Глобальный вызов VS приватность: персональные данные в условиях пандемии
LIGA.net публікує серію колонок про те, як бізнесу протистояти коронавірусу та працювати в умовах жорсткого карантину, слабкої договірної дисципліни, кризи довіри, нерозвиненого електронного документообігу, відсутності цифрового нотаріату та електронного суду.
Колонку про те, як в умовах карантину налагодити електронний документообіг та договірні правовідносини, читайте тут. Про ефективне управління компанією, командою та процесами з дому - тут. Про зміну законодавства в період карантину - тут. Про карантин, як форс-мажор, та як організувати роботу своїх працівників з дому - тут. Про обов’язки роботодавців і працівників, дистанційна роботу і гнучкий режим, віддалене підписання кадрових документів та вимірювання температури працівників - тут.
Написано у співавторстві з Дмитром Павленком, директором податково-юридичного департаменту Делойт в Україні, адвокатом, к.ю.н.
Цивілізований світ упродовж останніх десятиліть розвивав свої правові системи, базуючись на гуманістичних цінностях, на особистості, її правах та свободах. В історію глобальної цифровізації та відкритості ці системи вибудували захист персональних даних, що призвело, зокрема, до прийняття General Data Protection Regulation (GDPR). Сьогодні цей захист зіштовхнувся з безпрецедентним випробуванням у вигляді пандемії на рівні держав та бізнесів-роботодавців. І не всюди встояв.
Глобальні тренди
Смартфон став ключовим джерелом персональних даних населення. Дані GPS, Wi-Fi, Bluetooth, мобільної мережі дозволяють з точністю до будинку визначити місцеперебування. В умовах пандемії уряди по-різному використовують ці дані для аналізу і прогнозування.
Відомий своєю консервативністю регулятор Великобританії погодив використання лише знеособлених даних геолокації смартфонів для відстеження, як люди дотримуються правил карантину. Аналогічне рішення було прийняте у Німеччині, Італії та Бельгії.
Читайте нас в Telegram: проверенные факты, только важное
Технологічно, знеособлення означає видалення часток інформації, що дозволяють асоціювати дані з конкретною людиною. Юридично такі дані не є персональними, що виводить їх за межі регулювання GDPR та більшості національних законів.
Утім, знеособлення є доволі ризиковим методом, адже в сукупності з іншими даними особу інколи можливо ідентифікувати. Наприклад, знеособлені дані з фітнес-трекера Strava, у 2017 році дозволили виявити місцезнаходження кількох військових баз США.
Європа очікувано обрала ліберальний підхід, дозволивши обробляти здебільшого знеособлені дані та лише за умови дотримання принципів ненадмірності і пропорційності, що визначені у статті 5 GDPR.
Останній прямо вказує на можливість обробки персональних даних для моніторингу епідемій: "(…) обробка може слугувати як важливим суспільним інтересам, так і життєво важливим інтересам суб'єкта даних, наприклад, коли обробка необхідна для (…) моніторингу епідемій" (пункт 46 преамбули).
Найбільш лаконічно політику ЄС у сфері приватності відображає цитата віце-президента Європейської комісії з питань цінностей і транспарентності Вери Йоурови (Věra Jourová): "Ми однозначно не підемо шляхом Китаю чи Ізраїлю, де використання технологій для відстеження людей виходить за рамки того, що ми хочемо бачити в Європі".
Читайте также - Как организовать работу компании со штатом в 9000 человек. Опыт Ferrexpo
Які технології спричинили категоричні висловлювання єврокомісарки, котра увійшла до рейтингу "100 найвпливовіших людей" 2019 року журналу Time за сприяння прийняттю GDPR?
Китай та Ізраїль використовують мобільні застосунки для стеження за пересуванням населення. Служба безпеки Ізраїлю використовує персоналізовані дані геолокації смартфонів, аби визначати осіб, які перебували біля інфікованих, а Міністерство охорони здоров’я надсилає їм текстове повідомлення, що інформує про зафіксований контакт і наказує самоізолюватися.
Політика обробки персональних даних у Китаї варта окремої уваги. Неоднозначні з точки зору приватності методи були відомі жителям Піднебесної й раніше. Яскравим прикладом є система "соціального кредиту". Цього разу населення зобов’язали використовувати мобільний додаток, який аналізує історію пересування користувача і призначає йому QR-код відповідного кольору – зеленого, жовтого або червоного. Це інформує про ймовірний стан здоров’я людини.
Ваш QR-код – це своєрідний додатковий квиток для доступу до метро чи іншого громадського місця. Якщо не отримали "омріяний" зелений, вільно пересуватися не зможете, а результати надійдуть до поліції для контролю.
Чи є демократичними та ненадмірними превентивні заходи, що мають ознаки стеження?
Кожне суспільство та уряд повинні знайти відповідь з огляду на власну систему цінностей. Необхідно врахувати рівень загрози, що нависає над окремою державою, і дотримуватись принципу мінімізації обробки даних. Але якщо уряд бере на себе відповідальність за дані всього населення та утримується від зловживання своїми надможливостями, питання може зазвучати інакше. Чи не є особистим інтересом кожної людини бути поінформованою про свій рівень ризику зараження? Наприклад, у випадку нещодавнього контактування з інфікованим.
Який шлях обрала Україна
Міністерство цифрової трансформації України запустило мобільний додаток для моніторингу за дотриманням режиму самоізоляції громадянами, які зобов’язані його дотримуватися. За допомогою додатку особа реєструється у місці проходження ізоляції, і їй кілька разів на день приходитимуть сповіщення про необхідність завантажити підтвердження перебування вдома (FaceID, селфі та разове зняття геолокації). Фото перевірятимуться на достовірність за допомогою штучного інтелекту.
Читайте также - Повышенный спрос на товары прибавил работы АМКУ. Как не попасться в его руки
В основу концепції українського додатку, за словами Мінцифри, ліг досвід Китаю, Ізраїлю (саме тих країн, де "використання технологій для відстеження людей виходить за рамки того, що хочуть бачити в Європі"), а також Південної Кореї, Польщі та Грузії. Цікаво, що встановлення застосунку є добровільним.
Виклики українських роботодавців
У боротьбі з коронавірусом та економічною кризою бізнес, як завжди, має сподіватися сам на себе. В тому числі, дбати про людей: забезпечити працівникам безпечні умови праці – прямий обов’язок роботодавця (ст. 153 КЗПП). Втім законодавство не називає заходи, що можуть впроваджуватися на виконання обов’язку. Збільшують невизначеність обмеження Закону про захист персональних даних (далі – "Закон").
Закон дає можливість обробляти дані про здоров’я працівників, коли це необхідно "для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту" (ст. 7).
Читайте также - Время перемен: какие компании получат все лавры после коронакризиса
Регулятори не визначили, яка обробка даних необхідна для виконання обов’язку роботодавця забезпечити працівникам безпечні умови праці під час боротьби з поширенням коронавірусу. Тому бізнес поки діє на власний розсуд.
Відносно легше в частині дотримання законів тим компаніям, які пішли на жорсткий карантин. Але багато бізнесів працює, зокрема великі виробництва.
Регулярне вимірювання температури і контроль інших симптомів, обов’язкове заповнення опитувальника про перебування за кордоном – лише деякі з найпоширеніших заходів роботодавців. Більшість з них потребують обробки даних. Відкритим питанням залишається їх законність.
Як боротися з поширенням вірусу не порушуючи права працівників на приватність
1. Правильна підстава для обробки
Закон про захист персональних даних надає роботодавцю можливість обирати з двох підстав для обробки даних про здоров’я: згода працівника або якщо це необхідно для реалізації обов’язків роботодавця у сфері трудових відносин (ст. 7). В контексті відносин з працівником згода може бути визнана недійсною через дисбаланс між роботодавцем, який запитує згоду, і працівником, який може відчути вимушеність її надати.
Більше того, згоду можна в будь-який момент відкликати, що може стати перешкодою реалізації заходів.
Тому рекомендуємо обробляти дані працівників тоді, коли законодавством встановлені права чи обов’язки роботодавця, які неможливо виконати без такої обробки. Тут у нагоді стануть норми трудового законодавства. Наприклад, роботодавець зобов’язаний забезпечити безпечні умови праці (ст. 153 КЗПП).
Читайте также - Подстраивайся или смерть: вы даже не представляете, как коронавирус меняет мир
2. Нічого зайвого
Бізнес повинен у кожному випадку проаналізувати, чи не будуть заплановані заходи надмірним втручанням у приватність працівників.
Збирайте лише ті дані, які є мінімально необхідними для досягнення мети, шукайте способи досягти її меншим втручанням в особисте життя працівників. Також одразу видаляйте дані, в яких немає потреби.
3. Поінформований значить озброєний
Не забудьте повідомити працівників про склад та зміст зібраних даних, їхні права, мету обробки та осіб, яким передаватимуться дані (ст. 12 Закону). Закон не встановлює вимоги до форми такого сповіщення. На практиці це може бути розсилка на корпоративну пошту, ознайомлення з наказом про впровадження превентивних заходів та інші способи.
Правильна комунікація допоможе прояснити необхідність превентивних заходів, таких як вимірювання температури, самостійне повідомлення про наявність характерних симптомів чи відвідування країн з високим рівнем поширення вірусу.
Побудуйте з працівниками партнерські відносини у боротьбі з поширенням вірусу. Це закладено навіть у КЗПП, що встановлює обов’язок працівників співпрацювати з власником для організації безпечних та нешкідливих умов праці (ст. 159).
4. Медичні огляди
Закон визначає категорії працівників, для яких медичні огляди є обов’язковими (ст. 169 КЗпП, ст. 21 ЗУ "Про захист населення від інфекційних хвороб"). Для інших можливі добровільні огляди, особливо якщо працівники працюють не віддалено.
Це узгоджується і з Постановою КМУ №255: якщо особа має ознаки захворювання на COVID-19, вона підлягає обов’язковому медичному огляду, за результатами якого може бути направлена на самоізоляцію.
Більше того, КМДА зобов’язала керівників бізнесів, які приймають відвідувачів, але не йдуть на карантин (наприклад, у сфері торгівлі продуктами харчування), забезпечити щоденне вимірювання температури всім працівникам.
Якщо медичні огляди проводить третя сторона (надавач медпослуг ), така особа не має права повідомляти роботодавцю результати медичного огляду. Для багатьох це може бути несподіванкою, але стан здоров’я – це лікарська таємниця.
Присоединяйтесь к Instagram Liga.net - здесь только то, о чем вы не можете не знать
Закон забороняє надавати таку інформацію за місцем роботи без згоди працівника (ст. 39-1 Основ законодавства про охорону здоров'я), але очевидно, що роботодавець хоче її знати. Щоб отримати цю інформацію законно, необхідна згода працівника, яка прямо передбачатиме дозвіл повідомити вам результати медогляду.
Отже, роботодавцю необхідно втримати баланс між правом на приватність і виконанням свого важливого обов’язку – захист здоров’я усіх співробітників та оточуючих. Для цього варто дотримуватись закону: запитуйте згоду працівника на розголошення вам лікарської таємниці, проведення добровільного медичного огляду тощо.
Чи "одужає" приватність від обмежень
Уряди та бізнеси у всьому світі використовують персональні дані для боротьби з пандемією. І далеко не всюди вони хочуть (чи навіть можуть) дотримуватись права на приватність з огляду на безпрецедентність ситуації та заходів, що вживаються. Переважно такі (іноді сумнівні з точки зору приватності) заходи виправдовуються необхідністю захистити життєво важливі інтереси та громадське здоров’я.
Права людини переживають чи не головне своє випробування з моменту закріплення у Загальній декларації про права людини (1948) та Європейській конвенції з прав людини (1950). Зараз важко передбачити, який удар COVID-19 завдасть праву на приватність, адже це перша пандемія такого масштабу з часів прийняття цих документів.
Чи зможе ситуація повернутися на "докоронавірусні" позиції після закінчення пандемії? Як зміниться світ і ставлення до прав людини? Сподіваємось, пандемія швидко мине, та принаймні у світі розвинутих демократій (і в Україні, яка туди прагне), приватність "одужає" від обмежень.
P.S.: Вже під час публікації статті, КМУ прийняв постанову від 22 квітня 2020 року №291, якою врегулював деякі питання обробки персональних даних під час карантину. Зокрема визначено межі доступу працівників мед.закладів, Національної поліції, Національної гвардії, Мінцифри, МОЗ до персональних даних, що зберігаються у додатку "Дій вдома" (додаток для контролю за додержанням умов самоізоляції).