Правові засади захисту персональних даних

 

Поряд з іншими кардинальними змінами, що відбулися практично у всіх сферах життя наприкінці XX століття, в України почався перехід до інформаційного суспільства, цілями формування і розвитку якого є підвищення якості життя громадян, забезпечення конкурентоспроможності України, розвиток економічної, соціально-політичної, культурної та духовної сфер життя суспільства, вдосконалення системи державного управління на основі використання інформаційних і телекомунікаційних технологій.

В даний час технічні засоби дозволяють проводити збір і обробку істотних обсягів соціально значущих відомостей, необхідних для ефективного функціонування державних механізмів, протікання суспільних процесів, а також реалізації прав людини. Стрімкий розвиток інформаційних технологій дає можливість отримувати доступ і використовувати різні банки даних практично будь-яким суб’єктам інформаційних відносин. Постійно прискорюється інформатизація суспільства та активний розвиток відкритих інформаційних систем значно спрощують витік і інші форми незаконного доступу до особистої інформації, що робить завдання забезпечення необхідної правової захисту персональної інформації особливо актуальною і значущою.

Сьогодні інформація персонального характеру все частіше розглядається «як економічно вигідний товар і як джерело влади». Тим часом, інформаційна сфера являє собою одне з найважливіших напрямку реалізації інтересів особистості. А інтереси особистості, в свою чергу, в сукупності з інтересами держави та суспільства в інформаційній сфері складають інформаційну безпеку України.

У сучасному світі, в принципі, важко уникнути ідентифікації, але заборонити зберігати інформацію персонального характеру, обробляти її і використовувати в цілях, не узгоджених з її суб’єктом, можливо і, безумовно, необхідно. Заходи щодо забезпечення безпеки та запобігання незаконних дій з персональними даними отримали легальне позначення у вигляді поняття «захист персональних даних». Незважаючи на те, що його основи були закладені зарубіжним правом, Україна сприйняла його досить успішно, врахувавши не тільки накопичений іноземними державами правовий досвід, але й перетворення які відбулися в суспільстві, політичні реалії, а також сучасні тенденції розвитку права.

Сьогодні в рамках національної системи регулювання персональних даних успішно розвиваються три найважливіші напрямки:

- формування законодавчого масиву, спрямованого на регламентацію обороту персональних даних;

- встановлення чітких принципів обороту персональних даних, які отримали послідовне закріплення в нормативних актах різного рівня;

- створення спеціальної інституційної структури, що забезпечує нагляд за дотриманням прав суб’єктів персональних даних.

Однак, процес формування нормативної бази, що регулює оборот персональних даних сьогодні знаходиться на стадії становлення, про що свідчить, перш за все, активна нормотворча діяльність у цьому напрямку.

По-перше, поступово формується нормативна база, що складається зі спеціалізованих правових актів різної юридичної сили, до числа яких слід віднести: Закон України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних»,Закони України: «Про захист персональних даних», «Про державну систему біобезпеки при створенні, випробуванні, транспортуванні та використанні генетично модифікованих організмів», «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, засвідчують особу або її спеціальний статус», Постанова Кабінет Міністрів України «Про затвердження зразка бланка, технічного опису та Порядку оформлення, видачі, обміну, пересилання, вилучення, повернення державі, знищення паспорта громадянина України для виїзду за кордон з безконтактним електронним носієм, його тимчасового затримання та вилучення», наказ Уповноваженого Верховної Ради України з прав людини від 08.01.2014№ 1/02-14 «Про затвердження документів у сфері захисту персональних даних».

По-друге, в даний час значно зросли темпи нормотворчості державних органів виконавчої влади в даній сфері. Так, практично кожнимміністерством і відомством були видані акти, що регулюють обробку персональних даних службовців зазначених органів або їх оборот в цілому. До числа таких актів сліду співвіднести: наказ МВС України 21.08.2013№ 805 «Про затвердження Порядку обробки персональних даних у базі персональних даних «Електронний журнал обліку запитів на публічну інформацію» та ін.

По-третє, інститут персональних даних активно зміцнюється в національній правовій системі за рахунок норм непрофільного законодавства, до якого, зокрема, належать: Кодекс законів про працю України, Закон України «Про державну реєстрацію актівцивільного стануПро акти цивільного стану»,Закон України «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення», постанова Кабінет Міністрів України від 04.06.1998 № 794 «Про затвердження Положення про організацію персоніфікованого обліку відомостей у системі загальнообов’язкового державного пенсійного страхування» та інші.

По-четверте, інститут персональних даних ґрунтується на нормативних актах Європейського Союзу: Директива Європейського Парламенту і Ради № 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»;Директива Європейського Парламенту і Ради №97/66/ЄС «Стосовно обробки персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі»; Директива Європейського Парламенту і Ради № 2002/58/ЄС «Про обробку персональних даних та захист таємниці сектора електронних комунікацій;Рішення Ради Європейського Союзу № 2008/977/JHA від 27 листопада 2008 року «Про захист персональних даних в рамках поліцейського та судового співробітництва у кримінальних справах»;Регламент Європейського Парламенту та Ради (ЄС) №45/2001 від 18 грудня 2000 року про захист фізичних осіб, що стосується обробки персональних даних установами і органами; Рекомендація № R (97) 5 Комітету Міністрів державам-членам Ради Європи щодо захисту медичних даних; Рекомендація № R (91) 10 Комітету Міністрів державам-членам Ради Європи щодо передачі третім сторонам персональних даних, що знаходяться у віданнідержавних органів; Рекомендація № R (89) 2 Комітету міністрів державам-членам Ради Європи про захист персональних даних, використовуваних для потреб працевлаштування; Рекомендація № R (86) 1 Комітету міністрів державам-членам Ради Європи про захист персональних даних, використовуваних для потреб соціального забезпечення; Рекомендація № R (81) 1 Комітету міністрів державам-членам Ради Європи щодо автоматизованих баз медичних даних.

Комплексне і повноцінне регулювання обороту персональних даних в України стало можливим за допомогою прийняття Закону України «Про захист персональних даних» яким не обмежується законодавчий масив, що регулює розглянутий інститут. Тенденція нормотворчості в цьому відношенні сьогодні має напрямок на створення великої кількості актів, в тому числі підзаконного рівня, що, безумовно, не може привести до підвищення ефективності чинного законодавства і ускладнює систему джерел. Недостатня правова визначеність правового режиму інформації обмеженого доступу взагалі і персональних даних зокрема являє собою серйозну проблему інформаційного законодавства.

Закону України «Про захист персональних даних» регулює відносини, пов’язані з обробкою персональних даних, якщо стосовно них не встановлено спеціальний правовий режим. Зміст, що вкладається законом в поняття «персональні дані», дуже широкий, що обумовлено самою правовою природою персональних даних.

Закон також не встановлює чіткої класифікації персональних даних в залежності від будь-якого критерію, але його аналіз дозволяє зробити висновок про наявність трьох категорій персональних даних: звичайні, спеціальні; біометричні.

Для ефективної ідентифікації особистості, як правило, необхідна сукупність персональних даних, які часто ставляться одночасно до різних категорій даних. Особливістю персональних даних як виду інформації обмеженого доступу є також те, що сам суб’єкт даних зацікавлений у здійсненні основної мети існування цього інституту на практиці - ідентифікації. З цим пов’язана можливість додання персональних даних статусу загальнодоступних або розміщення їх у загальнодоступні джерела, а також додання баз персональних даних статусу товару.

Зазначена проблема може бути вирішена шляхом внесення поправок в цивільне законодавство, що регулює оборотоздатність баз даних як складових творів, щодо здійснення укладачами своїх прав лише за умови дотримання прав суб’єктів персональних даних.

Підтримуючи позитивістське розуміння суб’єкта права як однієї з базових категорій, в національному інформаційному законодавстві зроблений акцент на те, що особа не може придбати такий статус самостійно і одноразово, воно визнається таким виключно державою.

Незважаючи на те, що Закон України «Про захист персональних даних» не виділяє чітких критеріїв правосуб’єктності осіб, які мають право на захист своїх персональних даних, аналіз нормативних актів дозволяє назвати в якості таких вік і обсяг дієздатності. Зазначені критерії впливають не на набуття статусу суб’єкта персональних даних, а на можливість його повної реалізації, в тому числі захисту своїх прав.

На відміну від суб’єкта персональних даних оператори отримую і відповідний статус, незалежно від будь-яких критеріїв і юридичних фактів (крім організації та (або) здійснення обробки персональних даних). Це не виключає диференційованого підходу до окремих з них, обумовленого наявністю легальних критеріїв, що дозволяють говорити про збільшення можливостей того чи іншого оператора брати участь в обороті персональної інформації (форма власності, а також «професійний» критерій).

Суб’єкти правовідносин пов’язані між собою суб’єктивними правами і обов’язками, які виникають в силу врегульоване правом відповідного ставлення. Комплекс прав і обов’язків суб’єктів правовідносин визначає забезпечену законом юридичну модель їх допустимої і належної поведінки. Весь спектр прав, наданих законом суб’єкту персональних даних, виникає у нього одноразово, однак реалізація кожного з них залежить від етапу розвитку правовідносинах з обробки персональних даних.

Одним з провідних напрямків діяльності держави у сфері обігу персональних даних громадян є здійснення контролю за відповідністю процесів їх збору, використання і розпорядження, що здійснюваними як на рівні державних (муніципальних), так і приватних структур, вимогам закону.

Необхідність наявності такої функції обумовлена безліччю причин, серед яких особливе місце займає новизна самого правового інституту персональних даних, що не характерного длясуспільства.

Національний досвід створення спеціальної інституційної структури, що здійснює контроль над законністю операцій, які здійснюються з персональними даними, і здійснює захист прав їх суб’єктів, багато в чому схожий з європейським.

Уповноважений орган із захисту прав суб’єктів персональних даних (з метою забезпечення виконання Уповноваженим функцій контролю за виконанням законодавства в сфері захисту персональних даних в Секретаріаті Уповноваженого Верхової Ради України з прав людини створено Департамент з питань захисту персональних даних) сьогодні, в умовах становлення інституту персональних даних в України і проведення адміністративної реформи, володіє достатньою кількістю ознак, що дозволяють говорити про його інституційну самостійність і можливості ефективного функціонування.

До їх числа відносяться: співпраця та координація діяльності з різними структурами громадянського суспільства, а також з органами державної влади іноземних держав і міжнародними організаціями у встановленій сфері відання; можливість оскарження прийнятих ним рішень не в адміністративному, а в судовому порядку; повноваження органу звертатися до суду з позовними заявами на захист прав суб’єктів персональних даних і представляти їхні інтереси в суді; можливість вносити в Кабінет Міністрів України пропозиції про вдосконалення нормативного правового регулювання захисту прав суб’єктів персональних даних тощо.

Контроль Уповноваженим Верховної Ради України з прав людини у сфері захисту персональних даних здійснюється шляхом проведення перевірок фізичних осіб, фізичних осіб – підприємців, підприємств, установ і організацій усіх форм власності, органів державної влади та місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних. Перевірки можуть бутипланові, позапланові, виїзні та безвиїзні.

Процедура проведення перевірок встановлена Порядком здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженимнаказом Уповноваженого Верховної Ради України з прав людини №1/02-14 від 08 січня 2014р.

За результатами перевірок складаються акти перевірки додержання вимог законодавства про захист персональних даних, на підставі яких у випадку виявлення порушень складається припис про їх усунення, або протокол про адміністративне правопорушення.

Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Зокрема, у разі виявлення під час перевірки передбаченого статтею 188-39 «Порушення законодавства у сфері захисту персональних даних» чи статтею 188-40 «Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини» Кодексу України про адміністративні правопорушення адміністративного правопорушенняна суб’єкта перевірки у встановленому законом порядку може накладатися штраф від ста до двох тисяч неоподатковуваних мінімумів доходів громадян.

У випадку виявлення під час перевірки ознак кримінального правопорушення Уповноважений направляє необхідні матеріали до правоохоронних органів.

Окремим аспектам контролю за дотриманням законодавства про захист персональних даних приділено додаткову увагу в Роз’ясненнях до Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних.

Інститут персональних даних з впровадженням новітніх інформаційних технологій набуває правове оформлення, на відміну від інших видів інформації обмеженого доступу, що, однак, не применшує його значення і не позбавляє повноцінного місця в їхній системі.

З поширенням інформаційних технологій організації стають все більш залежними від інформаційних систем і послуг, а, отже, все більш уразливими по відношенню до погроз безпеки. Особливо це стало чутливим для інформаційних систем, що обробляють персональні дані. В даний час технічні засоби дозволяють проводити збір і обробку великих обсягів соціально значущих відомостей, необхідних для ефективного функціонування державних механізмів, протікання суспільних процесів, а також реалізації прав людини. Стрімкий розвиток інформаційних технологій дає можливість отримувати доступ і використовувати різні банки даних. Постійно прискорюється інформатизація суспільства і активний розвиток відкритих інформаційних систем значно спрощують витік і інші форми незаконного доступу до персональних даних суб’єктів, що робить завдання забезпечення її захисту особливо актуальною і значущою як для національного, так і зарубіжного законодавства та правової доктрини.

Застосування методу знеособлення персональних даних, тобто дій, в результаті яких неможливо визначити приналежність персональних даних конкретному суб’єкту персональних даних дозволяє знизити вимоги до інформаційних систем персональних даних, що веде до зниження витрат і, з іншого боку, забезпечує безпеку персональних даних і узгоджується вимог Закону України «Про захист персональних даних».

Згідно з вимогами законодавства України по знеособленим персональним даним повинно бути неможливо відновити приналежність персональних даних суб’єкту персональних даних без використання додаткової інформації, до якого вони ставилися до знеособлення. Практика показує, що видалення частини персональних даних недостатньо для того, щоб було неможливо ідентифікувати особу людини. Іноді за рештою даними, що використовуються в сукупності іноді можна повторно визначити людину, тобто при знеособлення даних існує ризик повторної ідентифікації або реідентіфікаціі.

Сучасне суспільство є інформаційним. Кількість, якість і ступінь використання інформації стають факторами, що визначають рівень розвитку держави і суттєво впливають на його статус у світовому співтоваристві. Становлення і розвиток інформаційних основ соціуму передбачає наявність сукупності передумов, що забезпечують його відтворення та розвиток. Неодмінною, базовою умовою такого процесу постає юридично оформлений захист інформаційних прав і свобод людини і громадянина.

Співвідношення свободи і відповідальності, прав і обов’язків у взаєминах громадянина і держави неможливо без інформаційного забезпечення. Інформація стає фактором успішного і стабільного розвитку як суспільства в цілому, так і його членів суб’єктів суспільних відносин, які отримують, що використовують і поширюють інформацію. Інформаційні права, таким чином, мають як власне юридичну, так і загально соціальну значимість.