Чи відповідає законодавству повідомлення Дії про обробку персональних даних?

November 17, 2020

На початку листопада Міністерство цифрової трансформації запустило на платформі “Дія. Цифрова освіта” Цифрограм – національний тест на цифрову грамотність українців. Він може виявити рівень цифрової грамотності людини, прогалини у цифрових навичках і зорієнтувати, які саме компетенції їй варто підсилити.

Частина питань присвячена темі безпеки в цифровому середовищі. Адже разом з можливостями “держави в смартфоні” користувачі можуть стикатися й з проблемами захисту персональних даних. Та чи створює сама Дія безпечні умови для користувачів і чи належно інформує їх про обробку персональних даних?

Для того, щоб пройти Цифрограм, користувачу потрібно:

  • зареєструватись за допомогою номеру мобільного телефону або за допомогою акаунтів у Facebook чи Google (надаєте доступ до прізвища та імені);
  • надати своє прізвище, ім’я, по-батькові (ПІБ), вік, регіон проживання;
  • дати згоду на обробку своїх персональних даних. 

   

Що має містити повідомлення про обробку персональних даних?

Питання збору, зміни й обробки персональних даних регулює Закон України “Про захист персональних даних” (надалі – “Закон”). 

Так, відповідно до статті 12 Закону користувачу потрібно повідомити про володільця персональних даних, склад і зміст персональних даних, права користувача, мету збору персональних даних та осіб, яким передаються його персональні дані.

Що містить повідомлення Дії про обробку персональних даних?

  1. Інформацію про володільця персональних даних – ним є Мінцифри. Саме воно визначає мету збору персональних даних.
  2. Зміст персональних даних – ПІБ та номери контактних телефонів. Але це не зовсім відповідає дійсності. Як видно із наведених вище скріншотів, при реєстрації Дія запитує також вік та регіон проживання користувача. 

Якби Дія не запитувала ПІБ, то збирання віку та регіону без згоди було би допустимим в контексті анонімності, проте в комбінації вони є додатковими ознаками, які можуть ідентифікувати особу. За допомогою сукупності ПІБ, віку та регіону можна не просто ідентифікувати Коваленка Петра Васильовича, яких може бути декілька в Україні, а відрізнити його від повного тезки з Кривого Рогу чи Львова.

А відповідно до статті 2 Закону відомості чи сукупність відомостей про фізичну особу, за якими вона ідентифікована або може бути конкретно ідентифікована є персональними даними. 

  1. Мету обробки персональних даних. Мінцифри збирає персональні дані з метою розвитку цифрової грамотності, організації навчання для державних службовців, громадян та фахівців, а також формування сертифікату.

Вказана мета збору мобільного номеру та ПІБ є цілком виправданою і обгрунтованою. Адже на онлайн-платформі “Дія. Цифрова освіта” доступне тестування цифрової грамотності, курси для держслужбовців та загалом для тих хто хоче розвинути свої цифрові навички. За проходження будь-чого можна отримати сертифікат.

Однак, вказана мета не пояснює, навіщо збирати дані про вік та регіон користувачів. Пояснення можна знайти у словах заступниці міністра цифрової трансформації з питань євроінтеграції Валерії Іонан:

«Минулого року ми провели перше в Україні соціологічне дослідження цифрових навичок громадян. Виявилося, що 53% українців володіють цифровими навичками на рівні нижче середнього. А цього року вперше в Україні з’явилась можливість перевірити знання та навички з цифрової грамотності за різними сферами знань, зазначеними в Європейській рамці цифрових компетентностей для громадян. Це дозволить в режимі реального часу проводити дослідження цифрової грамотності в масштабах всієї країни».

Припускаємо, що Мінцифри зацікавлене провести соціологічне дослідження на основі результатів Цифрограму і зрозуміти які прогалини у цифровій грамотності мають користувачі різного віку та різних регіонів. 

Якщо це дійсно так, то Мінцифри повинне повідомити користувачів про те, що персональні дані можуть збиратися з такою метою. Мінцифри має повідомити, що поля вік та регіон проживання анонімізуються (використовуються без прив’язки до ПІБ) і збираються з метою отримання статистичної інформації про користувачів.

  1. Інформацію про осіб, яким передаються оброблені персональні дані. Мінцифри може передавати персональні дані іншим органам державної влади та органам місцевого самоврядування, а також іншим юридичним та фізичним особам, що звертаються із запитом щодо доступу до персональних даних, що обробляються. 

При цьому Мінцифри не зазначає, яким саме органам чи установам, які саме персональні дані користувачів і на яких підставах будуть передані.

Тоді як відповідно до статті 14 Закону Мінцифри не може надавати доступ до персональних даних користувачів без згоди на це користувача. Чи включає повідомлення Дії про обробку персональних даних згоду користувача на подальшу передачу його даних чи ні – незрозуміло. 

  1. Строк зберігання персональних даних – протягом строку функціонування кабінету на онлайн-платформі “Дія. Цифрова освіта”, але не більше 5 років. 

Такий строк не є надмірним і цілком відповідає статті 6 Закону про те, що персональні дані обробляються не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися. 

  1. Інформацію про права користувача. Повідомлення Дії про обробку персональних даних містить практично весь перелік прав, наведений у статті 8 Закону. Окрім права вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди та права відкликати свою згоду на обробку персональних даних.

Висновки та рекомендації користувачеві

На перший погляд, повідомлення Дії про обробку персональних даних містить всю необхідну інформацію. Однак при детальному аналізі ми можемо помітити, що Мінцифри не роз’яснює порядок обробки персональних даних належним чином:

  • зазначено неповний перелік персональних даних, які збираються;
  • є ризик передачі даних третім особам без згоди користувача;
  • коло осіб, яким передаються персональні дані, а також обсяг персональних даних, що передаються, чітко не визначено;
  • не передбачено права відкликати надану згоду чи обмежити обробку.

Отож, інформаційна безпека користувачів онлайн-платформи “Дія. Цифрова освіта” може бути порушена. Для захисту персональних даних відповідно до законодавства користувач має право:

  • вимагати надання інформації про умови доступу до його персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
  • звертатися до Мінцифри із заявою про відкликання згоди на обробку персональних даних або обмеження обробки його персональних даних;
  • а у разі порушення звертатися із скаргою до Уповноваженого Верховної Ради України з прав людини або з відповідним позовом до суду.