Коли пандемія COVID-19 вирує у світі, цінність даних виходить на перший план у політиці щодо стримування поширення вірусу. Уряди різних держав почали застосовувати сучасні інноваційні рішення для боротьби з вірусом та реагувати на нові цифрові виклики.

Тому я зупинюся на ключових подіях 2020 року, які вплинули на конфіденційність та онлайн безпеку в Україні. Звісно, стосуватимуться вони насамперед боротьби з пандемією COVID-19.


5fe487c53f2ab.png


Кейс «Дій вдома»

У квітні міністр Мінцифри заявив, що в Україні розроблено застосунок «Дій вдома». Мета додатку — моніторинг дотримання самоізоляції тими, хто наразі повернувся з-за кордону або хто лікується вдома, чи хто має підозру на коронавірус, а також мав близькі контакти з хворими.

Додаток встановлювати не обов'язково, користувач вступає у добровільні цивільні відносини з Мінцифрою як розробником мобільного додатку.

Але зверніть увагу, що користувач добровільно дає згоду на обробку своїх персональних даних, що відповідає положенням статті 21 Конституції України та положенням Закону України «Про захист персональних даних», де передбачено, що тільки за згодою людини можливим є збирання, зберігання, використання інформації про місцеперебування, стан здоров'я.

Акцентую увагу, що 13 квітня Верховна Рада України внесла зміни до Закону «Про захист населення від інфекційних хвороб».
Згідно із цим законом, на період встановлення карантину або обмежувальних заходів, пов'язаних із поширенням коронавірусної хвороби (COVID-19), та протягом 30 днів з дня скасування дозволяється: обробка персональних даних без згоди особи, зокрема даних, що стосуються стану здоров'я, місця госпіталізації або самоізоляції, прізвища, ім'я, по батькові, дати народження, місця проживання, роботи (навчання) — з метою протидії поширенню коронавірусної хвороби (COVID-19), в порядку, визначеному в рішенні про встановлення карантину, за умови використання таких даних виключно задля здійснення протиепідемічних заходів.

Протягом 30 днів після закінчення карантину такі дані підлягають знеособленню, а у разі неможливості — знищенню.

Коли держава втручається у приватне життя, мені пригадується рішення ЄСПЛ у справі "Savin v. Ukraine", де суд вказує, що втручання у права, гарантовані статтею 8 Конвенції, є правомірним, якщо воно здійснюється «згідно із законом», відповідає законним цілям і може вважатися «необхідним у демократичному суспільстві» (трискладовий тест).

Але, на жаль, українське законодавство не дає чіткої відповіді, хто та в якому обсязі має доступ до персональних даних людей хворих чи з підозрою на СOVID-19, та не встановлює достатніх обмежень для органів влади щодо використання таких даних. І це проблема, яка потребує доопрацювання.


Кейс «Дія» та звинувачення у зливі даних

У травні 2020 року Національна поліція виявила незаконне оприлюднення персональних даних українців на анонімному Telegram-каналі.

У ЗМІ повідомлялося, що, можливо, стався витік даних із додатку «Дія».

Також у червні вперше відбувся брифінг із представниками МВС, НПУ, Мінцифри та СБУ щодо перших результатів розслідування витоку та поширення персональних даних громадян.

Національна поліція повідомила, що оприлюднені дані — це компіляція з інформаційних баз різних державних відомств і неурядових організацій за різні періоди попередніх років, і вона не має стосунку до початку роботи державного мобільного застосунку «Дія».

Після цих подій, у червні 2020 року, Уповноважений Верховної Ради України з прав людини здійснила перевірку порталу diia.gov.ua, мобільних застосунків «Дія» і «Дій Вдома» та повідомила, що жодних порушень не виявлено. Нагадаємо, що Уповноважений має повноваження щодо контролю за додержанням законодавства про захист персональних даних, тож такий висновок є профільним.

Понад те, персональні дані користувачів портал diia.gov.ua отримує з реєстрів і не зберігає. Застосовується підхід data-in-transition: дані з реєстрів передаються та зберігаються на пристрої користувача, а не на сервері.

За результатами перевірки встановлено, що Міністерство цифрової трансформації:

Хоча всі «звинувачення» щодо витоку даних із додатку «Дія» було знято і ситуацію вичерпано, на жаль, дані в Україні продовжують витікати через такі проблеми:

1. Відсутність ефективної системи забезпечення захисту даних в органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних. Часто доступ до реєстрів має необмежене коло осіб.

2. Неналежне матеріально-технічне забезпечення осіб, які працюють із базами даних. Це означає, що дані легко перекопіювати на інші носії інформації, держава часто не забезпечує комп'ютерами своїх працівників, ноутбуками з даними користуються не лише на робочих місцях, але й у закладах громадського харчування чи вдома.

3. Низький рівень кваліфікації та низька оплата праці у працівників, які відповідають за кібербезпеку в державних установах, організаціях та підприємствах, органах місцевого самоврядування. Працівників «легко купити», а це означає, що за певну винагороду вони можуть викласти інформацію у відкритий доступ. Наприклад, з вироку Рівненського міського суду (2018) відомо, що працівник патрульної поліції, реалізуючи свій злочинний намір, направлений на несанкціонований збут інформації з обмеженим доступом, розмістив оголошення на інтернет-ресурсі OLX.ua з назвою «Проверка (Пробив)» про можливість отримання від нього інформації з обмеженим доступом про персональні дані особи за певну матеріальну винагороду, при цьому зазначивши у вказаному оголошенні, що для отримання інформації необхідно ініціювати листування з особою в соціальній мережі Telegram.

4. Дані можуть потрапити у відкритий доступ через некомпетентність як працівників, які здійснюють технічних захист інформації, так і через відсутні навички цифрової гігієни у більшості працівників державної влади. Наприклад, у 2020 році в Україні, за даними РНБО, зафіксовано близько 1 мільйона випадків кіберзагроз. Лише у травні за один тиждень у Держспецзв'язку зафіксували майже 8 тисяч кібератак на державні органи. Такі цифри свідчать про те, що державі необхідно приділяти більше уваги питанням захисту даних.

5. Відсутність культури поваги до права на приватність та захисту персональних даних. Лише 1,84% респондентів опитування Cisco зазначили, що піклуються про конфіденційність, про власні дані, дані інших членів суспільства і хочуть більшого контролю над тим, як використовуються їхні дані.

6. Відсутня ефективна система державного контролю за захистом персональних даних. Абсолютно погоджуюся з тим, що більшість європейських країн та Україна не мають можливості для імпорту персональних даних, а також — загальних стандартів та інструментів для доступу до даних — простих, як натискання кнопки. Можливість надання користувачам централізованої інформаційної панелі для моніторингу та контролю потоку своїх даних також критично важлива.


Кейс СБУ та новий законопроєкт

У жовтні було зареєстровано проєкт Закону України «Про внесення змін до Закону України „Про Службу безпеки України“ щодо удосконалення організаційно-правових засад діяльності Служби безпеки України» (реєст. №3196-д від 26.10.2020 р.). У законопроєкті міститься положення щодо:

Тільки з цих положень випливає, що цей законопроєкт загрожує інформаційним правам людини, тому я сподіваюся, що Верховна Рада України його не підтримає. Наразі проєкт закону перебуває на розгляді профільного комітету.


Кейс Національна стратегія із захисту дітей в онлайн середовищі

І наостанок зазначу про кейс, який позитивно впливає на інформаційні права та онлайн безпеку і стосується дітей.

Мінцифра створила проєкт Національної стратегії із захисту дітей у цифровому середовищі на період до 2025 року із такими стратегічними цілями:

Очікуваним результатом виконання стратегії є безпечне для дітей цифрове середовище та захищені основоположні права і свободи дитини.

Надзвичайно вражає, що левова частка у стратегії присвячена питанням захисту персональних даних дітей. У документі пропонується надати персональним даним дітей в Інтернеті вищого захисту, обмежити профайлінг, запровадити батьківську згоду на обробку даних дітей, молодших за 14 років, а також зобов'язати розпорядників персональних даних формулювати чіткі та зрозумілі тексти політики конфіденційності та захисту персональних даних для дітей.

Ці кейси показують, що 2020 рік виявився досить турбулентним для конфіденційності та онлайн безпеки громадян. Пандемія призвела до посилення державного контролю за приватним життям своїх громадян через використання новітніх технологій цифрового спостереження.

Більшість державних рішень та нових законодавчих ініціатив містять серйозні ризики для надмірного втручання у право на інформацію, повагу до приватності та не встановлюють реальних і ефективних запобіжників для контролю законності дій держаних посадовців.

Тому, на мою думку, під час прийняття рішень щодо обмежень прав людини та реагування на нові онлайн загрози держава повинна оперативно налагоджувати партнерство та дослуховуватися до відкритого громадянського суспільства, щоб зміцнити державну стійкість до нових викликів для конфіденційності та онлайн безпеки.


Анастасія Апетик,
юристка, експертка з інформаційних прав та безпеки
Експертного центру з прав людини
спеціально для JustTalk