“Дія” виявилася дієвою та законною

Червень 19, 2020

18 червня офіс Уповноваженого Верховної Ради перевірив ймовірне порушення права громадян на приватність через механізми функціонування порталу електронних послуг «Дія» та мобільних додатків «Дія» та «Дій вдома».

Відсутність достатньої інформації про роботу «Дії» з персональними даними громадян спричинила хвилю занепокоєння з боку суспільства. Спочатку підставою для критики став брак інформації щодо порядку функціонування додатку “Дій вдома”, після роз’яснень Кабміну можливість представників поліції, Нацгвардії та органів місцевого самоврядування отримувати інформацію про користувачів.

Дискусія про ризики та прогалини не оминула і додаток “Дія”. Серед небезпек цього застосунку експерти виділили закритий код (неможливість зовнішньої перевірки порядку його функціонування), низький рівень кібербезпеки в Україні, відсутність законодавчого підґрунтя для функціонування додатку (наразі регулюється лише підзаконними актами), полегшення безконтрольного доступу до інформації через злиття реєстрів тощо.

Крім цього, мережею поширювалася інформація щодо ймовірного витоку даних через недосконалу систему “Дії” та “Дій вдома”, що могло спричинити появу ботів з масивами персональних даних у Telegram. Як наслідок, 24 квітня 2020 року офіс омбудсмана ініціював перевірку додатків на відповідність чинному українському законодавству.

Планова виїзна перевірка відбулася в період з 4 по 12 червня. Внаслідок перевірки встановили, що власником додатків та розпорядником інформації є Мінцифри. Персональні дані обробляються під час реєстрації у застосунку “Дія”, а інформація, отримана з реєстрів, зберігається на пристроях користувачів, а не на загальному сервері (підхід data-in-transition). Отже, доступ до даних мають лише особи, яких стосуються документи.

Водночас, додаток “Дій вдома” збирає інформацію щодо ПІП, дати народження, статі, мобільного номеру, адреси самоізоляції чи госпіталізації, стану здоров’я особи, а також має її фото. Доступ до таких даних має обмежене коло працівників, які мають зобов’язання про нерозголошення інформації. 

Як зазначив Михайло Федоров у своєму Telegram-каналі, Омбудсман не виявила жодних порушень законодавства, що вказує на безпечність використання застосунків. Водночас, Омбудсман виявила низку недоліків, які не впливають на обробку персональних даних, але потребують усунення.

Результати перевірки Омбудсмана: http://www.ombudsman.gov.ua/ua/all-news/pr/pro-rezultati-perevіrki-mіnіsterstva-czifrovoї-transformaczії-ukraїni.