Реформування і розвиток системи захисту персональних даних в Україні

Размещено на http://www.allbest.ru/

УДК 004.056:340.132.1+316.324.8

Реформування і розвиток системи захисту персональних даних в Україні

Пилипчук В.Г., доктор юридичних наук, професор, член-кореспондент НАПрН України

Брижко В.М., доктор філософії (Ph.D.) з юридичних наук, старший науковий співробітник



Анотація

У статті висвітлено історико-правові аспекти та основні етапи формування національного законодавства з питань захисту персональних даних, процеси трансформації та нові правові стандарти ЄС у цій сфері, а також надано низку пропозицій щодо реформування і розвитку системи захисту персональних даних в контексті євроінтеграції України.

Ключові слова: приватність, права і безпека людини, персональні дані, правові стандарти, система захисту персональних даних.



Summary

The article considers historical and legal aspects and basic formation stages of national legislation related to the questions of personal data protection, processes of transformation and new legal standards of European Union in this sphere, and also the number of suggestions is given in relation to reformation and further development of the system of personal data protection in the context of eurointegration of Ukraine.

Keywords: privacy, human rights and safety, personal data, legal standards, personal data protection system.



Аннотация

В статье отражены историко-правовые аспекты и основные этапы формирования национального законодательства по вопросам защиты персональных данных, процессы трансформации и новые правовые стандарты ЕС в этой сфере, а также предоставлен ряд предложений по реформированию и дальнейшему развитию системы защиты персональных данных в контексте евроинтеграции Украины.

Ключевые слова: приватность, правая и безопасность человека, персональные данные, правовые стандарты, система защиты персональных данных.



Постановка проблеми. Впровадження в Україні міжнародних принципів захисту персональних даних, розробки, опрацювання та прийняття Закону України “Про захист персональних даних” [1] всебічно аналізувалися та широко обговорювалися у 1996 - 2010 роках. У зв'язку із запровадженням нових правових стандартів Європейського Союзу щодо захисту персональних даних, ця проблематика, за нашими оцінками, надалі буде актуалізуватися. Це пов'язано із затвердженням у травні 2016 року Європейським Парламентом і Радою ЄС нових правил і порядку захисту персональних даних - так званого “Пакету захисту даних”, який встановив більш жорсткі правові та організаційні засади їх захисту, а також передбачає впровадження єдиної правової політики у цій сфері не тільки для держав-членів ЄС, але й для інших країн світу, що мають політичні, економічні та соціальні зв'язки з ЄС [2]. Нові приписи правил ЄС підлягають обов'язковому опрацюванню і впровадженню в національне законодавство в контексті реалізації договору про асоціацію між Україною та ЄС. Зазначене власне і визначає потребу та напрями реформування системи захисту персональних даних в Україні. персональний правовий захист

Метою статті є узагальнення приписів правових стандартів ЄС та розробка пропозицій щодо реформування системи захисту персональних даних в України.

Виклад основного матеріалу. Процес становлення та формування в Україні системи захисту персональних даних був ініційований у 1996 році Національним агентством з питань інформатизації при Президентові України. Одним із приводів для публічної дискусії з цього питання стало опублікування статті “Персональные данные: есть ли проблемы?” [3]. Незабаром зазначене Агентство отримало завдання розробити законопроект щодо упорядкування відповідних суспільних відносин, з урахуванням міжнародних правових стандартів.

Після комплексного опрацювання міжнародно-правових актів Ради Європи, ЄС і законодавства провідних країн світу з питань захисту персональних даних [4] стало зрозумілим, що ментальність, політико-правові та соціально-економічні реалії в Україні, яка тільки ставала на шлях верховенства права, демократичних перетворень та формування інформаційного суспільства, не сприяють оперативному вирішенню вказаної проблеми. Створення юридичних умов захисту прав і безпеки людини, зокрема, її персональних даних, потребувало системної, кропіткої та наполегливої роботи.

За результатами аналізу та хронологією подій процес формування національного законодавства щодо захисту персональних даних можна розподілити на такі основні етапи.

Перший етап. Протягом 1996 - 1998 років було підготовлено першу версію проекту Закону України “Про захист персональних даних” [5], який неодноразово розглядався в Мінекономіки, Мінфіні, Мін'юсті, МВС, СБУ, Комітеті з питань державних секретів, Державній податковій адміністрації, в Секретаріаті Уповноваженого Верховної Ради України з прав людини, РНБО України та ін. Загалом, у вказаний період з урахуванням пропозицій державних і недержавних структур було опрацьовано 8 версій цього законопроекту. Водночас у робочому порядку було опрацьовано понад 900 проблемних питань, проведено низку конференцій, семінарів та круглих столів, а 27 грудня 1998 року підготовлений законопроект було спрямовано до Кабінету Міністрів України.

Варто звернути увагу на деякі особливості проведення експертних оцінок цього документа у центральних органах виконавчої влади того часу, а саме:

* відсутність системності та послідовності в організації роботи з проведення експертизи, що було пов'язано зі змінами керівництва органів та виконавців. Як наслідок, експертна оцінка здійснювалася різними посадовими чи службовими особами, зауваження часто повторювалися і, нерідко, суперечили одне одному;

* часто виконавці мали слабке уявлення стосовно предмета законопроекту та суті відповідних суспільних відносин, що відображалося у формулюванні зауважень і запитань в ході обговорення проекту Закону;

* заперечення Мін'юстом України можливості введення в законодавство нової юридичної категорії - “права власності фізичної особи на свої персональні дані”, незважаючи на положення ст. 11 Конвенції Ради Європи від 28.01.81 р. № 108 і ст. 3 Конституції України та поширення несанкціонованих дій з персональними даними (незаконне збирання, опрацювання, реалізація тощо) [6]. У висновках Мін'юсту (зокрема, вих. № 23-9-4450 від 27.06.00 р., № 23-9-7900 від 2.11.00 р.) з цього приводу наголошувалося, що запропонований підхід стосовно надання персональним даним людини особливого статусу “...свідчить про недостатній рівень опрацьованості проекту та суперечливе розуміння авторами проекту поняття власності ”.

Це стверджувалося в той час, коли окремі персональні дані або їх збір та акумулювання в базах даних (на дисках) для продажу (платної передачі) вже розглядалися як товарно-інформаційний продукт, який надходив у товарно-грошовий обіг і мав фактичну ціну, виражену в грошових одиницях номінальної (умовної) вартості відомостей про персональні дані фізичних осіб.

В загальноюридичному сенсі цей “товар”, як видається, мав би безпосередньо визначати його справжнього власника, тобто, права конкретної людини згідно з критеріями тріади повноважень права власності, а саме: права володіння, користування і розпорядження своїми даними.

Другий етап. До липня 2000 року проект Закону України “Про захист персональних даних”, розроблений Держкомзв'язку та інформатизації України, був погоджений в установленому порядку з Мінфіном, Мінекономіки, МОН, ДПА, МВС, СБУ, МЗС та знову винесений на розгляд Кабінету Міністрів України. Однак, розгляд цього законопроекту було затримано у зв'язку з підготовкою альтернативного законопроекту, який згодом взагалі був знятий з розгляду Верховної Ради України (зауваження до цього проекту див. [7]). Лише через три роки, завдяки втручанню народних депутатів України М.К. Родіонова, С.М. Ніколаєнка, академіків НАН України І.Р. Юхновського, П.П. Толочко, К.М. Ситника, запропонований Держкомзв'язку та інформатизації України проект Закону “Про захист персональних даних” було зареєстровано у Верховній Раді України (реєстр. № 2618 від 10.01.03 р.) та розпочато його опрацювання у профільних комітетах Верховної Ради. В травні місяці 2003 року законопроект був розглянутий на Пленарному засіданні в першому читанні і прийнятий за основу (Постанова Верховної Ради України від 15.05.03 г. № 784-IV).

До цього, у 2002 році, у НДЦ правової інформатики АПрН України був здійснений та офіційно засвідчений Міністерством закордонних справ України переклад Конвенції Ради Європи “Про захист прав осіб у зв'язку з автоматизованою обробкою персональних даних” від 28.01.81 р. № 108 та Додаткового протоколу до Конвенції від 8.11.01 року, які у 2010 році стали складовою частиною законодавства України.

Третій етап. 2005 року в Міністерстві юстиції України було створено робочу групу, до складу якої увійшли фахівці міністерства та представники недержавних організацій, котрі, як повідомлялось (//www.khpg.org/index.php?id=1186147137), мали відношення до захисту права на приватність. Цій групі доручалося підготувати альтернативний проект закону щодо захисту персональних даних в Україні. Протягом двох років вказана група працювала над розробкою законопроекту, але він так і не був внесений до Верховної Ради України. З цього приводу Громадська рада з питань інформаційно-комунікаційних технологій у доповіді Президенту України “Про невідкладні заходи щодо розвитку інформаційного суспільства в Україні” повідомляла: “Міністерством юстиції України розроблено новий законопроект з аналогічною назвою (“Про захист персональних даних” - Авт.), при цьому ігнорується законопроект № 2618 від 10.01.2003 р., вже прийнятий Верховною Радою України у першому читанні. Законопроект Міністерства юстиції України розкритикований правозахисниками та професійними організаціями як корупційно-небезпечний і такий, що не відповідає нормам європейського законодавства”.

Четвертий етап. 16 березня 2006 року проект Закону України “Про захист персональних даних” (реєстр. № 2618 від 10.01.03 р.) - через шість років після його розробки, проведення додаткового погодження (у т.ч. 9 членів НАН України і НАПрН України, 18 докторів наук, 24 кандидатів наук) та заходів громадського обговорення, у яких взяли участь фахівці в галузі інформаційного та адміністративного права, інформатизації та інформаційної безпеки, був прийнятий у другому читанні та в цілому більшістю народних депутатів України. Згідно поіменного голосування: “За” - 287; “Проти” - 0; “Утримались” - 1; “Не голосували” - 108. “Всього” - 396 народних депутатів.

Зауважимо, що за роки розробки цього законопроекту він обговорювався на понад 40 конференціях, семінарах і “круглих столах”, а першу версію законопроекту її автори (В. Брижко та О. Баранов) доповідали на засіданні експертів ОБСЕ і РЄ “Впровадження міжнародних стандартів із захисту приватності інформації персонального характеру в Україні” за участі Комісара Ради Європи із захисту даних, виконавчого члена Комісії Австрії у питаннях захисту даних пані Вольтраут Кочі.

Проте, 11 квітня 2006 року Президентом України було застосовано право “вето” щодо цього законопроекту і він був повернутий до Верховної Ради України.

Однією з головних причин вказаного можна вважати те, що фахівці Мін'юсту України та інші посадові особи не підтримали положення абз. 3 і 4 ст. 2 цього Закону (в частині запровадження нової в юридичній практиці норми щодо “права власності людини на свої персональні дані”), а також ст. 7 Закону, яка це право конкретизувала. По суті, законом пропонувалося збільшити права людини в частині захисту її приватного життя в умовах стрімкого впровадження інформаційно -комунікаційних технологій, з використанням підходів у правових механізмах інституту власності. Це дійсно вимагало певної зміни правової ментальності та внесення змін до чинного законодавства, зокрема, до Цивільного кодексу України, Закону України “Про інформацію” та ін., у т.ч. в частині визначення понятійного апарату, пов'язаного з “особистими немайновими правами фізичної особи” (див. гл. 20 ЦКУ) . Слушність зазначеного підтверджується й положеннями статті 11 Конвенції Ради Європи № 108, яка визначає, що “Жодне положення цього розділу (Розділ II - Основоположні принципи захисту даних - Авт.) не трактується як таке, що обмежує або іншим чином перешкоджає можливості Сторони (держави-члена Конвенції - Авт.) забезпечувати суб'єктам даних більш великий ступінь захисту, ніж передбачений цією Конвенцією”.

В цілому, зазначений підхід в умовах становлення інформаційного суспільства та зміни правових стандартів ЄС значно актуалізується і може розглядатися як один із ключових напрямів розвитку системи захисту персональних даних людини в Україні.

П'ятий етап. Для опрацювання зауважень Президента України від 11 квітня 2006 року щодо Закону “Про захист персональних даних” Верховною Радою України було створено робочу групу. Із тексту цього Закону було вилучено норми стосовно “права власності людини на свої персональні дані”, збільшено кількість термінів щодо інформатизації тощо, і 9 січня 2007 року цей законодавчий акт підтримали 329 народних депутатів України.

Проте, 30 січня 2007 року Закон знову було повернуто до Верховної Ради України з іншими зауваженнями Президента України щодо “невідповідності Закону положенням статті 32 Конституції України та міжнародно-правовим актам” (//www.gska2.rada. gov.ua/pls/zweb_n/webproc4_1?id=&p f3511=27270).

З цього приводу слід зауважити, що у ст. 32 Конституції України йдеться про “конфіденційну інформацію про особу” (з англ. сonfidence - “довіра”), а в законопроекті “Про захист персональних даних” - про поняття “персональні дані”, котре, як зазначалося, відсутнє в Конституції України та ЦК України, але саме воно застосовується у міжнародних стандартах та національних законодавствах іноземних країн. Крім цього, не було надано належних посилань та обґрунтувань стосовно невідповідності законопроекту положенням міжнародно-правових актів, про що стверджувалось у “вето” Президента України від 30.01.07 р.

Шостий етап. У 2008 році, за пропозиціями групи народних депутатів України (Шевчука О.Б., Литвина В.М., Полохало В.І., Самойлика К.С.) та Міністерства юстиції України, був зареєстрований інший проект Закону “Про захист персональних даних” (реєстр. № в 2273 від 25.03.08 р.) . 25 червня 2009 року він був прийнятий ВР України у першому читанні, а 1 червня 2010 року - як Закон № 2297-VI. Згідно з поіменним голосуванням у другому читанні та в цілому за це рішення проголосувало 355 народних депутатів України. Надалі цей Закон від 01.06.10 р. № 2297-VI був підписаний Президентом України і набрав чинності з 01.01.11 р.

Ухвалення Закону сприяло можливості ратифікації Україною Конвенції Ради Європи “Про захист прав осіб у зв'язку з автоматизованою обробкою персональних даних” від 28.01.81 р. № 108 та “Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних” від 08.11.01 р. Держави, які підписали ці документи, зобов'язуються керуватися їх положеннями при розгляді питань, пов'язаних із захистом персональних даних, що підлягають чи не підлягають автоматизованій обробці, як у суспільному, так і приватному секторах. З метою приєднання України до Конвенції № 108, 16 червня 2010 року був поданий відповідний законопроект (реєстр. № 0170), який був прийнятий ВР України та підписаний Президентом України від 6.07.10 р. № 2438-VI, див. [8].

Сьомий етап. Протягом 2011 - 2016 років відбулася низка організаційних змін, а до вказаного Закону було внесено суттєві зміни і доповнення, у т.ч. досить дискусійні, які повністю змінили систему захисту персональних даних в Україні.

Зокрема, у квітні 2011 року, як передбачалося Законом України від 1.06.10 р. № 2297-VI, було створено “Державну службу України з питань захисту персональних даних” (ДСЗПД). Ця Служба входила до системи центральних органів виконавчої влади і забезпечувала реалізацію державної політики у сфері захисту персональних даних. Її діяльність спрямовувалася і координувалася Кабінетом Міністрів України через Міністерство юстиції України. Відповідно до Указу Президента України від 6.04.11 г. № 390/2011 було затверджено “Положення про Державну службу України з питань захисту персональних даних”.

Надалі, згідно Закону України “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних” від 3.07.13 р. № 383-VII та Постанови Кабінету Міністрів України від 10.09.14 р. № 442, ДСЗПД було ліквідовано. Натомість, у складі Секретаріату Уповноваженого Верховної Ради України з прав людини було створено Департамент з питань захисту персональних даних. При цьому, повноваження щодо нагляду і контролю за виконанням законодавства про захист персональних даних, а також фактичне здійснення функцій органу виконавчої влади з 1.01.14 р. було покладено на Уповноваженого Верховної Ради України з прав людини, що не відповідає положенням ст. 6 Конституції України в частині поділу влади в Україні на законодавчу, виконавчу і судову та розподілу функцій відповідних державних органів.

Водночас, “виконавчі” повноваження “Омбудсмена” Верховної Ради України було значно розширено: надано право здійснювати різноманітні перевірки та визначати порядок їх проведення; надано доступ до персональних даних, якого ДСЗПД не мала; право затверджувати нормативно-правові акти у сфері захисту персональних даних тощо. Крім цього, згідно Закону від 1.01.14 р. було скасовано обов'язкову реєстрацію баз персональних даних і введено вимогу лише про повідомлення “Омбудсмена” щодо обробки персональних даних володільцем цих баз даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних. Однак, на той час, законодавством не були врегульовані питання ліквідації Державної служби України з питань захисту персональних даних, що призводило до певної невизначеності та дублювання функцій.

У наступних змінах до Закону від 2015 року було уточнено лише повноваження “Омбудсмена”, а в останній редакції Закону України “Про захист персональних даних” від 06.12.16 р. № 1774-VIII було закріплено зміни, що надавалися у попередніх редакціях (2012 - 2013 років) та внесено редакційні правки до окремих статей.

Такими є основні етапи формування національного законодавства та системи захисту персональних даних в Україні.

Загалом, за нашими оцінками, у сфері захисту персональних даних в Україні головна проблема нині полягає у відсутності ефективної загальнодержавної системи захисту персональних даних, належного організаційно-правового механізму регулювання відносин та відповідальності за здійснення правопорушень у цій сфері. Зокрема, незважаючи на санкції (штрафи), що були введені Законом України “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних” від 01.01.12 р., практична організація моніторингу та притягнення до відповідальності за порушення законодавства не отримала системного характеру. Як слушно стверджують правоохоронці, у зв'язку з поєднанням загальних інформаційних ресурсів і персональних даних в одній базі даних предмет порушення відсутній, тому й розслідування порушень захисту даних є проблематичним.

Стосовно реального стану справ у сфері захисту персональних даних в Україні заслуговують на увагу деякі оцінки фахівців Національного інституту стратегічних досліджень при Президентові України [9], що аналізувалися спільно з вченими НДТ інформатики і права НАПрН України та інших закладів і установ, а саме:

- сучасні інформаційно-комунікаційні технології активно сприяють постійному збільшенню обсягів та несанкціонованому поширенню персональних даних громадян, які обробляються, у т.ч. без їх відома;

- сучасна (національна - Авт.) модель не дає жодних гарантій захисту персональних даних;

- пересічні громадяни демонструють байдужість до власних персональних даних і недостатній рівень розуміння необхідності їх захисту;

- стрімко поширюється прірва між безпрецедентними можливостями сучасного Інтернет-середовища і традиційними, “доцифровими” юридичними нормами і практиками, базованими на традиційному уявленні про межі й засоби забезпечення приватності життя людини.

Після ухвалення Закону України від 01.06.10 р. опрацювання проблем захисту персональних даних в Україні продовжувалося у НДІ інформатики і права НАПрН України та ін. вченими. Робота спрямовувалася на вирішення актуальних питань становлення інформаційного суспільства та інформаційного права, забезпечення інформаційної безпеки, захисту прав людини в інформаційній сфері в контексті євроінтеграції України, результати якої отримали віддзеркалення у низці публікацій (див. [2; 6; 7; 9 - 18]).

Результати досліджень свідчать, що Конвенція Ради Європи “Про захист осіб у зв'язку з автоматизованою обробкою персональних даних” від 28.01.81 р. № 108, яка з 2010 року є складовою частиною законодавства України, продовжує виконувати функцію одного з головних правових стандартів, що визначає міжнародні принципи забезпечення прав і свобод людини у сфері захисту персональних даних.

Як зазначалося, у травні 2016 року Європейський Парламент і Рада ЄС затвердили нові правила і порядок захисту персональних даних - “Пакет захисту даних”, який передбачає створення умов забезпечення сильної і більш узгодженої структури захисту персональних даних в Союзі та включає наступні документи:

- Регламент (ЄС) 2016/679 від 27.04.16 р. “Про захист фізичних осіб у зв'язку з обробкою персональних даних і про вільне переміщення таких даних, а також про скасування Директиви 95/46/ЄС (Загальні Положення про захист даних) ” [19];

- Директиву (ЄС) 2016/680 Європейського Парламенту і Ради від 27.04.16 р. “ Про захист фізичних осіб у зв'язку з обробкою персональних даних компетентними органами в цілях запобігання, розслідування, виявлення злочинів або переслідування злочинців, виконання кримінальних покарань, а також про вільне переміщення таких даних, і скасування Рамкового рішення Ради 2008/977/ПВД” [20];

- Директиву (ЄС) 2016/681 Європейського Парламенту і Ради від 27.04.16 р. “Про використання даних записів реєстрації пасажирів (PNR) для профілактики, виявлення, розслідування і судового переслідування злочинів терористичного характеру і важкого злочину ” [21].

З 25 травня 2018 року передбачається введення в дію вказаного “Пакету захисту даних” в усіх державах-членах ЄС, які до цього часу мають привести національне законодавство у повну відповідність з положеннями нових правил.

Основні принципи обробки персональних даних, наведені у документах “Пакета захисту даних”, визначають, що персональні данні повинні:

1) оброблятися законно, справедливо і в доступній формі по відношенню до суб'єкта даних (“законність, справедливість і прозорість”);

2) збиратися для певної, конкретної і законної мети і не піддаватися додатковій обробці, яка несумісна з цією метою; подальша обробка для цілей архівації, з метою наукових, дослідницьких, історичних і статистичних цілей не може бути несумісною з початковою метою (“цільове обмеження”);

3) бути адекватними і обмежуватися тими даними, які відповідають і необхідні для досягнення цілі, для яких вони обробляються (“зведення до мінімуму даних”);

4) бути точними і, при необхідності, постійно підтримуватися в актуальному стані; неточні персональні дані, з урахуванням цілі, для якої вони обробляються, слід видаляти або виправляти без затримки (“точність”);

5) зберігатися у формі, що дозволяє ідентифікувати суб'єкта даних не довше, ніж це необхідно для цілі, для якої вони обробляються; персональні дані можуть зберігатися протягом тривалішого періоду виключно для цілей архівації, інтересів наукових, дослідницьких, історичних і статистичних цілей (“обмеження зберігання”);

6) оброблятися так, щоб забезпечити належний захист персональних даних, включаючи захист від несанкціонованої або незаконної обробки, випадкової втрати, знищення або пошкодження, з використанням відповідних технічних або організаційних заходів (“цілісність і конфіденційність”).

Нові правила мають застосовуватися до обробки даних фізичних осіб у компаніях, організаціях, підприємствах, які розміщуються не лише на території ЄС, але і здійснюють свою діяльність за його межами та пов'язані з обробкою персональних даних в рамках ЄС.

В контексті зазначеного вважаємо за необхідне звернути увагу на проблему впровадження у законодавство права приватної власності людини на свої персональні дані.

Будь-які відомості про фізичну особу є особливим видом умовно визначеної власності, що юридично виступає у формі права приватної власності людини та ототожнює собою право на її самовизначення та повагу до себе, монополія на власність якої обмежується Законом в інтересах дотримання прав і свобод інших осіб, а також в інтересах національної безпеки. Звідси випливає, що ніхто не вправі вимагати від людини та використовувати її персональні дані, якщо вона не дала на це згоду або якщо вимогу про доступ до персональних даних чітко не визначено законом. Важливим є те, що зазначене має бути визначено саме законом - за цих обставин державні органи не будуть мати можливості визначати рівень захисту персональних даних у відповідній галузі за допомогою підзаконних актів, незважаючи на наявність у державі базового закону та вимог європейських правових стандартів.

Також варто звернути увагу на світовий досвід, який свідчить, що в країнах, де право приватного власника захищене, спостерігаються тенденції до більш активного розвитку економіки, громадянського суспільства, а демократичні принципи не ставляться під сумнів. Поряд з цим, у державах, де ефективної системи захисту прав приватних власників не існує або ця система є декоративною (зокрема, в інформаційній сфері), виникають ті чи інші проблеми у різних галузях життєдіяльності людини, суспільства і держави.

Нині серед правників іноземних держав набуває поширення теорія про те, що капітал (“багатство”) - це лише інформація про закріплені (оформлені) права власності на рухоме і нерухоме майно, на грошові кошти чи інші матеріальні активи (у банках, біткойнах тощо). Ця інформація повинна бути добре захищена. Якщо в країні належного захисту права власності на комерційну інформацію не існує (наприклад, ненадійність банківської системи, яка не захищає вкладені в банк гроші або персональні дані про їх вкладників тощо), то з такої країни капітали “витікають”, а грошові кошти та інші ресурси, що залишаються в ній, не працюють на національну економіку. Тому, як видається, право власності на інформаційні ресурси та, зокрема, на персональні дані, повинно захищатися так само, як і права на інші об'єкти, що мають майновий зміст.

Узагальнення нових правил організаційно-правового захисту персональних даних у Європейському Союзі передбачає наступне. За Регламентом ЄС 2016/679 від 27.04.16 р. створюється Рада Європи із захисту даних, як окремий орган ЄС, який є юридичною особою. Склад Ради формується з представників контролюючих (наглядових) органів кожної держави-члена ЄС, Європейського супервайзера (Європейський інспектор) по захисту даних та представника Європейської Комісії (призначає голову Ради).

Згідно з положеннями Конвенції № 108 Ради Європи від 1981 р. та “Пакету захисту даних” Європейського Союзу від 2016 року в усіх країнах-членах ЄС та країнах, пов'язаних економічними відносинами с державами-членами ЄС, мають бути утворені спеціальні державні інститути (один або декілька) із нагляду та контролю за дотриманням прав у сфері захисту персональних даних.

Організаційно-правове та методологічне забезпечення мають здійснювати національні уповноважені органи нагляду (Омбудсмен чи Уповноважений) із захисту персональних даних, які є незалежними та підпорядкованими закону, підзвітними парламенту, у організаційних питаннях можуть бути підконтрольними уряду. Національні уповноважені органи призначають контролерів, які визначають цілі і засоби обробки персональних даних, що здійснюється фізичною або юридичною особою, державним органом, установою або іншим органом (“процесором”), що обробляє персональні дані за його дорученням. Кожен контролер (“процесор”) на підприємствах та в організаціях з чисельністю працівників більше 250 осіб повинен вести облік діяльності з обробки персональних даних. У корпораціях, підприємствах, організаціях тощо усіх форм власності має бути призначений спеціаліст із захисту даних. Він може бути штатним співробітником контролера або процесора, або виконувати цю роботу на підставі договору.

Держави-члени ЄС, національні наглядові органи повинні заохочувати розробку кодексів поведінки у сфері захисту персональних даних та створення механізмів сертифікації захисту даних, з урахуванням специфіки галузей діяльності і конкретних потреб корпорацій, підприємств тощо, а також здійснювати моніторинг їх виконання.

Як свідчить аналіз, запровадження запропонованого Європейською Комісією нового порядку захисту даних може викликати критичні зауваження стосовно того, що введення його в дію ускладнює старі проблеми та можливості їх вирішення на практиці. Г оловне полягає в тому, що реалізація положень нового порядку захисту даних потребує нових підходів та всеосяжних змін ділової практики не тільки у державах-членах ЄС, але й в усіх інших країнах - партнерах держав ЄС, у більшості з яких рівень захисту персональних даних і раніше не завжди відповідав положенням європейських правових стандартів.

Об'єктивна необхідність вдосконалення захисту прав людини у цій сфері визначається поширеним чинником неправомірних і несанкціонованих дій з персональними даними, які продовжують мати місце на міжнародному і національному рівнях. Сучасне поширення використання новітніх інформаційних технологій типу Інтернету речей, Хмарних технологій, Великих Даних та їх конвергенція (див. [13; 18; 14; 17]), вирішення проблеми захисту персональних даних значно ускладнили. Нині зазначені технології вважаються перспективними, але не мають достатнього рівня захисту даних та опрацьованих правових формул його забезпечення. Це вимагає додаткових ресурсів і пошуку нових ідей у підвищенні правової ефективності захисту персональних даних.

Також варто звернути увагу на те, що згідно з положеннями розглянутих документів Ради Європи та Європейського Союзу персональні дані в будь-якому випадку не повинні потрапляти до загальнодоступних інформаційних ресурсів. Саме звідси виникла ідея організаційного розмежування діяльності з даними, які містять персональну інформацію, і введення окремих посад щодо їх кураторства в державах- членах Ради Європи та Європейського Союзу. Однак, на практиці порушення загальних принципів захисту даних продовжують мати місце.

Розглянемо деякі прикладні аспекти щодо реформування і розвитку системи захисту персональних даних. Виходячи з розподілу повноважень та загальноприйнятих функцій, які існують в адміністрації вищих європейських інституцій, і за аналогією в більшості європейських країн, у Раді Європи (//www.coe.fr) діють Уповноважений з прав людини (“Омбудсмен”, від швец. - “представник, захисник народу”), який призначається та звітує перед Європейською Комісією з прав людини (//www.dhcommhr.coe.fr), та

Комісар із захисту персональних даних (“Уповноважений з питань захисту персональних даних”) (//www.coe.fr/dataprotection) - призначається та звітує перед Парламентською Асамблею Ради Європи (//www.stars.coe.fr). Керівники вказаних інститутів Ради Європи підпорядковуються безпосередньо Г енеральному секретарю Ради Європи.

В Європейському Союзі (//www.europa.eu.int) функціонують Європейський Омбудсмен (з прав людини) - призначається та звітує перед Європейським Парламентом (//www.euro-ombudsman.eu.int), та Європейський супервайзер із захисту даних (“Європейський інспектор із захисту даних”) - призначається та звітує перед Європейським Парламентом і Радою ЄС (//www.edps.eu.int). Інститут контролю Супервайзера є окремим юридичним органом Європейського Союзу.

Комісар із захисту персональних даних, з відповідною організаційною структурою (органом контролю), має вирішувати усі питання щодо захисту персональних даних, особливо враховуючи розвиток інформаційно-комп'ютерних та телекомунікаційних мереж, з метою забезпечення поширення та захисту інформаційних ресурсів.

У контексті зазначеного цікавим видається досвід європейських країн щодо побудови системи захисту персональних даних, наведений у Табл 1.

Табл. 1. Організація захисту персональних даних у країнах-членах Ради Європи та Європейського Союзу

Країна	Дата підпису Конвенції РЄ № 108	Назва закону, дата прийняття	Наявність реєстрації баз даних	Органи організації захисту персональних даних
Австрія	28.01.81 р.	Про захист даних, 1978 р., з дод. 1987 та 2000 рр.	усі дані	Рада (політичних спостерігачів) захисту даних та Комісія (нагляду) із захисту даних. Підзвітна Парламенту.
Бельгія	08.12.82 р.	Про захист даних, 07.05.82 р.	усі дані	Комісія (нагляду) із захисту приватності. Підзвітна Парламенту.
Велика Британія	14.05.81 р.	Про захист даних, 12.07.84 р.	усі дані	Міністр із захисту даних. Комісар з інформації (регістратор захисту даних) - очолює Бюро захисту даних і регулятора інформаційного права у Великобританії та Суд з питань захисту даних.
Греція	17.02.83 р.	Про захист осіб з обробки даних, 09.11.87 р., з дод.1997 р.	усі дані	Рада із захисту даних та Омбудсмен із захисту даних.
Данія	28.01.81 р.	Про реєстри даних, Про захист даних, 08.06.82 р., з дод.2000 р.	деякі дані	Орган нагляду за даними (складається з Ради та Секретаріату). Підзвітний Парламенту.
Ірландія	18.12.86 р.	Про захист даних, 13.07.88 р.	деякі дані	Комісії Парламенту та Омбудсмени із захисту даних. Підзвітні Парламенту.
Ісландія	27.09.82 р.	Про захист персональна даних, 05.06.81 р., з дод. 2000 р.	усі дані
Іспанія	28.01.82 р.	Про регулювання автоматизованої обробки персональних даних, 29.10.82 р.	усі дані	Так само.
Італія	02.02.83 р.	Про захист осіб у зв'язку з автомати-зованою обробкою персональних даних, 01.02.82 р.	деякі дані	Омбудсмен із захисту даних.
Латвія	31.10.00 р.	Про охорону даних фізичних осіб, 2000 р.	деякі дані	Інспекція із захисту даних.
Нідерланди	21.01.88 р.	Про захист даних, 28.12.88 р., з дод. 2000 р.	деякі дані	Омбудсмен та Державний орган із захисту даних.
Німеччина	28.01.81 р.	Федеральні закони: Про захист даних, 1978 р.; Про подальший розвиток обробки даних, 20.12.90 р., з дод.. 1997 р.	усі дані	Федеральна комісія Бундестагу із захисту даних та Комісар із захисту даних - очолює Інститут Уповноваженого з питань захисту персональних даних. Виборна державна посада, встановлена Законом, на правах єдиноначальності і повної незалежності від владних структур. Має право нагляду за діяльністю в будь-яких органах щодо обробки персональних даних. Підзвітний Бундестагу. Співпрацює з Міністром поліції з метою здійснення перевірок і припинення правопорушень в організаціях, підприємствах.
Норвегія	13.03.81 р.	Про реєстраторів персональних даних, 09.06.82 р.	деякі дані	Інспекторат даних та Омбудсмен із захисту даних.
Португалія	14.05.81 р.	Про захист персональних даних, 29.04.91 р.	усі дані	Національна комісія та Омбудсмен із захисту персональних даних.
Угорщина	13.05.93 р.	Про захист даних та доступ до інформації, яка має суспільний інтерес, 10.11.1992 р.	усі дані	Комісар із захисту інформації - очолює Інститут з питань захисту персональних даних. Призначається рішенням Парламенту.
Фінляндія	10.04.91 р.	Про файли персональ-них даних, 04.02.87 р., з дод. 1999 р.	деякі дані	Колегія із захисту даних та Омбудсмен із захисту даних.
Франція	28.01.81 р.	Про інформатику, картотеки та свободи, 06.01.78 р.	деякі дані	Національна комісія з питань обробки даних (інформатики) і свобод. Обирається та підзвітна Парламенту і Президенту.
				Уповноважений по інформатике - очолює Французьке агентство з питань захисту персональних даних. Призначається рішенням Прем'єр-міністра.
Швеція	28.01.81 р.	Про захист даних, 13.05.72 р., з дод.1988 та 1999 рр.	деякі дані	Інспекційна рада та Омбудсмен із захисту даних. Підзвітний Парламенту.
Швейцарія	02.10.97 р.	Про захист даних, 19.06.92 р.	деякі дані	Омбудсмен із захисту даних.
Естонія	24.01.00 р.	Про особисті документи, 2002 р.	деякі дані	Інспекція із захисту даних.



Загалом, у державах-членах Конвенції Ради Європи № 108 на національному рівні організаційно-правове забезпечення захисту персональних даних має здійснювати Уповноважений з питань захисту персональних даних та незалежний Орган нагляду (Додатковий протокол від 8.11.01 р. до п. 2 ст. 13 Конвенції Ради Європи № 108).

Згідно правил нового порядку захисту персональних даних в державах -членах ЄС (Глава VI Регламенту (ЄС) 2016/679 від 27.04.16 р.), кожна держава-член повинна мати незалежний Контролюючий орган (SA), для розслідування скарг, застосування санкцій з правопорушень, співробітництва з іншими SA, забезпечуючи взаємну допомогу і організацію сумісних операцій.

Також, у багатьох державах-членах Ради Європи та ЄС створені колегіальні органи нагляду (контролю) за діяльністю Уповноваженого органу, що мають назву - комісія, колегія чи рада із захисту даних. Поряд з цим, у березні 2017 року голова Офісу Ради Європи в Україні Мортен Енберг висловив точку зору експертів Ради Європи, яка є, за його словами, ключовою у розподілі повноважень в інформаційній сфері [2 2]. Мова йде про інститут “Інформаційного комісара” - окремої незалежної інституції, яка має займатися захистом прав громадян, журналістів та громадських активістів у справах з доступу до інформації. Як вважається, Інформаційний комісар виконуватиме дві функції: забезпечення реалізації прав на доступ до публічної інформації та захисту персональних даних. Проте, впровадження системи інституту Інформаційного комісара потребує внесення змін у національне законодавство (точніше, в Конституцію), а на практиці (у Угорщині) показала малу ефективність.

Сьогодні для України нагальною є необхідність впровадження нових стандартів ЄС з питань захисту персональних даних. Головне полягає у тому, що організація захисту прав людини у сфері персональних даних вимагає визначення особливих повноважень і можливостей щодо моніторингу, контролю та регулювання інформаційних відносин різних суб'єктів Уповноваженим із захисту персональних даних в Україні, за умов незалежності від впливу владних структур (можливо, на прикладі Німеччини).

При цьому, слід звернути увагу на вимоги п. 10 Преамбули Регламенту (ЄС) 2016/679 від 27.04.16 р. згідно з якою “держави-члени можуть мати декілька законів для конкретних секторів у тих сферах, які потребують конкретніших положень ”. Це може стосуватися інших актів “Пакету захисту даних” ЄС. А саме: Директиви (ЄС) 2016/680 від 27.04.16 р. “Про захист фізичних осіб у зв'язку з обробкою персональних даних компетентними органами в цілях запобігання, розслідування, виявлення або переслідування злочинців злочину, виконання кримінальних покарань, а також про вільне переміщення таких даних, і відміни Рамкового рішення Ради 2008/977/ПВД” (Директива

ЄС “Поліція і органи юстиції”) та Директиви (ЄС) 2016/681 від 27.04.16 р. “Про використання даних записів реєстрації пасажирів (PNR) для профілактики, виявлення, розслідування і судового переслідування злочинів терористичного характеру і важкого злочину ” (Директива ЄС “Використання даних записів реєстрації пасажирів (PNR)”.

Також варто врахувати положення абз. 6, 7 Преамбули Регламенту (ЄС) 2016/679 від 27.04.16 р., де зазначено: “Масштаби збору і сумісного використання персональних даних значно зросли. Технології дозволяють приватним компаніям і державним органам використовувати персональні дані в безпрецедентних масштабах. ... Технологія змінила як економіку так і соціальне життя, і повинна додатково полегшити вільний потік персональних даних в межах Союзу і передачі в треті країни і міжнародні організації, забезпечуючи при цьому високий рівень захисту персональних даних. Ці обставини вимагають сильної і більш узгодженої структури захисту персональна даних в Союзі, за підтримки сильного примушення ”.

Висновки і пропозиції.

Результати дослідження та узагальнення приписів правових стандартів захисту персональних даних у законодавстві держав-членів Ради Європи, Європейського Союзу та реального стану захисту персональних даних в Україні дають змогу:

1. Дійти таких загальних висновків:

* персональні дані, як найбільш чутлива, делікатна та важлива для людини інформація, посідають особливе місце в інформаційних відносинах. Проблема їх захисту і поширення протягом всього життя супроводжує людину та пронизує усі сфери діяльності суспільства і держави. Від розуміння важливості й необхідності створення системи ефективного захисту персональних даних залежить спокій та благополуччя як окремої людини, так і суспільства та держави в цілому;

* сучасна система захисту персональних даних в Україні не гарантує захисту приватності та персональних даних людини і громадянина, не відповідає окремим положенням Конституції України та потребує приведення у відповідність до правових стандартів ЄС, що набувають чинності у травні 2018 року;

* узагальнення основних принципів захисту персональних даних, які відображаються у положеннях міжнародних стандартів, передбачає обов'язкове дотримання конкретних умов застосування персональних даних для будь -яких суб'єктів інформаційних відносин, за яких персональні дані повинні:

- бути доступними для суб'єкта даних;

- бути точними і оновлюватися;

- бути отримані законним способом;

- оброблятися лише з конкретною метою, за згодою на це суб'єкта даних та в кількості, мінімально необхідній для визначеної мети;

- використовуватися тільки згідно з визначеною метою;

- бути захищеними від несанкціонованого доступу та незаконної обробки.

Суб'єкт персональних даних має право на те, щоб не приймалося рішення, яке ґрунтується виключно на автоматизованій обробці його даних. Тобто, будь -яка обробка персональних даних повинна здійснюватися законно, бути справедливою і прозорою для суб'єкта даних, та виконуватися лише згідно з конкретно визначеною метою;

* в умовах розвитку інформаційних технологій та їх нових можливостей для тотального контролю за приватним життям людини найбільш реальні правові гарантії захисту персональних даних може надати впровадження інституту права приватної власності людини на свої персональні дані (більш детально див. [15]), що потребує подальшого теоретичного і правового опрацювання;

* законодавство з питань захисту персональних даних в Україні, як і в більшості країн світу, ще не досягло своєї зрілості, навіть на термінологічному рівні. Повна відповідність національних законодавств країн-членів ЄС щодо захисту персональних даних сучасним правовим стандартам ЄС також не досягнута. Проблема неправомірних і несанкціонованих дій у сфері персональних даних фізичних осіб залишається вкрай актуальною в юридичному і практичному відношенні.

2. Поставити проблему розробки і впровадження в Україні нової моделі захисту персональних даних, основними складовими якої можуть бути:

* розробка ефективної державної політики з питань захисту персональних даних відповідно до правових стандартів ЄС, що затверджується Верховною Радою України та розвиток парламентського контролю у цій сфері;

* створення інституту Уповноваженого з питань захисту персональних даних, підзвітного Верховній Раді України, основними функціями якого можуть бути здійснення контролю, удосконалення законодавства з питань захисту персональних даних та взаємодія з уповноваженими органами РЄ та країн-членів ЄС з питань захисту даних;

* покладання на Міністерство юстиції України чітко визначених виконавських функції з питань захисту персональних даних в Україні згідно Закону України від 6.07.10 р. № 2438-VI [8] щодо ратифікації Конвеції Ради Європи № 108 та Додаткового до неї протоколу від 8.11.01 року, у т.ч. шляхом створення окремого функціонального підрозділу у складі апарату міністерства і його територіальних органів або відновлення Державної служби (агентства) України з питань захисту персональних даних, діяльність якої скеровуватиметься через Мін'юст України;

* віднесення до компетенції Державного бюро розслідувань України проведення досудового слідства щодо правопорушень, які стосуються захисту персональних даних, а також покладання на Національну поліцію України функції сприяння у проведенні перевірок та розслідування правопорушень у цій сфері;

* опрацювання питання (з урахуванням п. 20 Преамбули Регламенту (ЄС) 2016/679, що його правила застосовуються у діяльності судів та інших судових органів, а також досвіду Суду із захисту даних Великої Британії) про створення окремих судових палат у складі апеляційних судів і Верховного Суду України або створення Спеціалізованого інформаційного суду з можливим покладанням на вказані органи розгляду справ щодо порушення права приватності життя людини і захисту персональних даних, правопорушень у сфері обігу інформації, надання доступу до публічної інформації, діяльності засобів масової інформації та використання інформаційно-комунікаційних систем і мереж, єдиних державних реєстрів та інформаційних ресурсів, роботи з інформацією, що становить державну таємницю або містить відомості з обмеженим доступом тощо;

* запровадження в органах, установах, закладах, підприємствах та організаціях (згідно з нормами ЄС) посад фахівців з питань захисту персональних даних або покладання цих функцій на окремих працівників цих організацій.

3. Запровадити системні зміни до національного законодавства з питань захисту персональних даних, зокрема щодо:

* імплементації правових стандартів ЄС з питань захисту персональних даних, визначених законодавством ЄС, зокрема, Регламентом (ЄС) 2016/679 від 27.04.16 р., Директивою (ЄС) 2016/680 від 27.04.16 р. Європейського Парламенту і Ради,

Директивою (ЄС) 2016/681 від 27.04.16 р. Європейського Парламенту і Ради та внесення необхідних змін до законодавства України;

* внесення змін до базово-рамкового Закону України “Про захист персональних даних”, а також до галузевих законів, у яких норми базового Закону мають бути деталізовані, не виходячи за юридичні рамки його цільового та функціонального призначення;

* приведення понятійного апарату, визначеного Законом України “Про захист персональних даних”, у відповідність до визначень понятійного апарату у актах “Пакету захисту даних” ЄС 2016 року;

* запровадження в органах, організаціях, підприємствах (зокрема, для контролерів, процесорів та фахівців із захисту даних) організаційно-розпорядчих документів щодо організації захисту персональних даних, а також удосконалення механізмів сертифікації автоматизованих засобів захисту персональних даних (з урахуванням Розділу 5 Регламенту (ЄС) 2016/679;

* затвердження Кодексів поведінки у сфері захисту персональних даних та поширення їх принципів у органах, організаціях, підприємствах тощо будь-якої форми власності;

* опрацювання питання щодо юридичного визначення понять “власник персональних даних”, “право приватної власності на персональні дані”, в основу яких може бути покладену таку редакцію:

- власник персональних даних - громадянин України, іноземний громадянин, особа без громадянства, які мають право приватної власності на свої персональні дані;

- право приватної власності на персональні дані - встановлене законом право людини і громадянина володіти, користуватися і розпоряджатися даними про свою особу, а також право визначати порядок їх використання іншим суб'єктам, крім випадків, визначених законом України;

* включення до Закону України “Про захист персональних даних” нову статтю такого змісту:

Право приватної власності

Право приватної власності на персональні дані є невід'ємне, недоторкане і невідчужуване.

Право приватної власності на персональні дані має кожна дієздатна особа. Реалізація права власності на персональні дані недієздатною особою здійснюється її повноважним представником. Права неповнолітнього щодо його персональних даних здійснює його повноважний представник.

Забороняється обробка персональних даних без попередньої на це згоди власника персональних даних, за винятком випадків, передбачених законами України.

Кожна особа має право ознайомитись зі своїми персональними даними або вилучити їх з інформаційних ресурсів, баз даних, інформаційних мереж, крім випадків, визначених законами України.

Право приватної власності на персональні дані охороняється Законом.

4. Організувати наукову розробку актуальних проблем захисту персональних даних, зокрема щодо:

* теоретико-правових проблем захисту приватності та права приватної власності людини на свої персональні дані, як складових загальної системи захисту прав людини;

* пошуку балансу між забезпеченням права приватності життя та власності людини на її персональні дані і потребою реалізації визначених законами функцій держави, що здійснюються в інтересах національної безпеки, захисту прав і безпеки людини;

* правового обмеження дій органів, установ, закладів, підприємств та організацій щодо вимагання у громадян їх згоди на вільне збирання, обробку і передачу третім особам їх персональних даних без письмової згоди та попереднього повідомлення цих осіб про кожну таку дію;

* закріплення прав громадян контролювати та відкликати, уточнювати чи видаляти свої персональні дані в будь-яких системах і базах даних (крім державних реєстрів), а також у глобальних комунікаційних мережах.



Використана література

1. Про захист персональних даних : Закон України від 01.06.10 р. № 2297-VI // Відомості Верховної Ради України (ВВР). - 2010. - № 34. - Ст. 481.

2. Сучасні основи захисту персональних даних в європейських правових актах / В.М. Брыжко // Інформація і право. - № 3(18)/2016. - С. 45-57.

3. Баранов А.А. Персональные данные : есть ли проблемы? / “Зеркало недели”, 15.6.96 г.

4. Системна інформатизація правоохоронної діяльності : європейські нормативно-правові акти та підходи до упорядкування суспільних інформаційних відносин у зв'язку з автоматизованою обробкою даних у правоохоронній діяльності : посібник. - Кн. 2 / [В.М. Брижко, М. Швець та ін.] ; за ред. д.е.н., професора М. Швеця. - К. : ТОВ “Пан Тот”, 2006 р. - 509 с.

5. Защита персональных данных / А. Баранов, В. Брыжко, Ю. Базанов. - (Национальное агентство по информатизации при Президенте Украины). - К. : ВАТ КП ОТИ, 1998. - 128 с.

6. Економічні та правові аспекти захисту персональних даних / В.М. Брыжко // Правова інформатика. - № 1(29)/2011. - С. 25-33; Захист персональних даних : реалії та практика сучасності / В.М. Брижко // Інформація і право. - № 3(9)/2013. - С. 31-48.

7. Про зняття з розгляду Верховною Радою України законопроекту “Про інформацію персонального характеру” (законопроект нар. депутата України О. Задорожного) / В.М. Брыжко // Правова інформатика. - № 2(6)/2005. - С. 52-64.