Законодавство Європейського Союзу у сфері захисту персональних даних

Бойко А.М., аспірант кафедри адміністративного права

юридичного факультету

Київський національний університет імені Тараса Шевченка

LEGISLATION OF THE EUROPEAN UNION IN THE PERSONAL DATA PROTECTION

The article covers the main legal acts regulating the procedure for collecting, processing and using personal data in the European Union, their names, main characteristics and areas of regulation of legal relations. The article defines the concept of “personal data” both from a scientific point of view and in accordance with current legislation. The article also defines the concept of “protection of personal data” and lists the national legal acts regulating the relevant legal relations. It has been determined that legal relationships in the area of collection, processing, use and protection of personal data are regulated by the following international legal acts: Lisbon Treaty, Charter of Fundamental Rights of the European Union, United Nations Universal Declaration of Human Rights, General Data Protection Regulation, etc. The article provides an analysis of the main provisions of the legal acts, principles and guarantees in the context of the protection of personal data of the Member States of the European Union, and the main provisions that directly regulate the collection, processing and use of personal data. The article contains a description of the new General Data Protection Regulation of the European Union on the protection of data in the relevant area from May 25, 2018.

The article describes the reform of the protection of personal data introduced in 2012, through which the European Union has laid down a course to change the Directive on the protection of personal data, the preparation of a new General Data Protection Directive in the context of law enforcement and judicial cooperation.

The General Data Protection Regulation (GDPR) is defined as sufficiently broadly identifying the personal data of the person to whom it applies, since such data include: name, identification number, location data (Internet identifiers provided by the device or application IP addresses, cookies or other device identifiers, identifiers for which location the individual can be identified), as well as one or more factors that characterize the physical, physiological, genetic, psychological, economic, cultural or social in the identity of this individual.

Key words: personal data, EU legislation on personal data protection, protection of personal data in the EU, EU personal data protection regulation.

В статті висвітлюються основні нормативно-правові акти, які в Європейському Союзі регулюють порядок збору, обробки та використання персональних даних, їх назви, основні характеристики та сфери регулювання правових відносин. У статті наявне визначення поняття «персональні дані» як із наукової точки зору, так і відповідно до чинного законодавства. Також у статті зазначене визначення поняття «захист персональних даних» та наведено перелік національних нормативно-правових актів, які регулюють відповідні правовідносини. Визначено, що правовідносини у сфері збору, обробки, використання та захисту персональних даних регулюють такі міжнародні нормативно-правові акти, як Лісабонський договір, Хартія основних прав Європейського Союзу, Загальна декларація прав людини Організації Об'єднаних Націй, Загальний Регламент захисту даних тощо. Стаття містить аналіз основних положень нормативно-правових актів, принципів та гарантій у контексті захисту персональних даних держав-членів Європейського Союзу та основних положень, які безпосередньо регулюють порядок збору, обробки та використання персональних даних. Стаття містить характеристику нового Загального Регламенту захисту даних Європейського Союзу у відповідній сфері від 25 травня 2018 р. (General Data Protection Regulation).

У статті надано характеристику реформ щодо захисту персональних даних, запроваджених у 2012 р., завдяки яким Європейський Союз заклав курс на зміну Директиви про захист персональних даних, підготовку нової Генеральної Директиви у сфері забезпечення захисту даних у контексті правоохоронного та судового співробітництва.

Визначено Загальний регламент захисту даних (GDPR) як такий, що досить широко окреслює персональні дані особи, на які поширюється його дія, адже до таких даних належать: ім'я, ідентифікаційний номер, дані про місцезнаходження (інтернет-ідентифікатори, надані пристрою чи додатку; IP-адреси, cookies або інші ідентифікатори пристроїв; ідентифікатори, за місцерозташуванням яких може бути ідентифікована конкретна особа), а також один чи більше чинників, які характеризують фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність цієї фізичної особи.

Ключові слова: персональні дані, законодавство ЄС у сфері захисту персональних даних, захист персональних даних в ЄС

Питання захисту персональних даних для європейських країн є нині не лише актуальним, а і дуже важливим, адже з 25 травня 2018 р. законодавство Європейського Союзу доповнив новий нормативно-правовий акт - Загальний Регламент Захисту Даних, так званий GDPR (GeneralDataProtectionRegulation).

Документ регламентує будь-які дії з персональними даними, врегульовує порядок збирання персональних даних, зберігання і передачі, а також передбачає юридичну відповідальність за недотримання норм GDPRта неймовірні штрафні санкції для юридичних осіб у розмірі до 20 млн євро або 2-4% від річного обороту суб'єкта [8].

Тож, вважаємо за необхідне приділити увагу дослідженню питання законодавства європейських країн у сфері захисту персональних даних, зокрема аналізу ново- створеного GDPR.

Дослідженню питань захисту персональних даних приділяли увагу такі вчені-правники, як І. Арістова, К. Бєляков, К. Беннет, В. Брижко, Д. Беркін, Л. Брейдейс, С. Воррен, О. Задорожний, В. Залізняк, С. Дейвіс, О. Коха- новська, А. Новицький, А. Пазюк, О. Рябченко, А. Чернобай, М. Швець та інші.

Дослідження вищезазначених науковців, присвячені проблемі захисту персональних даних, є ґрунтовними та об'ємними, але, на нашу думку, варто приділити увагу сучасним європейським нормативно-правовим актам, що регулюють захист персональних даних, отже, відповідна тема потребує подальшого дослідження.

Насамперед, пропонуємо надати визначення персональним даним, а саме як будь-яку інформацію про фізичну особу - ідентифіковану або таку, що може бути ідентифікована [1]. Оскільки предметом статті є саме захист персональних даних в європейському законодавстві, вважаємо за необхідне визначити поняття «захист персональних даних».

Отже, пропонуємо надати визначення поняттю захист персональних даних, а саме захист відомостей про особу, що ідентифікована або таку, що може бути ідентифікованою [1].

У процесі визначення поняття «персональні дані» та «захист персональних даних» у контексті розгляду європейського законодавства у сфері захисту персональних даних варто розуміти основні засади, за якими захист персональних даних регулюється європейським законодавством. Насамперед, вважаємо, що саме принцип свободи стосується сфери захисту персональних даних. Принцип свободи, особистої недоторканості є дотичним до захисту персональних даних та закріплений на конституційному рівні в україні, адже Конституція України у ст. 29 закріплює останній, а неприпустимість збирання, зберігання, використання та поширення інформації про особу без її згоди закріплено у ст. 32 Конституції України, крім випадків, визначених законом, і тільки в інтересах національної безпеки, економічного добробуту та прав людини .

Відповідно, ст. 34 Конституції України закріплює право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб - на свій вибір .

Також українське законодавство має низку законодавчих актів, які стосуються питання захисту персональних даних, а саме йдеться про закони України «Про захист персональних даних», «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» тощо.

З моменту набрання чинності у грудні 2009 р. Лісабонського договору, розглядаючи питання в контексті питання європейського законодавства у сфері захисту персональних даних, саме Хартія основних прав ЄС стала обов'язковою до виконання, а право на захист персональних даних набуло для європейських країн нового значення.

Першим документом, який для європейського співтовариства закріпив право на захист персональних даних, була Загальна декларація прав людини Організації Об'єднаних Націй (ООН) 1948 р., адже цей документ закріпив право особи на захист від втручання інших у приватне життя, зокрема, з боку державних органів, держави тощо [2].

Перевага саме Загальної декларації прав людини полягає у змозі впливати на розвиток інших нормативно-правових актів, що фактично є інструментаріями захисту прав людини в ЄС.

Законодавство європейських країн становлять міжнародні договори ЄС та вторинні нормативно-правові акти. Насамперед, варто приділити увагу Договору про Європейський Союз (дЄС) та договору про функціонування Європейського Союзу (дфЄС), який було ухвалено країнами, що входять до складу ЄС, так зване первинне законодавство ЄС.

Так зване вторинне законодавство ЄС становлять регламенти, директиви та рішення ЄС, які приймаються уповноваженими договорами інститутами ЄС, про один із таких регламентів у контексті захисту персональних даних в ЄС йтиметься в цій науковій статті.

Одним із найважливіших вторинних нормативно-правових актів ЄС у сфері захисту персональних даних є директива 95/46/ЄС Європейського парламенту та Ради Європи від 24.10.1995 р. «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (Директива про захист персональних даних) [3].

Після прийняття певними державами-членами ЄС у 1995 р. національних законів, що врегульовують питання захисту персональних даних, і була прийнята відповідна Директива.

Зокрема, ведення підприємницької діяльності між країнами-членами ЄС у 90-ті рр. вимагало захисту персональних даних, так званих превентивних дій щодо захисту персональних даних, що і було, відповідно, передумовою укладення як законодавчих актів національного законодавства країн-членів ЄС, так і відповідної Директиви. Однією з передумов укладання цієї Директиви було розширення права на приватність, закріплене Конвенцією 108 як один із принципів цього права.

На момент відповідних подій з укладення Директиви про захист персональних даних як обґрунтування та розширення закладених Конвенцією 108 принципів права на приватність, кількість країн-членів ЄС становила 15 суб'єктів. Та не кожна з країн-членів ЄС, відповідно до директиви, мала змогу на національному рівні закріплювати норми, які б суперечили Конвенції чи Директиві.

Але країни-члени ЄС мали право на доповнення норми своїми національними нормами, зокрема певними інструментами, які не передбачені вищезазначеними міжнародними документами у сфері захисту персональних даних, а саме інструментами незалежного контролю, які б вдосконалили дотримання правил захисту персональних даних, що, відповідно, стало важливим внеском в ефективне функціонування європейського законодавства про захист персональних даних. У 2001 р. цей інструментарій був закріплений відповідним Протоколом до Конвенції 108, і саме тому ця норма поширюється на 28 країн-членів, і разом із тим ті держави, що не є країнами-членами ЄС, також користуються та дотримуються відповідної норми, наприклад, країни економічної зони ЄС (ЕЕА), Норвегія, Ісландія, Ліхтенштейн [4].

Існують також винятки щодо використання Директиви країнами-членами ЄС: йдеться про побутові винятки, так звані обробки персональних даних фізичними особами для особистих чи побутових потреб, відповідний елемент свобод людини [3].

Варто зазначити, що матеріальну сферу застосування Директиви на момент прийняття останньої було обмежено питаннями внутрішнього ринку, що було закріплено відповідно до первинного права ЄС, чинного на момент прийняття.

Також відповідний міжнародний документ винятково не застосовується в питаннях співробітництва з правоохоронними органами, зокрема у кримінальних провадженнях, адже захист персональних даних у відповідних ситуаціях визначається різними правовими документами тощо [5].

У процесі необхідності створення інструменту для захисту персональних даних під час обробки останніх відповідними установами і інституціями ЄС, було прийнято Регламент (ЄС) N° 45/2001 про захист фізичних осіб у процесі обробки персональних даних інститутами і органами Співтовариства і про вільне переміщення таких даних, адже Директива, на відміну від Регламенту, мала вплив лише на держави-члени ЄС [6].

Також варто навести інші нормативно-правові акти, які впливали на сфери захисту персональних даних - Директиву 2002/58/ЄС «Про обробку персональних даних та захист таємниці у секторі електронних комунікацій (Директива про секретність та електронні комунікації) та Директиву 2006/24/ЄС «Про збереження даних, створених або оброблених при наданні загальнодоступних послуг електронних повідомлень або громадських мереж зв'язку та про внесення змін до Директиви 2002/58/ЄС (Директива про збереження даних), яка втратила чинність 8 квітня 2014 р. [5].

Саме Хартія основних прав Європейського Союзу, на нашу думку, в контексті захисту персональних даних як нормативно-правовий акт ЄС потребує дослідження.

Хартія запрацювала по-справжньому вже після прийняття Лісабонської угоди 1 грудня 2009 р., адже до цього часу Хартія фактично мала лише декларативний, політичний характер. У подальшому Хартія стала юридично зобов'язальною як будь-який міжнародний первинний документ, відповідно до ст. 6 Договору про Європейський Союз [5].

Відповідно до ст. 7, 8 Хартії, норми цього нормативноправового акта не лише гарантують повагу до приватного і сімейного життя, але й передбачають право на захист персональних даних, що є досить ефективним інструментом захисту персональних даних в ЄС.

Відповідно до ст. 51 Хартії, установи та організації ЄС та держави-члени ЄС зобов'язані дотримуватися і гарантувати це право на приватне життя.

Саме ст. 8 Хартії вважається гарантією права на захист персональних даних, незважаючи на те, що її було сформульовано через кілька років після прийняття Директиви про захист персональних даних.

Отже, Хартія є дуже важливим інструментарієм у захисті персональних даних, адже не лише містить норми, у ст. 8 зокрема, що визначають право на захист персональних даних, але і містить відповідні принципи, що стосуються захисту персональних даних та гарантії контролю за реалізацією і дотриманням прав та принципів захисту персональних даних.

Також у контексті необхідності проведення реформ щодо захисту персональних даних у 2012 р. ЄС заклало курс відповідних реформ, в який включено зміну вищезазначеної у статті директиви про захист персональних даних, підготовку нової Генеральної Директиви у тій самій сфері із забезпеченням захист даних у контексті правоохоронного та судового співробітництва.

Як вже зазначалось, захист персональних даних є нині проблемою і для європейських країн, адже законодавство не встигає за процесом інформатизації суспільства та захист персональних даних щодня стає викликом у сфері захисту прав осіб на захист персональних даних, але з 25 травня 2018 р. питання захисту персональних даних вийшло на новий рівень із набуттям чинності Загального Регламенту захисту даних, так званого GDPR (GeneralDataProtectionRegulation), який, відповідно, перевів ЄС на нові правила регулювання та регламентації роботи з персональними даними, адже майже всі варіанти роботи з персональними даними документ передбачає [7].

За п. 1 ст. 1 Регламенту, метою відповідного документа є встановлення правил щодо захисту фізичних осіб стосовно обробки їхніх персональних даних та правил, що стосуються вільного переміщення персональних даних.

Таким чином, предметом правового регулювання GDPRє всі персональні дані, що стосуються особи, за якими її прямо чи опосередковано можна ідентифікувати [7].

Регламент GDPRдосить широко окреслює персональні дані особи, на які поширюється його дія. Зокрема, до таких даних належать ім'я, ідентифікаційний номер, дані про місцезнаходження (інтернет-ідентифікатори, надані пристрою чи додатку; IP-адреси, cookiesабо інші ідентифікатори пристроїв; ідентифікатори, за місцерозташуванням яких може бути ідентифікована конкретна особа), а також один чи більше чинників, які характеризують фізичну, фізіологічну, генетичну, психічну, економічну, культурну або соціальну ідентичність цієї фізичної особи [7].

Законодавство ЄС у сфері захисту персональних даних варто датувати з 1995 р., після узгодження законодавства країн-членів ЄС з Директивою 95/46/ ЄС, Конвенцією 108 та Договором про Європейський Союз (ДЄС), Договором про функціонування Європейського Союзу (ДфЄС), якщо не зважати на Загальну Декларацію прав людини. Варто зауважити, що ЄС завжди намагався враховувати необхідність та важливість захисту персональних даних, зокрема, Хартія основних прав ЄС закріплювала як норми у контексті захисту персональних даних, так і принципи захисту та гарантії контролю за захистом персональних даних. А реформи 2012 р. у контексті захисту персональних даних, які майже повністю змінили Директиву, лише підтверджують занепокоєння ЄС щодо ефективності захисту персональних даних країн-членів. Що стосується сьогодення, останнім ефективним нормативно-правовим актом, що входить до складу законодавства ЄС у сфері захисту персональних даних, став Регламент захисту даних, так званий GDPR (GeneralDataProtectionRegulation), який, відповідно, перевів ЄС на нові правила регулювання та регламентації роботи з персональними даними та врахував майже всі сфери, де можуть використовуватись персональні дані задля забезпечення ефективного їх захисту.

Література

регламент захисту персональних даних правовий

1. Конвенція Ради Європи «Про захист прав людини та основних свобод» (Рим, 04.XI.1950 р.) та Протокол № 11. Голос України.

2001. № 3 (2503).

2. Організація Об'єднаних Націй (ООН), Загальна декларація прав людини (ЗДПЛ), 10 грудня 1948 р. URL: https://zakon.rada.gov.ua/laws/show/995_o15

3. Директива про захист персональних даних, OJ 1995 L 281, с. 31. URL: https://zakon.rada.gov.ua/laws/show/994_242

4. Угода про Європейську економічну зону, OJ 1994 L 1, яка набрала чинності 1 січня 1994 р. URL: https://uk.wikipedia.org/wiki/

5. Європейське право у захисті персональних даних. URL: https://www.echr.coe.int/Documents/Handbook_data_protection_UKR.pdf

6. Регламент (ЄС) № 45/2001 Європейського парламенту та Ради від 18 грудня 2000 р. «Про захист фізичних осіб при обробці персональних даних інститутами і органами Співтовариства і про вільне переміщення таких даних», OJ 2001 L 8.

7. Персональні дані: захист по-європейськи. URL: http://yur-gazeta.com/publications/practice/informaciyne-pravo-telekomunikaciyi/ personalni-dani-zahist-poevropeyski.html

Размещено на Allbest.ru