Aplikacja Kwarantanna Domowa obowiązkowa – na ile jest bezpieczna dla naszej prywatności?
Aplikacja Kwarantanna Domowa jest obowiązkowa od dnia 1 kwietnia 2020 r. zgodnie z art. 7e ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374, z późn. zm.) dla osób, które odbywają kwarantannę w warunkach domowych. Biorąc pod uwagę, że obecnie ustawy przepuszczają [PDF] takie buble, że zgodnie z prawem popełniam przestępstwo publikując ten artykuł, postanowiłem się ciut bliżej przyjrzeć nowej rządowej aplikacji.
Zwolnienia, odmowy i obowiązki
Pomimo obowiązku korzystania z aplikacji przez osoby poddane kwarantannie domowej, niektórzy są lub mogą być z niego zwolnieni:
Z obowiązku korzystania z aplikacji „Kwarantanna domowa” zwolnione są osoby z dysfunkcją wzroku (niewidzące lub niedowidzące), a także osoby, które złożyły właściwym służbom (Policji lub państwowemu powiatowemu inspektorowi sanitarnemu właściwemu dla miejsca odbywania kwarantanny) oświadczenie, że nie są abonentami lub użytkownikami sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania. Oświadczenie to składane jest pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia.
Osoby, które próbują „oszukać system” mogą ponieść odpowiedzialność karną za składanie fałszywych zeznań:
Osoby, które niezgodnie ze stanem faktycznym oświadczyły, że nie są abonentami lub użytkownikami sieci telekomunikacyjnej lub nie posiadają urządzenia mobilnego umożliwiającego zainstalowanie tego oprogramowania, mogą ponieść odpowiedzialność karną za złożenie fałszywego oświadczenia określoną w art. 233 § 1 Kodeksu karnego.
Odmowa korzystania z aplikacji jest natomiast karana grzywną:
Osoby podlegające kwarantannie w związku z podejrzeniem zakażenia wirusem SARS-CoV-2, które wbrew ciążącemu na nich prawnemu obowiązkowi nie zainstalują lub nie będą używać aplikacji „Kwarantanna domowa” mogą zostać ukarane karą grzywny.
Obowiązek korzystania z aplikacji Kwarantanna Domowa powstaje wtedy, gdy użytkownik otrzymuje SMS-a informującego o konieczności zainstalowania aplikacji.
Program rządowy jest dostępny tylko w App Store i Google Play, więc ciekawy jestem, jak wygląda sprawa użytkowników smartfonów z Androidem, którzy nie posiadają Google Play (np. korzystających z Huawei).
Wymagania do zainstalowania aplikacji są następujące:
- Android 6.0 lub nowszy, lub iOS 10.3, lub nowszy;
- udzielenie dostępu do:
- internetu;
- aparatu;
- lokalizacji;
- albumu ze zdjęciami.
Ciekawostką jest też to, że jeśli inna aplikacja będzie nam blokowała dostęp do np. GPS-a, to mamy tę aplikację usunąć.
Kwarantanna Domowa nie jest wspierana przez iPada, nawet jeśli ma GPS i aparat (tylko modele z LTE mają GPS).
Jakie dane „przetwarza” Kwarantanna Domowa?
- ID użytkownika – techniczny identyfikator użytkownika aplikacji;
- imię;
- nazwisko;
- numer telefonu;
- deklarowany adres kwarantanny;
- zdjęcie;
- lokalizacja obywatela;
- data końca kwarantanny.
Rząd zapewnia, że „twoje dane są bezpieczne” i że „nikt niepowołany nie do nich dostępu”.
Ale kto ma do nich dostęp?
- Komenda Główna Policji;
- Wojewódzkie Komendy Policji;
- wojewodowie;
- Centralny Ośrodek Informatyki (obsługuje system aplikacji);
- Take Task S.A. (firma obsługująca aplikację od strony technicznej);
- Centrum Systemów Informacyjnych Ochrony Zdrowia.
W przypadku Androida, aplikacja jednak ma dostęp do znacznie większej ilości pozwoleń, niż wynika z powyższego:
- może nagrywać audio i wideo dzięki dostępowi do aparatu i mikrofonu;
- może sterować latarką;
- może odczytać ID urządzenia i informacji o połączeniu;
- może odczytać zawartość pamięci smartfona i modyfikować lub kasować jego zawartość;
- może odczytać sieć Wi-Fi z jaką się łączymy;
- może odczytać współrzędne naszej lokalizacji na podstawie danych GPS i tych z sieci komórkowej.
- sprawdza listę zainstalowanych aplikacji (ponoć aby wykryć, czy nie ma takiej, która modyfikuje dane lokalizacyjne, celem jej oszukania).
Zgodnie z pytaniami postawionymi Ministerstwu Cyfryzacji przez Katarzynę Szymielewicz i Annę Obem, dowiadujemy się następujących rzeczy:
- Kwarantanna Domowa nie loguje z jakiego dostępu do internetu korzysta użytkownik (np. nazwy sieci Wi-Fi);
- program nie wykorzystuje latarki;
- aplikacja nie nagrywa żadnego audio;
- lokalizacja jest sprawdzana tylko podczas uruchamiania programu oraz podczas „wykonywania zadania”, które polega na potwierdzeniu swojej lokalizacji;
- aparat jest wykorzystywany tylko i wyłącznie do robienia selfie, które służy do potwierdzenia, że my to my;
- aparat nie nagrywa wideo.
Istotne jest to, że zdjęcia twarzy są wysyłane na serwery Ministerstwa Cyfryzacji (nie jest jasne czy są to fizyczne serwery MC czy firmy Take Task SA, która obsługuje aplikację od strony technicznej) i tam są poddawane analizie. Taka analiza może być z powodzeniem wykonana bezpośrednio na smartfonie, a Ministerstwo otrzymałoby jedynie wynik tej analizy – pozytywny lub negatywny – co zdecydowanie wpłynęłoby na zwiększenie bezpieczeństwa naszych prywatnych danych na cudzych serwerach. Ministerstwo Cyfryzacji argumentuje, że trudniej oszukać ich serwer niż pojedynczego smartfona. Mam co do tego wątpliwości, szczególnie w przypadku iOS-a oraz nowszych Androidów.
Jak długo przechowywane są nasze dane?
Regulamin informuje, że nasze dane, które wymieniłem powyżej, przechowywane są przez 6 lat, zgodnie z art. 118 ustawy i liczone są od momentu dezaktywacji aplikacji. Te dane nie są przetwarzane w celach marketingowych.
Ministerstwo doprecyzowało, że nie tworzy bazy danych zdjęć, którą można by przeszukiwać po jego danych osobowych, a same zdjęcia zostaną usunięte „zaraz po odbyciu kwarantanny”. Nie jest to ani jasne, ani precyzyjne stwierdzenie.
Biorąc pod uwagę, że nie ma absolutnie żadnej potrzeby ani na przetwarzanie zdjęć na serwerach Ministerstwa, ani na trzymanie ich dłużej niż do chwili weryfikacji danego „zadania”, powinny być sukcesywnie kasowane, gdy nie są już potrzebne. To z kolei oznacza, że MC będzie przez okres 6 lat przechowywało pozostałe dane, czyli:
- ID użytkownika – techniczny identyfikator użytkownika aplikacji;
- imię;
- nazwisko;
- numer telefonu;
- deklarowany adres kwarantanny;
- lokalizacja obywatela;
- data końca kwarantanny.
Te dane również nie powinny być przechowywane, ale MC argumentuje, że mogą być potrzebne do składania zażaleń czy w celach prawnych.
Czy te dane, w tym zdjęcia, mogą być wykorzystane do innych celów?
Regulamin dosyć jasno mówi, że…
Przetwarzanie danych, o których mowa powyżej, następuje w celu wykonania przez Użytkownika obowiązku wynikającego z art. 7e dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID- 19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. poz. 374 oraz poz.), którego realizacja ma na celu wsparcie Służb w monitoringu realizacji kwarantanny osób lub nadzoru epidemiologicznego przez osoby, co do których istnieje podejrzenie, że mogą być roznosicielami choroby zakaźnej COVID-19.
Jednocześnie pojawia się w nim zapis, że…
W związku z celem przetwarzania, o którym mowa w ust. 8 powyżej Minister informuje, że dane Użytkownika są udostępniane Służbom w celu realizacji ich Ustawowych obowiązków związanych ze zwalczaniem zagrożenia epidemiologicznego wywołanego wirusem SARS-CoV-2 powodującym chorobę COVID-19.
Służby specjalne (ABW, SKW, CBA itp.) nie są objęte przepisami ochrony danych osobowych, a regulamin wyraźnie informuje, że dane użytkowników aplikacji Kwarantanna Domowa są do nich przekazywane. To z kolei oznacza, że oni z tymi danymi mogą już robić co tylko chcą, w tym przetwarzać je w sposób, który się użytkownikom nie spodoba.
Czy aplikacja Kwarantanna Domowa jest open-source’owa?
Nie. EDRi jednak apeluje, że tego typu aplikacje powinny mieć otwarty kod, abyśmy mogli weryfikować ich działanie osobiście.
Instalować czy nie?
Po pierwsze, jeśli macie smartfona i techniczne możliwości zainstalowania aplikacji Kwarantanna Domowa, to nie macie wyjścia – prawo jest prawem. Po drugie, głównym zadaniem tej aplikacji jest odciążanie policji i innych służb, aby nie musieli osobiście kontrolować blisko 300 tys. osób poddanych obecnie kwaratannie (stan na 11:08, 2 kwietnia 2020 r.).
Nie zmienia to jednak faktu, że możecie po prostu nie posiadać smartfona lub kompatybilnego urządzenia na okres kwarantanny, co skutecznie uniemożliwi Wam instalację aplikacji. Przypominam tutaj o możliwych grzywnach idących w dziesiątki tysięcy złotych oraz karach za składanie fałszywych zeznań.
Finalnie musicie jednak zdać się na Wasz własny kompas moralny i zbalansować chęć odciążenia służb oraz ochronę swoich danych, ponieważ kilka punktów regulaminu pozostawia wiele do życzenia w tych kwestiach.
Linki i źródła
- Aplikacja Kwarantanna domowa [WWW].
- Regulamin i polityka prywatności aplikacji “Kwarantanna domowa” [PDF].
- Pytania i Odpowiedzi [PDF].
- Kwarantanna Domowa [iOS].
- Kwarantanna Domowa [Android].
- Fundacja Panoptykon [WWW].
- EDRi [WWW].
- Własne.
Komentarze: 10
Mi tam lata co o mnie wiedzą z appki – więcej się dowiedzą wpisując moje imię nazwisko w googlach..
nie kumam bojaźliwości w tym temacie wcale
Powinno sie ludziom zakładać takie opaski jak więźniom przbywających w domu. Niestety KOSZTY KOSZTY KOSZTY. Nikt nigo nie zmusi do nabycia smartphona z ww wymaganiami.
Ja dostaję SMSy z poleceniem odpalenia aplikacji. Sęk w tym, że nie mam takiego obowiązku, bo nie jestem poddany kwarantannie. Ktoś podał najwyraźniej mój numer. Kontaktowałem się z infolinią z FAQ, sanepidem, a nawet supportem apki. Nikt nie wie, jak temat wyprostować.
LOL 😅
Moim zdaniem posiadacze telefonów Huawei muszą zadeklarować, że nie mają telefonu, na który można pobrać aplikację Kwarantanna Domowa. Problemu nie mają ci, których telefony Huawei jeszcze mają usługi Google. Dziwne, że apki Kwarantanna Domowa nie ma w sklepie AppGallery, skoro Huawei ma spory udział w polskim rynku. Jednak z drugiej strony dostawcy aplikacji nie mają obowiązku umieszczać ich w sklepach innych, niż AppStore i Google Play i posiadacze smartfonów Huawei powinni być tego świadomi.
Przy okazji dodam, że aplikacje rządowe w zasadzie powinny być open sorce i powinien pisać je jeden zespół programistów. Design takich aplikacji także powinien być jednolity, skoro wzorem innych państw mamy domenę Gov.pl grupującą wszystkie instytucje rządowe (zwłaszcza ministerstwa)
A ja się zastanawiam – czy zdjęcie musi być wyraźne? Czy musi być wykonane w warunkach dostatecznej jasności? Może by tak robić je w półmroku? Nie mogą chyba ukarać za to? Wykonam zdjęcie, będą dane GPS… a że G… będzie widać? 🤪
Tak. Tak. Nie. Przyślą policję do sprawdzenia czy jesteś w domu.
Zazdroszczę optymizmu. Mam więc propozycje, wklej tutaj zrzut historii swojej przeglądarki. Jest cała masa rzeczy które są legalne, ale nie każdy chce aby inni o nich wiedzieli.
Zakładanie że nic się nie znaczy dla państwa i że inni też nic nie znaczą jest równie rozsądne co zakładanie że złodziej nigdy nie zainteresuje się starym samochodem. Po czym się go traci, i najwyżej wyciągają części :)
Obecna władza i służby specjalne przypominam że jest związana z osobami które zostały prawomocnie skazane za przekraczanie uprawnień. Wobec obecnego Ministra Sprawiedliwości również takie zarzuty były kierowane, a on sam miał tendencje do samodzielnego wyznaczania sprawiedliwości.
Obecna telewizja publiczna walczy z problematycznym dla siebie grupami społecznymi poprzez oczernianie i insynuacje. Nawet wyciek typu „lekarze rezydenci twierdzą ze są biedni, a wiemy że chodzą z IPhone 11 Pro”.
Jeśli jesteś sobie szeregowym obywatelem to może i cię to nie rusza, ale w jakiejś Partii w Polsce działają setki tysięcy osób. Lekarzy czy pielęgniarek są tysiące, nauczycieli tak samo. Lekarze będą obecnie regularnie wypychani ja kwarantannę więc władza może w ten sposób zebrać cały zestaw haków. Obfita baza danych spowoduje że akcje oczerniające jak obecnie będą się sprowadzały do zajrzenia w tabelkę i stwierdzenia „o dziś polujemy na tych niby biednych lekarzy z grindrem na telefonie, i pokażemy ze to wszystko znowu spiseg Brukseli i lgbt”.
Już pomijając że ten zestaw danych jest atrakcyjny dla prowadzenia scamów – jakikolwiek wyciek tych danych i ludzie mają wymarzony obfity zestaw informacji do wszelkiego rodzaju oszustw np „na kuriera”. Najprostsza metoda walczenia z wyciekami danych jest ich nie gromadzenie.
;)