Приклад порушення прав на захист персональних даних

Інформаційний медичний сервіс і персональна інформація - приклади порушень і недоліків у роботі інформаційних сервісів у сфері надання медичних послуг.

Приклад порушення прав на захист персональних даних

Медичний сервіс Helsi Me – загальновідомий онлайн-сервіс, порушення у роботі якого залишились осторонь уваги органів контролю у сфері захисту персональних даних. Наші юристи мали досвід користування сервісом і стали свідками порушень. Ця стаття розміщена для сприяння усуненню виявлених недоліків та їх недопущення у роботі аналогічних за функціоналом медичних інформаційних сервісів.

Helsi me – яскравий приклад порушення прав на захист персональних даних у сфері надання інформаційних послуг та інформації про медичні послуги. Мова про персональну інформацію дійсно особистого характеру. Багато хто сприймає Helsi me як державний сервіс. Це не так – Helsi me належить і обслуговується комерційною структурою – Товариством з обмеженою відповідальністю «ХЕЛСІ ЮА». Відомості про ТОВ “ХЕЛСІ ЮА” з ЄДР:

  • ідентифікаційний код юридичної особи (код ЄДРПОУ) – 40436197;
  • юридична адреса – місто Київ, вулиця Воздвиженська, будинок 56, поверх 5, індекс 04071;
  • основний КВЕД – 63.11 “оброблення даних, розміщення інформації на веб-вузлах і пов’язана з ними діяльність”;
  • керівник – Донець Євген Євгенович;
  • кінцеві бенефіціарні власники (контролери) ТОВ “ХЕЛСІ ЮА”: Кольга Василь Володимирович разом із ТОВ “24/7.МЕДИКАЛ” (КОД ЄДРПОУ 40418885), а також Рекіянов Дмитро Сергійович;
  • телефон (згідно з ЄДР) +380678465176.

Нагадаємо – відомості з ЄДР є відкритими і публічними, їх вільне поширення не заборонене законом. Інша справа – розкриття персональної інформації, особливо про пацієнтів медичних установ, – це грубе порушення законодавства України у сфері захисту персональних даних. Нижче опишемо встановлені порушення. Це не тільки порушення Закону України “Про захист персональних даних”, це також порушення у сфері захисту прав споживачів, зокрема прав на вичерпну та достовірну інформацію про послуги.

Інформаційний медичний сервіс і персональна інформація - приклади порушень і недоліків у роботі інформаційних сервісів у сфері надання медичних послуг.
Медичні інформаційні сервіси: персональна інформація користувачів і приклади порушень.

Порушення прав на захист персональної інформації.

Інформаційний сервіс Helsi Me – один з багатьох прикладів порушень, які оглядаються і розбираються юристами Legal Support. Така практика розпочата на початку 2019 року. І першим яскравим прикладом порушень прав на захист персональних даних став сайт кандидата у Президенти України (нині чинного Президента) – Сайт кандидата в президенти порушує законодавство України. Потім була ROZETKA з низкою порушень. Наразі ж розбираємось у недоліках інформаційних медичних сервісів.

Після публікації статті ми звернулися до адміністрації медичного сервісу Helsi для усунення виявлених недоліків. Якщо адміністрація медичного інформаційного сервісу не прийме до уваги надану інформацію і не усуне виявлені у роботі сервісу недоліки, вимушені звернутися до Секретаріату Уповноваженого Верховної Ради України з прав людини з проханням провести перевірку встановлених фактів порушень та вжити заходи щодо їх усунення.

Секретаріат Уповноваженого ВРУ з прав людини – це орган контролю за дотриманням прав на захист персональних даних. Про підготовку і правильне оформлення заяв щодо захисту персональної інформації розкажемо у найближчій консультації.

Робота юриста не обмежується встановленням недоліків. У консультаційних матеріалах Legal Support пояснюється як законно обробляти персональну інформацію, які права на захист персональних даних встановлені законодавством України та європейським регламентом – Використання персональних даних в Україні та ЄС.

Приклад порушення прав на захист персональної інформації у роботі інформаційного сервісу.

Медичний сервіс Helsi me призначений для лікарів та їх пацієнтів. Отже мова про сервіс, який працює з надзвичайно чутливою персональною інформацією. Серед такої інформації – історія отримання медичних послуг, відомості про декларацію з лікарем, ПІБ, ідентифікаційний номер (РНОКПП), дата та місце народження. Здавалось би, порушення тут недопустимі, але вони є! Helsi me – це, в першу чергу, приклад порушення прав на захист персональних даних у сфері надання медичних послуг та інформації про медичні послуги. В другу – приклад порушень у сфері захисту прав споживача. Почнемо з першого пункту – з порушення прав на захист персональних даних та порядку їх обробки.

Згода користувача Helsi me та нереалізовані права на захист інформації.

Хайп на вакцинації від COVID і вдале SEO за пошуковими фразами, на кшталт “записатися на вакцинацію” зіграло не на користь сервісу Helsi me, але на користь пацієнтів та тих, хто має намір отримати медичні послуги, оскільки приклади порушень не залишились осторонь уваги юристів.

Шукаючи можливість зробити другу вакцину Moderna і зареєструватись на щеплення юрист нашої команди натрапив на сайт Helsi me, зареєструвався за своїм номером телефону, до якого прив’язано декларацію з лікарем, та побачив персональні дані зовсім іншої особи. Попереджаючи можливі запитання з приводу номеру телефону, повідомляємо – це контрактний номер, який використовується з 2004 року.

Але про це пізніше, спочатку поглянемо як справи з Політикою Конфіденційності сервісу Helsi me. Розчаруємо Вас – Політики Конфіденційності Helsi me немає. Натомість, дещо схоже на неї викладено у документі під назвою “Згода користувача”. Добре, юристи вивчили і проаналізували “Згоду користувача” Helsi me. За результатами юридичного аналізу “Згоди користувача” Helsi me виявилося:

  1. Згода користувача Helsi me складена без урахування правил Закону України “Про електронну комерцію”.
  2. Документ також не враховує приписи Цивільного кодексу України про публічний договір та договір приєднання.
  3. Окрім найменування ТОВ “ХЕЛСІ ЮА” не вказано жодних інших реквізитів, зокрема, у “Згоді користувача” відсутня інформація для зворотного зв’язку користувачів сервісу.
  4. У документі відсутній повний і вичерпний опис послуг, які надаються через інформаційний сервіс.
  5. Якщо ж оцінювати “Згоду користувача” Helsi me як Політику Конфіденційності, то у ній наведено не вичерпний перелік персональної інформації, яка збирається і обробляється.
  6. В документі перераховані права на захист персональної інформації за законом, але фактично ці права не реалізовані – не визначено обов’язки розпорядника і володільця бази персональних даних, не вказано місцезнаходження бази персональної інформації, не наведено відомості про умови надання доступу до персональних даних, не визначено гарантії суб’єкта персональних даних та механізм їх реалізації.
  7. Більше того, в розділі “Де будуть зберігатися персональні дані?” (дивіться вкладений скрін) немає жодного слова про місцезнаходження персональних даних, місцезнаходження власника чи розпорядника бази персональних даних.
Фото згоди користувача інформаційного медичного сервісу Хелсі. Згода користувача ТОВ "ХЕЛСІ ЮА" та "інформація" про місце зберігання персональних даних.
Згода користувача ТОВ “ХЕЛСІ ЮА” та інформація про місце зберігання персональних даних.

Звісно, ми мали справу і з більш кричущими порушеннями прав на захист персональних даних. Але, Helsi me – відомий інформаційний медичний сервіс, який багатьма помилково сприймається як державний. І це недивно – користуватися ним радять працівники і волонтери центрів вакцинації. Останні і самі щиро вірять у те, що Helsi me є офіційним державним сервісом. Звісно у діях адміністрації немає характеру злого умислу на введення в оману. Однак, і розвінчувати міф про державний сервіс теж ніхто не поспішає. А тепер повернемося до факту компрометації персональних даних пацієнтів користувачів медичного сервісу Helsi me.

Компрометація персональної інформації користувачів медичного сервісу.

Під час входу до користувацької частини інформаційного медичного сервісу Helsi me встановлено, що замість персональних даних зареєстрованого користувача (відомості про декларацію якого, між іншим, вказані правильно), у системі підтягнуто і розкрито персональну інформацію зовсім іншої людини. Це, зокрема інформація про місце народження, РНОКПП, ПІБ і дату народження. Юрист, який виявив цей недолік зауважив – “напевно, так само і інший користувач сервісу отримав доступ до моїх персональних даних“. І це може бути правдою, оскільки “швидка перевірка по знайомих” підтвердила не поодинокість таких порушень у роботі медичного сервісу.

Інформаційний медичний сервіс Helsi mi: кабінет користувача та скомпрометована персональна інформація користувача.
Інформаційний медичний сервіс Helsi mi: кабінет користувача та скомпрометована персональна інформація.

Персональні дані, які скомпрометовані через інформаційну систему, приховані. Скажімо лише, що місцем народження особи значиться Харківська область. Наш юрист зареєстрований у місті Харків, а особа чиї дані скомпрометовані – у місті Зміїв Харківської області. Можливо ця інформація допоможе усунути виявлені порушення прав на захист персональних даних. Ми готові сприяти усуненню виявлених недоліків та надати адміністрації медичного сервісу повну інформацію.

Медичний інформаційний сервіс у своїй роботі не має створювати прикладів подібних порушень. І нехай Helsi mi дійсно не державний сервіс, вимоги закону про захист персональної інформації поширюються на всі юридичні особи. Тут правило просте – або не збирай і не обробляй персональні дані, або дотримуйся вимог закону та належним чином інформуй своїх користувачів через політику конфіденційності про вичерпні способи, форми і обсяги обробки персональної інформації. Друге важливе правило – отримуй поінформовану згоду користувача на всі перераховані дії з персональною інформацією. І третє правило – компрометація персональної інформації не допустима!

Відсутність повної інформації про послуги, які надаються через інформаційний медичний сервіс.

Інформаційний медичний сервіс – це складний програмний продукт, який взаємодіє з користувачем через веб-сайт, та реалізує низку функцій. Фактично через сервіс Helsi mi та аналогічні медичні сервіси надаються інформаційні послуги, які опосередковано, а іноді і прямо, пов’язані з медичними послугами.

Станом на 06.09.2021 медичний сервіс Helsi mi не має повноцінного опису та вичерпного переліку функцій і послуг, які надаються для пацієнтів медичних закладів, через інформаційну систему сервісу. В тексті “Згоди користувача” Helsime вказано лише – “Ваші персональні дані збираються з метою надання якісних та своєчасних послуг, забезпечення повноцінного функціонування Helsi. Це стосується не лише системи в цілому, а і окремих сервісів, які Ви можете обирати: запис до лікаря, ведення електронної медичної карти, підписання декларації з лікарем первинної ланки, оформлення договорів страхування, зберігання інформації, надання рекомендацій або інформації тощо. Коли Ви звертаєтесь до закладів охорони здоров’я, за допомогою Helsi може бути організовано процес надання Вам медичної допомоги або медичних послуг, в тому числі охорони здоров’я, медичного спостереження, встановлення медичного діагнозу, забезпечення піклування чи лікування“.

Чи це вичерпний і достатній опис послуг, які надаються користувачам через інформаційну систему медичного сервісу? Ні – у документі наведено лише невичерпний перелік з назвою послуг і сервісів, без їх належного опису. Відсутність повної і вичерпної інформації не узгоджується з вимогами частини 1 статті 6 та частини 7 статті 14 Закону України “Про захист прав споживачів”. Це особливо важливо в світлі факту компрометації персональної інформації користувачів сервісу та пов’язаних із цим ризиків. Про всі права споживача та обов’язки бізнесу можна дізнатися з Цифрового куточку споживача.

Як виправити недоліки у наведених прикладах порушень в роботі сервісу?

  1. Усунути програмно-технічні недоліки інформаційного сервісу, що призводять до компрометації персональної інформації та їх помилкового розкриття іншим користувачам. Це – пріоритетне завдання.
  2. Розробити і виписати детальну оферту (договір приєднання) для урегулювання відносин з користувачами інформаційного медичного сервісу. Документ складається відповідно до приписів Цивільного кодексу України та правил Закону України “Про електронну комерцію” (навіть якщо сервіси і послуги на теперішній час безоплатні). У документі наводиться детальний опис всіх послуг і сервісів, що доступні через веб-сайт Helsi me.
  3. Згода користувача Helsi me, якщо її розглядати як Політику Конфіденційності, має бути приведена у відповідність до вимог Закону України “Про захист персональних даних”. Встановлені в цій частині недоліки перераховані вище, ключовий з них – відсутність повної інформації про володільця і розпорядника бази персональних даних, а також про місцезнаходження бази персональних даних. Крім того, слід виписати механізм (спосіб) реалізації прав суб’єкта персональних даних.

Чи є Політика Конфіденційності або схожий за змістом документ обов’язковим для сайту? Не завжди – за чинним законодавством України сайт може працювати без такого документу якщо збір персональних даних не проводиться. А оскільки через веб-сайт інформаційного медичного сервісу збір персональної інформації проводиться, то обов’язки щодо вичерпного інформування користувачів та отримання їх згоди мають бути виконані. Найзручніша форма інформування користувачів та отримання їх згоди – Політика Конфіденційності.

Невідворотне посилення захисту персональної інформації.

Історія реєстрації на вакцинацію від COVID показала приклад порушень, що через виток персональної інформації можуть зашкодити інтересам користувача. Зловмисники, маючи скомпрометовані персональні дані, можуть використати їх у різних протиправних цілях.

Сподіваємося, що завдяки нашому допису компрометація даних через інформаційні сервіси стане менш поширеним явищем. У досягненні мети мінімізації ризиків має сприяти нова редакція Закону України “Про захист персональних даних”, яка розглянута у статті Інститут відповідальної особи з питань захисту персональних даних. Посилена відповідальність та чіткі обов’язки особи, що здійснює обробку персональної інформації, не залишають іншого варіанту, окрім як докладати максимум зусиль для захисту особистої інформації користувачів.

Розглянутий інформаційний медичний сервіс є найвідомішим з низки інших аналогічних. Станом на день написання цієї статті користувачі медичного сервісу наражають свої персональні дані на небезпеку. Виявлені факти порушень належним чином оглянуті 06.09.2021 у присутності адвоката і двох свідків та зафіксовані у протоколі огляду.

Ми надаємо сервісу Helsi час на усунення вказаних недоліків. На переконання юристів Legal Support три дні більш ніж достатньо. Інформація про порушення надіслана нами за адресою електронною пошти support@helsi.me. Якщо порушення не будуть усунуті, ми змушені звернутися до органів контролю для перевірки названих фактів порушень прав на захист персональних даних і реагування. Аналогічно і по лінії порушень у сфері захисту прав споживачів.