|
|||||||||||
Партнери УАВПП |
19 січня 2012
Рекомендації щодо застосування ЗУ «Про захист персональних даних»Рекомендації щодо застосування ЗУ «Про захист персональних даних» Аспекти організації захисту персональних даних відповідно до європейських стандартів Аналіз та визначення правових аспектів організації захисту персональних даних у сфері правоохоронної діяльності є вельми актуальним, з огляду на складність та суттєву специфіку даного питання. 1 червня 2010 року Верховна Рада України прийняла Закон України № 2297-VІ «Про захист персональних даних» (далі - Закон), який створив належні правові засади забезпечення захисту персональних даних в Україні та привів законодавство України у відповідність до міжнародних стандартів, зокрема Конвенції Ради Європи № 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних, ратифікованих 6 липня 2010 року Законом України № 2438-VІ (далі - Конвенція № 108 та Додатковий протокол до неї). Статтею 1 Закону визначається сфера його дії: Закон регулює відносини, пов’язані із захистом персональних даних під час їх обробки. Разом з цим зазначається, що дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах: фізичною особою - виключно для непрофесійних особистих чи побутових потреб; журналістом - у зв’язку з виконанням ним службових чи професійних обов’язків; професійним творчим працівником - для здійснення творчої діяльності. Жодних застережень (обмежень) щодо поширення його сфери дії на діяльність правоохоронних органів зі створення баз персональних даних та обробки персональних даних Закон не містить. Міжнародні стандарти у сфері захисту персональних даних відносять більшість персональних даних, що обробляються правоохоронними органами з огляду на певну специфіку їх діяльності, до категорії так званих чутливих персональних даних, зокрема про расове або етнічне походження людини, політичні, релігійні та світоглядні переконання, членство в політичних партіях або професійних спілках тощо. Цим, зокрема, і пояснюється важливість застосування особливих та додаткових правових гарантій захисту персональних даних під час їх обробки правоохоронними органами, адже чим більша чутливість та особливість персональних даних, тим вищий ризик порушення прав осіб на їх приватне життя. Відповідно до статті 6 Конвенції № 108 персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров’я або статевого життя, не можуть піддаватись автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій. Це правило також застосовується до персональних даних, що стосуються засудження в кримінальному порядку. Проте статтею 9 цієї ж Конвенції дозволяється виключення зі статті 6 тоді, коли таке відхилення передбачене законодавством Сторони та є в демократичному суспільстві необхідним заходом, спрямованим на захист державної та громадської безпеки, фінансових інтересів Держави або на боротьбу з кримінальними правопорушеннями. Особливості обробки так званих чутливих персональних даних визначені й статтею 7 Закону. Виходячи з аналізу положень статті 7, можна зробити висновок, що обробка таких персональних можлива, якщо вона «стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом». Детальне роз’яснення положень статті 9 Конвенції № 108 міститься у Рекомендації Комітету Міністрів Ради Європи № (87) 15 «Про захист персональних даних у секторі поліції» (1987 р.). Рекомендацією визначаються 8 базових принципів захисту персональних даних у секторі поліції1. Принципи, що містяться в цій рекомендації, поширюються на збір, зберігання, використання та передачу персональних даних для поліцейських цілей, які є предметом автоматичної обробки. Для цілей цієї Рекомендації термін «персональні дані» охоплює будь-яку інформацію, що стосується ідентифікованої особи. Особа не може розглядатися як «ідентифікована», якщо ідентифікація вимагає занадто багато часу, витрат і трудових ресурсів. Термін «для поліцейських цілей» охоплює всі завдання, які поліцейські повинні виконати для попередження і припинення кримінальних злочинів і підтримки громадського порядку. Держава - член Ради Європи, яка ратифікувала Конвенцію № 108, може застосовувати принципи, що містяться в цій рекомендації до персональних даних, які не піддаються автоматизованій обробці. Проте ручна обробка персональних даних не дозволяється, якщо її мета полягає в тому, щоб уникнути положень цієї рекомендації. Перший принцип стосується контролю за обробкою персональних даних. Згаданий принцип полягає в тому, що існує необхідність мати незалежний наглядовий орган за межами сектора поліції, який повинен нести відповідальність за забезпечення дотримання принципів, викладених у цій рекомендації. На цей же наглядовий орган має бути покладено функцію реєстрації файлів (баз) персональних даних, що будуть оброблятися для поліцейських цілей. Крім цього, не повинно існувати таємних файлів (баз) персональних даних як таких, що невідомі громадськості. Другий принцип визначає особливі аспекти збору персональних даних. Збір персональних даних для поліцейських цілей має бути обмежений до такої міри, яка необхідна для запобігання реальної загрози або припинення конкретного кримінального злочину. Будь- яке виключення з цього положення має стати предметом конкретного національного законодавства. Як тільки об’єкт діяльності поліції більше не зможе завдати шкоди, фізичну особу необхідно поінформувати (у разі збирання і зберігання даних про цю особу без її згоди) про місце зберігання інформації про неї або видалення (знищення) цих даних. Збір персональних даних про осіб, винятково на тій підставі, що вони мають расову приналежність, релігійні переконання, сексуальну поведінку або політичні переконання, або належать до конкретних рухів чи організацій, не заборонених законом, має бути заборонено. Збір даних за цими позиціями може бути здійснено тільки в разі нагальної потреби для цілей персональних запитів правоохоронних органів. Третій принцип стосується зберігання персональних даних. По мірі можливості, зберігання персональних даних для поліцейських цілей має бути обмежено точністю даних і відноситись до таких даних, які необхідні органам поліції для виконання своїх законних завдань у рамках національного законодавства і своїх зобов’язань, що випливають з міжнародного права. Різні категорії персональних даних, що зберігаються, повинні розрізнятись відповідно за їх ступенем точності й надійності і, зокрема, дані, засновані на фактах, слід відрізняти від даних на основі думки або особистої оцінки. Персональні дані, які були зібрані для адміністративних цілей і які повинні зберігатися постійно, має бути збережено в окремий файл. Ці дані повинні зберігатися окремо від даних, зібраних для адміністративних цілей, у тому числі й про адміністративні правопорушення. Четвертий принцип визначає, що персональні дані, які збираються і зберігаються поліцією для поліцейських цілей, повинні використовуватися виключно для цих цілей. П’ятий принцип визначає особливості передачі персональних даних поліцейськими органами: у поліційному секторі (передача даних між поліцейськими органами, які будуть використовуватися для поліцейських цілей, допустима, якщо існують законні підстави для такої передачі і вона не виходить за рамки правових повноважень цих органів), державним органам, приватним особам, іноземним суб’єктам, пов’язаним з персональними даними. Правовою підставою для передачі таких персональних даних є наявність двох або багатосторонніх домовленостей між державами. Також принципом врегульовані питання умов та гарантій передачі таких даних. Принцип шостий регламентує право суб’єкта персональних даних на ознайомлення і виправлення помилкових даних. Наглядовий орган повинен вжити заходів, аби упевнитися в тому, що громадськість було поінформовано про існування файлів, які є предметом подання відповідного повідомлення, а також про свої права стосовно цих файлів. Реалізація цього принципу повинна враховувати специфіку спеціальних файлів: необхідність запобігти серйозної шкоди продуктивності вирішення завдань, що належать до компетенції органів поліції. Права на доступ, виправлення і знищення персональних даних повинні бути обмежені тільки в тій мірі, в якій обмеження є необхідною передумовою для виконання безпосередніх завдань поліції або якщо це необхідно для захисту суб’єкта даних, або прав і свобод інших осіб. Варто зазначити, що національним правовим механізмом повинен бути знайдений баланс між таємним характером обробки персональних даних з метою боротьби зі злочинністю та принципом доступу до персональних даних. Сьомий принцип стосується тривалості зберігання персональних даних. Відповідно до цього принципу персональні дані, що збиралися з визначеною метою, після досягнення визначеної мети повинні знищуватися. З цією метою, зокрема, слід приділити увагу наступним критеріям: необхідність зберігання даних у світлі висновків розслідування конкретної справи; остаточного судового рішення, зокрема, звільнення від покарання; реабілітації; засуджень, що проводилися; амністій; вік суб’єкта даних, окремих категорій даних. Восьмий принцип стосується забезпечення захисту персональних даних від незаконної обробки та незаконного доступу до них. Відповідальний орган повинен вжити всіх необхідних заходів для забезпечення відповідної фізичної та логічної безпеки даних і запобігання несанкціонованого доступу, передачі або зміни. Підсумовуючи вищезазначене, варто зауважити, що згадані рекомендації в цілому належним чином імплементовані в національне законодавство України. Проте подальшого вирішення потребують наступні питання: - забезпечення реєстрації всіх баз персональних даних правоохоронних органів у Державному реєстрі баз персональних даних. Не повинно існувати таємних баз персональних даних; - створення механізмів нагляду (контролю) з боку уповноваженого органу з питань захисту персональних даних (Державної служби України з питань захисту персональних даних) за дотриманням правоохоронними органами встановлених законом вимог щодо обробки персональних даних; - запровадження механізмів контролю з боку громадськості за обробкою персональних даних через уповноважений орган з питань захисту персональних даних. Важливим аспектом також залишається приведення законодавства, яке регламентує діяльність правоохоронних органів України, у відповідність до Закону України «Про захист персональних даних». Відповідно до статті 2 Закону володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Також відповідно до статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. Отже, законодавство, що регламентує діяльність правоохоронних органів, обов’язково повинно враховувати: - чітку мету обробки персональних даних у базі персональних даних (наприклад, з метою забезпечення особистої безпеки громадян, захист їхніх прав і свобод, законних інтересів тощо); - склад персональних даних (наприклад, прізвище, ім’я, по батькові (інші імена, псевдоніми, прізвиська), дата і місце народження, національність, стать, обставини здійснення або підготовки до вчинення злочинів, засоби здійснення злочинів, підозрюване членство у злочинній групі тощо); - процедури обробки персональних даних у базах персональних даних з урахуванням специфіки обробки персональних даних у сфері правоохоронної діяльності.
Олексій МЕРВІНСЬКИЙ, Голова Державної служби України з питань захисту персональних даних КоментаріДодати коментар |
У своїй статті для «Юридичної газети» Голова Державної служби України з питань захисту персональних даних Олексій Мервінський розповів про європейські стандарти організації захисту персональних даних, які були застосовані в національному законодавстві, а також про аспекти, які потребують удосконалення у вітчизняному законодавстві, що регулює дану сферу.