ΑρχικήsecurityTest and Trace πρόγραμμα παρέκαμψε διαδικασίες του GDPR

Test and Trace πρόγραμμα παρέκαμψε διαδικασίες του GDPR

Test and Trace

Η κυβέρνηση του Ηνωμένου Βασιλείου παραδέχτηκε ότι ξεκίνησε ένα Test and Trace πρόγραμμα σε όλη την Αγγλία, χωρίς να έχει ολοκληρώσει τους αναμενόμενους ελέγχους απορρήτου. Το Test and Trace πρόγραμμα λειτουργεί από τα τέλη Μαΐου χωρίς “Data Protection Impact Assessment” (DPIA), μια διαδικασία που απαιτείται από το GDPR για οποιοδήποτε project που ενέχει υψηλό κίνδυνο για τα προσωπικά δεδομένα των εμπλεκόμενων ατόμων.

Η διαδικασία DPIA έχει σχεδιαστεί για τον εντοπισμό και την ελαχιστοποίηση των κινδύνων που σχετίζονται με δεδομένα. Αλλά όταν ξεκίνησε το Test and Trace πρόγραμμα, εμφανίστηκαν αναφορές που έλεγαν ότι η κυβέρνηση δεν έκανε τις κατάλληλες αξιολογήσεις σύμφωνα με το GDPR.

Το πρόγραμμα δημόσιας υγείας ταυτοποιεί όλα τα άτομα που έχουν έρθει σε επαφή με ένα άτομο που έχει διαγνωστεί με κορωνοϊό και συλλέγει προσωπικές πληροφορίες όπως ονόματα, φύλο, ταχυδρομικούς κώδικες, διευθύνσεις email και αριθμούς τηλεφώνου.

Σε μια ανακοίνωση που δημοσιεύτηκε στην αρχή του προγράμματος, οι υγειονομικές αρχές δήλωσαν, επίσης, ότι οι πληροφορίες που συλλέχθηκαν θα μπορούσαν να χρησιμοποιηθούν για εναλλακτικούς σκοπούς, όπως για την έρευνα για τον COVID-19. Ωστόσο, οι ασθενείς έχουν “περιορισμένα” δικαιώματα στο να ζητήσουν τη διαγραφή δεδομένων.

Από την έναρξη του Test and Trace, ο οργανισμός Open Rights Group (ORG) ήταν σε επικοινωνία με την κυβέρνηση, μέσω του δικηγόρου Ravi Naik (που εξειδικεύεται σε θέματα προστασίας δεδομένων) για να ζητήσει την εφαρμογή της διαδικασίας DPIA του GDPR για το πρόγραμμα. Πριν από δύο εβδομάδες, ο οργανισμός απείλησε να κινηθεί νομικά, εάν το αίτημά του συνέχιζε να μην βρίσκει ανταπόκριση.

Σε μια επιστολή προς τον ORG, το Υπουργείο Υγείας και Κοινωνικής Φροντίδας (DHSC) παραδέχτηκε ότι, ενώ απαιτείται DPIA, το πρόγραμμα ξεκίνησε αποτελεσματικά τον Μάιο χωρίς να υπάρχει αξιολόγηση απορρήτου. Σύμφωνα με το DHSC, η διαδικασία DPIA “βρίσκεται τώρα σε φάση ολοκλήρωσης”.

Το προσωπικό του προγράμματος έχει ήδη επικοινωνήσει με περισσότερα από 155.000 άτομα που ενδέχεται να έχουν μολυνθεί από τον ιό.

GDPR

Η αποτυχία διεξαγωγής των απαραίτητων ελέγχων, ώστε να είναι το πρόγραμμα σύμφωνο με το GPDR, οφειλόταν στην ταχύτητα με την οποία έπρεπε να κυκλοφορήσει, δήλωσε το DHSC στην επιστολή. Για να μειωθεί η επιβάρυνση για το Εθνικό Σύστημα Υγείας και για να αρθούν οι περιορισμοί του lockdown το συντομότερο δυνατό, το Test and Trace έπρεπε να ξεκινήσει πολύ γρήγορα.

Το DHSC υποστήριξε ότι παρά την έλλειψη DPIA, δεν έγινε κακή χρήση των δεδομένων των ασθενών.

Ο Jim Killock, διευθυντής του ORG, δήλωσε ότι η παράνομη χρήση δεδομένων είναι ξεχωριστό ζήτημα από την παράνομη έναρξη ενός εθνικού προγράμματος.

“Δεν είπαμε ότι έχουμε δει ότι υπήρξε παράνομη επεξεργασία δεδομένων”, δήλωσε ο Killock. “Είπαμε ότι η κυβέρνηση δεν γνωρίζει εάν η επεξεργασία είναι ή δεν είναι νόμιμη, επειδή απέτυχε από την αρχή στο να λειτουργήσει νόμιμα το πρόγραμμα”.

Το κατά πόσον τα δεδομένα υποβάλλονται σε επεξεργασία σύμφωνα με τους κανονισμούς του GDPR δεν έχει ακόμη διευκρινιστεί, σύμφωνα με τον Killock. Ωστόσο, ο ειδικός εντόπισε άλλους πιθανούς κινδύνους.

Για παράδειγμα, το DHSC παραδέχτηκε ότι για το Test and Trace πρόγραμμα υπήρξε συνεργασία με τρεις οργανισμούς. Έχει βρεθεί ότι μεμονωμένες εταιρείες μοιράζονται δεδομένα σε μέσα κοινωνικής δικτύωσης. Λεπτομέρειες σχετικά με ασθενείς έχουν εμφανιστεί στο Facebook και το WhatsApp. Το Γραφείο του Επιτρόπου Πληροφοριών (ICO) δήλωσε ότι εξετάζει το πρόβλημα.

“Έχετε δεκάδες χιλιάδες δεδομένα ανθρώπων που διακινούνται μέσω αυτού του συστήματος, και αφορούν άτομα που έχουν μολυνθεί ή κινδυνεύουν να μολυνθούν (λόγω επαφής με ασθενείς)”, δήλωσε ο Killock. “Αυτά είναι πολύ ευαίσθητα δεδομένα και μπορούν να χρησιμοποιηθούν σε απάτες, γιατί είναι πολύτιμα για τους εγκληματίες. Υπάρχει μεγάλος κίνδυνος, οπότε οι διαδικασίες πρέπει να γίνονται σωστά”.

Δεν υπάρχουν πολλά άλλα πράγματα που μπορεί να κάνει ο ORG, τώρα που ώθησε την κυβέρνηση να παραδεχτεί ότι το Test and Trace πρόγραμμα έχει ξεκινήσει χωρίς κατάλληλους ελέγχους απορρήτου. Ο Killock λέει ότι ο Επίτροπος Πληροφοριών πρέπει να αναλάβει τώρα την υπόθεση.

Ο περιορισμός του κορωνοϊού είναι πολύ σημαντικός και απαιτεί ταχύτητα, αλλά αυτό δεν σημαίνει ότι τα σχετικά προγράμματα μπορούν να παρακάμπτουν τις διαδικασίες του GDPR και να θέτουν σε κίνδυνο τα δεδομένα των χρηστών. Ο Killock είπε ότι ο Επίτροπος Πληροφοριών πρέπει να είναι αυστηρός με την κυβέρνηση για να μην ξανασυμβεί κάτι τέτοιο.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS