Адміністративно-правовий захист персональних даних в Україні

Размещено на http://www.allbest.ru/

Міністерство освіти і науки України

Національний авіаційний університет

Автореферат

дисертації на здобуття наукового ступеня кандидата юридичних наук

12.00.07 - адміністративне право і процес; фінансове право; інформаційне право

Адміністративно-правовий захист персональних даних в Україні

Цвірюк Денис Васильович

Київ - 2014

Дисертацією є рукопис

Робота виконана на кафедрі загальноправових дисциплін факультету права та масових комунікацій Харківського національного університету внутрішніх справ Міністерства внутрішніх справ України.

Науковий керівник доктор юридичних наук Теремецький Владислав Іванович, Харківський національний університет внутрішніх справ, професор кафедри цивільного права та процесу факультету права та масових комунікацій

Офіційні опоненти:

доктор юридичних наук, доцент Ігонін Руслан Владиславович, Національна академія прокуратури України, професор кафедри адміністративного та фінансового права

кандидат юридичних наук Чвалюк Андрій Миколайович, Донецький університет економіки та права, доцент кафедри адміністративно-правових дисциплін

Учений секретар спеціалізованої вченої ради І.М. Сопілко



1. Загальна характеристика роботи

правовий захист персональний дані

Актуальність теми дослідження. Стрімка інформатизація суспільства призводить до необхідності формування в державі комплексної політики забезпечення захисту окремих видів інформації. Особливо це стосується персональних даних, які активно використовуються у державному управлінні, зокрема, при формуванні баз персональних даних платників податків, споживачів, землекористувачів тощо. Приорітетність захисту персональних даних підтверджується Угодою про асоціацію між Україною та Європейським Союзом за якою «сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів».

Започаткування сфери захисту персональних даних в Україні розпочалося у 2010 р. одночасно з ратифікацією Конвенції «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» та прийняттям Закону України «Про захист персональних даних». При застосуванні цих нормативних актів виникло чимало питань, які потребують комплексного наукового вирішення, зокрема про визначення інформації, що віднесена до персональних даних, аналізу підстав обробки персональних даних, аргументації необхідності адміністративно-правового захисту вказаного виду інформації тощо.

Сутність персональних даних і окремі аспекти їх правового захисту в різних галузях юридичної науки досліджували: О.О. Баранов, Л.В. Борисова, О.І. Брель, Ю.І. Дем`яненко, Р.В. Ігонін, Р.А. Калюжний, А.В. Кучеренко, С.Й. Литвин, А.В. Пазюк, В.П. Радкевич, К.М. Рудой, В.О. Серьогін, І.М. Солілко, В.І. Теремецький, А.М. Чвалюк, О.О. Шарибурина, М.Я. Швець та інші вітчизняні й зарубіжні науковці. Особливо слід виділити фундаментальні праці В.М. Брижко «Організаційно-правові питання захисту персональних даних» (2004 р.), A.M. Чернобай «Правові засоби захисту персональних даних працівника» (2006 р.), М.В. Різак «Правове регулювання відносин обігу персональних даних» (2012 р.), А.В. Тунік «Правові основи захисту персональних даних» (2012 р.) Вказані та інші вчені внесли значний вклад у розвиток науки адміністративного права. Утім, їх висновки частково втратили актуальність у зв'язку з суттєвим оновленням законодавства про захист персональних даних. Зокрема, йдеться про наділення наприкінці 2013 р. Уповноваженого Верховної Ради України з прав людини (далі - Уповноваженого з прав людини) значним обсягом повноважень у зазначеній сфері, через що постала проблема розмежування правового статусу вказаного суб'єкта та Державної служби України з питань захисту персональних даних. До того ж правозастосовна практика виявила чимало прогалин, які потребують свого доктринального тлумачення й нормативного вирішення.

Наведене не лише обумовило вибір теми дисертації, а й свідчить про актуальність її наукових положень як для теоретичного аналізу стану правового регулювання захисту персональних даних в Україні, так і для визначення нових концептуальних підходів щодо його розвитку та вдосконалення.

Зв'язок роботи з науковими програмами, планами, темами. Дисертацію виконано відповідно до пп. 1-4 Додатку № 7, п. 45 Додатку № 13 Пріоритетних напрямів наукового забезпечення діяльності ОВС України на період 2010-2014 рр., затверджених наказом МВС України від 29.07.2010 р. № 347, а також пп. 6.11.7, 18.3 Пріоритетних напрямів наукових досліджень Харківського національного університету внутрішніх справ на 2011-2014 рр., схвалених Вченою радою ХНУВС 28.12.2010 р. (протокол № 10). Роботу виконано у рамках науково-дослідної теми ХНУВС «Законотворча та законодавча діяльність в Україні» (номер державної реєстрації 0113U008189).

Мета і задачі дослідження. Мета дисертаційного дослідження полягає в тому, щоб на основі системного аналізу положень теорії адміністративного права, вітчизняного й зарубіжного законодавства і практики його застосування визначити особливості адміністративно-правового захисту персональних даних в Україні, а також надати пропозиції та рекомендації щодо його вдосконалення.

Для досягнення поставленої мети необхідно вирішити такі основні задачі:

- розкрити сутність персональних даних як об'єкта адміністративно-правового захисту;

- визначити поняття, ознаки та види баз персональних даних;

- розглянути підстави та охарактеризувати загальні й особливі вимоги до обробки персональних даних;

- здійснити характеристику системи суб'єктів правовідносин, які виникають з питань захисту персональних даних, та визначити особливості їх правового статусу;

- з'ясувати зміст прав і обов'язків володільця й розпорядника персональних даних;

- охарактеризувати повноваження державних органів контролю та нагляду за додержанням законодавства про захист персональних даних;

- узагальнити зарубіжний досвід правового захисту персональних даних та визначити можливості його використання в Україні;

- виявити прогалини у правовому регулюванні адміністративної відповідальності у сфері захисту персональних даних та запропонувати способи їх подолання;

- сформулювати авторські пропозиції щодо оптимізації методів і форм захисту персональних даних.

Об'єктом дисертаційного дослідження є суспільні відносини, що виникають у сфері захисту персональних даних в Україні.

Предметом дослідження є адміністративно-правовий захист персональних даних в Україні.

Методи дослідження. У роботі використано як загальнонаукові, так і спеціально-юридичні методи наукового пізнання. Їх застосування обумовлене системним підходом, що надає можливість дослідити проблеми в єдності їх соціального змісту та юридичної форми. За допомогою логіко-семантичного методу і методу сходження від абстрактного до конкретного поглиблено понятійний апарат (підрозділи 1.1, 1.2, 1.3, 2.2), зокрема сутність термінів «персональні дані» у широкому й вузькому розумінні, «база персональних даних», «неналежний виконавець», «іменована сукупність відомостей про фізичну особу», «ідентифікація», «володілець персональних даних» та «розпорядник персональних даних». Системно-структурний метод застосовано для класифікації суб'єктів правовідносин, які виникають з питань захисту персональних даних (підрозділ 2.1), та визначення повноважень державних органів контролю і нагляду за додержанням законодавства у цій сфері (підрозділи 2.3, 3.3). Завдяки порівняльно-правовому методу обґрунтовано можливість використання в Україні зарубіжного досвіду правового регулювання захисту персональних даних (підрозділ 3.1). Методи аналізу і синтезу дозволили визначити проблеми правового регулювання захисту персональних даних в Україні та розробити наукові рекомендації з їх удосконалення (підрозділи 1.4, 3.2, 3.4). За допомогою соціологічного методу було з'ясовано позицію керівників і працівників державних та приватних підприємств, установ й організацій (всього 100 респондентів) щодо проблемних питань нормативно-правового регулювання відносин, пов'язаних із захистом та обробкою персональних даних, а статистичний метод дозволив їх узагальнити (розділи 2-3).

Наукова новизна одержаних результатів полягає в тому, що дисертація є одним із перших системних досліджень теоретичних і практичних проблем адміністративно-правового захисту персональних даних в Україні. У результаті проведеного дослідження сформульовано низку наукових положень та висновків. Основні з них такі:

вперше:

- запропоновано визначення поняття «підстави обробки персональних даних» як формально закріплені основи отримання, використання, зберігання і захисту персональних даних, котра є умовою виникнення, зміни та припинення взаємних прав і обов'язків сторін правовідносин у сфері захисту персональних даних;

- сформульовано визначення поняття «отримання персональних даних», котре розуміється як процес одержання володільцем або розпорядником персональної інформації від суб'єкта або іншої особи (з подальшим повідомленням суб'єкта) для використання її відповідно до встановленої мети обробки;

- обґрунтовано необхідність запровадження в Україні нового правозахисного інституту - Постійного представника Уповноваженого Верховної Ради України з прав людини в регіональних представництвах із захисту персональних даних (далі - Постійний представник Уповноваженого), на якого покладаються контрольні повноваження за додержанням вимог законодавства про захист персональних даних на місцях; доведено, що соціально-економічні наслідки запровадження цього інституту є позитивними та перевищать затрати на його утримання;

- доведено доцільність надання статусу «неналежного володільця» фізичній або юридичній особі, котра без дозволу на обробку персональних даних здійснює реалізацію складових процесу обробки персональних даних суб'єкта (збирання, накопичення, поширення, видалення або знищення);

удосконалено:

- класифікацію персональних даних за рахунок уведення нових критеріїв: характер даних про особу, здатність змінюватися у часі та джерело походження даних про особу, що дозволило визначити їх сутність, охарактеризувати окремі особливості виникнення та існування, а також розкрити особливості створення й функціонування баз персональних даних та підстав для обробки персональних даних в них;

- класифікацію баз персональних даних відповідно до існуючого суб'єктного складу, а також способу зберігання й обробки персональних даних, які знаходяться у базах, що надало можливість встановити основні закономірності формування та функціонування баз персональних даних;

- визначення поняття «повноваження» органів контролю й нагляду за додержанням законодавства про захист персональних даних, розкрито його ознаки, які відображають формалізований, системний та владний характер вказаної правової категорії;

- класифікацію суб'єктів відносин, пов'язаних з персональними даними, в основу якої покладено їх правове становище і процесуальне значення на основні, участь яких є обов'язковою, та факультативні, котрі можуть не брати участь у вказаних правовідносинах, а в разі такої участі їх становище значно обмежене;

- обґрунтування необхідності обмеження переліку відомостей про персональні дані у мережі Інтернет, що пов'язано з відсутністю мети ідентифікації особи в мережі, неможливістю ресурсу забезпечити надійний захист персональних даних, а також відсутністю у нього ознак правового статусу володільця персональних даних;

- теоретичні засади здійснення повноважень органами контролю й нагляду за додержанням законодавства про захист персональних даних у частині аргументації необхідності запровадження обов'язкового виїзного характеру позапланової перевірки Уповноваженого з прав людини;

- положення щодо оптимізації форм і методів захисту персональних даних, а саме: запровадження інституту позбавлення володільця чи розпорядника права обробляти персональні дані у разі повторного порушення вимог відносно обробки й захисту персональних даних, розширення кола органів адміністративної юрисдикції, які повинні накладати адміністративні стягнення за порушення законодавства про захист персональних даних, а також застосування інституту «адміністративної опіки» відносно володільців і розпорядників персональних даних, котрі є органами державної влади та місцевого самоврядування;

дістали подальшого розвитку:

- співвідношення й розмежування понять «персональні дані» і «конфіденційна інформація» та зроблено висновок, що ці поняття не є тотожними, адже незважаючи на наявність спільних ознак, персональні дані - це лише різновид конфіденційної інформації, яка містить виключно відомості про фізичну особу;

- визначення основних ознак бази персональних даних (упорядкованість інформації та її чітке системне розташування у базі персональних даних, наявність спеціально уповноваженого суб'єкта, який формує базу, певної мети її створення, та відповідного режиму доступу до інформації), які характеризують структуру, порядок формування, зміст та умови доступу до інформації, що міститься в базі персональних даних;

- класифікація повноважень державних органів контролю й нагляду за додержанням законодавства про захист персональних даних з урахуванням особливостей їх правового статусу.

Практичне значення одержаних результатів полягає в тому, що викладені у дисертації положення можуть бути використані:

- у науково-дослідній роботі - для подальшого розроблення теоретико-правових питань удосконалення правового регулювання у сфері захисту персональних даних в Україні та розробки програм і концепцій розвитку зазначеної сфери в державі;

- у правотворчій діяльності - для удосконалення нормативно-правового регулювання відносин, пов'язаних із захистом та обробкою персональних даних;

- у правозастосовній діяльності - для покращення практичної діяльності суб'єктів правовідносин, які виникають з питань захисту персональних даних (акт впровадження результатів дисертаційного дослідження у практичну діяльність Управління Пенсійного фонду України в Печерському районі м. Києва від 03.07.2014 № 11754/07);

- у навчальному процесі - під час укладання підручників, навчальних посібників та проведення занять з дисциплін «Інформаційне право», «Адміністративне право», «Адміністративна відповідальність» (акт впровадження результатів дисертаційного дослідження у навчальний процес Харківського національного університету внутрішніх справ від 12.07.2014 р.).

Особистий внесок здобувача. Усі сформульовані в дисертації положення та висновки ґрунтуються на власних дослідженнях. Ідеї та розробки, що належать співавторам наукових публікацій за темою дисертації, здобувачем не використовувались. В опублікованих у співавторстві п'яти наукових працях особистим внеском здобувача є виявлення недоліків вітчизняного законодавства про захист персональних даних, формулювання пропозиції щодо необхідності на законодавчому рівні розкрити зміст персональних даних та закріпити мету створення бази персональних даних, визначення підстав обробки персональних даних, поділ прав і обов'язків володільця й розпорядника персональних даних за характером на організаційні та звітні, обґрунтування пропозиції створити реєстри користувачів персональних даних.

Апробація результатів дослідження. Основні теоретичні положення, висновки й практичні рекомендації, викладені в дослідженні, були оприлюднені на міжнародних, всеукраїнських науково-практичних конференціях та семінарах, зокрема: «Актуальні проблеми сучасної науки в дослідженнях молодих учених» (Харків, 16 травня 2013 р.), «Сучасні проблеми правового, економічного та соціального розвитку держави» (Харків, 22 листопада 2013 р.), «Правові засади гарантування та захисту прав і свобод людини і громадянина» (Полтава, 06 грудня 2013 р.); «Людина і держава - плебсологічний вимір» (Київ, 22 січня 2013 р.), «Правоохоронна функція держави: теоретико-методологічні та історико-правові проблеми» (Харків, 25 квітня 2014 р.), «Філософські, теоретичні та методологічні проблеми юридичної науки в умовах євроінтеграції України» (Львів, 25 квітня 2014 р.).

Публікації. Основні положення дисертації викладено у 6 статтях, з яких 5 - опубліковано у наукових фахових виданнях України, 1 - у зарубіжному науковому періодичному виданні, а також у 6 тезах доповідей на науково-практичних конференціях.

Структура дисертації. Дисертація складається зі вступу, 3 розділів, що включають 11 підрозділів, висновків, списку використаних джерел та додатків. Загальний обсяг дисертації становить 244 сторінки, з них основного тексту - 207 сторінок, список використаних джерел налічує 204 найменування і займає 22 сторінки, додатки розміщено на 14 сторінках.

2. Основний зміст роботи

У Вступі обґрунтовано актуальність теми дисертації, наведено відомості про зв'язок роботи з науковими програмами, планами, темами, визначено мету та задачі, окреслено об'єкт, предмет і методологічну основу дослідження, висвітлено наукову новизну й практичне значення одержаних результатів, наведено дані щодо апробації результатів дисертації та кількості публікацій.

Розділ 1 «Методологічні засади захисту та обробки персональних даних» складається з чотирьох підрозділів.

У підрозділі 1.1 «Персональні дані як об'єкт адміністративно-правового захисту» встановлено, що законодавство Європейського Союзу, захищаючи персональні дані особи, враховує і властивості особистості, на відміну від вітчизняного законодавства, в якому базовою правовою категорією є «персона», котра здебільшого вказує на конкретну людину. Тому європейський підхід до категорії персональних даних є більш особистісним, що дозволяє захистити не лише основні відомості про особу (адреса, освіта тощо), а й відомості, властиві особистості конкретної людини (політичні переконання та ін.).

Здійснено класифікацію персональних даних за такими критеріями: за характером даних про особу, за здатністю змінюватися у часі, за джерелом походження даних про особу.

У підрозділі 1.2 «Поняття, ознаки та види баз персональних даних» проаналізовано погляди науковців щодо розуміння сутності баз персональних даних та особливостей обробки відомостей про фізичну особу, що містяться у базі персональних даних. Запропоновано основними ознаками бази персональних даних вважати упорядкованість інформації, яка логічно пов'язана з фізичною особою, чітку систематизацію інформації, що входить до її складу, за окремими видами персональних даних, формування спеціально уповноваженими суб'єктами (володільцем і розпорядником персональних даних), створення відповідно до певної мети, наявність спеціального режиму доступу до інформації, що міститься в базі персональних даних.

Розроблено класифікацію баз персональних даних за суб'єктом, персональні дані якого знаходяться у базі даних, та способом зберігання й обробки персональних даних, що знаходяться у базах. Доведено, що найбільш захищеними від несанкціонованого доступу є персональні дані, які зберігаються в картотеках, а не в електронній формі.

У підрозділі 1.3 «Підстави та вимоги до обробки персональних даних» охарактеризовано підстави обробки персональних даних та з'ясовано, що вони відображають юридично значимі наслідки та засвідчують початок виникнення прав і обов'язків у сторін; характеризують процес обробки; не впливають на визначення виду та мети створення бази персональних даних, а тільки допомагають охарактеризувати законність створення й обробки інформації в базі, є невід'ємною складовою захисту персональних даних та гарантією законності і дисципліни у цій сфері. Визначено ознаки підстав обробки персональних даних, основними з яких є вмотивованість, законність, адекватність, реальність, формальність.

Запропоновано доповнити ст. 11 Закону України «Про захист персональних даних» такими підставами: наявність у розпорядника права на обробку персональних даних, наявність у суб'єкта персональних даних документів виданих на його ім'я, проведення Державної реєстрації бази персональних даних (за необхідності).

Виходячи з аналізу підстав обробки персональних даних з'ясовано, що одні з них встановлюють умови обробки персональних даних, а інші - мають характер принципів. Запропоновано доповнити Закон України «Про захист персональних даних» новою ст. 11-1 «Умови та принципи обробки персональних даних», що дозволить розмежувати ці поняття на законодавчому рівні. Наведено авторське визначення поняття «вимога» відносно обробки персональних даних.

У підрозділі 1.4 «Правове регулювання відносин, пов'язаних з захистом і обробкою персональних даних, та місце у ньому адміністративного законодавства» встановлено, що законність обробки персональних даних безпосередньо залежить від узгодженості правових норм та побудови збалансованої системи законодавства про захист персональних даних.

Доведено, що відносини, пов'язані з персональними даними, слід виділити в окремий інститут адміністративного права під умовною назвою «інститут обробки та захисту персональних даних» та віднести його до особливої частини адміністративного права.

Доведено, що правове регулювання відносин, пов'язаних з захистом і обробкою персональних даних, відбувається за допомогою кримінального, трудового, цивільного та інформаційного законодавства. Однак пріоритетне місце займає адміністративне законодавство України, яке регламентує правовий статус володільця і розпорядника персональних даних та перерозподіл повноважень між органами державної влади щодо контролю й нагляду за додержанням вимог законодавства про захист персональних даних.

Розділ 2 «Адміністративно-правовий статус суб'єктів правовідносин, які виникають з питань захисту персональних даних» складається з трьох підрозділів.

У підрозділі 2.1 «Поняття та система суб'єктів правовідносин, які виникають з питань захисту персональних даних» запропоновано поділяти таких суб'єктів на основні, участь яких є обов'язковою (суб'єкт персональних даних, володілець персональних даних і Уповноважений з прав людини), та факультативні, тобто суб'єкти, котрі можуть не брати участь у вказаних правовідносинах, а у разі такої участі їх становище значно обмежене (розпорядник персональних даних та третя особа).

Розроблено класифікацію суб'єктів відносин, пов'язаних з персональними даними, за спрямованістю на такі групи: суб'єкт персональних даних, тобто особа, якій належать персональні дані та особи, які дають згоду на обробку персональних даних суб'єкта (батьки, опікуни, піклувальники тощо); суб'єкти, які здійснюють обробку персональних даних, тобто володілець і розпорядник персональних даних; суб'єкти забезпечення захисту персональної інформації (Уповноважений з прав людини, судові та правоохоронні органи України).

У підрозділі 2.2 «Права і обов'язки володільця та розпорядника персональних даних» встановлено, що володілець і розпорядник персональних даних мають особливий правовий статус, який з одного боку передбачає наявність необхідних юридичних і технічних можливостей для обробки персональних даних, а з іншого - зобов'язує не порушувати права суб'єкта персональних даних.

Обґрунтовано важливість поділу прав і обов'язків володільця й розпорядника персональних даних за функціональною спрямованістю на такі групи: щодо отримання і збирання персональних даних, щодо обробки персональних даних, щодо захисту персональних даних.

Удосконалено поняття «збирання персональних даних» як дії зі підбору чи впорядкування відомостей про фізичну особу (ч. 1 ст. 12 Закону України «Про захист персональних даних»), які здійснюються володільцем чи розпорядником за згодою суб'єкта персональних даних та відповідно до встановленої мети обробки.

У підрозділі 2.3 «Повноваження державних органів контролю та нагляду за додержанням законодавства про захист персональних даних» визначено, що контрольну функцію у сфері захисту персональних даних покладено на Уповноваженого з прав людини та суди, які наділені відповідними повноваженнями спрямованими на забезпечення належних умов обробки й правової охорони відомостей про фізичну особу та відображають сукупність способів і засобів впливу на правовідносини у сфері захисту персональних даних. До ознак повноважень цих органів віднесено владний, зобов'язальний і системний характер, формальну визначеність, наявність юридичних наслідків.

Вказано, що суди з урахуванням специфіки їх діяльності виконують контрольну функцію, використовуючи особливі способи і засоби впливу на правовідносини: ухвалюють судові рішення, які є обов'язковими до виконання, та контролюють їх виконання під час здійснення виконавчого провадження. Підкреслено роль Конституційного Суду Украйни у забезпеченні тлумачення та роз'яснення положень законодавства про захист персональних даних.

Розділ 3 «Шляхи вдосконалення адміністративно-правового захисту персональних даних» складається з чотирьох підрозділів.

У підрозділі 3.1 «Зарубіжний досвід правового захисту персональних даних та можливості його використання в Україні» з'ясовано, що захист персональних даних у світовій правовій традиції розуміється як одна з неодмінних підстав забезпечення фундаментального права людини на недоторканість її особистого життя.

Зроблено висновок, що наразі в Україні закладені лише основи законодавства про захист персональних даних, яке узгоджується з міжнародними стандартами. Однак потрібна подальша робота з його систематизації, прийняття підзаконних актів, відповідних національних стандартів, чіткого визначення термінів, понять і категорій. Висловлені пропозиції про можливість використання в Україні досвіду інших країн про захист персональних даних.

У підрозділі 3.2 «Напрями вдосконалення адміністративного законодавства, яке регламентує захист персональних даних» сформульовано пропозиції щодо вдосконалення адміністративного законодавства про захист персональних даних в Україні. Зокрема, запропоновано доповнити категоріальний апарат Закону України «Про захист персональних даних» терміном «вибірка персональних даних», під якою розуміються окремі дані або їх сукупність, яка відібрана володільцем бази персональних даних чи третьою особою за відповідними критеріями з метою подальшого використання.

Доведено необхідність закріплення у вітчизняному законодавстві права суб'єкта персональних даних на блокування відомостей персонального характеру у випадку, якщо особа заперечує їх правильність - на строк, що дозволяє органу, відповідальному за обробку перевірити чи є ці дані правильними і повними; орган, відповідальний за дані, вже їх не потребує для здійснення своїх завдань, але їх потрібно зберегти для доказових цілей; обробка даних є незаконною та особа заперечує проти їх видалення, вимагаючи замість цього блокування.

Обґрунтовано необхідність закріплення у Наказі Уповноваженого з прав людини від 08.01.2014 р. № 1/02-14 поняття «файли даних для автоматизованої обробки», оскільки обробка персональних даних у формі картотек значно відрізняється від автоматизованої обробки, яка здійснюється за допомогою відповідних файлів без використанням первинних документів або їх копій.

Розроблене визначення поняття «автоматизована обробка», під якою розуміється сукупність операцій, котрі повністю або частково здійснюються за допомогою автоматизованих засобів: зберігання даних, виконання логічних та арифметичних операцій із цими даними, їх зміну, знищення, вибірку або поширення.

У підрозділі 3.3 «Удосконалення адміністративної відповідальності у сфері захисту персональних даних» визначено особливості застосування інституту адміністративної відповідальності за порушення вимог законодавства про захист персональних даних та сформульовано пропозиції щодо її вдосконалення. Встановлено, що більшість повноважень щодо захисту персональних даних в Україні належить Уповноваженому з прав людини, який отримав право притягувати до адміністративної відповідальності за порушення вимог законодавства про захист персональних даних. Це відповідає європейському досвіду та створює умови забезпечення ефективності захисту персональних даних за допомогою парламентського контролю.

Проаналізовано ознаки адміністративної відповідальності за порушення вимог законодавства про захист персональних даних та вказано, що ними є нормативно-правова врегульованість інституту адміністративної відповідальності, наявність органів адміністративної юрисдикції, які накладають адміністративні стягнення, примусовий та превентивний характер; встановлення переліку правопорушень, відсутність службової підпорядкованості між правопорушником і органом чи посадовою особою, що застосовує санкції, наявність специфічних процесуальних форм.

У підрозділі 3.4 «Оптимізація методів та форм захисту персональних даних» під методами захисту персональних даних запропоновано розуміти систему прийомів і способів, завдяки яким суб'єкт управління може реалізувати свої функції відповідно до мети управління у сфері захисту персональних даних. Розроблено проект Типового положення про перелік персональних даних, котрі суб'єкт надає володільцю залежно від мети обробки, в основу якого покладено поділ сфер обробки персональних даних на державний та приватний сектори. Запропоновано проект Типового договору між володільцем і розпорядником щодо обробки персональних даних, який дозволить гарантувати права володільця й обмежити до необхідного обсягу правовий статус розпорядника.

Доведено необхідність створення єдиного реєстру володільців, які здійснюють обробку персональних даних, котрі становлять особливий ризик для прав і свобод суб'єкта персональних даних, що сприятиме впорядкуванню таких відомостей, а також створить умови для ознайомлення з даними реєстру звичайних суб'єктів персональних даних, які планують довірити обробку інформації персонального характеру окремому володільцю.



Висновки

У дисертації здійснено теоретичне узагальнення та запропоновано нове вирішення наукового завдання, що полягає у розробці нових підходів щодо адміністративно-правового захисту персональних даних в Україні. У результаті проведеного дослідження сформульовано низку висновків, пропозицій і рекомендацій, спрямованих на досягнення поставленої мети.

1. Визначено, що відомості про фізичну особу слід розглядати як дані, котрі характеризують її в суспільстві та факти, які відображають окремі аспекти соціального буття індивіда. Ідентифікація фізичної особи розуміється як процес ототожнення відомостей про особу з конкретною фізичною особою, котра надала інформацію про себе. Документами, які дозволяють ідентифікувати особу, запропоновано вважати паспорт громадянина України та паспорт для виїзду за кордон, ідентифікаційний номер, свідоцтво про народження, атестат і диплом про освіту, а також документи про підвищення кваліфікації, проходження стажування і присвоєння відповідного розряду та рангу, посвідчення водія, медична картка особи, медична довідка, висновок медичної комісії, судові рішення, нотаріальні документи, свідоцтво про шлюб (розірвання шлюбу).

Обґрунтовано необхідність доповнення переліку персональних даних відомостями, які характеризують фінансове становище та банківські рахунки фізичної особи, а також відомостями, котрі засвідчують її право власності на рухоме і нерухоме майно, що обмежить доступ до такої інформації широкого загалу та нівелює загрозу протиправних посягань на це майно.

Зроблено висновок, що відомості про релігійні переконання людини не доцільно відносити до переліку персональних даних, закріплених у ч. 2 ст. 11 Закону України «Про інформацію», оскільки ця інформація не впливає на її конституційно-правовий статус, а лише характеризує окремі духовні якості індивіда.

Вказано, що персональні дані у широкому значенні - це сукупність відомостей про фізичну особу, які відображають особливості її етнічного походження і характеризують інтелектуально-фізіологічні особливості розвитку та існування в суспільстві, а також надають можливість ідентифікувати особу. У вузькому значенні персональні дані - це структурні елементи бази персональних даних, джерелом яких є документи, видані на ім'я особи.

2. Визначено, що у системі адміністративно-правових відносин база персональних даних є документом, адже не тільки має спільні риси щодо створення і зберігання, а й передбачає таку ж характеристику щодо часу використання та інформаційної складової, що й документи.

З'ясовано, що належність бази персональних даних до документів, підтверджується такими чинниками: є засобом фіксації відомостей про фізичну особу; має ступінь обмеження інформації; має інформаційну складову, тобто спосіб відображення відомостей, що містяться у базі персональних даних (текстовий, цифровий тощо); існують певні способи документування інформації в базах персональних даних, що характеризує джерела отримання персональних даних, підстави їх отримання та подальшої обробки в базах; має чітко визначений порядок функціонування в зовнішньому середовищі; база персональних даних обмежена часом.

3. Визначено, що обробка персональних даних, яка не порушує права людини, повинна відповідати технічним (поділяються в залежності від виду обробки, яка буває автоматизованою і неавтоматизованою) та юридичним (складна система фактів, що надає можливість здійснити законну дію зі збору, обробки та використання відомостей, які прямо чи опосередковано ідентифікують особу) умовам.

Підстави обробки персональних даних визначено як формально закріплені умови отримання, використання, зберігання й захисту персональних даних, котрі спричиняють виникнення, зміну та припинення взаємних прав і обов'язків сторін правовідносин у сфері захисту персональних даних. Встановлено, що наявність таких підстав є одним з обов'язкових елементів обробки персональних даних та ключовою умовою, без якої не можлива подальша обробка відомостей про особу. Обґрунтовано необхідність закріплення цього поняття у ст. 11 Закону України «Про захист персональних даних».

Під вимогою до обробки персональних даних пропонується розуміти сформульовану в законодавстві, обґрунтовану умову створення, використання, накопичення, поширення та знищення персональних даних, яка є обов'язковою для володільців і розпорядників персональних даних.

4. Доведено, що відносини, пов'язані з персональними даними, слід віднести до особливої частини адміністративного права. Обґрунтовано необхідність включення цих відносин до адміністративно-політичної діяльності щодо забезпечення безпеки громадян, адже захист персональних даних є складовою забезпечення конституційного права людини та громадянина на недоторканість особистого життя.

5. Запропоновано закріпити у ст. 2 Закону України «Про захист персональних даних» визначення суб'єкта персональних даних як фізичної особи, котрій належать персональні дані, що обробляються, або її представників, які від імені цієї особи надають згоду на таку обробку та здійснюють інші права щодо захисту персональних даних.

Наголошено на необхідності доповнити ст. 2 Закону України «Про захист персональних даних» терміном «неналежний володілець» та визначити його статус. Під неналежним володільцем слід розуміти фізичну або юридичну особу, яка без дозволу на обробку персональних даних здійснює реалізацію складових процесу обробки персональної інформації суб'єкта (збирання, накопичення, поширення, видалення або знищення).

6. Доведено, що всі права й обов'язки володільця і розпорядника персональних даних за характером можна поділити на організаційні, які передбачають використання правового становища для процесу отримання, збирання, використання, поширення, видалення та знищення персональних даних і звітні, котрі обумовлені потребою інформування суб'єкта, третьої особи, Уповноваженого з прав людини, суду, правоохоронних органів та інших можливих учасників про мету і стан обробки персональних даних, а також про умови їх захисту.

7. Розроблено класифікацію повноважень органів контролю і нагляду за додержанням законодавства про захист персональних даних за такими критеріями: 1) за характером: організаційні, наглядові, контрольні; 2) за рівнем: внутрішньодержавні повноваження, міжнародні повноваження; 3) за змістом: процесуальні повноваження, нормативні повноваження.

8. Доведено доцільність заборони збирати персональні дані про дітей віком до 13 років без згоди їх батьків. Запропоновано визначити обов'язкові правила для Інтернет-ресурсів, що збирають персональну інформацію про дітей та зобов'язати ці ресурси подавати відомості, для чого вони збирають інформацію і яким чином її захищатимуть.

Обґрунтовано необхідність створення реєстрів користувачів персональних даних, тобто третіх осіб, яким було надано доступ до персональних даних суб'єкта, а також створення реєстру володільців персональних даних, котрий відображатиме відомості про таких суб'єктів і передбачатиме для них процедуру реєстрації. Запропоновано доповнити Закон України «Про захист персональних даних» положенням, що персональними даними є і біометричні документи фізичної особи.

9. Доведено необхідність ст. 6 Закону України «Про захист персональних даних» доповнити таким положенням: «Обробка персональних даних може здійснюватися як в державному, так і в приватному секторі». Доцільність цього пояснюється на прикладі ст. 4 вказаного Закону де зазначається, що «розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу». Утім, з урахуванням авторської пропозиції, вказана стаття Закону повинна бути викладена у такій редакції: «Розпорядником персональних даних, які обробляються в державному секторі може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу».

Запропоновано ввести у вітчизняне законодавство інститут блокування суб'єктом персональних даних доступу до відомостей персонального характеру, доповнивши ст. 16 Закону України «Про захист персональних даних» таким положенням: «Суб'єкт персональних даних має право на блокування відомостей про нього, які обробляються володільцем, у випадку, якщо особа заперечує їх правильність або орган, відповідальний за дані, вже їх не потребує для здійснення своїх завдань, але їх потрібно зберегти для доказових цілей, а також у разі, якщо обробка даних є незаконною і особа заперечує щодо їх видалення». Такі доповнення є доцільними з огляду на гарантування та деталізацію прав суб'єкта персональних даних, які покладено в основу вітчизняного законодавства про захист персональних даних.

10. Поряд із застосуванням штрафних санкцій доцільним є запровадження інституту позбавлення володільця чи розпорядника права обробляти персональні дані на строк до одного року у випадку повторного вчинення правопорушення, передбаченого ч.ч. 1, 2, 3 ст. 188-39 КУпАП. При застосуванні такого стягнення до володільця, який самостійно обробляє персональні дані, на період позбавлення таких прав його функції має виконувати спеціально призначений розпорядник, котрий за відповідну плату повинен здійснювати обробку персональних даних, що належать володільцю.

Обґрунтовано необхідність запровадити інститут Постійного представника Уповноваженого та надати йому контрольні повноваження за додержанням вимог законодавства про захист персональних даних. Доведено, що економічний ефект від уведення цього правозахисного інституту буде вищим ніж затрати на його утримання.

Наголошено, що відносно володільців і розпорядників персональних даних, які є органами державної влади та місцевого самоврядування, доцільно застосовувати інститут «адміністративної опіки», котра має встановлюватися за систематичне порушення вимог обробки й захисту персональних даних, що надасть можливість постійно контролювати та відстежувати дотримання підконтрольним суб'єктом порядку надання доступу до персональних даних, а також забезпечення ним ефективних умов захисту інформації персонального характеру.

11. Визначено, що існуючі форми і методи захисту персональних даних потребують значної оптимізації, яка поряд з необхідністю стимулювання володільців і розпорядників (надання статусу «зразковий володілець), передбачає потребу проведення комплексу організаційних заходів (семінари, інструктажі та стажування), метою яких є підвищення рівня обізнаності вказаних суб'єктів в існуючих вимогах вітчизняного законодавства про захист персональних даних.

Аргументовано, що нагальною є потреба вдосконалення адміністративної правотворчості та договірних правовідносин, які виникають між володільцем, розпорядником і Уповноваженим з прав людини, що можливо за умов запровадження комплексу запропонованих заходів оптимізації методів і форм захисту персональних даних, наслідком чого стане підвищення ефективності гарантування прав та свобод суб'єкта персональних даних, а також покращення показників діяльності суб'єктів, котрі здійснюють контроль і нагляд за додержанням законодавства про захист персональних даних.



Список опублікованих праць за темою дисертації

1. Цвірюк Д.В. Підстави обробки персональних даних за законодавством України / Д.В. Цвірюк // Вісник Харківського Національного університету внутрішніх справ. - 2013. - № 4. - С. 138-145.

2. Цвірюк Д.В. Аналіз недоліків законодавства України у сфері захисту персональних даних / Д.В. Цвірюк // Право і безпека. - 2013. - № 5. - С. 58-64.

3. Цвірюк Д.В. Роль адміністративного законодавства у правовому регулюванні відносин, пов'язаних з персональними даними / Д. В Цвірюк // Форум права. - 2014. - № 1. - С. 516-521 [Електронний ресурс]. - Режим доступу: http://nbuv.gov.ua/j-pdf/FP_index.htm_2014_1_90.pdf.

4. Цвірюк Д.В. Понятие и признаки баз персональных данных / Д.В. Цвірюк // Право и политика: научно-методический журнал. - 2014. - № 2. - Ч. 1. - С. 114-116.

5. Цвірюк Д.В. Проблеми визначення прав і обов'язків володільця та розпорядника персональних даних / Д.В. Цвірюк // Науковий вісник Херсонського державного університету. - 2014. - Вип. 2. - Т. 3 - С. 199-204. - (Серія: Юридичні науки).

6. Цвірюк Д.В. Застосування зарубіжного досвіду правового захисту персональних даних в Україні / Д.В. Цвірюк, В.І. Теремецький // Часопис Академії адвокатури України. - 2014. - № 2. - Т. 7. - С. 73-82 [Електронний ресурс]. - Режим доступу: http://nbuv.gov.ua/j-pdf/Chaau_2014_7_2_11.pdf.

7. Цвірюк Д.В. Актуальні проблеми визначення бази персональних даних (адміністративно-правовий аспект) / Д.В. Цвірюк, В.І. Теремецький // Людина і держава - плебсологічний вимір : матеріали доповідей і виступів V (ювілейної) всеукр. наук.-практ. конф. (Київ 22 січня 2013 р.). - Київ: Нац. ун-т ім. Т. Г. Шевченко, 2013. - С. 396-398.

8. Цвірюк Д.В. Проблеми визначення вимог до обробки персональних даних / Д.В. Цвірюк, В.І. Теремецький // Актуальні проблеми сучасної науки в дослідженнях молодих учених: матеріали всеукр. науково-практ. конфер. (Харків 16 травня 2013 р.). - Харків: ХНУВС, 2013. - С. 134-138.

9. Цвірюк Д.В. Деякі аспекти адміністративно-правового захисту персональних даних в Україні / Д.В. Цвірюк // Сучасні проблеми правового, економічного та соціального розвитку держави: тези доповідей міжнар. наук.-практ. конф. (Харків 22 листопада 2013 р.). - Харків: ХНУВС, 2013. - С. 280-281.

10. Цвирюк Д.В. Щодо проблеми визначення та характеристики видів баз персональних даних / Д.В. Цвірюк // Правові засади гарантування та захисту прав і свобод людини і громадянина: збірник тез наукових доповідей і повідомлень міжнар. наук.-практ. конф. (Полтава 06 грудня 2013 р.). - Харків: Нац. ун-т «Юридична академія України ім. Яр. Мудрого», 2013. - С. 73-75.

11. Цвірюк Д.В. Шляхи гармонізації законодавства України із правовими нормами Європейського Союзу щодо захисту персональних даних / Д.В. Цвірюк, В.І. Теремецький // Філософські, теоретичні та методологічні проблеми юридичної науки в умовах євроінтеграції України: матеріали всеукр. наук.-практ. конф. (Львів 24 квітня 2014 р.). - Львів: ЛДУВС, 2014. - С. 317-321.

12. Цвірюк Д.В. Контроль Уповноваженого Верховної Ради України з прав людини за додержанням законодавства про захист персональних даних / Д.В. Цвірюк, В.І. Теремецький // Правоохоронна функція держави: теоретико-методологічні та історико-правові проблеми: матеріали міжнар. наук.-практ. конф. (Харків 25 квітня 2014 р.). - Харків: ХНУВС, 2014. - С. 262-265.

Размещено на Allbest.ru

...