Сьогодні починають діяти зміни до Закону «Про захист населення від інфекційних хвороб» для запобігання поширенню COVID-19. Зокрема, нововведення дозволяють обробку персональних даних без згоди особи на період карантину.
Ми проаналізували, наскільки положення нового закону відповідають вимогам захисту персональних даних, хто тепер отримає доступ до нашої персональної інформації та чи вплине новий закон на використання додатку «Дій вдома».
Чи можна взагалі обробляти персональні дані без згоди особи?
Ще й як можна. Це дозволяє і Конституція, і профільний Закон «Про захист персональних даних». Зокрема, стаття 11 цього закону, крім згоди особи, містить ще п’ять підстав для обробки персональних даних. Для органів влади такою підставою є «виконання обов’язків і повноважень, передбачених законом».
Зважаючи на серйозні загрози громадському здоров’ю через пандемію, у певних випадках закони і справді можуть дозволяти збирати та використовувати персональні дані, пов’язані із захворюванням, без згоди особи.
Ухвалений парламентом закон щодо запобігання поширенню COVID-19, визначив перелік даних щодо яких не потрібен дозвіл особи:
ПІБ, стан здоров’я, місце госпіталізації або самоізоляції, дата народження, місце проживання, місце роботи (навчання).
Також встановлено мету обробки персональних даних – виключно для здійснення протиепідемічних заходів. Передбачено, що протягом 30 днів після закінчення карантину, такі дані підлягають знеособленню, а якщо це неможливо – знищенню.
Тобто новий закон не порушує стандартів захисту персональних даних?
Не зовсім. Обробку персональних даних можна здійснювати без згоди у випадках, коли це передбачено законом, але такий закон має відповідати принципам правової визначеності та містити запобіжники від зловживань, особливо, коли йдеться про таку чутливу інформацію як стан здоров’я.
Стаття 7 Закону «Про захист персональних даних» взагалі забороняє обробку інформації про стан здоров’я особи без її згоди, крім вичерпного переліку випадків. Наприклад, у разі надання лікарем медичної допомоги.
Таким чином, запропоноване новим законом виключення, створює додаткову підставу для обробки такої чутливої інформації, але її формулювання не відповідає принципу визначеності, точності та не містить елементів захисту, тоді як розголошення таких даних може мати серйозні наслідки для безпеки і прав особи.
Встановлення мети опрацювання даних і тимчасової дії дозволу – це правильний хід. Проте закону бракує ключового елементу – визначення, які саме державні органи отримують повноваження здійснювати обробку персональних даних без згоди особи та в якому обсязі.
Чому це проблема?
Закон «Про захист населення від інфекційних хвороб», перелічує низку органів влади, які можуть здійснювати заходи щодо протидії епідемії: Кабінет Міністрів України, МОЗ та його установи, місцеві органи виконавчої влади та органи місцевого самоврядування.
Відповідно до Постанови КМУ №211 «Про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2» контролюють дотримання режиму самоізоляції також працівники Національної поліції та Національної гвардії, працівники МОЗ епідеміологічного профілю, уповноважені органами місцевого самоврядування посадові особи.
Таким чином, коло осіб, залучених до протиепідемічних заходів надзвичайно широке. Тому надання їм повноважень отримувати доступ до усієї переліченої вище інформації не є виправданим.
Так, поліції не потрібно отримувати детальну інформацію про стан здоров’я особи – для контролю за дотриманням режиму самоізоляції чи обсервації достатньо даних про те, що особу віднесено до такої категорії та місце її самоізоляції чи обсервації. А представникам органів місцевого самоврядування для ведення статистики щодо захворювань не обов’язково отримувати всю персоналізовану інформацію.
Яскравою ілюстрацією наслідків відсутності чітких вимог щодо захисту інформації про осіб, до яких застосовуються заходи обсервації або ізоляції, є оприлюднення Житомирською ОДА карти з позначенням вулиць, де мешкають хворі на Covid-19 (включно з інформацією про вік таких пацієнтів та статус лікування). Така інформація не лише жодним чином не сприяє захисту від пандемії, а може призвести до дискримінації та зростання соціальної напруги в громадах.
Без чіткого визначення повноважень органів влади щодо доступу до окремих персональних даних – ми отримуємо юридичну невизначеність та необмежену дискрецію, що суперечить Конституції України (Конституційний суд підтвердить).
А що тепер з додатком «Дій вдома»?
Раніше ми уже писали про додаток «Дій вдома», який створило Мінцифри на виконання Постанови КМУ №211 для моніторингу дотримання карантинних обмежень. Ухвалений закон не змінює того факту, що додаток на пристрої має встановлюватися лише за згодою особи. Але не поспішайте радіти.
Цифролаба отримала відповідь від Міністерства цифрової трансформації на свій запит про порядок інформаційної взаємодії між Мінцифри, МВС та МОЗ щодо передачі даних, необхідних для здійснення протиепідемічних заходів.
Так, за Угодою між МОЗ та Мінцифри від 10 квітня 2020 року, МОЗ має щодня передавати інформацію до Мінцифри для внесення до інформаційних систем міністерства (зокрема до мобільного додатка Єдиного державного веб-порталу електронних послуг).
Відповідно до Постанови КМУ № 211 це інформація про прізвище, ім’я, по батькові особи, дату її народження, місце самоізоляції та засоби зв’язку (номер телефону), чи особа проживає сама, чи є можливість піклування про неї іншими особами в період самоізоляції. За згодою особи також вносяться короткі відомості про хронічні захворювання та стан здоров’я на час самоізоляції.
Тобто, навіть якщо особа не встановлює додаток самостійно, інформація про неї у будь-якому випадку потрапляє до інформаційної системи Дії.
Для чого? Найпевніше, для контролю за дотриманням режиму самоізоляції, що відповідно до постанови КМУ №211 здійснюється, зокрема працівниками Національної поліції та Національної гвардії, «у тому числі з використанням мобільного додатка Єдиного державного веб-порталу електронних послуг».
Цікаво, що Мінцифри не передбачило окремого порядку автоматизованого обміну інформацією з МВС на час карантину (принаймні, нам на запит не надали), а посилається на загальний порядок електронної інформаційної взаємодії між міністерствами, що затвердили ще 19 грудня 2019 року та використовується для забезпечення діджиталізації адміністративних послуг.
Порядок не містить жодної інформації про обсяг та зміст відомостей, які мають надаватися органам МВС у відповідь на їх запит, крім загального посилання на те, що вони мають бути необхідними для виконання повноважень «відповідно до покладених на них завдань». Можливо це детальніше врегулюють окремим протоколом, якого поки що немає (принаймні, ми не отримали).
Таким чином, ні законодавство, ні підзаконні акти на сьогодні не дають чіткої відповіді на питання, хто і в якому обсязі має доступ до персональних даних осіб хворих чи з підозрою на Сovid-19 та не встановлюють достатніх обмежень дискреції органів влади щодо використання таких даних.
Що має зробити уряд, аби забезпечити баланс між правом на приватність та протидією Covid-19?
Будьмо реалістами. Зважаючи на щоденні виклики, пов’язані з пандемією, внесення змін до законів задля дотримання вимог захисту персональних даних у найближчий час є малоймовірним.
Водночас, перехідні положення закону зобов’язують Кабінет Міністрів України протягом одного тижня привести свої нормативно-правові акти у відповідність із цим законом та забезпечити приведення у відповідність міністерствами та іншими центральними органами виконавчої влади їх нормативно-правових актів.
Це шанс для Уряду внести трохи ясності та законності в порядок використання персональних даних під час боротьби з епідемією. Що потрібно зробити:
- Обмежити доступ органів влади, залучених у протиепідемічні заходи, виключно до тих категорій персональних даних, які є мінімально необхідними для виконання їх повноважень, визначених законодавством. Це дозволить привести існуючу систему у відповідність зі статтею 6 Закону «Про захист персональних даних»: склад та зміст персональних даних мають бути відповідними, адекватними та не надмірними стосовно визначеної мети їх обробки;
- Забезпечити прозорість обробки персональних даних в рамках взаємодії між МОЗ, Мінцифри та МВС. Зокрема, зобов’язати Мінцифри оприлюднити протоколи, що регламентують перелік відомостей, які передаються у межах інформаційного обміну з МВС та порядок такої інформаційної взаємодії на час введення карантину. Крім цього, забезпечити підготовку та оприлюднення узагальнених звітів щодо інформації, отриманої від МОЗ та яким чином ці дані були використані, а також щодо кількості та підстав запитів від МВС на отримання інформації та результати їх опрацювання;
- Оприлюднити інформацію щодо результатів використання додатку «Дій вдома»;
- Встановити порядок видалення персоналізованої інформації про особу щодо якої завершився строк заходів самоізоляції чи обсервації;
- Забезпечити відкритість у підготовці актів, що регулюватимуть порядок знеособлення та знищення зібраної персональної інформації після завершення карантинних заходів.
Віта Володовська
юристка Лабораторії цифрової безпеки