Следене на мобилни устройства по време на пандемия: къде се преминава границата?
© Анелия Николова За създателя
Кристина Чакърова е юрист в Schoenherr През последните седмици търсенето на ефикасни ограничения за ограничение на разпространяването на заболяването COVID-19 е главен приоритет на засегнатите страни. Засега наподобява, че единна тактика няма. Една от общите трендове, които се следят обаче, е осъзнаването на капацитета на данните, които нерядко биват наричани " новият нефт ". Този капацитет се употребява от ден на ден при взимане на основни решения - да вземем за пример при създаване на медикаменти или ваксини, при преценка дали противоепидемичните ограничения работят дейно, в кои страни да се наложат ограничавания на пътувания, къде има най-голяма потребност да се ограничи достъпът и други
Все повече страни демонстрират интерес към опцията да употребяват данни от мобилни устройства, в това число персонални данни, за следене и ограничение на разпространяването на пандемията. В същото време експерти в региона на отбраната на персоналните данни показват и запасите си към сходни ограничения, поради опцията да се отвори необятно вратата на безконтролното следене на една от най-чувствителните сфери на персоналния живот.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики В този подтекст следва да се регистрира, че главните нормативни актове от законодателството на Европейски Съюз - Общият правилник по отношение на отбраната на данните (GDPR) и Директивата за правото на цялост на персоналния живот и електронни връзки дават задоволително еластичност и благоприятни условия да се обработват персонални данни в битката с COVID-19. На 6 април 2020 година Европейският контролен орган по отбрана на данните (ЕНОЗД) категорично означи, че " GDPR не е спънка за обработването на персонални данни, които се смятат за нужни от здравните органи за битка с пандемията ". ЕНОЗД отбелязва и, че " правото на отбрана на персоналните данни не е безусловно право; то следва да бъде оценено по отношение на функционалностите му в обществото и да бъде уравновесено с останалите съществени права в сходство с правилото на пропорция ".
Следователно за страните членки на Европейски Съюз въпросът наподобява не е дали данните от мобилните устройства могат да бъдат следени, а по-скоро - къде се минава границата.
Какви промени бяха признати в България по отношение на оповестеното изключително състояние?
С признатия в края на март Закон за ограниченията и дейностите по време на изключителното състояние, оповестено с решение на Народното събрание от 13 март 2020 година (Закон за мерките) бяха направени и промени в редица други закони, измежду които и промени в Закона за електронните известия (ЗЕС), които засегнаха една сензитивна тематика. Става дума за шерването на персонални данни, въз основа на които може да се дефинира местонахождение на мобилно устройство. Въпреки, че с тази смяна неотдавна бе сезиран и Конституционният съд, тя не получи изключително медийно внимание и социална полемика у нас или най-малко не по същия метод, по който това се случи в други страни.
Изменението визира наредбите в Западноевропейски съюз, които уреждат реда за предпазване и достъп до данните на предприятията, предоставящи публични електронни съобщителни мрежи и/или услуги (напр. телеком оператори, интернет-доставчици и др.). Те и до момента бяха задължени да съхраняват и разкриват данни от мобилни устройства единствено в период, за цели и на органи, категорично избрани в Западноевропейски съюз Тези данни включват телефонни номера, сред които се реализира връзка, дата, час, дълготрайност и типа на връзката, IMEI на устройството и идентификатор на употребените кафези. Западноевропейски съюз категорично не разрешава съхраняването на данни, разкриващи наличието на известията по този ред.2
Идеята на досегашната уредба е получените данни да бъдат съхранявани за къс 6-месечен период, само за дефинираните в закона цели от публично значимо значение - потребностите на националната сигурност, разкриването на съответни тежки закононарушения и реализирането на интервенции по търсене.3 Само за тези цели, а не по принцип, държавни органи, категорично посочени в Западноевропейски съюз (напр. ДАНС, Главна дирекция " Национална полиция " и др.), могат да изискат достъп от телеком операторите до горепосочените данни. Общото предписание е, че подобен достъп се реализира единствено след авансово позволение на съд. Като изключение са уредени изключителни случаи, в които телеком операторите могат да дават неотложен достъп, а чак по-късно съд да удостовери или забрани към този момент предоставения достъп.
Резултатът от изменението в Западноевропейски съюз е, че телеком операторите към този момент са задължени да съхраняват и (при получено искане, без авансово позволение на съд) да дават данни на способените органи и за още една цел - следене дали жителите съблюдават наложените ограничения за карантина.
Поглед под повърхността на новата уредба би дал по-добра визия дали е премината границата сред следените целенасочени ограничения за битка с COVID-19 и безотговорно цифрово следене.
Кой ще бъде обиден от ограниченията?
Законодателят дефинира задачата на съхранението на данните и засегнатите лица по следния метод: " за потребностите на насилственото осъществяване на наложителната изолираност и болничното лекуване на лица по член 61 от Закона за здравето, които са отказали или не извършват наложителна изолираност и лекуване ". На пръв прочит наподобява, че кръгът лица, чиито данни могат да бъдат предоставени, е стеснен единствено до тези, които са отказали или неизпълняващи наложителна изолираност и лекуване. Кръгът е в допълнение ограничен и посредством препратката към член 61 от Закона за здравето. Следователно лицата, чиито данни биха могли да бъдат предоставени на полицията, следва да дават отговор по едно и също време на три условия.
Първото изискване е да бъде издадена заповед на министъра на опазването на здравето, с която да се разпореди наложителна изолираност на заболели, на заразоносители, на контактни лица и на лица, които са влезнали в страната от чужбина.4 Това изискване в действителност е изпълнено по отношение на COVID-19 - министърът на опазването на здравето е издал заповеди, с чието наличие всеки може да се запознае на интернет-страницата на Министерство на здравеопазването. Второто изискване е за тези лица да бъде наложена наложителна изолираност или лекуване със заповед на ръководителя на съответното лечебно заведение по предложение на лекуващия доктор или на лекаря, насочил пациента за хоспитализация.5 Третото изискване е те да са отказали или да не извършват наложителната изолираност или лекуване.
Следователно, според законовата уредба, достъп може да се получи единствено до данните на лица, които са отказали или не извършват наложителна изолираност или лекуване, наложени със заповед на началник на лечебно заведение. От една страна, кръгът е задоволително стеснен, с цел да не пораждат терзания, че безпричинно необятен кръг лица ще бъдат следени по този ред. Идеята на закона не е мярката да се ползва във връзка с всички жители, което би било доста по-инвазивно нарушение на неприкосновеността на персоналния живот. От друга страна, неизбежно се прокрадва въпросът по какъв начин ще се открива фактът на несъблюдение на наложителната изолираност (особено за лица, карантинирани при домашни условия). А този факт следва да бъде открит преди да се изиска достъп от телеком операторите до данните на съответното лице.
Друг забавен въпрос е има ли ефикасен прелиминарен механизъм, който да подсигурява, че това пълномощие ще бъде употребявано единствено във връзка с посочените в Западноевропейски съюз лица. Отговор на тези въпроси към този момент не може да бъде открит в законовата уредба.
Какви данни?
Важно е да се посочи, че при приемане на смяната в Западноевропейски съюз, законодателят категорично е лимитирал данните, които телеком операторите са длъжни да дават - това са единствено данните за идентификатор на употребените кафези (данни за местонахождение на устройство). Информация за съответни телефонни номера, дълготрайност на диалози и други данни не се разкриват. Оттук следва, че способените органи биха могли да получат единствено данните, въз основа на които се дефинира почти местонахождение на мобилно устройство. В подтекста на изяснения нагоре кръг от лица, събирането на тъкмо тези данни, наподобява разумно. Въз основа на тези данни способените органи биха могли да вземем за пример да открият, че обещано лице, което би трябвало да е под 14-дневна карантина, не съблюдава предписаните ограничения за изолираност.
Кой има достъп до данните?
Съгласно Западноевропейски съюз единствените лица, които имат право да получат достъп до тези данни, са: Главна дирекция " Национална полиция ", Столичната дирекция на вътрешните работи и регионалните дирекции на Министерството на вътрешните работи, т.е. органите на Министерство на вътрешните работи и полицията.
Една от особеностите на уредбата е, че достъпът до данните ще става по ускорена процедура на " неотложен достъп " с следващо (а не предварително) известяван и разрешаване от съд. Оттук следва, че полицията няма да получава достъп по общоприетата процедура, която изисква авансово позволение на съд. Напротив, телеком операторите са задължени да дават достъп неотложно, а съдът може след това да постанови отвод и заличаване на данните в 24-часов период от постъпване на настояването, само че откакто данните към този момент са били предоставени.
Защита на персоналните данни?
Изглежда, че българският законодател е взел решение да включи данните от мобилните устройства като мярка за ограничение на COVID-19. Обобщено решението наподобява по този начин: полицията ще може да следи посредством данни за местонахождение дали заболели и карантинирани лица съблюдават наложителните инструкции на здравните органи.
От позиция на отбраната на персонални данни, с смяната в Западноевропейски съюз в действителност се основава нужното законово съображение данните да се обработват от телеком операторите и органите на Министерство на вътрешните работи за задачите на наложително осъществяване на наложителната изолираност и болнично лекуване. Дали тази мярка е нужна по смисъла на член 8 от Европейската спогодба за правата на индивида (право на цялост на персоналния живот) е въпрос отвън задачите на сегашния материал.
Макар и обективно да навлиза в персоналната сфера на жителите, е значимо да се означи, че смяната в Западноевропейски съюз наподобява да е лимитирана и като времетраене. Не наподобява неоспорим въпросът обаче до по кое време е лимитирана.
От една страна, според § 51 от Преходни и заключителни разпоредби на Закона за ограниченията промените в Западноевропейски съюз се ползват " до отпадане на нуждата от наложително осъществяване на наложителната изолираност и болнично лекуване на лица по член 61 от Закона за здравето, които са отказали или не извършват заповедта за наложителна изолираност и лекуване. "
От друга страна, според идната наредба на § 52 от Преходни и заключителни разпоредби на Закона за ограниченията, изменението в Западноевропейски съюз се ползва " до анулация на изключителното състояние ". В този смисъл е да вземем за пример и обявата на интернет-страницата на Комисията за отбрана на персонални данни, където категорично е посочено, че изменението е в действие до анулация на изключителното състояние.6 Въпреки това наподобява, че поле за пояснение остава, а поради чувствителността на въпроса, това е най-малкото извънредно нежелателно.
Подобно пълномощие следва да бъде изрично и ясно лимитирано във времето, без да се оставя опция за друго пояснение. Това би било спомагателна гаранция за правото на цялост на персоналния живот, както и за това, че тази опция за следене на данните няма да остане отворена и след изключителното състояние.
Може би най-сериозният минус на ограниченията в действителност е отвън съответната законодателна смяна - незадоволителната бистрота и социална полемика за метода, по който ще се употребяват данните на жителите, както и по отношение на различни благоприятни условия, употребяващи анонимни данни. Липсата на бистрота води до подкопано доверие в признатите ограничения. А това е тъпо, минимум тъй като рационално употребяваната технология може да бъде мощен съдружник в битката с COVID-19.
Мобилно приложение
Макар и да не е законодателна мярка, при започване на април със заповед на министъра на опазването на здравето се разгласи, че се дава опция и за потребление на мобилно приложение за задачите на битката с COVID-19. Със сигурност своевременното въвеждане на тази мярка е похвално. Въпреки това, за жалост, неналичието на задоволително бистрота и осведоменост на жителите се усеща и при нея.
Основната цел на приложението е жителите да вкарват сами информация за здравословното си положение, надлежно да получават информация, в случай че са били наоколо до болен от COVID-19. Данните от мобилното приложение би следвало да дават и по-добра визия на държавните органи за заболеваемостта измежду популацията.
Освен персонални данни като ЕГН, възраст и пол, в приложението се дават и специфични категории персонални данни - за моментно здравословното положение (симптоми, които биха могли да са свързани с COVID-19) и история на хронични болести. Мобилното приложение може следи и за местонахождение на устройството. Важно е да се регистрира, че инсталирането на приложението, както и даването на които и да е било от данните, е на непринуден принцип, т.е. въз основа на единодушие. Задължение няма нито за инсталиране на приложението, нито за въвеждане на данните (както беше направено в някои държави).
Безспорно потреблението на сходно мобилно приложение може да помогне на държавните органи в битката с COVID-19. Следва да се отбележат, обаче, най-малко три насоки, в които може да се мисли за усъвършенстване с оглед отбраната на данните - свеждане на данните до най-малко, анонимизация на данните и повече бистрота.
На пръв взор наподобява, че мобилното приложение събира необятен набор от персонални данни. Препоръчително е от време на време да се преценя дали задачите на държавните органи не биха могли да бъдат реализирани и с по-малко нахлуване в персоналната сфера на жителите - т.е. да не се събират избрани типове данни, да се премине към потребление на анонимни данни и така нататък
Друга тенденция за размисъл е прозрачността при предаването на данните. Например според общите условия на приложението, информацията се подава към Министерството на здравеопазването, което може да дава данните на способените органи за битка с разпространяването на COVID-19. Дотук всичко наподобява разумно, само че като възможни получатели на данните са посочени и трети страни снабдители на услуги, свързани с администрирането и действието на приложението. Предоставянето на данните на трети страни наподобява да не е направено по изключително транспарантен за жителите метод, изключително като се има поради чувствителността на тази информация. При сходно даване е мощно целесъобразно данните да се анонимизират (доколкото е възможно), да се уточни по-конкретно кои са тези трети страни, какви данни им се дават и така нататък В това отношение също има поле за усъвършенстване .
Какви ограничения се подхващат отвън България?
Оценката на подхванатите ограничения в България мъчно би могла да бъде направена, без да се сложи в подтекста на протичащото се и в други страни, които са изправени пред същите проблеми.
В страните от Европейски Съюз още от края на февруари тече дейна социална полемика по тематиката за данните от мобилни устройства и се възприемат разнообразни подходи. Следенето на данни за местонахождение посредством телеком оператори или потреблението на мобилни приложения са измежду най-широко обсъжданите разновидности. Прилагането на фрагментиран и некоординиран метод сред другите страни членки обаче основава риск от понижаване на успеваемостта на ограниченията.
Например, в Германия, като една от водещите страни в областта на отбрана на персонални данни, тематиката за цифрово следене е извънредно сензитивна. Поради това в центъра на публичната полемика е по какъв начин да бъде реализирано дейно потребление на данни от мобилните устройства с минимално засягане на персоналната сфера на лицата.7 Сред най-обсъжданите разновидности е потреблението на мобилно приложение по образеца на една от първите страни, която вкара такава мярка - Сингапур (TraceTogether app)8.Принципът на действие на това приложение е запазване на данни на устройствата, които са били наоколо до мобилния телефон посредством Bluetooth технология. Целта е, в случай че човек се разболее от COVID-19, данните, които в действителност се съхраняват локално на приложението (допълнителна мярка за отбрана на персоналните данни), да бъдат употребявани за определяне на контактни лица и за тяхното известяван. За да се ограничи засягането на неприкосновеността на персоналния живот, приложението не би трябвало да следи данни за местонахождение. Към края на март проектите са сходно мобилно приложение да бъде употребявано единствено непринудено.
В Австрия сходно мобилно приложение към този момент се употребява интензивно с съществена цел да уведомява лица, че са били в контакт с болен, без да се разкриват негови персонални данни. Мобилното приложение е създадено тъй че да се употребяват минимално нужни данни. Данните се събират анонимно, като единствено ако лицето рапортува, че се е разболяло от COVID-19, на Австрийския Червен кръст се разкрива негов телефонен номер и неповторим ID номер, които не са свързани с други персонални данни.
На 10 април 2020 година фирмите Гугъл и Apple също оповестиха, че имат намерение да употребяват Bluetooth протокол за задачите на мобилни приложения, които да наблюдават контактни лица. Идеята е да се засича кои мобилни устройства са били наоколо до устройството на човек, за който след това е доказано, че се е разболял от вируса.
Също в края на март във Англия националният орган за отбрана на персоналните данни излезе със мнение, че потреблението на данни за местонахождение от смарт телефоните би било законосъобразно, само че в случай че данните са анонимизирани. Становището беше признато на фона на договарянията сред държавното управление с локални телеком оператори по отношение на опциите за даване на данните за местоположение за следене дали жителите съблюдават противоепидемичните ограничения. В същото време в страната интензивно се разисква и разновидността с въвеждане на мобилно приложение.
В другите страни от Европейски Съюз като Франция, Полша, Нидерландия и други също се разискват или към този момент бяха признати сходни ограничения.
Има ли проект за съгласуване на ограниченията на равнище Европейски Съюз?
В подтекста на откъслечни дейности на страните членки, от ден на ден се усеща нуждата за съгласуване на ограниченията на равнище Европейски Съюз. Към координиране на другите национални ограничения молят европейските институции и органи, в това число Европейската комисия (ЕК), ЕНОЗД, и Европейският комитет за отбрана на данните (ЕКЗД).
Първият орган на Европейски Съюз, който даде насоки за координиране на дейностите сред страните членки е ЕНОЗД в писмо9 от 25 март 2020 година към Европейска комисия. Конкретният мотив за писмото на ЕНОЗД бяха полемиките сред страни членки и телеком операторите за даването на данни, които да бъдат употребявани за следене на разпространяването на COVID-19. На 8 април 2020 година Европейска комисия разгласява рекомендации по отношение на общ инструментариум на Съюза за потребление на технологии и данни за битка с рецесията, подбудена от COVID-19, и за нейното превъзмогване, и по-специално по отношение на мобилните приложения и потреблението на анонимизирани данни за подвижността.10 На 15 април 2020 година Мрежата за електронно опазване на здравето (по член 14 от Директива 2011/24/ЕС) с поддръжката на Европейска комисия даде рекомендации към страните членки за потреблението на мобилни приложения за следене на контактни лица като мярка за ограничение на COVID-19.11 На 21 април 2020 година ЕКЗД одобри насоки по отношение на потреблението на данни за местонахождение и способи за следене на контактни лица в подтекста на COVID-19.12
Изглежда, че на равнище Европейски Съюз е съзнателен капацитетът на данните като значим инструмент за информиране на обществеността и за подкрепяне на държавните органи в напъните им да лимитират разпространяването на вируса или да разрешат на здравните органи да обменят данни за здравословното положение. В същото време е осъзната и нуждата да се приложи обединен метод на страните членки и да се намерят съответни механизми за отбрана на главните права и свободи и по-специално правата за дискретност и отбрана на персоналните данни.
В публикуването досега документи на Европейска комисия, ЕКЗД и ЕНОЗД се разясняват както ограничения по отношение на приемане на данни от телеком оператори, по този начин и от мобилни приложения. Като предписание потреблението на мобилни приложения се смята за по-малко навлизащо в персоналната сфера, в това число поради опцията ползвателят самичък да управлява предоставяните данни. ЕКЗД категорично предлага да се употребяват анонимни данни и да не се следи местоположението на съответно разпознато лице, а по-скоро да се разчита на информация за устройства, които са били наоколо.
Други от главните рекомендации в оповестените документи на институциите и органите на Европейски Съюз са призоваването към анонимизиране на данните, които се получават от телеком оператори (включително на данните за местоположение); непринудено, а не наложително потребление на мобилни приложения; ограничението на периода за предпазване и изтриването на данните след края на пандемията (включително изпращане на известие на жителите да изтрият мобилното приложение); оптималната бистрота към жителите за потреблението на данните им с оглед създаване на доверие; потребление на ограничения, които допустимо минимум нарушават неприкосновеността на персоналния живот, само че все пак са ефективни; по опция данните да се съхраняват единствено на мобилното устройство; нараснала киберсигурност и други
Активизирането на органите на Европейски Съюз е знак за смисъла и чувствителността на ограниченията, които включват следене на местонахождение на мобилни устройства или мобилни приложения. Макар и доста страни членки към този момент да са приели ограничения, в това число и законодателни, преосмислянето им през призмата на общи координирани ограничения е належащо. Особено с оглед намиране на рационалния баланс сред публичната сигурност и главното човешко право на цялост на персоналния живот.
Аргументите за и срещу сходни ограничения, както и съответното им имплементиране, се разискват интензивно. От една страна, не може да се отхвърли, че потреблението на данните в този миг може да бъде извънредно дейно средство за ограничение на пандемията, както към този момент се случи в страни като Китай и Южна Корея. От друга страна, историята е посочила, че едни от най-трайните ограничения остават тези, които са въведени като краткотрайни. Експерти в региона на отбраната на персонални данни показват терзанията си, че предаването на чувствителни данни в огромни количества минава граница, от която може да е мъчно да се отстъпи, когато събитията се върнат към естествения си ход. Затова необятно публично разискване и координирани ограничения на страните членки, при вземане предвид с насоките на органите на Европейски Съюз, наподобява все по-необходимо. Към момента на равнище Европейски Съюз наподобява да са оповестени задоволително подробни рекомендации, въз основа на които страните членки да разработят ефикасни ограничения, които в същото време почитат правото на цялост на персоналния живот и на отбрана на персоналните данни.
---------
1 Наричани по-долу за краткост единствено " телеком оператори "
2 Чл. 251б, алинея 3 от Закона за електронните известия
3 Чл. 251б от Закона за електронните известия
4 Чл. 61, алинея 2 от Закона за здравето
5 Чл. 61, алинея 3 от Закона за здравето
6 https://www.cpdp.bg/?p=element&aid=43
7 https://www.reuters.com/article/us-health-coronavirus-germany-tech/germany-aims-to-launch-singapore-style-coronavirus-app-in-weeks-idUSKBN21H26Z
8 https://www.reuters.com/article/us-health-coronavirus-singapore-technolo/singapore-launches-contact-tracing-mobile-app-to-track-coronavirus-infections-idUSKBN2171ZQ
9 https://edps.europa.eu/sites/edp/files/publication/20-03-25_edps_comments_concerning_covid-19_monitoring_of_spread_en.pdf
10 https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
11 https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
12 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en
Кристина Чакърова е юрист в Schoenherr През последните седмици търсенето на ефикасни ограничения за ограничение на разпространяването на заболяването COVID-19 е главен приоритет на засегнатите страни. Засега наподобява, че единна тактика няма. Една от общите трендове, които се следят обаче, е осъзнаването на капацитета на данните, които нерядко биват наричани " новият нефт ". Този капацитет се употребява от ден на ден при взимане на основни решения - да вземем за пример при създаване на медикаменти или ваксини, при преценка дали противоепидемичните ограничения работят дейно, в кои страни да се наложат ограничавания на пътувания, къде има най-голяма потребност да се ограничи достъпът и други
Все повече страни демонстрират интерес към опцията да употребяват данни от мобилни устройства, в това число персонални данни, за следене и ограничение на разпространяването на пандемията. В същото време експерти в региона на отбраната на персоналните данни показват и запасите си към сходни ограничения, поради опцията да се отвори необятно вратата на безконтролното следене на една от най-чувствителните сфери на персоналния живот.
Абонирайте се за Капитал Четете безкрайно и подкрепяте напъните ни да пишем по значимите тематики В този подтекст следва да се регистрира, че главните нормативни актове от законодателството на Европейски Съюз - Общият правилник по отношение на отбраната на данните (GDPR) и Директивата за правото на цялост на персоналния живот и електронни връзки дават задоволително еластичност и благоприятни условия да се обработват персонални данни в битката с COVID-19. На 6 април 2020 година Европейският контролен орган по отбрана на данните (ЕНОЗД) категорично означи, че " GDPR не е спънка за обработването на персонални данни, които се смятат за нужни от здравните органи за битка с пандемията ". ЕНОЗД отбелязва и, че " правото на отбрана на персоналните данни не е безусловно право; то следва да бъде оценено по отношение на функционалностите му в обществото и да бъде уравновесено с останалите съществени права в сходство с правилото на пропорция ".
Следователно за страните членки на Европейски Съюз въпросът наподобява не е дали данните от мобилните устройства могат да бъдат следени, а по-скоро - къде се минава границата.
Какви промени бяха признати в България по отношение на оповестеното изключително състояние?
С признатия в края на март Закон за ограниченията и дейностите по време на изключителното състояние, оповестено с решение на Народното събрание от 13 март 2020 година (Закон за мерките) бяха направени и промени в редица други закони, измежду които и промени в Закона за електронните известия (ЗЕС), които засегнаха една сензитивна тематика. Става дума за шерването на персонални данни, въз основа на които може да се дефинира местонахождение на мобилно устройство. Въпреки, че с тази смяна неотдавна бе сезиран и Конституционният съд, тя не получи изключително медийно внимание и социална полемика у нас или най-малко не по същия метод, по който това се случи в други страни.
Изменението визира наредбите в Западноевропейски съюз, които уреждат реда за предпазване и достъп до данните на предприятията, предоставящи публични електронни съобщителни мрежи и/или услуги (напр. телеком оператори, интернет-доставчици и др.). Те и до момента бяха задължени да съхраняват и разкриват данни от мобилни устройства единствено в период, за цели и на органи, категорично избрани в Западноевропейски съюз Тези данни включват телефонни номера, сред които се реализира връзка, дата, час, дълготрайност и типа на връзката, IMEI на устройството и идентификатор на употребените кафези. Западноевропейски съюз категорично не разрешава съхраняването на данни, разкриващи наличието на известията по този ред.2
Идеята на досегашната уредба е получените данни да бъдат съхранявани за къс 6-месечен период, само за дефинираните в закона цели от публично значимо значение - потребностите на националната сигурност, разкриването на съответни тежки закононарушения и реализирането на интервенции по търсене.3 Само за тези цели, а не по принцип, държавни органи, категорично посочени в Западноевропейски съюз (напр. ДАНС, Главна дирекция " Национална полиция " и др.), могат да изискат достъп от телеком операторите до горепосочените данни. Общото предписание е, че подобен достъп се реализира единствено след авансово позволение на съд. Като изключение са уредени изключителни случаи, в които телеком операторите могат да дават неотложен достъп, а чак по-късно съд да удостовери или забрани към този момент предоставения достъп.
Резултатът от изменението в Западноевропейски съюз е, че телеком операторите към този момент са задължени да съхраняват и (при получено искане, без авансово позволение на съд) да дават данни на способените органи и за още една цел - следене дали жителите съблюдават наложените ограничения за карантина.
Поглед под повърхността на новата уредба би дал по-добра визия дали е премината границата сред следените целенасочени ограничения за битка с COVID-19 и безотговорно цифрово следене.
Кой ще бъде обиден от ограниченията?
Законодателят дефинира задачата на съхранението на данните и засегнатите лица по следния метод: " за потребностите на насилственото осъществяване на наложителната изолираност и болничното лекуване на лица по член 61 от Закона за здравето, които са отказали или не извършват наложителна изолираност и лекуване ". На пръв прочит наподобява, че кръгът лица, чиито данни могат да бъдат предоставени, е стеснен единствено до тези, които са отказали или неизпълняващи наложителна изолираност и лекуване. Кръгът е в допълнение ограничен и посредством препратката към член 61 от Закона за здравето. Следователно лицата, чиито данни биха могли да бъдат предоставени на полицията, следва да дават отговор по едно и също време на три условия.
Първото изискване е да бъде издадена заповед на министъра на опазването на здравето, с която да се разпореди наложителна изолираност на заболели, на заразоносители, на контактни лица и на лица, които са влезнали в страната от чужбина.4 Това изискване в действителност е изпълнено по отношение на COVID-19 - министърът на опазването на здравето е издал заповеди, с чието наличие всеки може да се запознае на интернет-страницата на Министерство на здравеопазването. Второто изискване е за тези лица да бъде наложена наложителна изолираност или лекуване със заповед на ръководителя на съответното лечебно заведение по предложение на лекуващия доктор или на лекаря, насочил пациента за хоспитализация.5 Третото изискване е те да са отказали или да не извършват наложителната изолираност или лекуване.
Следователно, според законовата уредба, достъп може да се получи единствено до данните на лица, които са отказали или не извършват наложителна изолираност или лекуване, наложени със заповед на началник на лечебно заведение. От една страна, кръгът е задоволително стеснен, с цел да не пораждат терзания, че безпричинно необятен кръг лица ще бъдат следени по този ред. Идеята на закона не е мярката да се ползва във връзка с всички жители, което би било доста по-инвазивно нарушение на неприкосновеността на персоналния живот. От друга страна, неизбежно се прокрадва въпросът по какъв начин ще се открива фактът на несъблюдение на наложителната изолираност (особено за лица, карантинирани при домашни условия). А този факт следва да бъде открит преди да се изиска достъп от телеком операторите до данните на съответното лице.
Друг забавен въпрос е има ли ефикасен прелиминарен механизъм, който да подсигурява, че това пълномощие ще бъде употребявано единствено във връзка с посочените в Западноевропейски съюз лица. Отговор на тези въпроси към този момент не може да бъде открит в законовата уредба.
Какви данни?
Важно е да се посочи, че при приемане на смяната в Западноевропейски съюз, законодателят категорично е лимитирал данните, които телеком операторите са длъжни да дават - това са единствено данните за идентификатор на употребените кафези (данни за местонахождение на устройство). Информация за съответни телефонни номера, дълготрайност на диалози и други данни не се разкриват. Оттук следва, че способените органи биха могли да получат единствено данните, въз основа на които се дефинира почти местонахождение на мобилно устройство. В подтекста на изяснения нагоре кръг от лица, събирането на тъкмо тези данни, наподобява разумно. Въз основа на тези данни способените органи биха могли да вземем за пример да открият, че обещано лице, което би трябвало да е под 14-дневна карантина, не съблюдава предписаните ограничения за изолираност.
Кой има достъп до данните?
Съгласно Западноевропейски съюз единствените лица, които имат право да получат достъп до тези данни, са: Главна дирекция " Национална полиция ", Столичната дирекция на вътрешните работи и регионалните дирекции на Министерството на вътрешните работи, т.е. органите на Министерство на вътрешните работи и полицията.
Една от особеностите на уредбата е, че достъпът до данните ще става по ускорена процедура на " неотложен достъп " с следващо (а не предварително) известяван и разрешаване от съд. Оттук следва, че полицията няма да получава достъп по общоприетата процедура, която изисква авансово позволение на съд. Напротив, телеком операторите са задължени да дават достъп неотложно, а съдът може след това да постанови отвод и заличаване на данните в 24-часов период от постъпване на настояването, само че откакто данните към този момент са били предоставени.
Защита на персоналните данни?
Изглежда, че българският законодател е взел решение да включи данните от мобилните устройства като мярка за ограничение на COVID-19. Обобщено решението наподобява по този начин: полицията ще може да следи посредством данни за местонахождение дали заболели и карантинирани лица съблюдават наложителните инструкции на здравните органи.
От позиция на отбраната на персонални данни, с смяната в Западноевропейски съюз в действителност се основава нужното законово съображение данните да се обработват от телеком операторите и органите на Министерство на вътрешните работи за задачите на наложително осъществяване на наложителната изолираност и болнично лекуване. Дали тази мярка е нужна по смисъла на член 8 от Европейската спогодба за правата на индивида (право на цялост на персоналния живот) е въпрос отвън задачите на сегашния материал.
Макар и обективно да навлиза в персоналната сфера на жителите, е значимо да се означи, че смяната в Западноевропейски съюз наподобява да е лимитирана и като времетраене. Не наподобява неоспорим въпросът обаче до по кое време е лимитирана.
От една страна, според § 51 от Преходни и заключителни разпоредби на Закона за ограниченията промените в Западноевропейски съюз се ползват " до отпадане на нуждата от наложително осъществяване на наложителната изолираност и болнично лекуване на лица по член 61 от Закона за здравето, които са отказали или не извършват заповедта за наложителна изолираност и лекуване. "
От друга страна, според идната наредба на § 52 от Преходни и заключителни разпоредби на Закона за ограниченията, изменението в Западноевропейски съюз се ползва " до анулация на изключителното състояние ". В този смисъл е да вземем за пример и обявата на интернет-страницата на Комисията за отбрана на персонални данни, където категорично е посочено, че изменението е в действие до анулация на изключителното състояние.6 Въпреки това наподобява, че поле за пояснение остава, а поради чувствителността на въпроса, това е най-малкото извънредно нежелателно.
Подобно пълномощие следва да бъде изрично и ясно лимитирано във времето, без да се оставя опция за друго пояснение. Това би било спомагателна гаранция за правото на цялост на персоналния живот, както и за това, че тази опция за следене на данните няма да остане отворена и след изключителното състояние.
Може би най-сериозният минус на ограниченията в действителност е отвън съответната законодателна смяна - незадоволителната бистрота и социална полемика за метода, по който ще се употребяват данните на жителите, както и по отношение на различни благоприятни условия, употребяващи анонимни данни. Липсата на бистрота води до подкопано доверие в признатите ограничения. А това е тъпо, минимум тъй като рационално употребяваната технология може да бъде мощен съдружник в битката с COVID-19.
Мобилно приложение
Макар и да не е законодателна мярка, при започване на април със заповед на министъра на опазването на здравето се разгласи, че се дава опция и за потребление на мобилно приложение за задачите на битката с COVID-19. Със сигурност своевременното въвеждане на тази мярка е похвално. Въпреки това, за жалост, неналичието на задоволително бистрота и осведоменост на жителите се усеща и при нея.
Основната цел на приложението е жителите да вкарват сами информация за здравословното си положение, надлежно да получават информация, в случай че са били наоколо до болен от COVID-19. Данните от мобилното приложение би следвало да дават и по-добра визия на държавните органи за заболеваемостта измежду популацията.
Освен персонални данни като ЕГН, възраст и пол, в приложението се дават и специфични категории персонални данни - за моментно здравословното положение (симптоми, които биха могли да са свързани с COVID-19) и история на хронични болести. Мобилното приложение може следи и за местонахождение на устройството. Важно е да се регистрира, че инсталирането на приложението, както и даването на които и да е било от данните, е на непринуден принцип, т.е. въз основа на единодушие. Задължение няма нито за инсталиране на приложението, нито за въвеждане на данните (както беше направено в някои държави).
Безспорно потреблението на сходно мобилно приложение може да помогне на държавните органи в битката с COVID-19. Следва да се отбележат, обаче, най-малко три насоки, в които може да се мисли за усъвършенстване с оглед отбраната на данните - свеждане на данните до най-малко, анонимизация на данните и повече бистрота.
На пръв взор наподобява, че мобилното приложение събира необятен набор от персонални данни. Препоръчително е от време на време да се преценя дали задачите на държавните органи не биха могли да бъдат реализирани и с по-малко нахлуване в персоналната сфера на жителите - т.е. да не се събират избрани типове данни, да се премине към потребление на анонимни данни и така нататък
Друга тенденция за размисъл е прозрачността при предаването на данните. Например според общите условия на приложението, информацията се подава към Министерството на здравеопазването, което може да дава данните на способените органи за битка с разпространяването на COVID-19. Дотук всичко наподобява разумно, само че като възможни получатели на данните са посочени и трети страни снабдители на услуги, свързани с администрирането и действието на приложението. Предоставянето на данните на трети страни наподобява да не е направено по изключително транспарантен за жителите метод, изключително като се има поради чувствителността на тази информация. При сходно даване е мощно целесъобразно данните да се анонимизират (доколкото е възможно), да се уточни по-конкретно кои са тези трети страни, какви данни им се дават и така нататък В това отношение също има поле за усъвършенстване .
Какви ограничения се подхващат отвън България?
Оценката на подхванатите ограничения в България мъчно би могла да бъде направена, без да се сложи в подтекста на протичащото се и в други страни, които са изправени пред същите проблеми.
В страните от Европейски Съюз още от края на февруари тече дейна социална полемика по тематиката за данните от мобилни устройства и се възприемат разнообразни подходи. Следенето на данни за местонахождение посредством телеком оператори или потреблението на мобилни приложения са измежду най-широко обсъжданите разновидности. Прилагането на фрагментиран и некоординиран метод сред другите страни членки обаче основава риск от понижаване на успеваемостта на ограниченията.
Например, в Германия, като една от водещите страни в областта на отбрана на персонални данни, тематиката за цифрово следене е извънредно сензитивна. Поради това в центъра на публичната полемика е по какъв начин да бъде реализирано дейно потребление на данни от мобилните устройства с минимално засягане на персоналната сфера на лицата.7 Сред най-обсъжданите разновидности е потреблението на мобилно приложение по образеца на една от първите страни, която вкара такава мярка - Сингапур (TraceTogether app)8.Принципът на действие на това приложение е запазване на данни на устройствата, които са били наоколо до мобилния телефон посредством Bluetooth технология. Целта е, в случай че човек се разболее от COVID-19, данните, които в действителност се съхраняват локално на приложението (допълнителна мярка за отбрана на персоналните данни), да бъдат употребявани за определяне на контактни лица и за тяхното известяван. За да се ограничи засягането на неприкосновеността на персоналния живот, приложението не би трябвало да следи данни за местонахождение. Към края на март проектите са сходно мобилно приложение да бъде употребявано единствено непринудено.
В Австрия сходно мобилно приложение към този момент се употребява интензивно с съществена цел да уведомява лица, че са били в контакт с болен, без да се разкриват негови персонални данни. Мобилното приложение е създадено тъй че да се употребяват минимално нужни данни. Данните се събират анонимно, като единствено ако лицето рапортува, че се е разболяло от COVID-19, на Австрийския Червен кръст се разкрива негов телефонен номер и неповторим ID номер, които не са свързани с други персонални данни.
На 10 април 2020 година фирмите Гугъл и Apple също оповестиха, че имат намерение да употребяват Bluetooth протокол за задачите на мобилни приложения, които да наблюдават контактни лица. Идеята е да се засича кои мобилни устройства са били наоколо до устройството на човек, за който след това е доказано, че се е разболял от вируса.
Също в края на март във Англия националният орган за отбрана на персоналните данни излезе със мнение, че потреблението на данни за местонахождение от смарт телефоните би било законосъобразно, само че в случай че данните са анонимизирани. Становището беше признато на фона на договарянията сред държавното управление с локални телеком оператори по отношение на опциите за даване на данните за местоположение за следене дали жителите съблюдават противоепидемичните ограничения. В същото време в страната интензивно се разисква и разновидността с въвеждане на мобилно приложение.
В другите страни от Европейски Съюз като Франция, Полша, Нидерландия и други също се разискват или към този момент бяха признати сходни ограничения.
Има ли проект за съгласуване на ограниченията на равнище Европейски Съюз?
В подтекста на откъслечни дейности на страните членки, от ден на ден се усеща нуждата за съгласуване на ограниченията на равнище Европейски Съюз. Към координиране на другите национални ограничения молят европейските институции и органи, в това число Европейската комисия (ЕК), ЕНОЗД, и Европейският комитет за отбрана на данните (ЕКЗД).
Първият орган на Европейски Съюз, който даде насоки за координиране на дейностите сред страните членки е ЕНОЗД в писмо9 от 25 март 2020 година към Европейска комисия. Конкретният мотив за писмото на ЕНОЗД бяха полемиките сред страни членки и телеком операторите за даването на данни, които да бъдат употребявани за следене на разпространяването на COVID-19. На 8 април 2020 година Европейска комисия разгласява рекомендации по отношение на общ инструментариум на Съюза за потребление на технологии и данни за битка с рецесията, подбудена от COVID-19, и за нейното превъзмогване, и по-специално по отношение на мобилните приложения и потреблението на анонимизирани данни за подвижността.10 На 15 април 2020 година Мрежата за електронно опазване на здравето (по член 14 от Директива 2011/24/ЕС) с поддръжката на Европейска комисия даде рекомендации към страните членки за потреблението на мобилни приложения за следене на контактни лица като мярка за ограничение на COVID-19.11 На 21 април 2020 година ЕКЗД одобри насоки по отношение на потреблението на данни за местонахождение и способи за следене на контактни лица в подтекста на COVID-19.12
Изглежда, че на равнище Европейски Съюз е съзнателен капацитетът на данните като значим инструмент за информиране на обществеността и за подкрепяне на държавните органи в напъните им да лимитират разпространяването на вируса или да разрешат на здравните органи да обменят данни за здравословното положение. В същото време е осъзната и нуждата да се приложи обединен метод на страните членки и да се намерят съответни механизми за отбрана на главните права и свободи и по-специално правата за дискретност и отбрана на персоналните данни.
В публикуването досега документи на Европейска комисия, ЕКЗД и ЕНОЗД се разясняват както ограничения по отношение на приемане на данни от телеком оператори, по този начин и от мобилни приложения. Като предписание потреблението на мобилни приложения се смята за по-малко навлизащо в персоналната сфера, в това число поради опцията ползвателят самичък да управлява предоставяните данни. ЕКЗД категорично предлага да се употребяват анонимни данни и да не се следи местоположението на съответно разпознато лице, а по-скоро да се разчита на информация за устройства, които са били наоколо.
Други от главните рекомендации в оповестените документи на институциите и органите на Европейски Съюз са призоваването към анонимизиране на данните, които се получават от телеком оператори (включително на данните за местоположение); непринудено, а не наложително потребление на мобилни приложения; ограничението на периода за предпазване и изтриването на данните след края на пандемията (включително изпращане на известие на жителите да изтрият мобилното приложение); оптималната бистрота към жителите за потреблението на данните им с оглед създаване на доверие; потребление на ограничения, които допустимо минимум нарушават неприкосновеността на персоналния живот, само че все пак са ефективни; по опция данните да се съхраняват единствено на мобилното устройство; нараснала киберсигурност и други
Активизирането на органите на Европейски Съюз е знак за смисъла и чувствителността на ограниченията, които включват следене на местонахождение на мобилни устройства или мобилни приложения. Макар и доста страни членки към този момент да са приели ограничения, в това число и законодателни, преосмислянето им през призмата на общи координирани ограничения е належащо. Особено с оглед намиране на рационалния баланс сред публичната сигурност и главното човешко право на цялост на персоналния живот.
Аргументите за и срещу сходни ограничения, както и съответното им имплементиране, се разискват интензивно. От една страна, не може да се отхвърли, че потреблението на данните в този миг може да бъде извънредно дейно средство за ограничение на пандемията, както към този момент се случи в страни като Китай и Южна Корея. От друга страна, историята е посочила, че едни от най-трайните ограничения остават тези, които са въведени като краткотрайни. Експерти в региона на отбраната на персонални данни показват терзанията си, че предаването на чувствителни данни в огромни количества минава граница, от която може да е мъчно да се отстъпи, когато събитията се върнат към естествения си ход. Затова необятно публично разискване и координирани ограничения на страните членки, при вземане предвид с насоките на органите на Европейски Съюз, наподобява все по-необходимо. Към момента на равнище Европейски Съюз наподобява да са оповестени задоволително подробни рекомендации, въз основа на които страните членки да разработят ефикасни ограничения, които в същото време почитат правото на цялост на персоналния живот и на отбрана на персоналните данни.
---------
1 Наричани по-долу за краткост единствено " телеком оператори "
2 Чл. 251б, алинея 3 от Закона за електронните известия
3 Чл. 251б от Закона за електронните известия
4 Чл. 61, алинея 2 от Закона за здравето
5 Чл. 61, алинея 3 от Закона за здравето
6 https://www.cpdp.bg/?p=element&aid=43
7 https://www.reuters.com/article/us-health-coronavirus-germany-tech/germany-aims-to-launch-singapore-style-coronavirus-app-in-weeks-idUSKBN21H26Z
8 https://www.reuters.com/article/us-health-coronavirus-singapore-technolo/singapore-launches-contact-tracing-mobile-app-to-track-coronavirus-infections-idUSKBN2171ZQ
9 https://edps.europa.eu/sites/edp/files/publication/20-03-25_edps_comments_concerning_covid-19_monitoring_of_spread_en.pdf
10 https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf
11 https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf
12 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en
Източник: capital.bg
КОМЕНТАРИ