Електронне урядування та захист персональних даних

Размещено на http://allbest.ru

ЕЛЕКТРОННЕ УРЯДУВАННЯ ТА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

Волох О.К.,

к.ю.н., доцент кафедри публічного управління та адміністрування

Національна академія внутрішніх справ

У статті розглянуто питання, пов'язані з розвитком технологій електронного урядування. Досліджуються проблеми реалізації права особи на захист персональних даних у зв'язку з уведенням в дію законодавства про Єдиний державний демографічний реєстр. Аналізуються окремі аспекти державної інформаційної політики, спрямованої на виконання основних положень Концепції розвитку електронного урядування в Україні.

В статье рассмотрены вопросы, связанные с развитием технологий электронного управления. Исследуются проблемы реализации права человека на защиту персональных данных в связи с введением в действие законодательства о Едином государственном демографическом реестре. Анализируются отдельные аспекты государственной информационной политики, направленной на выполнение основных положений Концепции развития электронного управления в Украине.

ELECTRONIC GOVERNANCE AND PERSONAL DATA PROTECTION

The article deals with issues related to the development of e-governance technologies. The article examines the problems of the realization of the human right to the protection of personal data in connection with the introduction of legislation on the Unified State Demographic Register. Some aspects of the state information policy aimed at the implementation of the main provisions of the Concept of e-governance development in Ukraine are analyzed.

One of the main measures to ensure the development of e-governance in Ukraine, the Cabinet of Ministers of Ukraine identified:

- in the direction of the development of electronic identification - assistance in filling a Unified Demographic register and distributing passports of a citizen of Ukraine in the form of an ID-card;

- in the direction of developing electronic interaction - the dissemination of a unique record number in the register of a Unified Demographic register for data linking in various state registers and databases.

Finally, among the main tasks of ensuring the development of e-governance in such a basic industry of Ukraine as the field of protection of human rights and freedoms, defined - in the context of the introduction of information and telecommunication systems to support the adoption of managerial decisions and automation of administrative processes - again, the development of a Unified Demographic register.

Accordingly, the requirements of the European Parliament and Council Regulation (EU) 2016/679 were not complied with of 27.04.2016 on the protection of individuals with regard to the processing of personal data and the free movement of such data and the repeal of Directive 95/46/ EC (General Data Protection Regulation).

Key words: e-governance, information and communication technologies (ICT), information society, Unified State Demographic Register, personal data protection.

Одними з основних заходів із забезпечення розвитку електронного урядування в Україні Кабінет Міністрів України визначив такі:

- у напрямі розвитку електронної ідентифікації - сприяння наповненню єдиного демографічного реєстру та поширенню паспортів громадянина України у формі ГО-карти;

- у напрямі розвитку електронної взаємодії - поширення унікального номера запису в реєстрі єдиного демографічного реєстру для зв'язування даних у різних державних реєстрах і базах даних [1].

Нарешті, серед основних завдань із забезпечення розвитку електронного урядування в такій базовій галузі України, як сфера охорони прав і свобод людини, визначено в розрізі запровадження інформаційно-телекомунікаційних систем підтримки прийняття управлінських рішень та автоматизації адміністративних процесів знову-таки розвиток єдиного демографічного реєстру [1].

Крім того, пунктом 10 Плану заходів щодо реалізації Концепції розвитку електронної демократії в Україні проголошено «забезпечення розвитку електронної ідентифікації фізичних і юридичних осіб в державних інформаційно-телекомунікаційних системах», очікуваним результатом чого заплановано забезпечення наповнення єдиного демографічного реєстру та поширення паспортів громадянина України у формі lD-карти [2].

Згідно зі статтею 8 Конституції України, в Україні визнається й діє принцип верховенства права. Конституція України має найвищу юридичну силу. Закони та інші нормативно-правові акти приймаються на основі Конституції України й повинні відповідати їй.

Необхідно констатувати той факт, що Закон України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» від 20.11.2012 № 5492-VI (далі - Закон № 5492-VI) [3] порушує норми Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі - Закон № 2297-VI) [4] - рамкового закону у сфері захисту персональних даних.

Відповідно до частини 3 статті 6 Закону України № 2297-VI, склад і зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. У зв'язку із цим варто зазначити таке.

Відповідно до частини 2 статті 4 Закону № 5492-VI, визначені цим Законом уповноважені суб'єкти для обліку даних ведуть відомчі інформаційні системи.

Єдиний державний демографічний реєстр (далі - ЄДДР, Реєстр), згідно з частиною 5 статті 7, містить інформацію з ВІС (відомчих інформаційних систем) уповноважених суб'єктів, якими є, зокрема, органи виконавчої влади, інші державні органи, органи місцевого самоврядування (пункт 3 частини 1 статті 2).

Отже, відповідно до Закону № 5492-VI, усі центральні органи виконавчої влади (міністерства, державні служби, державні агентства, державні інспекції, а також центральні органи виконавчої влади зі спеціальним статусом), місцеві органи виконавчої влади (місцеві державні адміністрації, територіальні органи центральних органів виконавчої влади), інші державні органи (Національний банк України, Служба безпеки України, Генеральна прокуратура України тощо), органи місцевого самоврядування (обласні, районні, міські, сільські, селищні ради та їх виконавчі органи), які ведуть відомчі інформаційні системи, зобов'язані надсилати до ЄДДР інформацію, що містить персональні дані громадян України, іноземців та осіб без громадянства.

Необхідно наголосити на тому, що жодна норма Закону № 5492-VI не спростовує отриманих нами висновків.

Окрім інших персональних даних, із ВІС до Реєстру мають уноситися такі «чутливі» персональні дані:

1. Біометричні дані (зокрема відцифровані відбитки пальців рук особи).

Законом № 5492-VI передбачено, що відцифровані відбитки пальців рук особи після внесення до безконтактного електронного носія та видачі документа особі вилучаються з Реєстру та знищуються (абзац 2 частини 7 статті 7). Але тією самою статтею закріплено, що Порядок отримання, вилучення з Реєстру та знищення відцифрованих відбитків пальців рук установлює Кабінет Міністрів (далі - КМ) України.

Чинний Порядок отримання, вилучення з Єдиного державного демографічного реєстру та знищення відцифрованих відбитків пальців рук особи (в редакції Постанови КМ України від 18.08.2017 № 628) передбачає таке: «3. До Реєстру вносяться відцифровані відбитки вказівних пальців рук особи ...

Отримання відцифрованих відбитків пальців рук особи здійснюється шляхом сканування за допомогою спеціального обладнання, яке входить до складу засобів Реєстру уповноважених суб'єктів.

Після сканування відцифровані відбитки пальців рук особи засобами Реєстру уповноважених суб'єктів передаються до відповідного вузла відомчої інформаційної системи уповноваженого суб'єкта та Головного обчислювального центру Реєстру .

Про факт видачі документа в Реєстрі робиться відповідна відмітка. Після проставлення відмітки відцифровані відбитки пальців рук вилучаються та знищуються з відомчої інформаційної системи уповноваженого суб'єкта з інформуванням про це Головного обчислювального центру Реєстру, який вилучає та знищує такі відбитки з Реєстру.

Уповноважені посадові особи Державного центру персоналізації документів, Головного обчислювального центру Реєстру та уповноважених суб'єктів складають електронні акти вилучення відповідно з Державного центру персоналізації документів, Реєстру та відомчих інформаційних систем уповноважених суб'єктів, а також електронні акти знищення відцифрованих відбитків пальців рук особи.

Після вилучення та знищення відцифрованих відбитків пальців рук особи в Реєстрі зберігаються їх шаблони, які використовуються з метою ідентифікації особи для оформлення, видачі, обміну передбачених Законом України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» документів» [5].

Аналіз наведених норм Порядку отримання, вилучення з Єдиного державного демографічного реєстру та знищення відцифрованих відбитків пальців рук особи свідчить про те, що начебто з Реєстру зазначені відбитки вилучаються та знищуються, а зберігаються в Реєстрі тільки їх шаблони.

Але, по-перше, згідно зі статтею 5 Закону № 5492АІ, Реєстр є функціонально єдиною системою, що складається з головного та резервного обчислювальних центрів і вузлів уповноважених суб'єктів. По-друге, за змістом частини 5 статті 6, резервний обчислювальний центр забезпечує надійність збереження інформації центральної бази даних Реєстру шляхом дублювання інформації.

Однак ні в Законі, ні в Порядку не закріплено, що відцифровані відбитки пальців рук вилучаються з подальшим знищенням із резервного обчислювального центру.

Отже, Закон допускає за замовчанням можливість зберігання біометричних даних у резервному обчислювальному центрі Реєстру.

2. Дані, що стосуються здоров'я.

Створення електронної системи охорони здоров'я передбачено Законом України «Про державні фінансові гарантії медичного обслуговування населення» від 19.10.2017 № 2168^Ш, Постановою КМ України «Деякі питання електронної системи охорони здоров'я» від 25.04.2018 № 411 [6; 7].

До складу електронної системи охорони здоров'я входять центральна база даних та електронні медичні інформаційні системи, між якими забезпечено автоматизований обмін інформацією, даними й документами через відкритий програмний інтерфейс (АРІ).

Національна служба здоров'я України (далі - НСЗУ) забезпечує функціонування електронної системи охорони здоров'я та веб-сайту, на якому розміщується інформація про електронну систему охорони здоров'я.

Власником центральної бази даних, у тому числі майнових прав на програмне забезпечення центральної бази даних, є держава в особі НСЗУ.

Розпорядником реєстрів і володільцем їхніх відомостей та іншої інформації в центральній базі даних (крім Реєстру медичних спеціалістів і Реєстру суб'єктів господарювання у сфері охорони здоров'я) є НСЗУ, якщо інше не визначено законодавством [7].

Відповідно до пункту 6 частини 2 статті 7 Закону № 2297-УІ, обробка даних, що стосуються здоров'я, дозволена лише у випадку, якщо така обробка необхідна з метою охорони здоров'я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров'я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я чи фізичною особою-підприємцем, яка одержала ліцензію на провадження господарської діяльності з медичної практики, та її працівниками, на яких покладено обов'язки щодо забезпечення захисту персональних даних і поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов'язки щодо забезпечення захисту персональних даних [4].

Отже, всупереч законодавчо встановленій забороні обробки персональних даних, що стосуються здоров'я, з іншою метою, крім передбаченої нормою рамкового Закону № 2297-УІ, Законом України «Про Єдиний державний демографічний реєстр...», це дозволяється НСЗУ, який як центральний орган виконавчої влади зобов'язаний надавати до ЄДДР інформацію зі своєї відомчої інформаційної системи (електронної системи охорони здоров'я).

3. Інформація про місцеперебування й/або шляхи пересування особи (завдяки відомостям з Інформаційно-аналітичної платформи електронної верифікації та моніторингу).

Відповідно до пункту 40 розділу УІ Бюджетного кодексу України, під час здійснення повноважень із контролю за дотриманням бюджетного законодавства в частині верифікації та моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат, які здійснюються за рахунок коштів державного, місцевих бюджетів, фондів загальнообов'язкового державного соціального й пенсійного страхування, з метою забезпечення адресності та недопущення призначення, нарахування й/або здійснення неправомірних соціальних виплат Міністерство фінансів України має право на безоплатне отримання інформації, що містить банківську таємницю, персональні дані, та на доступ до автоматизованих інформаційних і довідкових систем, реєстрів і банків даних, держателем (адміністратором) яких є державні органи або органи місцевого самоврядування [8].

Пунктом 3 Порядку здійснення верифікації та моніторингу достовірності інформації, поданої фізичними особами для нарахування та отримання соціальних виплат, пільг, субсидій, пенсій, заробітної плати, інших виплат, що здійснюються за рахунок коштів державного та місцевих бюджетів, коштів Пенсійного фонду України, фондів загальнообов'язкового державного соціального страхування, затвердженого Постановою КМ України від 18.02.2016 № 136, установлено, що на запит Мінфіну розпорядники бюджетних коштів, Національний банк, Пенсійний фонд України, фонди загальнообов'язкового державного соціального страхування, підприємства, установи і організації, банки та інші фінансові установи незалежно від форми власності подають інформацію, в тому числі персональні дані, про відкриті рахунки (поточні, кредитні, депозитні тощо), операції, залишок коштів на рахунках. У разі нарахування й отримання соціальних виплат, пільг, субсидій, призначених на сім'ю або домогосподарство, інформація подається щодо кожного члена сім'ї або домо- господарства [9].

Крім того, пунктом 24-1 Положення про Міністерство фінансів України, затвердженого Постановою КМ України від 20.08.2014 № 375, підтверджується, що Міністерство фінансів України уповноважено отримувати персональні дані, що містять банківську таємницю [10].

Отже, до Єдиного державного демографічного реєстру з Інформаційно-аналітичної платформи електронної верифікації та моніторингу, розпорядником якої є Міністерство фінансів України, передається інформація, в тому числі персональні дані, про відкриті рахунки (поточні, кредитні, депозитні тощо), операції, залишок коштів на рахунках громадян України.

З іншого боку, у Листі Представника Уповноваженого Верховної Ради України «Щодо того, чи здійснюють суб'єкти господарювання у сфері продажу товарів та послуг, які використовують платіжні термінали, обробку персональних даних про місцеперебування та/або шляхи пересування особи» від 27.05.2014 № 11.-974/1267-14-106 наголошується таке:

1. «Інформація про операцію, включно з тією, за допомогою якої можна ідентифікувати особу та місце здійснення операції, зберігається на серверах платіжної системи відповідних банків. Систематизація такої інформації про певного власника платіжної картки дозволяє визначити місце перебування конкретної особи у певному часовому просторі, а на підставі аналізу такої інформації - визначити шляхи її пересування»;

2. «Зважаючи на те, що контроль місця перебування особи та шляхів її пересування може вплинути на свободу реалізації зазначеного права, обробка персональних даних, пов'язана з місцеперебуванням та/або шляхами пересування особи, визначена як така, що становить особливий ризик для прав і свобод суб'єктів персональних даних».

3. «Повідомляти Уповноваженого Верховної Ради України з прав людини про обробку даних, пов'язаних з місцеперебуванням та шляхами пересування особи, повинні власники серверів, куди передається та де зберігається інформація про розрахунки за допомогою платіжних карток» [11].

Виходячи з вищезазначеного, до Єдиного державного демографічного реєстру має надходити інформація про транзакції за допомогою платіжних карток. Систематизація такої інформації про певного користувача платіжної картки дає змогу визначити місце перебування конкретної особи в певному часовому просторі, а на підставі аналізу такої інформації визначити шляхи її пересування.

4. Персональні дані, що містяться в Державному реєстрі фізичних осіб-платників податків.

Перелік персональних даних, що вносяться до інформаційної бази даних ДРФО, міститься в пункті 70.3 статті 70 Податкового кодексу України [12].

Наказом Міністерства фінансів України від 24.02.2015 № 210 затверджено Порядок обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб-платників податків [13].

Зокрема, персональні дані фізичних осіб-платників податків обробляються в базі персональних даних - ДРФО. Володільцем бази персональних даних ДРФО є Державна фіскальна служба України. Персональні дані в базі персональних даних - ДРФО - обробляються за допомогою інформаційно-телекомунікаційної системи ДРФО (далі - ІТС ДРФО) (пункти 1, 5-7 розділу І Порядку).

Обробка даних у базі персональних даних - ДРФО проводиться з метою забезпечення реалізації податкових відносин, відповідно до Податкового кодексу України, щодо:

- реєстрації та обліку фізичних осіб, які зобов'язані сплачувати податки;

- обліку джерел отриманих доходів, об'єктів оподаткування, сум нарахованих і/або отриманих доходів, сум нарахованих і/або сплачених податків, даних про податкову знижку та податкові пільги фізичної особи-платника податків;

- створення умов для здійснення контролюючими органами контролю за правильністю нарахування, своєчасністю й повнотою сплати податків, нарахованих фінансових санкцій, дотримання податкового та іншого законодавства, контроль за дотриманням якого покладено на контролюючі органи;

- забезпечення інших питань адміністрування податків і зборів та інших платежів відповідно до законодавства (пункт 1 розділу ІІ Порядку).

ІТС ДРФО - окремий складник усієї інформаційно-телекомунікаційної системи ДФС, що забезпечує функціонування та щоденне оновлення ДРФО. Інформація в ІТС ДРФО поділяється на персональні дані; технологічну інформацію.

Персональні дані фізичних осіб-платників податків із ДРФО є інформацією з обмеженим доступом. Персональні дані ДРФО належать до даних, до яких висуваються підвищені вимоги із забезпечення конфіденційності, цілісності, доступності й спостережності (пункти 1, 4-6 розділу VI Порядку).

Без згоди фізичної особи-платника податків її персональні дані можуть передаватися у таких випадках:

1) за рішенням суду;

2) коли передача персональних даних прямо передбачена законом України й лише в інтересах національної безпеки, економічного добробуту та прав людини:

- органам прокуратури України, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їхню письмову вимогу щодо персональних даних фізичної особи з ДРФО за конкретний проміжок часу;

- центральному органу виконавчої влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму, - на його запит щодо персональних даних з ДРФО;

- органам державної виконавчої служби на їхню письмову вимогу з питань виконання рішень судів і рішень, що підлягають примусовому виконанню відповідно до Закону України «Про виконавче провадження», щодо персональних даних фізичної особи з ДРФО;

3) отримання запиту від інших органів державної влади й місцевого самоврядування, що діють у межах повноважень, наданих законодавством України відповідно до нормативно-правових актів щодо взаємодії обміну або отримання інформації з ДРФО.

В інших випадках, ніж зазначені в пункті 2 цього розділу, доступ до персональних даних надається третім особам лише за письмової згоди фізичної особи-платника податків за кожним запитом окремо в порядку, визначеному статтею 16 Закону № 2297-УІ (пункти 2, 3 розділу VII Порядку).

Але податкова інформація, маючи особливий правовий режим доступу (що випливає зі змісту підпункту 17.1.9 пункту 17.1 статті 17, підпункту 21.1.6 пункту 21.1 статті 21 Податкового кодексу України, а також пункту 6 розділу VI Порядку), також потрапляє до Єдиного державного демографічного реєстру.

Згідно з пунктом 2 розділу V Порядку отримання з Державного реєстру фізичних осіб-платників податків інформації, необхідної для здійснення верифікації та моніторингу державних виплат, затвердженого Наказом Міністерства фінансів України від 29.08.2016 № 794, «інформація, що передається, обробляється Мінфіном з урахуванням вимог законодавства про захист персональних даних і не може бути передана третій стороні, якщо інше не передбачено законом». Нескладно здогадатися, що таким Законом якраз є Закон № 5492-УІ [14].

Отже, виходячи з вищевказаного, норми Закону № 5492-УІ не відповідають принципу ненадмірності персональних даних. До того ж наявні порушення вимог Закону № 2297-УІ щодо обробки «чутливих» даних, тобто персональних даних, обробка яких становить особливий ризик для прав і свобод особи.

У свою чергу, норми Закону № 5492-УІ порушують вимоги таких ратифікованих Україною міжнародно-правових актів, як Європейська конвенція з прав людини від 04.11.1950, Конвенція Ради Європи від 28.01.1981 про захист осіб у зв'язку з автоматизованою обробкою персональних даних, Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони. Не дотримано, відповідно, і вимог Регламенту Європейського парламенту і Ради (ЄС) 2016/679 від 27.04.2016 про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних і про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних).

ЛІТЕРАТУРА

1. Про схвалення Концепції розвитку електронного урядування в Україні: Розпорядження Кабінету Міністрів України від 20.09.2017 № 649-р. URL: http://zakon3.rada.gov.ua/laws/s^юw/649-2017-р.

2. Про схвалення Концепції розвитку електронної демократії в Україні та плану заходів щодо її реалізації: Розпорядження Кабінету Міністрів України від 09.11.2017 № 797-р. URL: http://zakon3.rada.gov.ua/laws/show/797-2017-р.

3. Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус: Закон України від 20.11.2012 № 5492^1 (у редакції від 01.01.2018). Відомості Верховної Ради України (ВВР). 2013. № 51. Ст. 716.

4. Про захист персональних даних: Закон України від 01.06.2010 № 2297^1 (у редакції від 30.01.2018). Відомості Верховної Ради України (ВВР). 2010. № 34. Ст. 481.

5. Про затвердження Порядку отримання, вилучення з Єдиного державного демографічного реєстру та знищення відцифрованих відбитків пальців рук особи: Постанова Кабінету Міністрів України від 26.11.2014 № 669 (у редакції Постанови Кабінету Міністрів України від 18.08.2017 № 628). URL: https://zakon.rada.gov.ua/laws/show/669-2014-п.

6. Про державні фінансові гарантії медичного обслуговування населення: Закон України від 19.10.2017 № 2168^Ш. Відомості Верховної Ради України (ВВР). 2018. № 5. Ст. 31.

7. Деякі питання електронної системи охорони здоров'я: Постанова Кабінету Міністрів України від 25.04.2018 № 411. URL: https://zakon.rada.gov.ua/laws/show/411-2018-п#n19.

8. Бюджетний кодекс України від 08.07.2010 № 2456^1 (в редакції від 11.01.2019). Відомості Верховної Ради України (ВВР). 2010. № 50-51. Ст. 572.

9. Про затвердження Порядку здійснення верифікації та моніторингу достовірності інформації, поданої фізичними особами для нарахування та отримання соціальних виплат, пільг, субсидій, пенсій, заробітної плати, інших виплат, що здійснюються за рахунок коштів державного та місцевих бюджетів, коштів Пенсійного фонду України, фондів загальнообов'язкового державного соціального страхування: Постанова Кабінету Міністрів України від 18.02.2016 № 136. URL: https://zakon.rada.gov.ua/laws/show/136-2016-п.

10. Про затвердження Положення про Міністерство фінансів України: Постанова Кабінету Міністрів України від 20.08.2014 № 375. URL: https://zakon.rada.gov.ua/laws/show/375-2014-п.

11. Щодо того, чи здійснюють суб'єкти господарювання у сфері продажу товарів та послуг, які використовують платіжні термінали, обробку персональних даних про місцеперебування та/або шляхи пересування особи: Лист Представника Уповноваженого Верховної Ради України від 27.05.2014 № 11.-974/1267-14-106. URL: https://zakon.rada.gov.ua/laws/show/v-106715-14/print.

12. Податковий кодекс України від 02.12.2010 № 2755-УІ (у редакції від 01.01.2019). Відомості Верховної Ради України (ВВР). 2011. № 13-14, 15-16, 17. Ст. 112.

13. Про затвердження Порядку обробки персональних даних у базі персональних даних - Державному реєстрі фізичних осіб-платників податків: Наказ Міністерства фінансів України від 24.02.2015 № 210. Офіційний вісник України. 2015. № 24. С. 219. Ст. 695.

14. Про затвердження Порядку отримання з Державного реєстру фізичних осіб-платників податків інформації, необхідної для здійснення верифікації та моніторингу державних виплат: Наказ Міністерства фінансів України від 29.08.2016 № 794. Офіційний вісник України. 2016. № 79. С. 322. Ст. 2658.

Размещено на Allbest.ru