У зв’язку із COVID-19 в Україні тимчасово змінені правила обробки персональних даних
З метою протидії поширенню COVID-19 було прийнято зміни до Закону України "Про захист населення від інфекційних хвороб" ("Закон"). Зміни набули чинності 18 квітня 2020 року та дозволили обробляти персональні дані осіб, хворих на COVID-19, без їх згоди. Текст внесених змін можна знайти тут.
За загальним правилом, обробка даних, що стосуються здоров’я особи, є неможливою без надання нею однозначної згоди. Винятки із цього правила можуть встановлюватись законом, але лише в інтересах забезпечення національної безпеки, економічного добробуту та захисту прав людини. Таким винятком і стала можливість здійснювати обробку персональних даних осіб, хворих на COVID-19, без їх згоди.
Прийняття змін було необхідним, оскільки українське законодавство щодо захисту персональних даних виявилось недостатньо гнучким та не було здатним забезпечити в умовах епідемії рівновагу між публічними інтересами щодо безпеки суспільства та інтересами щодо захисту приватності осіб. Прийняття Закону було спрямоване на зміну такої ситуації.
Як відбуватиметься обробка персональних даних за новими правилами?
Закон дозволив обробку персональних даних без отримання дозволу тих осіб, які захворіли на COVID-19, тобто щодо яких проводився ПЛР-тест і його результати були позитивними. У той же час, нові правила не стосуються осіб, щодо яких є підозра на наявність коронавірусу, або які здавали ПЛР-тест і чий діагноз не підтвердився, або осіб, які перебувають на самоізоляції чи обсервації.
Обробці підлягають відомості про стан здоров’я, місце госпіталізації чи самоізоляції, прізвище, ім’я, по-батькові хворого на COVID-19, дата його народження, місце проживання, роботи або навчання. Ці дані також використовуються для визначення контактних осіб.
Загалом, зібрані дані особи, хворої на COVID-19, можуть використовуватися з обмеженою метою – виключно для здійснення протиепідемічних заходів, які визначені у Законі України "Про захист населення від інфекційних хвороб". Перелік протиепідемічних заходів є невичерпним і, зокрема, включає термінову госпіталізацію, обстеження та лікування хворих осіб, медичний нагляд (ізоляцію та обстеження) за особами, які спілкувалися з хворими, тощо.
Що означає обробка персональних даних?
Обробка даних означає будь-яку дію або сукупність дій щодо збирання, зберігання, використання і поширення даних та інші дії, які вважаються обробкою даних у розумінні українського законодавства в сфері захисту персональних даних. Відтак, обробка включає в себе значний перелік дій, які можуть здійснюватися з персональними даними, але виключно для організації та проведення протиепідемічних заходів.
Хто може здійснювати обробку даних осіб, хворих на COVID-19?
Закон не дає чіткої відповіді на це питання. У ньому зазначено, що обробка персональних даних здійснюється в порядку, визначеному в рішенні про встановлення карантину, а дані використовуються виключно з метою здійснення протиепідемічних заходів. Наразі, такий порядок обробки персональних даних хворих на COVID-19 відсутній.
Можна тільки припустити, що здійснювати таку обробку персональних даних можуть ті суб’єкти, які організовують та проводять протиепідемічні заходи. Список цих суб'єктів, відповідно до Закону України "Про захист населення від інфекційних хвороб", є доволі широкий і включає, зокрема, органи виконавчої влади (Кабінет Міністрів України, Міністерство охорони здоров'я та ін.), органи місцевого самоврядування, заклади охорони здоров'я, а також підприємства, установи, організації незалежно від форми власності.
Період, протягом якого можлива обробка даних осіб, хворих на COVID-19
Законодавець нечітко визначив період, протягом якого діятимуть зміни. Так, у Прикінцевих та перехідних положеннях Закону передбачено, що зміни діятимуть на період встановлення карантину та протягом 30 днів з дня його відміни або протягом дії інших обмежувальних заходів (у разі, якщо вони не співпадатимуть із терміном дії карантину).
Водночас, Закон чітко встановлює, що протягом 30 днів після закінчення карантину персональні дані, які були використані без згоди осіб, підлягатимуть знеособленню, а у разі неможливості знеособлення – знищенню.
Інші питання, які регулює даний Закон
Окрім обробки персональних даних під час епідемії COVID-19, Закон регулює і інші питання. Зокрема передбачається, що на територіях, де запроваджено карантин, місцевим органам виконавчої влади та органам місцевого самоврядування надається право встановлювати особливий режим в'їзду, виїзду громадян і транспортних засобів, що може включати санітарний огляд речей, багажу, транспортних засобів та вантажів. Також місцева влада може створювати контрольно-пропускні пункти на в'їздах і виїздах з території карантину та з окремих адміністративно-територіальних одиниць, що знаходяться на території карантину.
За детальною інформацією звертайтесь до наших експертів:
Керуючий партнер
deyneko@everlegal.ua
Партнер
olenyuk@everlegal.ua