Što Andrija zapravo radi s našim osobnim podacima?

Kad smo prije nekih dva tjedna objavili ekskluzivne detalje o Andriji, chatbotu za samodijagnozu, kojeg su državi donirali Infobip, Neos, Mindsmiths i Oracle, bili smo više nego sretni što se IT zajednica udružuje i organizira kako bi pomogla u ovim izvanrednim vremenima.

Tri tjedna razvoja ovog rješenja u suradnji s vodećim epidemiolozima iz Ministarstva zdravstva i pod stručnim vodstvom prof.dr. Branka Kolarića bila su dovoljna da se postavi projekt, ali, kako se ispostavlja, ne i njegovi temelji zaštite osobnih podataka. Iako je Andrija kao donirano rješenje bio svojevrstan simbol tome kako tehnologija može pridonijeti u obrani od COVID-19, stručna javnost je upozorila kako informiranje o količini, vrsti i načinu obrade podataka prikupljenih kroz korištenje Andrije, pa ni njihova zaštita, nije adekvatna.

U želji da zaključno podvučemo crtu o ovoj temi, u tekstu sam nastojala okupiti sve relevantne aktere projekta Andrija: od samog Ministarstva zdravstva kao voditelja obrade podataka, Ministarstva uprave kao nositelja projekta (tehnička i organizacijska podrška) do uključenih tvrtki i stručnjaka koji su sudjelovali na razvoju rješenja, ali i nezavisne stručnjake koji mogu pomoći rasvijetliti situaciju. Nadležnoj agenciji za zaštitu osobnih podataka (AZOP) također je poslan upit.

EDIT: Odgovor AZOP-a pristigao je istog dana, a nakon objave ovog članka, u kojem se navodi kako će AZOP provesti nadzorno postupanje kod voditelja obrade kako bi se provjerilo što je zaključeno procjenom učinka na zaštitu podataka (DPIA), o čijem ishodu će nas naknadno obavijestiti.

Telefonski broj je osobni podatak!

Prvo što moramo razjasniti jest činjenica da Andrija nije aplikacija kojom se vrši praćenje korisnika, o čemu ovih dana slušamo često od strane Googlea i Applea. Međutim, jest stranica koja od korisnika prikuplja (osobne) podatke stoga mora poštivati uredbe o zaštiti tih podataka.

Kao prvi takav podatak to je osobni broj korisnika, a takva informacija koja je jedinstvena za pojedinca osobni je podatak putem kojeg se osoba može identificirati. Uz njega, Andriji korisnici dijele i druge podatke, poput onih o užoj lokaciji i broju članova kućanstva. No, pozivajući se na Opću uredbu o zaštiti podataka, iz MUP-a pak navode da bi mogli govoriti o osobnim podacima tek kada takvim podacima možemo izravnim ili neizravnim putem identificirati osobu ili barem s velikom vjerojatnošću moći pretpostaviti o kojoj je osobi riječ. Po izjavama MUP-a tako se da zaključiti da Andrija zapravo ne prikuplja osobne podatke s obzirom na to da se osobe ne mogu identificirati. Međutim, osnovni uvjet da se Andrija koristi je upravo osobni podatak – telefonski broj.

Pravila privatnosti korisniku ne pojašnjavaju stvari

S druge strane, u Pravilima privatnosti navedeno je kako se “nakon ispunjenja svrhe prikupljanja podataka podaci anonimiziraju, pa si Ministarstvo uskače u riječ, jer zašto bi se uopće anonimizirali podaci koji nisu osobni u samom startu?

Pravila privatnosti obiluju takvim začkoljicama i dvosmislenim stavkama, potvrđuje mi to i odvjetnica Dijana Kladar, koja je bila članica Stručne radne skupine za izradu Zakona o provedbi GDPR-a:

Moramo istaknuti da su Pravila privatnosti loše napisana i ne pružaju ispitanicima jasne informacije. Voditelj obrade je dužan ispitaniku pružiti sve relevantne informacije na jednostavnom i jasnom jeziku, a ne istog upućivati na odredbe Uredbe koje ispitanik nije dužan znati niti pretraživati.

Ovo je samo jedan od primjera nelogičnosti koji upućuje da MUP ovom slučaju nije pristupio sistematski niti ga je pravovremeno dodijelio stručnjacima koji bi bili tu da rješavaju nekonzistentnosti. Ipak, neki stručnjaci jesu bili uključeni u evaluaciju projekta Andrija, a čije sam mišljenje o ovim problemima također zatražila. Jedna od njih je i Ines Bolkovac, GDPR stručnjakinja i vlasnica tvrtke Feralis, koja komentira kako su u pravilima privatnosti “pružene su sve relevantne informacije sukladno odredbama Opće uredbe koji određuju koje informacije je potrebno pružiti ispitanicima prije prikupljanja njihovih podataka”.

No, je li zbilja tako?

Stručnjaci poput Dijane Kladar, predsjednika udruge za zaštitu osobnih podataka Stanka Cerina, te Duje Kozomare iz udruge Politiscope koji je prvi otvorio pitanje o sigurnosti Andrije, zaključuju drugo: Andrija, digitalni asistent Ministarstva zdravstva nije usklađen s relevantnim odredbama Uredbe o zaštiti podataka te nikako ne možemo reći da ispitanici dobivaju potpune i točne informacije koje im je voditelj obrade obvezan pružiti u skladu s Uredbom.

Ako imamo na umu koliku štetu za prava korisnika može prouzročiti neadekvatna obrada osobnih podataka, razumljivo je i da se na vrijeme za servise poput Andrije pripremi procjena utjecaja na zaštitu osobnih podataka (DPIA). Njome se može dokazati je li rizik koji Andrija može prouzročiti za prava i slobode korisnika zbilja minimalan. Nažalost, detalje o toj procjeni nismo dobili, a Ines Bolkovac ističe kako “nema obveze javne objave takve procjene već postoji samo preporuka eventualne objave sažetka onda kada se radi o visoko rizičnim obradama, a što ovdje nije bio slučaj.” Ipak, upravo se u tome rađaju sumnje prethodno spomenutih stručnjaka koji se slažu u mišljenju da je stvarno provedena procjena učinka odnosno DPIA, teško da bi ista mogla pokazati minimalan rizik za prava i slobode ispitanika.

Krenimo redom provjeriti i je li to tako…

Korisnik nije tu da se pita koliko je Andrija pametan…

Na pitanje zašto u razvoj nije uključeno nacionalno nadzorno tijelo za zaštitu podataka (AZOP), MUP odgovara da su se oslonili na posebne preporuke Europske komisije (2020/C 124 I/01) od 17. travnja 2020., a gdje je navedeno da se takvom tijelu trebaju samo obratiti mobilne aplikacije koje uključuju praćenje korisnika i/ili prikupljanje medicinskih podataka u svrhu dijagnosticiranja, liječenja i kontrole COVID-19. Da bi potom istaknuli kako Andrija ne prati korisnika niti prikuplja navedene podatke te stoga nije bilo obveze za takvo prethodno savjetovanje. Što onda Andrija radi?

Iako je većina nas ofrlje negdje pokupila da chatbotovi imaju neke veze s umjetnom inteligencijom, rijetko tko od nas ide u dubinu toga što je zbilja “inteligentno” oko pojedinih chatbotova. Andrija je samo jedno u nizu zgodnih rješenja, koji na sreću ili na žalost, ne nudi mnogo više osim simulacije razgovora kojom se pokušava olakšati situacija zabrinutim ljudima s druge strane malih ekrana. Ipak, ono što mi ne znamo iz Pravila privatnosti jest da li Andrija zbilja jest SAMO simulator komunikacije sa zdravstvenim stručnjakom ili možda stvarno koristi AI kako bi se “tako anonimizirani podaci dalje obradili u znanstvene i statističke svrhe”.

Problem kod takve obrade jest što one dodatne identifikatore, koje tobože Andrija ne prikuplja, a putem kojih bi se mogla točno identificirati jedna osoba – postaju mnogo lakše uočljivi korištenjem umjetne inteligencije. Kako za ICTBusiness objašnjava Stanko Cerin, povezivanjem s drugim bazama podataka, značajno raste i vjerojatnost naknadnog povezivanja ovih podataka i izrađenih profila s konkretnim imenima. Tako da, ako je Andrija ipak pametniji nego se naoko čini običnom korisniku, taj korisnik koji dijeli s njim podatke bi to trebao i znati. Sve dok Andrija jasno ne objavi na koji se točno način provodi anonimizacija, ističe Cerin, postojat će ozbiljna sumnja u njenu učinkovitost.

Kako se koriste i obrađuju podaci?

Iako mi Ministarstvo na upit prosljeđuju li se podaci građana trećim stranama jasno odgovara da se podaci pruženi putem Andrije ne prosljeđuju trećim stranama ta ista jasna informacija u Pravilima privatnosti ima i “dodatno pojašnjenje”:

Obvezujemo se na povjerljivost i čuvanje osobnih podataka i nećemo ih priopćavati odnosno učiniti dostupnima trećim osobama bez posebnog odobrenja, osim u slučajevima kada smo na isto u obvezi. U tom slučaju podatke prosljeđujemo samo trećim osobama koje pružaju razumna jamstva te su poduzele odgovarajuće tehničke i organizacijske mjere kako bi se osigurala i zaštitila prava svakog korisnika Andrije.

Što podrazumijeva posebno odobrenje, što bi bila (ne)razumna jamstva – pitanja su koja ostaju neodgovorena. No, osim što formulacija velikog dijela Pravila privatnosti digitalnog asistenta Andrije daje naslutiti koliko su pravila nejasna i podložna širokoj interpretaciji, odvjetnica Kladar upućuje kako ispitanici nisu adekvatno informirani o tome tko sve ima pristup podacima, a navođenje da se podaci neće pružati trećim stranama ne drži vodu.

Koju ulogu imaju uključeni partneri?

Jedna od tvrtki partnera u projektu, Neos, koji je sudjelovao u dizajnu i izradi arhitekture cjelokupnog rješenja, ovom prilikom komentira kako je IT platforma koja se koristi za rad projekta Andrija dizajnirana na način da poštuje najviše sigurnosne standarde u kontekstu spremanja, obrade i kontrole pristupa podacima i svim fazama tijeka podataka. Ipak, detalji o tome KAKO nisu dostupni na samoj službenoj stranici, napominje Kladar:

Gotovo je nevjerojatno da se podaci ne dijele s trećima, primjerice partnerima koji su sudjelovali na izradi sustava i onima koji taj sustav održavaju. Međutim, podaci o tim partnerima se ne navode u Pravilima privatnosti. Ta je činjenica tim više zabrinjavajuća jer su neki od partnera, primjerice ORACLE, globalne korporacije koje nerijetko dijele prikupljene osobne podatke unutar organizacije, čije se podružnice nalaze i u zemljama izvan Europske unije pri čemu neupitno dolazi do prijenosa u treće zemlje.

Iz Neosa pak ističu da je Oracle u kontekstu projekta Andrija isključivo ustupio svoju platformu, ali bez ikakvih mogućnosti za uvid i pristup bilo kojem dijelu podataka koji se prikupljaju, obrađuju i spremaju kao rezultat rada sustava. Tako dolazimo i do jednog od najbitnijih pitanja za uključene u projekt Andrija, da li Infobip, Mindsmiths i Neos imaju pristup tim podacima i na koji način se oni koriste? Iz Ministarstva poručuju kako se navedenim tvrtkama podaci ne prosljeđuju u smislu daljnjeg omogućavanja obrade tih podataka već tvrtke pružaju određenu tehničku podršku kako bi Andrija mogao raditi.

Pri tome svaka od navedenih tvrtki jamči svojim tehničkim i organizacijskim mjerama zaštite, omogućavaju zadovoljavajuću razinu sigurnosti i pružaju razumna jamstva za slučaj neovlaštenog otkrivanja, pristupa ili uporabe bilo kojih podataka ovog voditelja obrade.

Iako nas kao korisnike pozivanje na takve mjere zaštite treba primiriti, ono što bi u startu bila umirujuće je informacija koja transparentno pojašnjava kako su pojedine tvrtke uključene u izvršavanje te podrške.

Je li zbilja potreban WhatsApp?

O propustima Facebooka zadnjih godina kad je u pitanju sigurnost i zaštita korisničkih podataka ne trebamo mnogo uvoditi. U kriznim situacijama, kada se nema vremena razmišljati o boljem ili malo lošijem rješenju, komunikacijske platforme poput WhatsAppa dobra su opcija za brzu realizaciju. Uostalom WhatsApp je bio i logično rješenje zbog uključenog Infobipa koji je donirao svoju komunikacijsku platformu za korištenje WhatsAppovog API-ja, a kojemu ima pristup kao WhatsAppov partner. Osim toga, iz CroAI udruge ističu kako je WhatsApp odabran iz razloga što je to “preferirani oblik tekstualne komunikacije u Hrvatskoj kojem je većina stanovništva poklonila svoje povjerenje za osobnu komunikaciju”.

Kako je pri najavi puštanja digitalnog asistenta naveo i Mislav Malenica iz Mindsmitsha, WhatsApp kao platformu za komunikaciju s građanima tijekom pandemije odabrale su i organizacije poput WHO-a, UNICEF-a i UNDP-a te mnoge zemlje širom svijeta poput Singapura i Njemačke. Međutim, ono što se propušta u tome jest činjenica da Svjetska zdravstvena organizacija pa tako i domaći Koronavirus.hr (Viber) koriste jednosmjernu komunikaciju putem tih platformi. To je samo jedan od razloga zašto odabir WhatsAppa kao platforme za obradu osobnih podataka nije najsretniji izbor, objašnjava odvjetnica Kladar:

Činjenica je da je u proteklim godinama na površinu isplivalo više skandala vezanih za obradu i zaštitu osobnih podataka od strane Facebooka, u čijem je WhatsApp vlasništvu. Također, i protiv samog WhatsAppa se vode postupci na razini Europske unije i to baš zbog neadekvatne zaštite osobnih podataka i netransparentnosti pri obavještavanju ispitanika na koji način i u koje svrhe se obrađuju njihovi podaci prikupljeni putem aplikacije.

Čuvanje podataka

Važno je napomenuti kako Andrija unutar svojih opcija ima ugrađenu funkciju brisanja podataka. Kako ističu iz MUP-a, korisnik za cijelo vrijeme korištenja Andrije može sam obrisati svoje podatke vraćajući se na početak izbornika slovom x i birajući pitanje pod slovom (e). Ipak, Kladar naglašava i još jednu zanimljivu stavku u vezi WhatsAppa. U pitanju je aplikacija koju korisnici ne koriste samo za Andriju, stoga neće moći po prestanku korištenja WhatsAppa, aplikaciju izbrisati tek-tako što bi bilo u skladu sa smjernicama Komisije, ističe:

Primjerice, s obzirom na korištenje platforme WhatsApp – nemoguće je korisniku omogućiti automatski prestanak rada aplikacije, uz brisanje svih preostalih osobnih podataka i podataka o bliskim kontaktima, čim se pandemija okonča, a osim toga, odgovarajući rokovi čuvanja podataka nisu na adekvatan način utvrđeni.

Naime, u Pravilima privatnosti navedeno je da se podaci anonimiziraju nakon 3 mjeseca, no prema Zakonu o elektroničkim komunikacijama od pružatelja usluga zahtijeva se čuvanje podataka o ostvarenoj komunikaciji najmanje 12 mjeseci. Dakle, ako su ti podaci obrisani iz Andrije, ostali su pohranjeni kod posrednika koji pruža uslugu komuniciranja preko WhatsAppa, a i u samom WhatsAppu, zaključuje i Stanko Cerin.

Tko može odlučiti je li Andrija siguran ili ne?

Ono što vas ja, stručni sugovornici u ovom, ali i drugim medijskim tekstovima mogu uputiti jest da evaluacijom svih danih strana i činjenica sami donesete odluku. Vjerujem da nakon ovog teksta imate dovoljno materijala da stvorite informirano mišljenje o tome da li korištenje digitalnog asistenta Andrija vama predstavlja rizik. Jer, uostalom, velika je vjerojatnost da ste vi ili netko od vaših bližnjih u zadnjih godinu dana već koristili chatbot, aplikaciju ili rješavali kviz kojima ste bez razmišljanja dopustili da koriste vaše osobne podatke: od demografskih, email adrese, do fizičke adrese i podataka za logiranje u vaše profile na društvenim mrežama.

Ipak, većina tih aplikacija je isto tako vjerojatno u svojim Pravilima privatnosti imala jasno navedeno da se isti ti podaci koriste, obrađuju i dijele s trećim stranama. Da nisu, ne bi im se pisalo dobro. Kako znamo kršenje GDPR-a opeklo je mnogo veće igrače poput Googlea i samog Facebooka, a i za manje tvrtke kazne mogu doseći pozamašne sume. Međutim, za rizik koji bi Andrija mogao predstavljati neće platiti nitko, Ministarstvo unutarnjih poslova i Ministarstvo zdravstva kao javna tijela ne mogu biti kažnjena.

Uz sve to, ipak treba naglasiti da Andrija kao simulator razgovora kojim se Stožeru olakšava komunikacija s građanima ne predstavlja rizik kao što to mogu predstavljati pomno orkestrirani psihološki kvizovi kojima su se prikupili podaci milijuna korisnika za političku manipulaciju, primjerice. Andrija je jednostavan digitalni asistent koji uglavnom reciklira već dostupne informacije koje su nam svima poznate sa službenih kanala Stožera za civilnu zaštitu.

Zato jedino na što stručnjaci i mediji na kraju mogu pozvati jest da se što prije u slučaj Andrije uključe i relevantna tijela poput AZOP-a, ali i drugi stručnjaci zaštite osobnih podataka, kako bi se moguća šteta nezakonite uporabe osobnih podataka svela na najnižu moguću razinu. Ovo ne bi trebao biti isključiv slučaj s obzirom na izvanredne okolnosti, a ubuduće bi mogao poslužiti mnogima na primjer.