Механизмы предупреждения утечки персональных данных при чрезвычайной ситуации в области здравоохранения на примере пандемии коронавирусной инфекции COVID-19 в странах Европы и Азии

В статье автор рассматривает существующие механизмы по предупреждению утечки персональных данных на примере механизмов, которые использовались странами Европы и Азии в период распространения коронавирусной инфекции COVID-19.

Ключевые слова: персональные данные, пандемия, коронавирусная инфекция COVID-19, защита персональных данных, предупреждение утечки персональных данных, механизмы по предупреждению утечки персональных данных, нормативная правовая база, GDPR.

Проблема утечки персональных данных является актуальной, на мой взгляд, на данный момент в связи с распространением такого течения, как цифровизация общества и государства в частности.

До появления и распространения пандемии коронавирусной инфекции COVID-19 в различных странах существовали разного рода механизмы по защите конфиденциальности персональных данных, предупреждению их утечки и т. д., некоторые из таких механизмов появились в ответ на вызов распространения пандемии коронавирусной инфекции COVID-19.

В одной из своих статей Privacy International (организация, которая защищает и продвигает право на неприкосновенность частной жизни во всем мире начиная с 1990 г.) «Tracking the Global Response to COVID-19» заявила:

« Технологические компании, правительства и международные агентства объявили о мерах по сдерживанию распространения вируса COVID-19, известного также как коронавирус.

Некоторые из этих мер накладывают серьезные ограничения на свободу людей, в том числе на их частную жизнь и другие права человека. Беспрецедентные уровни слежки, использования данных и дезинформации испытываются по всему миру.

Многие из этих мер основаны на чрезвычайных полномочиях, которые могут быть использованы только временно в чрезвычайных ситуациях. Другие используют исключения в законах о защите данных для обмена данными.

Некоторые из них могут быть эффективными и основанными на советах эпидемиологов, другие — нет. Но все они должны быть временными, необходимыми и соразмерными.

Очень важно следить за их соблюдением. Когда пандемия закончится, такие чрезвычайные меры должны быть отменены и за них необходимо отчитаться » [1].

В данной статье будет проведен анализ механизмов, используемых в период пандемии коронавирусной инфекции СОVID-19 для защиты персональных данных, предупреждению их утечки, раскрытия их конфиденциальности в странах Европы (Финляндия, Эстония) и странах Азии (Сингапур, Южная Корея).

Финляндия . В Финляндии к вопросу о персональных данных граждан относятся «на высшем уровне» и конфиденциальность данных граждан является приоритетом в политике государства даже в условиях распространения пандемии коронавирусной инфекции COVID-19.

В Финляндии существует расширенная нормативная правовая база покрывающая сферу персональный данных, сюда относятся Закон об услугах электронных коммуникаций [2], который направлен на обеспечение защиты конфиденциальности и конфиденциальности электронных сообщений, Закон о конфиденциальности / Положение о защите данных (Tietosuojalaki) 1050/2018 [3], Закон о защите персональных данных (Henkilötietolaki) 523/1999 [4], Закон о Совете по защите данных и Уполномоченном по защите данных 389/1994 [5], так же относятся отраслевые законы касающееся действий силовых структур — Закон об обработке персональных данных в действиях полиции [6], Закон об обработке персональных данных в пограничной службе [7], Закон об обработке персональных данных на таможне [8]. Естественно, как и на других территориях Европейского союза на территорию Финляндии распространяется GDPR [9].

Так же для защиты персональных данных своих граждан в структуре органов Правительства Финляндии существуют институт Уполномоченного по защите персональных данных и Совет по защите данных. Полномочия и принимаемые решения Совета по защите данных включают толкование Закона о персональных данных, а полномочия и решения Уполномоченного по защите данных распространяются на толкование Положения о защите данных и Закона о защиты персональных данных.

Эстония. ВЭстонии как механизм по защите персональных данных существует отдельный институт — Инспекция по защите данных (AKI) [10] она основана на национальных законах, таких как Закон о защите личных данных [11], Закон о публичной информации [12], Законе об электронной связи [13], Регламента о Системе мер безопасности информационных системах [14], также на основе международный правовых актов, таких как GDPR.

Еще одним немаловажным механизмом, на мой взгляд, является закрепление определенных прав в Конституции государства, таким образом у прописанных прав будет статус конституционных прав, что еще больше, на мой взгляд, акцентирует внимание на защите их со стороны государства.

Право получать информацию о деятельности учреждений, право на неприкосновенность частной и семейной жизни при использовании личных данных, право получения доступа к данным, собранным относительно Вас, являются конституционными правами в Эстонии, т. е. прописаны в Конституции Эстонской Республики [15].

Сингапур. Сингапур является первой страной, применявшей технологию отслеживания контактных заболеваний коронавирусом.

В Сингапуре запустилось приложение Trace Together как дополнительный инструмент для предотвращения распространения инфекции. Trace Together построен на протоколе Blue Trace, разработанном командой правительственных цифровых услуг в государственном технологическом агентстве Сингапура.

Мобильные приложения и носимые устройства (в будущем), которые развертывают протокол Blue Trace, способны сочетать децентрализованные и централизованные модели отслеживания контактов. Сбор и протоколирование данных о встречах/близости между устройствами, реализующими Blue Trace, осуществляется одноранговым децентрализованным способом для сохранения конфиденциальности [16]. Так же очень важным аспектом является сохраняющий конфиденциальность протокол для отслеживания контактов Government Technology Agency Singapore [17]. Создание подобного рода приложения не может осуществляться без Закона о защите персональных данных (Personal Data Protection Act 2012) [18].

Южная Корея. Южная Корея является одной из передовых стран по внедрению информационных технологий в повседневную жизнь людей, поэтому ее нормативно-правовая база о персональных данных внушительная. К примеру, Закон о защите персональных данных № 16930 с поправками от 4 февраля 2020 г. (PIPA) [20], Постановление об использовании видеоданных видеонаблюдения для других целей [21].

В Южной Корее существуют ряд институтов для защиты информации, к примеру Комиссия по защите персональных данных (PIPC) [22]. PIPC является независимым органом, созданным в соответствии с Законом о защите личной информации (PIPA) для защиты прав частных лиц. Ключевая роль PIPC состоит в том, чтобы обдумывать и принимать решения в отношении политики в отношении персональных данных, координировать разногласия между другими государственными органами в отношении обработки персональных данных.

В Корее, как и во многих других странах, персональными данными занимается Министерство внутренних дел и безопасности (MOIS). Как компетентный орган Закона о защите личной информации, MOIS отвечает за разработку и расследование политики в отношении персональных данных, а также за соблюдение законодательства о защите личных данных.

Существует также такой механизм как Корейская комиссия по связи (KCC) [23], являясь компетентным органом Закона о содействии использованию информационных и коммуникационных сетей и защите информации [24], KCC регулирует деятельность поставщиков услуг вещания и связи, защищает пользователей услуг вещания и связи, а также устанавливает и внедряет политики защиты персональных данных, связанных с вещанием и связью.

Корейское агентство Интернета и безопасности (KISA) [25] в качестве уставной организации, установленной в Законе о содействии использованию информационных и коммуникационных сетей и защите информации, роль KISA в отношении защиты персональных данных заключается в оказании поддержки и помощи правительству и органам местного самоуправления в устранении нарушений данных и исследовать, и предоставлять консультации по стандартам и политикам защиты персональных данных.

Таким образом можно сделать вывод, что существуют следующие механизмы по предупреждению утечки персональных данных: институциональный (создание органа/организации в системе государственных органов или независимого для обеспечения и соблюдения защиты персональных данных), нормативно-правовой (создание более обширной базы законодательства в данной области). На мой взгляд, это два основных механизма, также можно как дополнительный, но не менее важный, добавить конституционный механизм (четкое регламентирование прав в данной области в Конституции государства для еще большей гарантии защиты).

Литература:

1. Tracking the Global Response to COVID-19 // Официальный сайт Privacy International. — URL: https://privacyinternational.org/examples/tracking-global-response-covid-19 (дата обращения: 26.04.2021).
2. Закон об услугах электронных коммуникаций // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/ajantasa/2014/20140917?search %5Btype %5D=pika&search %5Bpika %5D=Tietosuojalaki %20 %281050 %2F2018 %29 %20#O1L1P1 (дата обращения: 20.03.2021).
3. Закон о конфиденциальности / Положение о защите данных (Tietosuojalaki) 1050/2018 // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/alkup/2018/20181050?search %5Btype %5D=pika&search %5Bpika %5D=Tietosuojalaki %20 %281050 %2F2018 %29 %20#highlight2 (дата обращения: 20.03.2021).
4. Закон о защите персональных данных (Henkilötietolaki) 523/1999 // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/smur/1999/19990523?search %5Btype %5D=pika&search %5Bpika %5D=Henkil %C3 %B6tietolaki (дата обращения: 20.03.2021).
5. Закон о Совете по защите данных и Уполномоченном по защите данных 389/1994 // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/smur/1994/19940389 (дата обращения: 20.03.2021).
6. Закон об обработке персональных данных в действиях полиции // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/ajantasa/2019/20190616?search %5Btype %5D=pika&search %5Bpika %5D=Tietosuojalaki %20 %281050 %2F2018 %29 %20 (дата обращения: 20.03.2021).
7. Закон об обработке персональных данных в пограничной службе // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/ajantasa/2019/20190639?search %5Btype %5D=pika&search %5Bpika %5D=Tietosuojalaki %20 %281050 %2F2018 %29 %20 (дата обращения: 20.03.2021).
8. Закон об обработке персональных данных на таможне // Законодательная база FINFLEX Министерства юстиции Финляндии. — URL: https://www.finlex.fi/fi/laki/ajantasa/2019/20190650?search %5Btype %5D=pika&search %5Bpika %5D=Tietosuojalaki %20 %281050 %2F2018 %29 %20 (дата обращения: 20.03.2021).
9. Регламент N 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» // СПС «Консультант плюс» — URL: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=INT&n=60453#003767032763740463 (дата обращения: 21.05.2021).
10. Официальный сайт Инспекции по защите данных. — URL: https://www.aki.ee/ru/inspekciya (дата обращения: 21.05.2021).
11. Закон о защите личных данных // Государственная канцелярия Министерства Юстиции Эстонии. — URL: https://www.riigiteataja.ee/akt/106012016010 (дата обращения: 20.05.2021).
12. Закон о публичной информации // Государственная канцелярия Министерства Юстиции Эстонии. — URL: https://www.riigiteataja.ee/akt/122032011009 (дата обращения: 20.05.2021).
13. Закон об электронной связи // Государственная канцелярия Министерства Юстиции Эстонии. — URL: https://www.riigiteataja.ee/akt/123032011011 (дата обращения: 20.05.2021).
14. Регламент о Системе мер безопасности информационных системах // Государственная канцелярия Министерства Юстиции Эстонии. — URL: https://www.riigiteataja.ee/akt/13125331 (дата обращения: 20.05.2021).
15. Конституция Эстонской Республики // Государственная канцелярия Министерства Юстиции Эстонии. — URL: https://www.riigiteataja.ee/en/eli/ee/rhvv/act/530122020003/consolide (дата обращения: 20.05.2021).
16. Официальный сайт Blue Trace Protocol. — URL: https://bluetrace.io/manifesto/ (дата обращения: 14.05.2021).
17. Официальный сайт Government Technology Agency Singapore. URL: https://www.tech.gov.sg/ (дата обращения: 14.05.2021).
18. Закон о защите персональных данных (Personal Data Protection Act 2012) // Официальный сайт Правительства Сингапура. — URL: https://sso.agc.gov.sg/Act/PDPA2012 (дата обращения: 14.05.2021).
19. Официальный сайт Комисcии по защите персональных данных Сингапура. — URL: https://www.pdpc.gov.sg/ (дата обращения: 14.05.2021).
20. Закон о защите персональных данных № 16930 с поправками от 4 февраля 2020 г. (PIPA) // Корейский законодательный информационный центр. — URL: https://www.law.go.kr/ %EB %B2 %95 %EB %A0 %B9/ %EA %B0 %9C %EC %9D %B8 %EC %A0 %95 %EB %B3 %B4 %EB %B3 %B4 %ED %98 %B8 %EB %B2 %95 (дата обращения: 21.05.2021).
21. Постановление об использовании видеоданных видеонаблюдения для других целей // Официальный сайт Комиссии по защите персональных данных Южной Кореи. — URL: http://www.pipc.go.kr/cmt/english/news/selectBoardArticle.do?nttId=6441&bbsId=BBSMSTR_000000000126 (дата обращения: 21.05.2021).
22. Официальный сат Комиссии по защите персональных данных. — URL: http://www.pipc.go.kr/ (дата обращения: 21.05.2021).
23. Официальный сайт Комиссии по коммуникациям Южной Кореи. — URL: https://kcc.go.kr/user.do (дата обращения: 21.05.2021).
24. Закон о содействии использованию информационных и коммуникационных сетей и защите информации // https://www.law.go.kr/LSW//lsSc.do?section=&menuId=1&subMenuId=15&tabMenuId=81&eventGubun=060101&query= %EC %A0 %95 %EB %B3 %B4 %EB %B3 %B4 %ED %98 %B8+ %EB %B2 %95+ %EC %8B %9C %ED %96 %89 %EB %A0 %B9+ %EC %A0 %9C+28355+ %ED %98 %B8#undefined (дата обращения: 21.05.2021).
25. Официальный сайт Корейское агентство Интернета и безопасности. — URL: https://www.kisa.or.kr/main.jsp (дата обращения: 21.05.2021).