Najważniejsze informacje o Cyfrowym Zielonym Certyfikacie

3 czerwca, 2021

Unia Europejska zaakceptowała tzw. Cyfrowy Zielony Certyfikat, który jest elektronicznym paszportem szczepionkowym, jak i papierowym, bowiem dostępne będę oba te warianty. Brzmi to interesująco, ale po głębszej analizie staje się jasne, że zaproponowany system może podzielić społeczeństwo, w tym zapoczątkować nadużycie gromadzenia i przetwarzania danych osobowych ze strony instytucji wydających takie dokumenty. Nie należy wykluczać, że obywateli czeka gromadzenie wrażliwych danych o nich samych na dużą skalę. I temu chcemy się przyjrzeć, aby zwrócić uwagę mediów, jak i społeczeństwa, na problem pozyskiwania i przetwarzania informacji, w tym nieetycznego używania danych przez aplikacje COVID-19, wykorzystywanych do niedemokratycznych celów przez niektóre państwa Unii Europejskiej.

Oznaczenia zielonym kolorem (jak w Chinach)

Już w roku 2020 na początku pandemii pierwsze informacje o tzw. obliczaniu stanu zdrowia poprzez korelowanie danych ze smartfonów, docierały z Chin. Miasto Hangzhou zaproponowało dołączenie dokumentacji medycznej obywatela do aplikacji lokalizującej, aby uzyskać szczegółową ocenę zdrowia i ryzyka infekcji wirusem. I tak jak witryny internetowe są oceniane przez algorytmy Google, tak człowiek jest oceniany przez technologię.

Chińskie miasto przekształciło aplikację do lokalizowania kontaktów w tzw. „monitor zdrowia”. System informatyczny w Hangzhou był pierwotnie używany do identyfikacji ryzyka infekcji poprzez śledzenie historii podróży i stanu zdrowia obywatela. Obliczony wynik w aplikacji decydował, czy należy zastosować kwarantannę. W Polsce podobne doświadczenie całkowicie się nie udało, ponieważ z aplikacji ProteGO Safe korzystało niewielkie grono zwolenników takich systemów.

Paradoksalnie, to dzięki nowoczesnej technologii, w Chinach, w ograniczonych strefach, bez zeskanowania kodu QR i uzyskania pozytywnego wyniku (koloru zielonego w aplikacji), nie jest możliwe przemieszczanie się.

Restrykcje w poruszaniu się - Chiny
Źródło: https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html. Fotografia: Paul Mozur, The New York Times.

Podobny pomysł tzw. zaświadczenia cyfrowego został wdrożony przez Unię Europejską. Projekt ma ułatwiać bezpieczne przemieszczanie się osób w obrębie państw członkowskich podczas pandemii. System będzie używany nie tylko podczas aktualnej epidemii SARS-CoV-2, bo też w kolejnych latach, kiedy ludzkość będzie zmagać się z ewoluującymi epidemiami (według oficjalnych informacji). System informatyczny ma być na tyle elastyczny, że dostosowanie go do wymagań w danej sytuacji, będzie tylko kwestią kilku tygodni.

Podobnie jak w Chinach, Unia Europejska również zaproponowała, by kolorem zielonym znaczono pozytywne cyfrowe certyfikaty szczepień. Kolorem czerwonym będą znaczone osoby, którym taki certyfikat wygasł – jest to okres ochronny po zaszczepieniu się, który uległ przedawnieniu. 

Polska w grupie państw podłączonych do systemu unijnych certyfikatów o szczepieniach

Na przełomie czerwca i lipca 2021 roku w aplikacji mObywatel dostępny będzie „Unijny Certyfikat Covid”. Certyfikat będzie można okazać np. podczas odprawy granicznej. W chwili obecnej kod QR w aplikacji mObywatel nie jest zintegrowany z systemem unijnym. Stanie się to możliwe za kilka tygodni, również w języku angielskim.

kod QR mObywatel - szczepienie

Kluczowym i najważniejszym dokumentem w mObywatelu jest mTożsamość, która korzysta z aktualnych danych tożsamości, znajdujących się w rejestrach państwowych (Rejestr PESEL i Rejestr Dowodów Osobistych). Dzięki temu mTożsamość to odzwierciedlenie danych z dowodu osobistego (w tym zdjęcie).

Unijna wersja paszportu szczepionkowego będzie zawierała:

  • Imię i nazwisko.
  • Datę urodzenia.
  • Kraj wydający dokument.
  • Unikalny identyfikator obywatela.
  • Producenta szczepionki.
  • Ilość zaaplikowanych dawek.
  • Datę szczepienia oraz miejsce wykonania usługi medycznej.
  • Wynik testu.

Zaświadczenie będzie składało się na indywidualny profil obywatela z potwierdzonym cyfrowo podpisem kodu QR przez instytucję wydającą taki certyfikat. Kod QR będzie możliwy do szybkiego odczytania maszynowego i będzie obejmował niezbędne i najważniejsze dane.

Krajowe bazy podpisów cyfrowych kodów QR

Zielone zaświadczenie cyfrowe zawiera kod QR z podpisem cyfrowym, chroniącym je przed sfałszowaniem wydawanym przez odpowiedni organ. Podczas kontroli zaświadczenie z aplikacji będzie posiadało obrazek z kodem QR, możliwym do zeskanowania przez np. strażnika granicznego.

Organem wydającym certyfikat będzie szpital, ośrodek zdrowia itp. Każdy organ będzie posiadał własny klucz podpisu cyfrowego, a wszystkie takie klucze na terenie kraju będą przechowywane w centralnej bazie.

Z kolei po stronie unijnej opracowano portal internetowy, za pośrednictwem którego wszystkie podpisy na zaświadczeniach są weryfikowane w obrębie krajów członkowskich. Z dokumentów przedstawionych opinii publicznej wynika, że dane osobowe z zaświadczenia nie są przetwarzane w tym centralnym portalu, łączącym informacje o zaszczepionych z krajów członkowskich.

Ponadto Komisja Europejska udostępnia oprogramowanie z otwartym kodem źródłowym (co ma duże znaczenie dla transparentności i bezpieczeństwa danych) pozwalające państwom członkowskim opracować własne skanery do sprawdzania kodów QR.

Taki identyfikator świadectwa szczepienia będzie unikalny w skali globalnej dla każdego obywatela. Będzie też weryfikowalny poprzez sieć internetową. Natychmiast.

Cyfrowy Zielony Certyfikat będzie dostępny w aplikacji mObywatel co najmniej w języku angielskim i polskim.

W jaki sposób chronione będą dane osobowe?

Biorąc pod uwagę, że dane osobowe zawarte w zaświadczeniach medycznych, to między innymi dane bardzo wrażliwe, Komisja Europejska chce zapewnić wysoki poziom ich ochrony. Na posiedzeniu plenarnym dyskutowali Europejska Rada Ochrony Danych (EROD) i Europejski Inspektor Ochrony Danych (EIOD).

Zwracają oni uwagę na fakt, że użycie zielonego zaświadczenia cyfrowego nie może w żaden sposób prowadzić do bezpośredniej lub pośredniej dyskryminacji osób fizycznych i musi być w pełni zgodne z podstawowymi zasadami niezbędności, proporcjonalności i skuteczności.

Musi być jasno stwierdzone, że Wniosek nie pozwala –inie może prowadzić –do stworzenia jakiejkolwiek centralnej bazy danych osobowych na poziomie UE. Ponadto musi być zapewnione, że dane osobowe nie będą przetwarzane dłużej niż jest to bezwzględnie niezbędne oraz aby dostęp do tych danych i ich wykorzystanie nie były dozwolone po zakończeniu pandemii. Zawsze podkreślałem, że środki przyjęte w ramach walki z COVID-19 są tymczasowe i naszym obowiązkiem jest dopilnowanie, aby nie miały one zastosowaniapo zakończeniu kryzysu.

Wojciech Wiewiórowski, EIOD (źródło: https://uodo.gov.pl/pl/138/1995)

Z rozmów pomiędzy EROD i EIOD wyciągamy następujące wnioski:

  • Zaświadczenia będą zawierać ograniczony zestaw niezbędnych informacji. Informacje te nie mogą być zatrzymywane przez kraje, do których udaje się dana osoba.
  • W ramach kontroli weryfikuje się jedynie autentyczność i ważność zaświadczenia, poprzez sprawdzenie, kto je wydał i kto podpisał.
  • Wszystkie dane dotyczące zdrowia pozostają w gestii państwa, które wydało zaświadczenie.
cyfrowy zielony certyfikat szczepien
Kraje, które na różnym poziomie integracji dołączyły do międzynarodowego programu informacji o szczepieniach. Źródło: https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_pl

Zagrożenia społeczne

Niektóre państwa członkowskie, takie jak Dania, Austria czy Węgry, już zapowiedziały, że zamierzają wykorzystać system certyfikatów również do zezwalania na wstęp do restauracji, miejsc kultu religijnego czy obiektów sportowych. Także Polska przedstawiła podobne pomysły. To może stać bardzo groźne i prowadzić do monitorowania każdego ruchu populacji, kontrolować władzy wydarzenia społeczne, religijne i polityczne, nadużyć w postaci cenzury prewencyjnej.

Programy takie jak paszporty szczepionkowe mogą potencjalnie upolitycznić decyzję, która nie powinna być upolityczniona. Podzielą naszych obywateli w czasie, gdy jedność w walce z wirusem jest niezbędna i zaszkodzą tym, którzy z medycznego punktu widzenia nie są w stanie otrzymać szczepionki.

Powiedział Mark Gordon – parlamentarzysta z partii Republikanów w USA.

Tym samym kolejne stany USA dołączają do przeciwników wprowadzania e-covidowych systemów elektronicznych.

 Więcej informacji o cyfrowych zielonych certyfikatach:

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]