Організаційно-правовий механізм захисту персональних даних

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Кафедра адміністративного та інформаційного права

Навчально-наукового інституту права, психології та інноваційної освіти

Національного університету «Львівська політехніка»

Організаційно-правовий механізм захисту персональних даних

Бліхар М.М., доктор юридичних наук, професор

Стаття присвячена дослідженню організаційно-правового механізму захисту персональних даних. Поняття «захист персональних даних» досить детально розроблено у вітчизняній юриспруденції. Законом урегульовано правові відносини, які пов'язані із захистом і обробкою персональних даних, з метою захисту основоположних прав і свобод людини і громадянина, а, найперше, права на невтручання в особисте життя, у зв'язку з обробкою персональних даних. Однак стрімкий розвиток інформаційних технологій, діджиталізація суспільства змушує щоразу вдосконалювати організаційно-правовий механізм захисту персональних даних, до пошуку більш ефективних і надійних способів та засобів їх захисту. Власне правові основи захисту персональних даних можемо знайти у Конституції України, Кримінальному кодексі України, Цивільному кодексі України, Законі України «Про захист персональних даних», рішеннях Конституційного Суду України, міжнародних нормативно-правових актах, згода на обов'язковість використання яких надана Верховною Радою України. Обґрунтовано, що саме держава виступає гарантом захисту персональних даних людини - її завдання полягає у створенні організаційно-правового механізму, який би ефективно захищав права людини, що стосуються персональних даних тощо. Організаційна складова механізму захисту персональних даних охоплює вертикаль державних органів та служб, які, відповідно до покладених на них повноважень, проводять діяльність із захисту персональних даних. На основі проведеного дослідження ми дійшли висновку, що організаційно-правовий механізм захисту персональних даних - це сукупність правових норм та комплекс превентивних заходів, здійснюваних відповідними державними органами та службами, що спрямовані за захист персональних даних, припинення правопорушень, застосування примусу до правопорушників та відновлення порушених прав людини, що пов'язані з персональними даними.

Ключові слова: закон, захист персональних даних, організаційно-правовий механізм, персональні дані.

Blikhar M. Organizational and legal mechanism of protection of personal data

The article is devoted to the study of the organizational and legal mechanism of personal data protection. The concept of “personal data protection” is developed in detail in domestic jurisprudence. The law regulates legal relations related to the protection and processing of personal data, with the aim of protecting the fundamental rights and freedoms of a person and a citizen, and, first of all, the right to non-interference in personal life, in connection with the processing of personal data. However, the rapid development of information technologies, the digitization of society forces us to improve the organizational and legal mechanism of personal data protection every time, to search for more effective and reliable methods and means of their protection. The actual legal basis for the protection of personal data can be found in the Constitution of Ukraine, the Criminal Code of Ukraine, the Civil Code of Ukraine, the Law of Ukraine “On the Protection of Personal Data”, decisions of the Constitutional Court of Ukraine, international legal acts, consent to the mandatory use of which was given by the Verkhovna Rada of Ukraine. It is substantiated that it is the state that acts as the guarantor of the protection of a person's personal data - its task is to create an organizational and legal mechanism that would effectively protect human rights related to personal data, etc.

The organizational component of the personal data protection mechanism covers the vertical of state bodies and services, which, in accordance with the powers assigned to them, carry out personal data protection activities. On the basis of the conducted research, we came to the conclusion that the organizational and legal mechanism for the protection of personal data is a set of legal norms and a complex of preventive measures carried out by relevant state bodies and services aimed at protecting personal data, stopping offenses, applying coercion to offenders and restoring violated human rights related to personal data.

Key words: law, protection of personal data, organizational and legal mechanism, personal data.

Вступ

Постановка проблеми. Сьогодні у розвинених країнах стандарти захисту персональних даних є дуже високими. Вони стрімко розвиваються відповідно до темпів розвитку держави і суспільства як санкціонована державою реакція на необхідність регулювання правовідносин, що виникають. Вітчизняне законодавство попри наявність певних нормативних актів у сфері захисту персональних даних досі законодавчо не закріпило створення органу із захисту персональних даних, який би ефективно, на високому рівні забезпечував роботу організаційно-правового механізму захисту персональних даних відповідно до міжнародних стандартів був би наділений функціями контролю у даній сфері. Попри певні законодавчі напрацювання, соціологічні дослідження та звіти уповноважених органів і служб свідчать про недостатній рівень захисту персональних даних в Україні. Так, відповідно до звіту Міністерства цифрової трансформації України «Аналіз законодавства про захист персональних даних в Україні» (2020 р.) у сфері захисту персональних даних рекомендовано: «1) враховувати поточні регуляторні вимоги, необхідні для задоволення належного рівня масової обробки персональних даних (особливо у сфері соціальних медіа); 2) середовище обробки даних, що швидко змінюється, на міжнародному рівні; 3) необхідний більш високий рівень захисту дітей та неповнолітніх щодо їх персональних даних; 4) оновлення галузевих стандартів захисту даних як виграшний момент для українського бізнесу (як для бізнесу, який прагне працювати за кордоном, так і для цілей залучення інвестицій ззовні) з точки зору конкурентоспроможної позиції на світовому ринку; 5) зобов'язання України перед іншими країнами та міжнародними організаціями, що базуються на міжнародному праві (наприклад, Угоді про Асоціацію між Україною та ЄС) [1, с. 47-48]. Впровадження цих рекомендацій сприятиме перш за все актуалізації механізму захисту персональних даних відповідно до потреб суспільства, а також наближенню вітчизняного законодавства до європейського.

Стан опрацювання цієї проблематики. Досягнення обраної мети передбачає аналіз праць дослідників, тих хто тією чи іншою мірою вивчав проблематику правового механізму захисту персональних даних. Посилання на їхні праці та розробки будуть подані у тексті наукової розвідки з обґрунтуванням основ, що стали теоретико-методологічним підґрунтям цієї статті. З огляду на це, мета статті полягає у дослідженні організаційно-правового механізму захисту персональних даних.

Виклад основного матеріалу

Попри необхідність певного вдосконалення сфери захисту персональних даних вітчизняне законодавство має діючий організаційно-правовий механізм захисту персональних даних. Даний механізм поєднує безпосередньо законодавчі норми у сфері захисту персональних даних, які регулюють правовідносини у цій галузі, та способи забезпечення ефективного функціонування цих норм і контроль за їх дотриманням. Для прикладу, в Конституції України (21, 31, 32) зазначено, що усі люди є вільні і рівні у своїй гідності та правах. Права і свободи людини є невідчужуваними та непорушними.... Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини [2]. Кожному гарантується право на захист від втручання в особисте життя, таємницю листування, телефонних розмов, кореспонденції (також і електронних листів) та іншої інформації, що відноситься до персональних даних. Саме ці конституційні норми є основою для подальшої розробки та вдосконалення вітчизняного законодавства у сфері захисту персональних даних.

Нормативно-правовим актом, який найбільш повно регулює правовідносини у сфері захисту персональних даних є Закон України «Про захист персональних даних» [3]. Сферою дії цього акта є регулювання правових відносин, пов'язаних із захистом і обробкою персональних даних, і спрямований він на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних. Знову ж таки даний нормативно-правовий акт спрямований на захист основоположних прав людини, закріплених у Конституції України. В Законі зазначено: особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними. Кожному гарантується право на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи. Особа має право звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, а також застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Кодифікованими нормативно-правовими актами, у яких можемо знайти норми щодо захисту персональних даних є Кримінальний кодекс України та Цивільний кодекс України. Кримінальний кодекс України [4] містить декілька норм закону щодо захисту персональних даних. Так, статтею 163 передбачено кримінальну відповідальність за порушення таємниці кореспонденції, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер. Саме цими шляхами люди можуть передавати свої персональні дані конкретній фізичній чи юридичній особі, однак не бажаючи, щоб вони повторно були передані третім особам. Стаття 182 Кодексу визнає злочином незаконне збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації. Особі, щодо якої було вчинено дії, визначені у цих статтях, гарантовано право на судовий захист. Володільці баз персональних даних повинні використовувати їх виключно в межах закону.

У Цивільному кодексі України [5] законодавець відніс персональні дані до особистих немайнових прав та визначив спосіб їх захисту від протиправних посягань у судовому порядку. Зміст особистого немайнового права становить можливість фізичної особи вільно, на власний розсуд визначати свою поведінку у сфері свого приватного життя. Звичайно, така поведінка не повинна нести шкоду іншим членам суспільства, порушувати їх права чи свободи.

В Україні застосовують Регламент Європейського Парламенту і Ради (ЄС) 216/679 від 27.04.2016 р. про захист фізичних осіб при обробці персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) [6]. Це міжнародний нормативно-правовий акт у сфері захисту персональних даних у мережі інтернет згода на обов'язковість застосування якого надана Верховною Радою України. Цей документ є актуальним сьогодні, оскільки користувачі мережі інтернет часто заповнюють різноманітні аплікаційні форми для реєстрації на сайтах, залишаючи свої персональні дані. Тому питання захисту персональних даних від несанкціонованого використання з подальшим настанням негативних наслідків (у деяких випадках і юридичних) для суб'єкта персональних даних є одним з пріоритетних завдань держави у сфері захисту прав і свобод людини і громадянина. Розробники зазначають: «Стрімкий технологічний розвиток і глобалізація призводять до виникнення нових труднощів для захисту персональних даних. Масштаби збирання та спільного використання персональних даних суттєво зросли. Технології дозволяють як приватним компаніям, так і публічним органам користуватися персональними даними в безпрецедентних масштабах з метою реалізації своєї діяльності. Фізичні особи дедалі частіше надають доступ до персональної інформації для громадськості та в глобальному масштабі. Технології змінили як економіку, так і суспільне життя і повинні надалі стимулювати вільний рух персональних даних у межах ЄС та передавання їх до третіх країн і міжнародних організацій, забезпечуючи при цьому високий рівень захисту персональних даних.

Такі зміни вимагають наявності міцних та більш узгоджених засад щодо захисту даних у ЄС, із запровадженням належного механізму виконання, беручи до уваги важливість формування довіри, що дозволить розвиток цифрової економіки на рівні внутрішнього ринку. Фізичні особи повинні мати контроль щодо власних персональних даних. Необхідно зміцнити правову та практичну визначеність для фізичних осіб, суб'єктів господарювання і органів публічної влади» [6]. Поява цього документа у європейському правовому просторі свідчить про пріоритетність прав людини для міжнародної спільноти та визначає спрямованість її діяльності. Сьогодні його можна оцінити як своєчасну реакцію на запити суспільства: стрімкий розвиток інформаційних технологій та зростання їх ролі в житті людини змушують державу розробити «правила», які регулюватимуть відносини у цій сфері життєдіяльності суспільства і держави. Відтак, саме держава виступає гарантом захисту персональних даних людини; її завдання полягає у створенні організаційно-правового механізму, який би ефективно захищав права людини, що стосуються персональних даних; формував комплекс превентивних засобів і заходів для мінімізації вчинення правопорушень у сфері захисту персональних даних; якнайшвидшого відновлення порушених прав, пов'язаних із захистом персональних даних. Попри це, суб'єкти персональних даних також повинні сприяти їх збереженню шляхом виконання сукупності правозначущих та технічних дій, щоб мінімізувати можливі негативні наслідки для себе.

Організаційну складову механізму захисту персональних даних формують органи та посадові особи, уповноважені на виконання функцій держави у даній сфері. Законом вони наділені повноваженнями, спрямованими на захист персональних даних, контроль за додержанням законодавства у сфері персональних даних. У ст. 22 Закону України «Про захист персональних даних» визначено вичерпний перелік органів, які здійснюють контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом. Сюди належать: Уповноважений Верховної Ради України з прав людини та суди.

До повноважень Уповноваженого ВРУ з прав людини належить: «1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду; 2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних; 3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом; 4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом; 5) за підсумками перевірки, розгляду звернення видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних; 6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснювати права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб; 7) взаємодіяти із структурними підрозділами або відповідальними особами, які відповідно до цього Закону організовують роботу, пов'язану із захистом персональних даних при їх обробці; оприлюднювати інформацію про такі структурні підрозділи та відповідальних осіб; 8) звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних; 9) надавати за зверненням професійних, самоврядних та інших громадських об'єднань чи юридичних осіб висновки щодо проектів кодексів поведінки у сфері захисту персональних даних та змін до них; 10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом; 11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов'язки суб'єктів відносин, пов'язаних із персональними даними; 12) здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних; 13) організовувати та забезпечувати взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними, у тому числі у зв'язку з виконанням Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних; 14) брати участь у роботі міжнародних організацій з питань захисту персональних даних» [3].

Про важливість та актуальність цієї ділянки роботи Уповноваженого ВРУ з прав людини свідчить необхідність включення звіту про стан додержання законодавства у сфері захисту персональних даних до щорічної доповіді про стан додержання та захисту прав і свобод людини і громадянина в Україні.

Суб'єкт персональних даних має право звернутися до суду за відновленням свого порушеного права. Відповідно до листа Уповноваженого ВРУ з прав людини, суд володіє механізмами контролю за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом. Там зазначено: «Статтею 22 Закону України «Про захист персональних даних», передбачено покладення контролю за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, на Уповноваженого та суди. Таким чином, механізм здійснення судами зазначеного контролю має відбуватись на підставі законодавства про судоустрій, тобто в процесі здійснення судами судочинства (цивільного, адміністративного, кримінального та під час розгляду справ про адміністративні правопорушення), а також шляхом надання Пленумом вищого спеціалізованого суду, за результатами узагальнення судової практики, роз'яснень рекомендаційного характеру з питань застосування спеціалізованими судами законодавства при вирішенні справ відповідної судової юрисдикції (пункти 2 і 6 частини другої статті 36 Закону України «Про судоустрій і статус суддів»)» [7]. Зрештою, організаційно-правовий механізм захисту персональних даних об'єднує органи державної влади, органи місцевого самоврядування, володільців, розпорядників персональних даних через наданням їм певних прав та покладання на них певних обов'язків у сфері захисту персональних даних. Згідно із Законом України «Про захист персональних даних», в органах державної влади та органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов'язану із захистом персональних даних при їх обробці.

Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення. До повноважень структурного підрозділу чи особи, відповідальної за захист персональних даних, належать: 1) інформування та консультування володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних; 2) взаємодія з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних. Відповідно до вимог Закону України «Про захист персональних даних» особисто забезпечують захист персональних даних, якими вони володіють, фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси.

Висновки

правовий захист персональні дані

Організаційно-правовий механізм структурно складається з двох елементів - організаційного і правового. Організаційний елемент являє собою форму здійснення певних дій. У більш широкому значенні - це сукупність організаційних та розпорядчих дій, яка забезпечує ефективне виконання поставлених цілей та завдань. З огляду на предмет нашого дослідження, організаційним елементом механізму захисту персональних даних є діяльність органів, служб, посадових осіб, які наділені законом правом вчиняти певні дії для обробки, зберігання та забезпечення захисту персональних даних.

Правовий елемент є структурним компонентом організаційно-правового механізму, який за допомогою наявних у певній національній правовій системі засобів та способів регулює суспільні відносини у певній сфері з метою забезпечення правопорядку. Правовим елементом механізму захисту персональних даних є наявність ефективної нормативно-правової основи (законодавчої бази). Відтак, організаційно-правовий механізм захисту персональних даних - це сукупність правових норм та комплекс превентивних заходів, здійснюваних відповідними державними органами, службами та посадовими особами, що спрямовані за захист персональних даних, припинення правопорушень, застосування примусу до правопорушників та відновлення порушених прав людини, що пов'язані з персональними даними.

Список використаних джерел

1. Аналіз законодавства про захист персональних даних України: звіт. 14 вересня 2020 р. URL: https://ecpl.com.ua/wp-content/uploads/2020/09/UKR_09142020_CEP_Finalnyy-zvit.pdf.

2. Конституція України. URL: https://zakon.rada.gov.ua/laws/show/254%D0%BA/96-%D0%B2% D1%80#Text.

3. Про захист персональних даних: Закон України від 1 червня 2010 р. № 2297-VI. URL: https:// zakon.rada.gov.ua/laws/show/2297-17#Text.

4. Кримінальний кодекс України. URL: https://zakon.rada.gov.Ua/laws/show/2341-14#Text.

5. Цивільний кодекс України. URL: https://zakon.rada.gov.ua/laws/show/435-15#Text.

6. Регламент Європейського Парламенту і Ради (ЄС) 216/679 від 27.04.2016 р. про захист фізичних осіб при обробці персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). URL: https://ips.ligazakon.net/ document/MU16144.

7. Лист Уповноваженого Верховної Ради України з прав людини від 03.03.2014 № 2/9-227067.14- 1/НД-129. URL: https://zakon.rada.gov.ua/laws/show/v7067715-14#Text.

Размещено на Allbest.ru