Правове забезпечення захисту персональних даних в Україні

Размещено на http://www.allbest.ru/

Правове забезпечення захисту персональних даних в Україні

Томіна Вікторія Юріївна, професор кафедри

адміністративної діяльності поліції Одеського державного

університету внутрішніх справ, кандидат юридичних наук, доцент

Варто зазначити, що право на приватність вперше було виокремлено наприкінці ХІХ століття в юридичній літературі у США. Зокрема, одна з перших спроб юридично визначити поняття «приватність» була зроблена у 1890 р. американськими юристами, випускниками Гарвардської школи права Луїсом Брандайзом і Семюелем Уорреном, які сформулювали його як «право бути залишеним у спокої» («the right to be left alone»). Можна сказати, що американські правники суттєво випередили свій час, адже у своїй відомій статті «Право на приватність» у Гарвардському правовому журналі вони зазначали, що приватність наражається на небезпеку з боку нових винаходів і методів ведення бізнесу, а також обґрунтовували необхідність створення окремого «права приватності». Оскільки у подальшому така позиція Луїса Брандайза і Семюела Уоррена отримала своє закріплення у прецедентній практиці Верховного Суду США (зокрема у 1928 році у справі «Олмстед проти США»), сьогодні ми можемо стверджувати, що саме дана стаття гарвардських юристів заклала основи формування права на невтручання в особисте життя, у тому числі у зв'язку з обробкою персональних даних [10]. З розвитком наукового і технічного прогресу ми все більше переконуємося в справедливості зазначених положень.

Величезну роль в становленні і формулюванні права на приватне життя зіграла діяльність американських судів. Так, в 1965 р в справі Griswold v. Connecticut суддя Верховоного суду США Дуглас вивів право на прайвесі з перших п'яти поправок до Конституції США, визнавши, що ці поправки «охороняють різні аспекти недоторканності приватного життя». Широко відомі слова, які він проголосив, резюмуючи рішення суду: «Ми маємо справу з правом на недоторканність приватного життя, яке старше, ніж Білль про права» [10]. американський суд захист право

Сформована в США концепція «privacy» дуже вплинула на становлення сучасної системи прав і свобод людини. 10 грудня 1948 року на Генеральній Асамблеї ООН була затверджена Загальна декларація прав людини, в статті 12 якої встановлювалося, що ніхто не може зазнавати безпідставного втручання у його особисте і сімейне життя, безпідставного посягання на недоторканність житла, таємницю його кореспонденції або на його честь і репутацію; кожна людина має право на захист закону від такого втручання і таких посягань [3]. У 1950 році аналогічна норма була закріплена в статті 8 Європейської конвенції про захист прав людини і основних свобод в наступному формулюванні: «кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції». Завдяки даним документам право на недоторканність приватного життя отримало визнання в якості невід'ємного права кожної людини [2].

З розвитком інформаційних технологій увагу і інтерес до проблеми недоторканності приватного життя почали істотно посилюватися. З'явилися нові технології і засоби для збору, зберігання і обробки даних, що стосуються як особистому житті індивідів, так і їх суспільної діяльності. У праві гостро постало питання про прийняття особливих правил регулювання збору і обробки персональних даних як все більш популярного об'єкта господарського обороту. У цей час найбільш активний розвиток норм про захист персональних даних спостерігається в Європі.

Принципи, закладені в Європейській конвенції про захист прав і основних свобод, отримали свій розвиток в спеціальних нормах Конвенції 108 Ради Європи про захист прав фізичних осіб щодо автоматичної обробки персональних даних, в якій захист даних розглядається як захист основних прав і свобод індивідів, зокрема, їх права на недоторканність приватного життя стосовно обробки персональних даних.

До захисту персональних даних висуваються певні вимоги. Їх отримання та обробка мають здійснюватися законним шляхом. Вони повинні зберігатися та використовуватися у визначених та законних цілях, бути точними та поновлюваними, допускати ідентифікацію фізичн ої особи. Персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство країни не забезпечує відповідних гарантій. Це правило застосовується також до персональних даних, що стосуються засудження у кримінальному порядку. Засоби та заходи, що застосовують до таких даних, повинні передбачати безпеку персональних даних від випадкового та несанкціонованого доступу, знищення, модифікації, блокування, розповсюдження та випадкової втрати (статті 5-7).

Конвенція № 108 Ради Європи передбачає дуже важливий момент, згідно з яким збирання, накопичення, зберігання і поширення персональних даних може здійснюватися лише з дозволу особи, дані про яку обробляються. Цій особі надано право знати місце роботи та проживання розпорядника бази персональних даних (відповідального за обробку даних), а також право отримувати відповідні дані без затримки та у зрозумілій формі. У випадку відмови зацікавлена особа може звернутися до суб'єкту нагляду за дотриманням законодавства у державі, який повинен забезпечити припинення порушень положень, що зазначені у національному законодавстві (статті 8 та 13).

Для захисту персональних даних Конвенція № 108 Ради Європи

зобов'язує кожну державу-члена призначити один або більше Уповноважених органів нагляду та направити відповідне повідомлення Генеральному секретарю Ради Європи. Завдання інституту Уповноваженого передбачають створення належного організаційно-правового регулювання діяльності щодо захисту персональних даних у країні (стаття 13).

Держави-члени зобов'язані підтримувати своїх громадян, які проживають за кордоном, і надавати допомогу Уповноваженому органу своєї держави у питаннях захисту персональних даних (статті 14-17).

Десятиріччя, що минули з часу прийняття Конвенції № 108 Ради

Європи показали, що інститут Уповноваженого із питань захисту персональних даних не лише зберігся, а й дістав поширення у всіх західноєвропейських країнах. Нині Уповноважені органи із питань захисту персональних даних діють більше ніж у двадцяти країнах Європи. Їх діяльність свідчить, що вони є ефективним засобом, здатним забезпечити баланс інтересів людини, суспільства і держави.

Згодом в Директиві Європейського парламенту та Ради Європейського союзу від 24 жовтня 1995 р № 95/46ЕС про захист прав приватних осіб стосовно обробки персональних даних та про вільний рух таких даних були закладені основи загальноєвропейської системи захисту персональних даних.

Головна підстава, що спонукала запровадити Директиву 95/46/ЄС, полягає в тому, що захист персональних даних у країнах ЄС має неадекватний рівень регламентації, яка надається національними законодавчими, регулятивними та адміністративними положеннями. Директива 95/46/ЄС складається з констатуючої частини та 34 статей. Вона конкретизує європейські принципи та загальні умови обробки персональних даних, умови правової допомоги, відповідальності та санкцій, порядок передачі даних до третіх країн, обумовлює необхідність укладання кодексу поведінки при обробці персональних даних, а також регламентує організаційні питання, що пов'язані з правами та обов'язками контрольного (наглядового) органу та консультативної групи у питаннях захисту персональних даних. Констатуюча частина Директиви 95/46/ЄС містить 72 рекомендації щодо захисту персональних даних. Вона акцентує увагу на те, що обробка всіх видів персональних даних призначена сприяти економічному та соціальному прогресу, розвитку взаємовигідного обміну та добробуту людини. Вільний рух інформаційних ресурсів щодо товарів, капіталів і послуг передбачає не лише вільний рух персональних даних, а й забезпечення високого рівня їх захисту. Цього вимагає поширення телекомунікаційних зв'язків, зростаючі інформаційні потоки, збільшення обсягів науково -технічного та іншого співробітництва.

У 2000 році в Хартії ЄС про основні права право на захист персональних даних було сформульовано в якості самостійного фундаментального права. Хартія не лише гарантує повагу до приватного і сімейного життя (стаття 7), але й передбачає право на захист персональних даних (стаття 8), недвозначно піднімаючи рівень його захисту до рівня захисту основоположного права ЄС. Інститути та органи ЄС повинні дотримуватися і гарантувати це право, так само як і держави-члени, реалізуючи законодавство Союзу (стаття 51 Хартії). Статтю 8 Хартії, яку було сформульовано через кілька років після прийняття Директиви про захист персональних даних, слід вважати такою, у якій втілено право ЄС про захист персональних даних, що існували до того часу. Таким чином, у статті 8 (1) Хартії не тільки чітко визнається право на захист персональних даних, але й вказуються основні принципи захисту персональних даних (стаття 8 (2)). І нарешті, положення статті 8 (3) Хартії вимагають здійснення незалежним органом контролю за дотриманням цих принципів [12 ].

Такі основні етапи формування нормативного механізму про захист персональних даних на європейському континенті. Заключним етапом його формування стало прийняття національних законів країн-учасниць ЄС, спрямованих на регулювання питань захисту персональних даних. Перший в світі спеціальний Закон про захист персональних даних був прийнятий німецької землею Гессен в 1970 р. [4]. До цього подібних законів ніде в світі не було. За останні 30 років більш ніж в 20 європейських державах були прийняті нормативні акти щодо захисту персональних даних, в яких були закріплені реальні механізми правового регулювання обороту персональних даних. Слід зазначити, що створення нормативних актів в цій сфері йшло самостійно поряд з розвитком законодавства про захист права на недоторканність приватного життя.

У 2016 у країнах ЄС набув чинності Загальний регламент захисту даних, General Data Protection Regulation (Регламент), яким було запроваджено нові принципи обробки персональних даних та встановлено нові гарантії їх захисту. Відповідно до Угоди про асоціацію з ЄС Україна взяла на себе зобов'язання привести своє національне законодавство у відповідність до вимог GDPR. Стаття 15 Угоди передбачає співпрацю «з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів». У 2017 році до Плану заходів з імплементації УА було додано зобов'язання гармонізації законодавства з Регламентом № 2016/679 (GDPR). Частина вимог GDPR в тій чи іншій мірі вже фігурує в українських законах, проте вони є не чітко визначеними та потребують уточнень. У той же час, окремі положення GDPR є докорінно новими та лише мають знайти відображення у вітчизняному законодавстві.

На національному рівні ключові документи у сфері захисту персональних даних - Конституція України, Закон України «Про захист персональних даних» та документи у сфері захисту персональних даних, ухвалені Уповноваженим Верховної Ради України з прав людини. Вагоме значення має також низка інших законів, як, наприклад, Закон України «Про доступ до публічної інформації» та Закон України «Про інформацію». Разом з тим практично всі галузеві нормативно -правові акти також містять положення, що регламентують обробку персональних даних у відповідній сфері. Відповідно до ст. 32 Конституції України ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини [5].

Положення цієї статті роз'яснено в рішенні Конституційного Суду України від 20 січня 2012 року № 2 -рп/2012 у справі за конституційним поданням Жашківської районної ради Черкаської області щодо офіційного тлумачення положень частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України від 20 січня 2012 року.

Крім цього, певний інтерес з погляду захисту персональних даних становить рішення Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України «Про інформацію» та статті 12 Закону України «Про прокуратуру» (т. зв. «Справа К. Г. Устименка»).

З метою імплементації Конвенції 108 Верховна Рада України 1 червня 2010 р. ухвалила Закон України «Про захист персональних даних», який закріплює основні принципи обробки персональних даних, права суб'єктів персональних даних, підстави обробки персональних даних, підстави обробки чутливих категорій персональних даних, принципи обмеження дії Закону, повноваження наглядового органу та ін. [9].

Окремо варто наголосити на важливій ролі у сфері обробки персональних даних низки інших, дотичних до цієї сфери нормативно - правових актів. Насамперед ідеться про Закон України «Про доступ до публічної інформації». Згідно з його ст. 1, «Публічна інформація - це відображена та задокументована будь -якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб'єктами владних повноважень своїх обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації, визначених цим Законом. Публічна інформація є відкритою, крім випадків, встановлених законом» [8].

Безперечно, що значна кількість публічної інформації містить персональні дані. З огляду на вказане означення публічної інформації, цим поняттям охоплюються величезні масиви персональних даних. Ідеться про інформацію, що перебуває у володінні суб'єктів владних повноважень та деяку інформацію, що перебуває у володінні юридичних осіб пу блічного та

приватного права. Тому постає запитання щодо того, як повинна вестися обробка (зокрема, поширення) таких персональних даних і як узгодити в цій частині положення Закону України «Про захист персональних даних», з одного боку, та Закону України «Про доступ до публічної інформації» - з іншого [6, с. 18].

Треба чітко розуміти, що Закон України «Про захист персональних

даних» - рамковий документ. Його положення регулюють правові відносини, пов'язані із захистом та обробкою персональних даних у величезній кількості сфер суспільного життя. Тому, цей Закон не може детально визначати порядок та процедуру обробки персональних даних у всіх сферах життя. У зв'язку з цим кожна галузь права містить (і повинна містити) свої положення, які регламентують особливості обробки персональних даних у відповідній сфері суспільних відносин.

Нині в Україні діє більше півсотні законів (у тому числі кодексів), які містять положення, присвячені персональним даним.

У роз'ясненні Міністерства юстиції України «Деякі питання практичного застосування Закону України «Про захист персональних даних» вказано, що законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах і картотеках персональних даних, що можуть виникнути у майбутньому, у зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя [1].

Проблема термінологічного визначення та розуміння поняття «персональні дані» є однією із найскладніших при роботі в цій сфері.

До персональних даних можна віднести будь -які відомості, за якими ідентифікується або може бути ідентифікована фізична особа, зокрема: прізвище, ім'я, по батькові, адреса, телефони, паспортні дані, національність, освіта, сімейний стан, релігійні та світоглядні переконання, стан здоров'я, матеріальний стан, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи (за винятком даних стосовно виконання повноважень особою, яка обіймає посаду, пов'язану із здійсненням функцій держави або органу місцевого самоврядування) тощо. Цей перелік не є вичерпним.

Більше деталей щодо цього передбачає Регламент. Вказаний документ містить найсучасніше та найпрактичніше означення «особи, що може бути ідентифікованою», згідно з яким це «особа, яку можна ідентифікувати прямо чи опосередковано, зокрема вказавши такі ідентифікатори, як ім'я, ідентифікаційний номер, дані щодо місцезнаходження, онлайн ідентифікатор чи інші особливості фізичної, фізіологічної, генетичної, духовної, економічної, культурної чи соціальної ідентичності такої фізичної особи». Отже, коли йдеться про «особу, яка може бути ідентифікованою» очевидно, що мається на увазі не лише встановлення її особи за іменем та іншими «класичними» ознаками, а й безпомилкове виділення її з невизначеного кола інших осіб за допомогою сукупності наявних відомостей. Часто мається на увазі ідентифікація особи на базі відомостей, які, якщо взяті окремо, не дають можливості ідентифікувати особу, однак у поєднанні уможливлюють це. Також вагомий елемент тут те, як складно ідентифікувати таку особу, адже якщо ідентифікувати можна, однак це коштуватиме значних затрат часу, грошей, зусиль тощо, то, звісно, за таких умов особа не можна вважати такою, «яка може бути ідентифікованою» [6, с. 21].

Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може оброблятися, в тому числі поширюватись тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Вичерпний перелік підстав для обробки персональних даних передбачено статтею 11 Закону «Про захист персональних даних». За своєю сутністю підстави обробки персональних даних зазначені у пунктах 1, 3 частини першої статті 11 Закону України «Про захист персональних даних» ґрунтуються на вільному, поінформованому волевиявленні суб'єкта персональних даних. Натомість, підстави для обробки персональних даних, зазначені у пунктах 2, 4 - 6 частини першої статті 11 Закону України «Про захист персональних даних» не передбачають необхідності одержання дозволу суб'єкта персональних даних на обробку інформації про нього. Згода суб'єкта персональних даних є лише однією з шести підстав для обробки персональних даних, передбачених статтею 11 Закону. За наявності підстав, визначених пунктами 2-6 частини першої статті 11 Закону України «Про захист персональних даних», обробка персональних даних здійснюється без згоди суб'єкта персональних даних. Однією з таких підстав є «дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень» (пункт 2 частини першої статті 11 Закону).

У статті 8 Конвенції про захист прав людини і основоположних свобод гарантовано право на повагу до приватного і сімейного життя: кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб. Конституція України в розвиток зазначених положень Конвенції «Про захист прав людини і основоположних свобод» у частині другій статті 32 закріпила норму, згідно з якою, не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Зазначене кореспондується з підпунктом 2.7. пункту 2 Типового порядку обробки персональних даних, обробка персональних даних здійснюється володільцем персональних даних лише за згодою суб'єкта персональних даних, за винятком тих випадків, коли така згода не вимагається Законом.

Особливості дозволу на обробку персональних даних, наданого володільцю персональних даних відповідно до закону як підстави для обробки персональних даних полягають у наступному:

- надається переважно суб'єктам владних повноважень;

- діє не довше, ніж це необхідно суб'єкту владних повноважень для виконання покладених на нього обов'язків;

- стосується лише чітко визначених наборів персональних даних;

- має строковий характер;

- надається лише в межах компетенції суб'єкта владних повноважень.

Відповідно, за загальним правилом обробка персональних даних центральними органами виконавчої влади, їх територіальними органами або підрозділами ґрунтується на підставі дозволу, наданому законом для такої обробки, хоча законодавство України допускає випадки, в яких обробка персональних даних центральними органами виконавчої влади передбачає обов'язковість одержання згоди на таку обробку, або укладення з ним правочину.

Відповідно до статті 2 Закону, згода суб'єкта персональних даних - добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Наведене визначення містить дві суттєві ознаки згоди на обробку персональних даних:

- добровільність (означає відсутність прямого або опосередкованого примусу при її наданні);

- поінформованість (означає, що перед наданням згоди суб'єкт повинен отримати достовірну інформацію про те, ким, з якою метою будуть оброблятися його персональні дані, кому будуть передаватися, які саме дані, а також про права, визначені Законом).

Суб'єкт персональних даних також має право відмовитись від надання згоди на обробку персональних даних, відкликати згоду на обробку персональних даних, яка була надана такою особою раніше, вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди, пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь -яким володільцем та розпорядником персональних даних, якщо ці дані обробляють ся незаконно чи є недостовірними, заперечувати проти обробки своїх персональних даних.

Список використаних джерел:

1. Деякі питання практичного застосування Закону України «Про захист персональних даних»: Роз'яснення Міністерства юстиції України від 21.12.2011 р. URL : https://zakon. rada.gov.ua/laws/show/n0076323 -11#Text.

2. Європейська конвенція з прав людини (змін. та доп.). Strasbourg : Directorate General of Human Rights Council of Europe, 2001. 60 с.

3. Загальна декларація прав людини: Резолюція Генеральної Асамблеї ООН від 10.12.1948 р. № 217 A (III). URL : http://zakon.rada.gov.ua/laws/show/995_015.

4. Захист персональних даних: чий досвід може стати в нагоді Україні. URL : https://www.eurointegration.com.ua/experts/2018/01/16/7076152/

5. Конституція України від 28.06.1996 р. № 254к/96-ВР. Голос України. 1996. № 128.

6. Бем М., Городиський І. Захист персональних даних: правове регулювання та практичні аспекти: наук.-практ. посібник. URL : https://rm.coe.int/handbook-pers-data-protect- 2021-web/1680a37a69.

7. Офіс омбудсмена повідомив про понад 2000 скарг за 2020-й через втручання у персональні дані громадян. URL : https://www.radiosvoboda.org/a/news-personalni-dani-kolektory- skargy-ombudsmen/31132041.html.

8. Про доступ до публічної інформації: Закон України від 13.01.2011 р. № 2939-VI. Голос України. 2011. № 24.

9. Про захист персональних даних: Закон України від 01.06.2010 р. № 2297-VI. Офіційний вісник України від 09.07.2010 р. № 49. С. 199, Ст. 1604.

10. Уоррен С., Брандейс Л. Право на приватність: наук. стаття. Право США. 2013. № 1-2. С. 132-153. URL : http://nbuv.gov.ua/UJRN/prccha_2013_1-2_11.

11. U.S. Supreme Court «GRISWOLD vs. CONNECTICUT», 381 U.S. 479 (1965). URL : http://supreme.justia.com/cases/federal/us/381/479/case.html.

12. Verbatim de la reunion de la Convention du 26 Septembre 2000. Charte 4958/00 (Convent 53). Bruxelles, 2000. Рр. 40-47.

Размещено на Allbest.ru