Правове регулювання відносин у галузі обробки персональних даних

Размещено на http://www.allbest.ru

Інститут права, психології та інноваційної освіти Національного університету «Львівська політехніка»

Правове регулювання відносин у галузі обробки персональних даних

Гулак Л.С., доцент кафедри адміністративного та інформаційного права

Лук'янова Г.Ю., доцент кафедри адміністративного та інформаційного права

Крикавська І.В., асистент кафедри адміністративного та

інформаційного права

У статті розглядаються основні нормативно-правові акти України, які регулюють відносини в галузі обробки персональних даних. Так, Конституція України містить норму, згідно з якою збір, зберігання та поширення інформації про приватне життя особи без її згоди не допускається. Це положення Конституції України має фундаментальний, утворюючий систему характер, визначає сенс і зміст значної кількості нормативно-правових актів різного рівня, які виділяють категорію «приватне життя» та похідні «персональні дані».

Виділення категорії «персональні дані» пов'язане з поширенням автоматизованих систем обробки та зберігання інформації, що робить можливим віддалений доступ через технічні канали зв'язку. Саме ці системи зробили революцію в питаннях структурування, зберігання та пошуку необхідних даних, створили передумови для виникнення проблеми захисту конфіденційних відомостей персонального характеру. Розвиток цієї проблеми викликає природну необхідність у забезпеченні надійного захисту інформаційних ресурсів і процесів, впорядкуванні суспільних відносин у сфері захисту персональних даних.

Проводиться аналіз нормативно-правової бази законодавства України: чинного законодавства, норм Закону України «Про захист персональних даних». Розглянуто й інші Закони України, які містять норми, що регулюють обробку персональних даних, зокрема Закон України «Про інформацію», Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», Закон України «Про державну службу», Закон України «Про службу в органах місцевого самоврядування», норми Кодексу України про адміністративні правопорушення, постанови Кабінету Міністрів України, правові акти Уповноваженого Верховної Ради з прав людини, відомчі нормативні акти.

Розкриваються поняття «персональні дані», «суб'єкт персональних даних», основні права суб'єктів обробки персональних даних. Аналізуються правові засади діяльності операторів персональних даних, вплив інформаційних технологій на захист персональних даних. Крім того, авторами досліджується правове регулювання відносин у галузі обробки персональних даних.

Ключові слова: інформація, персональні дані, обробка персональних даних, суб'єкти персональних даних, оператор.

LEGAL REGULATION OF RELATIONS IN THE FIELD OF PERSONAL DATA PROCESING

The article considers the main legal acts of Ukraine governing relations in the field of personal data processing. In particular, the Constitution of Ukraine contains a provision according to which the collection, storage and dissemination of information about a person's private life without his consent is not allowed. This provision of the Constitution of Ukraine has a fundamental, system-forming character, determines the meaning and content of a significant number of regulations of different levels, which distinguish the category of “private life” and derivatives of “personal data”.

The allocation of the category “personal data” is associated with the proliferation of automated systems for processing and storage of information, which makes it possible to remotely access through technical communication channels. It is these systems that have revolutionized the structuring, storage and retrieval of the necessary data, created the preconditions for the emergence of the problem of protection of confidential personal information. The development of this problem causes a natural need to ensure reliable protection of information resources and processes, streamlining public relations in the field of personal data protection.

The analysis of the normative-legal base of the legislation of Ukraine is carried out: the current legislation, norms of the law of Ukraine “About protection of personal data”. In addition, other Laws of Ukraine containing norms regulating personal data processing are considered, in particular the Law of Ukraine “On Information”, the Law of Ukraine “On Protection of Information in Information and Telecommunication Systems”, the Law of Ukraine “On Civil Service” and the Law of Ukraine service in local self-government bodies, norms of the Code of Ukraine on Administrative Offenses, resolutions of the Cabinet of Ministers of Ukraine, legal acts of the Verkhovna Rada Commissioner for Human Rights, departmental normative acts.

The concepts of “personal data”, “subject of personal data”, the basic rights of the subjects of personal data processing are revealed. The legal bases of activity of personal data operators, influence of information technologies on protection of personal data are analyzed. In addition, the authors study the legal regulation of relations in the field of personal data processing.

Key words: information, personal data, personal data processing, personal data subjects, operator.

Основна частина

Положення Конституції України свідчать про перехід держави на шлях інтеграції в європейський соціально-економічний простір, де головною цінністю є людина. Нині можна з упевненістю сказати, що Україна на цьому шляху зіткнулася з низкою проблем, які потребують вирішення. Серед них виділяється забезпечення захисту сфери приватного життя громадянина.

Теоретичні аспекти правового режиму з обробки персональних даних відображені у працях В. Авер'янова, О. Андрійка, О. Бандурки, О. Баранова, Ю. Битяка, Л. Біли, Н. Бортник, В. Гаращук, Т. Коломоєць, М. Коваліва, В. Колпакова, А. Комзюка, О. Кузьменка, В. Ортинського, О. Остапенка, Д. Приймаченко та інших вчених. Водночас адаптація національного законодавства до вимог Європейського Союзу потребує комплексного аналізу проблем захисту персональних даних.

С. Єсімов, досліджуючи персональні дані як предмет захисту права на недоторканність приватного життя, зазначає, що обґрунтованим є підхід, який дає змогу за рахунок розширеного тлумачення права на недоторканність приватного життя включити в його зміст елемент права на захист персональних даних. Такий погляд, який сформували автори навчального посібника «Основи ІТ-права» Т. Бачинський, Р Радейко, О. Харитонова, пов'язаний із відходом від переважаючого в Україні вузького тлумачення приватного життя [1, с. 124].

Національна нормативно-правова база в сфері обробки персональних даних досить велика. В Україні діє велика кількість правових актів, що містять положення, які стосуються обробки персональних даних. У центрі правового регулювання обробки персональних даних знаходиться Закон «Про захист персональних даних», виданий на виконання обов'язків України як сторони Конвенції Ради Європи «Про захист фізичних осіб при автоматизованій обробці персональних даних» [2; 3].

Ключовим нормативно-правовим актом з питань обробки персональних даних на території України є Закон «Про захист персональних даних», який:

1) містить визначення ключових понять (персональні дані, суб'єкт персональних даних, оператор, обробка персональних даних);

2) встановлює принципи та умови обробки персональних даних;

3) встановлює права суб'єкта персональних даних і обов'язки оператора;

4) визначає органи державної влади, уповноважені контролювати дотримання вимог законодавства в галузі обробки персональних даних, розмежовує сфери компетенції.

Закон «Про захист персональних даних» є ключовим, але не єдиним законом, який регулює обробку персональних даних. Нині в Україні діє більше півсотні законів (у тому числі кодексів), які містять положення, присвячені персональним даним. Найбільш значимими є:

1) Закон «Про інформацію» (далі - Закон), оскільки персональні дані - це інформація, яка в цій якості належить до сфери регулювання. Крім того, цей Закон містить специфічні норми, які визначають поняття «персональні дані» [4];

2) Закон «Про захист інформації в інформаційно-телекомунікаційних системах», який встановлює порядок захисту інформації, у тому числі в системах, де обробляються персональні дані [5];

3) закони, які регулюють питання державної служби та служби в органах місцевого самоврядування. Це Закони «Про державну службу» і «Про службу в органах місцевого самоврядування», які містять норми, присвячені обробці персональних даних державних службовців і службовців органів місцевого самоврядування [6; 7];

4) Кодекс законів про працю України, який встановлює порядок обробки персональних даних працівників;

5) положення Кодексу України про адміністративні правопорушення (далі - КУпАП), які встановлюють відповідальність за правопорушення в сфері обробки персональних даних;

6) постанова Кабінету Міністрів України щодо використання біометричних персональних даних для ідентифікації фізичних осіб і їх обробки в єдиній біометричній системі [8];

7) регламент 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб стосовно обробки персональних даних і про вільне переміщення таких даних, а також про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) (чинний з 25 травня 2018 року). Він спрямований на гармонізацію захисту основних прав і свобод фізичних осіб щодо діяльності з переробки і на забезпечення вільного потоку персональних даних між державами-членами [9, с. 104].

Основна стаття, за якою оператори притягуються до адміністративної відповідальності за порушення у сфері обробки персональних даних, це ст. 188-39 КУпАП «Порушення законодавства у сфері захисту персональних даних», що містить п'ять складів адміністративних правопорушень, які тягнуть накладення штрафів на громадян, посадових осіб, громадян-суб'єктів підприємницької діяльності.

Порушення порядку обробки персональних даних може спричинити відповідальність за ст. 212-5 «Порушення порядку обліку, зберігання та використання документів та інших матеріальних носіїв інформації, що містять службову інформацію», ст. 212 -6 КУпАП «Здійснення незаконного доступу до інформації в інформаційних (автоматизованих) системах, незаконне виготовлення чи розповсюдження копій баз даних інформаційних (автоматизованих) систем» [10].

Перевірка діяльності оператора персональних даних Департаментом у сфері захисту персональних даних Секретаріату уповноваженого Верховної Ради України з прав людини може призвести до притягнення оператора і його посадових осіб до відповідальності за ст. 18840 КУпАП, пов'язаної з обробкою персональних даних, і з порушеннями, що допускаються в процесі комунікації з контролюючим органом [10].

Ю. Самойленко, розглядаючи адміністративно-правові засоби захисту персональних даних, звертає увагу на доцільність поширення юридичної відповідальності за порушення законодавства про захист персональних даних на юридичних осіб [11, с. 297].

Підзаконні нормативні акти конкретизують положення Закону «Про захист персональних даних» здебільшого в частині заходів, які оператор повинен приймати, щоб його діяльність з обробки персональних даних відповідала вимогам закону. Так, постановами Кабінету Міністрів України затверджено:

1) вимоги до захисту персональних даних щодо обробки в інформаційних системах під час здійснення верифікації та моніторингу державних виплат (постанова уряду України від 03.04.2019 № 405) [11];

2) перелік заходів, яких повинні вживати оператори, що є державними або комунальними органами, щоб діяльність з обробки персональних даних відповідала вимогам законодавства (постанова Кабінету Міністрів України від 11.04.2012 № 295) [13].

Наказами Уповноваженого Верховної Ради України з прав людини затверджено:

1) правила організації та здійснення державного контролю та нагляду за обробкою персональних даних, якими керується представники Уповноваженого Верховної Ради України з прав людини при проведенні контрольно-наглядових заходів;

2) типовий порядок обробки персональних даних;

3) порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, що становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (наказ Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14) [14].

Крім «універсальних» підзаконних нормативно-правових актів, у сфері обробки персональних даних діє досить велика кількість галузевих актів, що регулюють окремі аспекти обробки персональних даних. Протягом 20172018 років в Україні видано низку нормативних актів, які регулюють обробку біометричних персональних даних у зв'язку з розробкою єдиної інформаційної системи, яка буде містити біометричні персональні дані громадян [8].

Міністерства та відомства видають нормативно-правові акти, які регулюють обробку персональних даних відповідними державними структурами, а в деяких випадках встановлюють правила для галузі загалом. Наприклад, МВС України затвердило «Порядок доступу до відомостей персонально-довідкового обліку єдиної інформаційної системи Міністерства внутрішніх справ України» [15].

Розглянемо більш детально деякі правові аспекти, що стосуються сфери обробки персональних даних. Для початку розкриємо суть поняття «персональні дані». Згідно Закону України «Про захист персональних даних» під персональними даними розуміються відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована [2].

У роз'ясненні Міністерства юстиції України «Деякі питання практичного застосування Закону України «Про захист персональних даних» вказано, що законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах і картотеках персональних даних, що можуть виникнути у майбутньому, у зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя [16, с. 147].

А. Кардаш у дисертаційному дослідженні «Конституційно-правовий захист інформації про особу (порівняльно- правовий аспект)» зазначає, що персональні дані - це не будь-яка інформація про фізичну особу, а лише інформація про ідентифіковану або таку, яка може бути ідентифікована. Якщо фізична особа не ідентифікована (конкретно не визначена) і не може бути ідентифікована (конкретно визначена), то інформація, яка стосується такої фізичної особи, не є персональними даними [17, с. 244].

Можна говорити про те, що до персональних даних можуть бути віднесені дані в будь-якій формі, яка сприймається людиною або пристроєм, представлені на будь- якому носії. Під персональними даними буде розумітися інформація, яка відноситься до фізичної особи прямо або побічно чи на підставі якої визначається фізична особа.

Очевидно, що інформація про юридичних осіб не може бути віднесена до персональних даних. Що стосується фізичних осіб, зареєстрованих як фізичні особи-підприємці, поки що однозначної практики щодо віднесення або не віднесення відомостей про таку категорію осіб до персональних даних немає. Відомості, які відносяться прямо до певної особи, однозначно є персональними даними. Але до персональних даних також відносяться відомості, на підставі яких точна ідентифікація людини не можлива.

Для віднесення даних до персональних досить, щоб відповідну інформацію, в тому числі у складі інших відомостей, в принципі можна було використовувати для виділення фізичної особи з безлічі осіб. Із загальної кількості відомостей про фізичних осіб законодавець виділив деякі види інформації, які є особливими та вимагають особливого захисту, обробка таких даних можлива тільки у виняткових випадках при дотриманні особливих вимог, встановлених ч. 2 ст. 7 Закону України «Про захист персональних даних».

У ст. 2 Закону України «Про захист персональних даних» наведено визначення поняття «обробки персональних даних», під якою розуміється дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів із персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміну), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних [2].

Поняттям обробки персональних даних охоплюються дії (операції), які можливо зробити з даними. Однак ч. 2 ст. 1 Закону України «Про захист персональних даних» виключає зі сфери дії закону деякі відносини, що виникають при обробці персональних даних.

Ключовими учасниками відносин з обробки персональних даних є суб'єкт персональних даних і оператор. Суб'єкт персональних даних у Законі «Про захист персональних даних» визначений як фізична особа, персональні дані якої обробляються. Під суб'єктом персональних даних розуміється прямо або побічно визначена фізична особа, до якої відносяться персональні дані. Суб'єктом буде та особа, яка описується даними та до якої відносяться дані, а не та особа, яка надає дані оператору.

Здебільшого оператор отримує персональні дані суб'єкта безпосередньо від нього або від іншого оператора. Однак бувають ситуації, коли персональні дані суб'єкта оператор отримує від іншої фізичної особи. Згідно із законодавством оператором персональних даних є особа, яка відповідає одночасно двом ознакам:

1) здійснює або організовує обробку персональних даних (самостійно або з іншими особами);

2) визначає мету обробки персональних даних, склад персональних даних, які підлягають обробці, дії (операції), які здійснюються з персональними даними.

Після передачі персональних даних оператору суб'єкт фактично не має можливості контролювати дії оператора та визначати долю своїх даних. У зв'язку з цим Закон «Про захист персональних даних» наділяє суб'єкта персональних даних правами, спрямованими на те, щоб суб'єкт:

1) приймаючи рішення про надання або ненадання персональних даних, мав усю повноту інформації, необхідної для прийняття правильного рішення;

2) мав можливість хоча б частково контролювати долю своїх даних після передачі їх оператору;

3) мав можливість захистити свої права, звернувшись в уповноважений орган захисту прав суб'єктів або до суду.

Основне право суб'єкта - це вільно у своєму інтересі приймати рішення про надання персональних даних оператору та давати згоду на обробку даних, якщо така згода вимагається. Крім основного права суб'єкта, він наділений такими правами згідно ст. 8 Закону «Про захист персональних даних»):

1) має право на доступ до своїх персональних даних;

2) має право звернутися до оператора із запитом про обробку його персональних даних;

3) має право на безкоштовне отримання від оператора інформації, яка підтверджує факт обробки персональних даних оператором; правові підстави та мету обробки персональних даних; мету та способи обробки персональних даних та інші відомості, передбачені Законом «Про захист персональних даних» або іншими законами. Право суб'єкта на доступ до його даних не є абсолютним, воно може бути обмежене, але тільки законом (неможливість обмеження цього права підзаконним нормативно-правовим актом підкреслює його значимість).

З розвитком інформаційних технологій виникає низка загроз захисту персональних даних. Як зазначає С. Брай- чевський, системи ІР (Інтернет речей) з елементами штучного інтелекту в процесі експлуатації здатні розширювати штатний режим отримання та обробки даних, внаслідок чого машина здатна самостійно генерувати персональні дані, використовуючи інші дані, отримані в передбачений спосіб. Отже, виникає необхідність врахування таких загроз при розробці норм законодавства щодо захисту персональних даних та адекватних механізмів реалізації цих норм на практиці [18, с. 66].

Закон України «Про внесення змін до Закону України «Про захист населення від інфекційних хвороб» щодо запобігання поширенню коронавірусної хвороби (COVID-19)» дозволяє обробку персональних даних без згоди особи, зокрема даних, які стосуються стану здоров'я, місця госпіталізації або самоізоляції, прізвища, імені, по батькові, дати народження, місця проживання, роботи (навчання) [19]. Однак нормативного регулювання в системі Міністерства охорони здоров'я України ця проблема ще не отримала.

В Україні діє нормативно-правова база, яка встановлює, контролює та забезпечує захист персональних даних. Нормативно-правових актів стає дедалі більше, оскільки предмет регулювання (тобто суспільні відносини) так чи інакше пов'язаний із обробкою персональних даних, постійно розширюється і ускладнюється.

Зміст, який вкладається Законом України «Про захист персональних даних» у поняття «персональні дані», дуже широкий, що зумовлено правовою природою персональних даних. Закон не встановлює чіткої класифікації персональних даних залежно від певного критерію, але аналіз нормативно-правової бази дозволяє зробити висновок про наявність трьох категорій персональних даних: звичайні, спеціальні та біометричні. Для ефективної ідентифікації особи необхідна сукупність персональних даних, які відносяться одночасно до різних категорій даних.

Висновок

Суспільні відносини, пов'язані з обігом персональних даних, представляють одну з груп інформаційних правовідносин, специфіка яких пов'язана з предметом - інформацією обмеженого доступу, покликаною ідентифікувати фізичних осіб (персональними даними). Забезпечення самостійного регулювання зазначеної групи однорідних, об'єктивно відокремлених суспільних відносин досягається за допомогою сукупності юридичних норм, які утворюють єдиний комплекс.

Особливістю персональних даних як виду інформації обмеженого доступу є те, що суб'єкт даних зацікавлений у здійсненні основної мети існування цього інституту на практиці - ідентифікації. З цим пов'язана можливість надання персональним даним статусу загальнодоступних або переміщення в загальнодоступні джерела, надання базам персональних даних статусу товару. Зазначена проблема може бути вирішена шляхом внесення поправок у цивільне законодавство, що регулює оборотоздатність баз даних як складників творів щодо здійснення укладачами своїх прав тільки за умови дотримання прав суб'єктів персональних даних.

персональний дані конституція захист

Література

1. Єсімов С.С. Персональні дані як предмет захисту права на недоторканність приватного життя. Вісник Національного університету «Львівська політехніка». Серія: Юридичні науки. Львів, 2017. № 884. С. 120-126.

2. Про захист персональних даних: Закон України від 01.06.2010 № 2297-VI / ВідомостіВерховноїРади України. 2010. № 34. Ст. 481.

3. Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних : Закон України від 06.07.2010 № 2438-VI / Відомості Верховної Ради України. 2010. № 46. Ст. 542.

4. Про інформацію : Закон України від 02.10.1992 № 2657-ХИ / Відомості Верховної Ради України. 1992. № 48. Ст. 650.

5. Про захист інформації в інформаційно-телекомунікаційних системах : Закон України від 05.07.1994 № 80/94-ВР / Відомості Верховної Ради України. і994. № 31. Ст. 286.

6. Про Державну службу : Закон України від 10.12.2015 № 889-VIii / Відомості Верховної Ради України. 2016. № 4. Ст. 43.

7. Про службу в органах місцевого самоврядування : Закон України від 07.06.2001 № 2493-Iii / Відомості Верховної Ради України. 2001. № 33. Ст. 175.

8. Про затвердження Положення про національну систему біометричної верифікації та ідентифікації громадян України, іноземців та осіб без громадянства : Постанова Кабінету Міністрів України від 27.12.2017 № 1073. URL: https://zakon.rada.gov.ua/laws/show/1073-2017- %D0%BF.

9. Гронь О.В., Погореленко А.К. Проблеми захисту персональних даних у контексті сучасної комунікації. Науковий вісник Ужгородського національного університету. 2018. Випуск 19, частина 1. С. 102-108.

10. Кодекс України про адміністративні правопорушення : Закон України від 07.12.1984 № 8073 / Відомості Верховної Ради Української РСР. 1894. Додаток до № 51. Ст. 1122.

11. Самойленко Ю.С. Адміністративно-правові засоби захисту персональних даних. Юридичний науковий електронний журнал. 2019. № 6. С. 294-297.

12. Про затвердження Порядку обробки та захисту отриманих від суб'єктів надання інформації персональних даних під час здійснення верифікації та моніторингу державних виплат : Постанова Кабінету Міністрів України від 03.04.2019 № 405. URL. https://zakon.rada.gov.ua/ laws/show/405-2019-п.

13. Про затвердження Правил надання та отримання телекомунікаційних послуг : Постанова Кабінету Міністрів України від 11.04.2012 № 295. URL. https://zakon.rada.gov.ua/laws/show/295-2012-п.

14. Про затвердження документів у сфері захисту персональних даних : наказ Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14. URL. https://zakon.rada.gov.ua/laws/show/v1_02715-14.

15. Про організацію доступу до відомостей персонально-довідкового обліку єдиної інформаційної системи Міністерства внутрішніх справ України : наказ мВС України від 29.11.2016 № 1256. URL: https://zakon.rada.gov.ua/laws/show/z0022-17.

16. Єсімов С.С. Особливості правового режиму інформаційних систем з обробки персональних даних. Науковий вісник Львівського державного університету внутрішніх справ. Серія: Юридична. 2018. № 1. С. 145-156.

17. Кардаш А.В. Конституційно-правовий захист інформації про особу (порівняльно-правовий аспект) : дис. канд. юрид. наук: спец.: 12.00.02. Харків, 2019. 244 с.

18. Брайчевський С.М. Проблема персональних даних в системах Інтернету речей з елементами штучного інтелекту. Інформація і право. 2019. № 3(31). С. 61-67.

19. Про внесення змін до Закону України «Про захист населення від інфекційних хвороб» щодо запобігання поширенню коронавірус- ної хвороби (COVID-19)» від 03.04.2020 № 555-ІХ / Відомості Верховної Ради України. 2020. № 19. Ст. 127.

Размещено на Allbest.ru