Методологічні аспекти класифікації персональних даних

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Методологічні аспекти класифікації персональних даних

Ключевые слова: информация, персональные данные, персонифицированная информация.

Важливість класифікації персональних даних полягає у необхідності визначення окремих режимів доступу до окремих видів персональної інформації. На сьогоднішній день класифікація персональних даних відсутня у законодавстві України. Для забезпечення прав громадян у сфері захисту персональних даних потрібно визначити на законодавчому рівні види, групи, критерії класифікації персональних даних, що, в свою чергу, надає можливості визначити і режим доступу до такої інформації.

Європейський досвід, зокрема таких країн, як Німеччина, Франція, Великобританія, Бельгія, свідчить про існування критерію «чутливості» даних. За таким критерієм дані поділяються на три види: загальні дані; чутливі дані, особливо чутливі дані. До першої категорії (загальні дані) відносяться дані збір, обробка і використання яких, можливе без отримання спеціального дозволу але використання таких персональних даних повинно відбуватися лише в режимі визначеному національним законодавством. Інша група даних («чутливі» персональні дані») характеризується тим, що збір, обробка та використання та передача таких даних потребують особливих заходів безпеки. Такі заходи повинні визначатись національним законодавством і мати чітко виражений характер. Третя група («особливо чутливі» персональні дані) характеризується або повною забороною використання таких даних, або використання повинно відбуватися у чітко визначених випадках з спеціальними гарантіями захисту і безпеки такої інформації. До «чутливих» персональних даних можна віднести наступну інформацію: банківська інформація (дані); дані з кредитних або фінансових звітів; кредитні історії; дані про арешти; дані про освіту або трудову діяльність особи (особливо дані про здібності та якості особи); медичні дані, податкові дані. «Особливо чутливі» персональні дані, які потребують більш високого рівня захисту, у порівнянні з іншими групами, можуть окремо визначатися національним законодавством конкретної країни, але, як правило, до цієї категорії відносяться наступні дані: расове і етнічне походження, релігійні та політичні переконання, членство в професійних асоціаціях, членство у політичних чи громадських організаціях, стан здоров'я, особливості сексуальної поведінки, відомості про притягнення до кримінальної відповідальності (дані про прийнятий обвинувальний вирок суду у кримінальній справі).

В.П. Іванський аналізує застосування критерію «чутливості» на прикладі бельгійського законодавства, яке визначає систему захисту персональних даних. У Бельгії володілець (контролер) файлів (даних) повинен дотримуватись особливо чітких і визначених правил обробки і використання трьох категорій персональних даних: «особливо чутливих» даних; медичних даних; судових даних. Медичні й судові дані відносяться до категорії «чутливих» даних. Бельгійське законодавство закріплює найбільшу ступінь захисту даним, пов'язаним з расовим і етнічним походженням, політичним поглядами і діями, релігійним або філософськими переконаннями, членством у будь-якому професіональному або трудовому союзі, а також приналежністю до державної служби охорони здоров'я. Всі, вище перераховані, дані визначаються законом «високочутливими даними». Володілець (контролер) файлів (даних) може обробляти таку категорію інформації лише для визначених цілей. Слід відзначити, що бельгійське законодавство забороняє будь-якому контролеру файлів сбір «високочутливих» медичних, кримінальних або судових даних для передачі такої інформації за кордон з метою обробки на території закордонної держави. Така вимога Ґрунтується на положеннях бельгійського законодавства, яке передбачає заборону обробки і передачі таких даних в межах території Бельгії¹.

Актуальною є можливість врахування досвіду Російської Федерації у класифікації видів і груп персональних даних. Вагомий вклад у цьому напрямку зроблений А.В. Кучеренко. Відповідно до російського інформаційного законодавства будь-яка інформація поділяється на загальнодоступну інформацію і інформацію, доступ до якої обмежений федеральними законами - інформація з обмеженим доступом. Враховуючі положення законодавства Російської Федерації і виходячи з зазначеної класифікації, персональні дані відносяться до інформації, доступ до якої обмежений законом «Про персональні дані». Цей закон був прийнятий на виконання міжнародних зобов'язань і імплементацію міжнародних стандартів у сфері правого регулювання обігу і захисту персональних даних. Це поклало початок створенню в Російській Федерації необхідного правого забезпечення реалізації прав громадян, захисту суспільних і державних інтересів у сфері використання персональних даних².

Закон містить певний перелік персональних даних (прізвище, ім'я, по-батькові, рік, місяць, дата і місце народження, адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи та інша інформація). Але треба визнати, що такий перелік не є вичерпним.

Лише в процесі аналізу всіх норм Федерального закону «Про персональні дані» можна визначити поділ персональних даних на спеціальні, біометричні й дані загального характеру³.

Відповідно статті 6 Конвенції Ради Європи «Про захист фізичних осіб при автоматизованій обробці персональних даних» персональної інформації відносяться дані, що стосуються расової приналежності, політичних поглядів або релігійних і інших переконань, здоров'я чи статевого життя, а також дані про судимість⁴. У європейській практиці ці дані іменуються як «чутливі» персональні дані, а в статті 10 Федерального закону РФ «Про персональні дані» така категорія даних іменується «спеціальні персональні дані». Важливо зазначити, що перелік «спеціальних персональних даних» дещо розширений у порівнянні з переліком зазначеним у Конвенції. В РФ цей перелік доповнений даними про національну належність і даними про філософські переконання.

Відповідно до Конвенції, автоматизована обробка спеціальної категорії персональних даних заборонена у випадку відсутності на рівні національного законодавства гарантій забезпечення безпеки обробки персональної інформації.

Н.І. Петрикіна пропонує альтернативний шлях вирішення цієї проблеми, а саме запровадити легальний поділ персональних даних на наступні категорії: персональні дані, які перебувають у вільному обігу (П.І.Б., адреса, номер телефону, електронна пошта); персональні дані, які перебувають в обмеженому обігу (реєстраційні номери, дата народження, освіта, сімейний стан, наявність дітей, стан здоров'я та ін.); персональні дані, які обертаються у спеціальних цілях (дані про усиновлення (удочеріння ), біометрична інформація); персональні дані, які заборонені до обігу (спеціальні персональні дані). А.В. Кучеренко зазначає, що даний підхід є невдалим, обґрунтовуючи це тим, що запровадження такої підстави виділу груп персональних даних не є можливим⁵.

Самостійну класифікацію персональних даних було запропоновано В.Я. Іщейновим. Зазначений підхід передбачає поділ персональних даних на дві категорії: фізичні і фізіологічні персональні дані. Окремо розглядаються співвідносні дані. Перелік даних людини, які традиційно відносять до біометричних даних, автором значно розширюється. До числа фізичних і фізіологічних даних В.Я Іщейнов відносить: стать, вік, зріст, масу тіла, склад крові, склад ДНК, будова сітківки очей, цифровий образ особи, наявність або відсутність будь-яких пластичних операцій, відбитки пальців, відбитки долонь, сексуальну орієнтацію, апперцепцію, стан нервової системи, хронічні захворювання, відсутність будь-яких органів або частин тіла, наявність патологічних змін в організмі людини, індивідуальні особливості (гіпноз, телепатію тощо). До категорії співвідносних персональних даних автором віднесені наступні дані: місце і дату народження, расове і етнічне походження, національність, соціальне походження, сімейний стан, наявність і кількість дітей, місце роботи, займана посада, рівень зарплати, адреса прописки, адреса місця проживання, контактні телефони (домашні, службові, стільникові), громадянство, наявність судимості, наявність родичів (у тому числі за кордоном), наявність власності (в тому числі за кордоном), політичні погляди, релігійні та філософські переконання, дані паспорта або інших документів, що засвідчують особу, наявність закордонного паспорта, ідентифікаційні номери (медичного, пенсійного страхування, платника податків тощо), коло знайомств, хобі⁶.

На нашу думку, потрібно виділити класифікацію запропоновану І. Оніщенком, який виділяє види персональних даних за різними класифікаційним ознаками. За характером виникнення: об'єктивні та суб'єктивні відомості про фізичну особу. До об'єктивних відносяться біометричні дані, дані фінансового характеру (банківський рахунок, інформація про кредит). До суб'єктивних даних про фізичну особу автор відносить інформацію, яка характеризує особисті якості особи (характеристика, дані атестації, автобіографічні дані). За джерелами виникнення інформація поділяється на первинну і вторинну інформацію.

Первинна інформація - це відомості отриманні безпосередньо від особи або відомості , які перебувають у вільному доступі. Вторинна інформація, як правило, отримується з сформованих баз даних. За способом фіксації інформації, автор виділяє інформацію зафіксовану на папері або зафіксовану в електронній формі. В паперовій формі інформація може міститися в картотеках, каталогах, довідниках, а в електронній формі, інформація може бути об'єктивована на магнітних, оптичних електронних носіях.

За способом об'єктивізації (обробки) персональні дані можуть перебувати у текстовій формі (цифровій та/або буквеній), у графічній формі та відомості у фото форматі, аудіо форматі або у формі поєднання всіх способів обробки і об'єктивізації інформації. Наступним критерієм поділу персональних даних є режим правового регулювання. Автор пропонує виділяти персональні дані з загальним режимом правового регулювання і персональні дані з особливим режимом правового регулювання. До першої категорії відноситься більшість персональних даних. До персональних даних з особливим режимом правового регулювання відносяться дані наступного характеру: відомості про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, відомості, що стосуються здоров'я чи статевого життя, особи, тощо).

За термінами обробки персональні дані поділяються на безстрокові (термін обробки і використання не визначений), довгострокові (терміном використання до сімдесяти років), середньострокові (терміном використання визначений до десяти років) та коротко строкові з терміном використання до трьох років. Класифікація даних за рівнем зв'язку з особою поділяє персональні дані на інформацію, що безпосередньо стосується особи (запис у базі даних медичного закладу, банківський рахунок фізичної особи, особова справа працівника тощо) та інформацію, що пов'язана з особою опосередковано (записи відеоспостереження у громадських місцях, реєстраційний запис про право власності на об'єкт нерухомого майна тощо).

Наступна класифікація здійснюється автором на основі змісту⁷ відповідних персональних даних. До різновидів такої класифікації можна віднести наступні: дані, які ідентифікують особу (прізвище, ім'я, по-батькові); паспортні дані; освіта; біометричні дані (стать, колір шкіри, вага, зріст, біологічні особливості), психологічні відомості про особу; інтереси; характеристика особи споживача; сімейний стан; фінансова інформація; захоплення особи; звички; електронно-ідентифікаційна інформація про інтернет трафік особи; інформація про місцезнаходження особи отримана засобами GPS, GSM, відео запис з камер спостереження, звукозаписи тощо⁸.

Петрикіна Н.І. пропонує класифікацію, яка передбачає запровадження закритих переліків персональних даних у рамках окремого галузевого законодавства, які будуть використовуватися в окремих сферах правозастосування, залишивши при цьому в спеціальному законі лише загальні критерії віднесення інформації до персональних даних, а також принципи і умови їх обігу⁹.

Отже, всі підходи є виправданими і мають свої позитивні й негативні аспекти. Європейський підхід до класифікації персональних даних характеризується більш загальним способом класифікації персональних даних, на відміну від підходу запропонованим російським законодавством. Нині в світі існує чимало підходів до класифікацій персональних даних і в кожній країні є свої особливості визначення критерії класифікації. Найбільш прийнятним для України є досвід Бельгії, що, в свою чергу, відображає загальноєвропейський підхід до класифікації персональних даних. Основною підставою для класифікації персональних даних в європейських країнах є рівень вразливості даних, що, в свою чергу, визначає ступінь захисту такої інформації. Такий підхід, на нашу думку, є прийнятним для українського законодавця.

персональний дані інформація правовий

Література

1. Иванский В.П. Правовая защита информации о частной жизни граждан. Опыт современного правового регулирования: монография / Иванский В.П. - М.: Издательство РУДН, 1999. - С. 276.

2. Кучеренко А.В. Правовое регулирование персональных данных в Российской Федерации: дисс. ... канд. юрид. наук / А.В. Кучеренко. - Челябинск, 2010. - С. 191.

3. О персональных данных: Закон РФ № 152-ФЗ от 14 июля 2006 года в ред. Федеральных законов от 23.07.2013 N 205-ФЗ.

4. Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних: Міжнародний документ Ради Європи від 28 січня 1981 року; ратифікований Законом України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» № 383-VII від 6 липня 2010 року// ВВР України. -2014. - № 14. - Ст. 252.

5. Кучеренко А.В. Классификация персональных данных: теоретико-правовой аспект / А.В. Кучеренко // Политика и право. Ученые записки. - Вып. 9. - Благовещенск: УКЦ «Юрист», 2009. - С. 127.

6. Ищейнов В.Я. Персональные данные в законодательных и нормативных документах Российской Федерации и информационных системах / В.Я. Ищейнов // Делопроизводство. - 2006. - № 3. - С. 90.

7. Оніщенко О.В. Персональні дані працівників: деякі особливості використання / О. В. Оніщенко // Вісник Академії адвокатури України. - 2012. - Вип. 3. - С. 173.

8. Попов А.О. Зарубіжний досвід правового регулювання захисту відомчих інформаційних ресурсів / А.О. Попов // Форум права. - 2009. - № 3. - С. 515.

9. Петрыкина Н.И. Некоторые вопросы регулирования оборота персональных данных в Российской Федерации / Н.И. Петрыкина // Московский журнал международного права. - 2007. - № 2. - С.78.

Размещено на Allbest.ru