Jak podkreślał Rzecznik Praw Obywatelskich, Polacy mają wątpliwości wobec zakresu informacji, do jakich ma dostęp aplikacja Kwarantanna domowa. Dla prawidłowego działania wymaga ona, aby urządzenie mobilne umożliwiało jej dostęp do: internetu, aparatu, zdjęć, lokalizacji, a nawet i mikrofonu.
"Rzecznik Praw Obywatelskich nie kwestionuje obowiązku przestrzegania kwarantanny oraz innych działań dla zapobiegania koronawirusowi. Trzeba jednak zapewnić, aby narzędzia wykorzystywane przez państwo mieściły się w konstytucyjnym standardzie ochrony prywatności i autonomii informacyjnej jednostki, a także spełniały wymogi RODO" - czytamy w piśmie Adama Bodnara do premiera i ministra cyfryzacji Mateusza Morawieckiego.
Na zapytanie Rzecznika Praw Obywatelskich odpowiedział sekretarz stanu w kancelarii premiera i pełnomocnik rządu do spraw cyberbezpieczeństwa Marek Zagórski. Wiceminister wskazał, że aplikacja została udostępnioną głównie w celu wsparcia służb w monitoringu osób odbywających obowiązkową kwarantannę. Rozwiązanie umożliwia, wykorzystując technikę weryfikacji twarzy i koordynatów lokalizacji, zdalne potwierdzanie przebywania danej osoby w zadeklarowanym miejscu odbywania kwarantanny.
Dodatkowo aplikacja zawiera usługi, które przydatne są dla osób przebywających na kwarantannie m.in. wysłanie formularza z zapotrzebowaniem do ośrodka pomocy społecznej (posiłek, artykuły spożywcze, pomoc psychologiczna, kontakt).
Jak podkreślono w piśmie do RPO, aplikacja do prawidłowego działania wymaga, aby urządzenie mobilne umożliwiało jej w określonych sytuacjach dostęp do:
"Aplikacja nie odczytuje, nie przetwarza, nie korzysta z innych zasobów. Uprawnienia do zasobów są wywoływane dopiero w momencie ich użycia" - odpowiedział Marek Zagórski.
Marek Zagórski podkreślał również, że w zakresie technicznym zastosowano szyfrowanie danych, jak też szyfrowanie komunikacji pomiędzy aplikacją a środowiskiem, na którym dane są przechowywane. Dostęp administracyjny do aplikacji jest ograniczony tylko do niezbędnych osób technicznych, które łączą się bezpiecznymi połączeniami z ograniczonej listy IP. Aplikacja poddana została także m. in. procedurom Privacy by design (art. 25 ust. 1 RODO2) i Privacy by default (art. 25 ust. 2 RODO) oraz DPIA (art. 35 RODO), a ich wyniki skonsultowane zostały z Inspektorem Ochrony Danych byłego Ministerstwa Cyfryzacji.
"Podsumowując - wdrożony w aplikacji model przetwarzania danych jest zgodny z wymaganiami przetwarzania danych określonymi w art. 5 RODO" - poinformował Zagórski.