Данные о пациентах при регистрации на covid-тест попадают к рекламным фирмам
Уже почти месяц в Чешской Республике проходит тестирование населения на covid-19 бесплатными антигенными тестами. Записаться на анализ может каждый желающий через регистрационную систему онлайн. Ряд клиник для бронирования очереди использует программу Reservatic, работу которой обеспечивает государство в рамках центральной системы бронирования. Однако кроме государственных баз данных, часть информации о пользователях программа передает и рекламным компаниям.
Если человек собрался зарегистрироваться для тестирования антигенным тестом, например, в Центральном военном госпитале в Праге, он должен сделать это онлайн на веб-сайте госпиталя. Функционирование электронного формуляра, который необходимо заполнить, обеспечивает остравская компания Reservatic. С этой целью с ней заключило соглашение Национальное агентство по связи и информационным технологиям, находящееся под юрисдикцией Министерства внутренних дел.
Однако сама страница, где пациенты заполняют свои контактные данные и персональный идентификационный номер, также загружает скрипты от нескольких рекламных компаний. Они обеспечивают на веб-странице некоторые функции, например, улучшенные шрифты, статистику посещаемости или защиту от спама. Однако при этом, они отправляют компаниям информацию о пользователях, чтобы рекламные фирмы могли настроить таргетинг своих объявлений.
Сервер iROZHLAS.cz обратился за разъяснениями в отношении такой практики как к Центральному военному госпиталю, так и непосредственно к компании Reservatics, но ответов не последовало. По словам подполковника Яна Рышавого из интегрированной центральной управленческой группы Министерства здравоохранения, «речь идет не о частном поставщике с отдельным контрактом с медицинским учреждением, а, скорее, об использовании предложения Минздрава в рамках проекта «Умный карантин» (Chytrá karanténa)». Иными словами, госпиталь получил форму Reservatic непосредственно от министерства, когда подключился к Центральной системе бронирования, которая регистрирует пациентов для прохождения тестов.
Ян Рышавы также отметил, что фирма Reservatic «отвечает всем требованиям обработчика персональных данных», и в данном случае нет необходимости в получении информированного согласия от пациентов на обработку личной информации, поскольку у государства есть на это полномочия в соответствии с Законом об охране общественного здоровья. Таким образом, система бронирования якобы выполняет «требования, соответствующие важной информационной системе в смысле Закона о кибербезопасности».
Почему же тогда в форме бронирования используются маркетинговые коды из Google, Seznam и Facebook? По словам Яна Рышавого, они «служат исключительно для возможности регистрации пользователей в системе Reservatic». Однако он не объяснил, почему скрипты на странице активны и отправляют данные, даже в тот момент, когда пациент не регистрируется в системе.
Кроме того, Google Analytics, отслеживающий трафик пользователей в Интернете, не имеет ничего общего с регистрацией: это инструмент, используемый только для анализа посещаемости сайта. Благодаря своей популярности, он присутствует в Интернете практически повсеместно, а также расположен на главной странице центральной системы бронирования на антигенные тесты.
«После использования всех компонентов системы для целей проведения вакцинации поставщику будет дана задача проанализировать и сообщить информацию о способах регистрации на своем портале, а также их необходимость при использовании системы в Министерство здравоохранения», - сообщил Ян Рышавы. Таким образом, впоследствии будет «полностью откорректирован вид домашней страницы».
Портал iROZHLAS.cz обратился с аналогичными вопросами также к Национальному агентству по связи и информационным технологиям, и в Управление по охране персональных данных, однако, оба ведомства также на них не ответили.
Слишком много ненужных данных
Тем не менее, вопрос о системах регистрации в административных управлениях рассматривался инспекторами Управления по охране персональных данных незадолго до Рождества. В частности, критиковался факт, что власти часто собирают информацию о гражданах, которая не требуется для бронирования, например, номер телефона, а также то, что гражданин не получает четкой информации о том, что его персональные данные попадут в базу данных частной компании, которая управляет системой бронирования. Это как раз случай регистрации на прохождение антигенного теста: не для каждого пациента очевидно, что если он регистрируется на сайте медицинского учреждения, то его персональные данные окажутся в базе фирмы, обеспечивающей обслуживание регистрационного формуляра. Кроме того, компания Reservatic в пункте 27.4 Условий пользовательского соглашения указывает, что не несет ответственности за «утрату или неправильное использование данных», сохраненных в приложении».
Юрист Ян Воборжил из организации Iuridicum Remedium, которая занимается защитой частной жизни, также критикует тот факт, что в регистрационном формуляре собирается больше данных, чем это необходимо. По его мнению, в данном случае для регистрации нужно «имя, и, может быть, дата рождения». Остальную информацию, как то – персональный идентификационный номер, лаборатория сможет дополнить из карточки медицинской страховой компании в момент, когда пациент проходит процедуру регистрации перед тестом. Адрес и телефон оказываются в данном случае абсолютно ненужными, поскольку пациент получает результат прямо на месте.
В настоящее время готовится к запуску система бронирования на вакцинацию от коронавируса. За ее работой будет наблюдать, в частности, и Национальное управление по кибернетической безопасности.
«Мы не рассматриваем в первую очередь законность или незаконность использования данных, это должно быть оценено системным администратором», - прокомментировал серверу iROZHLAS.cz пресс-секретарь управления Иржи Таборский, добавив, что администратором в данном случае является Министерство здравоохранения, и «оно несет ответственность за своих поставщиков услуг».
