Сучасне правове регулювання інформаційних відносин у сфері захисту персональних даних в Україні

Размещено на http://www.allbest.ru/

СУЧАСНЕ ПРАВОВЕ РЕГУЛЮВАННЯ ІНФОРМАЦІЙНИХ ВІДНОСИН У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ В УКРАЇНІ

САЄНКО М.І.

Вступ. Персональні дані як найбільш вразлива й важлива для людини інформація посідають специфічне місце в системі суспільних відносин як в Україні, так і за кордоном. Нестримна розбудова інформаційного суспільства спонукає дедалі більше вчених-юристів вивчати юридичну природу й закономірності такого досить давнього міжнародно-правового засобу боротьби з порушенням прав людини, як захист її персональних даних. Саме концепція безпеки обігу персональних даних пропонується деякими правниками як найоптимальніше вирішення гуманітарних криз сьогодення.

На сьогодні інформація персонального характеру все частіше розглядається як економічно вигідний товар і джерело влади. Інформаційна сфера є одним із найважливіших напрямів реалізації інтересів особи, котрі, у свою чергу, разом з інтересами держави та суспільства в інформаційній сфері становлять інформаційну безпеку України.

У сучасному світі практично неможливо уникнути ідентифікації, але заборонити зберігати інформацію персонального характеру, обробляти її та використовувати з метою, не узгодженою з її суб'єктом, можливо й, безумовно, необхідно. Заходи щодо гарантування безпеки та запобігання незаконним діям із персональними даними легально закріплені через визначення поняття «захист персональних даних».

Основні засади державної інформаційної політики й управління інформаційною сферою розкриті в працях І. Арістової та К. Белякова. У контексті концепції захисту прав і свобод людини останніми роками з'явилися праці вітчизняних науковців, у яких досліджуються окремі аспекти проблем реалізації прав людини у сфері інформаційних відносин (В. Гавловський, Р Калюжний, Б. Кормич, В. Цимбалюк, М. Швець, Г. Чанишева); захисту персональних даних фізичної особи (А. Баранов, В. Брижко, Ю. Базанов, В. Галаган, А. Марущак, О. Жуковська, А. Пазюк, Р. Чанишев, А. Чернобай та ін.).

Постановка завдання. Метою статті є висвітлення проблем сучасного правового регулювання інформаційних відносин у сфері захисту персональних даних і визначення шляхів їх вирішення, розроблення практичних рекомендацій щодо вдосконалення системи правового регулювання суспільних інформаційних відносин.

Результати дослідження. Захист інформації про особу гарантовано Конституцією України. Частина 2 ст. 32 Конституції України не допускає збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Але вітчизняним законодавством не повністю визначено режим збирання, зберігання, використання та поширення інформації про фізичну особу. Закон України «Про інформацію» закріплює лише загальні принципи доступу громадян до інформації, що стосується їх особисто. Механізм реалізації зазначеного права належно не визначений. Відсутнє й регулювання використання конфіденційної інформації про фізичну особу.

Ст. 11 Закону України «Про інформацію» встановлено, що інформація про фізичну особу - це сукупність документованих або публічно оголошених відомостей про особу [1].

Основними даними про фізичну особу (персональними даними) є такі: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата й місце народження. Джерелами документованої інформації про фізичну особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого самоврядування в межах своїх повноважень. Законом установлено заборону збирання, використання й поширення конфіденційної інформації про фізичну особу без її попередньої згоди, за винятком випадків, передбачених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини. До конфіденційної інформації, зокрема, належать свідчення про особу (освіта, сімейний стан, релігійність, стан здоров'я, дата й місце народження, майновий стан та інші персональні дані).

Під нормативно-правовим регулюванням захисту персональних даних варто розуміти, здійснюване державою за допомогою права й сукупності правових засобів упорядкування юридичне закріплення, охорону та розвиток суспільних відносин у сфері захисту персональних даних. Дослідження значної кількості дефініцій поняття персональні дані засвідчило, що всі вони майже тотожні. Чинне національне законодавство дає таке визначення цьому поняттю: персональні дані - це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону України «Про захист персональних даних») [2]. На нашу думку, під поняттям «персональні дані» варто розуміти дані про живу людину, котра ідентифікована або може бути ідентифікована на основі цих даних чи на основі цих даних і додаткової інформації, що може потрапити до особи, яка контролює дані, що містять вираження ставлення до цієї людини й указівку на певну мету або плани стосовно цієї людини з боку особи, яка контролює дані, або іншої особи.

Майже тотожне визначення містить Акт про захист персональних даних Великобританії (Data Protection Act 1998) [3]. Таке визначення є конкретизованим і, що найголовніше, робить акцент саме на меті використання інформації про фізичну особу, ця інформація, відповідно до положень ст. 6 Закону України «Про захист персональних даних», обов'язково має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних і відповідають законодавству про захист персональних даних.

На сьогодні Радою Європи, членом якої є Україна, прийнято більше ніж сто правових документів, рекомендацій тощо, спрямованих на врегулювання суспільних відносин в інформаційній сфері [4, с. 73-74], зокрема Директива 95/46/ЄС Європейського парламенту і Ради від 24 жовтня 1995 р. «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних», Директива 97/66/ЄС Європейського парламенту і Ради від 15 грудня 1997 р. «Про обробку персональних даних і захист права на невтручання в особисте життя в телекомунікаційному секторі» та Конвенція № 108 Ради Європи від 28 січня 1981 р. «Про захист осіб стосовно автоматизованої обробки даних особистого характеру» (підписано від імені України 20 серпня 2005 р.), які були враховані під час підготовки проекту Закону «Про захист персональних даних».

Відповідно до наведеної Конвенції № 108, персональні дані - будь-яка інформація про фізичну особу, що ідентифікована або може бути ідентифікована [5]. Необхідно підкреслити, що зазначена Конвенція вважається першим міжнародним документом про взаємні права й обов'язки, яка містить загальноєвропейські норми (стандарти), що створюють умови регулювання суспільних відносин у сфері захисту персональних даних. Норми Конвенції є імперативними, тобто такими, від яких країни, котрі до неї приєднались, не можуть відступатися. Відповідно до положень цієї Конвенції, приведення національного законодавства у відповідність до її положень має відбуватися не пізніше за набрання чинності Конвенції на території відповідної країни. Країни, що підписали зазначений документ, мають керуватися ним під час розгляду всіх питань, пов'язаних із захистом персональних даних, які обробляються або не обробляються в автоматизованих системах різного призначення.

Так, згідно зі ст. 1 цієї Конвенції, її метою є забезпечення на території кожної Сторони для кожної особи, незалежно від її національності або помешкання, поважання її прав і основних свобод, зокрема її права на недоторканність особистого життя, стосовно автоматизованої обробки даних особистого характеру, що її стосуються.

Згідно зі ст. 6 указаної Конвенції, дані особистого характеру, що свідчать про расову належність, політичні або релігійні чи інші переконання, а також дані особистого характеру, що стосуються здоров'я або статевого життя, не можуть зазнавати автоматизованої обробки, якщо внутрішнє право не забезпечує відповідних гарантій.

З метою забезпечення захисту персональних даних у національному інформаційному просторі та взаємодії країн-учасниць Конвенції, кожна країна призначає уповноважений орган, назву й адресу якого необхідно вказати в повідомленні, яке надсилається до Генерального Секретаря Ради Європи [6, с. 34-35].

Згідно з Законом Німеччини «Про подальший розвиток обробки даних і захисту даних» від 20 грудня 1990 р., персональні дані - конкретні дані про особисті або майнові відносини встановленої або встановлюваної фізичної особи.

Ідентифікація - це надання об'єкту унікального імені або числа. Установлення справжності полягає в перевірці, чи є особа або об'єкт, який перевіряється, насправді тим, за кого себе видає [7, с. 157-158].

Ідентифікаційні документи фізичної особи - це документи у вигляді картки встановленого зразка, що є матеріальним носієм інформації про фізичну особу персонального характеру, яка міститься в певному реєстрі.

Положення міжнародних стандартів передбачають для всіх суб'єктів інформаційних відносин обов'язок, за якого персональні дані повинні:

- бути отримані законним шляхом;

- оброблятися за згоди на це суб'єкта даних і в кількості, мінімально необхідній для визначеної діяльності;

- бути точними й оновлюватися;

- використовуватися тільки в суворо визначених цілях;

- бути доступними для суб'єкта даних і захищеними від несанкціонованого доступу.

Правове регулювання захисту персональних даних в Україні здійснюється на основі Конституції України, Законів України: «Про захист персональних даних», «Про інформацію» - тощо. Національні стандарти захисту персональних даних в Україні перебувають на зародковому рівні. Україна лише намагається на правовому рівні закріпити загальні засади захисту (визначити інформацію, що належить до персональних даних; порядок роботи уповноваженого державного органу з питань захисту персональних даних; побудови механізму захисту тощо). Закон України «Про захист персональних даних» запровадив прогресивні норми, які покликані охороняти конфіденційні дані та приватну інформацію громадян під час їх оброблення й зберігання в різноманітних базах даних. При цьому Закон усе ж є базовим документом, на основі якого почалася та триває активна робота із розроблення низки підзаконних актів, що деталізуватимуть норми Закону на стадії їх практичного застосування.

Стосовно паспортних даних, то Комітетом зі стандартів України в ДСТУ 3389-96 «Ідентифікаційна картка особи - носій біометричної інформації» до відомостей персонального характеру зараховано фото громадянина, ідентифікаційний номер, ПІБ (прізвище, ім'я та по-батькові), стать, місце й дата народження, особистий підпис, місце проживання (реєстрація), належність до військової служби, група крові, сімейний стан і відомості про дітей [8, с. 43-47].

Цікавим є те, що ідентифікаційний номер фізичної особи побудовано не як випадковий набір цифр. Знаючи порядок його формування, можна отримати конкретну інформацію про особу. Так, перші п'ять цифр означають дату народження людини. Відлік ведеться починаючи від 1 січня 1900 р. Наступні чотири цифри - порядковий номер людини серед тих, хто народився в один день. Дев'ятий знак означає статеву приналежність. Парне число - чоловічу, непарне - жіночу. Нарешті остання цифра ідентифікаційного номера - контрольне число. Принцип і порядок його застосування визначається Державною податковою адміністрацією та не розголошується, з метою захисту від підробок. Проте практичне застосування ідентифікаційних номерів не є беззастережним питанням ні в країнах, що мають досвід беззастережного запровадження багатоцільових (універсальних) ідентифікаторів, ні в країнах, які не вважають за потрібне їх уведення [9, с. 123-125].

Оскільки ідентифікаційні номери передбачені для ідентифікації осіб, то будь-які ідентифікатори (критерії за якими здійснюється ідентифікація) є персональними даними, що підлягають під дію міжнародних стандартів щодо захисту персональних даних. Будь-яка особа має природне, виключне право власності на відомості про неї. Це означає, що вона може володіти, користуватися й розпоряджатися відомостями про себе, як вважає за потрібне, з урахуванням чинного законодавства та норм суспільної моралі. Водночас вона має право забороняти іншим суб'єктам використовувати свої персональні дані, за винятком випадків, установлених законом [10, с. 115-116].

На сьогодні в Україні інформаційна взаємодія баз персональних даних різних реєстрів не здійснюється, їх дані часто не сумісні, жоден із реєстрів не охоплює все населення країни [11, с. 38]. Наведене створює перешкоди під час ідентифікації фізичних осіб, а іноді й унеможливлює отримання органами державної влади й органами місцевого самоврядування достовірної інформації про населення для виконання покладених на них завдань на належному рівні.

Побутує думка, що один і той самий ідентифікаційний номер може застосовуватись як податковий, номер соціального забезпечення, номер паспорта, номер посвідчення водія автотранспортного засобу тощо.

Необхідно зазначити, що ідентифікаційна пластикова картка існує майже в усіх країнах світу, зокрема Бельгії, Греції, Гонконгу, Єгипті, Малайзії, Німеччині, Південній Африці, США, Франції та інших країнах. Водночас Конституція Португалії містить пряму заборону застосування багатоцільових ідентифікаційних номерів.

На нашу думку, на сьогодні правове регулювання суспільних відносин в Україні щодо персональних даних у частині їх правового захисту є недостатнім.

Запровадження будь-якого «єдиного реєстру персональних даних» громадян України веде до загальної реєстрації всього населення. Зазначене як не сприятиме процесу захисту прав і свобод людини, так і не виключатиме можливості несанкціонованого використання конфіденційної інформації про фізичну особу. До того ж достовірна інформація стосовно обліку громадян різних категорій необхідна не лише для виборчого процесу, а передусім для надання адресної допомоги, відстеження процесів міграції населення, планування народного господарства, запобігання переміщенням міжнародних терористів та екстремістських груп через територію країни тощо.

Правовий механізм захисту персональних даних являє собою систему взаємодіючих між собою елементів, серед яких виділяють правові засоби реалізації прав особи, а також засоби охорони та захисту. Правові засоби реалізації включають у себе сукупність повноважень суб'єкта персональних даних. Засоби охорони передбачають заходи, спрямовані на недопущення порушення прав особи, пов'язаних із її персональними даними.

Ними є такі: наявність Уповноваженого Верховної Ради з прав людини, який виконує функції захисту персональних даних, з метою забезпечення виконання Уповноваженим функцій контролю за виконанням законодавства в сфері захисту персональних даних; у Секретаріаті Уповноваженого Верхової Ради України з прав людини створено Департамент із питань захисту персональних даних; спеціальний Державний реєстр баз персональних даних - єдина державна інформаційна система збирання, накопичення й оброблення відомостей про зареєстровані бази персональних даних тощо. Засоби захисту зумовлюють відновлення порушених прав, спричинених неправомірними діями, і притягнення до відповідальності осіб, винних у вчиненні правопорушень.

Слід відмітити, що такий елемент національного механізму захисту персональних даних, як застосування юридичної відповідальності, посідає особливе місце. Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» [12] установлена адміністративна та кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних, яка є примусовим засобом реалізації державного управління у сфері захисту персональних даних, засобом забезпечення охорони прав суб'єктів персональних даних та засобом застосування санкцій за вчинення адміністративних правопорушень і злочину.

Висновки. Потреба в автоматизованому обробленні персональних даних залишається поза сумнівом, що, у свою чергу, викликає необхідність їх додаткового захисту. Враховуючи наведене, важливим питанням є співвідношення свободи й захисту.

Вирішення проблеми можливе шляхом запровадження окремих реєстрів персональних даних, головним принципом функціонування яких буде цільове використання інформації про фізичну особу (зокрема відповідні реєстри щодо податків, соціального та медичного забезпечення) [13].

З метою запобігання залежності людини від одного-єдиного документа (картки, що містить багатоцільовий ідентифікаційний номер), питання правового регулювання захисту персональних даних потребує більш глибокого та змістовного аналізу чинних світових стандартів і широкого громадського обговорення.

Зазначене вище має бути обов'язково враховано під час вироблення державної політики в інформаційній сфері щодо захисту персональних даних в Україні.

правовий інформаційний персональний захист

Список використаних джерел

1. Про інформацію: Закон України від 02.10.1992 р. № 2657-XII [Електронний ресурс]. - Режим доступу: http://zakon4.rada.gov.ua/laws/show/2657-12.

2. Про захист персональних даних: Закон України від 01.06.2010 р. № 2297-VI [Електронний ресурс]. - Режим доступу: http://zakon2.rada.gov.ua/laws/show/2297-17.

3. Data Protection Act 1998 [Electronic resource]. - Access mode: http: // www.legislation. gov.uk/ukpga/1998/29/contents. -Title from the screen.

4. Інформаційне законодавство: Збірник законодавчих актів: у 6 т. / за заг. ред. Ю.С. Шемшученка, І.С. Чижа. - К.: Юридична думка, 2005. - Т 5: Міжнародно-правові акти в інформаційній сфері. - 2005. - С. 73-74.

5. Конвенція № 108 Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних». Страсбург, від 28.01.1981 р. [Електронний ресурс]. - Режим доступу: //http://conventions.coe.int/Treaty/EN/Treaties/PDF/Ukrainian/108-Ukrainian.pdf.

6. Інформаційне суспільство. Дефініції: людина, її права, інформація, інформатика, інформатизація, телекомунікації, інтелектуальна власність, ліцензування, сертифікація, економіка, ринок, юриспруденція / [В.М. Брижко, О.М. Гальченко, В.С. Цимбалюк, О.А. Орєхов, А.М. Чорнобров] ; за ред. доктора юридичних наук, професора, Р.А. Калюжного, доктора економічних наук М.Я. Швеця. - К.: Інтеграл, 2002. - С. 34-35.

7. Комп'ютерна криптологія: [підручник] / за ред. В.К. Задірака, О.С. Олексюка. - К.: Збруч, 2002.- С. 157-158.

8. Гуцалюк М. Ідентифікація фізичних осіб в Україні / М. Гуцалюк // Правова інформатика. - 2005. - № 3 (7). - С. 43-47.

9. Права человека и защита персональных данных / [А.А. Баранов, В.М. Брыжко, Ю.К. Базанов]. - К.: Государственный комитет связи и информации Украины, 2000. - С. 123-125.

10. Защита персональных даннях / [А.А. Баранов, В.М. Брыжко, Ю.К. Базанов]. - К.: Национальное агентство по вопросам информации при Президенте Украины, 1998. - С. 115-116.

11. Базанов О.Ю. Щодо реєстрації, ідентифікації фізичних осіб та захисту персональних даних / О.Ю. Базанов, В.М. Брижко // Правова інформатика. - 2004. - № 4. - С. 38-48.

12. Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних: Закон України від 02.06.2011 р. № 3454-VI [Електронний ресурс]. - Режим доступу: http: //search.ligazakon. ua/l_doc2.nsf/link1/ed_2011_06_02/T113454.html.

13. Проект Рекомендації щодо забезпечення захисту персональних даних у базах персональних даних від незаконної обробки, а також від незаконного доступу до них [Електронний ресурс]. - Режим доступу: http: // www.zpd.gov.Ua/R/perelik/perelik/0822%202011_IT_ security.htm.

Размещено на Allbest.ru