Виклики реформування системи публічного управління у сфері захисту персональних даних в Україні

Размещено на http://www.allbest.ru/

Виклики реформування системи публічного управління у сфері захисту персональних даних в Україні

Городиський Іван Михайлович

кандидат юридичних наук

доцент кафедри державного управління

Українського католицького університету

Анотація

захист персональний дані правовий

У статті розглядаються проблеми становлення і розвитку механізмів публічного управління в сфері захисту персональних даних в Україні. Проаналізовано міжнародні стандарти створення та діяльності таких органів, наведено вимоги, які вони встановлюють на національному рівні. У статті розглядаються проблеми становлення і розвитку механізмів публічного управління в сфері захисту персональних даних в Україні. Проведено дослідження проблем діяльності та правового статусу Державної служби із захисту персональних даних, наведено причини, які обґрунтовували її невідповідність чинним міжнародним стандартам та вимогам Європейського Союзу. Наголошено, що передача функцій інституційного механізму у цій сфері до Уповноваженого Верховної Ради з прав людини та Секретаріату Уповноваженого дозволила суттєво покращити ситуацію, але і цей формат має цілу низку недоліків. Проаналізовано чинні пропозиції щодо започаткування нових механізмів захисту персональних даних в Україні, зокрема створення Національної комісії з питань захисту персональних даних та доступу до публічної інформації. Визначено недоліки законопроекту, які впливатимуть на незалежність майбутнього органу. Запропоновано, що створення нового органу має відбуватися у форматі Інформаційного комісара, статус та повноваження якого будуть близькими до статусу і повноважень Уповноваженого Верховної Ради з прав людини. Одночасно за Уповноваженим доцільно зберегти функції в сфері захисту персональних даних, однак в рамках його конституційного мандату. Підкреслено, що реформування механізму захисту персональних даних безумовно стане однією із євроінтеграційних вимог в ході переговорів України про вступ Європейський Союз.

Ключові слова: державне управління, евроінтеграція, права людини, захист персональних даних, принцип незалежності, Європейський Союз.

The challenges of reforming the public administration system in the sphere of personal data protection in Ukraine

Abstract

The article examines the problems offormation and development ofpublic management mechanisms in the field ofpersonal data protection in Ukraine. The international standards for the creation and operation of such bodies are analyzed, and the requirements they establish at the national level are given. The problems of the formation and development ofpublic management mechanisms in the field ofpersonal data protection in Ukraine are considered. A study of the problems of the activity and legal status of the State Service for the Protection of Personal Data was conducted, the reasons justifying its non-compliance with current international standards and requirements of the European Union were given. It was emphasized that the transfer of the functions of the institutional mechanism in this area to the Ombudsperson and her Secretariat had allowed to significantly improve the situation, but this format also has a number of shortcomings. The current proposals for the creation of new mechanisms for the protection ofpersonal data in Ukraine, in particular the creation of the National Commission for the Protection of Personal Data and Access to Public Information, were analyzed. The shortcomings of the draft law, which may affect the independence of the future body, have been identified. It is proposed that the creation of a new body should take place in the format of the Information Commissioner, whose status and powers will be close to the status and powers of the Omdudsperson. At the same time the Commissioner is expedient to retain functions in the field ofpersonal data protection, but within the framework of his constitutional mandate. It is emphasized that reforming the personal data protection mechanism will definitely become one of the requirements of the European integration process during Ukraine's negotiations on joining the European Union.

Key words: public administration, European integration, human rights, protection of personal data, principle of independence, European Union.

Постановка проблеми

В умовах інформаційного суспільства дотримання міжнародних стандартів права на приватність неможливе без механізмів публічного контролю. Такі механізми покликані здійснювати як попередній контроль за впровадженням цих стандартів так і реагувати на факти їхнього порушення. Провідна роль при цьому покладається на державу та створені нею інституційні механізми в цій сфері.

В Україні відповідні інституційні механізми публічного управління функціонують із початку 2010-х рр., однак практично весь час ведуться дискусії щодо їх реформування та вдосконалення з метою підвищення ефективності. Певні системні пропозиції висувалися у 2021 р., напередодні повномасштабної війни, однак вони не знайшли підтримки. Зазначені питання набудуть особливої актуальності в ході європейської інтеграції України. Враховуючи ту увагу, яку в ЄС приділяють питанням захисту персональних даних, ефективність цих органів буде однією із вимог вступу нашої держави в Європейський Союз.

Аналіз останніх досліджень і публікацій

Питання механізмів публічного управління в сфері захисту персональних даних неодноразово привертало увагу вітчизняних та зарубіжних дослідників. Серед тих, хто досліджував ці питання варто назвати імена М.В. Бема, І.М. Городиського, М. Жорж, А.В. Пазюка, Н. Пірч Мусар, Г. Саттона та ін. В той же час, видається, що існує необхідність у більш повному вивченні питання реалізації державної політики в сфері захисту персональних даних через діяльність відповідних інституційних механізмів.

Мета статті полягає у комплексному дослідженні та формулюванні пропозицій щодо подальшого вдосконалення інституційних механізмів захисту персональних даних в сфері публічного врядування.

Виклад основного матеріалу

Сучасна державна політика України в сфері захисту персональних даних розпочала формуватися в другій половині 2000-х рр. із розвитком автоматизованої обробки персональних даних. Започаткування публічних інституцій, які б виконували контрольні функції стало одним із головних елементів цього процесу. Створення та діяльність відповідних механізмів передбачена і міжнародними договорами, які закріплюють право на приватність.

Так, у статті 1 Додаткового протоколу до Конвенції Ради Європи №108 про захист осіб у зв'язку з автоматизованою обробкою персональних даних (далі - Конвенція 108), містить зобов'язання держав сторін щодо створення «одного чи більше органів нагляду, відповідальних за забезпечення дотримання заходів, передбачених внутрішньодержавним правом і які втілюють принципи, викладені в... Конвенції та в цьому Протоколі» [1].

Відповідно до цього Протоколу, такі органи повинні:

розслідувати та втручатися у випадках щодо порушення законодавства про захист персональних даних

право брати участь у судовому розгляді щодо порушення законодавства про захист персональних даних

повідомляти компетентним судовим органам про порушення щодо порушення законодавства про захист персональних даних

прийняття рішень у зв'язку із заявами будь-якої особи стосовно захисту її прав та основоположних свобод стосовно обробки персональних даних;

співробітничати із уповноваженими органами інших держав настільки, наскільки це необхідно для виконання їхніх обов'язків, зокрема шляхом обміну будь-якою корисною інформацією [1].

Україна, після ратифікації Конвенції № 108 06 липня 2010 р. взяла на себе зобов'язання створити відповідний механізм і це зобов'язання було закріплене у Законі «Про захист персональних даних». Запуск цього механізму відбувся у 2011 р. у формі Державної служби України з питань захисту персональних даних (надалі - ДСЗПД), яку було створено згідно із Указом Президента «Про Положення про Державну службу України з питань захисту персональних даних» від 06 квітня 2011 року № 390/2011. Відповідно до цього Указу, ДСЗПД була центральним органом виконавчої влади, який забезпечував реалізацію державної політики у сфері захисту персональних даних [2].

Серед основних завдань ДСЗПД згідно із положенням було визначено:

внесення пропозицій щодо формування державної політики у сфері захисту персональних даних;

реалізація державної політики у сфері захисту персональних даних;

контроль за додержанням вимог законодавства про захист персональних даних;

здійснення міжнародно-правового співробітництва у сфері захисту персональних даних [2].

Діяльність ДСЗПД піддавалася і критиці з боку правозахисників та міжнародних організацій. Головною причиною цього була фактична інтегрованість Служби в систему органів виконавчої влади хоча, головним принципом діяльності таких контрольних органів у цій сфері є саме незалежність. Особливо важливим це є щодо органів виконавчої влади, оскільки саме вони обробляють найбільші об'єми персональних даних і часто стають головними порушниками норм і стандартів щодо захисту та обробки.

Так у статті 1 Додаткового протоколу до Конвенції № 108, передбачено, що національні інституційні механізми в сфері захисту персональних даних «виконують свої функції в повній незалежності» [1]. На незалежності і у Паризьких принципах щодо статусу національних установ, які займаються захистом прав людини, від 9 жовтня 1991 р., затверджених Резолюцією Генеральної Асамблеї ООН № 48/134 від 20 грудня 1993 р. Європейський Союз теж підтверджує цей стандарт для контрольних органів у сфері захисту персональних даних у Загальному регламенті про захист персональних даних (General Data Protection Regulation, GDPR): «Кожний наглядовий орган діє абсолютно незалежно під час виконання своїх завдань та здійснення своїх повноважень» [3].

В той же час ДСЗПД згідно із п. 1 Положення фактично, перебувала в системі Мін'юсту, а її діяльність Служби: «спрямовувалася і координувалася Кабінетом Міністрів України через Міністра юстиції України» [2]. Також було передбачено, що Голова ДСЗПД, згідно із п. 9 Положення, призначався та звільнявся з посади Президентом України за поданням Прем'єр-міністра, внесеним на підставі пропозицій Міністра юстиції [2]. На практиці могли виникати ситуації, коли Служба, теоретично, могла б здійснювати перевірки навіть самого Мін'юсту і виносити приписи його керівництву.

ДСЗПД зазнавали критики і в експертному середовищі. Так, французька експертка з права на приватність М. Жорж наголошувала, що: «за таких умов цей орган не діє незалежно, що є абсолютно необхідним, особливо тому, що обробка даних вестиметься як в приватному, так і в державному торі, зокрема стосовно спецслужб» [4, c. 19]. Інший міжнародний експерт Г. Саттон підкреслював, що: «Відсутність незалежності органу нагляду - один із найсерйозніших недоліків цього Закону». Також він зазначав, що: «Незалежність суттєво необхідна для забезпечення безперечного виконання органами нагляду свого обов'язку контролювати та забезпечувати додержання законодавства про захист даних усіма організаціями, зобов'язаними Законом, включно з урядом» [4, с. 41].

Щоб вирішити проблему із незалежністю та іншими проблемами діяльності ДСЗПД, 3 липня 2013 р. Верховна Рада України прийняла Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних». Відповідно до нього повноваження щодо здійснення контролю за додержанням законодавства про захист персональних даних було передано Уповноваженому ВРУ з прав людини (надалі - Уповноважений) [5].

Основними відмінностями статусу Уповноваженого, як контрольного органу у сфері захисту персональних даних, від статусу ДСЗПД, покликаними надати достатні гарантії незалежності діяльності відповідно до Додаткового протоколу до Конвенції 108 та Паризьких принципів стали:

спосіб призначення (Уповноважений призначається на посаду і звільняється з посади Верховною Радою України таємним голосуванням шляхом подання бюлетенів);

термін перебування на посаді та умови припинення виконання обов'язків (Уповноважений призначається строком на п'ять років. Верховна Рада приймає рішення про звільнення з посади Уповноваженого до закінчення строку або в інших випадках передбачених законом);

спосіб прийняття рішення (заборонено втручання органів державної влади, органів місцевого самоврядування, об'єднань громадян, підприємств, установ, організацій незалежно від форми власності та їх посадових і службових осіб у діяльність Уповноваженого).

В цілях реалізації вказаних повноважень Уповноваженим було запроваджено посаду Представника Уповноваженого з питань захисту персональних даних (надалі - Представник), а в структурі Секретаріату Уповноваженого створено Департамент з питань захисту персональних даних. Саме Представнику делеговано повноваження Уповноваженого ВРУ з прав людини у сфері захисту персональних даних. Вичерпний перелік таких повноважень викладено у статті 23 Закону «Про захист персональних даних» [6].

Однак і забезпечення захисту персональних даних в рамках діяльності Секретаріату Уповноваженого теж наштовхується на критику. Наприклад колишня Представниця Уповноваженого з прав людини щодо доступу до публічної інформації І. Кушнір зазначає, що існує перевантаженість Секретаріату Уповноваженого, що не дає можливості обробити велику кількість звернень. А у випадку, здійснення контролю щодо інформаційних прав громадян, Уповноважений не може гарантувати незалежність захисту цього права, у випадку, якщо громадянин захоче оскаржити висновки офісу. Своєю чергою Уповноважена з прав людини у 2013-2018 рр. В.В. Лутковська говорила про низьку ефективністю приписів Уповноваженого щодо порушення права на приватність та непритаманність національним інституціям із захисту прав людини функцій покарання за порушення, що передбачено Законом «Про захист персональних даних» [7].

Тому дискусії щодо реформування інституційного механізму захисту персональних даних в Україні продовжувалися. Зокрема, у 2015 р. в Україні розпочалося обговорення можливість створення нового органу - Інформаційного комісара. Пропонували, що його мандат повинен охоплювати як захист персональних даних, так і доступ до публічної інформації. Також цей орган повинен мав мати повноваження щодо видання обов'язкових приписів для запобігання або усунень порушень права на доступ, отримувати доступ до інформації, у тому числі з обмеженим доступом тощо [7].

Іншому моделлю, яка обговорюється є створення колегіального органу у сфері захисту персональних даних. Ця модель діє, наприклад, у Франції, де контроль Національна комісія з питань інформатизації та свобод (фр. Commission nationale de l'informatique et des libertes). Тут можна провести паралелі із ДСЗПД, однак ключовою відмінністю у цьому випадку є спосіб його формування. ДСЗПД був повністю урядовим органом, інтегрованим у вертикаль виконавчої влади, тоді як Комісія формується із представників французького парламенту та низки інших організацій, що забезпечує баланс при розгляді питань та прийнятті рішень, а законодавчо закріплений статус гарантує незалежність та безсторонність.

Практичні пропозиції щодо реформування інституційного механізму в сфері захисту персональних даних були відображені у законопроєкті № 6177 «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації». У ньому запропоновано створення органу, наділеного контрольними повноваженнями у сфері захисту персональних даних, паралельно із питаннями доступу до публічної інформації. Водночас пропозиції, які містяться в законопроєкті, викликають й сумніви у спроможності пропонованого ним органу здійснювати належний контроль щодо дотримання стандартів захисту персональних даних та доступу до публічної інформації. Сумніви виникають, до прикладу, у зв'язку із такими обставинами:

Статус Комісії багато в чому перегукується зі статусом ДСЗПД та існує сумнів, що члени Національної комісії будуть незалежними від органів виконавчої влади. Хоча законопроєкт передбачає широкі гарантії незалежності для членів Національної комісії, однак вони підзвітні Кабінету Міністрів, який має ключову роль у формуванні Конкурсної комісії з їх обрання, про що ми поговоримо нижче. Фактично виникають ризики виникнення тих самих проблем, що і у випадку ДСЗПД.

Законопроєкт містить декларативне твердження про відповідальність Національної комісії перед Верховною Радою (ст. 2), що мало би гарантувати її незалежність. Однак незрозуміло у чому полягає ця відповідальність і які механізми її забезпечення. Крім подання щорічних та інших звітів до Верховної Ради, а також участі представників Верховної Ради у роботі Конкурсної комісії, інших способів реалізувати цю відповідальність не передбачено. Тому, це є суто декларативне положення, яке не створює додаткових гарантій незалежності Національної комісії.

Не до кінця зрозумілим є положення п. 4.1 ст. 4 про «надання Верховній Раді України обов'язкових до розгляду консультативних висновків щодо законопроєктів, які стосуються обробки персональних даних, доступу до публічної інформації». Верховна Рада є конституційним органом, єдиним органом законодавчої влади та, в умовах парламентсько-президентської республіки - найвищим органом державної влади в Україні. Тому виглядає дивною можливість Національної комісії зобов'язувати Верховну Раду розглядати такі висновки. Національна комісія є органом влади, створеним ad hoc, тому таке зобов'язання становитиме порушення конституційного принципу поділу влад.

Виникають питання і щодо процедури проведення конкурсу на посади членів Національної комісії та формування Конкурсної комісії. Так, відповідно до п. 4 ст. 9 до складу Конкурсної комісії входять по одній особі, визначеній комітетами Верховної Ради, що займаються питаннями захисту персональних даних та доступу до публічної інформації. Водночас, це положення не може зобов'язувати Верховну Раду передавати ці питання до компетенції різних комітетів. Якщо ці питання належатимуть до відання одного комітету, то незрозуміло, чи від нього можуть бути делеговані обидва члени комісії. Це ставитиме під сумнів можливість проведення конкурсу та легітимність Конкурсної комісії.

Слід наголосити й на ключовій ролі Кабінету Міністрів у проведенні конкурсу на посади членів Національної комісії, що створює ризики для незалежності майбутнього складу комісії. Кабінет Міністрів, зокрема:

затверджує склад Конкурсної комісії (п. 2 ст. 9);

розміщує оголошення про проведення конкурсу та його результати (п. 3 ст. 9);

призначає двох з дев'яти членів Конкурсної комісії (п. 4.4. ст. 9);

його Секретаріат забезпечує роботу Конкурсної комісії (п. 7 ст. 9);

призначає членів Національної комісії за результатами конкурсу (п. 1 ст. 9);

приймає рішення про звільнення з посади члена Національної комісії з підстав, передбачених пп. 2-9 частини першої ст. 10.

Роль інших органів влади у проведенні конкурсу, зокрема Верховної Ради та Уповноваженого з прав людини, обмежена призначенням трьох з дев'яти членів Конкурсної комісії. Така роль Кабінету Міністрів у процесі формування складу Національної комісії незбалансована і викликає сумнів у незалежності цього органу від виконавчої влади. Також імовірно, що саме Кабінет Міністрів має затверджувати Положення про конкурс, про яке згадується в частині третій ст. 9, але не зазначається порядок його розробки і затвердження.

Станом на осінь 2022 р. законопроєкт № 6177 не розглядався Верховною Радою та перебуває на опрацюванні в комітетах. Однак питання реформування інституційного механізму захисту персональних даних в Україні далі залишається актуальним, зокрема і в світлі отримання нашою державою статусу кандидата в члени ЄС. Питання ефективності системи захисту персональних даних неодмінно постане в ході подальших переговорів. Тому в подальшому питання реформування відповідних механізмів, чи то у формі Інформаційного комісара, чи то Національної комісії залишатиметься актуальним.

Створення такої незалежної інституції підтримують і міжнародні експерти. Наприклад Н. Пірч Мусар підкреслювала, що: «Першою і найважливішою рекомендацією для України є створення незалежного (спеціального) інституту Інформаційного комісара або комісії, який має бути єдиним органом другої інстанції з розгляду звернень/скарг щодо порушення права на доступ до інформації» [8, с. 110]. Ця позиція, об'єктивно, може бути застосована і до сфери захисту персональних даних.

Водночас, висловлюється бачення, що Секретаріат Уповноваженого з прав людини має зберегти свою роль у процесі контролю за додержанням законодавства в сфері інформаційних прав громадян. В баченні Секретаріату Уповноваженого під керівництвом В.В. Лутковської навіть за умови створення інституту Інформаційного комісара, Уповноважений має зберегти функції парламентського контролю в цій сфері [7].

Проте слід пам'ятати, що практичне впровадження механізму Інформаційного комісара, можливе лише через внесення змін до ст. 101 Конституції України, яка зараз передбачає, що: «Парламентський контроль за додержанням конституційних прав і свобод людини і громадянина здійснює Уповноважений Верховної Ради України з прав людини» [9]. Цю статтю необхідно доповнити положеннями про те, що на відповідні сфери (захист персональних даних, доступ до публічної інформації та ін.) поширюється мандат новоствореного органу, в тому числі колегіального. В іншому випадку ми знову опинимся у ситуації, аналогічній становищу із ДСЗПД у 2011-2013 рр. коли незалежність цього органу було об'єктом критики.

В будь-якому разі, процедура внесення змін до Конституції України є тривалою та передбачає необхідність зібрати 300 голосів народних депутатів України. Попри активні дискусії щодо цього питання у 2015-2017 рр., ця процедура не розпочалася у той період і відповідні пропозиції не розглядаються на цьому етапі теж. Повернення до цієї ідеї можливе із прийняттям нової редакції Закону «Про захист персональних даних», тому, об'єктивно запуск інституту Інформаційного комісара чи іншого аналогічного органу можливий не раніше 2024-2025 рр.

Висновки та перспективи подальших наукових досліджень

Потреба у модернізації механізмів захисту персональних даних в Україні назріла, і законодавчі ініціативи з цього приводу свідчать про рух у цьому напрямку. Водночас слід враховувати, що метою реформування таких механізмів має бути посилення їх спроможності та ефективності, які напряму залежать від рівня гарантій їх незалежності. Аналізовані вище законодавчі ініціативи не передбачають необхідних гарантій незалежності для Національної комісії. Тому варто змінити концепцію, яка лежить в її основі, надавши відповідні повноваження органу, незалежному від виконавчої гілки влади.

Це пов'язано із тим, що захист прав людини перебуває поза компетенцією виконавчої гілки влади. Тому провідна роль у створенні та формуванні національної інституції в сфері захисту персональних даних та забезпеченні її діяльності має належати Верховній Раді. Бо саме вона - як орган законодавчої влади, сформований на виборній основі, - здатна забезпечити відповідний рівень незалежності в процесі захисту прав людини.

При реформуванні системи публічного врядування в сфері захисту персональних даних та доступу до публічної інформації варто повернутися до ідеї створення інституції Інформаційного комісара. Внесення відповідних змін до Конституції України гарантуватиме його незалежність від органів виконавчої влади, контроль діяльності яких, в тому числі, належатиме до сфери його компетенції.

У будь-яку разі, ініціативи зі реформування інституційних механізмів державного управління в сфері захисту персональних даних неможливо розглядати окремо від реформування державної політики в цілому, зокрема змін законодавства щодо захисту персональних даних, врегулювання відповідальності за порушення цих прав, узгодження термінології та інших питань. Лише комплексний підхід здатний забезпечити належну і ефективну державну політику у цій сфері.

Список літератури

1. Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних від 8 листопада 2001 року. Офіційний вісник України. 2011 (14 січ.). № 1(58).

2. Про Положення про Державну службу України з питань захисту персональних даних: Указ Президента України від 06 квітня 2011 року № 390/2011. Урядовий кур'єр. 2011 (21 квіт.). № 73.

3. Regulation (EU) 2016/679 of The European Parliament and of The Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation). URL: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679 (Date of request: 27.09.2022).

4. Жорж М., Саттон Г. Аналіз Закон України «Про захист персональних даних». Страсбург, 2012. 45 с.

5. Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних : Закон України № 383-VII від 03 липня 2013 р. Урядовий кур'єр. 2013 (31 лип.). № 136.

6. Про захист персональних даних: Закон України від 01.07.2010 р. № 2297-VI. Урядовий кур'єр. 2010 (7 лип.). № 122.

7. Інформаційний комісар: хто захищатиме доступ до інформації. URL: https://dostup.pravda.com.ua/stories/publications/informatsiinyi-komisar-khto-zakhyshchatyme-dostup-do-informatsii (Дата звернення: 20.05.2021).

8. Пірч Мусар Н. Повноваження Уповноваженого Верховної Ради з прав людини та законодавство у сфері доступу до публічної інформації. Аналіз законодавства та рекомендації. Проект Ради Європи «Зміцнення свободи медіа і створення системи Суспільного мовлення в Україні», 15 серпня 2016 р. C. 97-116.

9. Конституція України із змінами від 28 червня 1996. URL: https://zakon.rada.gov.ua/laws/show/254R/96^#Text (Дата звернення: 20.05.2021).

Размещено на Allbest.ru