Contact-tracing apps against the coronavirus

With the easing of coronavirus-related restrictions, more and more people are leaving their homes which inevitably increases the risk of spreading the virus. Data protection experts at Taylor Wessing Budapest have summarized how technological solutions can be used to curb the spread of the coronavirus epidemic, how contact-tracing applications work and how secure their use is.

Európában nem kell kínai szigortól tartani - Kontaktkutató applikációk a koronavírus ellen 

A kijárási korlátozások feloldásával egyre többen hagyják el a lakóhelyüket, ami óhatatlanul is növeli a fertőzés terjedésének kockázatát. A Taylor Wessing ügyvédi iroda adatvédelmi szakértői összegezték, hogy miként vethetők be technológiai megoldások a koronavírus-járvány terjedésének megfékezése érdekében, hogyan működnek és mennyire biztonságosak az emberi érintkezést követő (kontaktkutató) applikációk, illetve, hogy milyen adatvédelmi kockázatokat jelent azok használata. 

A módszer elvi alapja nem új, a járványok megfékezése érdekében régóta bevett módszer a fertőzött személyekkel kapcsolatba kerülő személyek feltérképezése. Az elmúlt évek-évtizedek technológiai fejlődése azonban lehetővé tette, hogy a kontaktkutatás tömeges mértékben valósuljon meg. Bár a járvány megfékezése szempontjából a kontaktkutató applikációk hatékony eszköznek bizonyulhatnak, még egy ilyen világméretű krízis esetében sem feledkezhetünk meg az egyének magánszférájához fűződő jogáról és adatainak védelméről. 

Világszerte számos megoldásra láthatunk példát, melyek országonként jelentősen eltérnek a használt applikáció specifikációi, a gyűjtött adatok köre, valamint az adatvédelmi kockázat szempontjából. Extrém példaként említhetjük Kína esetét, ahol az állampolgár személyazonossága, tartózkodási helye és akár bankszámlatörténete is nyomon követhető a hatóságok számára az esetleges karanténszabályok megsértőivel szembeni hatékony fellépés céljából. A járvány kiindulópontja mellett az első kontaktkutató applikáció is Kínához köthető, amely meglehetősen invazív módon hatol be a felhasználó magánszférájába. A kínai állampolgárok regisztrációja után az app a felhasználó egészségügyi állapota és utazási előzménye alapján egy színkódot rendel a felhasználóhoz. A különböző szolgáltatók (éttermek, üzletek) a színkód alapján ellenőrizhetik, hogy az adott felhasználó jogosult-e igénybe venni szolgáltatásaikat vagy el kell utasítaniuk tekintve, hogy a felhasználónak éppen önkéntes vagy kötelező karanténban lenne a helye. Az applikáció zöld színkóddal jelzi, ha a felhasználó szabad mozgása biztosított, sárga színkód esetén elszigetelten otthon kell maradnia önkéntes karanténban, míg piros kód jelzi, ha igazolt fertőzöttként kötelező karanténban maradnia.

A helymeghatározási és egészségügyi adatok ilyen tömeges és centralizált megfigyelés útján történő használata természetesen súlyos adatvédelmi aggályokat vet fel és a kínaihoz hasonló megközelítés elképzelhetetlen az európai adatvédelmi értékek mellett. Az európai országokban használt alkalmazások épp ezért a felhasználó helymeghatározási adatainak használata helyett jellemzően bluetooth technológiára épülnek. Az applikáció az azt használó személyek esetében megjegyzi a kellően hosszú ideig két méteres távolságon belülre kerülő másik (az applikációt szintén használó) készülék azonosítóját. Ezt az azonosítót, két hétig – a lappangási ideig – megőrzi az applikáció. Amennyiben valamely felhasználó jelzi, hogy igazoltan koronavírus-fertőzéssel diagnosztizálták, az applikáció útján értesítés küldhető valamennyi olyan felhasználónak, aki az említett két hetes időszakban két méteres közelségbe került az igazoltan vírushordozó személlyel, tájékoztatva őket az önkéntes karanténról, tesztelési lehetőségekről és további információkról.

Bár ez az általános működési elv jóval kevésbé hátrányos a felhasználó magánszférájára, mint az általános helymeghatározási adatokra épülő technológiák, még így is körültekintően kell eljárnunk az egyes applikációk használatának megkezdése előtt és érdemes megvizsgálnunk az adatvédelmi tájékoztatót, abból a szempontból, hogy pontosan milyen adatainkat is kezeli az adott applikáció, kikkel oszthatja meg a szolgáltató és mennyi ideig őrizhetik meg adatainkat. 

Maga az Európai Adatvédelmi Testület is iránymutatást adott ki április végén a helymeghatározási adatok és a kapcsolatok nyomon követéséről szolgáló eszközök alkalmazásáról. Nem új szabályokról van szó, hanem olyan a GDPR-ban megfogalmazott alapvető elvek értelmezéséről, amelyek segítséget jelentenek az applikáció fejlesztőinek egy az adatvédelmi követelmények megfelelő és a felhasználók magánszféráját tiszteletben tartó alkalmazás kialakításában. 

Felhasználói oldalról a legfontosabb elem az előzetes tájékozódás. A GDPR megköveteli valamennyi adatkezelőtől az átlátható, könnyen érthető tájékoztatás közzétételét, így az adatvédelmi tudatosságunk részéve kell, hogy váljon, hogy akármilyen applikáció letöltése előtt tájékozódjunk az adatvédelmi tájékoztatóból az adatkezelés lényeges körülményeiről. 

János Kopasz, Taylor Wessing Budapest