Захист інформації про особу (персональних даних) в законодавстві України
Анотація: В даній статті здійснено аналіз чинного законодавства в частинi врегулювання вiдносин стосовно захисту інформації про особу (персональних даних).
Annotation: This article analyzes the applicable law in part settlement of relations concerning the protection of personal information (personal data).
Постановка проблеми: Значний прогрес в сфері інформаційних технологій, зокрема в сфері розробки та впровадження програмного забезпечення, активність у формуванні баз персональних даних надзвичайно загострили проблему захисту приватного життя фізичних осіб та захисту інших основних прав і свобод людини. Забезпечення захисту інформації про особу (персональних даних) на сьогоднішній час потребує неабиякої уваги, перш за все з точки зору змісту таких понять як персональні дані, їх суб’єкти, реєстрація персональних даних, ідентифікаційний номер та ідентифікація даних. Так, високорозвинуті технології обробки даних в автоматизованих системах дають можливість швидко накопичувати, обробляти, зберігати та поширювати значні обсяги різноманітних відомостей. У зв’язку з цим є реальна загроза контролю за всіма аспектами суспільного та особистого життя, для несанкційованого доступу до відомостей, які за своїм характером призначаються для обмеженого кола осіб і можуть завдати шкоди особі, суспільству чи державі.
Аналіз останніх досліджень та публікацій: Питанню захисту персональних даних в законодавстві України присвячували свої дослідження Ю.К. Базанов, В.М. Брижко, А.А. Баранов, В.С. Цимбалюк, Р.А. Калюжний, М.Я. Швець та інші.
Мета і завдання дослідження: виявлення проблем необхідності правового забезпечення захисту інформації про особу (персональних даних) та визначити шляхи її вирішення, можливість розробки практичних рекомендацій щодо покращення системи правового регулювання інформаційних відносин.
Викладення основного матеріалу: Європейський вибір України потребує від неї приведення законодавства до норм та принципів Європейського співтовариства.
Враховуючи наведене, Україна, як суб’єкт міжнародного права, має дотримуватися його певних принципів і норм.
Планом заходів із виконання обов’язків та зобов’язань України, що випливають з її членства в Раді Європи, затвердженим Указом Президента України від 20 січня 2006 року № 39, (до підпункту 13.17 Резолюції Парламентської Асамблеї Ради Європи “Про виконання обов’язків та зобов’язань Україною” від 5 жовтня 2005 року № 1466) передбачено вжити заходів із забезпечення додержання права на недоторканність особистого життя, для чого, зокрема, подати в установленому порядку Президентові України для наступного внесення на розгляд Верховної Ради України проект Закону про захист інформації про особу (персональних даних).
На сьогодні, Радою Європи, членом якої є Україна, прийнято бiльше ста правових документів, рекомендації тощо, спрямованих на врегулювання суспільних відносин в інформаційній сфері [1,3], зокрема, Директива 95/46/ЄС Європейського парламенту і Ради від 24 жовтня 1995 року “Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних”, Директива 97/66/ЄС Європейського парламенту i Ради від 15 грудня 1997 року “Про обробку персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі” та Конвенція № 108 Ради Європи від 28 січня 1981 року “Про захист осіб стосовно автоматизованої обробки даних особистого характеру” (підписано від імені України 20 серпня 2005 року), які мають бути враховані під час підготовки проекту Закону про захист інформації про особу (персональних даних).
Відповідно до наведеної Конвенції № 108 персональні дані – будь-яка інформація про фізичну особу, що ідентифікована або може бути ідентифікованими [2]. Необхідно підкреслити, що зазначена Конвенція вважається першим міжнародним документом про взаємні права та обов’язки, що містить загальноєвропейські норми (стандарти), що створюють умови регулювання суспільних відносин у сфері захисту персональних даних. Норми Конвенції є імперативними, тобто такими, від яких країни, які до неї приєднались, не можуть відступати. Відповідно до положень цієї Конвенції приведення національного законодавства у відповідність до її положень повинно відбуватися не пізніше вступу в дію Конвенції на території відповідної країни. Країни, що підписали зазначений документ, мають керуватися ним при розгляді всіх питань, пов’язаних із захистом персональних даних, які обробляються або не обробляються в автоматизованих системах різного призначення.
Так, згідно зі статтею 1 цієї Конвенції її метою є забезпечення на території кожної Сторони для кожної особи незалежно від її національності або помешкання поважання її прав і основних свобод, зокрема її права на недоторканність особистого життя, стосовно автоматизованої обробки даних особистого характеру, що її стосуються.
Згідно зі статтею 6 вказаної Конвенції дані особистого характеру, що свідчать про расову належність, політичні або релiгійні чи інші переконання, а також дані особистого характеру, що стосуються здоров’я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє право не забезпечує відповідних гарантій.
З метою забезпечення захисту персональних даних у національному інформаційному просторі та взаємодії країн-учасниць Конвенції, кожна країна призначає уповноважений орган, назву і адресу якого необхідно вказати в повідомлені, яке надсилається до Генерального Секретаря Ради Європи [3,100] .
Згідно з Директивою 95/46/ЄС Європейського парламенту і Ради від 24 жовтня 1995 року “Про захист фiзичних осіб при обробці персональних даних і про вільне переміщення таких даних” персональні дані означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити (“суб’єкт даних”). Особа, яку можна встановити, є особа, яку можна встановити прямо чи непрямо, зокрема за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним захистам її особистості [4,216].
Директива 97/66/ЄС Європейського парламенту і Ради від 15 грудня 1997 року “Про обробку персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі” застосовується до обробки персональних даних у зв’язку з наданням загальнодоступних телекомунікаційних послуг в телекомунікаційних мережах загального користування в Європейському Співтоваристві, зокрема, через цифрову мережу зв’язку з комплексними послугами та цифрові мобільні мережі загального користування.
Авторські права належать автору статті на naub.org.ua
Згідно з Законом Німеччини “Про подальший розвиток обробки даних і захисту даних” від 20 грудня 1990 року персональні дані – конкретні дані про особисті або майнові відносини встановленої або установлюваної фізичної особи[3,146].
Ідентифікація – це надання об’єкту унікального імені або числа. Встановлення справжності полягає у перевірці, чи є особа або об’єкт, який перевіряється, насправді тим, за кого себе видає[5,87].
Ідентифікаційні документи фізичної особи – це документи у вигляді картки встановленого зразка, що є матеріальним носієм інформації про фізичну особу персонального характеру, яка міститься у певному реєстрі.
Абзацом третім пункту 6 Положення про паспорт громадянина України, затвердженого Постановою Верховної Ради України від 26 червня 1992 року № 2503-XII встановлено, що на першу і другу сторінки паспортної книжечки заносяться прізвище, ім’я та по батькові, дата і місце народження. На першій сторінці також вклеюється фотокартка і відводиться місце для підпису його власника. На другу сторінку заносяться відомості про стать, дату видачі та орган, що видав паспорт, ставиться підпис посадової особи, відповідальної за його видачу. Записи засвідчуються мастиковою, а фотокартка – випуклою сухою печаткою.
Відносно паспортних даних, до відомостей персонального характеру Комітетом по стандартам України, в ДСТУ 3389-96 “ідентифікаційна картка особи – носій біометричної інформації” віднесено фото громадянина, ідентифікаційний номер, ПІБ (прізвище, ім’я та по-батькові), стать, місце та дата народження, особистий підпис, місце проживання (реєстрація), належність до військової служби, група крові, сімейний стан та відомості про дiтей[6,160].
Цікавим є те, що ідентифікаційний номер фізичної особи побудовано не як випадковий набір цифр. Знаючи порядок його формування, можна отримати конкретну інформацію про особу. Так, перші п’ять цифр означають дату народження людини. Відлік ведеться починаючи від 1 січня 1900 року. Наступні чотири цифри – порядковий номер людини серед тих, хто народився в один день. Дев’ятий знак означає статеву приналежність. Парне число – чоловічу, непарне – жіночу. Нарешті остання цифра ідентифікаційного номера – контрольне число. Принцип та порядок його застосування визначається Державною податковою адміністрацією та не розголошується, з метою захисту від підробок. Проте, практичне застосування ідентифікаційних номерів не є беззастережним питанням ні в країнах, що мають досвід беззастережного запровадження багатоцільових (універсальних) ідентифікаторів, так і в країнах, які не вважають за потрібне їх введення [7,39].
Оскільки ідентифікаційні номери передбачені для ідентифікації осіб, то будь-які ідентифікатори (критерії за якими здійснюється ідентифікація) є персональними даними, що підлягають під дію міжнародних стандартів щодо захисту персональних даних [7,47].
Будь-яка особа має природне, виключне право власності на відомості про неї. Це означає, що може володіти, користуватися та розпоряджатися відомостями про себе, як вважає за потрібне, з урахуванням чинного законодавства та норм суспільної моралі. Одночасно вона має право забороняти іншим суб’єктам використовувати свої персональні дані, за винятком виключень, встановлених законом [8,64].
У січні цього року набув чинності прийнятий 1 червня 2010 р. Закон № 2297-VI “Про захист персональних даних”, (далi Закон № 2297-VI ) послідовно аналізуючи положення якого, звертаємо увагу на те, що його норми регулюють, перш за все, відносини, пов’язані із захистом персональних даних під час їх обробки. При цьому персональними даними у Законі № 2297-VI розуміються відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Згідно зі ст. 1 дія зазначеного Закону № 2297-VI не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах: фізичною особою (виключно для непрофесійних особистих чи побутових потреб); журналістом (у зв’язку з виконанням ним службових чи професійних обов’язків); професійним творчим працівником (для здійснення творчої діяльності). Отже, такі винятки щодо діяльності фізичних осіб в межах їх непрофесійних особистих чи побутових потреб, журналістів і професійних працівників за зазначеними напрямами діяльності не будуть розглядатися як порушення норм цього Закону. У законодавстві вживаються терміни “база персональних даних”, “знеособлення персональних даних”, “обробка персональних даних”, “непрофесійні особисті чи побутові потреби”, “виконання службових чи професійних обов’язків”, “професійний творчий працівник”, а в ст. 2 Закону № 2297-VI дається їх визначення або пояснення у відповідності зі змістом норм саме цього закону, ряд дефініцій можна вивести із змісту інших законодавчих актів. Отже, персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а це означає, що персональні дані — це така інформація чи комплекс інформації про фізичну особу. Фізична особа при цьому може бути ідентифікована як конкретна фізична особа з усіма її якостями як природного характеру, так і соціального [9,463]. Самі персональні дані мають бути упорядковані, тобто складені за певною системою — математичною, логічною тощо. Форма представлення, складення, зберігання такої бази визначена як електронна, допускається також форма картотеки персональних даних.
У Законі № 2297-VI передбачено створення спеціального Державного реєстру баз персональних даних — єдиної державної інформаційної системи збору, накопичення та обробки відомостей про зареєстровані бази персональних даних. При цьому обробкою персональних даних вважається будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. Розпорядником бази персональних даних визначено фізичну чи юридичну особу, якій володільцем бази персональних даних або законом надано право обробляти ці дані. Серед об’єктів захисту, перш за все, названо персональні дані, які обробляються в базах персональних даних (ч. 1 ст. 5 Закону № 2297-VI). Такі персональні дані за режимом доступу є інформацією з обмеженим доступом. Знеособлення персональних даних — це вилучення відомостей, які дають змогу ідентифікувати особу. Загалом ідентифікація фізичної особи — складне і ще не вирішене остаточно питання. Ідентифікувати особу можна в ряді випадків і за однією ознакою — за прізвищем, посадою, псевдонімом (коли йдеться про відомих письменників, політиків, державних діячів, вчених тощо), але переважно ідентифікація звичайної фізичної особи (пересічної) відбувається за певним достатнім комплексом ознак, які вказують на конкретну особу — це повне ім’я фізичної особи, домашня адреса, професія, вік тощо. Тобто при роз’єднанні цих даних може бути втрачена можливість точної ідентифікації особи, що і має бути бажаним результатом, судячи з визначення терміну. На жаль, Закон № 2297-VI залишає місце для різного розуміння і дискусії щодо переліку ідентифікуючих ознак, залишаючи вирішення цього питання, перш за все, на розсуд володільців і розпорядників баз даних [10,342].
Коло суб’єктів відносин, пов’язаних із персональними даними досить широке. Згідно із ст. 4 Закону № 2297-VI це: суб’єкт персональних даних; володілець бази персональних даних; розпорядник бази персональних даних; треті особи; уповноважений державний орган з питань захисту персональних даних; інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.
Суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних. Поняття суб’єкта персональних даних – фізичної особи збігається з розумінням фізичної особи як людини, живої істоти в ЦК. Отже, термінологічна база закону відповідає приватноправовому розумінню основного суб’єкта відносин захисту персональних даних і це заслуговує на схвалення, оскільки дає змогу захистити права цієї особи приватноправовими способами захисту в суді, а також є найбільш ефективними, виконують компенсаційну і відновлювану функцію, дозволяють відшкодувати шкоду, в тому числі й моральну [10,343].
Володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи та організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи – підприємці, які обробляють персональні дані відповідно до закону. В даному разі також суб’єкти названі “володільцями” і “розпорядниками”, а не власниками, що по суті правильно і не викликає заперечень у цивілістів. При цьому наголошується, що розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу (ч. 2 ст. 4 Закону № 2297-VI). Закон визначає володільцем бази персональних даних фізичну або юридичну особу, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Таким чином, договірний спосіб буде ефективним тільки за чітко визначених умов, які мають бути передбачені для такої згоди і за реальної можливості самої фізичної особи вносити зміни у зміст договору, оскільки так звані “договори про приєднання” в цій сфері, на нашу думку, можуть спричинити багато зловживань. Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися (ч. 2 ст. 6 Закону № 2297-VI), але цю норму слід доповнити словами “після повідомлення фізичної особи та отримання її згоди”.
Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до закону. Згідно із ч. 6 ст. 6 цього Закону обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персонаальних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Чітко та однозначно застережено правило про те, що не допускається обробка даних про фізичну особу без її згоди. Винятками можуть бути лише випадки, визначені законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. При цьому персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший, ніж це необхідно відповідно до їх законного призначення. “Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим”, — зазначається у ч. 7 ст. 6 Закону № 2297-VI. Передбачити повний перелік таких випадків неможливо, але можна допустити, що такі дії можуть бути пов’язані із випадками загрози життю і здоров’ю фізичної особи, наприклад, при наданні їй медичної допомоги в стані, коли вона знепритомніла, або в інших випадках надання невідкладної медичної допомоги [10,345]. Важливо наголосити, що використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися згідно із цим Законом лише в знеособленому вигляді.
Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних, а порядок обробки персональних даних, які належать до банківської таємниці, затверджується Національним банком України. При обробці персональних даних слід також враховувати положення Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, яка була прийнята у м. Страсбурзі 28 січня 1981 р. (в редакції від 6 липня 2010 р.). Конвенція ратифікована Україною згідно із Законом про ратифікацію Конвенції від 6 липня 2010 р. № 2438-VI.
Сьогодні в Україні інформаційна взаємодія баз персональних даних різних реєстрів не здійснюється, їх дані часто не сумісні, жоден із реєстрів не охоплює все населення країни [11,43]. Наведене створює перешкоди при здійсненні ідентифікації фізичних осіб, а іноді й унеможливлює отримання органами державної влади та органами місцевого самоврядування достовірної інформації про населення для виконання, покладених на них завдань, належним чином.
Існує думка, що один і той же ідентифікаційний номер може застосовуватись як податковий, номер соціального забезпечення, номер паспорту, номер посвідчення водія автотранспортного засобу тощо.
Необхідно зазначити, що ідентифікаційна пластикова картка існує майже у всіх країнах світу, зокрема, у Бельгії, Греції, Гонконгу, Єгипті, Малайзії, Німеччині, Південній Африці, США, Франції та інших країнах. Одночасно Конституція Португалії містить пряму заборону застосування багатоцільових ідентифікаційних номерів.
Висновки: На сьогодні правове забезпечення суспільних відносин в Україні щодо персональних даних в частині їх правового захисту є недостатнім.
Запровадження будь-якого “єдиного реєстру персональних даних” громадян України веде до загальної реєстрації всього населення. Зазначене як не сприятиме процесу захисту прав і свобод людини, так і не виключатиме можливості несанкціонованого використання конфіденційної інформації про особу.
Разом з цим, достовірна інформація стосовно обліку громадян різних категорій необхідна не лише для виборчого процесу, а передусім для надання адресної допомоги, відстеження процесів міграції населення, планування народного господарства, попередження переміщень міжнародних терористів та екстремістських груп через територію країни тощо.
Потреба в автоматизованій обробці персональних даних залишається поза сумнівом, що в свою чергу викликає необхідність додаткового їх захисту. Враховуючи наведене, важливим питанням є співвідношення свободи та захисту.
Вирішення проблеми є можливим шляхом запровадження окремих реєстрів персональних даних, головним принципом функціонування яких буде цільове використання інформації про особу (наприклад, відповідні реєстри щодо податків, соціального та медичного забезпечення).
З метою попередження залежності людини від одного-єдиного документа (картки, що містить багатоцільовий ідентифікаційний номер), питання організаційно-правового забезпечення захисту інформації про особу (персональних даних) потребує більш глибокого та змістовного аналізу діючих світових стандартів та широкого громадського обговорення.
Зазначене вище має підлягати обов’язковому врахуванню під час вироблення державної політики в інформаційній сфері.
Список використаних джерел та літератури:
Інформаційне законодавство : Збірник законодавчих актів: У 6 т./ За аг.ред. Ю.С. Шемчушенка, І.С. Чижа.-Т.5. Міжнародно-правові акти в інформаційній сфері.-К.: ТОВ «Видавництво «Юридична думка», 2005.-308 с.
Конвенція № 108 Ради Європи «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Страсбург, від 28 січня 1981 року
//http://conventions.coe.int/Treaty/EN/Treaties/PDF/Ukrainian/108Ukrainian.pdf.
В.М. Брижко, О.М. Гальченко, В.С. Цимбалюк, О.А. Орєхов, А.М. Чорнобров. Інформаційне суспільство. Дефініції: людина, її права, інформація, інформатика, інформатизація, телекомунікації, інтелектуальна власність, ліцензування, сертифікація, економіка, ринок, юриспруденція/За ред. Доктора юридичних наук, професора, Р.А. Калюжного, доктора економічних наук М.Я. Швеця.-К.: “Інтеграл”, 2002.-220 с.
Інформаційне законодавство: Збірник законодавчих актів: У 6 т./ За заг.ред. Ю.С. Шемшученка, І.С. Чижа.-Т.5. Міжнародно-правові акти в інформаційній сфері.-К.: ТОВ “Видавництво “Юридична думка”, 2005.-328 с.
Комп’ютерна криптологія: Підручник/За ред.В.К. Задірака, О.С. Олексюка.-К: Вид-во “Збруч”, 2002.-504 с.
Гуцалюк М. Ідентифікація фізичних осіб в Україні // Правова інформатика.-2005.-№ 3 (7).-С. 43- 47.
А.А.. Баранов, В.М. Брыжко, Ю.К. Базанов. Права человека и защита персональных данных. – К: Государственный комитет связи и информации Украины, 2000.-280 с.
Базанов О.Ю., Брыжко В.М. Защита персональных данных. Щодо реєстрації, ідентифікації фізичних осіб та захисту персональних даних // Правова інформатика.-2004.-№ 4.-С. 38-48.
Кохановська О.В. Теоретичні проблеми інформаційних відносин у цивільному праві: Монографія. — К., 2006. — 463 с.
Кохановська О.В. Питання про захист персональних даних в Україні. – К., 2011.- 345
Базанов О.Ю., Брыжко В.М. Щодо реєстрації, ідентифікації фізичних осіб та захисту персональних даних // Правова інформатика.-2004.-№ 4.-С. 38-48.
Інші записи:
Опублікувати свою статтю
RSS Новини 
Наш Twitter
Наша група ВК
- 9695
Recent Comments