Paweł Litwiński: Dane osobowe zaszczepionych będą bezpieczne

Jakie jest pańskie podejście do szczepień antycovidowych?

Raczej proszczepionkowe. Ja i moja rodzina jesteśmy już zaszczepieni. Choć mam świadomość, że uczestniczymy w wielkim eksperymencie medycznym.

Przed nami akcja na niespotykaną dotychczas skalę – państwa UE zbiorą dane milionów obywateli i w najbliższych tygodniach wymienią się nimi tylko po to, aby upłynnić wakacyjne przejazdy. Zaszczepieni gładko przekroczą wewnętrzne granice UE. Będzie więc ogromna presja na szczepienie i wejście do tego systemu. Czy nasze dane będą w nim bezpieczne?

Czytaj także: Zbieranie danych do szczepień może skończyć się karą

Wymiana danych obywateli UE pomiędzy państwami Wspólnoty to nic nowego. Od ponad 30 lat funkcjonuje Strefa Schengen, w której jest obecnie 26 państw, oparta na bazach danych, na podstawie których setki milionów obywateli UE mogą przekraczać granice wewnętrzne i zewnętrzne Unii na uproszczonych zasadach. Jednak na potrzeby paszportów covidowych, inaczej niż w przypadku Strefy Schengen, nie powstanie żadna ogólnoeuropejska baza danych – w tym wypadku baza danych osób zaszczepionych. To bardzo ważne dla bezpieczeństwa danych osobowych wszystkich osób, które będą poruszały się już niedługo po Unii Europejskiej z paszportami covidowymi. To zresztą zasługa m.in. Wojciecha Wiewiórowskiego – europejskiego inspektora ochrony danych osobowych, który od spełnienia takiego warunku uzależnił zgodę na stworzenie tego systemu.

Te dane są jednak zbierane bez naszej zgody. A dotyczą przecież szczególnie chronionych informacji o stanie zdrowia. Do tego system jest tak skonstruowany, że będziemy te dane dobrowolnie ujawniać na wezwanie służb innych państw, aby uniknąć kwarantanny czy kosztownego testowania na obecność koronawirusa. Tylko po to, by sprawnie pojechać na wakacje. Wielu się na to oburza. Czy słusznie?

Wchodzimy teraz na grunt polityczny, wręcz cywilizacyjny. W kulturze państw zachodnich społeczeństwa mocno pilnują ochrony prywatności. Inaczej jest np.

w Chinach, gdzie nowoczesne technologie zostały zaprzęgnięte do walki z koronawirusem i m.in. dzięki monitorowaniu aktywności praktycznie 100 proc. obywateli Państwo Środka ograniczyło rozprzestrzenianie się epidemii.

Dobrym przykładem, żeby pokazać te różnice, są polskie przepisy antycovidowe przewidujące, że osoby zaszczepione nie wliczają się do limitu uczestników koncertu czy weselników. Fajny przepis promujący szczepienia, ale całkowicie niemożliwy do wyegzekwowania przez organizatora takiego wydarzenia, który nie ma fizycznej ani prawnej możliwości sprawdzenia,

która osoba kupująca bilet na koncert

albo biorąca udział w uroczystości jest już zaszczepiona.

Podobnie było z przepisami, które pojawiły się w szczycie epidemii, w połowie zeszłego roku, pozwalające na monitorowanie aktywności Polaków za pośrednictwem aplikacji „Stop Covid". Okazało się, że nie sprawdziły się one w praktyce, bo mało kto je zainstalował. Potwierdzają to także dane z Islandii, gdzie aplikacje antycovidowe zainstalowało ok. 40 proc. obywateli i okazało się, że nie było to skuteczne narzędzie.

A zapewne sprawa wyglądałaby inaczej, gdyby wprowadzić obowiązek posiadania takiej aplikacji w telefonie. Wówczas system byłby pewnie skuteczniejszy.

Postuluje pan właśnie, abyśmy wprowadzili w Europie standardy rodem z Chińskiej Republiki Ludowej?

Nie postuluję, wręcz przeciwnie – podaję tylko fakty. Cieszę się, że żyjemy, gdzie żyjemy. Ale też chciałbym jasno powiedzieć, że z perspektywy walki z pandemią Covid-19 mam wrażenie, że panuje w niej ogromny chaos i przyjmowanym rozwiązaniom brakuje skuteczności. Z jednej strony warto podkreślić, że zestawiając ze sobą takie wartości, jak zdrowie i życie z jednej strony,

a ochronę danych osobowych z drugiej,

i zakładając, że istnieją narzędzia walki z pandemią, które wymagają pewnej ingerencji w naszą prywatność, pierwszeństwo trzeba przyznać zdrowiu i życiu. Bazując na tym założeniu, przyjęto system paszportów covidowych, w którym nie sposób dopatrywać się jakiegoś systemowego naruszenia ochrony danych osobowych. System paszportów covidowych to dość sprawnie wdrażana próba przywrócenia tego, czym UE stoi, czyli swobody przepływu osób. Prywatność obywateli UE nie zostanie naruszona, a w najbliższym czasie mamy szansę wrócić do otwartych granic wewnątrz Unii Europejskiej. Dużo jednak zależy od tego, co z tym systemem zrobią poszczególne państwa. Jak na razie w jego wdrażaniu bierze udział Bułgaria, Chorwacja, Czechy, Dania, Grecja, Hiszpania, Litwa czy Polska. Miejmy nadzieję, że do tego systemu przystąpi także Francja, Beneluks, Węgry

czy Portugalia. Dużo jeszcze przed nami.

A co z tymi, którzy się nie zaszczepili?

Staną się ofiarą myślenia w kategoriach państw narodowych, a nie Wspólnoty. Wjadą albo nie wjadą do danego państwa UE. Mogą zostać objęci dwutygodniową kwarantanną po przekroczeniu granicy albo poproszeni o wykonanie kosztownego testu na obecność przeciwciał. Myślę – i obym się mylił – że państw z otwartymi granicami będzie mniej niż tych stosujących dodatkowe obostrzenia. Trzeba też pamiętać, że szczepienia są dobrowolne, wtedy konsekwencje niezaszczepienia każdy określa sam. Osobom, które chcą wyjechać na wakacje, łatwiej będzie się zaszczepić, niż ryzykować kwarantannę czy płacić za test. Szczepienie i paszport covidowy nic nie kosztują.

Jak będzie działał system paszportów covidowych?

Jeden konkretny podmiot z państwa członkowskiego wystawi tzw. zielony certyfikat, potwierdzający szczepienie, status ozdrowieńca czy wynik testu PCR. W Polsce te dane są zebrane na Elektronicznej Platformie Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych, czyli w systemie P1. Ten system zawiera wszystkie informacje o świadczeniach zdrowotnych udzielonych każdemu ubezpieczonemu. Co ważne, te dane nie opuszczą Polski i nie będą przetwarzane w innych państwach UE. Zielony certyfikat będzie działał na zasadzie dziedziczenia zaufania co do prawdziwości podanych w nim danych i ma być honorowany w czasie ewentualnej kontroli przez służby innych państw, które weszły lub jeszcze wejdą do tego systemu. To bardzo mądre i bezpieczne dla naszych danych osobowych rozwiązanie. Oczywiście nie można wykluczyć przypadku, że ktoś zgubi ten dokument albo np. zostanie sfotografowany, więc zawarte w nim dane trafią w niepowołane ręce, ale będą to zdarzenia incydentalne.

Jakie dane będą prezentowane w paszporcie covidowym?

Docelowo certyfikat będzie zawierał imię, nazwisko, datę urodzenia, datę drugiego szczepienia, gdyż certyfikat jest ważny przez rok od tej daty, oraz informacje, jaka szczepionka została użyta. W certyfikacie może pojawić się także informacja co do wyniku testu PCR, jaki przeszedł jego posiadacz, czy informacje co do statusu ozdrowieńca. Mówię docelowo, bo w Polsce obecnie system jest wdrażany i jeżeli wygeneruje się certyfikat przez konto e-pacjent, wówczas to będzie dokładnie ten unijny certyfikat z takimi danymi. Jeżeli natomiast wygeneruje się poświadczenie zaszczepienia w aplikacji mObywatel, wówczas zakres danych będzie węższy – jest tam tylko pierwsza litera nazwiska i nie ma roku urodzenia.

Zakres tych danych będzie musiał się rozszerzyć do 1 lipca, tak by był zgodny

z unijnym standardem. Warto zauważyć,

że w systemie paszportów covidowych nie będą zbierane dane o numerach telefonów komórkowych. To bardzo ważne, bo dzięki tej informacji łatwo byłoby śledzić turystów przebywających na terytorium innego państwa.

Czyli mam rozumieć, że nasze dane będą bezpieczne?

Na szczeblu unijnym wybrano bardzo bezpieczny wariant, gdyż dane obywateli UE nie będą wymieniane między państwami,

nie powstanie też ogromna baza danych osobowych na potrzeby paszportów covidowych. Taka baza danych, także ze względu na pośpiech w uruchamianiu nowego systemu, byłaby narażona na ataki, bo zawierałaby bardzo atrakcyjne dane osób aktywnych, które np. stać na zagraniczny wypoczynek. Byłby to łakomy kąsek dla przestępców. Wprowadzenie paszportów nie zwiększy ryzyka wycieku danych, bo zostaną one w narodowych systemach, które chronią te informacje od wielu lat – to ryzyko będzie więc dokładnie takie, jak jest teraz w każdym z państw. Martwi mnie jednak to, co zrobią poszczególne państwa UE, które obok systemu paszportów covidowych mogą tworzyć własne regulacje wewnętrzne uzależniające zgodę na wjazd na swoje terytorium od podania szeregu danych

– w tym numeru telefonu, który pozwoli na śledzenie tej osoby przez cały czas pobytu

w granicach tego państwa. Taki system już teraz funkcjonuje np. na Słowacji.

Jakie dodatkowe dane są gromadzone przez Słowaków?

Każdy, kto wybiera się do tego kraju, musi wcześniej wejść na stronę https://korona.gov.sk/ehranica/ i podać nie tylko swój numer telefonu, ale także adres zamieszkania i poczty elektronicznej. Inaczej może zostać objęty kwarantanną. To pokazuje, że wszystko zależy od tego, jakie dodatkowe zasady przemieszczania przez swoje terytorium przyjmą państwa UE. Pewnie te na południu Europy, którym najbardziej zależy na ruchu turystycznym, podejdą do sprawy najbardziej liberalnie. Ale inne państwa, którym już tak bardzo nie zależy na turystyce, mogą wprowadzić dodatkowe wymagania, przetwarzać dane obcokrajowców i śledzić ich cyfrowo w czasie pobytu w granicach tego państwa.

A co, jeśli taka dodatkowa baza danych turystów, tworzona przez poszczególne państwa UE, padnie ofiarą ataku hakerów i te dane wyciekną do internetu. Czy będzie można pozwać takie państwo o odszkodowanie i zadośćuczynienie?

Ze względu na to, że takie systemy są tworzone obecnie ad hoc i mogą być mniej starannie zabezpieczone, rośnie ryzyko wycieku tych danych. O prawie do odszkodowania i zadośćuczynienia będą jednak decydowały regulacje poszczególnych państw. Jeśli takie bazy będą podlegały pod przepisy o ochronie danych osobowych, czyli RODO, wówczas w unijnych przepisach jest podstawa do żądania rekompensaty. Inaczej, jeśli podstawą do gromadzenia tych danych będą przepisy odwołujące się do takich wartości, jak np. bezpieczeństwo narodowe w poszczególnych państwach – wtedy RODO nie ma zastosowania i pewnie bardzo trudno będzie uzyskać jakąkolwiek rekompensatę.

Czy bardziej liberalne podejście regulatorów do kwestii ochrony danych osobowych w czasie walki z epidemią przeniesie się na rozluźnienie rygorów w traktowaniu potknięć biznesu przy przetwarzaniu danych osobowych?

Nie powinno. Od początku pandemii organy nadzorcze poszczególnych państw UE oraz Europejska Rada Ochrony Danych stały na stanowisku, że potrzeby wynikające z zapewnienia zdrowia i bezpieczeństwa publicznego w czasie pandemii mają pierwszeństwo przed ochroną danych osobowych, która nie może być traktowana jako argument przeciwko walce z pandemią. Nie można jednak tego podejścia przenosić na ew. poluzowanie wymogów w stosunku do biznesu. W kategoriach powszechnych zdrowie znaczy więcej niż interes przedsiębiorcy, który chce śledzić i wiedzieć więcej o swoich klientach. Jeśli ograniczenia prywatności zostaną z nami po zakończeniu epidemii, to tylko w sektorze publicznym, a i tego nie byłbym pewien. Covid był jednak katalizatorem zmian, o których mówiło się od bardzo dawna, a które nie były wdrażanie. Myślę tu np. o cyfryzacji rozpraw sądowych i wprowadzeniu nowych regulacji o pracy zdalnej, które zostaną z nami po zakończeniu pandemii. Wiele osób przeniosło też swoją aktywność do sieci internetowej, co na pewno skutkuje większą ilością danych na nasz temat, które krążą w internecie. Więc choć standardy ochrony tych danych się nie zmieniają, to przez zwiększenie ich wolumenu w istocie zwiększa się zagrożenie dla naszej prywatności.

Dr Paweł Litwiński jest adwokatem, członkiem Grupy Ekspertów Komisji Europejskiej ds. wdrożenia rozporządzenia RODO, b. członkiem Rady ds. Informatyzacji II kadencji

Choroby Koronawirus SARS-COV-2 Dane Osobowe