Aplikacija PCT zdaj takšna, kot jo želi informacijska pooblaščenka. Virus si lahko oddahne, kot tudi nasprotniki cepljenja in testiranja

Vir foto: pixabay
POSLUŠAJ ČLANEK
Cilj aplikacije za preverjanje PCT pogoja naj bi bil ugotoviti, da je konkretna oseba ob vstopu v javni prostor med druge ljudi bodisi cepljena, testirana ali da je COVID prebolela. 

A po posredovanju informacijske pooblaščenke (IP) so morali aplikacijo popolnoma anonimizirati, kar pomeni, da je preverjanje, ali QR koda pripada osebi, ki jo pokaže, praktično nemogoče. Tako spremenjeno aplikacijo so ponovno v uporabo dali danes.

Posredi je varstvo osebnih podatkov, čeprav pravna podlaga v Sloveniji omogoča serijo situacij, ko lahko gostinci, trgovci, organizatorji prireditev, turistični delavci ... vpogledujejo v osebne podatke ljudi.

A z rigidno interpretacijo zakonskih podlag je IP de facto dosegla ravno nasprotni cilj od zaščite osebnih podatkov posameznika: ker ne bo preverjanja istovetnosti, bodo veljavne QR kode zaželena roba za množično uporabo s strani oseb, ki jim ne pripadajo. In vsi ti bodo imeli neovirano možnost vpogleda v osebne in zdravstvene podatke lastnika zlorabljene kode. 

Čeprav aplikacija ta teden zaradi blokade IP še ni bila na voljo, so različne inšpekcije na terenu preverjale izpolnjevanje PCT pogoja in v enem tednu napisale že več kot 100 kazni. Aplikacija NIJZ, ki je bila narejena, da bi omenjenim skupinam omogočila hitrejše preverjanje QR-kod s potrdili PCT, pa je bila z zamudo danes vendarle predstavljena - nova verzija je popolnoma anonimizirana.

Ta pri preverjanju pogoja PCT ne pokaže nobenega osebnega ali zdravstvenega podatka, le izpiše ali je QR koda veljavna ali ne. Za preverjanje istovetnosti QR kode s tistim, ki jo prikaže, bi v praksi zadostoval že ime in priimek, a aplikacija ne sme prikazati niti tega.

Aplikacija je končno zaživela: Kakšen je postopek?


Od vladnega odloka naprej je tako preverjanje PCT pogoja nujno v gostinstvu, za notranje prostore, dogodke z večjim številom ljudi in za prenočitve v hotelih.

Potrdilo o PCT je mogoče dobiti prek portala zVEM, pri osebnem zdravniku, v cepilnem centru ali v lekarni. To potrdilo vsebuje QR kodo, ki jamči za verodostojnost podatkov na potrdilu. Ponudnik storitev ima na mobilnem telefonu nameščeno aplikacijo, ki omogoča branje teh kod.


Pri preverjanju izpolnjevanja pogojev PCT se ekran čitalca obarva zeleno, kar pomeni, da je konkretna QR koda veljavna - tisti, ki mu pripada, zadostuje pogojem za vstop na prizorišče. Poleg obarvanja ekrana se je v prvi verziji pokazalo še ime in priimek ter rojstni datum kontrolirane osebe. V novi verziji tega ni.

Kje je problem anonimne aplikacije?


Odstranjeni osebni podatki (torej priimek in ime posamezne osebe ter rojstni datum iz čitalca) pomenijo, da oseba, ki bo izvajala nadzor, tako ne bo vedela, katero kodo sploh nadzira oziroma od koga je koda, ki jo nadzira. Tak nadzor pa omogoča številne manipulacije. A na NIJZ praktično niso imeli druge možnosti.



Ker se sedaj ne da preveriti istovetnosti osebe, ki je potrdilo predložila, je za tiste, ki pogoja ne izpolnjujejo, zelo vabljivo, da pridobijo QR kodo od osebe, ki te pogoje izpolnjuje, in si s tem zagotovijo prost vstop praktično kamorkoli brez da so testirani, cepljeni ali prebolevniki. Izvajalec storitve osebe ne more in ne sme legitimirati, saj je za to po tej interpretaciji pristojna le policija.

S tem pa se na široko odpirajo vrata zlorab: bodisi izposojanj, kraj ali trgovanj z veljavnimi QR kodami. S tem pa seveda aplikacija izgubi namen omejevanja širjenja koronavirusa, obenem pa imajo osebe, ki posedujejo veljavno QR kodo, preko aplikacije možnost vpogleda v osebne podatke resničnega lastnika kode.



To, da je mogoče QR kodo zelo hitro ukrasti, kaže tudi primer ministra za zdravje Janeza Poklukarja, ki je delovanje aplikacije demonstriral na svoji QR kodi. Ta je zaokrožila po spletu, potrdilo z njegovimi podatki pa bi z lahkoto končalo v mobilnih napravah oziroma na aplikaciji zVem slehernega Slovenca. Vsak je tudi lahko brez problema vpogledal v osebne podatke (ime, priimek, naslov, rojstni datum) slovenskega ministra za zdravje.

Podatke vam gledajo praktično povsod, pa to ni problem


Zanimivo je, da preverjanje PCT pogoja v številnih evropskih državah poteka nemoteno in brez problemov. Tako zagotovo aplikacija kaže osebne podatke v Avstriji, Franciji in Italiji. V teh državah je zagotavljanje javnega zdravja pred rigoroznim domnevnim varovanjem pravice do zasebnosti že pri najbolj banalnih zadevah.







Preverjanje osebnih podatkov danes poteka brez problema v hotelih, kjer ob prijavi oddate svoje osebne ali potne liste, ki jih nato receptor celo skenira in ima kopijo vašega dokumenta. Prav tako preverjanje dokumentov poteka tudi v gostinstvu. Gostilničar je namreč dolžen preverjati starost gosta, saj alkoholnih pijač ne sme prodajati mladoletnim. Enako velja tudi za trgovke ter za vstop v nočne klube.

Na športnih prireditvah je že dalj časa na tekmah visokega tveganja ter v Ligi prvakov obvezna personalizacija, kjer so na posebnem listu zapisani obiskovalčevi podatki, varnostniki pa jih nato preverjajo skupaj z osebnim dokumentom. Kje končajo omenjeni listki, ni znano. Enako velja tudi na smučiščih ob potrditvi, da je letna karta zares vaša. Uslužbenke na poštah preverjajo vaše osebne podatke, da ugotovijo, če je paket, ki vam ni bil vročen doma, zares vaš.

https://twitter.com/JJansaSDS/status/1421381365929500674







https://twitter.com/ZigaTurk/status/1421108003089100804

 
KOMENTAR: Uredništvo
Tipični primer neživljenjskega državnega aparata, ki dela v škodo ljudi
Slovenski državni aparat na splošno velja za prereguliranega, zbirokratiziranega, polnega nepotrebnih organov in daleč od logike delovanja po zdravi pameti. Lepšega primera kot tipično slovenski zaplet okoli aplikacije za preverjanje PCT pogojev, je težko najti. NIJZ je zadevo zastavil učinkovito, a stvari je v svoje roke še enkrat več vzela informacijska pooblaščenka. Če je bila odstranitev informacije o zdravstvenem stanju (cepljen ali prebolel) na mestu, pa odstranitev kakršnekoli možnosti ugotavljanja istovetnosti nedvomno ni. Nasprotno, deformirana aplikacija, kakršno so predstavili danes, dosega ravno nasprotne cilje kot jim je namenjena - korona skeptiki in "proticepilci" lahko slavijo, saj bo pridobitev veljavne QR kode zanje mala malica. Mnogo izkušenj že navsezadnje imajo pri pridobivanju potrdil o testiranjih za prestopanje meje. Ker bomo v imenu aplikacije družbene omejitve sproščali, bo, kar se tiče zajezitve virusa, dosežen ravno nasprotni učinek. Hkrati pa bo le-tega v imenu varovanja osebnih podatkov de facto dosegla tudi informacijska pooblaščenka. Vsak, ki bo pridobil veljavno QR kodo - in nobene omejitve ni, da bi zgolj eno lahko uporabljalo poljubno število ljudi, bo lahko zelo enostavno vpogledal v osebne in zdravstvene podatke osebe, ki ji pripada. Ta bo kodo, ne zavedajoč se tega, morda podarila prijatelju ali komu celo prodala. Komu drugemu pa bo dejansko ukradena brez vednosti - slikana, poskenirana ali kaj tretjega, ko morda za trenutek ne bo pazljiv. Človek bo tako počival doma, po njegovi QR kodi sodeč pa bo žuriral na sto lokacijah po Sloveniji hkrati. In tega ne bo nihče vedel, niti on sam niti tisti, ki naj bi s preverjanjem PCT pogoja poskrbeli, da se virus ne širi. Virus in koronaskeptiki si torej lahko oddahnejo.
Naroči se Doniraj Vse novice Za naročnike

Prihajajoči dogodki

MAR
28
Velikonočna tržnica
14:00 - 18:00
MAR
29
FKK 4: Za post
19:30 - 21:30