COVID-сертифікати: як Україна і ЄС вирішують дилему захисту персональних даних
Необхідність розголошення інформації про вакцинацію, з якою ми стикаємося сьогодні щодня, спричинила в Україні жваву дискусію правників і спротив громадськості. Причина – право людини на забезпечення конфіденційності своїх персональних даних.
Україна
Відповідно до статті 39-1 Закону України «Основи законодавства України про охорону здоров’я», пацієнт має право на таємницю про стан свого здоров'я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані у результаті медичного обстеження. Така інформація охоплюється поняттям «лікарська таємниця». Аналогічно тлумачить «таємницю про стан здоров’я» і стаття 286 Цивільного кодексу України. Сертифікат про вакцинацію не містить інформацію ані про стан здоров’я, ані про факт звернення за медичною допомогою, ані про відомості, одержані при медичному обстеженнні. Таким чином, він не є документом, що містить медичну таємницю, а лише підтверджує факт вакцинації.
Разом з тим, інформація про статус вакцинації віднесена законодавством до іншої (ширшої) категорії - персональних даних. Персональними даними, відповідно до Закону України «Про захист персональних даних», визнаються відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Цим законом передбачені правила обробки персональних даних, що стосуються здоров’я людини. Зокрема, зазначається, що обробка таких даних здійснюється за умови надання суб’єктом персональних даних згоди на це, або якщо це необхідно для здійснення прав і виконання обов’язків суб’єкта у сфері трудових відносин.
Тут доречно пояснити, яким чином відбувається формування ковідного сертифікату. Цей документ створюється уповноваженою установою на запит громадянина, який одночасно слугує його згодою на передачу та поширення уповноваженій установі персональних (у тому числі медичних) даних. Таким чином, великих сумнівів щодо правомірності обробки персональних даних установою, що формує ковідний сертифікат, у мене не виникає. Інакше виглядає інша сторона питання: розголошення персональних даних щодо особи та факту її вакцинації у момент пред’явлення ковідного сертифікату третім особам (зокрема, представникам правоохоронних органів і суб’єктів господарювання).
Відповідно до положень Постанови Кабінету Міністрів № 677, органи, уповноважені здійснювати контроль за дотриманням карантину під час епідемій, мають право перевіряти сертифікати. Постанова уряду № 1236 зазначає, що одним з таких органів є поліція. Такі повноваження натомість прямо не закріплені в законі, а тому є підстави стверджувати, що делегування їх органам Національної поліції на основі рішення уряду відбувається у спосіб, що не є бездоганним з огляду на загальні принципи формування законодавства.
Окрім того, питання розголошення персональних даних постає у контексті пред’явлення ковідних сертифікатів на запит інших осіб (зокрема, працівників торгових центрів, ресторанів та інших місць, відносно яких в умовах «червоної» зони була запроваджена вимога щодо 100%-го рівня вакцинації відвідувачів і персоналу). У цьому випадку кожен має право відмовити у розголошенні своїх персональних даних, усвідомлюючи при цьому імовірність бути недопущеним у приміщення такого закладу. Іншим обговорюваним сьогодні питанням є надання ковідного сертифікату на запит роботодавця.
Коли доказ про вакцинацію стає вимогою для допуску у приміщення або до виконання своїх службових обов’язків, ми можемо обирати, чи хочемо зберегти у конфіденційності цю інформацію або готові піти на її розкриття. Щоправда, в умовах карантинних обмежень наше право на конфіденційність не може бути абсолютним, адже інша сторона, яка висуває вимогу пред’явити сертифікат, обтяжена відповідальністю, а це значить, що вона змушена діяти у найраціональніший для неї спосіб з-поміж тих, які доступні у межах чинного законодавства.
Правове поле, яке регулює зазначені питання в Україні далеке від бездоганності. Законодавству України притаманний тільки базовий рівень захисту персональних даних, абстрактне (позбавлене конкретизації) визначення поняття «медична таємниця» та застарілі норми Кодексу законів про працю. Ця ситуація ускладнюється наявністю численних прогалин у нашому законодавстві, які утворюються сьогодні щодня у зв’язку з тим, що правове поле не встигає реагувати на виклики реалій. Такий стан речей в умовах пандемії COVID-19 є цілком закономірним для України і означає лише одне – нагальну потребу в адаптації норм законодавства до вимог часу.
Європейський Союз
Питання захисту персональних даних у контексті розголошення інформації про вакцинацію зацікавило мене передусім з огляду на тенденцію формування у європейських країнах жорсткого правового поля у цій галузі. За цією тенденцією юристи уважно спостерігали від часу запровадження Загального регламенту ЄС про захист даних (General Data Protection Regulation GDPR) – документу, відомого правникам з 2016 р. своїми вибагливими правилами. Яким чином пандемія COVID-19 кинула виклик цьому революційному акту з його високими стандартами захисту персональних даних і як відреагували країни ЄС на потребу негайного розв’язання дилеми недоторканності приватної інформації?
У червні цього року ЄС ухвалив Регламент для цифрових COVID-сертифікатів (Regulation for Digital Covid Certificates), яким затвердив порядок обробки персональних даних, що використовуються для випуску сертифікатів про вакцинацію. Відповідно до Регламенту, правовими підставами для обробки персональних даних при випуску ковідних сертифікатів є:
1) Стаття 6(1)(с) GDPR – обробка здійснюється у суспільних інтересах або для виконання повноважень органів держави;
2) Стаття 9(2)(g) GDPR – обробка необхідна у зв’язку із суспільною потребою, на підставі законів країн-учасниць ЄС; здійснюється із дотриманням принципів пропорційності заявленій меті, поваги до права на захист персональних даних й забезпечення основних прав і свобод суб’єкта даних.
Визначаючи процедуру перевірки статусу вакцинації своїх громадян, уряди країн ЄС також керуються положеннями Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108+). З приводу викликів пандемії Комітет Конвенції 108+ Ради Європи визнав необхідність обмеження прав на захист персональних даних, хоча й наголосив на важливості ретельної оцінки пропорційності та ефективності такого обмеження.
Отже, розбудова алгоритму перевірки статусу вакцинації громадян у ЄС не становить нездоланної проблеми ані для суб’єктів господарювання, які можуть потребувати такої інформації від своїх відвідувачів (ресторани, торгові центри тощо), ані для роботодавців. При вирішенні цього питання країни ЄС схиляються до цифрових рішень збору інформації і керуються наступними аспектами захисту персональних даних:
1) Обмеженість у часі: період зберігання персональних даних, що збираються, має бути обґрунтовано обмеженим.
2) Юридично обґрунтована мета: мета обробки даних має має бути чітко визначена і ґрунтуватися на певній нормі законодавства.
3) Пропорційність заходів та постійна оцінка їх ефективності: пропорційність визначається ефективністю і означає можливість припинити застосування певного заходу у випадках відсутності доказів ефективності.
4) Прозорість і зрозумілість операцій обробки даних: найбільшою мірою цей аспект стосується низки вимог щодо застосування автоматичних засобів зчитування інформації.
5) Підзвітність контролерів даних та оцінка впливу ефективності заходів захисту персональних даних.
Показовим у цьому контексті став досвід Італії. Політичні дебати щодо запровадження «зелених сертифікатів» у цій країні завершилися перемогою імперативності сертифікатів як необхідної умови допуску всіх працівників у приміщення роботодавця. Закон набув чинності у вересні цього року, нова процедура запрацювала як у державному, так і в приватному секторі Італії. Ризики розголошення персональних даних мінімізували: QR-код, сгенерований мобільним додатком, містить обмежену до мінімуму інформацію (ім’я особи і термін дії сертифікату).
Такий підхід застосував і Люксембург. Додаток Covid Check, який з жовтня застосовується у цій країні для підтвердження факту вакцинації, працює таким чином, що зводить до нуля всі ризики обробки персональних даних. Оскільки операція сканування QR-коду не супроводжується збереженням жодної інформації про особу, вона не може вважатися обробкою персональних даних.
Не всім країнам поки що вдалося запровадити ефективну процедуру перевірки статусу вакцинації. На заваді зазвичай стоять політичні інтереси противників карантинних заходів, які не бажають рухатися шляхом розвитку права. Такі результати сьогодні демонструє Польща. Її уряд зіткнувся зі звинувченнями у неправомірності розголошення інформації про вакцинацію. Упродовж кількох місяців Міністерство охорони здоров’я цієї країни займалося правовим врегулюванням цього питання, а потім припинило роботу над відповідним законом з огляду на спротив громадськості. Думки спільноти з цього питання розділилися: роботодавці, занепокоєні перспективою закриття своїх компаній у зв’язку з неможливістю забезпечення належних умов праці, висловлюються з приводу необхідності перевірки статусу вакцинації; профспілки і деякі працівники заявляють про дискримінацію і сегрегацію.
Цей стислий аналіз є ілюстрацією рішучої стратегії протидії коронавірусу та інноваційної тактики нормотворчості деяких країн ЄС в умовах пандемії COVID-19. При розбудові законодавства більшість європейських країн виходять із суспільних інтересів як виправданої мети обмеження деяких індивідуальних прав. Виявляється, навіть суворий GDPR не може стати на заваді обмеженню прав на захист персональних даних, коли йдеться про нагальну потребу адаптації законодавства до вимог часу. В інших країнах нерідко перемогу здобувають ті, хто віддають перевагу уявній «стабільності» норм права: для них буква закону зазвичай превалює над його головним призначенням.