Closed SeraMoon closed 4 years ago
Dałem znać tutaj że wszystkie te kwestie są analizowane. FYI https://github.com/ProteGO-Safe/specs/issues/198#issuecomment-643418512
Regulamin oraz polityka prywatności do wersji 4.2
Polityka prywatności ProteGO v4.2 clear.pdf Regulamin ProteGO Safe v.4.2 clear.pdf
Funkcjonalność analizowania narażenia na zarażenie COVID-10
Jak się nazywa ta choroba? Proponuję wpisać SARS-21 😉 - zgłaszane, niepoprawione.
Module Analitycznym-rozumie się przez to funkcjonalność ProteGO Safe umożliwiająca zapisywanie, tworzenie historii oraz analizowanie spotkania Urządzenia Użytkownika z innymi Urządzeniami Użytkowników Aplikacji. Moduł Analityczny jest oparty o Privacy-Preserving Contact Tracing API wytworzone oraz udostępnione przez Google oraz Apple.
I dalsze zdania...
Czy Moduł Analityczny jest funkcjonalnością ProteGO-Safe czy systemu operacyjnego?
- Protego Safe przetwarza informacjeniebędące Danymi Osobowymi wyłącznie w następujących celach: 3)korzystania przez Użytkownika z Aplikacji zgodnie z Regulaminem; 4)analiza, organizowanie i ulepszanie ProteGO Safew oparciu o dane statystyczne określone w §3 ust.4pkt. 2.
vs.
Niniejsza Polityka Prywatności określa zasady zbierania, przetwarzania i ochrony prywatności Użytkowników w związku z korzystaniem z aplikacji ProteGO Safe. GIS ani MC nie przetwarzają Danych Osobowych w ramach ProteGO Safe.
W sytuacji, gdy dojdzie do przesłania tych zbędnych danych (a więc już nie jest to Privacy by Default) na serwery ProteGO wraz z IP - mamy do czynienia z danymi osobowymi. Toteż "ZBITY ZEGAR".
3.ProteGO Safe przetwarza informacje niewymagające identyfikacji jak stanowi art. 11 RODO. GIS ani MC nie są w stanie zidentyfikować osoby, której dane dotyczą (Użytkownika). GIS przestrzega następujących zasad:
Wielokrotnie powtarzałam, nie tylko ja, że MC jest w stanie zidentyfikować użytkowników na podstawie ustawy o Policji. O ile GIS nie jest w stanie zidentyfikować (bo nie ma dostępu do działań na podstawie ustawy o Policji), o tyle MC ma taką możliwość.
4.Aplikacja może przetwarzać następujące informacje: 1)Dane związane z wykorzystywaniem serwera zapewniającego przekazywanie Użytkownikom komunikatów: a)UID –losowe oznaczenieUżytkownika uniemożliwiające identyfikację, b)Średni czas korzystania z Aplikacji przez Użytkowników (dane statystyczne, których nie można powiązać z poszczególnymi Użytkownikami).
To ma być privacy by design i privacy by default? Domyślnie powinno to być wyłączone a najlepiej usunięte z projektu. Dodam, że przykładem aplikacji "Privacy by Default" jest Mozilla Firefox. Przy każdym zapytaniu o przesłanie informacji o awarii wyświetlane jest okno dialogowe, z pytaniem czy chcemy to zrobić. Również jest pytanie o "anonimowe" statystyki - można wyrazić sprzeciw lub zgodę, zarówno w ustawieniu jak i pierwszy raz pojawia się pasek / popup z zapytaniem o to. Właśnie dlatego lubię tą przeglądarkę, ponieważ dba o moją prywatność.
5)Anonimowy plik cookies zawierający UID Użytkownika przekazywany do Cloudflare Inc. w celu zapobiegania atakom DDOS oraz zapewnienia najwyższych standardów bezpieczeństwa Użytkowników.
Zbędne. Myślę, że projekt ten nie wymaga ochrony DDOS, szczególnie, że tylko raz dziennie są pobierane klucze diagnostyczne. Cloudflare nie gwarantuje prywatności. Bezpieczeństwo =/= prywatność.
8.W ramach ProteGO Safe nie są podejmowanedecyzjew sposób zautomatyzowany w rozumieniu art. 22 RODO.Oznacza to, że okolicznośćkorzystania z Aplikacjinie powoduje wydawania w stosunku do Użytkownika jakichkolwiek decyzji, które mogłyby mieć charakter skutku prawnegolub w podobny sposób istotnie wpływać na Użytkownika.
Czy sam fakt zakwalifikowania danego użytkownika do wykonania testu na COVID-19 nie jest taką decyzją?
1.W ProteGO Safe mogą pojawiać się linki do innych stron internetowych. Takie strony internetowe działają niezależnie od GIS i nie są w żaden sposób przez niego nadzorowane. Strony te mogą posiadać własne polityki prywatności oraz regulaminy, z którymi zalecamy się zapoznać.
Jak te linki ma rozpoznać użytkownik zanim aplikacja wyrzuci go na zewnętrzną stronę o nieznanej polityce prywatności? Po co w ogóle te linki? Jak są oznaczone i czy użytkownik zostanie powiadomiony oknem dialogowym przed przekierowanie.
2.GIS zastrzega sobie prawo zmiany Polityki Prywatności poprzez opublikowanie nowej Polityki Prywatności na stronie ProteGO Safe.
A gdzie powiadomienie o tym bezpośrednio użytkownika z uruchomioną aplikacją? Przy takim stanie sprawy odradzam instalowanie aplikacji bo polityka prywatności może się zmienić w każdej chwili bez powiadomienia i wyrażenia zgody na nowe warunki.
Describe the bug
Mowa jest o całym ProteGO a więc też o WebView i PWA-online - w takiej wersji to działa obecnie.
Użycie połączenia internetowego tam gdzie jest zbędne nie spełnia "Privacy By Design" jak też nie spełnia tego użycie po drodze Cloudflare, który może modyfikować komunikację.
W końcu pobieranie PWA z serwera rządowego umożliwoa rządowi poznanie IP. IP jest daną osobową dla rządu, ponieważ na podstawie ustawy o Policji może rządać skutecznie danych osobowych użytkownika (osoby, która zarejestrowała SIM-kartę).
Po co więc pozostawiono furtkę, która umożliwia dowiedzenie się kto korzysta z aplikacji jak też możliwość podmiany modułu PWA, który może zebrać bardzo dużo informacji o telefonie przy podmianie tej części kodu, pobieranej z serwera?
ZBITY ZEGAR! Serwer rządowy otrzymuje z każdym żądaniem IP i na podstawie ustawy o Policji możliwe jest skuteczne uzyskanie imienia, nazwiska i PESEL-u osoby przywiązanej do IP i SIM-karty. Wystarcza rejestracja IP wraz z czasem żadania by było to możliwe.
@potiuk @miklobit możecie to sprawdzić w obecnej wersji (nie posiadam telefonu z Androidem)? Wciąż jednak możliwe jest wysyłanie dowolnego kodu w ramach WebView/PWA i umożliwienie poznania odpowiedzi przez Ministerstwo.
Proponuję "Funkcjonalność analizowania narażenia na zarażenie SARS-09". Czytał to ktoś po napisaniu?
Nie jest to prawdą. Klucz będzie powiązany z IP użytkownika. Pamiętamy, że serwer należy do rządu i pamiętamy o ustawie o Policji.
Kto więc przetwarza historię żądań, logi serwera (zawierające IP) itp. rzeczy?
Prawidłowo powinno być tak, że pierwsze żądanie do serwera zostanie wysłane PO akceptacji regulaminu, nie PRZED. Tak więc samo pobranie aplikacji nie może oznaczać zgody w rozumieniu art. 173. Potrzebne jest wyświetlenie regulaminu i dopiero po tym możliwe jest wysłanie pierwszego żądania do serwera, bowiem dopiero teraz użytkownik zapoznał się z regulaminem, gdy mu go wyświetlono. Użytkownik nie jest jasnowidzem, ani nie ma obowiązku szukać regulaminu przed instalacją.
Więc niech GIS wystąpi do Ministerstwa Cyfryzacji o usunięcie PWA-online na rzecz PWA pobieranego z zasobów aplikacji. Dodatkowo niech GIS wystąpi do Google o udostępnienie pełnego kodu źródłowego Exposure Notification i go udostępni publicznie celem sprawdzenia przez społeczność GitHub oraz niezależnych niezwiązanych z rządem audytorów bezpieczeństwa i prywatności.
Na prawdę GIS to zapewnia? Nie mając dostępu do tego, co Google robi w ramach Exposure Notification - nie wiedząc, czy dane są agregowane z innymi danymi?
Po co ciasteczka są stosowane w ProteGO Safe w module Triażu? Czyżby trzeba było coś po drodze wysyłać na serwer? Po co ciasteczka w aplikacji, która rzekomo działa tylko lokalnie? Proszę o wyjaśnienie.
Skoro jest profilowanie - proszę podać jaki Administrator Danych i jaka firma prowadzi (w tym na jakich zasadach podejmowane są decyzje) - zgodnie z RODO.
Co konkretnie aplikacja i w jaki sposób zbiera w tym celu?
Chyba czegoś tu nie rozumiem :-/ Identyfikator Użytkownika + nie można powiązać z konkretnymi użytkownikami? Na prawdę jest potrzebny UID aby przekazywać komunikaty użytkownikom? Po co ich identyfikować?
Co z prywatnością użytkowników, którzy mają dość rzadkie modele telefonów? Dodatkowo w połączeniu z lokalizację (mowa w poprzednim punkcie b).
Nadmiarowa informacja. Do tego Cookies mijają się z anonimowością. Przy pomocy Cookies, podobnie jak IP można profilować użytkownika i zebrać o nim dość sporo informacji. Cloudflare nie gwarantuje tego, że użytkownik nie zostanie zdeanonimizowany.
Proszę więc opisać sposób anonimizacji danych, skoro już samo IP jak wyżej wskazałam - deanonimizuje w przypadku serwerów rządowych.
Jakie konkretnie tam dane trafiają i jakie są możliwe (pełna lista) żadania do tej chmury i w jakiej postaci tam trafiają? Proszę o odpowiedź taką jakby zapytała osoba z IT nie znająca się na programowaniu.
Po prostu super. Informacje powiązane z unikalnym identyfikatorem użytkownika. Przepraszam, ale boję się waszej definicji anonimowości i odradzam instalowanie tej aplikacji.
Więc kto je podejmuje - nie napisano tego. Jaki jest algorytm (chcę znać szczegóły, zgodnie z RODO. Exposure Notification to niestety nic innego jak profilowanie i decydowanie automatyczne o sprofilowaniu kogoś do grupy czerwonej lub zielonej.
Po co te linki? W jaki sposób użytkownik będzie informowany, że po kliknięciu zostanie przeniesiony na obcą stronę, która ma inną politykę prywatności? W mojej opinii ProteGO Safe nie powinien mieć żadnych takich linków jeżeli priorytetem jest prywatność lub po jego kliknięciu pojawi się okno dialogowe z informacją o zmianie warunków korzystania i zgodzie na obcą politykę prywatności - przed otwarciem tej strony.
Aplikacja powinna przy zmianie polityki prywatności przestać działać i poprosić użytkownika o akceptację nowych warunków. Dopiero świadoma zgoda może być podstawą do dalszej pracy aplikacji, która de facto przechowuje informacje o zdrowiu (choćby dziennik objawów i kontaktów). Są to dane szczególnie chronione w rozumieniu RODO. Brak wyrażonej zgody powinien odinstalować aplikację, pozostawiając użytkownikowi w czytelnym formacie dane wprowadzone do aplikacji (zdrowie - odpowiedzi, kontakty itp.).
Do przemyślenia:
Jak mam rozmawiać i jednocześnie pisać, tak aby rozmowy nikt nie słyszał w autobusie (wszak tam mogę być w trakcie rozmowy. Czy nie lepiej wysłać to SMS-em? Mniejsze ryzyko pomyłki przy przepisywaniu i potrzebie notowania na kartce, gdy nie chcę włącczać głośnomówiącego. Głosne "Twój kod PIN do ProteGO Safe" wypowiedziane w autobusie wskazuje na osobę chorą! Poza tym nie każdy telefon ma tryb głośnomówiący.
To Reproduce Steps to reproduce the behavior:
Expected behavior Opisane w tekście powyżej, lub wprost wynikające z zastrzeżeń.
Screenshots Nie przewidziano
Desktop (please complete the following information):
Smartphone (please complete the following information):
Additional context \x00