Следене на мобилни устройства по време на пандемия: къде се преминава границата?
20 Нови
Абонирайте се за Капитал

Всеки петък икономически анализ и коментар на текущите събития от седмицата.
Съдържанието е организирано в три области, за които Капитал е полезен:

K1 Средата (политическа, макроикономическа регулаторна правна)
K2 Бизнесът (пазари, продукти, конкуренция, мениджмънт)
K3 Моят капитал (лични финанси, свободно време, образование, извън бизнеса).

Абонирайте се за Капитал

Следене на мобилни устройства по време на пандемия: къде се преминава границата?

Следене на мобилни устройства по време на пандемия: къде се преминава границата?

Опитът досега показва необходимост мерките на държавите членки, засягащи лични данни, да бъдат координирани на ниво ЕС

3674 прочитания

© Анелия Николова


За автора



Кристина Чакърова е адвокат в Schoenherr

През последните седмици търсенето на ефективни мерки за ограничаване на разпространението на болестта COVID-19 е основен приоритет на засегнатите държави. Засега изглежда, че единна стратегия няма. Една от общите тенденции, които се наблюдават обаче, е осъзнаването на потенциала на данните, които нерядко биват наричани "новият петрол". Този потенциал се използва все повече при вземане на ключови решения - например при разработване на лекарства или ваксини, при преценка дали противоепидемичните мерки работят ефективно, в кои държави да се наложат ограничения на пътувания, къде има най-голяма нужда да се ограничи достъпът и др.

Все повече държави проявяват интерес към възможността да използват данни от мобилни устройства, включително лични данни, за следене и ограничаване на разпространението на пандемията. В същото време специалисти в областта на защитата на личните данни изразяват и резервите си към подобни мерки, предвид възможността да се отвори широко вратата на безконтролното следене на една от най-чувствителните сфери на личния живот.

В този контекст следва да се отчете, че основните нормативни актове от законодателството на ЕС - Общият регламент относно защитата на данните (GDPR) и Директивата за правото на неприкосновеност на личния живот и електронни комуникации предоставят достатъчно гъвкавост и възможности да се обработват лични данни в борбата с COVID-19. На 6 април 2020 г. Европейският надзорен орган по защита на данните (ЕНОЗД) изрично отбеляза, че "GDPR не е пречка за обработването на лични данни, които се считат за необходими от здравните органи за борба с пандемията". ЕНОЗД отбелязва и, че "правото на защита на личните данни не е абсолютно право; то следва да бъде оценено във връзка с функциите му в обществото и да бъде балансирано с останалите основни права в съответствие с принципа на пропорционалност".

Следователно за държавите - членки на ЕС, въпросът, изглежда, не е дали данните от мобилните устройства могат да бъдат следени, а по-скоро къде се преминава границата.

Какви промени бяха приети в България във връзка с обявеното извънредно положение?

С приетия в края на март Закон за мерките и действията по време на извънредното положение, обявено с решение на Народното събрание от 13 март 2020 г. (Закон за мерките), бяха направени и изменения в редица други закони, сред които и промени в Закона за електронните съобщения (ЗЕС), които засегнаха една чувствителна тема. Става дума за споделянето на лични данни, въз основа на които може да се определи местоположение на мобилно устройство. Въпреки че с тази промяна наскоро бе сезиран и Конституционният съд, тя не получи особено медийно внимание и обществена дискусия у нас, или поне не по същия начин, по който това се случи в други държави.

Изменението засяга разпоредбите в ЗЕС, които уреждат реда за съхранение и достъп до данните на предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги (например телеком оператори, интернет доставчици и др.). Те и досега бяха задължени да съхраняват и разкриват данни от мобилни устройства само в срок, за цели и на органи, изрично определени в ЗЕС. Тези данни включват телефонни номера, между които се осъществява връзка, дата, час, продължителност и вида на връзката, IMEI на устройството и идентификатор на ползваните клетки. ЗЕС изрично забранява съхраняването на данни, разкриващи съдържанието на съобщенията по този ред (чл. 251б, ал. 3).

Идеята на досегашната уредба е получените данни да бъдат съхранявани за кратък - 6-месечен, срок единствено за дефинираните в закона цели от обществено важно значение - нуждите на националната сигурност, разкриването на конкретни тежки престъпления и осъществяването на операции по издирване (чл. 251б от ЗЕС. Само за тези цели, а не по принцип, държавни органи, изрично посочени в ЗЕС (например ДАНС, Главна дирекция "Национална полиция" и др.), могат да изискат достъп от телеком операторите до горепосочените данни. Общото правило е, че такъв достъп се осъществява само след предварително разрешение на съд. Като изключение са уредени извънредни случаи, в които телеком операторите могат да предоставят незабавен достъп, а чак след това съд да потвърди или забрани вече предоставения достъп.

Резултатът от изменението в ЗЕС е, че телеком операторите вече са задължени да съхраняват и (при получено искане, без предварително разрешение на съд) да предоставят данни на компетентните органи и за още една цел - следене дали гражданите спазват наложените мерки за карантина.

Поглед под повърхността на новата уредба би дал по-добра представа дали е премината границата между контролираните целенасочени мерки за борба с COVID-19 и безконтролно дигитално следене.

Кой ще бъде засегнат от мерките?

Законодателят дефинира целта на съхранението на данните и засегнатите лица по следния начин: "за нуждите на принудителното изпълнение на задължителната изолация и болничното лечение на лица по чл. 61 от Закона за здравето, които са отказали или не изпълняват задължителна изолация и лечение". На пръв прочит изглежда, че кръгът лица, чиито данни могат да бъдат предоставени, е ограничен само до тези, които са отказали или неизпълняващи задължителна изолация и лечение. Кръгът е допълнително стеснен и чрез препратката към чл. 61 от Закона за здравето. Следователно лицата, чиито данни биха могли да бъдат предоставени на полицията, следва да отговарят едновременно на три условия.

Първото условие е да бъде издадена заповед на министъра на здравеопазването, с която да се разпореди задължителна изолация на болни, на заразоносители, на контактни лица и на лица, които са влезли в страната от чужбина (чл. 61, ал. 2 от ЗЗ. Това условие фактически е изпълнено във връзка с COVID-19 - министърът на здравеопазването е издал заповеди, с чието съдържание всеки може да се запознае на интернет страницата на Министерство на здравеопазването. Второто условие е за тези лица да бъде наложена задължителна изолация или лечение със заповед на ръководителя на съответното лечебно заведение по предложение на лекуващия лекар или на лекаря, насочил пациента за хоспитализация. Третото условие е те да са отказали или да не изпълняват задължителната изолация или лечение.

Следователно съгласно законовата уредба достъп може да се получи само до данните на лица, които са отказали или не изпълняват задължителна изолация или лечение, наложени със заповед на ръководител на лечебно заведение. От една страна, кръгът е достатъчно ограничен, за да не възникват притеснения, че неоправдано широк кръг лица ще бъдат следени по този ред. Идеята на закона не е мярката да се прилага по отношение на всички граждани, което би било много по-инвазивно нарушаване на неприкосновеността на личния живот. От друга страна, неизбежно се прокрадва въпросът как ще се установява фактът на неизпълнение на задължителната изолация (особено за лица, карантинирани при домашни условия). А този факт следва да бъде установен, преди да се поиска достъп от телеком операторите до данните на конкретното лице.

Друг интересен въпрос е има ли ефективен предварителен механизъм, който да гарантира, че това правомощие ще бъде използвано само по отношение на посочените в ЗЕС лица. Отговор на тези въпроси засега не може да бъде открит в законовата уредба.

Какви данни?

Важно е да се уточни, че при приемане на промяната в ЗЕС законодателят изрично е ограничил данните, които телеком операторите са длъжни да предоставят - това са само данните за идентификатор на ползваните клетки (данни за местоположение на устройство). Информация за конкретни телефонни номера, продължителност на разговори и други данни не се разкриват. Оттук следва, че компетентните органи биха могли да получат само данните, въз основа на които се определя приблизително местоположение на мобилно устройство. В контекста на изяснения по-горе кръг от лица събирането на точно тези данни изглежда логично. Въз основа на тези данни компетентните органи биха могли например да установят, че дадено лице, което би трябвало да е под 14-дневна карантина, не спазва предписаните мерки за изолация.

Кой има достъп до данните?

Съгласно ЗЕС единствените лица, които имат право да получат достъп до тези данни, са: Главна дирекция "Национална полиция", Столичната дирекция на вътрешните работи и областните дирекции на Министерството на вътрешните работи, т.е. органите на МВР и полицията.

Една от особеностите на уредбата е, че достъпът до данните ще става по ускорена процедура на "незабавен достъп" с последващо (а не предварително) уведомяване и разрешаване от съд. Оттук следва, че полицията няма да получава достъп по стандартната процедура, която изисква предварително разрешение на съд. Напротив, телеком операторите са задължени да предоставят достъп незабавно, а съдът може впоследствие да постанови отказ и унищожаване на данните в 24-часов срок от постъпване на искането, но след като данните вече са били предоставени.

Защита на личните данни?

Изглежда, че българският законодател е взел решение да включи данните от мобилните устройства като мярка за ограничаване на COVID-19. Обобщено решението изглежда така: полицията ще може да следи чрез данни за местоположение дали болни и карантинирани лица спазват задължителните указания на здравните органи.

От гледна точка на защитата на лични данни с промяната в ЗЕС фактически се създава необходимото законово основание данните да се обработват от телеком операторите и органите на МВР за целите на принудително изпълнение на задължителната изолация и болнично лечение. Дали тази мярка е необходима по смисъла на чл. 8 от Европейската конвенция за правата на човека (право на неприкосновеност на личния живот) е въпрос извън целите на настоящия материал.

Макар и обективно да навлиза в личната сфера на гражданите, е важно да се отбележи, че промяната в ЗЕС изглежда да е ограничена и като времетраене. Не изглежда безспорен въпросът обаче докога е ограничена.

От една страна, съгласно § 51 от ПЗР на Закона за мерките измененията в ЗЕС се прилагат "до отпадане на необходимостта от принудително изпълнение на задължителната изолация и болнично лечение на лица по чл. 61 от Закона за здравето, които са отказали или не изпълняват заповедта за задължителна изолация и лечение".

От друга страна, съгласно следващата разпоредба на §52 от ПЗР на Закона за мерките изменението в ЗЕС се прилага "до отмяна на извънредното положение". Въпреки това изглежда, че поле за тълкуване остава, а предвид чувствителността на въпроса това е най-малкото крайно нежелателно.

Подобно правомощие следва да бъде категорично и ясно ограничено във времето, без да се оставя възможност за различно тълкуване. Това би било допълнителна гаранция за правото на неприкосновеност на личния живот, както и за това, че тази възможност за следене на данните няма да остане отворена и след извънредното положение.

Може би най-сериозният недостатък на мерките всъщност е извън конкретната законодателна промяна - недостатъчната прозрачност и обществена дискусия за начина, по който ще се използват данните на гражданите, както и относно алтернативни възможности, използващи анонимни данни. Липсата на прозрачност води до подкопано доверие в приетите мерки. А това е жалко, най-малко защото разумно използваната технология може да бъде силен съюзник в борбата с COVID-19.

Ако искате да получавате правния бюлетин на мейла си, направете безплатен абонамент тук:

Искам да получавам бюлетина Легал Компас

Мобилно приложение

Макар и да не е законодателна мярка, в началото на април със заповед на министъра на здравеопазването се обяви, че се предоставя възможност и за използване на мобилно приложение за целите на борбата с COVID-19. Със сигурност своевременното въвеждане на тази мярка е похвално. Въпреки това за съжаление липсата на достатъчно прозрачност и информираност на гражданите се усеща и при нея.

Основната цел на приложението е гражданите да въвеждат сами информация за здравословното си състояние, съответно да получават информация, ако са били в близост до болен от COVID-19. Данните от мобилното приложение би следвало да дават и по-добра представа на държавните органи за заболеваемостта сред населението.

Освен лични данни като ЕГН, възраст и пол в приложението се предоставят и специални категории лични данни - за моментно здравословното състояние (симптоми, които биха могли да са свързани с COVID-19) и история на хронични заболявания. Мобилното приложение може следи и за местоположение на устройството. Важно е да се отчете, че инсталирането на приложението, както и предоставянето на които и да е било от данните, е на доброволен принцип, т.е. въз основа на съгласие. Задължение няма нито за инсталиране на приложението, нито за въвеждане на данните (както беше направено в някои държави).

Безспорно използването на подобно мобилно приложение може да помогне на държавните органи в борбата с COVID-19. Следва да се отбележат обаче поне три насоки, в които може да се мисли за подобрение с оглед защитата на данните - свеждане на данните до минимум, анонимизация на данните и повече прозрачност.

На пръв поглед изглежда, че мобилното приложение събира широк спектър от лични данни. Препоръчително е периодично да се преценява дали целите на държавните органи не биха могли да бъдат постигнати и с по-малко навлизане в личната сфера на гражданите, т.е. да не се събират определени видове данни, да се премине към използване на анонимни данни и т.н.

Друга насока за размисъл е прозрачността при предаването на данните. Например съгласно общите условия на приложението информацията се подава към Министерството на здравеопазването, което може да предоставя данните на компетентните органи за борба с разпространението на COVID-19. Дотук всичко изглежда логично, но като евентуални получатели на данните са посочени и трети страни доставчици на услуги, свързани с администрирането и функционирането на приложението. Предоставянето на данните на трети страни изглежда да не е направено по особено прозрачен за гражданите начин, особено като се има предвид чувствителността на тази информация. При подобно предоставяне е силно препоръчително данните да се анонимизират (доколкото е възможно), да се посочи по-конкретно кои са тези трети страни, какви данни им се предоставят и т.н. В това отношение също има поле за подобрение.

Какви мерки се предприемат извън България?

Оценката на предприетите мерки в България трудно би могла да бъде направена, без да се постави в контекста на случващото се и в други страни, които са изправени пред същите проблеми.

В държавите от ЕС още от края на февруари тече активна обществена дискусия по темата за данните от мобилни устройства и се възприемат различни подходи. Следенето на данни за местоположение чрез телеком оператори или използването на мобилни приложения са сред най-широко обсъжданите варианти. Прилагането на фрагментиран и некоординиран подход между различните държави членки обаче създава риск от намаляване на ефективността на мерките.

Например в Германия, като една от водещите държави в сферата на защита на лични данни, темата за дигитално следене е изключително чувствителна. Поради това в центъра на обществената дискусия е как да бъде постигнато ефективно използване на данни от мобилните устройства с минимално засягане на личната сфера на лицата. Сред най-обсъжданите варианти е използването на мобилно приложение по примера на една от първите държави, която въведе такава мярка - Сингапур (TraceTogether app).Принципът на функциониране на това приложение е съхраняване на данни на устройствата, които са били в близост до мобилния телефон, чрез Bluetooth технология. Целта е, ако човек се разболее от COVID-19, данните, които всъщност се съхраняват локално на приложението (допълнителна мярка за защита на личните данни), да бъдат използвани за установяване на контактни лица и за тяхното уведомяване. За да се ограничи засягането на неприкосновеността на личния живот, приложението не трябва да следи данни за местоположение. Към края на март плановете са подобно мобилно приложение да бъде използвано само доброволно.

В Австрия подобно мобилно приложение вече се използва активно с основна цел да уведомява лица, че са били в контакт с болен, без да се разкриват негови лични данни. Мобилното приложение е разработено така, че да се използват минимално необходими данни. Данните се събират анонимно, като само в случай че лицето докладва, че се е разболяло от COVID-19, на Австрийския червен кръст се разкрива негов телефонен номер и уникален ID номер, които не са свързани с други лични данни.

На 10 април 2020 г. компаниите Google и Apple също обявиха, че възнамеряват да използват Bluetooth протокол за целите на мобилни приложения, които да проследяват контактни лица. Идеята е да се засича кои мобилни устройства са били в близост до устройството на човек, за който впоследствие е потвърдено, че се е разболял от вируса.

Също в края на март във Великобритания националният орган за защита на личните данни излезе със становище, че използването на данни за местоположение от смартфоните би било законосъобразно, но ако данните са анонимизирани. Становището беше прието на фона на преговорите между правителството с местни телеком оператори относно възможностите за предоставяне на данните за местонахождение за следене дали гражданите спазват противоепидемичните мерки. В същото време в страната активно се обсъжда и вариантът с въвеждане на мобилно приложение.

В другите държави от ЕС като Франция, Полша, Нидерландия и други също се обсъждат или вече бяха приети подобни мерки.

Има ли план за координиране на мерките на ниво ЕС?

В контекста на откъслечни действия на държавите членки все повече се усеща необходимостта за координиране на мерките на ниво ЕС. Към съгласуване на различните национални мерки апелират европейските институции и органи, включително Европейската комисия (ЕК), ЕНОЗД и Европейският комитет за защита на данните (ЕКЗД).

Първият орган на ЕС, който даде насоки за съгласуване на действията между държавите членки, е ЕНОЗД в писмо от 25 март 2020 г. към ЕК. Конкретният повод за писмото на ЕНОЗД бяха дискусиите между държави членки и телеком операторите за предоставянето на данни, които да бъдат използвани за следене на разпространението на COVID-19. На 8 април 2020 г. ЕК публикува препоръки относно общ инструментариум на съюза за използване на технологии и данни за борба с кризата, породена от COVID-19, и за нейното преодоляване, и по-специално относно мобилните приложения и използването на анонимизирани данни за мобилността. На 15 април 2020 г. Мрежата за електронно здравеопазване (по чл. 14 от Директива 2011/24/ЕС) с подкрепата на ЕК предостави препоръки към държавите членки за използването на мобилни приложения за проследяване на контактни лица като мярка за ограничаване на COVID-19. На 21 април 2020 г. ЕКЗД прие насоки относно използването на данни за местоположение и начини за проследяване на контактни лица в контекста на COVID-19.

Изглежда, че на ниво ЕС е осъзнат потенциалът на данните като важен инструмент за информиране на обществеността и за подпомагане на държавните органи в усилията им да ограничат разпространението на вируса или да позволят на здравните органи да обменят данни за здравословното състояние. В същото време е осъзната и необходимостта да се приложи единен подход на държавите членки и да се намерят адекватни механизми за защита на основните права и свободи и по-специално правата за поверителност и защита на личните данни.

В публикуването до момента документи на ЕК, ЕКЗД и ЕНОЗД се коментират както мерки относно получаване на данни от телеком оператори, така и от мобилни приложения. Като правило използването на мобилни приложения се счита за по-малко навлизащо в личната сфера, включително предвид възможността ползвателят сам да контролира предоставяните данни. ЕКЗД изрично препоръчва да се използват анонимни данни и да не се следи местоположението на конкретно идентифицирано лице, а по-скоро да се разчита на информация за устройства, които са били в близост.

Други от основните препоръки в публикуваните документи на институциите и органите на ЕС са призоваването към анонимизиране на данните, които се получават от телеком оператори (включително на данните за местоположение); доброволно, а не задължително използване на мобилни приложения; ограничаването на срока за съхранение и изтриването на данните след края на пандемията (включително изпращане на съобщение на гражданите да изтрият мобилното приложение); максимална прозрачност към гражданите за използването на данните им с оглед изграждане на доверие; използване на мерки, които възможно най-малко нарушават неприкосновеността на личния живот, но въпреки това са ефективни; по възможност данните да се съхраняват само на мобилното устройство; повишена киберсигурност и др.

Активизирането на органите на ЕС е индикатор за значението и чувствителността на мерките, които включват следене на местоположение на мобилни устройства или мобилни приложения. Макар и много държави членки вече да са приели мерки, включително и законодателни, преосмислянето им през призмата на общи координирани мерки е необходимо. Особено с оглед намиране на разумния баланс между обществената сигурност и основното човешко право на неприкосновеност на личния живот.

Аргументите за и против подобни мерки, както и конкретното им имплементиране се обсъждат активно. От една страна, не може да се отрече, че използването на данните в този момент може да бъде изключително ефективно средство за ограничаване на пандемията, както вече се случи в държави като Китай и Южна Корея. От друга страна, историята е показала, че едни от най-трайните мерки остават тези, които са въведени като временни. Експерти в областта на защитата на лични данни изразяват притесненията си, че предаването на чувствителни данни в големи количества преминава граница, от която може да е трудно да се отстъпи, когато събитията се върнат към нормалния си ход. Затова широко обществено обсъждане и координирани мерки на държавите членки при съобразяване с насоките на органите на ЕС изглежда все по-необходимо. Към момента на ниво ЕС изглежда да са публикувани достатъчно подробни препоръки, въз основа на които държавите членки да разработят ефективни мерки, които същевременно уважават правото на неприкосновеност на личния живот и на защита на личните данни.


2 коментара
  • 1
    eip52315793 avatar :-|
    eip52315793

    Перфектното прикритие за поредното проявление на не0либералния тоталитаризъм

    Интернет на нещата е с мисия - тотален шпионаж и тотален контрол на личното ни пространство

    С бясна скорост се промотира и Интернет на телата - с мисия тотален шпионаж и тотален контрол на физическите ни тела.
    Ще направи реешотелна крачка към вкарването на теехнологично робско клеймо чрез новите смарт ваксини на Бил Геноцидс

    Заради загриженост , разбира се ;)

    Прословутата измамническа сделка : псевдосигурност срещу права!


    Всъщност не0либералния тоталитаризъм по подразбиране иззема всякакъв шанс за Сигурност.

    Технологиите , в това число и ИИ дават възможност за индивидуален подход в шпионирането и репресиите срещу инакомислещите и срещу мислещите въобще ;)

    Всички тези безумни мерки са в полза на 1 Промил (+ част от антуража им , примеерно от индустриите на измамата) и техните Господари

    За да могат , примерно, необезпокоявано да добиват и потребяват адренохром.
    И все такива мили и антихуманни занимания , за които гоим са само тор в краката им ;)
    Или говорещи оръдия според римското право, нали :) ?!

  • 2
    epk1515013158546444 avatar :-|
    Венцеслав Ралев

    Забрави да кажеш за Хемтрейлс и Хаарп.


Нов коментар

За да публикувате коментари,
трябва да сте регистриран потребител.


Вход

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. OK