Про результати перевірки Міністерства цифрової трансформації України

18/06/2020 15:31

 Працівниками Секретаріату Уповноваженого Верховної Ради України з прав людини проведено перевірку дотримання Міністерством цифрової трансформації України та ДП «ДІЯ» права на приватність, зокрема щодо обробки персональних даних під час функціонування Єдиного державного веб-порталу електронних послуг Портал «Дія» та мобільних додатків «Дія» та «Дій вдома». За результатами перевірки встановлено наступне.

 Веб-портал електронних послуг Портал «Дія» та мобільний додаток «Дія»:

- Власник порталу – Мінцифри

- Володілець персональних даних – Мінцифри

- Розпорядник – ДП «ДІЯ»

- Персональні дані, що обробляються:

1) під час реєстрацій на порталі авторизація відбувається за допомогою електронно-цифрового підпису, з якого завантажуються персональні дані про особу (ПІБ, реєстраційний номер облікової картки платника податків);

2) персональні дані про особу, які вона самостійно надає при реєстрації на Порталі «Дія» (серія та номер паспорта громадянина України, іншого документа, що посвідчує особу, дата народження, зареєстроване або фактичне місце проживання, адреса електронної пошти, номери контактних телефонів).

Такі дані зберігаються Мінцифри на серверах дата-центру.

Персональні дані користувачів Порталу Дія, які отримуються ними з реєстрів, не зберігаються, застосовується підхід data-in-transition, згідно з яким дані з реєстрів передаються та зберігаються на пристрої користувача, а не на сервері.

- Мета обробки персональних даних: полегшення заповнення користувачами заяв для отримання електронних послуг та інформації про адміністративні та інші публічні послуги, звернення до органів виконавчої влади, інших державних органів, органів місцевого самоврядування, підприємств, установ та організацій (у тому числі відповідно до Закону України «Про звернення громадян»), отримання інформації з національних електронних інформаційних ресурсів, яка необхідна для надання послуг (З повним текстом мети обробки та текстом повідомлення про обробку персональних даних у мобільному додатку «Дія» можна ознайомитися за посиланням https://diia.gov.ua/policy).

Обробка персональних даних здійснюється на підставі дозволу, наданого законом.

Доступ до таких даних має лише визначене коло працівників, у яких на виконання вимог законодавства з питань захисту персональних даних відібрано зобов’язання про нерозголошення персональних даних.

 Мобільний додаток «Дія»

- Власник порталу – Мінцифри

- Володілець персональних даних – Мінцифри

- Розпорядник – ДП «ДІЯ»

- Персональні дані, що обробляються:

1) під час реєстрацій у мобільному додатку «Дія» авторизація відбувається за допомогою BankID, з якого завантажуються персональні дані про особу (ПІБ, реєстраційний номер облікової картки платника податків, дата народження, серія та номер паспорта, іншого документа, що посвідчує особу, e-mail, номер телефону, зареєстроване або фактичне місце проживання, місце народження).

2) персональні дані користувачів мобільного додатку «Дія», отримані ними з державних реєстрів, не зберігаються. У даному випадку застосовується підхід data-in-transition, згідно з яким дані з реєстрів передаються та зберігаються на мобільному телефоні користувача, а не на сервері. Доступ до таких даних має лише особа, якої стосуються ці документи/інформація.

- Мета обробки персональних даних:

забезпечення доступу суб’єкта персональних даних через його електронний кабінет в мобільному додатку Порталу Дія (Дія) до інформації з інших національних електронних інформаційних ресурсів, зокрема доступу до даних про себе (З повним текстом мети обробки та текстом повідомлення про обробку персональних даних у мобільному додатку «Дія» можна ознайомитися за посиланням https://diia.gov.ua/app_policy).

Обробка персональних даних здійснюється на підставі дозволу, наданого законом.

 Мобільний додаток «Дій вдома»

- Власник порталу – Мінцифри

- Володілець персональних даних – Мінцифри

- Розпорядник – ДП «ДІЯ»

- Персональні дані, що обробляються:

- прізвище, ім’я та по батькові;  дата народження; стать; мобільний номер телефону; адреса, за якою особа перебуває на самоізоляції; інформація щодо госпіталізації чи самоізоляції особи, яку визнано інфікованою; стан здоров’я; місцезнаходження; фото особи.

Мета обробки персональних даних: протидія поширенню коронавірусної хвороби (COVID-19) відповідно до Закону України «Про внесення змін до Закону України «Про захист населення від інфекційних хвороб» щодо запобігання поширенню коронавірусної хвороби (COVID-19)».

Контроль за додержанням умов самоізоляції з використанням мобільного додатка здійснюється за допомогою сукупності інформації, зокрема перевірки відповідності фотографії обличчя особи еталонній фотографії, зробленій під час встановлення мобільного додатка, та геолокації мобільного телефону в момент фотографування. Мінцифри обробляє та зберігає фотографії користувачів мобільного додатку «Дій вдома» протягом дії карантину (поки триває режим самоізоляції) та ще 30 днів після його завершення. (З повним текстом повідомлення про обробку персональних даних у мобільному додатку «Дій вдома»  можна ознайомитися за посиланням https://diia.gov.ua/policy_covid).

Обробка персональних даних здійснюється на підставі дозволу, наданого законом.

Доступ до таких даних має лише визначене коло працівників, у яких на виконання вимог законодавства з питань захисту персональних даних відібрано зобов’язання про нерозголошення персональних даних.

 З огляду на опрацьовані матеріали, за результатами контрольних заходів порушень вимог законодавства у сфері захисту персональних даних під час функціонування Порталу «Дія» та мобільних додатків «Дія» та «Дій вдома» не вбачається.

Водночас за результатами перевірки Міністерству цифрової трансформації України виявлено ряд недоліків, які не впливають на обробку персональних даних користувачів  Порталу та мобільних додатків. У зв’язку з чим, Мінцифри надано рекомендації щодо усунення таких недоліків.