Незалежно від виду та підстав надання гуманітарної допомоги, організації, що працюють з постраждалими, чи з тими, хто потребує притулку, мають вести документацію і фіксувати порядок надання допомоги. А отже – збирають персональні дані. Так, наприклад, під час роздачі продуктових наборів у Чернігові проводили реєстрацію, аби продуктів вистачило усім, і збирали для цього мінімальну необхідну кількість інформації для ідентифікації особи. Така практика не є новою й для інших регіонів.

Не секрет, що часто гуманітарна допомога та центри її роздачі координувалися міжнародними організаціями – такими, як ЮНЕСКО, ЮНІСЕФ, Рада Європи тощо. Водночас на цьому ґрунті виникали й скандали – щодо нехтування положеннями українського законодавства про захист даних з боку цих організацій. Це змусило багатьох насторожено ставитися до отримання допомоги в міжнародних центрах.

Що спричинило такі ситуації і чи варто починати непокоїтися?

Наприклад, минулого року виник скандал щодо неправомірного збору персональних даних фондом ЮНІСЕФ в межах програми грошової допомоги “Спільно”, яка розрахована на виділення коштів багатодітним родинам чи родинам з дітьми, які мають інвалідність. Логічним в цьому випадку було збирання інформації щодо наявності в родині дітей та стану їхнього здоров’я. Водночас блогер Сергій Гула у своєму відео зазначав, що ЮНІСЕФ не отримує дозволу на обробку персональних даних, хаотично передає їх третім особам і не впроваджує жодних гарантій безпеки, що порушує Закон України “Про захист персональних даних”.

Утім, виявилося, що жодних порушень з боку ЮНІСЕФ не було. Про це у своєму дослідженні розповіли українські фактчекери проєкту VoxCheck. Зокрема, вони перевірили правила обробки персональних даних, якими керується ЮНІСЕФ, а також особу адвоката, який поширював інформацію про незаконний збір персональних даних. З’ясувалося, що він і раніше робив неправдиві заяви в контексті пандемії та вакцинації, тому поширена дезінформація щодо ЮНІСЕФ не стала першим епізодом. Проте такі акції є досить небезпечними, адже вони підривають довіру до міжнародних інституцій і сприяють тому, що особи, які потребують допомоги, бояться звернутися по неї через страх шахрайства і порушення прав.

Варто усвідомлювати, що отримати індивідуальну гуманітарну допомогу без ідентифікації особи та вказання мінімальної інформації про неї майже нереально. До прикладу, видаючи засоби особистої гігієни чи одяг, гуманітарні організації потребують щонайменше дані про стать особи та розмір одягу. Також при виплаті одноразової фінансової допомоги організації потребують паспортні (або інші ідентифікаційні) дані особи, щоб пересвідчитися, що людина ще не отримувала таку допомогу. Якщо певний тип допомоги надається лише особам з дітьми – організації вимагатимуть підтвердження, що особа має дітей – наприклад, паспортні дані чи свідоцтво про народження дитини. І така практика є абсолютно нормальною з огляду на те, що організації зацікавлені у допомозі якнайбільшій кількості постраждалих від конфлікту, а також у попередженні зловживань з боку недобросовісних осіб.

Отже, вимога надати мінімальну кількість персональних даних є легітимною, коли йдеться про отримання гуманітарної допомоги, спеціального статусу чи тимчасового захисту. Втім, збирати та обробляти персональні дані, особливо чутливу інформацію про походження, стать чи сексуальну орієнтацію, можна лише за наявності згоди відповідної особи – це є ключовою підставою обробки даних і “перестрибування” через таку вимогу явно становитиме порушення. Тож ключовим питанням є: коли така згода є дійсною?

У Посібнику із захисту персональних даних під час надання гуманітарної допомоги, розробленому Міжнародним комітетом Червоного Хреста, наведені характеристики згоди особи на обробку її даних, які роблять таку згоду валідною. Зокрема, згода повинна включати такий набір характеристик.

Інформована. Особу мають повідомити про вид персональних даних, які збирають для надання гуманітарної допомоги, мету їхнього збору (чому саме ці дані необхідні), термін та порядок зберігання персональних даних, підстави для передачі персональних даних третім особам (іншим організаціям чи державі), а також умови виправлення та видалення застарілих і неточних даних. Недостатньо просто сказати, що персональні дані збирають, особа має повністю розуміти усі процеси, в яких її персональні дані будуть задіяні. Лише в такому випадку згода є інформованою.

Чітка. В ідеалі згода має надаватися у письмовій формі на спеціальному бланку, який також містить політику конфіденційності організації, яка надає гуманітарну допомогу. Так, у разі суперечки можна встановити, чи згода справді була надана. Якщо неможливо отримати згоду у письмовій формі, вона може бути записана на відео з дозволу особи, яка надає таку згоду. Вона має бути зрозумілою і чітко віддзеркалювати позицію особи.

Своєчасна. Згода має надаватися до отримання гуманітарної допомоги. Порушенням є надання допомоги з відповідною обробкою персональних даних, після якої організація вимагає надати згоду на такі процеси. Зокрема тому, що особа не зможе заперечити чи запобігти використанню її даних, а також відмовитися від допомоги.

Вільна. Згода вважається вільною, якщо особа може відмовитися від отримання допомоги. Наприклад, особа може вважати обсяг оброблюваних даних надмірним чи не бажати залишати певну інформацію гуманітарній організації. Крім того, особа має право відмовитися від автоматизованої обробки даних. У такому випадку їй мають запропонувати обробку даних живою людиною. Також особа має усвідомлювати усі наслідки збору і обробки її даних.

Така, що враховує вразливе становище особи. Соціальне, культурне та релігійне становище особи має враховуватися при зборі персональних даних. Процес збору персональних даних слід здійснювати з повагою до особливостей особи, враховуючи:

• неграмотність, наявність/відсутність інвалідності, вік, стан здоров’я, гендер і сексуальну орієнтацію;
• місцезнаходження особи (як-от тимчасовий притулок, місце обмеження свободи, віддалене місце тощо);
• мову спілкування, незнання юридичних особливостей країни, де отримується допомога тощо;
• приналежність до політичної, етнічної чи соціальної меншості/більшості;
• потенційний вплив технологій на особу, якщо вони мають хиби взаємодії з людиною, наприклад, в залежності від її кольору шкіри, статі, віку чи інших особливостей (як це часто стається з технологіями розпізнавання облич).

Із можливістю відкликання. На будь-якому етапі обробки даних особа має право відкликати згоду та вимагати видалення усієї інформації про неї. При цьому їй мають повідомити про наслідки відкликання згоди. До відкликання згоди застосовуються усі правила, які застосовуються до згоди – воно не має здійснюватися під тиском третіх осіб, має бути інформованим і своєчасним.

Окрім обов’язкового одержання згоди, гуманітарні організації мають дотримуватися й інших принципів роботи з персональними даними осіб, яким надається допомога. Зокрема, серед основних принципів слід виокремити:

• принцип мінімізації даних (організація має використовувати мінімально необхідну кількість даних і уникати їх надмірного чи непропорційного збору);
• принцип обмеження використання даних метою їх збору (організації не мають права використовувати персональні дані для інших цілей, окрім тих, які визначені згодою особи і метою їхнього збору, – у цьому випадку, наданням гуманітарної допомоги);
• принцип якості використовуваних даних (дані, які збирають гуманітарні організації, мають бути такими, що задовольняють мету їхнього збору);
• принцип прозорості (організації мають не лише повідомляти осіб, чиї дані збирають, щодо порядку роботи з даними, а і робити публічними політику роботи з персональними даними, аби незалежні організації громадянського суспільства могли оцінити рівень безпеки роботи з персональними даними та рівень захищеності осіб, які потребують допомоги, що, втім, не передбачає розкриття конфіденційної інформації);
• принцип захищеності даних (організації, які надають гуманітарну допомогу, гарантують, що персональні дані будуть належним чином захищені технічно у питаннях зберігання і доступу інформації, а також не будуть нелегально передаватися третім особам, маючи належний рівень юридичного захисту);
• принцип знищення даних, якщо їх зберігання більше не має легітимних підстав або не є необхідним;
• принцип відповідальної передачі даних третім особам (у випадку, якщо для надання допомоги існує потреба передати дані третім особам чи організаціям, гуманітарна організація має забезпечити технічну захищеність каналів даних, попередити особу про передачу її даних і пересвідчитися, що організація, якій передають дані, також здатна забезпечити їхній технічний та юридичний захист);
• принцип перегляду правил роботи з персональними даними (гуманітарні організації мають проводити регулярні перевірки, наскільки адекватними є політики роботи з персональними даними з технічної та юридичної точки зору, а також вносити зміни до таких політик за наслідками таких перевірок або після виникнення інцидентів з персональними даними – витік даних, виявлення недотримання принципу мінімізації даних, зміна обставин зберігання даних тощо);
• принцип відповідальності (організація несе відповідальність за потенційні порушення правил обробки персональних даних і зобов’язується належно повідомляти особу, з чиїми даними працює, про будь-які порушення, що сталися або мають високий ризик того, щоб відбутися).

Покладаючись на ці прості правила, кожна особа може зрозуміти, чи дотримується організація, що надає гуманітарну допомогу, правил захисту персональних даних. У будь-якому випадку пам’ятайте, що не варто вірити “диванним експертам”, які намагаються розганяти зраду щодо порушення прав міжнародними організаціями. Завжди верифікуйте інформацію і дбайте про власну безпеку.

Тетяна Авдєєва, експертка проєкту Асоціації УМДПЛ

---

Матеріал створений за фінансової підтримки Національного фонду на підтримку демократії (NED). Зміст матеріалу не обов’язково відображає офіційну позицію NED. Інформація чи погляди, висловлені у цьому матеріалі, є виключно відповідальністю його авторів.

Стаття опублікована на сайті Центру прав людини ZMINA.