Відповідальність за адміністративні проступки у сфері захисту персональних даних: проблеми та рішення

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Відповідальність за адміністративні проступки у сфері захисту персональних даних: проблеми та рішення

В статье освещены актуальные вопросы ответственности за нарушение законодательства о защите персональных данных. Определены недостатки правового регулирования административно-деликтных отношений в информационной сфере. Предложен комплекс законодательных изменений, направленных на повышение эффективности мер противодействия нарушениям правил обработки и защиты персональных данных.

Ключові слова: інформація, персональні дані, захист персональних даних, правопорушення, адміністративний делікт, адміністративна відповідальність. персональний захист інформаційний порушення

Постановка проблеми

На сучасному етапі розвитку інформаційних відносин, основним засобом їх правового захисту виступає адміністративна відповідальність. Будучи ключовим інструментом охорони правопорядку та важливою детермінантою правомірної поведінки, адміністративна відповідальність розглядається вченими як визначальний чинник інформаційної безпеки та захисту персональних даних.

Її роль у механізмі захисту персональних даних неможливо переоцінити. Передусім, саме адміністративна відповідальність забезпечує невідворотність кари за порушення вимог інформаційного законодавства, гарантує відновлення порушених інформаційних прав, сприяє вихованню громадян у дусі поваги фундаментальних прав людини (зокрема, права на конфіденційність приватного життя). Саме вона гарантує стабільне функціонування сфери інформаційних відносин, і саме вона забезпечує її “стійкість” до протиправних посягань.

Аналіз наукових досліджень

Зважаючи на свою актуальність, питання відповідальності за адміністративні проступки у сфері захисту персональних даних виступають предметом високого наукового інтересу. Зокрема, їх дослідженню присвячені капітальні праці І.Р.Березовської, Г.М.Линника,

О.М.Шевчука та інших [1; 2; 3;]. Не лишаються вони й без уваги законодавця. Починаючи з 2011 року, до Кодексу України про адміністративні правопорушення (далі - КупАП) було внесено цілу низку положень, спрямованих на вдосконалення правових засад відповідальності за делікти проти безпеки персональних даних.

Виклад основного матеріалу

Попри це, сьогодні доводиться констатувати відсутність стрімкого прогресу в справі протидії порушенням законодавства про захист персональних даних. Щороку уповноважені підрозділи Державної служби України з питань захисту персональних даних фіксують десятки порушень у сфері обробки персональних даних та функціонування відповідних інформаційних баз. За інформацією ДСУПЗПД, порушення вимог законодавства про захист персональних даних нині мають місце на переважній більшості (понад 60%) підприємств, установ та організацій усіх форм власності. При цьому в багатьох випадках такі порушення мають непоодинокий, повторний або систематичний характер [4 ].

Як свідчить проведений аналіз, така ситуація зумовлена багатьма чинниками. Це і недосконале адміністрування, і мало- ефективність профілактичних заходів, і недостатня “щільність” галузевого контролю, і багато інших. Але, безсумнівно, головна її причина полягає в недоліках законодавства про адміністративну відповідальність.

За загальним визнанням науковців і практиків, кореспондуючі законодавчі положення охоплюють далеко не всі суспільні відносини, які об'єктивно потребують правового захисту. Зокрема, ними не передбачено конкретних заходів відповідальності за порушення прав суб'єктів персональних даних (на вимогу проти обробки своїх персональних даних, на вимогу щодо зміни своїх персональних даних etc.), порушення правил обробки персональних даних, а також за недодержання встановленого порядку захисту персональних даних (відповідно до ст. 188-39 КУпАП такі дії тягнуть за собою відповідальність лише тоді, коли ними спричинено незаконний доступ до персональних даних або порушення прав суб'єкта персональних даних).

Суспільна небезпека вказаних порушень не підлягає сумніву. Цілком очевидно, що порушення прав суб'єктів персональних даних йдуть у розріз з ідеологією демократичного інформаційного суспільства та суперечать ст. 32 Конституції України, згідно з якою кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, котрі не є державною або іншою захищеною законом таємницею.

У свою чергу, порушення порядку захисту персональних даних несуть у собі широкий спектр загроз для конфіденційності приватного життя людини. Часто-густо такі порушення не спричиняють реальної шкоди лише в силу збігу обставин. Відтак боротьба з ними (у т.ч., засобами юридичної відповідальності) має анітрохи не менше значення, ніж протидія деліктам з матеріальними шкідливими наслідками.

Що ж стосується порушень правил обробки персональних даних, то вони чинять деструктивний вплив на систему інформаційних відносин, роблячи її менш стабільною та більш вразливою до незаконних втручань. За великим рахунком вони мають тіж самі наслідки, що й порушення вимог щодо їх захисту. Однак, попри це, законодавець не відносить їх до суспільно-небезпечних діянь і не встановлює за них юридичної відповідальності.

Викладене зумовлює необхідність делік- тизації порушень прав суб'єктів персональних даних, а також порушень встановленого законом порядку їх обробки та захисту. На наш погляд, при здійсненні цього кроку слід виходити з того, що:

- здебільшого відповідні порушення вчинюються у сфері публічного й корпоративного адміністрування, являють собою порушення адміністративно-регламентних норм, характеризується помірним (у порівнянні з кримінально-караними діяннями) ступенем суспільної небезпеки, а отже, мають бути віднесені до розряду адміністративних проступків;

- оскільки вже сам факт таких порушень справляє негативний вплив на інформаційні відносини, відповідальність за їх учинення повинна наставати безвідносно до наявності/відсутності матеріальних наслідків у вигляді матеріальної чи моральної шкоди. Юридичні склади цих порушень мають бути “формальними”, що уможливить кваліфікацію та притягнення винних до відповідальності за фактом протиправних дій (бездіяльності);

разом з тим настання шкідливих матеріальних наслідків може розглядатись у якості кваліфікуючої ознаки складу та обставини, яка зумовлює підвищену відповідальність за порушення законодавства про захист персональних даних.

Істотною перепоною на шляху до підвищення ефективності механізмів відповідальності за делікти в сфері захисту персональних даних є некоректне формулювання змісту відповідних юридичних норм. Окремі положення КУпАП характеризуються наявністю суперечливих і невизначених моментів, котрі утруднюють кваліфікацію правопорушень, вибір належного стягнення та здійснення юрисдикційних процедур.

Наочним прикладом може слугувати ч. 4 ст. 188-39 КУпАП, якою передбачена відповідальність за: “Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних” (курсив мій - А.П.). Очевидно, при створенні (2011р.) та подальшому редагуванні (2013р.) цієї норми з поля зору законодавця випав той факт, що порядок захисту персональних даних не визначається законом ні як правове поняття, ні як юридична процедура.

Існуючі законодавчі вимоги стосуються виключно порядку обробки персональних даних. Вони не підпадають під охорону- ч. 4 ст. 188-39 КУпАП, оскільки законодавець чітко розмежовує процеси обробки та захисту персональних даних (див., наприклад, ст. 1, ст. 10 і ст. 24 Закону України “Про захист персональних даних”).

Таким чином, склалася дещо парадоксальна ситуація, коли норми адміністративно-деліктного законодавства охороняють порядок, не врегульований правом, тоді як детально впорядковані на законодавчому та підзаконному рівнях відносини з приводу обробки персональних даних перебувають за межами їхнього впливу.

Багато нарікань серед правозастосов- ців викликає також формулювання змісту- ст. 212-3 КУпАП “Порушення права на інформацію”, якою передбачено відповідальність за: неправомірну відмову в наданні інформації, несвоєчасне або неповне надання інформації, надання інформації, що не відповідає дійсності, у випадках, коли така інформація підлягає наданню на запит громадянина чи юридичної особи відповідно до законів України “Про доступ до публічної інформації”, “Про звернення громадян”, “Про доступ до судових рішень”, “Про засади запобігання і протидії корупції”, “Про адвокатуру та адвокатську дшльшсть'Ъир:// zakon4.rada.gov.ua/laws/show/5076-17/paran3 - n3.

По-перше, у наведеному переліку законодавчих актів, які вимагають обов'язкового надання інформації на запит фізичних і юридичних осіб, відсутній Закон України “Про захист персональних даних”. Це дезорієнтує суб'єктів правозастосування та змушує їх сумніватись в обґрунтованості кваліфікації за ст. 212-3 КУпАП випадків порушення права особи на доступ до інформації про себе.

По-друге, конкретизація в змісті адміністративно-деліктної норми всіх “охоро- нюваних” нею законів слід вважати явним порушенням нормотворчої техніки. Адже за такого підходу навіть найменші зміни в назвах законів потребуватимуть вимушеного оновлення КУпАП. На сучасному етапі розвитку вітчизняного законодавства, який вирізняється активністю і глибиною системних перетворень, імовірність таких змін є дуже високою (принаймні два закони з переліку ст. 212-3 КУпАП мають уже не першу редакцію та назву, відмінну від первинної). Крім того, у разі прийняття нового закону, який потребуватиме адміністративно-правового забезпечення, будь-яка затримка з включенням його назви до ст. 212-3 КУпАП обумовлюватиме вразливість і беззахисність регламентованих ним відносин.

По-третє, ст. 11 Закону України “Про інформацію” гарантує кожному право на доступ до інформації про себе. Це право забезпечується обов'язком володільців і розпорядників персональних даних повідомляти особі зміст пов'язаних з нею даних, які перебувають в обробці. Однак, попри те, що за чинним законодавством “носіями” такого обов'язку виступають і фізичні, і посадові особи (див.: ст.ст. 2, 8 та 16 Закону України “Про захист персональних даних”), ст. 212-3 КУпАП передбачає відповідальність тільки останніх. Дія цієї статті не поширюється на фізичних осіб. Як наслідок, вчинювані ними порушення не підпадають під вплив адміністративних санкцій, а відповідні суспільні відносини мають вельми низький рівень правового захисту.

І, нарешті, по-четверте. Останнє оновлення редакції ст. 212-3 КУпАП (див.: Закон України від 27 березня 2014 року “Про внесення змін до деяких законодавчих актів України у зв'язку з прийняттям Закону України “Про інформацію” та Закону України “Про доступ до публічної інформації”) мало наслідком розмежування складів проступків, пов'язаних з порушенням права на інформацію [5]. Замість однієї норми, яка передбачала відповідальність за всіх види обмежень права на інформацію (див.: ч. 1 ст. 212-3 КУпАП в редакції від 5 липня 2012 року), у ст. 212-3 КУпАП з'явилося кілька окремих частин, які встановлюють відповідальність за різні види інформаційних обмежень: обмеження права на доступ до публічної інформації (ч. 2), обмеження права на доступ до інформації, що надається на адвокатський запит (ч. 4), обмеження права на доступ до судового рішення або матеріалів справ (ч. 5).

Доцільність такої новели (читай - законодавчого розмежування норм про відповідальність за порушення права на інформацію) є доволі сумнівною, адже всі ці порушення характеризуються однотипністю, мають однаковий ступінь суспільної небезпеки, а за їх учинення передбачено абсолютно тотожні санкції - накладення штрафу від двадцяти п'яти до п'ятдесяти неоподатковуваних мінімумів доходів громадян. Єдиним практичним наслідком нововведень стало утруднення кваліфікації, оскільки суб'єкти правозастосовної діяльності в ході юридичної оцінки посягань тепер змушені звертатись не до однієї, а одразу до декількох конкуруючих адміністративно-деліктних норм.

Крім того, якщо попередня редакція- ст. 212-3 КУпАП в числі інших порушень передбачала відповідальність за неправомірну відмову в наданні інформації на підставі вимог закону України “Про інформацію” (а отже, охоплювала випадки ненадання інформації на вимогу суб'єкта персональних даних), то в новій редакції згадки про цей Закон немає. Фактично, зі змісту ст. 212-3 КУпАП “щезло” положення, котре давало підстави кваліфікувати за нею випадки обмеження права людини на інформацію про себе. У результаті згадане право лишилось без правових гарантій, а кореспондуючі суспільні відносини - без адміністративно-правового захисту.

У світлі викладеного постає необхідність кардинального оновлення змісту ст. 212-3

КУпАП, яка, з одного боку, повинна охоплювати всі випадки порушення права на інформацію (а не лише порушення вимог окремих законів), а з іншого - передбачати відповідальність усіх без винятку осіб, які такі порушення вчиняють.

Поряд із вадами законодавчого опису адміністративних правопорушень у сфері захисту персональних даних, мусимо констатувати недоліки конструювання санкцій відповідних норм. Наочним прикладом може слугувати все та ж ст. 212-3 КУпАП. З часу включення до КУпАП (2003р.) вона зазнавала неодноразових уточнень, аж до повної зміни редакції в 2014 році. Але в основній своїй масі ці зміни стосувались опису протиправних діянь, зокрема, їх об'єктивних ознак. Санкції ст. 212-3 КУпАП якщо й змінювались, то несуттєво. Сьогодні розміри передбачених ними штрафів коливаються в діапазоні від 25 до 80 неоподатковуваних мінімумів громадян, що не відповідає ні реальному ступеню небезпеки правопорушень (тим більше, що чинна редакція ст. 212-3 КУпАП встановлює відповідальність за службові/посадові делікти), ані сучасним економічним реаліям. В умовах, коли розміри шкоди, заподіюваної порушенням права на інформацію, значно перевищують розміри кореспондуючих адміністративних стягнень, ефективність останніх завжди стоятиме під питанням.

Про недостатню увагу законодавця до конструювання санкцій ст. 212-3 КУпАП свідчить і той факт, що і ч. 3 цієї статті, яка передбачає відповідальність за неправомірне обмеження доступу до інформації (основний склад), і ч. 7, котра встановлює відповідальність за повторне вчинення таких порушень (кваліфікований склад), “містять” тотожні грошові стягнення - від шістдесяти до вісімдесяти неоподатковуваних мінімумів доходів громадян. Подібну ситуацію, коли за вчинення двох однотипних діянь, одне з яких, a priori, характеризуються вищим рівнем суспільної небезпеки, на порушників накладаються однакові штрафи неможливо визнати прийнятною.

Ще одним недоліком законодавчого конструювання відповідних санкцій є надмірний “зазор” між верхньою та нижньою межами визначених ними заходів примусу. З одного боку, це свідчить про невдалу диференціацію юридичної відповідальності та стирає грань між деліктами різного ступеня суспільної небезпеки. З іншого - створює певні корупційні ризики. Як цілком справедливо підкреслює В.І.Красніков, широкі межі санкцій слугують підґрунтям для різного роду маніпуляцій, адже чим вища різниця між мінімальним і максимальним стягненням, тим більша неправомірна вигода може бути отримана при виборі меншого з них [ 6, с. 47].

Особливо широким діапазоном стягнень характеризуються санкції норм про адміністративну відповідальність за порушення законодавства про захист персональних даних. Наочний приклад - ст. 188-32 КУпАП: різниця між мінімальним і максимальним розмірами штрафу, передбаченими ч. 1 цієї статті становить 100%; ч. 2 - 330%; ч. 3 - 400%; ч. 4 - 500%! В умовах, коли звуження діапазону санкцій виступає одним з ключових моментів реформування інституту адміністративної відповідальності, подібні приклади не можуть вважатися допустимими. У зв'язку з цим, доцільно розглянути питання про усунення існуючих диспропорцій шляхом підвищення мінімального обсягу стягнень, передбачених за правопорушення в сфері захисту персональних даних.

Наявні проблеми диктують необхідність перегляду адміністративних санкцій, передбачених за делікти у сфері захисту персональних даних з основними та кваліфікованими складами, на предмет взаємної узгодженості, системного зв'язку, відповідності правилам юридичної техніки та нинішнім соціально-економічним реаліям.

Важливою запорукою ефективного функціонування механізмів адміністративної відповідальності є наявність досконалого процесуального забезпечення, здатного гарантувати невідворотність покарання порушника, об'єктивність і неупередженість розгляду справи, своєчасність і повноту відновлення порушених прав, законність і послідовність правозастосування. Водночас, навіть незначні вади процесуального регулювання суттєво погіршують стан юрисдик- ційної практики. Нині переважна більшість рішень у справах про делікти в сфері захисту персональних даних оскаржується саме через порушення процесуальних правил. Останні ж характеризуються багатьма не- визначеностями, що суттєво утруднює (а інколи взагалі унеможливлює) їх одноманітне розуміння та реалізацію.

Особливо гостро стоїть проблема неузгодженості правових актів, якими визначаються адміністративно-процесуальні функції та загальний правовий статус Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений). Відповідно до п. 10 ст. 23 Закону України “Про захист персональних даних”, Уповноважений наділяється повноваженням складати протоколи про притягнення до адміністративної відповідальності й направляти їх до суду у випадках, передбачених законом. Водночас, чинне законодавство таких випадків просто “не знає”.

Діючий КУпАП (ст. 255) наділяє правом складення адміністративних протоколів у справах про порушення тільки посадових осіб секретаріату Уповноваженого. По суті це означає, що саме вони (а не Уповноважений) наділяються функціями щодо попереднього розслідування адміністративно- деліктних посягань, порушення справ про адміністративні проступки та відкриття адміністративно-деліктного провадження, як такого.

Неприйнятність такої ситуації очевидна. Адже неузгодженість окремих елементів правового статусу органу чи посадової особи (цілей, задач, функцій, сфери відання, прав, обов'язків тощо) тягне за собою внутрішні організаційні протиріччя, “збої” механізму адміністрування, виникнення юридичних конфліктів [ , с. 42, 44]. З огляду на це, вважаємо, що адміністративно-процесуальні функції посадових осіб секретаріату Уповноваженого мають знайти відображення в положеннях Закону України “Про захист персональних даних”. Натомість, право Уповноваженого складати адміністративні протоколи повинно конкретизуватись у - ст. 255 КУпАП.

Висновок

Підбиваючи остаточний підсумок, мусимо констатувати, що сучасний стан правового забезпечення відповідальності за адміністративні проступки у сфері захисту персональних даних є вельми далеким від досконалості. Наразі йому притаманні численні недоліки, котрі проявляються практично у всіх сферах юрисдикційної діяльності та істотно знижують ефективність протидії не тільки окремим порушенням, а й боротьби з інформаційною деліктністю загалом.

До числа найбільш дошкульних проблем суб'єкти юрисдикційної практики відносять: неповноту й фрагментарність правового регулювання (81%), неузгодженість правових актів (75%), змістовні вади юридичних норм (зокрема, неповнота, нечіткість, неясність і суперечливість їх положень) (73%), розба- лансованість системи санкцій, передбачених за делікти у сфері обробки персональних даних (25%), неврегульованість ряду процесуальних аспектів розгляду та вирішення відповідних адміністртаивних справ (12%).

Окреслені проблеми тісно “переплетені” між собою, що вимагає комплексного підходу до їх вирішення. У рамках цього підходу доцільно:

1) здійснити деліктизацію порушень прав суб'єктів персональних даних, а також порушень правил обробки таких даних шляхом встановлення за них адміністративної відповідальності. Оптимальним способом реалізації цієї мети бачиться викладення ст. 188-39 КУпАП у наступній редакції:

“Стаття 188-39. Порушення встановленого порядку обробки персональних даних

Порушення встановлених правил обробки (збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання, поширення, знеособлення або знищення) персональних даних, а також невиконання законних вимог громадян щодо заборони, зміни або знищення пов'язаних з ними персональних даних,

- тягне за собою ...

Ті самі дії, вчинені повторно протягом року після накладення адміністративного стягнення, або якщо вони заподіяли шкоду охоронюваним законом правам, свободам та інтересам особи, -

- тягне за собою ...

Примітка. Під шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, слід розуміти шкоду на суму від десяти до ста неоподатковуваних мінімумів доходів громадян.

2) внести до КУпАП та КК України зміни, спрямовані на вдосконалення змісту положень, якими визначаються підстави відповідальності за делікти у сфері захисту персональних даних, а саме:

викласти ст. 212-3 КУпАП у наступній редакції:

“Стаття 212-3 “Порушення права на інформацію та права на звернення”

Неправомірна відмова в наданні інформації, ненадання інформації, несвоєчасне або неповне надання інформації, надання недостовірної інформації у випадках, коли така інформація підлягає наданню відповідно до чинного законодавства - тягне за собою.

Неправомірне віднесення загальнодоступної інформації до інформації з обмеженим доступом, а також незаконне обмеження права на доступ до інформаційних ресурсів -

тягне за собою.

Порушення права особи на доступ до судового рішення або матеріалів юридичної справи -

тягне за собою.

Порушення встановленого порядку розгляду звернень громадян - тягне за собою.

Ті самі дії, вчинені повторно протягом року після накладення адміністративного стягнення, або якщо вони заподіяли шкоду охоронюваним законом правам, свободам та інтересам особи, -

тягнуть за собою .

Примітка. Під шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, слід розуміти шкоду на суму від десяти до ста неоподатковуваних мінімумів доходів громадян”;

3) забезпечити комплексний перегляд адміністративних санкцій, передбачених за делікти у сфері захисту персональних даних на предмет взаємної узгодженості, системного зв'язку, дотримання правил юридичної

4) здійснити заходи по вдосконаленню процесуальних засад відповідальності за правопорушення у сфері обробки та захисту персональних даних, зокрема:

закріпити в КУпАП право Уповноваженого Верховної Ради України з прав людини складати протоколи у справах про адміністративні правопорушення, передбачені ст.ст. 188-39 та 188-40 КУпАП. З цією метою доповнити ст. 255 КУпАП “Особи, які мають право складати протоколи про адміністративні правопорушення” пунктом 2-5 такого змісту: “Уповноважений Верховної Ради України з прав людини, посадові особи секретаріату Уповноваженого Верховної Ради України з прав людини”. Абзац 40 п. 1- ст. 255 КУпАП - виключити;

відобразити в Законі України “Про захист персональних даних” адміністративно-процесуальні функції посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини;

Література

1. Березовська І. Р. Адміністративно-правова відповідальність у сфері забезпечення інформаційної безпеки: постановка проблеми / І. Р. Березовська, М. Микитюк // Наукові записки ЛУБП. - Вип. № 6. - 2011. - С. 146-150.

2. Линник Г. М. Особливості адміністративних правопорушень інформаційного характеру / Г. М. Линник // Підприємництво, господарство і право. - 2010. - № 7. - С. 69-72.

3. Шевчук Ю. М. Адміністративно-правове регулювання у сфері забезпечення інформаційної безпеки : дис. ... канд. юрид. наук: 12.00.07 / Шевчук Юрій Миколайович. -Запоріжжя, 2011. - 210 с.

4. Попередні підсумки здійснення ДСЗПД України функцій контролю за додержанням вимог законодавства про захист персональних даних // Офіційний сайт Державної служби з питань захисту персональних даних [Електронний ресурс]. - Режим доступу : http://zpd.gov.ua/dszpd/uk/publish/ article/52224;jsessionid = B9ACD8AC177D0E9 6A5AA4A4EC0BE7BBD

5. Закон України від 27 березня 2014 року “Про внесення змін до деяких законодавчих актів України у зв'язку з прийняттям Закону України “Про інформацію” та Закону України “Про доступ до публічної інформації” // Голос України від 18.04.2014. - № 77.

6. Красников В. И. Коррупция: история, причины, стратегии борьбы / В. И. Красников // Научный вестник Уральской академии государственной службы: политология, экономика, социология, право. - 2008. -№ 1 (2). - С. 44-51.

7. Шакун В. М. Коллизии в статусе (компетенции) органов государственной власти и должностных лиц / В. М. Шакун // Вестник Челябинского государственного университета. - 2006. - № 2 (75). - С. 42-48.

Размещено на Allbest.ru