprast tā piemērošanu. Turklāt preambulas 46. apsvērums pat konkrēti norāda, ka svarīgas sabiedrības intereses un datu subjekta vitālajās intereses var ietvert epidēmiju un to izplatīšanās monitoringu.

Datu drošība un pārskatāmība

Neatkarīgi no datu apstrādes mērķa un tiesiskā pamata mobilo lietotņu izstrādātājiem jānodrošina datu apstrādes pārskatāmība un drošība. Pārskatāmība nozīmē, ka datu subjektiem ir saprotams, kādi personas dati tiek iegūti un kādas apstrādes darbības tiek veiktas. Vienlaikus šie dati jāapstrādā ar tehnoloģiskām un organizatoriskām metodēm, kas atbilst datu drošības riskiem un samazina to iestāšanās iespējamību. Datu drošības riski ir, piemēram, neatļauta vai nelikumīga apstrāde, nejauša nozaudēšana, iznīcināšana vai sabojāšana, neatļauta izpaušana vai piekļuve.

Atbilstoši apstrādes pasākumi ir būtiski, lai novērstu riskus un nepieļautu kaitējuma radīšanu datu subjektiem, tostarp svarīgi nodrošināt, lai mobilo lietotņu apkopotajiem datiem, īpaši, ja tie nav anonīmi, var piekļūt tikai šaurs, precīzi noteiktu personu loks un tie netiek uzglabāti ilgāk, nekā obligāti nepieciešams mērķa sasniegšanai.

Eiropas Komisijas vadlīnijas

Šomēnes EK, reaģējot uz Eiropas valstu izrādīto iniciatīvu veidot nacionālas mobilās lietotnes Covid-19 izplatības ierobežošanai, publicējusi Vadlīnijas mobilo lietotņu izstrādātājiem. Vadlīnijās ieteiktas prasības lietotņu tehniskajiem risinājumiem, pārrobežu sadarbībai, kiberdrošībai un iegūstamo datu kritērijiem. Tajās noteiktas četras pamatnostādnes, kas jāievēro nacionālo mobilo lietotņu veidotājiem:

mobilo lietotņu lejupielādei jābūt personas brīvai izvēlei;
mobilās lietotnes kvalitāte un atbilstība jāapstiprina atbildīgajai valsts institūcijai veselības aizsardzības jomā;
mobilai lietotnei datu apstrādē jānodrošina datu šifrēšana;
līdz ar datu apstrādes pamata izbeigšanos jānodrošina nekavējoša datu dzēšana.

Vadlīnijās paredzēts, ka mobilajām lietotnēm jāiegūst dati, kas derīgi epidemioloģiskajai izmeklēšanai, piemēram, lietotnei jāiegūst informācija, lai noteiktu kontaktpersonas, kas slimnieka klātbūtnē uzturējušās pietiekami ilgi, lai inficētos. Dažādu lietotņu izstrādātājiem jārūpējas, lai lietotnes būtu savstarpēji "draudzīgas" un spētu izsekot vīrusa izplatībai starp dažādu lietotņu izmantotājiem. Tāpat mobilajām lietotnēm jābūt ar tādām tehnoloģiskām prasībām, lai arī vienkāršu modeļu telefonu lietotāji tās varētu izmantot, aptverot iespējami lielāku sabiedrības daļu izmantotāju lokā. Vadlīnijās uzsvērta iekļaujamība (inclusiveness), kas ir nepieciešamība rūpēties, lai kontaktu izsekošanā ietvertu arī tādas sabiedrības grupas kā mazi bērni, seniori un medicīnas darbinieki, kuri nelieto vai ikdienas gaitās pastāvīgi nenēsā mobilos telefonus, paredzot tiem speciālus tehniskus risinājumus, piemēram, vienkāršas aproces.

Vadlīnijās paredzēts, ka datiem jābūt šifrētiem, lai nebūtu iespējams uzzināt, kura persona ir Covid-19 pozitīva un nenotiktu personu stigmatizācija. Vadlīnijas norāda uz diviem datu glabāšanas veidiem:

decentralizētu datu glabāšanu, kad dati saglabājas mobilajā ierīcē;
centralizētu datu glabāšanu serverī.

Tā kā datu glabāšana serverī saistīta ar paaugstinātu risku, ieteicams izvēlēties datus glabāt mobilajā ierīcē. Tomēr tad, ja dati tiek glabāti serverī, servera turētājs drīkst būt tikai valsts institūcija. Lietotnei un serverim jābūt aizsargātiem pret uzbrukumiem un ļaunprātīgu izmantošanu. Lai novērstu nepatiesu paziņojumu izsūtīšanu, jāparedz, ka saslimšanas gadījumu sistēmā drīkst apstiprināt tikai atbildīgās medicīnas iestādes darbinieks.

Ja personu kontaktu izsekošanas lietotne vāc un glabā datus par personu atrašanās vietu un pārvietošanās maršrutu, rodas datu apstrādes pārkāpums, jo netiek ievērots datu minimizācijas princips. Lai apzinātu personas, kas bijušas kontaktā ar Covid-19 slimnieku, nepieciešama informācija tikai par personu atrašanos tuvumā un kontakta ilgumu, nevis pastāvīga personas atrašanās vietas noteikšana. Tādējādi Vadlīnijās paredzēts, ka mobilo lietotņu izstrādātājiem rūpīgi jāizvērtē, kādu informāciju vākt un kāda informācija nav nepieciešama.

Kopsavilkums

Apkopojot minēto, svarīgi uzsvērt, ka par personu privātuma aizsardzību mobilo lietotņu izstrādātājiem jādomā jau datu apstrādes sākotnējā stadijā, piemērojot integrētas datu aizsardzības (privacy by design) principu un datu aizsardzību pēc noklusējuma (privacy by default), kā arī izstrādes procesā jāapsver, vai veikt novērtējumu par ietekmi uz datu aizsardzību, apzinot visus riskus, ko plānotā datu apstrāde rada personu tiesībām uz privāto dzīvi.

Ja šādas lietotnes tiks piedāvātas sabiedrībai, pirms mobilās lietotne lejupielādes ikvienam ieteicams izlasīt privātuma noteikumus un saprast, kādus datus lietotne iegūs, kādā veidā tā piekļūs datiem un tos vāks, kā dati tiks izmantoti un kam tie būs pieejami. Svarīgi noskaidrot arī lietotnes izstrādātāja vai piedāvātāja reputāciju un, ja iespējams, tā iepriekšējo rīcību datu aizsardzības jomā, proti, vai tā darbībā bijuši kādi būtiski pārkāpumi. Tādējādi tiktu nodrošināts, ka sasniegts lietotņu mērķis – sabiedrības un mūsu katra veselības aizsardzība, vienlaikus iespējami respektējot personu tiesības uz privātumu.

0 Komentāri

Lai komentētu, autorizējies!

Citi raksti no šīs rubrikas

No idejas līdz rezultātam – rīki produkta izstrādei

Ja radusies jauna ideja kādam unikālam produktam, kuru ir vēlme realizēt, taču nav iepriekšējas pieredzes, rodas jautājums – ar ko sākt? Neatkarīgi no tā, vai produkts ir fizisks vai digitāls, pirmais solis ir idejas “uzlikšana” uz papīra un visu tās aspektu izprašana. Pēc tam jāveic prototipa izstrāde, bet noslēgumā – gala produkta ražošana. Labā ziņa – mūsdienu digitālajā laikmetā ir daudz rīku un pierādītu metodoloģiju, kas visus produkta izstrādes posmus izstrādātājam var ārkārtīgi atvieglot.

Tehnoloģijas 06:00, 14. Jūn. 2024

Vai drīkst aizliegt tirgot preces tiešsaistē?

2023.gada 19.decembrī Francijas Konkurences iestāde pieņēma lēmumu, ar kuru sodīja uzņēmumu “Rolex France SAS” (solidāri ar uzņēmumiem “Rolex Holding SA”, “Hans Wilsdorf Foundation” un “Rolex SA”) par to, ka tas vairāk nekā 10 gadus bija aizliedzis mazumtirgotājiem pārdot “Rolex” pulksteņus gan tiešsaistē, gan ar pasta starpniecību. “Rolex” norādīja, ka tādā veidā tiek apkarota šo pulksteņu viltošana un paralēlā tirdzniecība. Žurnāla "iTiesības" publikācijā "Vai drīkst aizliegt tirgot preces tiešsaistē?" SIA "Zvērinātu advokātu birojs BDO Law" juriste Sabīne Smilts apskata šo situāciju sīkāk!

Tehnoloģijas 09:00, 9. Mai. 2024

Dati jāsargā – tāpat kā mājas atslēgas

Lietojot gan tradicionālās viedierīces – datorus, telefonus, viedās sporta ierīces –, gan arvien viedākas tehnoloģijas, tiek nepārtraukti radīti dažāda veida dati. Turklāt daļu no datiem, ko radām, pat neizmantojam, un tie faktiski kļūst par digitāliem atkritumiem, kas var radīt apdraudējumu ne tikai pašiem, bet arī līdzcilvēkiem un apkārtējai videi. Tomēr ar visai vienkāršiem paņēmieniem iespējams mazināt potenciālo apdraudējumu un novērst ļaunprātīgu datu izmantošanu.

Tehnoloģijas 06:00, 26. Apr. 2024

Kā novērst digitālās vides ļaunprātību

Mūsu ikdiena nav iedomājama bez informācijas tehnoloģijām un interneta – mājaslapām, e-pastu saziņas, ziņu portāliem, informācijas apmaiņas un iepirkšanās platformām, forumiem un daudziem citiem tiešsaistes resursiem. Tomēr šīs tehnoloģijas rada arī draudus, tāpēc svarīgi būt informētiem par to, kā tos novērst.

Tehnoloģijas 06:00, 11. Apr. 2024

Kā neiekrist QR kodu lamatās?

Aizvien populārāki mūsdienās kļūst kvadrātkodi jeb QR kodi. Diemžēl tos aktīvi izmanto arī krāpnieki, kas vēlas iztukšot uzņēmēju un privātpersonu bankas kontus. Kā sevi pasargāt?

Tehnoloģijas 09:00, 20. Mar. 2024

Kā uzņēmumam izvēlēties programmētāju?

Nestrādājot tehnoloģiju vidē, bet saskaroties ar nepieciešamību pēc kāda tehnoloģiska risinājuma izveides, nereti pirmajā brīdī var rasties apjukums. Neskaidrība par to, kas nepieciešams, lai izstrādātu konkrēto risinājumu, cik tas izmaksās un kur vispār atrast cilvēku, kas to spētu realizēt. Pēc kādiem kritērijiem izvēlēties programmētāju?

Klausies

Tehnoloģijas 06:00, 5. Jan. 2024

Sociālā inženierija – kas par to jāzina uzņēmējam?

No sociālās inženierijas draudiem nav pasargāts neviens. Parasti šādas darbības tiek mērķētas uz individuālu cilvēku, bet jāatceras – katrs indivīds ir arī daļa no uzņēmuma, kurā viņš strādā.

Tehnoloģijas 06:00, 27. Dec. 2023

Jaunas iespējas .LV domēna vārdu strīdu risināšanā

Reģistrējot domēna vārdu, jebkurai personai ir pienākums ievērot noteikumus, tostarp nepārkāpt citas personas tiesības, tomēr nereti gadās strīdus situācijas, tāpēc plānots, ka nākamajā gadā spēkā stāsies jauna strīdus risināšanas alternatīva. Kā tā atšķirsies no šobrīd esošās?

Tehnoloģijas 06:00, 2. Nov. 2023

Biznesa procesu automatizācija paša vadītāja rokās

Bezkoda risinājumu ieviešana ir viens no automatizācijas veidiem, kurā paši darbinieki bez informācijas tehnoloģiju (IT) speciālistu vai programmētāju iesaistes veido lietojumprogrammas un darba automatizācijas rīkus, kas rezultātā atvieglo viņu pašu veikto darbu un biznesa procesus. Kāpēc vajadzīgi bezkoda risinājumi? Kā tos ieviest uzņēmumā?

Klausies

Tehnoloģijas 06:00, 14. Sep. 2023

Kam jāpievērš uzmanība, uzņēmumam iegādājoties datorprogrammu licenci

Datorprogrammu iegāde un lietošana mūsdienās ir kļuvusi par neatņemamu darbību uzņēmumā, tomēr zem šķietami vienkārša darījuma slēpjas tiesisks regulējums, kas nosaka licences pircēju (ņēmēju), programmatūras lietotāju un izstrādātāju tiesības un pienākumus.

Klausies

Tehnoloģijas 06:00, 5. Sep. 2023

Paplašinātā realitāte – jauna iepirkšanās pieredze

Nākotnē pircēji vairs neiepirksies, izmantojot preču katalogu, bet gan izvēlēsies noteiktu preču veidu un tās izmēru, krāsu un stilu. Pie tam, klienti varēs pielaikot apģērbu vai izmēģināt produktu jebkurā vietā un laikā, pat indivīda mājās. Paplašinātā realitāte (augmented reality) un 3D tehnoloģijas ļaus šādas ieceres īstenot realitātē.

Tehnoloģijas 06:00, 11. Aug. 2023

Ko spēj valodas modelis “ChatGPT”?

Pēdējo mēnešu laikā ir novērota pastiprināta interese par “ChatGPT” un citiem lielajiem valodu modeļiem (Large Language Models). Šīs modernās mašīnmācīšanās metodes izmanto apjomīgus tiešsaistes datus kopā ar modernākajiem neironu tīklu algoritmiem (Neural Network algorithms), rada mākslīgā intelekta asistentus, kas spēj “sarunāties” ar lietotājiem šķietami normālā valodā. Nav grūti iedomāties, ka šī jaunā un aizraujošā tehnoloģija var mainīt “spēles gaitu” produktivitātes un virtuālo asistentu jomā. Turpmāk šajā rakstā apskatīsim “ChatGPT” pamatus un parādīsim, kāpēc tas varētu izmainīt mūsu ierasto darbu gaitu un darbu vairākās nozarēs.

Tehnoloģijas 06:00, 15. Jūn. 2023

Zibmaksājumu pieejamība Eiropā

Gandrīz katrs Latvijas iedzīvotājs ir novērtējis zibmaksājumu jeb tūlītēju maksājumu ātrumu un ērtumu, kad nauda tiek ieskaitīta viņu kontā dažu sekunžu laikā. Šobrīd tiek virzīta jauna Eiropas likumdošanas iniciatīva, kuras mērķis ir nodrošināt zibmaksājumu plašāku pieejamību Eiropā, lai tie būtu vēl ērtāki un drošāki. Apskatām nedaudz sīkāk šo iniciatīvu!

Tehnoloģijas 06:00, 1. Jūn. 2023

Kā izvairīties no kļūdām kiberuzbrukumu gadījumos?

Arvien vairāk uzņēmumu cieš kiberuzbrukumos. Ikviens uzņēmums var kļūt par hakeru mērķi neatkarīgi no tā izmēra vai darbības veida. Hakeri ir ieinteresēti ne tikai lielajos finanšu un ražošanas uzņēmumos, bet arī mazos un vidējos uzņēmumos, kas apstrādā mazāk sensitīvus personas datus. Tomēr joprojām ir pārāk maz diskusiju par pasākumiem, ko darīt, lai novērstu kiberuzbrukumu, un pareizo rīcību pēc uzbrukuma. Apskatīsim biežāk pieļautās kļūdas un padomus, kā no tām izvairīties.

Klausies

Tehnoloģijas 06:00, 25. Mai. 2023

Kad uzņēmums kļūst par sava nosaukuma upuri tiešsaistē

Uzņēmuma un tā preču zīmju nosaukumi ir vieni no uzņēmuma aktīviem, tā netaustāmā vērtība. Tie kalpo ne tikai kā atpazīstamības zīme, bet arī kā uzņēmuma kvalitātes un reputācijas apzīmējums, tādēļ ļaundari ir iecienījuši identitātes viltošanu. Ja fiziskajā pasaulē imitēt kādu zīmolu ir laikietilpīgs un finansiāli dārgs darbs, tad tiešsaistē tas ir ļoti ātri un ērti izdarāms. Turklāt nodarījuma ietekme šajā gadījumā var būt daudz plašāka. Tādēļ ikvienam uzņēmumam, neraugoties uz tā lielumu vai ambīcijām, ir laikus jādomā par uzņēmuma identitātes aizsardzību arī tiešsaistē.

Tehnoloģijas 06:00, 12. Mai. 2023

Skatīt vairāk...