ОФ ГИИП подготовил анализ о соответствии законодательству применяемых мер по борьбе с COVID-19

14.04.2020

АНАЛИЗ

о соответствии законодательству Кыргызской Республики 

в сфере защиты персональных данных и кибербезопасности

«Обязательства о соблюдении правил карантина и принятии ограничений»

и мобильного приложения «Stop COVID-19 KG»

 

 

Общественный Фонд «Гражданская инициатива интернет политики» (далее — ОФ ГИИП) в отношении инициативы органов местного самоуправления г. Бишкек (МТУ) и Мэрия г.Бишкек  для лиц находящихся на домашнем карантине, подписания документа под названием «Обязательство о соблюдении правил карантина и принятии ограничений» (на русском/кыргызском языках),  обязательной установки мобильного приложения «Stop COVID-19 KG»[1] и отправке отчета о такой установке в виде скриншота экрана телефона на приложение Вотсап (WhatsApp).

ОФ ГИИП проанализировал на предмет соответствия требованиям действующего законодательства Кыргызской Республики  указанные документы, мобильное приложение, а также  изучил законность требований органов местного самоуправления.

Анализом указанных документов, требований, программного обеспечения, размещенного на маркетплэйсе Google Play, ОФ ГИПП отмечает, что со стороны мэрии г.Бишкек, МТУ, разработчиков программного приложения допущены грубые нарушения действующего законодательства Кыргызской Республики в сфере защиты персональных данных и кибербезопасности.

 

  1. В отношении мобильного приложения «Stop COVID-19 KG».

 

Изучив данные о мобильном приложении из открытых источников (из числа размещенных в Google Play), отмечаем, что указанный цифровой продукт связан с применением технологий цифрового контроля граждан с помощью их персональных данных.

При его разработке и внедрении усматриваются нарушения действующего законодательства Кыргызской Республики  в сфере персональных данных:

— не запрашивается согласие в электронном виде (подписанное электронной подписью) при вводе своих персональных данных;

— перечень персональных данных явно избыточен – номер телефона, ПИН/ИНН паспорта, ФИО, дата рождения – как все эти данные могут помочь в соблюдении карантинных мер или выявлении контактов не понятно;

— не заявлены и не указаны цели сбора и обработки персданных, в то время как ясность и законность целей и информированность субъектов об этом являются одними из ключевых принципов обработки персональных данных;

— возможность передачи третьим лицам, не ясно кому и в каких целях;

— не указан срок обработки персданных и период, как долго персональные данные будут храниться, когда и как будут уничтожаться/анонимизироваться и т.п.

Таким образом, государственные органы (перечень которых не ясен, поскольку обработчик вообще не указан – минздрав, ГКИТиС, МВД, ГКНБ – кто именно) получают персональные данные для контроля их передвижения с совершенно не ясными и не прозрачными целями сбора и обработки персональных данных, сроков обработки и хранения персональных данных, кто имеет к ним доступ и т.п..

Также не известно, как соблюдены требования кибербезопасности в отношении персональных данных и информационных систем, в которых они обрабатываются, как они защищены от утечек, по каким протоколам данные передаются, к открытом или зашифрованном виде, и т.п.

 

— Приложение имеет доступ к данным о местоположении (approximate location (network-based), precise location (GPS and network-based), номеру телефона, фото/мультимедиа/файлам, хранилищу, камере (делать фото и видео), микрофону (для записи аудио), данным о подключении по Wi-Fi, имеет разрешение предотвращения засыпания устройства, и другие. Указанные разрешения необходимо давать на все вышеперечисленные действия.

В описании к приложению владельцем («продавцом» по смыслу маркетплейса) указан МП «Центр цифровых технологий» мэрии города Бишкек, указано, что приложение разработано «при совместной работе разработчиков компании «Put In Byte», резидента «Парка высоких технологий» Кыргызской Республики и муниципального предприятия «Центр цифровых технологий» мэрии г. Бишкек».

Также в описании к приложению указывается, что «Данное мобильное приложение позволяет штабу., а также отдельным уполномоченным лицам контролировать местонахождение зараженного человека либо с подозрением на заражение коронавирусной инфекцией COVID-19 и отслеживать за его перемещением на карте. Для контроля и отслеживания на карте используется технология GPS. А также система позволяет сохранять историю перемещений.».

При этом из описания мобильного приложения, как и из политики конфиденциальности  в отношении обрабатываемых персональных данных невозможно установить перечень «отдельных уполномоченных лиц», которые будут контролировать местонахождение гражданина. Что касается указания на «штаб Кыргызской Республики по предупреждению проникновения на территорию страны и недопущению дальнейшего распространения коронавирусной инфекции» — то это достаточно многочисленный коллегиальный орган (28 человек), образованный распоряжением Правительства Кыргызской Республики от 20 марта 2020 года №171 в составе первых руководителей Правительства и входящих в его состав министерств и административных ведомств. Вряд ли Премьер-министр Кыргызской Республики, вице-премьер-министры, министры, председатели Госкомитетов, входящие в состав штаба, будут лично «контролировать местонахождение зараженного человека либо с подозрением на заражение коронавирусной инфекцией COVID-19 и отслеживать за его перемещением на карте». При таких обстоятельствах не ясно, кто является держателем персональных данных, кто обработчиком (осуществляет обработку персональных данных на основании договора, заключенного с держателем (обладателем) персональных данных), кому в итоге данные из приложения будут передаваться для «контроля» перемещений, кто эти загадочные «отдельные уполномоченные лица».

 

— Приложение предполагаем регистрацию пользователя, следовательно, сбор, обработку и использование персональных данных.

В размещенной «Политике конфиденциальности» (обязательное требование Google Play, далее — Политика), указано, что «Пользуясь мобильным приложением «Stop COVID-19 KG», Вы удостоверяете, что свободно и осознано признаете свое согласие с условиями политики конфиденциальности Разработчика в полном объеме.»; «Факт регистрации Пользователя в мобильном приложении означает выражение Пользователем безоговорочного согласия с настоящей Политикой и указанными в ней условиями обработки его информации.».

При этом отмечаем, что действующим законодательством Кыргызской Республики не предусмотрены вопросы дачи согласия на обработку персональных данных посредством конклюдентных действий (фактом регистрации в мобильном приложении), либо выражение лицом своей воли с помощью электронных или иных аналогичных технических средств (например, путем передачи сигнала, в том числе при заполнении формы в сети «Интернет», так называемые «свапы», нажатие на экране гаджета «галочки» и т.п.), эти действия не приравнены к соблюдению письменной формы согласия.

В силу требований ст. 9 Закона об ИПХ, Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных и дает согласие на их обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения. Персональные данные предоставляются субъектом лично либо через доверенное лицо. Согласие субъекта должно быть выражено в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.

Эти обязательные требования законодательства нарушены, как в приложении, так и в письменном обязательстве – оно проанализировано далее во втором разделе.

 

— Также в Политике указано, что «владелец мобильного приложения, а именно Разработчик, не передает и не предоставляет опубликованные Вами данные в мобильном приложении «Stop COVID-19 KG» третьим лицам.». Что не соответствует действительности, поскольку в описании приложения, как отмечено выше, речь идет о возможности контроля за перемещениями как минимум членами республиканского штаба по борьбе с распространением коронавирусной инфекции и ликвидации ее последствий на территории Кыргызской Республики в составе первых руководителей Правительства Кыргызской Республики, а также о некими «отдельными уполномоченными лицами» (кем и как уполномоченными – также не ясно).

 

— В политике указывается, что «Любая информация о Пользователе, которую получает Разработчик, используется исключительно в целях: предоставления услуг в виде данных местонахождения, аудио и видео второго связанного мобильного приложения; для иных целей, не противоречащих законодательству в сфере правового регулирования работы с персональными данными.».

Таким образом, предполагается по замыслу разработчиков, что целями сбора и обработки персональных данных о пользователях является «предоставление услуг о местонахождении» (кому: Штабу? отдельным уполномоченным лицам? самому пользователю?), а также «иные цели». Таким образом, заявленные цели сбора и обработки персональных данных являются не точными, размытыми, не определенными, что является нарушением п.2 ст. 4 Закона об ИПХ: Персональные данные должны собираться для точно и заранее определенных, объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями.

 

— Приложение отнесено к категории «Медицина», что вызывает вопросы в обоснованности. При этом, в силу ст. 8 Закона об ИПХ данные, касающиеся состояния здоровья, относятся к специальным категориям персональных данных, которые должны защищаться и обрабатываться особым образом, с особыми мерами кибербезопасности, сбор, накопление, хранение и использование таких данных исключительно в целях выявления этих факторов, не допускаются.

 

—  В целом, имеются вопросы, насколько соблюдены установленные законодательством Кыргызской Республики требованиям к кибербезопасности.

Так, в соответствии с п. 7 ст. 4 закона об ИПХ, «Персональные данные должны храниться и защищаться держателями (обладателями) массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.». Согласно п. 2 ст. 6 закона об ИПХ, «держатель (обладатель) персональных данных и обработчик обязаны обеспечивать охрану персональных данных во избежание несанкционированного доступа, блокирования, передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.».

Статья 21 закона об ИПХ устанавливает организационные и технические меры защиты персональных данных — держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В числе такие мер, установленных законом:

— исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);

— препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);

— препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены;

— обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);

— обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);

— обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);

— не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);

— обеспечить конфиденциальность информации, полученной при обработке персональных данных;

—  обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

— вести учет машинных носителей персональных данных;

— обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Также, в силу п. 3 ст. 21 закона об ИПХ, постановлением Правительства КР от 21 ноября 2017 года N 760 «Об утверждении Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных», утверждены соответствующие требования к каждому из уровней защищенности персональных данных при их обработке в информационных системах персональных данных, в зависимости от критериев и рейтинга угроз безопасности (синий, зеленый, желтый, красный) – в числе которых резервное копирование, применением шифровальных (криптографических) средств защиты информации, защита персональных данных от утечек по техническим каналам, ведение автоматического электронного журнала (лога), фиксирующего все операции с персональными данными, и др.

В связи с чем, совершенно не ясно, как разработчиками исполнены указанные нормы закона об ИПХ и постановления Правительства Кыргызской Республики № 760, о правовых, организационных и технических мерах к обеспечению безопасности собираемых персональных данных, в какой информационной системе они будут обрабатываться, к какому уровню защищенности персональных данных отнесен объем обрабатываемой персональной информации, как выполнены эти требования, проводился ли аудит мобильного приложения,  кем именно такой аудит проведен, каковы его результаты, а также иные характеристики мобильного приложения (кем оно разработано, кем принято в эксплуатацию, как защищена передача персональных данных и т.п.).

 

— Также, в соответствии с постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 762, утверждены Требования к защите информации, содержащейся в базах данных государственных информационных систем (далее – Требования к защите информации), обязательные для применения государственными органами, органами местного самоуправления, государственными и муниципальными предприятиями, организациями и учреждениями, финансируемыми из республиканского и/или местных бюджетов, являющимися владельцами и/или операторами государственных/муниципальных информационных систем.

В соответствии с п. 57 указанных Требований к защите информации, установлены требования к разрабатываемому или приобретаемому прикладному программному обеспечению, которые также предусматривают применение средств:

— идентификации и аутентификации пользователей, при необходимости электронной подписью, и регистрационных свидетельств;

— управления доступом;

— контроля целостности;

— журналирования действий пользователей, влияющих на кибербезопасность;

— защиты онлайновых транзакций;

— криптографической защиты информации с использованием средств криптографической защиты информации соответствующего уровня при хранении и обработке;

— журналирования критичных событий программного обеспечения;

Также установлены требования к кибербезоапсности, проведению аудита в период приемных испытаний передачу исходных программных кодов уполномоченному государственному органу.

С учетом указанных требований, обязательных для применения, также необходимо установить, как соблюдены указанные требования действующего законодательства Кыргызской Республики при разработке и приемке в эксплуатацию указанного мобильного приложения и самой информационной системы, в которой обрабатываются персональные данные. Проводился ли аудит (кем, когда, каковы его результаты).

 

— Если собираемые персональные данные будут передаваться любым третьим лицам (отличным от держателя) в силу п.2 ст. 24 Закона об ИПХ, Держатель (обладатель) массива персональных данных обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.

В соответствии с п. 12 и 13 Порядка получения согласия субъекта персональных данных на сбор и обработку его персональных данных, утвержденного Постановлением Правительства КР от 21 ноября 2017 года № 759, форма уведомления может быть сообщением по телефону, смс-сообщением, письмом, сообщением электронной почты по согласованию с субъектом персональных данных и на усмотрение держателя (обладателя) массива персональных данных. При этом держатель (обладатель) массива персональных данных при получении персональных данных должен запросить у субъекта персональных данных его контактную информацию, с использованием которой субъект в удобной для него форме может быть уведомлен о факте передачи его персональных данных третьей стороне.

Ничего не указано ни о возможной передаче персональных данных, ни о способе уведомления субъекта о факте такой передачи.

 

— В силу п. 1 ст. 27 Закона об ИПХ, персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики.

Как указывалось выше, не указаны цель сбора и обработки персональных данных, как и срока хранения персональных данных, который необходим только для достижения целей сбора. Закон также регламентирует порядок действий по уничтожению персданных по истечению срока их обработки/хранения.

 

— Гражданину (пользователю) также предлагается дать согласие на проведение телеметрических наблюдений посредством аудио/видено сессий.

Отмечаем, что в настоящее время законодательством Кыргызской Республики не регламентировано проведение телеметрических наблюдений за состоянием здоровья, закона о телемедицине с установлением возможности таких исследований, применения телемедицинских технологий, их случаи, специалисты, как сами разрешенные к применению технологии телеметрических обследований и применяемое оборудование, позволяющие дистанционно наблюдать за здоровьем (состоянием здоровья) пациента, нет и это никак не регламентировано.

В том числе законодателем пока не установлено, какое программное обеспечение для диагностики, наблюдения может быть использовано, а также ответственность за медицинское заключение по результатам такого удаленного наблюдения и консультации.

Не определено, где и какой период времени будут хранится данные, полученные в результате телемедицинских наблюдений, кто имеет право доступа к ним и в каком порядке и случаях.

Как указывалось выше, данные, касающиеся состояния здоровья, относятся к специальным категориям персональных данных, сбор, накопление, хранение и использование которых исключительно в целях выявления этих факторов, не допускаются.

В соответствии с п. 3 ст. 5 Конституции Кыргызской Республики, Государство, его органы, органы местного самоуправления и их должностные лица не могут выходить за рамки полномочий, определенных настоящей Конституцией и законами.

Поскольку закона, определяющего права, обязанности и полномочия государственных органов в сфере телемедицины, в Кыргызской Республике не существует, следовательно, все действия, направленные на сбор, накопление, хранение и использование особо чувствительных персональных данных с помощью телеметрии являются противозаконными и не могут применяться государственными органами /органами местного самоуправления.

В связи с чем, указанные требования и обязательства из документа должны быть исключены и не подлежат применению.

 

Как представляется, выполнение указанных требований является обязательным (императивным) для разработчиков, контроль за выполнением которых должен обеспечиваться Государственным комитетом информационных технологий и связи, учитывая, что в приложении обрабатываются и передаются персональные данные, часть из которых (медицинские, о состоянии здоровья) относятся к специальной категории.

 

Важно, что при любых ограничениях гражданских прав во время ЧС/ЧП должны быть оговорены условия их введения и прекращения.

 

Обращаем внимание инициаторов, что в соответствии с п. 2 ст. 4 Закона Кыргызской Республики «Об электронном управлении», физические лица вправе по своему усмотрению выбирать электронную или иную форму взаимодействия с государственными органами и органами местного самоуправления. Более того, в силу Закона, содержание и осуществление прав физических лиц не может быть поставлено в зависимость от того, в какой форме (электронной или иной) они осуществляют взаимодействие с государственными органами и органами местного самоуправления.

Учитывая, что право выбора взаимодействия (олайн или офлайн) законодательно установлено на усмотрение физического лица, а не самого государственного органа/органа местного самоуправления, граждане вправе заявить отказ от электронного удаленного взаимодействия с уполномоченными государственными структурами при соблюдении карантина/ограничительных мер, и о выборе офлайн формы взаимодействия с уполномоченными структурами.

 

Отмечаем, что технологии могут играть важную роль в глобальных усилиях по борьбе с пандемией COVID-19, однако это не даёт правительствам карт-бланш на расширение электронной слежки.

Усиление электронного слежения для решения чрезвычайной ситуации в области общественного здравоохранения может использоваться только при соблюдении определённых строгих условий. Государственные органы не могут просто игнорировать право на неприкосновенность частной жизни и должны обеспечить, чтобы любые новые меры обеспечивали надёжные гарантии прав человека. Везде, где правительства используют технологии как часть стратегии для победы над COVID-19, они должны делать это таким образом, чтобы права человека уважались.

Подчеркиваем, что любые меры по слежению должны определяться законом, преследовать законную цель общественного здравоохранения и быть соразмерны этой цели.  Меры расширенного электронного слежения должны быть ограничены во времени периодом борьбы с COVID-19. Правительство должно гарантировать, что собранные путём применения электронного слежения данные используются исключительно в целях борьбы с COVID-19, а также гарантировать защиту собранных персональных данных. Принимаемые меры должны включать механизмы отчётности и защиты от злоупотреблений.

 

Наши опасения и перечисленные нарушения законности подтверждаются распространяемым в сети Интернет, социальных сетях и мессенджерах видео с описанием работы приложения, фактическим разглашением особо чувствительных персональных (медицинских) данных, все возможные требования к кибербезопасности были нарушены – доступ к данным имеет кто угодно и в каких угодно целях.

Из видео можно определить, что сервер приложения находится по адресу https://covid.102.kg/IP адрес у хостинга – американский, принадлежит адрес сети Bank of America. Не ясно, как защищены компьютеры/рабочие станции, с которых предоставляется доступ. Судя по видео, на котором в браузере видны ссылки на игры и прочие не связанные со служебной деятельностью приложения, с указанной рабочей станции пользователь имеет возможность выхода в Интернет, что не исключает возможности «заражения» компьютера вредоносными программами (компьютерными «вирусами»). Это также является нарушением Требований к защите информации (постановление Правительства от 21 ноября 2017 года № 762), согласно которым (п.12): «Обработка и хранение информации для служебного пользования осуществляются на рабочих станциях, подключенных к локальной сети внутреннего контура государственного органа или органа местного самоуправления, организации, и не имеющих подключения к Интернет», что сделано в целях кибербезопасности.

 

Приложение в том виде, в котором оно используется, не достигает заявленных целей общественного здравоохранения и общественной безопасности (соблюдение карантинных мер). Оно не запрещает пользователям продолжать общаться или выходить из дома, нарушая карантинные ограничительные меры.

По сути, службам здравоохранения нужны данные только о том, с кем общались подозреваемые на COVID-19, но не где они бывали. Единственными личными (персональными) данными, которые нужны для этого – это номер телефона, который позволяет контактировать с людьми, чтобы он мог получать соответствующее руководство по соблюдению режима изоляции, и рекомендации от врачей по уходу за своим здоровьем. Необходимы жесткие требования к безопасности хранимых данных – например, временный идентификатор, сгенерированный путем шифрования идентификатора пользователя, хранимый ограниченное время (не более 15 минут); высоким должен быть и уровень безопасности сервера, на котором хранится и обрабатывается личная информация. Приложение должно вызывать доверие пользователей в том, что информация надежно защищена, никому не передается, и не будет использована им во вред.

 

В этой связи, ОФ ГИИП рекомендует кыргызстанским разработчикам и лицам, принимающим решения о внедрении цифровых механизмов контроля над своими гражданами, обратиться к более удачным примерам применения технологий: сингапурские разработчики приложения «BlueTrace» открыли  приложение и исходный код (разместив приложение с открытым исходным кодом на https://github.com/OpenTrace-community).

В этом приложении соблюдены все стандарты анонимности и приватности, BlueTrace — это защищающий конфиденциальность протокол для отслеживания контактов. Третьи стороны не могут использовать связь BlueTrace для отслеживания пользователей с течением времени. Временный идентификатор устройства часто меняется, не позволяя злоумышленникам отслеживать отдельных пользователей, их сообщения. В приложении ограниченный сбор личной информации (единственная информация, позволяющая установить личность, — это номер телефона, который надежно хранится органом здравоохранения). История встреч каждого пользователя хранится исключительно на его собственном устройстве. Орган здравоохранения имеет доступ к этой истории только тогда, когда зараженный человек решает поделиться ею. Пользователи могут контролировать свои личные данные. Когда они отменяют согласие, все личные данные, хранящиеся в органах здравоохранения, удаляются. Таким образом, вся история встреч перестанет быть привязанной к пользователю.

 

 

  1. По документу «Обязательство о соблюдении правил карантина и принятии ограничений»

 

Отмечаем, что указанный документ, на момент его изучения экспертами, принудительно предлагаемый к подписанию гражданами находящимися на домашнем карантине в связи с подозрением о контактах с носителями коронавируса COVID-19 или вернувшихся из стран с неблагоприятной эпидемиологической ситуацией по коронавирусу,  составлен с грубым нарушением требований Закона Кыргызской Республики «Об информации персонального характера» (далее – закон об ИПХ), указанные в нем обязательства, требования и сам якобы согласие на сбор, обработку и использование персональных данных не соответствуют закону об ИПХ, нормативным правовым актам Кыргызской Республики.

 

— Так, в соответствии с п. 2 ст. 4 закона об ИПХ, «Персональные данные должны собираться для точно и заранее определенных, объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями.». Исчерпывающий перечень правовых оснований осуществления работы с персональными данными указаны в ст. 5 закона об ИПХ.

Согласно п. 3 ст. 9 закона об ИПХ, «Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.

В данном случае ни мэрия, ни МТУ, ни какой-либо другой орган, включая разработчика программного приложения, не объявлял/не заявлял целей обработки персональных данных граждан, не информировал субъектов – граждан, о цели использования их персональных данных, и в документе они также не указаны.

 

— В соответствии со ст. 10 закона об ИПХ субъект персональных данных имеет право на получение от держателя (обладателя) массива персональных данных (МТУ, мэрии г.Бишкек) информации, касающейся обработки его персональных данных, содержащей:

а) подтверждение факта обработки персональных данных держателем (обладателем) массива персональных данных;

б) правовые основания и цели обработки персональных данных;

в) цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных;

г) наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;

д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

е) сроки обработки персональных данных, в том числе сроки их хранения;

ж) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;

з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

и) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.

Указанные требования Закона об ИПХ являются императивными/обязательными, не подлежащими сужению, а только дополнению.

Ничего из указанных в законе сведений в документе не представлено.

 

— Постановлением Правительства КР от 21 ноября 2017 года № 759 утвержден Порядок получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядок и форма уведомления субъектов персональных данных о передаче их персональных данных третьей стороне» (далее – Порядок), а также типовая форма согласия субъекта персональных данных на сбор и обработку его персональных данных.

Согласно п.8 указанного Прядка, согласие субъекта персональных данных должно содержать, в том числе:

— наименование или фамилию, имя, отчество и адрес держателя (обладатель) массива персональных данных или обработчика, получающего согласие субъекта персональных данных;

— указание на основание и цель сбора, использования, обработки персональных данных;

— наименование или фамилию, имя, отчество и адрес обработчика (при наличии);

— перечень действий с персональными данными, на совершение которых дается согласие, включая возможность передачи персональных данных третьей стороне, иное возможное использование персональных данных, общее описание используемых держателем (обладателем) массива персональных данных способов обработки персональных данных;

— срок, в течение которого действует согласие субъекта персональных данных, если иное не установлено Законом Кыргызской Республики «Об информации персонального характера».

В соответствии с п. 9 Порядка, согласие субъекта персональных данных предоставляется по типовой форме согласно приложению к настоящему Порядку.

Представленный для подписания документ не соответствует ни по форме, ни по содержанию установленной законодательством Кыргызской Республики форме согласия.

 

Таким образом, отмечаем, что все указанные выше обязательные требования законодательства в сфере персональных данных в данном случае грубо нарушены.

В связи с чем, документ подлежит приведению в соответствие с требованиями законодательства Кыргызской Республики об информации персонального характера (как по форме, так и по содержанию).

 

— В соответствии с п. 2 документа («Обязательство»), на подписавших его граждан также налагаются обязательства «обеспечить работоспособность мобильного устройства для работы приложений, поддерживать надлежащий уровень заряда батареи мобильного устройства, а также подключения к сети интернет».

Отмечаем, что граждане, как правило, не обладают соответствующей технической компетенцией для обеспечения работоспособности мобильного устройства в случае выхода его из строя (поскольку применяемые мобильные устройства, как правило, являются бывшими в употреблении, и гарантировать срок его надлежащей работоспособности граждане не могут).

Также не могут надлежаще гарантировать подержание надлежащего уровня заряда батареи устройства в случае отключения электроэнергии, поскольку этот вопрос не входит в зону ответственности пользователя, а зависит от третьих лиц (организаций, ответственных за поставку электроэнергии).

Вопрос постоянного подключения к сети интернет сопряжен с наличием или отсутствием у граждан соответствующих денежных средств на оплату такого доступа в интернет по тарифным планам операторов электросвязи.

Однако, в связи с введением на территории г. Бишкек и ряда территориальных субъектов Кыргызской Республики режима чрезвычайного положения и запретом в связи с этим функционирования любых коммерческих структур (кроме разрешенных), граждане в настоящее время лишены возможности получать какие-либо денежные средства за выполнение трудовых обязанностей, лишены работы и соответствующего заработка. При этом имеются соответствующие расходы на поддержание первоочередных нужд (на питание, медицинское обслуживание), к которым оплата услуг доступа в интернет не относится. Бесплатных тарифных планов с доступом в интернет этой категории граждан (которым предложены к подписанию Обязательства) не предоставлено.

В связи с чем, также обязательства, перечисленные в п. 2 документа, не могут быть приняты на себя гражданами, т.к. являются дискриминационными, обременительными и влекут дополнительные денежные расходы, которых у населения в условиях ЧП просто нет.

 

— Также отмечаем, что п. 1 документа предусмотрена обязанность «строго соблюдать законодательство Кыргызской Республики, инструкции, алгоритмы действий, утвержденные решением министерства здравоохранения Кыргызской Республики». Однако сами эти обязанности в документе не перечислены, как он (документ) не содержит и сведений (с подписью соответствующего лица) о надлежащем (под роспись) ознакомлении с указанными инструкциями и алгоритмами.

В связи с чем, требуя от граждан соблюдения требований действующего законодательства Кыргызской Республики, ограничительных мер, режима карантина/самоизоляции в соответствии с требованиями нормативных правовых актов Кыргызской Республики в области санитарно-эпидемиологического благополучия населения, как минимум граждане должны быть  проинформированы о таких требованиях к режиму и о нормативных правовых актах, их устанавливающих.

 

С учетом изложенного, предлагается привести использование мобильного приложения и формы согласия на обработку персональных данных в соответствие с законодательством Кыргызской Республики, с учетом гарантий законности, изложенных в международных стандартах в сфере конфиденциальности и защиты частой жизни.

 

Читать далее:

VIII Центрально-Азиатский форум по управлению интернетом: «ЦИФРОВЫЕ ГОРИЗОНТЫ ЦЕНТРАЛЬНОЙ АЗИИ: Инновации, Безопасность и Развитие»

26.06.2024

21-22 июня в Ташкенте состоялся VIII Центрально-Азиатский форум по управлению интернетом (CAIGF), посвященный теме "ЦИФРОВЫЕ ГОРИЗОНТЫ ЦЕНТРАЛЬНОЙ АЗИИ: Инновации, Безопасность и Развитие". Форум

Читать далее

В Ташкенте пройдет 8-ой Центрально-Азиатский Форум по Управлению Интернетом (CAIGF 2024)

18.06.2024

21-22 июня 2024 года столица Узбекистана станет площадкой для обсуждения ключевых вопросов цифрового развития региона на 8-ом Центрально-Азиатском Форуме по Управлению Интернетом (CAIGF 2024).

Читать далее

Privacу Day 2024 — AI и новые вызовы в приватности

23.01.2024

29 января 2024 года состоится Privacy Day 2024 - международная конференция, посвященная вопросам приватности, защите персональных данных и достижению баланса между доступом к информации и соблюдением

Читать далее