Ashyq и персональные данные

Что такое Ashyq и как он работает?

Ashyq – это программное обеспечение, с помощью которого человек может узнать свой статус для входа в те или иные заведения, подключенные к сервису, путем сканирования QR-кода через своё мобильное устройство.

Разработчиком ПО является ТОО «Digital Innovation and Transformation». Ashyq представлен в виде мобильных приложений на устройствах iOS и Android, а также в виде веб-версии на сайте https://ashyq.kz.

Для удобства пользователей и охвата максимального количества людей, государство озаботилось интеграцией программы с популярными приложениями, в частности — мобильными приложениями от банков Kaspi, Сбербанк и Halyk, мессенджером Aitu, приложением eGov Mobile.

При сканировании пользователем штрих-кода запрос направляется в Единый интеграционный портал Национального центра экспертизы (ЕИП НЦЭ) Министерства здравоохранения РК, в ответном запросе пользователю предоставляется информация о статусе по рейтингу риска:

  • зелёный статус — отрицательный ПЦР-тест, либо наличие факта вакцинации;
  • синий статус — отсутствует информация по ПЦР-тесту, человек не числится как контактный с зараженным COVID-19;
  • желтый статус — посетитель является контактным;
  • красный статус — посетитель зарегистрирован в базе данных как зараженный.

Kaspi Bank имеет следующее ранжирование:

  • безопасный (зеленый статус);
  • нейтральный (синий статус);
  • контактный (желтый статус);
  • инфицирован (красный статус).

Анализ пользовательского соглашения Ashyq

Пользовательское соглашение Ashyq размещено по следующим ссылкам:

  1. https://zertteu.gov.kz/privacy;
  2. https://ashyq.btsdigital.kz/assets/temp-cached/resources/pdf/user-agreement.pdf;
  3. https://curs.kz/ashyq/privacy.txt.

Таким образом, пользовательское соглашение имеется сразу на трёх различных площадках:

  1. на сайте мобильного приложения Zertteu (ссылка ведёт из мобильных маркетплейсов Apple AppStore, Google Play Market и HUAWEI App Gallery);
  2. на сайте компании BTS Digital (ссылка из авторизации);
  3. и на сайте ТОО «Центр устойчивого развития столицы» (ссылка из окна авторизации мобильного приложения).

Существуют ли различия в редакциях пользовательского соглашения? Об этом — в таблице ниже.

Что касательно персональных данных?

Вопросы, связанные с персональными данными, указаны в разделе 4 пользовательского соглашения «Предоставление персональных данных»:

Предоставляя приложению персональные данные, пользователь подтверждает, что делает это добровольно и представляет достоверные данные.

В редакции же Zertteu пункт заканчивается на добровольности предоставления данных.

Включение пункта о достоверности данных может обуславливаться тем, что, поскольку участник проекта Ashyq не вправе требовать от пользователя предъявления документа, удостоверяющего личность, посетитель может, например, назвать ИИН другого человека в случае, если у него проблемы с установкой приложения, либо отсутствует мобильный телефон.

При установлении «красного» или «желтого» статуса пользователь тем самым дает своё согласие на уведомление заведением уполномоченный государственный орган, что в свою очередь ведёт к соблюдению карантина.

Данная информация подпадает под определение «персональные медицинские данные»*. Однако в таком случае возникает противоречие: участник проекта Ashyq, в частности, представитель со статусом «охранник», который не является медицинским работником и получивший данные во время исполнения своих рабочих обязанностей, обязан передать информацию о статусе посетителя госоргану через имейл, телефон или по иной связи. Данный факт, по нашему мнению, идёт в противоречие с пунктом 2 статьи 273 Кодекса «О здоровье народа и системе здравоохранения», а без предоставления данных пользователь не имеет возможности войти в какое-либо здание, в том числе в то, где он мог бы получить государственные услуги, что соприкасается с конституционным правом на свободу передвижения.

*персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях (п. 2 ст. 58 Кодекс Республики Казахстан от 7 июля 2020 года № 360-VI «О здоровье народа и системе здравоохранения»).

Таким образом, весь процесс противоречит смыслу защиты персональных данных, а согласие устанавливается лишь на уровне пользовательского соглашения.

Если же у пользователя, не соблюдающего карантин, при посещении заведения выявляется статус («желтый/красный»), он может быть привлечён к административной ответственности (ст. 425 КоАП РК, 30 МРП).

В пользовательском соглашении указано, что приложение не собирает и не отправляет персональные данные и местоположение пользователя. Министерство цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП), в свою очередь, на ежедневной основе осуществляет выгрузку данных за прошедший день и направляет в территориальные департаменты Комитета санитарно-эпидемиологического контроля (ТД КСЭК). Также осуществляется уведомление госоргана о пользователях с «желтым» или «красным» статусом при сканировании QR заведения.

По соглашению не ясно — кто является разработчиком данного приложения. Термин «разработчик» не раскрывается. В одной редакции пользовательского соглашения разработчиком указано ТОО «Digital Innovation and Transformation», в других редакциях нет. Фактически данное ТОО и есть разработчик, но непонятно — почему оно не упоминается в других редакциях.

Основные субъекты системы Ashyq

Посредством Ashyq между собой взаимодействуют следующие субъекты:

Схема взаимодействия между субъектами

Пользователь/посетитель — физическое лицо, которое посещает объект бизнеса.

Охранник — это представитель участника, который при согласии пользователя вводит ИИН для проверки его статуса.

Участник проекта Ashyq — юридическое лицо, индивидуальный предприниматель, участвующий в проекте.

«Лидеры Ashyq» — участники проекта Ashyq, которые имеют определённое значение фиксаций и имеющие следующие льготы в течении 2-х недель:

  • участники проекта в «красной» зоне работают по условиям «желтой» зоны;
  • участники проекта в «желтой» зоне работают по условиям «зеленой» зоны;
  • участникам проекта в «зеленой» зоне дополнительно продлевается режим работы на 2 часа, а также увеличивается заполняемость объекта на 10%.

ТД КСЭК — территориальные департаменты Комитета санитарно-эпидемиологического контроля. Совместно с организацией амбулаторно-поликлинической помощи после получения информации от субъекта предпринимательства и/или от Ashyq устанавливает место проживания (нахождения) физического лица, подлежащего изоляции, посредством мобильного приложения для дистанционного наблюдения при домашнем карантине, в том числе — пациентов с бессимптомными формами COVID-19.

Местный исполнительный орган — акимат или аким, осуществляющий следующие функции:

  1. внедряет Ashyq на объектах предпринимательства;
  2. определяет перечень объектов предпринимательства, участвующих в реализации проекта;
  3. информирует население, физические и юридические лица о необходимости использования Ashyq для входа на объекты предпринимательства, участвующие в проекте;
  4. размещает на своём сайте информацию об участниках проекта Ashyq, включая участвующих в тестовом режиме и добровольных участников;
  5. осуществляет своевременное внесение лабораториями сведений в лабораторные информационные системы по результатам ПЦР-тестирования на COVID-19 и передачу их в ЕИП НЦЭ;
  6. осуществляет техническую поддержку по обучению населения и предпринимателей посредством организации Cаll-центров;
  7. доводит до сведения участников проекта о предусмотренной действующим законодательством ответственности за несоблюдение требований, установленных нормативными правовыми актами в сфере санитарно-эпидемиологического благополучия населения и настоящим постановлением;
  8. обеспечивает эффективность работы мониторинговых групп по профилактике нарушений требований, предъявляемых к внедрению и участию в проекте Ashyq.

Главный государственный санитарный врач — государственный служащий, должностное лицо, осуществляющее государственный санитарно-эпидемиологический надзор, выполняет следующие функции:

  1. принимает постановление о внедрении Ashyq;
  2. масштабирует реализацию проекта;
  3. утверждает алгоритмы включения новых участников проекта, принятие мер по выявлению посетителей с «желтым/красным» статусом, исключения недобросовестных участников, критерии ограничения деятельности субъектов бизнеса, критерии присвоения статуса «Лидеры Ashyq»;
  4. налагает постановлением обязанности на местных исполнительных органов, нижестоящим главным санитарным врачам, НПП «Атамекен», субъектам бизнеса, МЦРИАП.

Санитарные врачи — это главные государственные санитарные врачи городов республиканского значения, областей, на транспорте, осуществляют следующие функции:

  1. контроль за соблюдением критериев ограничения деятельности социально-экономических объектов, участвующих в проекте Ashyq;
  2. согласование заявок участников проекта Ashyq на стадии рассмотрения в региональных палатах предпринимательства в целях недопущения к участию запрещённых видов деятельности и объектов, не имеющих разрешительные документы (санитарно-эпидемиологическое заключение о соответствии объекта высокой эпидемической значимости или уведомление о начале деятельности объектов незначительной эпидемической значимости);
  3. принятие мер административного воздействия в отношении участников проекта по фактам нарушения требований к организации и внедрению проекта Ashyq и в отношении лиц, допустивших нарушения ограничительных и карантинных мер.

НПП «Атамекен» — казахстанская некоммерческая, самоуправляемая организация национальная палата предпринимателей «Атамекен», занимается следующим:

  1. рассматривает заявки на участие в проекте Ashyq и направление списков участников в акиматы;
  2. проводит профилактику нарушений среди участников проекта;

МЦРИАП — Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, осуществляет:

  1. техническую поддержку проекта Ashyq при внедрении на объектах предпринимательства;
  2. ежедневное представление в ТД КСЭК сведений (выгрузки) за предыдущий день с информационной системы Ashyq о фиксации факта посещения объекта, участвующего в проекте, посетителем с «желтым/красным» статусом.

МЗ РК — Министерство здравоохранения Республики Казахстан. Ashyq получает информацию по статусу с базы ЕИП НЦЭ МЗ РК.

Подводя итоги

В работе системы Ashyq, на наш взгляд, существуют следующие проблемы.

  1. Расхождения между редакциями пользовательских соглашений, а также между пунктами соглашения.
  2. Пользовательские соглашения находятся на разных ресурсах.
  3. Сомнительная категория «Лидеры Ashyq» — льготы во время карантинных мероприятий, как правило, получают представители большого бизнеса, имеющие больший поток посетителей чем малый и средний бизнес.
  4. Вопрос соразмерности ограничительных мер путем введения Ashyq.
  5. Разные наименования статусов пользователя в приложениях.
  6. Вопросы соответствия передачи персональных медицинских данных пользователя от участника проекта Ashyq государственным органам законодательству о персональных данных и их защите и Кодексу «О здоровье народа и системе здравоохранения».

Елжан Кабышев

Руководитель проекта Ландшафта, правозащитник «Internet Freedom». Участник Экспертной группы по цифровым правам, Data Privacy Professional (GDPR DPP)