Як поєднати гуманітарну допомогу і захист персональних даних? Висновки дослідження Freerights
Тема надання гуманітарної допомоги постійно перебуває на порядку денному. І одним з актуальних питань тут лишається захист даних тих вразливих груп, які найбільше потребують допомоги під час збройного конфлікту. Ми вже говорили про те, в чому полягають виклики належного оформлення згоди особи на оброблення її персональних даних. Утім, іншою стороною медалі є дослідження того, як самі організації діють під час виконання гуманітарних функцій та чи здатні вони ефективно захищати дані та дотримуватися стандартів.
Щоб дати відповідь на це питання, експерти правозахисної асоціації Freerights підготували дослідження “Симфонії захисту персональних даних: на сцені гуманітарні організації”, спрямоване на те, щоб зробити своєрідний “краш-тест” політик захисту даних гуманітарних організацій та зрозуміти, як можна поліпшити ситуацію з персональними даними в контексті надання гуманітарної допомоги. З’ясуймо, якими були ключові висновки, зроблені під час дослідження.
Режим воєнного стану – кінець персональним даним?
Порядок введення воєнного стану регулюються Законом “Про правовий режим воєнного стану“. Серед можливих заходів, які стосуються приватності, передбачається можливість перевірки документів, речей і житла, а також “інші заходи, передбачені нормами міжнародного гуманітарного права“, які часом стосуються передання персональних даних. Після початку повномасштабного вторгнення на підставі пропозиції Ради національної безпеки і оборони України президент видав Указ “Про введення воєнного стану в Україні“. Відповідно до указу Кабмін мав розробити план забезпечення й запровадження заходів воєнного стану. Після затвердження указу відповідним законом уряд розробив такий план, але про дотримання прав людини в ньому було лише декілька рядків, ще менше з них стосувалися приватності. Як наслідок, ані на рівні президентського указу, ні в плані дій уряду немає жодних додаткових обмежень щодо персональних даних. Це означає, що обмеження права на приватність, які виходять за межі таких заходів, мають бути передбачені законами й послуговуватися загальними вимогами Закону “Про захист персональних даних”.
Міжнародні стандарти і де їх шукати
Основоположним документом є Довідник щодо захисту даних під час гуманітарних акцій, розроблений Міжнародним комітетом Червоного Хреста. Передумовою його напрацювання стала потреба поєднати правові режими права з прав людини та гуманітарного права, які одночасно діють під час збройних конфліктів. У цьому документі, як і в багатьох схожих міжнародних рекомендаційних документах, надано перелік принципів, якими мають керуватися організації під час гуманітарних акцій. Це, зокрема, принцип законності роботи з даними, принцип пропорційності, принцип мінімізації даних, принцип підтримання належної якості даних та, звісно ж, принцип безпеки і захищеності. Схожий перелік надав і Офіс ООН з координації гуманітарних питань, який у Керівництві щодо відповідальної роботи з даними наголосив на необхідності орієнтувати процеси роботи з персональними даними в гуманітарному секторі на захист прав людини. Окрім того, він категоризував усі принципи за трьома основними напрямами.
|
Безпека |
Етичність |
Ефективність |
|
Юридична та технічна безпека даних на всіх етапах їхнього оброблення |
Дотримання принципів етики даних та етики роботи в гуманітарному секторі |
Здатність досягнути мети збору даних |
Загалом більшість міжнародних організацій, що розробляють стандарти в цій сфері, пропонують досить загальні рекомендації, адже значною мірою зважають на розвиток технологій і постійну зміну способів надання допомоги. Ба більше, залежно від контексту, в якому оперують надавачі гуманітарної допомоги, суттєво різняться її форми й види. Тому більшість регуляторних актів і рекомендаційних документів є загальними за своєю природою.
Застарілий Закон “Про захист персональних даних” і куди його подіти
Дані, які збирають організації для надання гуманітарної допомоги, переважно мають на меті ідентифікацію особи, щоб уникнути повторного надання одноразової грошової допомоги, надання допомоги для дітей родинам, які її не мають тощо. І хоча від типу допомоги залежить обсяг і вид зібраної інформації (так, ПІБ, номер паспорта чи телефон збирають практично завжди), до її оброблення завжди застосовуватиметься законодавство про захист персональних даних. Тобто обробляти персональні дані можна лише за умови, якщо наявна одна з підстав, передбачених статтею 11 закону.
Релевантні підстави для оброблення (збору, зберігання, передання тощо) персональних даних у контексті роботи гуманітарних організацій під час надання ними допомоги:
- згода суб’єкта персональних даних на оброблення його персональних даних;
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на його користь;
- захист життєво важливих інтересів суб’єкта персональних даних.
У дослідженні ми детально аналізуємо, чи чинне законодавство здатне належно відобразити суспільні реалії щодо надання гуманітарної допомоги, а також виклики, які постають на практиці під час збирання, зберігання і передання даних. Таких викликів в Україні, на жаль, наразі існує чимало, особливо з огляду на відносне небажання законодавця оновлювати Закон “Про захист персональних даних” і погоджувати його із Загальним регламентом про захист даних (GDPR).
Між Сциллою і Харибдою: гуманітарні організації в теорії і практиці
Для зручності аналізу ми виокремили чотири основні категорії організацій, які виконують гуманітарні функції. Розподіл за категоріями залежав від особливостей правового регулювання їхньої діяльності (зокрема, питання юрисдикції), порядку формування й адміністрування, способу надання гуманітарної допомоги, а також масштабів роботи організацій. Так, дослідження оцінює політики й практики міжурядових організацій, міжнародних, іноземних і національних гуманітарних організацій. Наводимо коротко основні висновки щодо викликів, з якими вони стикаються.
- Міжурядові організації. Переважно такі організації мають досить детальні політики захисту даних, проте з огляду на обсяги інформації, з якою вони працюють, вони часто стають обʼєктами хакерських атак. Ба більше, часто існує проблема незастосування політик до онлайн-додатків, які, втім, збирають дані.
- Міжнародні неурядові організації. Ці організації також мають досить детальні політики захисту даних, крім того, розробляють більшість рекомендаційних документів щодо захисту даних під час гуманітарних акцій. Водночас застосування всіх таких стандартів на практиці залишається значним викликом, адже часто організації не здатні адаптувати стандарти до тих засобів, які вони використовують для збору персональних даних. Утім, ситуація все ще є кращою в порівнянні з усіма іншими категоріями.
- Іноземні організації. Організації, які працюють у багатьох регіонах, переважно мають детальні та добре пропрацьовані політики захисту даних. Втім, часто викликом є вибір застосовного законодавства (особливо якщо ці організації перебувають поза територією ЄС та не підпадають під дію Загального регламенту про захист даних). Водночас регіональні та місцеві гуманітарні організації рідше потерпають від кібератак.
- Національні організації. Зважаючи, що кількість національних гуманітарних організацій досить стрімко зросла з початком повномасштабного вторгнення, якість їхніх політик захисту даних дуже сильно варіюється. Наприклад, деякі місцеві організації взагалі не повідомляють отримувачів допомоги про порядок і обсяг збору даних, можливість їхнього передання тощо. Також багато організацій не мають політик у загальному доступі, послуговуючись лише правилами конфіденційності під час використання їхнього вебсайту. З огляду на те що такі організації мають найбільшу присутність “на місцях” і особливо в прифронтових та прикордонних регіонах, їм особливо важливо гарантувати юридичну і фізичну безпеку даних. Іншою проблемою є надмірні вимоги донорів щодо збору персональних даних для цілей звітування.
В результаті можемо побачити, що на кожному рівні існують досить унікальні проблеми, втім найбільшим викликом переважно є взаємодія між стейкхолдерами та обмін досвідом, а також покладання на треті організації для зберігання та передання даних.
Вагон і маленький візочок рекомендацій
Дослідження політик захисту персональних даних і практик їхнього застосування показало, що часто сумбур під час початку або загострення збройних конфліктів призводить до зміщення акцентів – організації, що опікуються наданням гуманітарної допомоги, більше переживають за те, щоб таку допомогу отримали. Як наслідок, увага до захисту даних, обсягів отриманих даних та способу їхнього збору є значно меншою. Аналогічне ставлення і з боку отримувачів допомоги: часто люди не замислюються над тим, що інформація про них може потрапити не в ті руки, адже важливіше одержати речі першої потреби. Зрештою, проблема полягає й у вимогах донорів, які, прагнучи контролювати порядок надання гуманітарної допомоги, часто наражають її отримувачів на небезпеку.
Саме тому потрібно, щоб усі сторони, залучені до процесу надання і отримання гуманітарної допомоги, вживали необхідних заходів для захисту персональних даних. Для цього автори дослідження “Симфонії захисту персональних даних: на сцені гуманітарні організації” розробили низку рекомендацій, спрямованих на покращення регуляторних практик, політик захисту даних гуманітарних організацій та поведінки отримувачів допомоги.
Тетяна Авдєєва, експертка в галузі цифрових прав
Матеріал створено за фінансової підтримки Національного фонду на підтримку демократії (NED). Зміст матеріалу необов’язково відбиває офіційну позицію NED. Інформація чи погляди, висловлені в цьому матеріалі, є виключно відповідальністю його авторів.
