Стеження за коронавірусом: як мобільні оператори допоможуть ЄС боротися з епідемією
Найбільші мобільні оператори Європи - Deutsche Telekom, Orange, Telefonica, Telecom Italia, Telenor, Telia, A1 Telekom Austria і Vodafone - минулого тижня розпочали переговори з єврокомісаром з питань внутрішнього ринку та сфери послуг щодо надання даних про геолокацію своїх клієнтів, щоби відстежувати поширення коронавірусу.
Така база даних, розраховують в Єврокомісії, може бути дуже корисною для відстеження контактів осіб, у яких виявлено вірус, а також для контролю за дотриманням умов карантину.
Але оскільки геолокація належить до персональних даних, виникають обґрунтовані сумніви:
наскільки законним є збір таких даних у Євросоюзі і чи не призведе це до тотального стеження держав за своїми громадянами?
Згідно з регламентом GDPR, персональними даними є будь-які дані, які можуть безпосередньо чи опосередковано ідентифікувати фізичну особу. Більше того, в четвертій статті окремо обумовлено, що такими даними є інформація про місцеперебування фізичної особи.
А отже, для отримання даних про геолокацію мобільним операторам необхідна згода фізичної особи.
GDPR встановлює досить високі вимоги щодо форми отримання згоди на обробку персональних даних, в тому числі геолокації. Згода фізичної особи на обробку її персональних даних має бути висловлена у вигляді ствердження або чітких активних дій користувача.
Згода на обробку персональних даних буде недійсною, якщо у користувача не було вибору або не було можливості відкликати свою згоду без шкоди для самого себе.
Загальний підхід до обробки персональних даних на підставі регламенту GDPR сформульований у вигляді шести основних принципів:
- Персональні дані повинні оброблятися законно, справедливо і прозоро;
- Дані мають збирати і використовувати винятково з тією метою, яка заявлена;
- Не можна збирати особисті дані в більшому обсязі, ніж це необхідно (для цілей оператора зв'язку);
- Особисті дані, які є неточними, повинні бути видалені або виправлені;
- Особисті дані мають зберігатися у формі, яка дозволяє ідентифікувати суб'єктів даних, на термін не більший, ніж це необхідно для цілей обробки;
- Під час обробки даних користувачів компанії зобов'язані забезпечити захист персональних даних від несанкціонованої або незаконної обробки, знищення та пошкодження.
Спосіб, що дозволяє обійти регламент GDPR, міститься, як не дивно, в Конвенції про права людини.
Згідно зі ст. 15 Конвенції, в разі війни або в інших надзвичайних обставинах, що загрожують життю нації, будь-яка зі сторін може вживати заходів, що відступають від її зобов'язань. Тобто частково обмежувати свободу віросповідання, свободу слова або інші свободи. І багато країн-членів ЄС терміново надіслали повідомлення генеральному секретарю Ради Європи про те, що вони застосували цю статтю.
Можна стверджувати, що обмеження, які запроваджують держави, в тому числі збір персональних даних для боротьби з пандемією, і є ситуацією, описаною в 15-й статті Конвенції. Однак усі обмеження мають бути обґрунтованими і пропорційними.
Єврокомісія встановила чітку мету збирання інформації - використання даних для відстеження поширення COVID-19 і відповідного реагування країн-членів ЄС.
Мобільні оператори стверджують, що для боротьби з COVID-19 використовуватимуть лише анонімні дані, тобто клієнтів мобільних операторів не можна буде ідентифікувати. А оскільки на підставі анонімних даних безпосередньо або побічно не можна ідентифікувати фізичну особу, то такі дані виходять за рамки захисту особистих даних і їх обробка Єврокомісією без згоди користувачів не суперечить вимогам регламенту GDPR.
Судячи з усього, зберігання даних, переданих Єврокомісії, здійснюватимуть ті ж мобільні оператори.
ЄК обіцяє, що централізована база даних з інформацією про місцеперебування клієнтів буде анонімною і що її знищать одразу після того, як пандемію вдасться подолати.
Залишається не зрозумілим, на якій підставі мобільні оператори збиратимуть інформацію про місцеперебування клієнтів, адже ця інформація вимагає згоди клієнта на обробку.
Зокрема, збір мобільними операторами персональних даних про геолокацію з мобільних пристроїв і подальша передача таких даних можуть здійснюватися тільки за згодою клієнта і використовуватися лише з метою, про яку клієнт був повідомлений і дав свою згоду відповідно до регламенту GDPR.
І це ставить перед Єврокомісією вкрай складне завдання.
З одного боку, мобільні оператори все ж повинні запитувати згоду на збір і обробку таких даних. Дотримання цієї вимоги істотно знизить ефективність такої бази даних для контролю за поширенням коронавірусу..
Ігнорування ж цих вимог, навіть з благою метою, може призвести до масового подання позовів громадян ЄС у національні суди.
Як наслідок, не виключено, що такий контроль діятиме лише в частині країн Євросоюзу.
Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають винятково точку зору автора