Застосування міжнародних стандартів захисту персональних даних в умовах пандемії COVID-19 (Європейський вектор)
У зв’язку із пандемією COVID-19, викликаною коронавірусом SARS-CoV-2, який швидко поширився країнами світу, найкращі вчені безперервно працюють над тим, щоб зрозуміти природу і еволюцію вірусу та знайти ефективні шляхи його подолання.
Водночас урядами та організаціями вживаються безпрецедентні заходи з метою стримування COVID-19, які, серед іншого, можуть включати обробку персональних даних.
У цьому контексті нагадуємо, що такі міжнародні документи, як Конвенція про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108) та Модернізована Конвенція 108+, а також Регламент Європейського Парламенту і Ради (ЄС) 2016/679 про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (GDPR) гарантують високі стандарти у сфері захисту персональних даних.
Разом із тим варто зазначити, що вказані документи не є несумісними з тимчасовим застосуванням обмежувальних заходів, спрямованих на порятунок життя та боротьбу з пандемією.
Модернізована Конвенція 108+
У спільній заяві Олександри П'єруччі, Голови Комітету Конвенції 108, та Жана-Філіпа Вальтера, Уповноваженого Ради Європи із захисту даних, від 30 березня 2020 року зазначається, що Модернізована Конвенція 108+ визнає необхідність допущення деяких винятків та обмежень задля нагальних цілей, які є життєво важливими та становлять суспільний інтерес.
Проте, такі обмеження мають відповідати чітким вимогам з метою забезпечення безперебійного дотримання верховенства права. Згідно з положеннями Модернізованої Конвенції 108+ винятки повинні бути передбачені законом, відповідати сутності основних прав і свобод та бути необхідними і пропорційними заходами у демократичному суспільстві. Такі обмежувальні заходи мають застосовуватися:
- виключно на тимчасовій основі (протягом певного періоду часу, чітко обмеженого тривалістю надзвичайного стану);
- за умови встановлення гарантій (наприклад, кодування даних ключами, обов’язкової поінформованості суб’єкта щодо обробки пов’язаних із ним даних, проведення оцінки впливу обробки безпосередньо до її початку тощо);
- за умови зворотності обмежувальних заходів (це означає, що після припинення дії обставин, що стали підставою для запровадження обмежувальних заходів і досягнення визначених цілей має бути відновлено звичайний режим захисту персональних даних у повному обсязі зі скасуванням винятків та обмежень, які застосовувалися під час надзвичайного стану).
GDPR
19 березня цього року Європейська рада з захисту даних (EDPB) також опублікувала відповідну заяву, у якій роз’яснила, що GDPR дозволяє компетентним органам охорони здоров’я та роботодавцям обробляти персональні дані в умовах епідемії згідно з національним законодавством і за визначених ним обставин. Наприклад, коли обробка є необхідною з міркувань значного суспільного інтересу у сфері охорони здоров'я.
GDPR аналогічно до Модернізованої Конвенції 108+ передбачає можливість відхилення від заборони обробляти чутливі категорії персональних даних, зокрема, даних про здоров’я, якщо це необхідно і становить значний суспільний інтерес у сфері охорони здоров'я (ст. 9.2.i), на підставі права ЄС чи національного законодавства або тоді, коли існує необхідність захисту життєво важливих інтересів суб'єкта даних (ст. 9.2.c), оскільки у пункті 46 GDPR чітко йдеться про боротьбу з епідемією.
Дані, що стосуються здоров’я.
За умови, що пріоритетність життя людини та дотримання професійних стандартів є основоположними цінностями у сфері охорони здоров’я, обробка даних, що стосуються здоров’я, має гарантувати повагу до прав та основних свобод кожного, зокрема повагу до права на приватність та захист персональних даних. Рекомендація CM/Rec(2019)2 стосовно обробки даних, що стосуються здоров’я, містить спеціальні положення у цій сфері і, зокрема, присвячена науковим дослідженням, що наразі є однією з ключових сфер міжнародної співпраці у боротьбі проти COVID-19.
Необхідно зазначити, що і GDPR містить положення, які фактично дозволяють обробляти персональні дані пацієнтів з метою наукових досліджень, спрямованих на досягнення нагальних цілей у сфері охорони здоров’я.
Отже GDPR дозволяє використовувати законно зібрані дані повторно для наукових досліджень без отримання згоди суб’єкта. Однак це можливо виключно за умови встановлення відповідних гарантій (ст. 5 (1) (b) та 89 (1) GDPR).
Водночас право особи заперечувати проти проведення наукових досліджень, до яких включено її дані, як і право вимагати видалення таких даних, обмежується у тому випадку, якщо існує значний суспільний інтерес, якого можна досягнути завдяки таким науковим дослідженням (ст. 21 (6), ст. 17 (1) (с) та 17 (3) (d) GDPR).
Проте у цьому контексті, варто зауважити, що GDPR дозволяє державам-членам встановлювати суворіші вимоги у сфері даних про здоров'я. Це означає, що згадані вище обмеження можуть і не застосовуватися або застосовуватися неоднаково у країнах ЄС.
Дані про місцезнаходження.
В умовах швидкого поширення COVID-19 дедалі більше держав вдаються до відстеження місцезнаходження та контактів своїх громадян із метою визначення локації потенційно інфікованих осіб. Зокрема, це реалізується шляхом обробки геолокаційних даних мобільного зв’язку, використання спеціальних мобільних додатків тощо.
Європейськими органами із захисту персональних даних наголошується на тому, що обробка великих обсягів персональних даних може здійснюватися тільки тоді, коли на основі наукових доказів потенційні переваги для охорони здоров’я населення від такого цифрового нагляду за епідемією переважають над іншими засобами, які передбачають менше втручання в особисте життя.
Водночас розробка таких засобів нагляду має базуватися на попередньому оцінюванні, тестуванні можливого впливу передбачуваної обробки даних на права та основоположні свободи суб’єктів персональних даних. А шляхи обробки даних мають проектуватися таким чином, щоб запобігти або мінімізувати ризик порушення прав та основоположних свобод.
Європейська рада з захисту даних (EDPB) зазначає, що державні органи повинні, насамперед, намагатися обробляти дані про місцезнаходження, знеособлюючи їх (тобто обробляти дані, зведені таким чином, щоб особи не могли бути ідентифіковані), що дозволило би створювати звіти про концентрацію мобільних пристроїв у певному місці («картографія»).
У випадку, коли неможливо обробити лише знеособлені дані, Директива Європейського Парламенту і Ради 2002/58/ЄС «Про обробку персональних даних та захист таємниці сектора електронних комунікацій» дозволяє державам-членам запровадити законодавчі заходи щодо обмеження сфери прав і обов’язків, охоплених Директивою, зокрема забезпечивши можливість зберігання окремих даних на обмежений період часу та за підстав, передбачених вказаною Директивою (ст. 15).
У підсумку варто зазначити, що відхилення від правил захисту персональних даних та обмеження прав, встановлених міжнародними документами, задля досягнення значного суспільного інтересу у будь-якому випадку може здійснюватися лише за умови дотримання керівних принципів захисту персональних даних, зокрема:
- принципу пропорційності та збалансованості прав, який означає, що обмежувальні заходи маютьвідповідати сутності основних прав і свобод та бути необхідними заходами у демократичному суспільстві;
Тобто ті чи інші обмежувальні заходи вживаються за умови доведеності їх потенційної переваги для цілей охорони здоров’я населення над тими засобами, які передбачають менше втручання в особисте життя.
- принципу мінімізації даних та цільового обмеження, який полягає у тому, що обсяг даних обмежується необхідністю в них для досягнення чітко визначених цілей;
Наприклад, опрацювання персональних даних для досягнення значного суспільного інтересу, цілей наукового чи історичного дослідження може здійснюватися, якщо контролером (володільцем персональних даних) попередньо було оцінено можливість реалізації таких цілей за допомогою опрацювання лише знеособлених даних, та за умови, що існуватимуть відповідні гарантії (такі як, наприклад, використання псевдонімів до даних).
- законності, правомірності та прозорості, який означає, що персональні дані мають опрацьовуватись на законних підставах, у законний, правомірний і прозорий для суб’єкта даних спосіб;
- принципу обмеженого зберігання, який полягає у тому, що персональні дані можуть зберігатися у формі, що дозволяє ідентифікацію суб’єктів не довше, ніж це є необхідним для цілей їхнього опрацювання;
Персональні дані можуть зберігатися протягом більш тривалих періодів, проте доти, доки вони опрацьовуються винятково для досягнення значного суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілей, і за умов вжиття відповідних технічних і організаційних заходів задля гарантування прав і свобод суб’єкта даних.
- принципу цілісності та конфіденційності, який означає, що персональні дані можуть опрацьовуватись у спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди, із застосуванням відповідних технічних і організаційних інструментів.
Уповноважений ВРУ з прав людини та Офіс Ради Європи в Україні нагадує, що за порушення українського законодавства у сфері захисту персональних даних зловмиснику загрожує не лише адміністративний штраф, а й позбавлення волі на строк від трьох до п'яти років!
Детальніше про відповідальність та штрафні санкції ви можете дізнатись з інфографіки нижче:
Якщо Ваші права було порушено, хтось незаконно розповсюдив ваші персональні дані, а ви не знаєте, що робити..
Надаємо алгоритм дій у таких випадках, а також розповідаємо, якими способами припинити подібні порушення у сфері захисту персональних даних:
Регіональне представництво
Уповноваженого в Івано-Франківській області
адреса: вул. Грушевського, 21/619, м. Івано-Франківськ,76004
електронна скринька: pred.ivanofrankivsk@ombudsman.gov.ua