Błędy w Polityce Prywatności, wątpliwości odnośnie Polityki Prywatności ProteGO Safe

[SeraMoon]

Describe the bug

Zaprojektowaliśmy ProteGO Safe zgodnie z zasadami Privacy by Default oraz Privacy by Design. Oznacza to, że domyślnie stosujemy ochronę Twojej prywatności i staraliśmy się ograniczyć przetwarzanie informacji o Tobie już na etapie projektowania

Mowa jest o całym ProteGO a więc też o WebView i PWA-online - w takiej wersji to działa obecnie.

Użycie połączenia internetowego tam gdzie jest zbędne nie spełnia "Privacy By Design" jak też nie spełnia tego użycie po drodze Cloudflare, który może modyfikować komunikację.

W końcu pobieranie PWA z serwera rządowego umożliwoa rządowi poznanie IP. IP jest daną osobową dla rządu, ponieważ na podstawie ustawy o Policji może rządać skutecznie danych osobowych użytkownika (osoby, która zarejestrowała SIM-kartę).

gdyż wierzymy, że skuteczne zapobieganie pandemii COVID-19 nie wymaga przetwarzania danych osobowych.

Po co więc pozostawiono furtkę, która umożliwia dowiedzenie się kto korzysta z aplikacji jak też możliwość podmiany modułu PWA, który może zebrać bardzo dużo informacji o telefonie przy podmianie tej części kodu, pobieranej z serwera?

Informacje przetwarzane przez ProteGO Safe nie umożliwiają Twojej identyfikacji.

ZBITY ZEGAR! Serwer rządowy otrzymuje z każdym żądaniem IP i na podstawie ustawy o Policji możliwe jest skuteczne uzyskanie imienia, nazwiska i PESEL-u osoby przywiązanej do IP i SIM-karty. Wystarcza rejestracja IP wraz z czasem żadania by było to możliwe.

Informacje wprowadzone do ProteGO Safe związane z Triażem (samooceną ryzyka zarażenia COVID-19 - Moduł Triażu) są analizowane w ramach ProteGO Safe bez opuszczania Twojego urządzenia.

@potiuk @miklobit możecie to sprawdzić w obecnej wersji (nie posiadam telefonu z Androidem)? Wciąż jednak możliwe jest wysyłanie dowolnego kodu w ramach WebView/PWA i umożliwienie poznania odpowiedzi przez Ministerstwo.

Funkcjonalność analizowania narażenia na zarażenie COVID-10

Proponuję "Funkcjonalność analizowania narażenia na zarażenie SARS-09". Czytał to ktoś po napisaniu?

Klucz Diagnostyczny wysłany z Twojego Urządzenia na Serwer ProteGO Safe nie będzie zawierał Twoich danych osobowych ani informacji o Urządzeniach z którymi miałeś styczność.

Nie jest to prawdą. Klucz będzie powiązany z IP użytkownika. Pamiętamy, że serwer należy do rządu i pamiętamy o ustawie o Policji.

GIS ani MC nie przetwarzają Danych Osobowych w ramach ProteGO Safe.

Kto więc przetwarza historię żądań, logi serwera (zawierające IP) itp. rzeczy?

2. Poprzez pobranie ProteGO Safe ze sklepu Play lub AppStore oraz zainstalowanie Użytkownik wyraża zgodę, o której mowa w art. 173 ust. 1 pkt. 2 Prawa Telekomunikacyjnego, a Regulamin oraz Polityka Prywatności stanowią informację, o której mowa w art. 173 ust. 1 pkt. 1 Prawa Telekomunikacyjnego.

Prawidłowo powinno być tak, że pierwsze żądanie do serwera zostanie wysłane PO akceptacji regulaminu, nie PRZED. Tak więc samo pobranie aplikacji nie może oznaczać zgody w rozumieniu art. 173. Potrzebne jest wyświetlenie regulaminu i dopiero po tym możliwe jest wysłanie pierwszego żądania do serwera, bowiem dopiero teraz użytkownik zapoznał się z regulaminem, gdy mu go wyświetlono. Użytkownik nie jest jasnowidzem, ani nie ma obowiązku szukać regulaminu przed instalacją.

5. GIS zapewnia, iż dokłada wszelkich starań, by Aplikacja Protego Safe zapewniała najwyższy standard ochrony prywatności Użytkowników, a w szczególności zapewnia, iż podjął wszelkie przewidziane prawem i możliwe technologicznie środki zmierzające do zabezpieczenia prywatności Użytkowników.

Więc niech GIS wystąpi do Ministerstwa Cyfryzacji o usunięcie PWA-online na rzecz PWA pobieranego z zasobów aplikacji. Dodatkowo niech GIS wystąpi do Google o udostępnienie pełnego kodu źródłowego Exposure Notification i go udostępni publicznie celem sprawdzenia przez społeczność GitHub oraz niezależnych niezwiązanych z rządem audytorów bezpieczeństwa i prywatności.

6. GIS oświadcza, iż stosuje środki techniczne i organizacyjne zapewniające ochronę prywatności Użytkowników odpowiednią do zagrożeń oraz kategorii informacji objętych ochroną, a w szczególności stosuje szyfrowanie oraz zabezpiecza informacje przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Na prawdę GIS to zapewnia? Nie mając dostępu do tego, co Google robi w ramach Exposure Notification - nie wiedząc, czy dane są agregowane z innymi danymi?

5) Plikach Cookies (tzw. ciasteczkach) – rozumie się przez to dane informatyczne stanowiące, w szczególności pliki tekstowe, które przechowywane są na Urządzeniu Użytkownika i przeznaczone są do korzystania z Modułu Triażu.

Po co ciasteczka są stosowane w ProteGO Safe w module Triażu? Czyżby trzeba było coś po drodze wysyłać na serwer? Po co ciasteczka w aplikacji, która rzekomo działa tylko lokalnie? Proszę o wyjaśnienie.

2) profilowania w ramach Modułu Analitycznego w celu przeciwdziałania pandemii COVID-19;

Skoro jest profilowanie - proszę podać jaki Administrator Danych i jaka firma prowadzi (w tym na jakich zasadach podejmowane są decyzje) - zgodnie z RODO.

4) analiza, organizowanie i ulepszanie ProteGO Safe.

Co konkretnie aplikacja i w jaki sposób zbiera w tym celu?

1) Dane związane z wykorzystywaniem serwera zapewniającego przekazywanie Użytkownikom komunikatów: a) UID - losowy identyfikator Użytkownika, b) Średni czas korzystania z Aplikacji przez Użytkowników (dane statystyczne, których nie można powiązać z poszczególnymi Użytkownikami).

Chyba czegoś tu nie rozumiem :-/ Identyfikator Użytkownika + nie można powiązać z konkretnymi użytkownikami? Na prawdę jest potrzebny UID aby przekazywać komunikaty użytkownikom? Po co ich identyfikować?

c) Modele Urządzeń Użytkowników;

Co z prywatnością użytkowników, którzy mają dość rzadkie modele telefonów? Dodatkowo w połączeniu z lokalizację (mowa w poprzednim punkcie b).

5) Anonimowy Plik Cookies zawierający UID Użytkownika przekazywany do Cloudflare Inc. w celu zapobiegania atakom DDOS oraz zapewnienia najwyższych standardów bezpieczeństwa Użytkowników.

Nadmiarowa informacja. Do tego Cookies mijają się z anonimowością. Przy pomocy Cookies, podobnie jak IP można profilować użytkownika i zebrać o nim dość sporo informacji. Cloudflare nie gwarantuje tego, że użytkownik nie zostanie zdeanonimizowany.

Odbiorcami zanonimizowanych danych i informacji z ProteGO Safe mogą być

Proszę więc opisać sposób anonimizacji danych, skoro już samo IP jak wyżej wskazałam - deanonimizuje w przypadku serwerów rządowych.

2) Operator Chmury Krajowej Sp. z o.o. podmiot dostarczający infrastrukturę umożliwiającą pobieranie i aktualizowanie ProteGO Safe oraz utrzymujący Serwer ProteGO Safe. Podmiot ten świadczy także utrzymanie usługi Google Firebase umożliwiającej przekazywanie Użytkownikom powiadomień push - https://firebase.google.com/support/privacy;

Jakie konkretnie tam dane trafiają i jakie są możliwe (pełna lista) żadania do tej chmury i w jakiej postaci tam trafiają? Proszę o odpowiedź taką jakby zapytała osoba z IT nie znająca się na programowaniu.

7. Informacje dotyczące Użytkownika w postaci anonimowego adresu UID mogą być przekazywane poza Europejski Obszar Gospodarczy w zakresie korzystania z usługi świadczonej przez Cloudflare...

Po prostu super. Informacje powiązane z unikalnym identyfikatorem użytkownika. Przepraszam, ale boję się waszej definicji anonimowości i odradzam instalowanie tej aplikacji.

8. GIS nie podejmuje względem Użytkownika decyzji w sposób zautomatyzowany w rozumieniu art. 22 RODO.

Więc kto je podejmuje - nie napisano tego. Jaki jest algorytm (chcę znać szczegóły, zgodnie z RODO. Exposure Notification to niestety nic innego jak profilowanie i decydowanie automatyczne o sprofilowaniu kogoś do grupy czerwonej lub zielonej.

1. W ProteGO Safe mogą pojawiać się linki do innych stron internetowych. Takie strony internetowe działają niezależnie od GIS i nie są w żaden sposób przez niego nadzorowane. Strony te mogą posiadać własne polityki prywatności oraz regulaminy, z którymi zalecamy się zapoznać.

Po co te linki? W jaki sposób użytkownik będzie informowany, że po kliknięciu zostanie przeniesiony na obcą stronę, która ma inną politykę prywatności? W mojej opinii ProteGO Safe nie powinien mieć żadnych takich linków jeżeli priorytetem jest prywatność lub po jego kliknięciu pojawi się okno dialogowe z informacją o zmianie warunków korzystania i zgodzie na obcą politykę prywatności - przed otwarciem tej strony.

2. GIS zastrzega sobie prawo zmiany Polityki Prywatności poprzez opublikowanie nowej Polityki Prywatności na stronie ProteGO Safe.

Aplikacja powinna przy zmianie polityki prywatności przestać działać i poprosić użytkownika o akceptację nowych warunków. Dopiero świadoma zgoda może być podstawą do dalszej pracy aplikacji, która de facto przechowuje informacje o zdrowiu (choćby dziennik objawów i kontaktów). Są to dane szczególnie chronione w rozumieniu RODO. Brak wyrażonej zgody powinien odinstalować aplikację, pozostawiając użytkownikowi w czytelnym formacie dane wprowadzone do aplikacji (zdrowie - odpowiedzi, kontakty itp.).

Do przemyślenia:

podyktowanie Ci Kodu PIN

Jak mam rozmawiać i jednocześnie pisać, tak aby rozmowy nikt nie słyszał w autobusie (wszak tam mogę być w trakcie rozmowy. Czy nie lepiej wysłać to SMS-em? Mniejsze ryzyko pomyłki przy przepisywaniu i potrzebie notowania na kartce, gdy nie chcę włącczać głośnomówiącego. Głosne "Twój kod PIN do ProteGO Safe" wypowiedziane w autobusie wskazuje na osobę chorą! Poza tym nie każdy telefon ma tryb głośnomówiący.

To Reproduce Steps to reproduce the behavior:

1. Otworzyć rPolitykę Prywatności dostępną na gov.pl

Expected behavior Opisane w tekście powyżej, lub wprost wynikające z zastrzeżeń.

Screenshots Nie przewidziano

Desktop (please complete the following information):

• OS: None
• Browser Any
• Version Any

Smartphone (please complete the following information):

• Device: Any
• OS: Android
• Browser None
• Version 4.1.1

Additional context \x00

[KoderFPV]

Dałem znać tutaj że wszystkie te kwestie są analizowane. FYI https://github.com/ProteGO-Safe/specs/issues/198#issuecomment-643418512

[KoderFPV]

Regulamin oraz polityka prywatności do wersji 4.2

Polityka prywatności ProteGO v4.2 clear.pdf Regulamin ProteGO Safe v.4.2 clear.pdf

[SeraMoon]

Funkcjonalność analizowania narażenia na zarażenie COVID-10

Jak się nazywa ta choroba? Proponuję wpisać SARS-21 😉 - zgłaszane, niepoprawione.

Module Analitycznym-rozumie się przez to funkcjonalność ProteGO Safe umożliwiająca zapisywanie, tworzenie historii oraz analizowanie spotkania Urządzenia Użytkownika z innymi Urządzeniami Użytkowników Aplikacji. Moduł Analityczny jest oparty o Privacy-Preserving Contact Tracing API wytworzone oraz udostępnione przez Google oraz Apple.

I dalsze zdania...

Czy Moduł Analityczny jest funkcjonalnością ProteGO-Safe czy systemu operacyjnego?

1. Protego Safe przetwarza informacjeniebędące Danymi Osobowymi wyłącznie w następujących celach: 3)korzystania przez Użytkownika z Aplikacji zgodnie z Regulaminem; 4)analiza, organizowanie i ulepszanie ProteGO Safew oparciu o dane statystyczne określone w §3 ust.4pkt. 2.

vs.

Niniejsza Polityka Prywatności określa zasady zbierania, przetwarzania i ochrony prywatności Użytkowników w związku z korzystaniem z aplikacji ProteGO Safe. GIS ani MC nie przetwarzają Danych Osobowych w ramach ProteGO Safe.

W sytuacji, gdy dojdzie do przesłania tych zbędnych danych (a więc już nie jest to Privacy by Default) na serwery ProteGO wraz z IP - mamy do czynienia z danymi osobowymi. Toteż "ZBITY ZEGAR".

3.ProteGO Safe przetwarza informacje niewymagające identyfikacji jak stanowi art. 11 RODO. GIS ani MC nie są w stanie zidentyfikować osoby, której dane dotyczą (Użytkownika). GIS przestrzega następujących zasad:

Wielokrotnie powtarzałam, nie tylko ja, że MC jest w stanie zidentyfikować użytkowników na podstawie ustawy o Policji. O ile GIS nie jest w stanie zidentyfikować (bo nie ma dostępu do działań na podstawie ustawy o Policji), o tyle MC ma taką możliwość.

4.Aplikacja może przetwarzać następujące informacje: 1)Dane związane z wykorzystywaniem serwera zapewniającego przekazywanie Użytkownikom komunikatów: a)UID –losowe oznaczenieUżytkownika uniemożliwiające identyfikację, b)Średni czas korzystania z Aplikacji przez Użytkowników (dane statystyczne, których nie można powiązać z poszczególnymi Użytkownikami).

To ma być privacy by design i privacy by default? Domyślnie powinno to być wyłączone a najlepiej usunięte z projektu. Dodam, że przykładem aplikacji "Privacy by Default" jest Mozilla Firefox. Przy każdym zapytaniu o przesłanie informacji o awarii wyświetlane jest okno dialogowe, z pytaniem czy chcemy to zrobić. Również jest pytanie o "anonimowe" statystyki - można wyrazić sprzeciw lub zgodę, zarówno w ustawieniu jak i pierwszy raz pojawia się pasek / popup z zapytaniem o to. Właśnie dlatego lubię tą przeglądarkę, ponieważ dba o moją prywatność.

5)Anonimowy plik cookies zawierający UID Użytkownika przekazywany do Cloudflare Inc. w celu zapobiegania atakom DDOS oraz zapewnienia najwyższych standardów bezpieczeństwa Użytkowników.

Zbędne. Myślę, że projekt ten nie wymaga ochrony DDOS, szczególnie, że tylko raz dziennie są pobierane klucze diagnostyczne. Cloudflare nie gwarantuje prywatności. Bezpieczeństwo =/= prywatność.

8.W ramach ProteGO Safe nie są podejmowanedecyzjew sposób zautomatyzowany w rozumieniu art. 22 RODO.Oznacza to, że okolicznośćkorzystania z Aplikacjinie powoduje wydawania w stosunku do Użytkownika jakichkolwiek decyzji, które mogłyby mieć charakter skutku prawnegolub w podobny sposób istotnie wpływać na Użytkownika.

Czy sam fakt zakwalifikowania danego użytkownika do wykonania testu na COVID-19 nie jest taką decyzją?

1.W ProteGO Safe mogą pojawiać się linki do innych stron internetowych. Takie strony internetowe działają niezależnie od GIS i nie są w żaden sposób przez niego nadzorowane. Strony te mogą posiadać własne polityki prywatności oraz regulaminy, z którymi zalecamy się zapoznać.

Jak te linki ma rozpoznać użytkownik zanim aplikacja wyrzuci go na zewnętrzną stronę o nieznanej polityce prywatności? Po co w ogóle te linki? Jak są oznaczone i czy użytkownik zostanie powiadomiony oknem dialogowym przed przekierowanie.

2.GIS zastrzega sobie prawo zmiany Polityki Prywatności poprzez opublikowanie nowej Polityki Prywatności na stronie ProteGO Safe.

A gdzie powiadomienie o tym bezpośrednio użytkownika z uruchomioną aplikacją? Przy takim stanie sprawy odradzam instalowanie aplikacji bo polityka prywatności może się zmienić w każdej chwili bez powiadomienia i wyrażenia zgody na nowe warunki.