Недоторканість персональних даних та приватного життя в системі міжнародних правовідносин

Размещено на http://www.allbest.ru/

НЕДОТОРКАНІСТЬ ПЕРСОНАЛЬНИХ ДАНИХ ТА ПРИВАТНОГО ЖИТТЯ В СИСТЕМІ МІЖНАРОДНИХ ПРАВОВІДНОСИН

Капля Олександр Миколайович доктор юридичних наук, старший науковий співробітник, професор кафедри правоохоронної та антикорупційної діяльності ПрАТ «ВНЗ «Міжрегіональна «Академія управління персоналом»

Муравйов Кирило Володимирович доктор юридичних наук, доцент, завідувач кафедри адміністративного, фінансового та банківського права ПрАТ «ВНЗ «Міжрегіональна «Академія управління персоналом»

Муравйова Ірина Анатоліївна кандидат юридичних наук, доцент кафедри адміністративного, фінансового та банківського права ПрАТ «ВНЗ «Міжрегіональна «Академія управління персоналом»

Анотація

правовий стандартизація безпека приватний

У статті розглянутий міжнародний досвід застосування норм права у сфері захисту персональних даних. В дослідженні використовувався, діалектичний, логічний, формально-юридичний та інші методи пізнання.

Досліджено особливості Європейського законодавства, що характеризуються рядом правових принципів, які спрямовані для забезпечення належної стандартизації безпеки приватного життя. Висвітлено окремі питання, що стосуються міжнародного регулювання захисту персональних даних. Представлено окремі аспекти його реалізації в вітчизняному праві.

Визначено основі юридичні вимоги, які мають бути дотримані в Україні при обробці персональних даних. Такі вимоги, узгоджені згідно з діючими міжнародними актами та документами. Констатовано можливість застосування міжнародних норм, у вітчизняній юридичні практиці. Проведено дослідження Європейської системи правового захисту приватного життя, що дозволило визначити чітку класифікацію видів інформації, які стосується захисту персональної інформації.

Встановлено, що на відміну від вітчизняних юридичних механізмів захисту персональних даних, європейська практика чітко розподіляє правовідносини публічні та приватні. Разом з тим, Європейський досвід включає в себе наявність обмежувальних засобів для окремих категорій суб'єктів обробки персональних даних. Такі засоби створюють окремий обмежений простір, доступу до якого органи влади, або інші суб'єкти владних повноважень не мають.

У статті розглянуто загальний Європейський регламент захисту даних (GDPR), який імплементує ряд правових принципів в роботу держав членів, а також підприємств та організацій, що працюють на території ЄС. Досліджені принципи, які складають основу цього регламенту забезпечують: законність, справедливість та прозорість. В результаті дослідження GDPR, виявлено, що за 2 роки його функціонування сума штрафів за порушення захисту персональних даних збільшилась в рази.

Також, у статті висвітлено проблеми вітчизняного законодавства, зокрема наявності більше двадцяти нормативних документів, які не мають чіткого визначення щодо персональних даних. Тому, основну увагу було звернено на міжнародний досвід, який вказує на більш широку деталізацію персональних даних та чітке їх визначення.

Ключові слова: міжнародне право, персональні дані, інформація, громадяни, приватне життя

Abstract

Inviolability of personal data and private life in the system of international legal relations. Kaplya Oleksandr Mykolaiovych Doctor of Science of Law, Senior Researcher, Professor Department of Law Enforcement and Anti-Corruption Activities PJSC «Higher education institution «Interregional Academy of Personnel Management». Muraviov Kyrylo Volodymyrovych Doctor of Science of Law, Associate Professor, Head of the Department of Administrative, Financial and Banking Law PJSC «Higher education institution «Interregional Academy of Personnel Management». Muraviova Iryna Anatoliivna Doctor of Law, Associate Professor of Department of Administrative, Financial and Banking Law PJSC «Higher education institution «Interregional Academy of Personnel Management»

The article considers the international experience of application of legal norms in the field of personal data protection. The study used dialectical, logical, formal-legal and other methods of cognition.

The peculiarities of European legislation, characterized by a number of legal principles aimed at ensuring proper standardization of privacy, are studied. Some issues related to the international regulation of personal data protection are covered. Some aspects of its implementation in domestic law are presented.

The legal requirements to be met in Ukraine when processing personal data are determined on the basis. Such requirements are agreed in accordance with current international acts and documents. The possibility of application of international norms in domestic legal practice is stated. A study of the European system of legal protection of privacy was conducted, which allowed to determine a clear classification of types of information related to the protection of personal information.

It is established that, in contrast to domestic legal mechanisms for the protection of personal data, European practice clearly divides public and private legal relations. However, the European experience includes the availability of restrictive tools for certain categories of personal data subjects. Such means create a separate limited space to which the authorities or other subjects of power do not have access.

The article examines the General European Data Protection Regulation (GDPR), which implements a number of legal principles in the work of Member States, as well as enterprises and organizations operating in the EU. The studied principles that form the basis of this regulation ensure: legality, fairness and transparency. As a result of the GDPR study, it was found that for 2 years of its operation the amount of fines for violation of personal data protection has increased many times.

Also, the article highlights the problems of domestic legislation, in particular the presence of more than twenty regulations that do not have a clear definition of personal data. Therefore, the main focus was on international experience, which indicates greater detail of personal data and their clear definition.

Keywords: international law, personal data, information, citizens, private life.

Постановка проблеми

Цифрова трансформація багатьох сфер життєдіяльності несе нові ризики та загрози інформаційній безпеці приватного життя. Такі загрози дозволили сформувати новий погляд на саму інформацію, яка має бути чітко розподілена за категоріями та режимом доступу. Тому, сучасна епоха «інформаційного суспільства», має свої особливості, які ще не зовсім регламентовані на нормативно-правовому рівні. Так, якщо раніше межі сфери приватного життя мали умовно-фізичний вираз «мій будинок - моя фортеця», то зараз воно все більш занурюється у інформаційних простір, де особливу важливість набуває захист інформації про особистість, перш за все, персональних даних, як елемента інституту недоторканності приватного життя.

В таких умовах, правова система, як в Україні, так і в світі має не вирішену задачу - встановлення правового режиму захисту персональних даних. Міжнародна юридична практика пов'язує право на захист персональних даних із правом на недоторканність приватного життя.

Саме для охорони та захисту права на недоторканність приватного життя в умовах автоматизованої обробки даних про громадян в Європі близько 30 років тому було створено особливий інститут правової охорони особистості - так званий інститут захисту персональних даних.

В США також існує багато організацій, що лобіюють політику контролю за захистом персональних даних, проте основним суб'єктом захисту персональних даних залишається держава.

Зважаючи на міжнародний досвід та актуальну потребу у збільшенні такого захисту, існує необхідність у впровадженні окремих суб'єктів захисту персональних даних, оскільки держава виконує таку функцію не повною мірою. Так, в Україні на сьогоднішній день придбати інформацію про паспортні дані, дані про геолокацію, про власність, про фінансову діяльність, тощо, немає ніяких проблем. Торгівля даними спровокована масовою інформатизацією багатьох сервісів створює загрозу для безпеки українського суспільства. Нормативно-правові механізми, які були сформовані 5 -10 років тому, не відповідають сучасним потребам захисту персональних даних. В результаті цим користуються шахраї. Так, лише телефонні шахраї за 2021 р., у Харківській області нанесли збитків на суму понад 500 тис. грн. [1].

Усе це, та багато інших проблем пов'язаних із приватністю особистого життя спонукає до рішучих дій. По-перше необхідна чітка класифікація даних за рівнем захищеності. По-друге обробники даних мають нести адміністративну відповідальність за витік інформації пов'язаної із персональними даними. По-третє ряд нормативних документів, в тому числі і закон «Про захист персональних даних» мають бути доповненими. Зокрема, в контексті права на отримання інформації щодо цільового призначення персональних даних.

Суб'єкт персональних даних має знати, як і для чого його дані будуть використані. Законом має бути чітко врегульовано можливість відмови суб'єкта персональних від подальшого їх використання.

Ці та інші не вирішені проблеми, спонукають до вивчення міжнародного досвіду в цьому аспекті, для створення додаткових можливостей імплементації такого міжнародного досвіду в правове середовище України.

Аналіз останніх досліджень та публікацій

Проблематикою дослідження недоторканості персональних даних займалися багато вітчизняних та зарубіжних вчених - фахівців у галузі економіки, фінансів, державного управління, менеджменту, права та ін.

Мета статті: вивчити міжнародний досвід застосування норм права у сфері захисту персональних даних; на основі міжнародного досвіду визначити основі юридичні вимоги, які мають бути дотримані в Україні при обробці персональних даних; віднайти відмінності вітчизняних та європейських юридичних механізмів захисту персональних даних.

Виклад основного матеріалу

Основою правозастосування міжнародних норм пов'язаних із захистом персональних даних є довід. Тому подальше його дослідження в ряді провідних країн світу дасть можливість визначити оптимальну адміністративно-правову модель і в Україні.

Для визначення, як саме держава може застосувати правовий механізм захисту особистої інформації громадян слід дізнатися, що саме закон передбачає під захистом персональних даних та захистом приватного життя.

Дослідивши міжнародну судову практику, в першу чергу правові конструкції, які запроваджені в ЄСПЛ, можна відзначити, що складовими приватного життя є наступні елементи: персональна ідентифікація; встановлення законних зв'язків конкретної людини; лікарська інформації; індивідуальний простір людини; взаємини громадянина; індивідуальний простір людини.

Європейська система захисту приватного життя включає в себе чітку класифікацію видів інформації, які стосуються захисту приватного життя. Існує чіткий розподіл між публічним і приватним. Є обмежувальні механізми для окремих категорій суб'єктів обробки персональних даних, тобто встановлений окремий обмежений простір, в який організації та органи влади, або інші суб'єкти владних повноважень не можуть отримувати доступ.

У відповідності до політики захисту персональних даних, Європейський Союз прийняв Загальний регламент захисту даних (GDPR), який імплементує ряд правових принципів в роботу держав членів, а також підприємств та організацій, які працюють на території ЄС [2]. До таких принципів віднесено: законність, справедливість, прозорість. Згідно яких, було реалізовано підстави для збору та використання персональних даних. З урахуванням того, що обробка даних має здійснюватись у відповідності до згоди. Принцип обмеження мети який виокремлює усі закріплені в політиці конфіденційності способи використання персональних даних. Принцип мінімізації даних, який характеризує мінімум даних для отримання кінцевого результату, тобто використання персональних даних. Принцип точності у відповідності до якого персональні дані мають бути точними та не повинні вводити в оману. Принцип обмеження зберігання даних, що гарантує видалення даних після їх цільового використання. Принцип підзвітності характеризує відповідальність за обробку персональних даних та виконання всіх інших принципів GDPR.

Регламент GDPR жорстко контролюється в країнах ЄС. Так, за 2 роки його функціонування сума штрафів склала приблизно 360 млн. євро [3].

Зважаючи на те, що питання захисту персональних даних переважно розглядаються, як один з аспектів сфери приватного життя, ці дві відповідні категорії в багатьох випадках розглядаються спільно. Так, Конвенція про захист прав людини та основних свобод (ЄКПЛ) відповідно до ст. 8 гарантує право на приватне життя [4]. Парламентська Асамблея Ради Європи також закріплює право контролювати власні персональні дані [5].

Право на захист персональних даних гарантується статтею 8 Хартії ЄС про основні права [6] та ст. 16 Договору про функціонування Європейського союзу. Захист персональних даних закріплений у в актах вторинного права Європейського Союзу, одним із яких є Регламент «Про захист фізичних осіб при обробці персональних даних [7].

Ці та інші зазначені нормативні документи мають практичне застосування. Відповідно, практика ЄСПЛ у цій сфері дозволяє створювати ряд рекомендацій спрямованих до визначення єдиних підходів із встановлення вимог до обробки та захисту персональних даних.

У свою чергу GDPR поширює свою дію у ряді випадків на фізичні та юридичні особи з третіх країн, у тому числі Україну.

До прикладу такого правозастосування можна віднести справу Рішенні ЄСПЛ у справі «Заїченко проти України», яка стосувалася проведення психіатричного обстеження з метою встановлення можливості притягнення до відповідальності заявника. ЄСПЛ, законодавче регулювання в Україні з питань збору, використання та зберігання даних щодо психічного здоров'я визнав не достатній. Проте, головним аргументом, на який посилався ЄСПЛ, це була відсутність будь-яких механізмів захисту прав громадян від незаконного втручання психіатричних установ у приватне життя [8].

Сьогодні не лише Європейські країни розширюють сферу дії захисту персональних даних.

Влада Китаю заборонила передачу даних за кордон, що збираються автомобільною електронікою змусивши автовиробників посилити захист даних та зберігати ключові дані місцевого виробництва тільки на території країни. Згідно з новою політикою, опублікованою на сайті Міністерства промисловості та інформаційних технологій Китаю, місцеві автовиробники повинні отримати дозвіл регулюючих органів, як у разі необхідності експорту важливих даних, так і перед оновленням автомобільних систем.

Таким шляхом, Китай прагне забезпечити безпеку даних нормою закону, який регламентує захист особистої інформації даних своїх користувачів [ 9].

Важливим аспектом Європейського законодавства є те, що законом передбачено надання інформації про цільове призначення персональних даних по окремому запиту, що на відміну від вітчизняних норм, які в основному містяться в законі «Про захист персональних даних», суб'єкт персональних даних має звернутися до суду, або до Уповноваженого ВР. Це значною мірою спрощує процедуру отримання інформації.

Прикладом такого звернення був запит Французької журналістки Жюдіт Дюпорталь до сервісу знайомств Tinder, де було вказано отримати усі дані, які компанія зберігає про неї. Виявилося, що це 800-сторінковий документ з усіма листуваннями та інтересами журналістки [10]. У зверненні журналістка вказала, що будь-який громадянин Євросоюзу відповідно до чинного законодавства може вимагати від інтернет-компаній її персональні дані, що використовуються.

Основним нормативним документом на який посилалася журналістка була Конвенція №108 Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних [11], яка визначає персональні дані, як будь-яку інформацію, стосовно ідентифікаційного номеру, відомостей про місцезнаходження та соціальної ідентичності зазначеної особи.

Застосовуючи сформований на підставі Конвенції № 108 підхід до розуміння персональних даних, ЄСПЛ у своїй практиці розглядав, відомості про стан здоров'я, ДНК, політичну діяльність, судимість, місцезнаходження, а також відомості, що містяться в банківських документах.

Таким чином, дотримання існуючих принципів та правил обробки персональних даних охоплюють не тільки організаційні аспекти, але й судову практику ЄС. Це повною мірою стосується вимог до розробки продуктів та послуг. Держави члени ЄС, в рамках забезпечення захисту сфери приватного життя несуть зобов'язання, спрямовані на недопущення випадків зловживання персональними даними.

Таким чином, на міжнародному рівні вироблені певні норми та створені механізми для забезпечення захисту персональних даних, дотримання та використання яких дозволяє забезпечити мінімальних рівень захисту основних прав людини в епоху цифрових технологій.

Висновки

Наразі вітчизняне законодавство має більше двадцяти нормативних документів, які не мають чіткого визначення щодо персональних даних. В даному аспекті слід виділити відсутність права на інформаційне самовизначення щодо використання власних персональних даних.

Міжнародний досвід, зокрема досвід ЄС вказує на більш широку деталізацію персональних даних та чітке їх визначення. У відповідності до міжнародних стандартів ЄС створив систему незалежних наглядових органів, які виконують функцію дотримання права на захист персональних даних.

Досвід міжнародних правових інституцій для України є вкрай важливим, а його впровадження має бути розпочато із приведення законодавства до міжнародних норм. Це обумовлено тим, що ряд основних нормативно- правових документів, які регламентують правові аспекти захисту персональних даних в Україні було сформовано 5-10 років тому і вони вже застаріли, оскільки інформаційні технології за своїм стрімким розвитком значно випереджають нормативну базу, яка має їх регулювати.

Література

1. В Україні - «загострення» телефонного шахрайства. [Електронний ресурс] // Укр Інформ. - 2021. - Режим доступу до ресурсу: https://www.ukrinform.ua/rubric- society/3219995-v-ukraini-zagostrenna-telefonnogo-sahrajstva-vtim-ne-lise-v-ukraini.html.

2. Frimin, Michael (29 March 2018). "Five benefits GDPR compliance will bring to your business". Forbes. Archived from the original on 12 September 2018. Retrieved 11 September 2018.

3. Самые крупные многомиллионные штрафы за нарушение GDPR в 2019 году [Електронний ресурс] // Panda Mediacenter. - 2019. - Режим доступу до ресурсу: https://www.cloudav.ru/mediacenter/security/gdpr-fmes-summary/.

4. Конвенція про захист прав людини і основоположних свобод, Документ 995_004, чинний, поточна редакція -- Редакція від 02.10.2013, підстава - 994_002-13, url: https://zakon.rada.gov.ua/laws/show/995_004#Text

5. Мінгазутдінов І.. Парламентська асамблея Ради Європи // Політична енциклопедія. Редкол.: Ю. Левенець (голова), Ю. Шаповал (заст. голови) та ін. -- К.: Парламентське видавництво, 2011. -- с.539

6. Craig, Paul; de Burca, Grainne (2003). EU Law, Text, Cases and Materials (3rd ed.). Oxford: Oxford University Press. p. 318.

7. Регламент Європейського парламенту і ради (ЄС) 2016/679 від 27 квітня 2016 року, Про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних), url: https://zakon.rada.gov.Ua/laws/show/984_008-16#Text

8. Європейський Суд з прав людини, П'ята секція, Рішення, Справа «Заїченко проти України» (Заява № 29875/02) - Страсбург 22 листопада 2007 року, Остаточне 31/03/2008, url: https://zakon.rada.gov.ua/l aws/show/974_328#Text

9. Журналистка спросила в Tinder все данные о ней и получила 800 страниц [Електронний ресурс] // Інформаціне агенство "Bad". - 2021. - Режим доступу до ресурсу: https://bad- android.com/news/9966-jyrnalistka-sprosila-v-tinder-vse-dannye-o-nei-i-polychila-800-stranic.

10. Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних, Документ 994_326, чинний, поточна редакція -- Ратифікація від 06.07.2010, підстава - 2438-VI, url: https://zakon.rada.gov.ua/laws/show/994_326#Text

References

1. V Екгаїні - «zagostrennja» telefonnogo shahrajstva [In Ukraine - "exacerbation" of telephone fraud]. www.ukrinform.ua. Retrieved from https://www.ukrinform.ua/rubric-society/3219995-v-ukraini- zagostrenna-telefonnogo-sahraj stva-vtim-ne-lise-v-ukraini.html [in Ukrainian].

2. Frimin, Michael (29 March 2018). "Five benefits GDPR compliance will bring to your business". Forbes. Archived from the original on 12 September 2018. Retrieved 11 September 2018.

3. Samye krupnye mnogomillionnye shtrafy za narushenie GDPR v 2019 godu [The largest multimillion fines for violating the GDPR in 2019]. www.cloudav.ru. Retrieved from https://www.cloudav.ru/mediacenter/security/gdpr-fines-summary/ [in Ukrainian].

4. Konvencija pro zahist prav ljudini і osnovopolozhnih svobod [Convention for the Protection of Human Rights and Fundamental Freedoms].zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/995_004#Text [in Ukrainian].

5. Mmgazutdmov, І. (2011). Parlaments'ka asambleja Radi Cvropi [Parliamentary Assembly of the Council of Europe]. K.: Parlaments'ke vidavnictvo [in Ukrainian].

6. Craig, Paul; de Burca, Grainne (2003). EU Law, Text, Cases and Materials (3rd ed.). Oxford: Oxford University Press. p. 318.

7. Reglament Єvropejs'kogo parlamentu і radi ^S) 2016/679 “Pro zahist fizichnih osft u zv'jazku z opracjuvannjam personal'nih danih і pro vn'nij ruh takih danih, ta pro skasuvannja Direktivi 95/46^S (Zagal'nij reglament pro zahist danih)”. [Regulation (EC) No 2016/679 of the European Parliament and of the Council “On the protection of individuals with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46 / EC on data protection)”]. (n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/ laws/show/984_008-16#Text [in Ukrainian].

8. Cvropejs'kij Sud z prav ljudini, P'jata sekcija, Rishennja, Sprava «Zaichenko proti Ukra'ini» (Zajava № 29875/02) [European Court of Human Rights, Fifth Section, Judgment, Zaichenko v. Ukraine (Application № 29875/02) - Strasbourg, 22 November 2007, Final 31/03/2008]. (n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/974_328#Text [in Ukrainian].

9. Zhurnalistka sprosila v Tinder vse dannye o nej i poluchila 800 stranic [The journalist asked Tinder for all the information about her and received 800 pages]. bad-android.com. Retrieved from https://bad-android.com/news/9966-jyrnalistka-sprosila-v-tinder-vse-dannye-o-nei- i-polychila-800-stranic [in Ukrainian].

10. Konvencija pro zahist osib u zv'jazku z avtomatizovanoju obrobkoju personal'nih danih [Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data].(n.d.). zakon.rada.gov.ua. Retrieved from https://zakon.rada.gov.ua/laws/show/994_326#Text [in Ukrainian].

Размещено на Allbest.ru