Правові проблеми захисту персональних даних неповнолітніх осіб відповідно до вимог вітчизняного законодавства та вимог GDPR

Размещено на http://www.allbest.ru/

ПРАВОВІ ПРОБЛЕМИ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ НЕПОВНОЛІТНІХ ОСІБ ВІДПОВІДНО ДО ВИМОГ ВІТЧИЗНЯНОГО ЗАКОНОДАВСТВА ТА ВИМОГ GDPR

О.А. Явор, В.Ф. Піддубна, О.О. Рубан

Annotation

The article highlights the legal concerns surrounding the protection of minors' personal data. The writers have conducted an original study of the sources regulating civil and labor relations in the field of acquiring and using personal data. The expansion and use of information technology and online communications can potentially lead to the violation of personal rights by the owners of personal data, both in workplace settings and in the daily lives of ordinary residents. The purpose of this article is to highlight issues concerning the collection, storage, use, and dissemination of the personal data of a minor, as well as to develop methods to protect the personal data of a child based on a comprehensive analysis of international acts, Ukrainian legislation, unique literature, and case law materials pertaining to the protection ofpersonal data of a minor.

Based on the analysis of national legislation and case law of the European Union, the author concludes that the right to personal data protection is one of the forms of realization of the right to respect for private and family life. The obligation to protect person's rights to processing and storage of his or her private information is a negative obligation on the part of both the State and the owners ofpersonal data.

The article addresses current difficulties concerning the security of children' personal data under current civil and medical legislation in Ukraine and other countries. The provisions of the General Data Protection Regulation, the California Consumer Privacy Act, and Ukraine's "On Personal Data Protection" Law are compared. Possible steps to establish further protection of children's personal data during collection and processing, whether utilizing websites, video games, online purchases, and so on, are proposed.

The paper concludes that state functions should be executed without necessitating individuals' consent for the collection of personal data. Personal data processing should be carried out within the framework and on the basis of Ukrainian laws and regulations, taking into account international conventions in this area. The analysis of methods for safeguarding children's personal data enabled the identification of supplementary avenues for data protection. These include acquiring copies of personal data by both children and their parents, rectifying inaccuracies, completing incomplete data, exercising the 'right to be forgotten' and the 'right to erasure' of personal data, invalidating transactions, and seeking compensation for material and moral damages arising from the unlawful use ofpersonal data

Keywords: protection of personal data, protection of the rights of non-public rights, personal data, GDPR, CCPA regulation

Вступ

Стрімкі технологічні зміни і глобалізація викликали нові проблеми для захисту персональних даних. Процеси збору і обміну персональними даними значно збільшилися. Завдяки технологіям, сьогодні державні органи або приватні компанії можуть використовувати персональні данні для здійснення будь-якої діяльності. Фізичні особи розміщують свою персональну інформацію публічно і доступно. Новітні комунікаційні засоби суттєво спрощують громадянам реалізацію свого права на інформацію, водночас, за їх допомогою поширюються можливості роботодавців щодо збирання, зберігання і обробки інформації відносно своїх працівників, а також швидке отримання даних з інших джерел.

В умовах глобального використання інформаційних технологій та ведення інформаційних систем, приватна інформація про будь-яку особу може стати відкритою, у разі несанкціонованого втручання, й доступною для неправомірного використання «приватних» даних іншими особами.

Наслідком цього несанкціонованого втручання у «приватні» данні особи може бути спричнення значної моральної та матеріальної шкоди.

GDPR окремо згадує дітей як вразливих фізичних осіб, яким потрібний особливий захист [1]. Комплексне дослідження проблеми правового регулювання відносин, що виникають у зв'язку з обробкою, збиранням, зберіганням, використанням, поширенням персональних даних неповнолітньої особи, є необхідним для запровадження адекватного юридичного механізму регулювання відносин щодо здійснення та захисту її персональних даних в Україні. захист персональний дані правовий

Літературний огляд

Так, Родіоненко О.М., в монографії «Захист персональних даних: правове регулювання та практичні аспекти» розглядає правові питання поняття персональних даних і джерел їх правового регулювання, досліджуються принципи обробки персональних даних, серед яких автор виділяє принципи: законності, адекватності, відповідності і ненадмірності; автор досліджує співвідношення понять «персональні дані» та конфіденційна інформація», на думку автора персональні дані можуть бути віднесені до конфіденційної інформації про особу, якщо персональні дані не є конфіденційною інформацією є відкритою інформацією, розглядаються питання підстав обробки чутливих категорій персональних даних, досліджуються питання правового становища суб'єктів персональних даних, зокрема володільців і споживачів; аналізуються питання захисту персональних даних [2]. Рогова О. Г. в статті «Захист персональних даних в умовах воєнного стану» розглядає питання забезпечення захищеності персональних даних громадян під час воєнного стану, зокрема порушеннями в цій сфері є умисне надання правоохоронним органам персональних даних особи і недостовірної інформації щодо співпраці такої особи з державою-агресором; «злиття» персональних даних військовослужбовців Збройних Сил України, численні кібератаки на сайти державних органів, і інші. Для захисту персональних даних активно залучаються спеціалісти в сфері оборони національної безпеки IT фахівці [3]. Волосецький В. О. в статті «Законодавство ЄС у сфері захисту персональних даних» досліджує європейське право щодо захисту персональних даних, аналізуються основні етапи формування механізму захисту персональних даних в ЄС, розглядаються директиви ЄС в сфері регулювання захисту персональних даних, на даний момент створена єдина нормативна база для всіх країн Євросоюзу в частині захисту персональних даних [4]. Брижко В. М., в статті «Сучасні основи захисту персональних даних в Європейських правових актах» аналізує численні європейські акти в сфері захисту персональних даних, Конвенції, загальний регламент, директиви, узагальнюючи основні принципи захисту персональних даних, автор пропонує конкретні умови застосування персональних даних, так останні повинні бути доступними для суб'єктів даних, точними і оновлюватися, отримуватися законним способом, оброблятися з законною метою і інші [5]. Мельник К.С. в статті «Обробка та захист персональних даних в процесі верифікації соціальних виплат громадян» автор досліджує проблемні аспекти обробки і захисту персональних даних в процесі верифікації соціальних виплат громадянам, зокрема розглядається конкретний приклад юридичної особи яка збирала персональні дані громадян з непідконтрольних територій, автором пропонуються шляхи подолання негативних наслідків порушення приватності і інформаційної безпеки людини [6]. Обухівська Т. І. в статті «Захист персональних даних в умовах розвитку інформаційного суспільства: передумови, приципи та міжнародне законодавство» аналізує базові принципи, міжнародні правові акти, які регламентують відносини в сфері захисту персональних даних [7]. Мервінський О. в статті «Відповідальність за порушення вимог законодавства в сфері захисту персональних даних» досліджує питання відповідальності за порушення законодавства про захист персональних даних з позицій захисту прав людини та основних факторів, які визначають умови настання відповідальності володільців або розпорядників баз персональних даних за їх дії, які пов'язані з реальною суттєвою шкодою, завданою фізичній особі внаслідок незаконного доступу до її персональних даних та незаконною обробкою цих даних [8]. Кравчук М. М. в статті «Міжнародний досвід правового регулювання захисту персональних даних у мережі інтернет» аналізує міжнародний досвід регулювання правових питань захисту персональних даних у мережі інтернет. Автор розглядає Конвенцію № 108, Керівні принципи OECP, досліджує різницю у підходах різних національних законодавств та основні орієнтири у процесі національного регулювання захисту персональних даних в цій сфері [9]. Удовенко Ж. В. в статті «Аналіз міжнародного законодавства щодо невтручання в особисте та сімейне життя» досліджує порівняльну характеристику законодавства країн ЄС та України щодо унормування правових норм щодо невтручання в особисте та сімейне життя під час здійснення кримінального провадження й дотримання прав та законних інтересів його учасників [10]. Онищенко О. В. в статті «Захист персональних даних» розглядає проблемні питання щодо застосування окремих положень Закону України «Про захист персональних даних» [11]. Гнатюк С. Л. в аналітичній доповіді «Особливості захисту персональних даних у сучасному кіберпросторі: правові та техніко-технологічні аспекти» досліджує актуальні питання захисту персональних даних у кіберпросторі. Автором аналізуються зміст таких понять як персональні дані, прайвесі в сучасному європейському праві. Визначаються основні риси та тренди еволюції кіберпростору [12]. Кардаш А. В. в статті «Інформація про особу та персональні дані: окремі аспекти співвідношення» досліджує законодавство України, зокрема положення Закону України «Про захист персональних даних», Закону України «Про інформацію», Цивільний Кодекс України в сфері захисту інформації про особу та її персональних даних. Аналізується судова практика з цих питань. Автор визначає поняття інформації про особу і персональних даних про особу [13]. Попович Т.П. в статті «Право особи на захист персональних даних в Інтернеті: теоретико-правові аспекти» розглядає захист персональних даних як одну з форм реалізації права особи на повагу до її приватного, сімейного життя в контексті його недоторканості у мережі інтернет. Автором розглядаються моделі захисту інформації які склалися у світі, зокрема американська, європейська, змішана моделі [14]. Наумов В. Б. в дисертації «Правовое регулирование распространения информации в сети Интернет» досліджує питання правової характеристики інформаційного ресурсу в мережі Інтернет, аналізує сайт як джерело масової інформації, розглядає проблеми захисту персональних даних при доступі до сайту в мережі інтернет, зокрема проблему збору інформації про користувачів при доступі до сайту в мережі інтернет; відповідальність володільців сайтів і інших осіб при використанні персональних даних в мережі Інтернет [15].

Мета та завдання дослідження

Метою дослідження є висвітлення проблем пов'язаних із збиранням, зберіганням, використанням, поширенням персональних даних неповнолітньої особи та розробка способів захисту персональних даних неповнолітньої особи на підставі комплексного аналізу міжнародних актів, законодавства України, спеціальної літератури та матеріалів судової практики щодо забезпечення захисту персональних даних неповнолітньої особи.

Для досягнення мети були поставлені такі завдання:

1. З'ясування проблем, пов'язаних із із збиранням, зберіганням, використанням, поширенням персональних даних неповнолітньої особи які виникають внаслідок незаконного використання інформації про дитину третіми особами.

2. Пошук шляхів вирішення та запобігання зловживання інформацією з боку третіх осіб щодо дитини за допомогою держави, яка взяла на себе зобов'язання вживати усіх необхідних заходів і долучатися до міжнародного механізму співпраці, що дозволяє вирішувати питання захисту персональних даних неповнолітньої особи.

Матеріали та методи

Комплексне дослідження, у вигляді літературного огляду, проведено за допомогою ресурсів вільного доступу (Academic journals, Google Book Search, Google Scholar, Наукова періодика України), а також повнотекстової бази даних ScienceDirect.

Особливості предмета дослідження, а також його мета і завдання обумовили використання загальнонаукових та спеціальних методів наукового пізнання. Герменевтичний метод був використаний для встановлення змісту поняття «захист персональних даних», закріпленого як у законодавчих актах, так і в доктрині права. Метод аналізу застосовувався для тлумачення положень нормативноправових актів (цивільного кодексу України, законів України, міжнародних нормативно-правових актів та регламентів тощо), які закріплюють порядок і особливості захисту персональних даних. За допомогою методу системного аналізу були досліджені судові рішення, винесені за позовами щодо захисту персональних даних і зокрема щодо особливостей захисту персональних даних неповнолітніх осіб під час надання згоди щодо медичного втручання або на вступ у договірні правовідносини. Догматичний метод дозволив проаналізувати наукові дослідження, присвячені загальним проблемам захисту персональних даних та більш детально щодо неповнолітніх дітей. Порівняльний метод було використано для порівняння положень цивільного законодавства України, законодавства ЄС та США щодо виявлення спільних ознак, відмінностей, переваг та недоліків між ними. Метод узагальнення допоміг сформулювати висновки, які підсумували проведене дослідження.

Результати дослідження та їх обговорення

Відповідно до ст. 3 Конституції України людина, її життя і здоров'я, честь і гідність, недоторканність і безпека визнаються в Україні найвищою соціальною цінністю. Права і свободи людини та їх гарантії визначають зміст і спрямованість діяльності держави [16, 17]. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (ст.32) [17]. Конституційний Суд України, даючи офіційне тлумачення частин першої та другої статті 32 Конституції України, вважає, що інформація про особисте та сімейне життя особи (персональні дані про неї) - це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров`я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов`язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім`ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини [18].

Питання правового захисту персональних даних є одними зі складних питань в епоху інформаційних технологій. В умовах глобалізації дані користувачів, що походять з однієї країни, можуть бути доступні та використані третіми особами з будь-якої точки світу незаконним шляхом.

Розвиток права на приватність (right to privacy) відбувався починаючи з його визнання на міжнародному рівні та пізнішої імплементації на національному рівні. Нормативне закріплення захисту персональних даних бере свій початок в міжнародних договорах з прав людини, які гарантували право на приватність. Наприклад, у Загальній декларації прав людини 1948 року [19], у статті 12 було вказано про те, що "ніхто не може зазнавати безпідставного втручання в його особисте і сімейне життя, безпідставного посягання на недоторканність його житла, таємницю його кореспонденції або на його честь і репутацію. Кожна людина має право на захист закону від такого втручання або таких посягань."

4 листопада 1950 року у Римі десять європейських держав підписали Конвенцію про захист прав людини і основоположних свобод (далі - Конвенція) [20]. Цей документ визначає низку прав та свобод, які держави-учасниці Конвенції повинні гарантувати кожному, хто перебуває під їхньою юрисдикцією. Зокрема, стаття 8 Конвенції закріплює наступне: 1) кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції; 2) органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб.

Прикладом вирішення питання про втручання в право на повагу до приватного життя була справа "Leander v. Sweden" [21]. Європейський суд з прав людини у своєму рішенні ухвалив, що зберігання та розкриття інформації про приватне життя заявника поліцією становило втручання в його право на повагу до приватного життя, яке гарантується статтею 8 Конвенції. Суд підтвердив, що таке втручання може бути допустимим лише за відповідних умов, зокрема, якщо воно відповідає законові, переслідує легітимні цілі, зазначені у статті 8 Конвенції, і є необхідним для досягнення таких цілей.

Наступні рішення Європейського суду з прав людини свідчать про непоодинокі звернення щодо захисту прав персональних даних. У справі «Garnaga v. Ukraine» (заява № 20390/07, рішення від 16/05/2013) закріплена на законодавчому рівні неможливість змінити по батькові особи. Справа «Gaskin v. The United Kingdom» (заява № 10454/83, рішення від 07/07/1989) була привідом для розгляду питання обмеження доступу особи до частини документів щодо її виховання опікуном/прийомними батьками. Була доведена відсутність незалежного органу, який би розглядав клопотання щодо надання доступу до частини вказаних документів. Ще одним прикладом є справа «I. v. Finland» (заява № 20511/03, рішення від 17/07/2008) в якій було розкрито питання браку обліку операцій щодо надання доступу до медичної документації, що призвело до неможливості встановлення особи, яка, ймовірно, поширила інформацію, що містилася у ній.

Такі справи стали предметом постійного розгляду Європейським судом з прав людини, і його практика у цій галузі стала невід'ємною частиною правового регулювання питань обробки персональних даних.

Пізніше, право на захист персональних даних було підтверджено та забезпечено в Міжнародному пакті про громадянські і політичні права 1966 року [22]. У статті 17 Пакту встановлено, що "ніхто не повинен зазнавати свавільного чи незаконного втручання в його особисте і сімейне життя, свавільних чи незаконних посягань на недоторканність його житла або таємницю його кореспонденції чи незаконних посягань на його честь і репутацію. Кожна людина має право на захист закону від такого втручання чи таких посягань".

Ці міжнародні норми стали важливим кроком у визнанні та захисті права на приватність, а також сприяли імплементації цього права у національне законодавство країн світу. Забезпечення захисту персональних даних є важливою складовою для забезпечення свобод та прав кожної людини.

В Україні з 1992 року діє Закон України «Про інформацію» від 02.10.1992 р. [ 23], так, відповідно до ст. 11 Закону України «Про інформацію», інформація про фізичну особу (персональні дані) - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров`я, а також адреса, дата і місце народження. Персональні дані -- це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Законом України «Про захист інформації в інформаційно-комунікаційних системах» [24] за відсутності спеціальних правових норм певною мірою регулюються відносини щодо захисту персональних даних працівника. На сьогодні особливо актуальним є зміни до частини 5 статті 8 Закону України «Про захист інформації в інформаційно-комунікаційних системах»: «власники систем для забезпечення належного функціонування систем та захисту інформації, що обробляється в них: створюють резервні копії державних інформаційних ресурсів та систем із дотриманням встановлених для таких ресурсів та систем вимог щодо їх захисту, цілісності та конфіденційності; забезпечують створення резервних копій державних інформаційних ресурсів та систем на окремих фізичних носіях у зашифрованому вигляді та їх подальшу передачу (переміщення) для зберігання в установленому законодавством порядку, у тому числі за межами України (зокрема в закордонних дипломатичних установах України), протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування; забезпечують в установленому законодавством порядку передачу (переміщення) державних інформаційних ресурсів та їх резервних копій для розміщення на хмарних ресурсах та/або в центрах обробки даних, розташованих за межами України, протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування”[24]. Ці зміни є гарантією збереження державних інформаційних ресурсів під час дії воєнного стану.

Наразі в Україні діє понад два десятки законодавчих актів, які тією чи іншою мірою регулюють відносини, пов'язані зі збором, використанням і передачею персональних даних окремі вимоги встановлюються за згодою сторін.

У роз'ясненні Мінюсту «Деякі питання практичного застосування Закону України «Про захист персональних даних» від 21.12.2011 р. [25] зазначено, що законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними. Отже, Мінюст визнаючи наявність проблеми, не дав відповіді на питання, які відомості дозволяють ідентифікувати фізичну особу. Інтернет-сайт Державної служби України з питань захисту персональних даних також не дає відповіді, тільки, що «наведене в Законі України «Про захист персональних даних» визначення терміну «персональні дані» в повній мірі відповідає визначенню вказаного терміну, передбаченого в Конвенції Ради Європи про захист осіб у зв'язку із автоматизованою обробкою персональних даних» [26].

Прийняття Закону України «Про захист персональних даних» від 01.06.2010 р. (далі по тексту - Закон) [27] стало наслідком приєднання України до Європейської Конвенції 1981 р. про захист осіб у зв'язку з автоматизованою обробкою персональних даних, яка набрала чинності для нашої держави 01.01.2011 р. [28].

27 квітня 2016 року Європарламент прийняв загальний регламент про захист персональних даних в країнах ЄС (General Data Protection Regulation (GDPR) [1]. Відповідно до GDPR «персональні дані» - будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікована, фізичної особи ("суб'єкт даних"); фізична особа, що може бути ідентифікована, - це особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, шляхом посилання на ідентифікатор, такий як ім'я, ідентифікаційний номер, дані про місцезнаходження, ідентифікатор в Інтернеті або на один чи більше факторів, що характеризують фізичну, фізіологічну, генетичну, психічну, економічну, культурну чи соціальну приналежність цієї фізичної особи.

Згідно до California Consumer Privacy Act (CCPA, 2018 р.) персональною інформацією є інформація, яка ідентифікує, пов'язана або може бути обґрунтовано пов'язана з вами або вашою родиною. Наприклад, вона може включати ваше ім'я, номер соціального страхування, адресу електронної пошти, записи про придбані товари, історію переглядів в Інтернеті, дані геолокації, відбитки пальців та висновки з іншої особистої інформації, які можуть створити профіль про ваші вподобання та характеристики. Каліфорнійський закон про захист персональних даних споживачів від 2018 року (CCPA) надає споживачам більше контролю над особистою інформацією, яку бізнес збирає про них. Цей закон закріплює широкий перелік прав на конфіденційність, зокрема: право знати про особисту інформацію, яку бізнес збирає про них, а також про те, як вона використовується та поширюється; право видаляти зібрану про них особисту інформацію; право на відмову від продажу або поширення їхньої особистої інформації; право на недискримінацію при здійсненні своїх прав за CCPA; право на виправлення неточної особистої інформації, яку має про них бізнес; та право на обмеження використання та розкриття зібраної про них конфіденційної особистої інформації. Крім цього, питання захисту персональних даних в США регулюються окремими секторними законами та нормативними актами, такими як Health Insurance Portability and Accountability Act (HIPAA) для медичних даних і Gramm-Leach-Bliley Act (GLBA) для фінансових даних. Також важливу роль відіграє Федеральна торговельна комісія (FTC), яка надає захист від недобросовісних практик збору та використання персональних даних. Як бачимо із вищенаведеного, за суб'єктним критерієм і за змістом вони майже не різняться між собою. Але зміст ідентифікуючих відомостей про особу достатньо різний.

Відомим є той факт, що в європейських країнах право на захист персональних даних тісно пов'язаний з поняттям права на захист приватного життя. В ст. 301 ЦК України закріплюється право на особисте життя та його таємницю. Під поняттям «особисте життя» розуміють поведінку фізичних осіб поза межами виконання різноманітних суспільних обов'язків, тобто життєдіяльність людини у сфері сімейних, побутових, особистих, інтимних та інших стосунків, що звільнена від «тягаря суспільних інтересів» та спрямована на досягнення особистої мети та задоволення власних інтересів. Щодо практики Європейського суду з прав людини, то при розгляді справ переважно використовують поняття «приватне життя».

Отже, право на захист персональних даних неповнолітньої особи є однією із форм реалізації права на повагу до приватного та сімейного життя. Обов'язок захищати права неповнолітньої особи на обробку та збереження ії приватної інформації є негативним зобов'язанням як з боку держави, володільців персональними даними особи, так й з боку її батьків або законних представників.

Загальний регламент про захист персональних даних в країнах ЄС - GDPR (General Data Protection Regulation) регулює питання обробки персональних даних в країнах ЄС, застосовується й до країн Європейської економічної зони: Ісландія, Ліхтенштейн, Норвегія. На відміну від свого попередника Data Protection Directive 95/46/EC 1995 року цей акт є регламентом та має пряму дію, тобто підлягає негайному виконанню в усіх державах-учасницях одночасно. Хоча деякі питання в контексті обробки персональних даних країни-учасниці можуть вирішувати самостійно, основні концепти є незмінними для усіх країн, в яких діє GDPR. Регламент захищає фундаментальні права і свободи фізичних осіб, зокрема, їх право на захист персональних даних [1].

Також, пункт 75 вступної частини загального регламенту (GDPR) окремо згадує дітей як вразливих фізичних осіб, яким потрібний особливий захист. Пункт 38 у вступній частині GDPR зазначає, що діти потребують особливого захисту щодо персональних даних, оскільки вони можуть бути менш обізнані про ризики, наслідки та гарантії пов'язані з обробкою їх даних. Зокрема, захист даних дітей має застосовуватись у випадках використання їх персональних даних для маркетингу, створення профілів або збирання даних про дітей під час користування послугами, які пропонуються дітям [1].

Необхідно зауважити, що на відміну від інших положень GDPR, послуги інформаційного суспільства - це такі послуги, що надаються в онлайн-режимі. “Неповнолітні” відповідно до статті 8 GDPR - це діти до 16 років [1]. Однак GDPR дозволяє країнам-членам знизити цей мінімальний вік до 13 років. Наприклад, найнижчий вік для особистої згоди дітей на обробку їх даних встановили у країнах Скандинавії, Великобританії і Польщі, а найвищий - у Німеччині, Хорватії та Італії.

Пункт 1 статті 8 GDPR застосовується тільки у тому випадку, якщо пропозиція послуг інформаційного суспільства прямо, виключно або переважно надається дітям. Можна навести наступні три приклади: 1) пропозиція робиться спрощеною, неофіційною мовою для легшого сприйняття і засвоєння дітьми; 2) запропоновані товари призначені спеціально для дітей, як-от дитяча література або товари для школи; 3) пропозиція прямо вказує на те, що прийняти пропозицію мають саме діти, тобто особи до досягнення повноліття (наприклад, в тексті пропозиції вказано «тільки для дітей») [1].

Що стосується обробки персональних даних, Велика Палата Верховного Суду України встановила конкретні принципи, яких необхідно дотримуватися, включаючи відкритість і прозорість, відповідальність, адекватність, а також забезпечення того, щоб склад і зміст даних не були надмірними щодо визначеної мети обробки.

Крім того, обробка персональних даних може відбуватися лише за наявності чітко вираженої згоди особи, чиї дані обробляються. 19 вересня 2018 року Велика Палата Верховного Суду, розглядаючи справу № 806/3265/17 (провадження № 11-460заі18), захистила право особи, передбачене ст. 32 Конституції України, якою, зокрема, закріплено заборону збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім законом визначених випадків [29].

Вважаємо за необхідне підкреслити, що згода дитини відповідно до сімейного законодавства України надається у доступній формі, з урахуванням її інтелектуального розвитку, віку та стану здоров'я. Стаття 218 Сімейного Кодексу України встановлює, що згода дитини вимагається, якщо вона досягла такого віку та рівня розвитку, що може її висловити [30]. Чіткого віку щодо згоди дитини не встановлено. На практиці виникають різні ситуаціїї, пов'язані з наданням згоди неповнолітньою особою на обробку її персональних даних. Якщо особа є малолітньою особою, то згоду на обробку її персональних даних надають її батьки або інші законні представники. Якщо особа є неповнолітньою особою, то згоду на обробку її персональних даних вона може надавати сама або згоду на обробку її персональних даних надають її батьки, якщо це важливо й стосується її здоров'я. Інститут емансипації, введений цивільним законодавством, надає право особі самостійно надавати згоду на обробку її персональних даних.

В абзаці 3 статті 2 ЗУ «Про захист персональних даних» вказується про те, що згода суб'єкта персональних даних є добровільним волевиявленням фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб'єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб'єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки [27].

Схоже положення наявне і в GDPR. Однією із правових основ для обробки даних дітей, до 16 років згідно із GDPR, є згода батьків (Глава 2 стаття 8). Отже, якщо відбувається продаж мелодії дзвінка неповнолітнім особам для смартфонів, особисті дані, зібрані під час здійснення покупки (ім'я, прізвище, електронна адреса, платіжні реквізити), будуть «необхідними для виконання контракту, стороною якого є суб'єкт даних, або для вжиття дій на запит суб'єкта даних до укладення договору» (ст. 6 ч. 1 літ. б) [1].

Якщо використовується інший законний спосіб як основа для обробки даних дитини, необхідно враховувати такі фактори, як здатність дитини розуміти та погоджуватися на обробку персональних даних, а також інтереси та основні права дитини. Крім того, якщо це стосується дітей від 13 до 16 років, треба прописати чіткі та відповідні вікові повідомлення про конфіденційність, щоб було зрозуміло, на що погоджуються діти.

У правозастосовній практиці можуть виникати проблеми, пов'язані з реалізацією права на згоду неповнолітнім при наданні медичних послуг. У наказі МОЗ України «Про затвердження Тимчасових стандартів надання медичної допомоги підліткам та молоді» від 02.06.2009 р. № 382 (далі - Стандарт) нормативно закріплена необхідність отриманя згоди обох суб'єктів медичних правовідносин: пацієнта та батьків/опікунів/членів родини, а саме, коли йдеться про медичне втручання щодо неповнолітнього пацієнта (з 14 до 18 років) [31].

Аналізуючи можливості кожного з суб'єктів на право на згоду неповнолітнього пацієнта та право батьків (опікунів, членів родини) давати дозвіл на медичне втручання, слід з'ясувати можливі варіанти у здійсненні цього права. Існують можливі варіанти у здійсненні цього права: 1) якщо згоду на медичне втручання надають обидва суб'єкти медичних правовідносин, тоді проблем для провадження медичної практики не виникає; 2) якщо пацієнт - неповнолітній надає особисту згоду на проведення медичного втручання, а, для прикладу, батьки згоди не надають. Проблема постає для медичного працівника, який повинен здійснити медичне втручання, але не має на це законних підстав, оскільки не має можливості отримати згоду на необхідне втручання у повному обсязі.

За таких обставин (крім невідкладних випадків, коли згода хворого або його законних представників на медичне втручання не потрібна), слід скористатися такими механізмами: а) згідно із загальновідомою правовою засадою, при конкуренції у регламентації нормативно -правових документів різної юридичної сили слід застосовувати той, який в ієрархії нормативно-правових актів стоїть вище, наприклад, закон, а не підзаконний документ, зокрема, Цивільний кодекс України, Закон України «Основи законодавства України про охорону здоров'я» встановлюють віковий ценз 14 років для реалізації права на медичне втручання. Стандарт покликаний деталізувати і конкретизувати окремі аспекти здійснення цього права, закріплені на рівні законів ; б) медичний працівник на підставі ч. 3 ст 284 Цивільного кодексу України [32] та ч. 1 ст. 43 Закону України «Основи законодавства України про охорону здоров'я» отримує особисту згоду неповнолітнього пацієнта [33]. Крім того, обов'язково забезпечує другу складову згоди -- дозвіл батьків, за правилами ч. 5 ст. 43 Закону України «Основи законодавства України про охорону здоров'я», якщо відмову дає законний представник пацієнта і вона може мати для пацієнта тяжкі наслідки, лікар повинен повідомити про це органи опіки і піклування. Таким чином, з одного боку, можна досягти законодавчого балансу, а з іншого - забезпечити дотримання прав людини при наданні медичної допомоги; в) якщо неповнолітній пацієнт не надає згоди на медичне втручання, а, наприклад, батьки дають дозвіл. В такому випадку - право на відмову від медичного втручання має повнолітній дієздатний пацієнт (ч. 4 ст. 284 Цивільний Кодекс України, ч. 4 ст. 43 Закону України «Основи законодавства України про охорону здоров'я»), тобто неповнолітній хворий такою можливістю не наділений, а відтак, складова, пов'язана з відмовою неповнолітнього пацієнта, не спричиняє юридичних наслідків для медичних працівників, які, отримавши дозвіл від батьків, надають необхідну для пацієнта медичну допомогу [33].

Права дитини в частині, яка стосується її здоров'я, мають певні особливості. Так, правомочність щодо володіння і використання здоров'я здійснюється, наприклад, шляхом звернення особи до закладу охорони здоров'я та підписання відповідного договору на надання медичної допомоги. Специфіка реалізації дитиною права на охорону здоров'я полягає у тому, що дитина повинна усвідомлювати та розуміти зміст запропонованих їй послуг, значення наслідків для неї, а також зважувати на те, що кожному праву дитини відповідає обов'язок її батьків або осіб, які їх замінюють. Саме батьки мають відповідні права і обов'язками стосовно забезпечення права дитини на охорону здоров'я. Слід погодитися з точкою зору Л. А. Ольховик, яка визначає поняття права дитини на здоров'я і трактує його як природне право фізичної особи перебувати в стані повного фізичного та душевного благополуччя, що реалізується закріпленими у праві правомочностями та гарантується державою [34, с. 123].

Саме цивільному праву має приділятися головна увага при дослідженні розглянутих відносин, у сфері надання медичних послуг неповнолітньому, у галузі охорони здоров'я, в основі яких лежить договір, тому що дані відносини входять до сфери цивільно-правового регулювання. На сьогодні, можливо зробити тільки один висновок, що існуючі правові механізми реалізації й захисту прав неповнолітніх дітей - пацієнтів, що регулюють договірні відносини в сфері охорони здоров'я у сучасних умовах, недостатньо ефективні й вимагають подальшого удосконалення.

Щодо використання веб-сайту, яким можуть користуватися малолітні або неповнолітні особи, то відповідно до вимог GDPR, необхідно певним чином налаштувати такий веб-сайт, а саме: 1) провести аналіз чи можуть положення GDPR щодо дітей впливати на юридичну особу. Обов'язково перевірити наявність чи відсутність додаткових національних правил, які стосуються сфери діяльності відповідної юридичної особи; 2) налаштувати систему, яка здатна перевірити вік дитини; 3) послуги, запропоновані безпосередньо дітям, повинні супроводжуватися чіткою інформацією, яку діти легко зрозуміють. Слід ретельно розглянути питання про те, щоб T&Cs та політика конфіденційності були написані мовою, яку дитина може зрозуміти і допомагає зробити свідомий вибір. Це дозволить дитині прийняти оптимальне рішення і зважити, чи хоче вона передавати свої особисті дані взамін на доступ та взаємодію із запропонованими продуктами та послугами. Чудовим прикладом юридичної особи, яка докладає зусиль у цій галузі, є BBC із їхньою політикою конфіденційності Get Out and Grow; 4) запровадити заходи перевірки особистостей батьків фізичної особи, яка бажає скористатися послугами; 5) охарактеризувати батьківські права стосовно даних про свою дитину та процедури, які слід застосовувати для здійснення цих прав; 6) надати батькам доступ до особистої інформації своєї дитини для перегляду та / або видалення інформації; 7) забезпечити збереження особистої інформації, зібраної в Інтернеті від дитини, лише на той час, поки це необхідно для виконання мети, для якої вона була зібрана. Коли це більше не потрібно, обов'язково інформація має бути видаленою, застосовуючи захисні заходи для захисту від її несанкціонованого доступу чи використання [1].

Нажаль немає чітко визначеної відповіді як впевнитися, що саме батьки дитини дають згоду на обробку персональних даних. Але можна виділити деякі методи ідентифікації особи та надання згоди, зокрема: надіслати копію паспорта або ID карти особи електронною поштою; надіслати лист, у якому батьки дозволяють обробку персональних даних з їхнім підписом також електронною поштою; обробляти онлайн-замовлення через кредитну картку батьків; шляхом телефонного дзвінка батькам. Усі ці методи надійні, але на практиці їх важко запровадити, а ще важче їх дотримуватися як батькам, так і дітям. Тому у деяких випадках можна застосовувати добре відомий метод double opt-in.

Не дотримуючись вимог GDPR щодо згоди батьків на обробку персональних даних дитини, є ризик отримати штраф у розмірі до 10 000 000 євро або до 2 % від загального річного обороту компанії (зазвичай обирається варіант, який більше за розмірами). Тому необхідно турбуватися про захист персональних даних дітей і відповідно про забезпечення законної діяльності юридичних осіб [1].

Найпоширенішим прикладом згоди на обробку персональних даних є реєстрація на сайті. Під час такої процедури більшість фізичних осіб мало хвилює, хто і як оброблятиме їх персональні дані. Для багатьох послуг, що надають державні органи, також отримується згода на обробку персональних даних. На жаль, можливості проконтролювати та запам'ятати, кому і які персональні дані були надані, а також спрогнозувати можливий витік наданих даних майже неможливо.

Згода на обробку персональних даних є добровільним волевиявленням фізичної особи, висловленим у письмовій формі або у формі, що дає змогу зробити висновок про її надання, при цьому суб'єкт персональних даних повинен бути поінформований про мету обробки цих даних. Володільцем персональних даних є фізична або юридична особа, якій надано право на обробку цих даних згідно з законом або за згодою суб'єкта даних.

Наумов В.Б. приходить до висновку, що для захисту користувачів Інтернету володільців інформаційних ресурсів і сервісів, провайдерів, виробників програмного забезпечення необхідно зобов'язати до наступних дій: повідомляти користувачів про факти збору та обробки персональних даних та інформації, яка містить відомості про приватне життя; розкривати види даних, які збираються, та способи їх збору; вказувати цілі та форми використання зібраних про особу даних; описувати характер і форму волевиявлення користувача щодо його згоди на збір і використання персональних даних; визначати строк і форму зберігання зібраних даних; реалізовувати можливість припинення збору даних, що містять інформацію про приватне життя користувача, в зв'язку з волевиявленням останнього; інформувати користувача про те, в результаті яких дій припиняється охорона персональних даних, що про нього збираються [15, с. 16-17].

Заходами щодо запровадження додаткового захисту персональних даних неповнолітніх осіб від неналежного обміну персональними даними під час збору та обробки персональних даних, під час користування веб-сайтами, відеоіграми, здійснення он - лайн купівлі можуть бути:

- встановлення параметрів конфіденційності в програмах на «не ділитися», за замовчуванням, так і під час активації «режиму спільного доступу» яка включає чітке, зручне для дітей пояснення розширених функцій та його ризиків;

- компанії, які розробляють веб-сайти, онлайн-ігри, мають враховувати думку дітей, шляхом консультацій з експертами за захисниками прав дитини щодо ефективних способів захисту персональних даних дітей;

- компанії, які розробляють веб-сайти, онлайн-ігри, мають розглядати «компетентність» дитини, тобто чи мають діти здатність розуміти наслідки збору та обробки їх персональних даних. Якщо неповнолітні діти мають таку здатність, то вони вважаються компетентними давати власну згоду на обробку, якщо дитина не є компетентною, то з точки зору захисту даних, її згода не є «інформованою» тому не є дійсною. В такій ситуації потрібна буде батьківська згода;

- як спосіб захисту персональних даних можна розглядати визнання правочину недійсним, так при укладенні правочину з дитиною повинна враховуватися дієздатність дитини щодо згоди на обробку персональних даних. Наприклад, вік дитини в Шотландії, яка має право укладати договори на обробку персональних даних становить 16 років. У Великобританії не встановлено з якого віку дитина має необхідний обсяг правоздатності для укладення договору. Як правило, діти старше семи років можуть укладати договори які пізніше можуть бути визнані недійсними, тобто за таким договором не можна зобов'язати дитину виконувати те, на що вона погодилася або змусити її це виконувати. Якщо договір визнається недійсним, то у компанії немає законної підстави для обробки персональних даних дітей як учасників цього договору. Як правило законною підставою для обробки персональних даних дітей повинні бути нормативно-правові акти які спрямовані на захист прав дітей і метою яких є реалізація суспільних інтересів, які здійснюються органами державної влади або юридичними особами, яким делеговані відповідні повноваження, зокрема такими органами можуть бути служба у справах дітей, інші юрисдикційні органи;

- отримання копії персональних даних дітьми та їх батьками, виправлення неточних персональних даних, заповнення неповних даних, здійснення права бути «забутим» і права «стерти» особисті дані;

- відшкодування майнової та матеріальної шкоди за неналежне використання та розповсюдження персональних даних неповнолітньої особи третіми особами.

У Європейському союзі діє правило щодо обмеження обробки персональних даних дітей. За певних обставин, діти можуть заперечувати проти обробки персональних даних, яка здійснюється на законних підставах при реалізації суспільного завдання або інших законних інтересів. В загальному регламенті GDPR (ст. 80) закріплюється положення про те, що суб'єкти в якості яких можуть виступати різні некомерційні організації або органи, зокрема служба захисту прав дітей, від імені дитини, можуть подати скаргу в наглядовий орган або подати позов до суду проти контролера або процесора і вимагати компенсації від вказаних осіб за будь-яку шкоду, заподіяну в результаті їх невідповідності положенням GDPR [1].

Національним законодавством України запроваджено право відкликання згоди на обробку персональних даних. Згідно зі статтею 8 Закону України "Про захист персональних даних", суб'єкт персональних даних має право відкликати свою згоду на обробку персональних даних. Це право можливе лише в тих випадках, коли обробка персональних даних ґрунтується саме на згоді суб'єкта персональних даних, як однієї з підстав обробки згідно статті 11 Закону. Важливо зазначити, що надання згоди на обробку персональних даних є правочином згідно статті 202 Цивільного кодексу України, тому відмова від такого правочину також має бути здійснена у тій самій формі, в якій було вчинено саму згоду. Після отримання відкликання згоди володільцем персональних даних більше не буде законних підстав для зберігання цих даних, якщо терміни зберігання не встановлені законодавством (стаття 15 ЗУ «Про захист персональних даних»).

Питання щодо відкликання згоди роз'яснено в Листі Міністерства юстиції України №5543-0-33-13/6.1 від 26.04.2013 р. [35], де зазначається про те, що згоду можна відкликати лише щодо майбутньої обробки даних, внаслідок чого особа не може бути впевнена в тому, як і хто вже опрацьовував її дані. У зв'язку з цим постає питання безпеки вже опрацьованих даних.

Велика Палата Верховного Суду у справі №806/3265/17 від 19 вересня 2018 року [36] звернула увагу, що законодавством не врегульовано питання щодо наслідків відмови особи від обробки її персональних даних, тобто фактично відсутня будь-яка альтернатива такого вибору, що обумовлює низьку якість закону та порушення конституційних прав такої особи.

Ще одним проблемним питанням є те, що фізична особа не знає, куди та кому, в майбутньому, можуть бути передані її персональні дані. Ст. 8 Закону України «Про захист персональних даних» визначено, що суб'єкт персональних даних може отримувати інформацію про умови надання доступу до персональних даних, інформацію про третіх осіб, яким передаються його персональні дані, мати доступ до своїх персональних даних і навіть відкликати згоду на обробку персональних даних [27]. Враховуючи кількість згод, які надає особа в сучасному світі, неможливо відстежувати передачу своїх даних третім особам. У зв'язку з цим реалізація прав, наданих законом, виявляється неефективною. В більшості випадків особи часто не знають про поширення їхніх даних, а отже, не можуть належним чином їх захистити.

Безпека особистих даних - поняття, яке залежить не тільки від норм, прописаних в Законах та нормативних джерелах. Вирішувати його треба грунтовно й послідовно, а не лише в момент «витоку» інформації, який призвів до негативних наслідків. Ігнорування потенційних ризиків доти, доки не трапиться найгірше, є не найкращою стратегією [37, c. 106]

В межах цієї статті ми не ставили собі за мету дослідити проблему захисту персональних даних з усіх можливих напрямків і обмежилися аналізом законодавства і судової практики України, країнами ЄС та США, оскільки в українському законодавстві є низка аспектів, які потребують відповідного аналізу та розкриття, а у відповідних країнах діють законодавчі акти які значною мірою впливають на національне законодавство і судову практику. Тож перспективами майбутніх досліджень є вивчення іншої зарубіжної практики з цього питання з тим, аби розробити власні пропозиції з удосконалення шляхів захисту персональних даних неповнолітніх дітей, адже наразі на законодавчому рівні це питання належним чином не закріплено.

Висновки

1. Враховуючи все вищенаведене, доведено, що пропозиція укласти договір, а також обробка персональних даних неповнолітньої особи мають відповідати певним вимогам: мова повинна бути зрозумілою для неповнолітньої фізичної особи; необхідно щоб неповнолітня особа розуміла зміст пропозиції і умови договору після надання своїх персональних даних та згоди на укладення договору. Реалізація державних функцій має здійснюватися без примушування людини до надання згоди на обробку персональних даних. Така обробка персональних даних повинна здійснюватися в межах та на підставі законів і нормативно-правових актів України, враховуючи міжнародні договори в цій сфері.

2. До способів захисту персональних даних дітей можна віднести: отримання копії персональних даних як дітьми так і їх батьками, виправлення неточних персональних даних, заповнення неповних даних, користування правом бути «забутим» і мати право «стерти» особисті дані; визнання правочину недійсним; відшкодування майнової та моральної шкоди за незаконне використання персональних даних неповнолітнього. Якщо діє правило щодо обмеження обробки персональних даних неповнолітніх осіб за певних обставин, то діти віком з 14 до 18 років можуть заперечувати проти обробки персональних даних, яка здійснюється на законних підставах при реалізації суспільного завдання або інших законних інтересів. При цьому згадані технології не повинні бути безальтернативними й примусовими. Особи, які відмовилися від обробки своїх персональних даних, повинні мати альтернативу - використання інших традиційних методів ідентифікації особи згідно діючого вітчизняного законодавства.