Приватність, здоров'я чи безпека — що обрати в умовах карантину?

Попросити людей обирати між приватним життям, здоров'ям та безпекою — велика помилка. Запитаєте: «Чому?»

Ми повинні обирати все, бо в нас із Вами є на це право.

Ми маємо обирати захист свого здоров'я та припинення коронавірусної епідемії не черезвстановлення тоталітарних режимів спостереження за людьми, а скоріше завдяки розширенню їхніх прав і можливостей .

За останні тижні деякі з найуспішніших заходів зі стримування епідемії коронавірусу були організовані Південною Кореєю та Сінгапуром. І хоча ці країни використовували додатки для відстеження пересування громадян, набагато більше вони покладалися на широке тестування, на чесне звітування та на добровільну співпрацю з добре обізнаною громадськістю.

Ситуація самоізоляції починяє змінювати наше уявлення про те, чим є приватність. Але ми не мусимо забувати про те, чим є персональні дані?

Згідно українського законодавства персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.[1]

Чим передбачені гарантії захисту персональних даних та права на приватність?

Конвенція про захист прав людини й основоположних свободх[2], Конвенція 108, Директиві 95/46/ЄС, Конституція України — гарантують нам право на приватність та захист наших даних.

При цьому конституційні права і свободи людини і громадянина не можуть бути обмежені, крім випадків, передбачених ст. 64 Конституції України.[3] У Директиві 95/46/ЄС передбачено, що системи обробки даних створені для служіння людині; з огляду на те, що вони, незалежно від національності чи місця проживання фізичних осіб, мусять поважати їхні основні права і свободи, особливо право на невтручання в особисте життя.

Які ноу-хау у сфері обробки персональних даних створено в Україні зараз?

7 квітня 2020 року Михайло Федоров міністр Мінцифри заявляє, що в Україні розроблено додаток «Дій вдома». Мета додатку — моніторинг дотримання процесу самоізоляції тими, хто наразі повернувся з-за кордону або хто лікується вдома чи хто має підозру на коронавірус, а також мав близькі контакти з хворими.

Здається, нарешті ми користуємося кращим світовим досвідом: максимально демократичний додаток, який трекає геолокацію тільки коли приходить пуш-повідомлення й необхідно зробити фотографію свого обличчя. При цьому надана інформація автоматично звіряється з фотографією та локацією, які людина вказує при встановленні додатка). До того ж, у разі погіршення стану, додаток оснащений «гарячою кнопкою виклику».

Фото Print Screen з play.google

Яку інформацію збирає додаток?

Згідно з повідомленням про обробку персональних даних, до відомостей, що обробляються, включаються такі:

• мобільний номер телефону;
• адреса, за якою особа перебуває на самоізоляції;
• інформація щодо госпіталізації чи самоізоляції особи, яку визнано інфікованою;
• стан здоров'я[4];
• місцезнаходження та шляхи пересування особи;
• фото особи.

Яка мета збору такої інформації про людину?

Метою збору персональних даних, що обробляються, є забезпечення здійснення адміністративних та медико-санітарних заходів, які застосовуються для запобігання поширенню особливо небезпечних інфекційних хвороб (карантину), відповідно до положень Закону України «Про захист населення від інфекційних хвороб», зокрема дотримання особою зобов'язання про перебування в карантині (самоізоляції).

У рішенні про встановлення карантину вводяться тимчасові обмеження прав фізичних і юридичних осіб та додаткові обов'язки, що покладаються на них (ст. 29 Закону)

Фото Print Screen з Додатку «Дій вдома»

Чи є в нас обов'язок на встановлення додатку,
та яка відповідальність передбачена за його невстановлення?

Згідно з Постановою Кабміну від 02 квітня 2020 року №255 «Про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, яку спричинив SARS-CoV–2» працівники державних установ Міністерства охорони здоров'я епідеміологічного профілю визначають персональний перелік осіб, які потребують самоізоляції у зв'язку з контактом із хворим на COVID-19 та вносять інформацію до відповідних інформаційних систем.

У разі призначення зобов'язання щодо самоізоляції:
особа зазначає місце своєї самоізоляції та інформацію про засоби зв'язку (номер телефону), короткі відомості про стан здоров'я та хронічні захворювання на час самоізоляції (за згодою особи).

Такій людині повідомляється, що за надання неправдивих відомостей про місце своєї самоізоляції, інформації про засоби зв'язку, недотримання режиму самоізоляції, особу буде притягнуто до адміністративної відповідальності (ст. 44-3 КУпАП), а у разі порушення режиму самоізоляції, що призвело до тяжких наслідків, зокремасмерті третіх осіб, — до кримінальної відповідальності (ст. 325 КК України).

До відповідних інформаційних систем (мобільного додатка Єдиного державного вебпорталу електронних послуг) вноситься інформація про прізвище, ім'я та по батькові особи, дату її народження, місце самоізоляції та засоби зв'язку (номер телефону), чи проживає особа сама, чи є можливість піклування про неї іншими особами в період самоізоляції. За згодою особи також вносяться короткі відомості про хронічні захворювання та стан здоров'я на час самоізоляції.

Особи, що потребують самоізоляції, можуть самостійно внести інформацію до мобільного додатка Єдиного державного вебпорталу електронних послуг за умови наявності технічної можливості.

Підсумуємо:

1. Якщо Вам призначили зобов'язання щодо самоізоляції — ви зазначаєте місце своєї самоізоляції та інформацію про засоби зв'язку (номер телефону).
2. Обов'язок щодо встановлення додатку «Дій вдома» — відсутній, відповідальність за невстановлення додатку також.

.

Якщо Ви встановили додаток «Дій вдома»,
але не бажаєте, щоби він обробляв Ваші дані, як бути?

Відповідно до ч. 2 ст. 8 Закону України «Про захист персональних даних», у Вас як суб'єкта персональних даних є:

1. право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) організації, яка збирає дані;
2. право отримати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються ваші персональні дані;
3. право на доступ до своїх персональних даних;
4. право ставити вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
5. право ставити вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
6. право відкликати згоду на обробку персональних даних (у випадку, якщо таку згоду було надано).

Якщо ви хочете встановити додаток,
яким має бути алгоритм дій для захисту персональних даних?

1. Надішліть запит про отримання даних, які були зібрані про вас, до Міністерства цифрової трансформації України. Зразок запиту завантажте тут.

2. У запиті ви маєте зазначити таке:

1. прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит;
2. прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
3. відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
4. перелік персональних даних, що запитуються;
5. мета та/або правові підстави для запиту.

3. Строк вивчення вашого запиту на предмет його задоволення не може перевищувати десяти робочих днів із дня його надходження.

4. Після отримання відповіді від Мінцифри Ви знаєте про дані, якими володіє Міністерство. Тепер Ви можете надіслати запит про видалення або заборону обробки даних про Вас, або запит про відкликання згоди.

Вимоги до такого запиту я описала в пункті вище. Зразок запиту на видалення персональних даних та відкликання згоди на обробку даних можна завантажити тут.

І спробую відповісти на найпопулярніше питання:
«Чи порушує додаток „Дій вдома“ права людини?»

В умовах карантину, держава може законом обмежувати певні права людини, проте, зараз відсутня інформація, для належної оцінки дотримання стандартів прав людини додатком, адже політики конфіденційності додатку у вільному доступі – немає.

Інформації про порядок обміну даними з Міністерством охорони здоров'я та Міністерством внутрішніх справ – немає.

Яким чином відбуватиметься видалення інформації після припинення самоізоляції чи обсервації – не відомо.

Також додам, що необхідне закріплення в нормативно-правових актах порядку та процесів обробки персональних даних додатку «Дій вдома» .

Варто звернути увагу, що 13 квітня Верховна Рада України внесла зміни до Закону «Про захист населення від інфекційних хвороб».

Згідно Закону на період встановлення карантину або обмежувальних заходів, пов'язаних із поширенням коронавірусної хвороби (COVID-19) та протягом 30 днів з дня його відміни:

дозволяється обробка персональних даних без згоди особи, зокрема даних, що стосуються стану здоров'я, місця госпіталізації або самоізоляції, прізвища, ім'я, по батькові, дати народження, місця проживання, роботи (навчання), з метою протидії поширенню коронавірусної хвороби (COVID-19), в порядку визначеному в рішенні про встановлення карантину, за умови використання таких даних виключно з метою здійснення протиепідемічних заходів.

Протягом 30 днів після закінчення періоду встановлення карантину, такі дані підлягають знеособленню, а у разі неможливості знищенню.

Зберігайте спокій, читайте закони, не розголошуйте своїх даних, якщо цього не вимагає ЗАКОН та будьте здорові.

Анастасія Апетик,
юристка, експертка з інформаційних прав та безпеки
Експертного центру з прав людини
спеціально для JustTalk

1. Закон України «Про захист персональних даних» — https://zakon.rada.gov.ua/laws/show/2297-17
2. Примітка авт. — Україна не заявила про відхід (дерогацію) від деяких прав, у порядку, передбаченому статтею 15 Конвенції.
3. Стаття 64 Конституції України — https://zakon.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2%D1%80
4. У праві ЄС існують особливі категорії персональних даних, які за своєю природою можуть становити загрозу для суб'єктів, персональні дані яких обробляються, і потребують посиленого захисту. Тому дозвіл на обробку цих особливих категорій даних («чутливих") повинен надаватися лише з особливими гарантіями. І у Конвенції 108 (стаття 6), і у Директиві 95/46/ЄС (стаття 8) визначено що персональні дані, які стосуються здоров'я є чутливими даними.