Трансформація системи захисту персональних даних та приватності в контексті євроінтеграції України

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ТРАНСФОРМАЦІЯ СИСТЕМИ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ТА ПРИВАТНОСТІ В КОНТЕКСТІ ЄВРОІНТЕГРАЦІЇ УКРАЇНИ

Пилипчук Володимир Григорович,

доктор юридичних наук, професор, директор Науково-дослідного інституту інформатики і права Національної академії правових наук України, член-кореспондент Національної академії правових наук України,

Україна, м. Київ

Брижко Валерій Михаилович,

доктор філософії (Ph.D.) з юридичних наук, старший науковий співробітник, головний науковий співробітник Науково-дослідного інституту інформатики і права Національної академії правових наук України,

Україна, м. Київ

У статті висвітлено історико-правові аспекти формування національного законодавства з питань захисту персональних даних, процеси трансформації та нові правові стандарти Європейського Союзу у цій сфері, розглянуто проблеми захисту приватності, прав і безпеки людини в умовах розбудови інформаційного суспільства, а також надано пропозиції щодо розвитку системи захисту персональних даних у контексті євроінтеграції України.

Ключові слова: приватність, права і безпека людини, персональні дані, правові стандарти, система захисту персональних даних, євроінтеграція України.

***

Впровадження в Україні міжнародних принципів захисту персональних даних, розробки, опрацювання та прийняття Закону України «Про захист персональних даних» [1] всебічно аналізувалися та широко обговорювалися у 1996-2010 рр. У травні 2016 р. Європейським Парламентом і Радою ЄС затверджені нові правила і порядок для сфери захисту персональних даних - «Пакет захисту даних», який установив більш жорсткі правові та організаційні засади їх захисту, не тільки для держав - членів ЄС, а й для інших країн світу, що мають політичні, економічні та соціальні зв'язки з ЄС [2]. Тобто нові приписи правил ЄС підлягають опрацюванню в контексті євроінтеграції України.

За результатами історико-правового аналізу та хронологією подій процес формування національного законодавства та системи захисту персональних даних можна розподілити на такі основні етапи.

Перший етап. Протягом 19961998 рр. було підготовлено першу версію проекту закону України «Про захист персональних даних» [3], який неодноразово розглядався в Мінекономіки, Мінфіні, Мін'юсті, МВС, СБУ, Комітеті з питань державних секретів, Державній податковій адміністрації, в Секретаріаті Уповноваженого Верховної Ради України з прав людини, РНБО України та ін. Загалом, у вказаний період з урахуванням пропозицій державних і недержавних структур було опрацьовано 8 версій цього законопроекту, а 27 грудня 1998 р. він був спрямований до Кабінету Міністрів України.

Варто звернути увагу на деякі особливості проведення експертних оцінок цього документа у центральних органах виконавчої влади того часу, насамперед, відсутність системності та послідовності в організації роботи з проведення експертизи, що було пов'язано з частими змінами виконавців та керівництва державних органів, а також те, що багато виконавців не мали жодного уявлення стосовно предмета законопроекту та суті суспільних відносин у цій сфері. Крім цього, не враховувались положення ст. 11 Конвенції Ради Європи від 28.01.1981 р. № 108, ст. 3 Конституції України, а також поширення несанкціонованих дій із персональними даними (незаконне збирання, реалізація тощо, тобто їх фактичне перетворення у товарно- інформаційний продукт, що надходив у товарно-грошовий обіг) [4].

Другий етап. До липня 2000 р. проект Закону України «Про захист персональних даних», розроблений Держкомзв'язку та інформатизації України, був погоджений в установленому порядку з Мінфіном, Мінекономіки, МОН, ДПА, МВС, СБУ, МЗС та знову винесений на розгляд Кабінету Міністрів України. Однак розгляд цього законопроекту було затримано у зв'язку з підготовкою альтернативного законопроекту, який згодом взагалі був знятий із розгляду Верховної Ради України. Лише через три роки, завдяки втручанню народних депутатів України М. К. Родіонова, С. М. Ніколаєнка, академіків НАН України І. Р. Юхновського, П. П. Толочка, К. М. Ситника запропонований Держкомзв'язку та інформатизації України проект Закону «Про захист персональних даних» було зареєстровано у Верховній Раді України (реєстр. № 2618 від 10.01.2003 р.) та розпочато його опрацювання у профільних комітетах Верховної Ради. У травні 2003 р. законопроект було розглянуто в першому читанні і прийнято за основу (Постанова Верховної Ради України від 15.05.2003 р. № 784-IV).

Третій етап. У 2005 р. у Міністерстві юстиції України було створено робочу групу із числа фахівців міністерства та представників недержавних організацій для підготовки альтернативного проекту закону щодо захисту персональних даних. Протягом двох років ця група працювала над розробленням законопроекту, але він так і не був внесений до Верховної Ради України. З цього приводу Громадська рада з питань інформаційно-комунікаційних технологій у доповіді Президенту України «Про невідкладні заходи щодо розвитку інформаційного суспільства в Україні» повідомляла: «Міністерством юстиції України розроблено новий законопроект з аналогічною назвою («Про захист персональних даних». - Авт.), при цьому ігнорується законопроект №2618 від 10.01.2003р., вже прийнятий Верховною Радою України у першому читанні. Законопроект Міністерства юстиції України розкритикований правозахисниками та професійними організаціями як корупційно небезпечний і такий, що не відповідає нормам європейського законодавства».

Четвертий етап. 16 березня 2006 р. проект закону України «Про захист персональних даних» (реєстр. № 2618 від 10.01.2003 р.) через шість років після його розробки, проведення додаткового погодження та заходів громадського обговорення був підтриманий 287 народними депутатами України і прийнятий у другому читанні та в цілому. Проте 11 квітня 2006 р.

Президентом України було застосовано право «вето» щодо цього законопроекту. Однією з основних причин вказаного рішення можна вважати те, що фахівці Мін'юсту України та інші посадові особи не підтримали положення абз. 3 і абз. 4 ст. 2 цього Закону (в частині запровадження норми щодо «права власності людини на свої персональні дані»), а також ст. 7 Закону, яка це право конкретизувала.

По суті законом пропонувалося (що нині реалізується в ЄС) посилити права людини щодо захисту її приватного життя в умовах стрімкого впровадження інформаційно-комунікаційних технологій та розбудови інформаційного суспільства з використанням правових механізмів інституту власності. Це вимагало певної зміни правової ментальності та внесення змін до чинного законодавства, зокрема, до цивільного кодексу України, Закону України «Про інформацію» та ін., у т. ч. в частині визначення понятійного апарату, пов'язаного з «особистими немайновими правами фізичної особи». Слушність зазначеного підтверджується й положеннями ст. 11 Конвенції Ради Європи № 108, яка визначає, що «Жодне положення цього розділу (Розділ II - Основоположні принципи захисту даних. - Авт.) не трактується як таке, що обмежує або іншим чином перешкоджає можливості Сторони (держави - члена Конвенції. - Авт.) забезпечувати суб'єктам даних більш великий ступінь захисту, ніж передбачений цією Конвенцією».

П'ятий етап. Для опрацювання зауважень Президента України від 11 квітня 2006 р. щодо Закону «Про захист персональних даних» Верховною Радою України було створено відповідну робочу групу. Після доопрацювання із тексту цього Закону було вилучено норми стосовно «права власності людини на свої персональні дані», збільшено кількість термінів щодо інформатизації тощо, а 9 січня 2007 р. цей законодавчий акт підтримали вже 329 народних депутатів України. Водночас 30 січня 2007 р. Закон знову було повернуто до Верховної Ради України з іншими зауваженнями Президента України щодо «невідповідності Закону положенням статті 32 Конституції України та міжнародно-правовим актам» (www.gska2.rada. gov.ua/pls/zweb_n/webproc4_1?id=&p f3511=27270).

З цього приводу слід зауважити, що у ст. 32 Конституції України йдеться про «конфіденційну інформацію про особу», а в законопроекті «Про захист персональних даних» - про поняття «персональні дані», котре, як зазначалося, відсутнє в Конституції України та ЦК України і застосовується у міжнародних стандартах та національних законодавствах іноземних країн. Крім цього, не було надано належних посилань та обґрунтувань стосовно невідповідності законопроекту положенням міжнародно-правових актів, про що стверджувалось у «вето» Президента України від 30.01.2007 р.

Шостий етап. У 2008 р. за пропозиціями групи народних депутатів України (О. Б. Шевчука, В. М. Литвина, В. І. Полохало, К. С. Самойлика) та Міністерства юстиції України був зареєстрований новий проект Закону «Про захист персональних даних» (реєстр. № 2273 від 25.03.2008 р.) Саме у цей час було внесено зміни до Закону України «Про інформацію» 1992 р., з якого, зокрема, були вилучені норми стосовно «визначення інформації товаром» та «права власності на інформацію». Як наслідок, рамковий Закон України для інформаційної сфери був перетворений на закон, спрямований, перш за все, на забезпечення інтересів лише однієї галузі - засобів масової інформації (тобто лише одного із видів інформаційної діяльності). У той же час вже діяла низка нормативних актів, які безпосередньо стосувалися ЗМІ, і саме їх варто було б доопрацьовувати. А Закон України «Про інформацію» - удосконалювати, у т. ч. в контексті визначення «товарного змісту інформаційних ресурсів (продуктів)» та приватності персональних даних.. 25 червня 2009 р. він був прийнятий Верховною Радою України у першому читанні, а 1 червня 2010 р. - як Закон № 2297-VI, який набрав чинності з 01.01.2011 р.

Ухвалення Закону надало Україні право ратифікації Конвенції Ради Європи «Про захист прав осіб у зв'язку з автоматизованою обробкою персональних даних» від 28.01.1981 р. № 108 та Додаткового протоколу до Конвенції № 108 стосовно органів нагляду та транскордонних потоків даних від 08.11.2001 р. З метою приєднання України до Конвенції № 108 Верховною Радою України був прийнятий відповідний Закон України від 06.07.2010 р. № 2438-VI.

Сьомий етап. Протягом 20112016 рр. відбулася низка організаційних змін, а до вказаного Закону було внесено суттєві зміни і доповнення, у т. ч. досить дискусійні, які повністю змінили систему захисту персональних даних в Україні.

Зокрема, у квітні 2011 р., як передбачалося Законом України № 2297-VI, було створено «Державну службу України з питань захисту персональних даних» (ДСЗПД), яка входила до системи центральних органів виконавчої влади і забезпечувала реалізацію державної політики у цій сфері. Її діяльність спрямовувалася і координувалася через Міністерство юстиції України. Відповідно до Указу Президента України від 06.04.2011 р. № 390/2011 було затверджено «Положення про Державну службу України з питань захисту персональних даних».

Надалі згідно із Законом України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. № 383-VII та Постанови Кабінету Міністрів України від 10.09.2014 р. № 442 ДСЗПД було ліквідовано. Натомість у складі Секретаріату Уповноваженого Верховної Ради України з прав людини було створено Департамент з питань захисту персональних даних. При цьому повноваження щодо нагляду і контролю за виконанням законодавства про захист персональних даних, а також фактичне здійснення функцій органу виконавчої влади з 01.01.2014 р. було покладено на Уповноваженого Верховної Ради України з прав людини, що не відповідає положенням ст. 6 Конституції України в частині поділу влади в Україні на законодавчу, виконавчу і судову та розподілу функцій відповідних державних органів.

Водночас «виконавчі» повноваження «Омбудсмена» було значно розширено: надано право здійснювати різноманітні перевірки та визначати порядок їх проведення; надано доступ до персональних даних, якого ДСЗПД не мала; право затверджувати нормативно-правові акти у сфері захисту персональних даних тощо. Крім того, згідно із Законом від 01.01.2014 р. було скасовано обов'язкову реєстрацію баз персональних даних і введено вимогу лише про повідомлення «Омбудсмена» щодо обробки персональних даних володільцем цих баз даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних.

У наступних змінах до Закону від 2015 р. було уточнено лише окремі повноваження «Омбудсмена», а в останній редакції Закону України «Про захист персональних даних» від 06.12.2016 р. № 1774-VIII закріплено зміни, що надавалися у попередніх редакціях (2012-2013 рр.) та внесено деякі редакційні правки.

Загалом, за нашими оцінками, у сфері захисту персональних даних в Україні головна проблема полягає у відсутності ефективної загальнодержавної системи захисту персональних даних, належного організаційно-правового механізму регулювання відносин та відповідальності за правопорушення у цій сфері. Як слушно стверджують правоохоронці, у зв'язку з поєднанням загальних інформаційних ресурсів і персональних даних в одній базі даних предмет порушення відсутній, тому й розслідування порушень захисту даних є проблематичним.

Стосовно реального стану справ у сфері захисту персональних даних в Україні заслуговують на увагу деякі оцінки фахівців Національного інституту стратегічних досліджень при Президентові України [5], що аналізувалися спільно з вченими НДІ інформатики і права НАПрН України та інших закладів і установ, а саме:

- сучасні інформаційно-комунікаційні технології приводять до постійного збільшення обсягів персональних даних громадян, які обробляються, у т. ч. без їх відома;

- сучасна (національна. - Авт.) модель не дає жодних гарантій захисту персональних даних;

- пересічні громадяни демонструють байдужість до власних персональних даних і недостатній рівень розуміння необхідності їх захисту;

- стрімко поширюється прірва між безпрецедентними можливостями сучасного Інтернет-середовища і традиційними, «доцифровими» юридичними нормами і практиками, базованими на традиційному уявленні про межі й засоби забезпечення приватності життя людини.

Після ухвалення Закону України від 01.06.2010 р. опрацювання проблем захисту персональних даних в Україні продовжувалося науковцями НДІ інформатики і права НАПрН України та іншими вченими. Як свідчать результати досліджень, одним із основних міжнародно-правових стандартів, що визначає міжнародні принципи забезпечення прав і свобод людини у сфері захисту персональних даних, залишається чинна з 2010 р. в Україні Конвенція Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» від 28.01.1981 р. № 108.

Поряд з цим, як зазначалося, у травні 2016 р. Європейський Парламент і Рада ЄС затвердили нові правила і порядок захисту персональних даних - «Пакет захисту даних», який передбачає створення умов забезпечення узгодженої міжнародної нормативно-правової бази у цій сфері та включає такі документи:

- Регламент (ЄС) 2016/679 від 27.04.2016 р. «Про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільне переміщення таких даних, а також про відміну Директиви 95/46/ЄС (Загальні Положення про захист даних)» [6];

- Директиву (ЄС) 2016/680 Європейського Парламенту і Ради від 27.04.2016 р. «Про захист фізичних осіб у зв'язку з обробкою персональних даних компетентними органами в цілях запобігання, розслідування, виявлення злочинів або переслідування злочинців, виконання кримінальних покарань, а також про вільне переміщення таких даних, і відміни Рамкового рішення Ради 2008/977/ПВД» [7];

- Директиву (ЄС) 2016/681 Європейського Парламенту і Ради від 27.04.2016 р. «Про використання даних записів реєстрації пасажирів (PNR) для профілактики, виявлення, розслідування і судового переслідування злочинів терористичного характеру і важкого злочину» [8].

З 25 травня 2018 р. передбачається введення в дію вказаного «Пакета захисту даних» в усіх державах - членах ЄС, які до цього часу мають привести національне законодавство у повну відповідність із положеннями нових правил.

Основні принципи обробки персональних даних, наведені у документах «Пакета захисту даних», визначають, що персональні дані повинні:

1) оброблятися законно, справедливо і в доступній формі щодо суб'єкта даних («законність, справедливість і прозорість»);

2) збиратися для певної, конкретної і законної мети і не піддаватися додатковій обробці, яка несумісна з цією метою; подальша обробка для цілей архівації, з метою наукових, дослідницьких, історичних і статистичних цілей не може бути несумісною з початковою метою («цільове обмеження»);

3) бути адекватними і обмежуватися тими даними, які відповідають і необхідні для досягнення цілі, для яких вони обробляються («зведення до мінімуму даних»);

4) бути точними і, при необхідності, постійно підтримуватися в актуальному стані; неточні персональні дані, з урахуванням цілі, для якої вони обробляються, слід видаляти або виправляти без затримки («точність»);

5) зберігатися у формі, що дозволяє ідентифікувати суб'єкта даних не довше, ніж це необхідно для цілі, для якої вони обробляються; персональні дані можуть зберігатися протягом тривалішого періоду виключно для цілей архівації, інтересів наукових, дослідницьких, історичних і статистичних цілей («обмеження зберігання»);

6) оброблятися так, щоб забезпечити належний захист персональних даних, включаючи захист від несанкціонованої або незаконної обробки, випадкової втрати, знищення або пошкодження, з використанням відповідних технічних або організаційних заходів («цілісність і конфіденційність»).

Узагальнення нових правил організаційно-правового забезпечення захисту персональних даних у Європейському Союзі передбачає таке.

В Європейському Союзі (www. europa.eu.int) функціонують Європейський Омбудсмен (з прав людини) - призначається та звітує перед Європейським Парламентом (www.euro- ombudsman.eu.int), та Європейський супервайзер із захисту даних (Європейський інспектор із захисту даних) - призначається та звітує перед Європейським Парламентом і Радою ЄС (www.edps.eu.int). Інститут контролю Супервайзера є окремим юридичним органом Європейського Союзу.

За Регламентом ЄС 2016/679 від 27.04.2016 р. створюється Рада Європи із захисту даних як окремий орган Європейського Союзу. Склад Ради формується з представників контролюючих (наглядових) органів кожної держави - члена ЄС, Європейського супервайзера (Європейський інспектор) по захисту даних та представника Європейської Комісії (призначає голову Ради).

Згідно з положеннями «Пакета захисту даних» ЄС 2016 р. у всіх країнах - членах ЄС та країнах, пов'язаних економічними відносинами з державами - членами ЄС, мають бути утворені спеціальні державні інститути (один або декілька) із контролю за дотриманням прав у сфері захисту персональних даних.

Відповідно до правил нового порядку захисту персональних даних у державах - членах ЄС (Глава VI Регламенту (ЄС) 2016/679 від 27.04.2016 р.), кожна держава-член повинна мати незалежний контролюючий орган (SA) для розслідування скарг, застосування санкцій з правопорушень, співробітництва з іншими SA, забезпечення взаємної допомоги та організації спільних операцій щодо захисту персональних даних.

Організаційно-правове та методологічне забезпечення мають здійснювати національні Уповноважені органи контролю захисту персональних даних, мають бути незалежними, підпорядкованими закону та підзвітними парламенту. Національні Уповноважені органи призначають контролерів, які визначають цілі й засоби обробки персональних даних, що здійснюється фізичною або юридичною особою, державним органом, установою або іншим органом («процесором»), що обробляє персональні дані за його дорученням. Кожен контролер («процесор») на підприємствах та в організаціях з чисельністю працівників понад 250 чоловік повинен вести облік діяльності з обробки персональних даних. У корпораціях, підприємствах, організаціях тощо або їх об'єднаннях усіх форм власності має бути призначений спеціаліст із захисту даних. Держави - члени ЄС, національні наглядові органи також мають заохочувати розробку кодексів поведінки у сфері захисту персональних даних, створення механізмів сертифікації захисту даних, а також здійснювати моніторинг їх виконання.

Для порівняння - у Раді Європи (www.coe.fr) діють Уповноважений з прав людини, який призначається та звітує перед Європейською Комісією з прав людини (www.dhcommhr.coe.fr), та Комісар із захисту персональних даних (Уповноважений з питань захисту персональних даних) - (www.coe.fr/ dataprotection), який призначається та звітує перед Парламентською Асамблеєю Ради Європи (www.stars.coe.fr). Комісар із захисту персональних даних, з відповідною організаційною структурою (органом контролю), має вирішувати усі питання щодо захисту персональних даних. Керівники вказаних інститутів РЄ підпорядковуються Генеральному секретарю Ради Європи.

Крім цього, згідно зі ст. 1 Додаткового протоколу Ради Європи від 08.11.2001 р. до Конвенції Ради Європи від 28.01.1981 р. N° 108 у державах - членах Конвенції на національному рівні організаційно-правове забезпечення захисту персональних даних має здійснювати Уповноважений з питань захисту персональних даних та незалежний орган нагляду.

Система державних органів з питань захисту персональних даних у країнах - членах ЄС і РЄ є такою:

Австрія - Комісія Парламенту із захисту даних та Комісар із захисту даних;

Бельгія, Данія - Комісія із захисту даних та Омбудсмен із захисту при- ватності;

Греція - Рада із захисту даних та Омбудсмен із захисту даних;

Великобританія - Міністр із захисту даних. Комісар з інформації. Очолює Бюро захисту даних і регулятора інформаційного права у Великобританії («ICO») та Суд із захисту даних;

Ірландія, Ісландія, Іспанія - Комісія Парламенту та Омбудсмен із захисту даних. Підзвітний парламенту;

Латвія, Естонія - Інспекція із захисту даних;

Нідерланди - Омбудсмен та Державний орган із захисту даних;

Норвегія - Інспекторат даних та Омбудсмен із захисту даних;

Португалія - Національна комісія та Омбудсмен із захисту персональних даних;

Угорщина - Комісар із захисту інформації. Очолює інститут з питань захисту персональних даних. Призначається рішенням Парламенту;

Фінляндія - Рада із захисту даних та Омбудсмен із захисту даних;

Франція - Національна комісія з інформатики. Обирається Парламентом. Комісар із захисту персональних даних. Очолює Французьке агентство з питань захисту номінативних (персональних) даних. Призначається рішенням Прем'єр-міністра;

ФРН - Федеральна комісія Бундестагу із захисту даних та Комісар із захисту даних. Виборна державна посада, встановлена Законом, на правах єдиноначальності і повної незалежності від владних структур. Має право спостереження за діяльністю в будь-яких органах щодо обробки персональних даних. Очолює інститут Уповноваженого з питань захисту персональних даних. Підзвітний Бундестагу. Співпрацює з Міністром поліції з метою здійснення перевірок і припинення правопорушень в організаціях, підприємствах;

Швеція - Інспекційна рада та Омбудсмен із захисту даних. Підзвітний парламенту.

Як свідчить аналіз, впровадження нового порядку захисту персональних даних потребує кардинальних змін ментальності, законодавчого регулювання та ділової практики не лише у країнах - членах ЄС, а й в інших державах, що є партнерами країн - членів Євросоюзу та у більшості з яких рівень захисту персональних даних не завжди відповідає правовим стандартам ЄС.

Об'єктивна потреба в удосконаленні захисту прав людини у цій сфері визначається поширенням неправомірних і несанкціонованих дій із персональними даними на міжнародному і національному рівнях. Ураховуючи сучасні реалії впровадження новітніх інформаційно-обчислювальних технологій (технології типу Інтернету речей, Хмарних технологій, Великих Даних та їх конвергенції) [9-11], вирішення проблеми захисту персональних даних значно ускладнилося.

Вважаємо за потрібне звернути увагу на положення абзаців 6, 7 Преамбули Регламенту (ЄС) 2016/679 (загальні Положення про захист даних) від 27.04.2016 р., де зазначено: «Масштаби збору і сумісного використання персональних даних значно зросли. Технології дозволяють приватним компаніям і державним органам використовувати персональні дані в безпрецедентних масштабах... Технологія змінила як економіку, так і соціальне життя, і повинна додатково полегшити вільний потік персональних даних у межах Союзу і передачі в треті країни і міжнародні організації, забезпечуючи при цьому високий рівень захисту персональних даних. Ці обставини вимагають сильної і більш узгодженої структури захисту даних в Союзі, за підтримки сильного примушення».

У контексті зазначеного варто звернути увагу на проблему можливого впровадження права приватної власності людини на свої персональні дані. Як видається, потребує опрацювання теза, що будь-які відомості про фізичну особу та її приватне життя є особливим видом умовно визначеної власності, що юридично виступає у формі права приватної власності людини та ототожнює собою право на її самовизначення і повагу до себе. Монополія на таку власність обмежується Законом, зокрема, в інтересах дотримання прав і свобод інших осіб та в інтересах національної безпеки і оборони [12; 13].

Світовий досвід свідчить, що у країнах, де право приватної власності захищене, спостерігаються тенденції до більш активного розвитку економіки, громадянського суспільства, а демократичні принципи не ставляться під сумнів. Поряд з цим у державах, де ефективної системи захисту прав приватних власників не існує або ця система є декларативною (зокрема, в інформаційній сфері), виникають та поширюються ті чи інші проблеми у різних галузях життєдіяльності людини, суспільства і держави.

Результати дослідження правових стандартів Європейського Союзу щодо захисту даних та реального стану захисту персональних даних і приват- ності життя людини в Україні дають змогу дійти низки актуальних висновків і пропозицій:

1) персональні дані, як найбільш чутлива, делікатна та важлива для людини інформація, посідає особливе місце в сучасних інформаційних відносинах. Проблема їх захисту значно актуалізується в умовах розбудови інформаційного суспільства та поширення новітніх інформаційно-комунікаційних технологій, що надають реальні можливості для тотального контролю за приватним життям людини. Водночас створена в Україні система захисту персональних даних не гарантує захисту приватності та персональних даних людини і громадянина й потребує приведення у відповідність до правових стандартів Європейського Союзу. за цих умов найбільш реальні правові гарантії захисту приватності та персональних даних, як видається, може надати впровадження інституту права приватної власності людини на свої персональні дані, що потребує додаткового теоретичного і правового опрацювання;

2) відповідно до «Пакета захисту даних» ЄС, що набуває чинності у травні 2018 р., визначено такі базові принципи роботи з персональними даними: законність, справедливість, прозорість, цільове обмеження, зведення до мінімуму даних, точність, обмеження терміну зберігання, цілісність і конфіденційність;

3) потребує комплексного опрацювання проблема розробки і впровадження нової моделі захисту персональних даних, основними складовими якої можуть бути:

- розробка і затвердження Верховною Радою України відповідно до правових стандартів ЄС ефективної державної політики з питань захисту персональних даних та розвиток парламентського контролю у цій сфері;

- системне задіяння для захисту персональних даних комплексу правових, організаційних і технічних заходів, перегляд завдань, функцій та повноважень відповідних державних органів та органів місцевого самоврядування;

- створення інституту Уповноваженого з питань захисту персональних даних, підзвітного Верховній Раді України, основними функціями якого можуть бути забезпечення нагляду і контролю та удосконалення нормативно-правової бази з питань захисту персональних даних, а також взаємодія з уповноваженими органами ЄС та країн - членів ЄС з питань захисту даних;

- покладання на центральні органи виконавчої влади згідно з їх компетенцією виконавських функцій з питань захисту персональних даних. Зокрема, вивчення питання щодо створення окремого функціонального підрозділу у складі апарату Міністерства юстиції України і його територіальних органів або відновлення Державної служби (агентства) з питань захисту персональних даних, діяльність якої скеровуватиметься через Мін'юст України;

- покладання на Державну службу спеціального зв'язку і технічного захисту інформації України функцій організації забезпечення технічного захисту персональних даних в Україні;

- віднесення до компетенції Державного бюро розслідувань України проведення досудового слідства щодо правопорушень, які стосуються захисту персональних даних, а також покладання на Національну поліцію України функції сприяння у проведенні перевірок та розслідування правопорушень у цій сфері;

- опрацювання питання (з урахуванням п. 20 Преамбули Регламенту (ЄС) 2016/679, що його правила застосовуються у діяльності судів та інших судових органів, а також досвіду Суду із захисту даних Великобританії) про створення окремих судових палат у складі апеляційних судів і Верховного Суду України або створення спеціалізованого суду з питань захисту інформації (даних) з можливим покладанням на вказані органи розгляду справ щодо порушення права приватності життя людини і захисту персональних даних, правопорушень у сфері обігу інформації, надання доступу до публічної інформації, діяльності засобів масової інформації та використання інформаційно-комунікаційних систем і мереж, єдиних державних реєстрів та інформаційних ресурсів, роботи з інформацією, що становить державну таємницю або містить відомості з обмеженим доступом;

- запровадження в органах, установах, закладах, підприємствах та організаціях (згідно з нормами ЄС) посад фахівців з питань захисту персональних даних або покладання цих функцій на окремих працівників цих організацій;

4) з метою оптимізації національного законодавства з питань захисту персональних даних видається за потрібне:

- внести системні зміни і доповнення до Закону України «Про захист персональних даних» та інших законів з урахуванням правових стандартів з питань захисту персональних даних, визначених законодавством ЄС, зокрема, Регламентом (ЄС) 2016/679 від 27.04.2016 р., Директивою (ЄС) 2016/680 від 27.04.2016 р. Європейського Парламенту і Ради, а також Директивою (ЄС) 2016/681 від 27.04.2016 р. Європейського Парламенту і Ради до законодавства України;

- привести понятійний апарат, визначений законом України «Про захист персональних даних», у відповідність до визначень понятійного апарату в актах «Пакета захисту даних» ЄС, у т. ч. опрацювати питання щодо юридичного визначення понять «власник персональних даних», «право приватної власності на персональні дані»;

- розробити і запровадити (для фахівців із захисту даних) організаційно-розпорядчі документи, механізми сертифікації автоматизованих засобів захисту персональних даних (згідно з Розділом 5 Регламенту (ЄС) 2016/679), а також Кодекси поведінки у сфері захисту персональних даних та поширити їх принципи в органах, закладах, установах, організаціях та підприємствах усіх форм власності.

Наведені висновки і пропозиції, за нашими оцінками, не є вичерпними, потребують комплексного розгляду, а їх реалізація може сприяти подальшому розвитку системи захисту персональних даних і приватності в умовах розбудови інформаційного суспільства та євроінтеграції України.

Список використаних джерел

захист персональний інформаційний правовий

1. Про захист персональних даних: Закон України від 01.06.2010 № 2297-VI. Відом. Верхов. Ради України. 2010. № 34. Ст 481.

2. Брижко В. М. Сучасні основи захисту персональних даних в європейських правових актах. Інформація і право. 2016. № 3(18). С. 45-57.

3. Баранов А. А., Брыжко В., Базанов Ю. Защита персональных данных. Киев: ВАТ КП ОТИ, 1998. 128 с.

4. Брижко В.М. Захист персональних даних: реалії та практика сучасності. Інформація і право. 2013. № 3(9). С. 31-48.

5. Гнатюк С. Л. Особливості захисту персональних даних у сучасному кіберпросторі: правові та техніко-технологічні аспекти: аналіт. доп. Київ: НІСД, 2014. С. 52-55.

6. On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation): Reglament (EU) 2016/679 of the European Parlament and of the Council, of 27 April 2016. URL: http://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from= EN.

7. On the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA: Directive (EU) 2016/680 of the European Parliament and of the Council, of 27 April 2016. URL: https://eur-lex.europa.eu/legal-content/en/TXT/%3Furi% 3DCELEX%253A32016L0680&prev=search.

8. On the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime: Directive (EU) 2016/681 of the European Parliament and of the Council, of 27 April 2016. URL: https://consilium.europa.eu/en/press/press-releases/ 2016/04/21-council-adopts-eu-pnr-directive/&prev=search.

9. Баранов О. А., Брижко В. М. Захист персональних даних в сфері Інтернет речей. Інформація і право. 2016. № 2(17). С. 85-91.

10. Брижко В. М. Приватність даних у хмарних технологіях. Інформація і право. 2016. № 3(19). С. 47-59.

11. Брижко В., фурашев В. Конвергенція новітніх технологій: стан і перспективи змін у інформаційних відносинах. Інформація і право. 2017. № 1(20). С. 51-67.

12. Пилипчук В. Г., Брижко В. М. Інформаційна безпека та приватність у сфері захисту персональних даних. Інформація і право. 2016. № 4(19). С. 60-70.

13. Pylypchuk Volodymyr, 2016. PRIVACY AND HUMAN SECURITY IN THE PROTECTION OF PERSONAL DATA. Social and Human Sciences. Polish-Ukrainian scientific journal, 04(12). URL: http://sp-sciences.io.ua/s2596466/Pylypchuk Volodymyr, Bryzhko Valery_2016._privacy_ and_human_security_in_the_protection_of_personal_data._social_and_human_sciences._polish-ukrainian_ scientific_ journal_04_12_(accessed 08 January 2017).

Пилипчук В.Г., доктор юридических наук, профессор, директор Научно-исследовательского института информатики и права Национальной академии правовых наук Украины, член-корреспондент Национальной академии правовых наук Украины, Украина, г. Киев;

Брыжко В.М., доктор философии (Ph.D.) в отрасли правовых наук, старший научный сотрудник, главный научный сотрудник Научно-исследовательского института информатики и права Национальной академии правовых наук Украины, Украина, г. Киев

Трансформация системы защиты персональных данных и частной жизни в контексте евроинтеграции Украины

В статье освещены историко-правовые аспекты формирования национального законодательства по вопросам защиты персональных данных, процессы трансформации и новые правовые стандарты Европейского Союза в этой сфере, рассмотрены проблемы защиты частной жизни, прав и безопасности человека в условиях построения информационного общества, а также представлены предложения относительно развития системы защиты персональных данных в контексте евроинтеграции Украины.

Ключевые слова: частная жизнь, права и безопасность человека, персональные данные, правовые стандарты, система защиты персональных данных, евроинтеграция Украины.

Pylypchuk V., Doctor of Law, Professor, Director of the Research Institute of Informatics and Law of the National Academy of Legal Sciences of Ukraine, Corresponding Member of the National Academy of Legal Sciences of Ukraine, Ukraine, Kyiv;

Bryzhko V., Ph.D. in Law, Senior Research Fellow in the Research Institute of Informatics and Law of the National Academy of Legal Sciences of Ukraine, Ukraine, Kyiv

Transformation of the Personal Data and Privacy Protection System in the Context of European Integration of Ukraine

The article highlights historical and legal aspects of development of the national legislation and personal data protection system in Ukraine. Author considers transformation processes and new legal standards of the European Union in this area. Main principles of the personal data processing specified in the EU legislative acts adopted in 2016 - “Data protection package” (comes into force in May 2018) are also considered. Attention is drawn to the fact that, according to these acts, personal data shall be:

1) processed legally, fairly and in an accessible form in relation to the subject of data (“legality, fairness and transparency”);

2) collected for the certain, specific and legitimate purpose and shall not be subjected to additional processing that is incompatible with that purpose (“purpose limitation”);

3) adequate and limited to those data that are relevant and necessary to achieve the purpose for which they are processed (“minimizing data”);

4) accurate and, if necessary, constantly maintained in the up-to-date state (“accuracy”);

5) stored in a form that allows identification of the subject for no longer than is necessary for the purpose for which they are processed (“storage limitation”);

6) processed in such a way as to ensure the proper protection of personal data using appropriate technical or organizational measures (“integrity and confidentiality”).

The issue ofprotecting the privacy, human rights and safety in the conditions of the rapid development of information and communication technologies and the development of an information society is highlighted. The necessity to implement the provisions of the EU “Data Protection Package” in the national legislation and to develop the personal data protection system in Ukraine is emphasized.

Key words: privacy, human rights and safety, personal data, legal standards, personal data protection system, European integration of Ukraine.

Размещено на Allbest.ru