Захист персональних даних: вітчизняний та зарубіжний досвід

Размещено на http://www.allbest.ru/

Захист персональних даних: вітчизняний та зарубіжний досвід

Крилова Ю.І., провідний фахівець наукового організаційного сектора НДІ інформатики і права НАПрН України

Анотація

У статті висвітлюється досвід зарубіжних країн щодо законотворчої діяльності з питань захисту персональних даних. Проаналізовано законодавство демократичних держав у сфері захисту персональних даних: США, Німеччини, Франції, а також України. Надано пропозиції щодо можливості використання в Україні позитивного досвіду інших країн з питань захисту персональних даних.

Ключові слова: захист персональних даних, інформаційні відносини, міжнародно-правовий досвід, права і безпека людини.

Summary

The article covers the experience offoreign countries in the legislative activity оn the protection of personal data. The legislation of democratic states in the sphere of protection of personal data is analyzed: the USA, Germany, France, and Ukraine. Proposals on the possibility of using positive experience of other countries in the field of personal data protection in Ukraine are given.

Keywords: protection of personal data, information relations, international legal experience, human rights and security.

Аннотация

Ключевые слова: информационные отношения, защита персональных данных, международно-правовой опыт, права и безопасность человека.

Постановка проблеми. Серед негативних наслідків впровадження інформаційно - телекомунікаційних технологій у різних сферах суспільного життя є порушення життєво важливих прав людини, що проявляється в незаконному зборі, використанні й поширенні персональних даних, у тому числі в мережі Інтернет. Недостатність належного законодавчого забезпечення охорони й захисту персональних даних в цій сфері призводить до збільшення порушень прав людини. Дотримання права на приватність - основа справедливості та злагоди в суспільстві (див., зокрема [1 - 4]). Тому для врегулювання прогалин на законодавчому рівні пропонуємо проаналізувати досвід зарубіжних країн.

Метою статті є аналіз міжнародно-правового досвіду регулювання захисту персональних даних в інтересах вдосконалення системи національного законодавства.

Результати аналізу наукових публікацій. Питанням захисту персональних даних присвячено багато наукових праць як світових, так і вітчизняних дослідників: О. Баранова, Ю. Базанова, В. Брижка, Д. Василенко, А. Гевлича, Є. Захарова, В. Іванського, Н. Кушакова, М. Лапчинського, А. Левенчука, К. Мельник, С. Маміофи, В. Маслака, А. Пазюка, В. Селиванова, В. Теремецького, А. Чернобая, В. Пилипчука, В. Проценко, Д. Цвірюка, М. Швеця та ін. Проблеми захисту персональних даних досліджували зарубіжні вчені: К. Беннетт, Д. Боркінг Л. Брендейс, С. Дейвіс, Р. Кларк, В. Котші, М. Кьорбі та ін.

Проте з часом стали виникати проблеми, пов'язані з економічними аспектами у сфері захисту персональних даних. Так зокрема, у роботі [5] звертається увага на те, що у наш час маркетинг персональних даних стає найбільшим посяганням на особисте життя. За оцінкою американських фахівців, річний ринок персональних даних складає не менш як 3 мільярдів доларів. Тобто нелегальний інформаційний бізнес спеціалізується на зборі, обробці і продажу персональних даних, застосовуючи при цьому засоби інформаційно-комп'ютерних технологій та телекомунікаційних мереж.

Виклад основного матеріалу. Враховуючи поширення загроз несанкціонованої автоматизованої обробки та поширення персональних даних, більшість європейських країн прийняли спеціальні закони та підписали Конвенцію Ради Європи “Про захист осіб у зв'язку з автоматизованою обробкою персональних даних” від 28 січня 1981 року № 108 [6, с 66-72]. Пізніше на рівні Європейського Союзу принципи Конвенції були конкретизовані у Директиві 95/46/ЄС Європейського парламенту та Ради “Про захист осіб у зв'язку з обробкою персональних даних та вільним обігом цих даних” від 24.10.1995 [6, с. 273-293], а також у Директиві 97/66/ЄС Європейського парламенту та Ради “Про обробку персональних даних і захист прав осіб у телекомунікаційному секторі” від 15 грудня 1997 року [6, с. 337-344]. Ці міжнародні акти є правовими стандартами, що визначають принципи національних законодавств у сфері захисту персональних даних як для європейських, так й інших країн світу.

Без дослідження регулятивних підходів окремих країн Європи, Сполучених Штатів Америки та інших демократичних держав, які мають розвинуте законодавство і багаторічний досвід з питань захисту прав та свобод людини, в тому числі права на захист персональних даних, ускладнюється розуміння сучасних проблем правового регулювання відносин із захисту відомостей про особу [7, с. 11]. Удосконалення національного законодавства можливе після проведення ретельного системного аналізу зарубіжної нормативної бази, виявлення пріоритетів та негативних сторін.

На думку О.М. Чернобай, безсумнівним лідером серед країн Європи у сфері правового регулювання та захисту персональних даних є Німеччина [8, с. 28]. Починаючи із середини ХХ ст. Німеччина почала формувати законодавство у сфері захисту персональних даних. У 1970 р. прийнято перший у світі нормативний акт, який регулював питання захисту персональних даних. Цей нормативний акт був запропонований федеральною землею Гесен, а згодом його було підтримано й іншими федеральними землями. Уряд землі Гесен розробив законопроект “Про захист даних у галузі адміністративного управління”, який передбачав два основних завдання:

- по-перше, попередити втручання у приватну сферу громадян Німеччини за допомогою нової інформаційної техніки;

- по-друге, не допустити змін визначеного конституцією країни розподілу повноважень виконавчих органів влади перед парламентськими органами у зв'язку з виникненням “інформаційних переваг”.

У 1977 р. аналогічний закон було прийнято й на федеральному рівні. З тих пір громадяни Німеччини мають право самостійно приймати рішення щодо розголошення своїх персональних даних, а захист їх прав з цього питання здійснює незалежний уповноважений із захисту персональних даних, якого обирають у Ландтазі.

Яскравим прикладом системної політики щодо захисту персональних даних у США є Закон “Про захист конфіденційності відеоматеріалів” (The Video Privacy Protection Act) 1980 р. [9]. Закон “Про захист користувачів кабельних мереж” (The Cable Television Consumer Protection and Competition Act) 1992 р. [10]. Вважаємо, що в умовах інформатизації вказані нормативно-правові акти відіграють важливу роль у гарантуванні прав людини та громадянина на захист персональних даних і особисту недоторканність. Слід зазначити, що у США діє концепція захисту інформації незалежно від носія такої інформації, а, отже, її захист здійснюється на загальних підставах (як і матеріальних цінностей). Ця концепція, як відзначають Д.П. Василенко та В.І. Маслак, реалізується через стандарт “CSA”, прийнятий у 1996 р. [7, с. 128]. Зазначений стандарт поширюється на всі країни - члени НАТО і містить низку найважливіших принципів щодо регулювання суспільних відносин у сфері захисту персональних даних, а саме:

1) відповідальність - організація несе відповідальність за ті персональні дані, що знаходяться під її контролем, і має призначати особу або осіб, які стежать за відповідністю дій організації принципам законодавства;

2) ідентифікація мети - мета, для якої збирається інформація, має бути ідентифікована організацією до початку процесу збирання інформації;

3) згода - усвідомлення та згода особи на збирання інформації про неї є обов'язковою умовою збирання, використання чи поширення (розкриття) персональних даних, крім випадків, де це недоречно;

4) обмежене збирання - збирання персональної інформації має бути обмежене метою, яка визначена (ідентифікована) організацією. Інформація може збиратися лише для справедливої та законної мети;

5) обмежене використання, поширення, зберігання (персональна інформація має використовуватися або поширюватися лише з тією метою, для якої вона була зібрана, окрім випадків згоди особи або вимоги закону. Персональна інформація не повинна зберігатися довше, ніж це необхідно для досягнення зазначеної мети;

6) точність - персональна інформація має бути точною, повною та сучасною, щоб досягти мети, для якої інформацію було зібрано;

7) безпека - персональна інформація має бути захищена за допомогою забезпечення такого рівня безпеки, який відповідає вимогам “чутливості” інформації;

8) відкритість - організація має зробити доступною для особи специфічну інформацію про політичне та практичне відношення організації до управління персональною інформацією;

9) особистий доступ - особа має бути проінформована про існування, використання та поширення персональної інформації про неї з наданням на її вимогу доступу до інформації. Особі має бути надана можливість перевірити точність і повноту інформації та виправити таку інформацію в разі необхідності;

10) перевірка відповідності - особа повинна мати можливість направити запит щодо перевірки відповідності операцій із персональними даними принципам законодавства.

Таким чином, розглянутий стандарт містить положення, які схожі за змістом з підставами та вимогами до обробки відомостей про фізичну особу, що містяться у ст. 6, 7 та 11 Закону України “Про захист персональних даних” [11].

Як зазначає Н.В. Кушакова - “Закони, які приймає американський Конгрес, стосуються конкретних проблем (прецедентів), що виникають у процесі активного використання інформаційних технологій, зокрема мережі Інтернет, а також спрямовані на захист права на інформацію чи можливих його обмежень у зв'язку з виявленням негативного впливу на інших членів суспільства чи суспільства в цілому” [12, с. 131]. Такий принцип є позитивним, оскільки узагальнення судової практики та використання її для удосконалення законодавства, гарантує отримання бажаного результату, а саме ефективних механізмів захисту персональних даних.

Слід зауважити, що в Україні судова практика не отримала належного розвитку як джерела удосконалення засобів правового регулювання сфери персональних даних, адже рішення судів не мають прямого впливу на вітчизняне законодавство у сфері обігу інформації персонального характеру [13].

Доречно звернути увагу на досвід Франції, де інститут Уповноваженого із питань захисту персональних (“номінативних”) даних функціонує на основі Закону “Про інформатику, картотеки та свободи” від 6 листопада 1978 р. Вказаний Закон поширюється на процеси автоматизованого збирання, обробку, зберігання і поширення персональних даних, передбачає створення Національної комісії з інформатики (Глава ІІ Закону 1978 р.), під контроль якої підпадає близько 120 тисяч електронних баз даних. Особи, які винні у порушенні Закону “Про інформатику, картотеки та свободи” можуть бути притягнуті до адміністративної (Декрет від 23 грудня 1981 р. № 81-1142) та кримінальної (Розділ V! Закону 1978 р.) відповідальності.

Г оловними елементами в системі захисту персональних даних у Франції є:

- надання дозволу на доступ до Національного реєстру і обробку персональних даних (ст.ст. 18, 19 Закону 1978 р.), на передачу даних за кордон (ст. 24 Закону 1978 р.);

- нагляд і контроль (перевірка заяв, скарг тощо) за дотриманням вимог із захисту даних (Розділ ІІ Закону 1978 р.), перевірка документів (ст. 21 Закону 1978 р.);

- видання розпорядження про порушення, попередження і звернення до прокуратури, оскарження неправомірних дій у суді (ст.ст. 21, 35 Закону 1978 р.);

- ведення Національного реєстру ідентифікації фізичних осіб (Декрет від 22 січня 1981 р. № 82-103), що здійснює Національний інститут статистики і економічних досліджень. До Реєстру вносять такі відомості: прізвище, ім'я, стать, дата і місце народження, дата й місце смерті, номера свідоцтв про народження та смерть, прізвище найближчого родича по чоловічій лінії для ідентифікації однофамільців. Крім того, до Реєстру вносять номер, що надається кожній особі, позначки про зміну в цивільному стані особи, показники, що необхідні для пошуку даних [13; 14, с. 39-41].

Процес становлення вітчизняної системи законодавства у сфері захисту персональних даних, безперечно, потребує використання зарубіжного досвіду, але, на нашу думку, таке запозичення повинно мати системний характер.

Щодо становлення законотворчої діяльності персональних даних в Україні ми маємо рамковий Закон України “Про захист персональних даних” і це великий успіх, звісно, існують прогалини, але всі принципи, які ми маємо в законі закладені міжнародними стандартами.

Спроби законодавчого врегулювання питання захисту приватної інформації в Україні мають тривалу історію. Законопроекти про захист персональних даних за № 2618 та № 0808 були ветовані Президентом України, як такі, що суперечать Конституції України та не відповідають вимогам міжнародно-правових актів. Після значних доопрацювань на розгляд Верховної Ради України було внесено нову редакцію проекту Закону України “Про захист персональних даних” № 2273, який був прийнятий у першому читанні 25 червня 2009 року. Відтоді до цього законопроекту надійшло 105 зауважень від народних депутатів України, 99 з яких було враховано. Тим не менше, у тексті законопроекту залишилося ряд суттєвих недоліків. Законопроект потребував доопрацювання та внесення на повторне друге читання, а вже 1 червня 2010 року Верховною Радою України був ухвалений цей Закон. 24 червня 2010 року Президент України підписав Закон України “Про захист персональних даних”, тож чинності новий Закон набув із січня 2011 року. Відповідний закон необхідно було ухвалити, адже це є однією з умов євроінтеграції України, зокрема сприятиме налагодженню співпраці з Європейським поліцейським офісом та Європейською організацією з питань юстиції.

Предметом правового регулювання Закону України “Про захист персональних даних” є відносини, пов'язані із захистом персональних даних під час їх обробки.

Закон України “Про захист персональних даних” [11] має вичерпний список суб'єктів інформаційних відносин персональних даних, про що йдеться, зокрема у [15, с. 120]:

- суб'єкт персональних даних - це фізична особа, персональних даних,якого обробляються;

- володілець персональних даних - це фізична або юридична особа, яка визначає мету обробки персональних даних;

- розпорядник персональних даних - це фізична або юридична особа, який є володільцем персональних даних або якій надано право обробляти персональні дані від імені володільця;

- третя особа - це будь-яка особа, за винятком суб'єкта персональних даних;

- Уповноважений Верховної Ради України з прав людини.

Враховуючи досвід функціонування системи захисту персональних даних в Україні, 3 липня 2013 року Верховна Рада України прийняла Закон України “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних”, який набув чинності 1 січня 2014 року. Відповідно до цього Закону були конкретизовані повноваження Уповноваженого Верховної Ради України з прав людини щодо контролю за додержанням законодавства про захист персональних даних.

Відповідно до ст. 23 Закону України “Про захист персональних даних” Уповноважений Верховної Ради України з прав людини має такі права:

- отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;

- проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних у порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;

- отримувати на свою вимогу та мати доступ до будь -якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;

- затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;

- складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;

- інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов'язки суб'єктів відносин, пов'язаних із персональними даними;

- здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних;

- організовувати та забезпечувати взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними, виконанням Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;

- брати участь у роботі міжнародних організацій з питань захисту персональних даних та інші.

Уповноважений Верховної Ради України з прав людини також має включати до своєї щорічної доповіді про стан додержання та захисту прав і свобод людини і громадянина в Україні звіт про стан додержання законодавства у сфері захисту персональних даних.

Висновки

За результатами розгляду ефективності захисту персональних даних в демократичних країнах із розвиненою ринковою економікою необхідно зазначити, що досвід зарубіжних країн може бути прийнятний для України.

Однією із головних функцій захисту персональних даних є забезпечення прав людини на недоторканість її особистого життя.

Нині сформована нормативно-правова база захисту персональних даних в Україні, в цілому може вважатися такою, яка за формою визначення нормативних приписів відповідає міжнародним правовим стандартам.

Потребує удосконалення понятійно-категоріальний апарат у сфері захисту персональних даних.

демократичний захист персональний законотворчий

Використана література

1. Інформаційна безпека та приватність у сфері захисту персональних даних / В.Г. Пилипчук, В.М. Брижко // Інформація і право. - № 4(19)/2016. - С. 60-70.

2. Права человека и защита персональных данных / [А.А. Баранов, В.М. Брыжко, Ю.К. Базанов]. - Харьков: ХПГ-Фолио, 2000. - 280 с. - (Издана при содействии Харьковской правозащитной группы и Национального фонда поддержки демократии США).

3. Гевлич А., Селиванов В. Державна політика у сфері захисту персональних даних : міжнародно-правовий аспект // Право України. - 2006. - № 1. - С. 9-15.

4. Проценко В.А. Особливості механізмів захисту персональних даних в законодавстві ЄС // Правова інформатика. - № 2(34)/2012. - С. 45.

5. Брижко В.М. Економічні та правові аспекти проблеми захисту персональних даних // Правова інформатика”. - № 1(29)/2011. - С. 25.

6. Системна інформатизація правоохоронної діяльності : європейські нормативно-правові акти та підходи до упорядкування суспільних інформаційних відносин у зв'язку з автоматизованою обробкою даних у правоохоронній діяльності : посібник. - Кн. 2 / [В. Брижко, М. Швець та ін.] ; за ред. д.е.н., професора М. Швеця. - К. : ТОВ “Пан Тот”, 2006 р. - 509 с.

7. Василенко Д.П., Маслак В.І. Законодавство провідних країн світу в сфері захисту інформації // Вісник КДУ імені Михайла Остроградського. - 2010. - № 2(61). - Ч. 1. - С. 128132.

8. Чернобай А.М. Правові засоби захисту персональних даних працівника : дис. на здобуття наук. ступеня канд. юрид. наук : спец. 12.00.05 / Антонина Миколаївна Чернобай. - Одеса : Нац. юридична академія, 2006. - 200 с.

Размещено на Allbest.ur