ПРАВОВЕ РЕГУЛЮВАННЯ ВІДНОСИН ОБІГУ ПЕРСОНАЛЬНИХ ДАНИХ Автореферат

У Вступі обґрунтовується актуальність теми дослідження, зазначається зв’язок роботи з науковими програмами, планами, темами, формулюються мета й завдання, об’єкт, предмет дослідження та його методи, актуалізується наукова новизна, формулюються основні наукові положення, які виносяться на захист, підкреслюється теоретичне й практичне значення отриманих результатів, подаються відомості про їх апробацію та практичне впровадження, а також наводяться публікації автора за темою дослідження.

У Розділі 1 «Персональні дані як об’єкт правовідносин», виходячи з концепції роботи щодо доцільності дослідження правового регулювання суспільних відносин (інформаційних та управлінських) у сфері обігу персональних даних у формі правовідносин вважалося за необхідне проаналізувати один з елементів зазначених правовідносин – об’єкт правовідносин. Це потребувало аналізу як доктринальних розробок, так і відповідних нормативно-правових актів у сфері обігу персональних даних.

У підрозділі 1.1 «Персональні дані особи: аналіз наукових джерел» автором здійснено огляд наукової літератури з теми дисертації, аналіз стану дослідженості теми в правовій науці, подано оцінку здобутків українських та іноземних дослідників із зазначеної проблеми. Виявлено, що на сьогоднішній день безпосередньо проблематиці обігу та захисту, як його складової частини, персональних даних присвячені лише поодинокі праці вітчизняних науковців. До того ж, ці питання розглядались ними здебільшого відокремлено одне від одного: перше – в контексті теорії прав людини, друге – з точки зору міжнародно-правового регулювання інформаційних та управлінських відносин. Крім того, оскільки інститут «персональних даних» є відносно новим в українському правовому полі, в юридичній літературі практично відсутні публікації щодо особливостей правового застосування положень чинного інформаційного та адміністративного законодавства у сфері обігу персональних даних особи.

У контексті теорії прав людини ті чи інші проблеми правового регулювання відносин щодо охорони та використання персональних даних розглядає низка українських науковців у різних площинах. Окремі аспекти забезпечення інтересів суспільства в доступі до інформації, які вступають у протиріччя з інтересами осіб на захист від розголошення персональних даних, досліджені в українській правовій науці більш глибоко, що можна пояснити сучасними політико-правовими вимогами до відкритості влади, дотримання свободи слова в Україні, тощо.

У підрозділі 1.2 «Нормативно-правове регулювання інституту персональних даних» розглядається нормативна природа інституту персональних даних як загальновизнаного права людини, закріпленого в міжнародно-правових документах, а також зарубіжному та вітчизняному праві. З цією метою було проаналізовано основні міжнародно-правові документи, які регулюють відносини щодо обігу персональних даних, а також практику забезпечення недоторканності персональних даних як національними судовими органами країн Європи, так і Європейським Судом з прав людини; проаналізовано норми чинного законодавства України та інших демократичних держав. У підрозділі аналізуються питання відповідності національного адміністративного та інформаційного законодавства міжнародним стандартам у сфері обігу персональних даних особи.

Доводиться, що однією з основних тенденцій розвитку праворозуміння сьогодні є перехід від захисту приватного життя (зокрема, безпеки персональних даних) до захисту права на інформаційне самовизначення (інформаційної автономії). Нормативно-правовий розвиток зазначених прав став своєрідною відповіддю на загрозу недоторканості приватного життя через активне зростання рівня потужностей інформаційно-телекомунікаційних систем направлених на збір, управління й використання інформації, у тому числі про людину.

Особливу увагу в дисертації приділено аналізу положень Конвенції Ради Європи № 108 про захист осіб стосовно автоматизованої обробки даних особистого характеру від 28 січня 1981 року та Директиви 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних від 24 жовтня 1995 року.

Важливим є той факт, що Україна, врахувавши накопичений іноземними державами правовий досвід, суспільно-політичні перетворення та правові реформи, які мали місце в українському суспільстві, використала можливості трансформації основоположного акту міжнародного рівня в даній сфері – Конвенції Ради Європи № 108 «Про захист осіб стосовно автоматизованої обробки персональних даних» – з урахуванням національних умов реалізації правових норм, що, безперечно, свідчить про готовність держави розвивати інститут персональних даних і забезпечувати його ефективне функціонування.

Стверджується, що сьогодні, в межах української системи адміністративного й інформаційного законодавства взагалі та регулювання безпечного обігу персональних даних особи зокрема, успішно розвиваються три найважливіші напрями. Однак, процес формування нормативної бази, яка регулює обіг персональних даних, сьогодні знаходиться лише на стадії розвитку, про що свідчить, перш за все, активна нормотворча діяльність у цьому напрямку. Безумовно, законодавцю слід знайти вирішення низки найважливіших завдань і нагальних проблем правозастосування. Зокрема, до них належать наступні: 1) визначення місця Закону України «Про захист персональних даних» у системі нормативних актів, що регулюють окремі види інформації обмеженого доступу; 2) упорядкування масиву підзаконних актів, що регламентують окремі питання обігу персональних даних; 3) зміщення акценту закону з порядку та умов обігу персональних даних на принципові питання захисту прав і свобод суб’єкта даних.

У підрозділі 1.3 «Поняття та класифікація персональних даних» визначається поняття персональних даних, розкривається їх нормативний зміст та здійснюється їх класифікація.

При визначенні поняття персональних даних автор використовує положення Конвенції Ради Європи про захист осіб стосовно автоматизованої обробки даних особистого характеру 1981 p., згідно зі ст. 2 якої «дані особистого характеру» означають будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною, а також положення Законів України «Про захист персональних даних» та «Про інформацію».

Стверджується, що основним призначенням інституту персональних даних служить необхідність ідентифікації конкретної особи, яка бере участь у приватних або публічних правовідносинах. Особливістю персональних даних як різновиду інформації обмеженого доступу є те, що в більшості випадків в ідентифікації зацікавленим є, насамперед, сам суб’єкт даних, який визначає тим самим ступінь впливу на приватну сферу його життя з боку третіх осіб.

Зміст, який вкладається законом у поняття «персональні дані», є дуже широким, що підтверджується відкритістю переліку відомостей, віднесених до складу персональних даних. Автор вважає, що, враховуючи саму природу персональних даних, повністю їх перерахувати досить складно, що й зумовило підхід законодавця, згідно з яким суб’єкт має право частково самостійно формувати свій «інформаційний портрет», вирішуючи, які з характеристик, що його ідентифікують, слід віднести до числа персональних даних, а які ні. Пропонується замінити термін «обробка персональних даних» на більш ємний і точний за змістом термін «обіг персональних даних».

Закон також не встановлює чіткої класифікації персональних даних залежно від певного критерію, але його аналіз дозволяє зробити висновок про наявність основних категорій персональних даних, серед яких такі: звичайні, спеціальні, біометричні. Особливість останніх полягає в наявності спеціального правового регулювання обігу їх окремих видів.

Автор доводить, що однією з основних проблем, що вимагають адекватного правового вирішення, у цьому відношенні є та, що часто одні й ті ж персональні дані можуть бути одночасно віднесені до двох або навіть трьох видів. При цьому, алгоритм вибору оператором дій щодо відповідного виду персональних даних законом не встановлений. Видається, що при вирішенні зазначеної проблеми слід враховувати таку властивість персональних даних, як системність, що передбачає необхідність існування сукупності персональних даних для ефективної ідентифікації особистості, а не єдиного інформаційного критерію. Отже, оператору необхідно, визначаючи принципи обробки тих чи інших даних, враховувати основну мету, поставлену перед ним.

Оскільки поняття загальнодоступних персональних даних відсутнє в Законі України «Про захист персональних даних», на думку автора, є необхідність введення в законодавство термінів «загальнодоступні персональні дані» та «загальнодоступні джерела персональних даних». Під загальнодоступними персональними даними слід розуміти персональні дані, доступ необмеженого кола осіб до яких надано за згодою суб’єкта персональних даних або на які, відповідно до законодавства, не поширюється вимога дотримання конфіденційності. Натомість, до загальнодоступних джерел персональних даних можуть належати довідники, каталоги, адресні книги, до яких поміщені дані про особу за згодою цієї особи.

У Розділі 2 «Суб’єкти та зміст правовідносин щодо обігу персональних даних» досліджуються два елементи правовідносин, відповідно до підходу дисертанта щодо доцільності аналізу правового регулювання суспільних відносин (інформаційних та управлінських) у формі правовідносин. Зокрема, автором досліджуються особливості правового статусу суб’єкта персональних даних, висвітлюються основи правового регулювання положення володільця (розпорядника) бази персональних даних, а також визначаються основні права та обов’язки суб’єктів, що беруть участь в обігу персональних даних.

Підрозділ 2.1 «Суб’єкт персональних даних: загальна характеристика» присвячений визначенню критеріїв, що впливають на можливість набуття та реалізації фізичною особою статусу суб’єкта персональних даних, розгляду можливостей гарантування безпеки персональних даних особи в разі її смерті.

Автор стверджує, що суб’єкт права є однією з базових категорій як загальної теорії права в цілому, так і інформаційного права зокрема. Саме наявність в структурі правовідносин суб’єкта лежить в основі правореалізаційних процесів, що додають нормі права статус регулятора суспільних відносин. При цьому суб’єктом права на наявність персональних даних і збереження обмеженого доступу до них в рамках, встановлених законом, є будь-яка фізична особа. Критеріями, що впливають на можливість реалізації зазначених прав, на думку дисертанта, є вік і обсяг дієздатності.

Закон «Про захист персональних даних» не виділяє чітких критеріїв, які дозволяють охарактеризувати суб’єкта як учасника правовідносин (наприклад, з точки зору віку, обсягу дієздатності, громадянства тощо). Закон лише вказує на те, що суб’єктом персональних даних є фізична особа, стосовно якої, відповідно до закону, здійснюється обробка її персональних даних. Отже, в якості одного з основних критеріїв визначення можливості того чи іншого суб’єкта виступати в якості учасника правовідносин традиційно розглядається вік. Віковий критерій впливає на такі важливі характеристики особи, як обсяг дієздатності, деліктоздатність, здатність мати спеціальні права тощо.

Водночас, попри те, що законом встановлені певні вікові межі, при настанні яких особа має право реалізовувати належні їй права, очевидним залишається факт наявності в особи, яка не досягла цього віку, сукупності персональних даних.

Крім того, автор звертає увагу на те, що Законом «Про захист персональних даних» не врегульовано правовий режим персональних даних, котрі містяться в базах даних після смерті особи. Тобто на сьогодні в разі смерті суб’єкта персональних даних згоду на їх обробку повинні давати в письмовій формі спадкоємці особи, якщо така згода не була надана при житті суб’єкта. Якщо розглядати незаконну обробку персональних даних особи після її смерті як дію, спрямовану на применшення її честі, гідності та/або ділової репутації (наприклад, у разі внесення до персональних даних змін, що не відповідають дійсності), то вважаємо необхідним законодавчо передбачити можливість захисту честі та гідності громадян після їх смерті на вимогу зацікавлених осіб. Якби право на недоторканність персональних даних мало майновий характер, воно могло б бути реалізоване, зокрема, спадкоємцями суб’єкта персональних даних, а також за допомогою інших механізмів.

У підрозділі 2.2 «Володілець (розпорядник) бази персональних даних: поняття та види» автором розглядається поняття володільця (розпорядника) бази персональних даних; аналізуються його правомочності в залежності від професійного статусу, а також форми власності.

Говорячи про статус володільців (розпорядників) персональних даних, автор визначає єдиним критерієм, який дозволяє віднести ту чи іншу особу до їх числа, факт організації обігу та (або) здійснення ними обробки персональних даних. Однак, крім об’єктивних критеріїв (таких, наприклад, як обсяг правоздатності та дієздатності), необхідно брати до уваги наявність легальних критеріїв, що дозволяють говорити про збільшення можливостей того чи іншого оператора брати участь в обігу персональної інформації.

Автор звертає увагу на окремі особливості правового регулювання обігу персональних даних у галузях освіти та медицини. Так, зокрема, стверджується, що чинне законодавство України у сфері освіти потребує вдосконалення щодо гарантування безпеки обігу персональних даних. Виокремлено таке: масив персональних даних, які фігурують та виникають у процесі навчання й потребують захисту згідно з законодавством України, містить у собі майже весь спектр персональних даних особи, серед яких є «вразливі»; слід забезпечити легітимність обігу персональних даних, які фігурують та виникають в процесі навчання, шляхом запровадження обов’язкової письмової згоди на їх обробку, однак, цієї зміни недостатньо для гарантування безпеки обігу цих даних; варто також закріпити в законах України положення, що згода на обробку персональних даних дитини повинна надаватись її батьками разом зі згодою батьків на обробку їх персональних даних.

Крім того, автор визначає основні суб’єкти збереження лікарської таємниці (зокрема, враховуючи специфічний правовий статус дитини-пацієнта), а також виокремлює випадки, за яких лікарська таємниця може бути розголошена без згоди особи чи її законних представників.

Підрозділ 2.3 «Зміст правовідносин щодо обігу персональних даних особи» присвячений аналізу кореспондуючих прав і обов’язків суб’єктів, котрі беруть участь в обігу персональних даних.

Автор стверджує, що суб’єкти правовідносин пов’язані між собою суб’єктивними правами та обов’язками, які виникають завдяки урегульованості правом відповідного ставлення. Кожне з належних суб’єкту персональних даних суб’єктивних прав надає йому можливість вести себе певним чином і розраховувати на правомірні дії (або бездіяльність) з боку як володільця (розпорядника), так і третіх осіб. Юридичні ж обов’язки зазначених осіб, кореспондуючи правам суб’єкта персональних даних, забезпечують їх реальне здійснення й нормальний стан правовідносин в цілому.

Весь спектр прав, що надаються законодавством суб’єкту персональних даних, виникає у нього одноразово, однак реалізація кожного з них залежить від етапу розвитку правовідносин з обігу персональних даних. У зв’язку з цим запропоновано запровадити такі категорії прав суб’єктів персональних даних у залежності від часу їх реалізації: 1) права суб’єкта персональних даних, реалізовані до початку їх обігу; 2) права суб’єкта персональних даних, реалізовані під час їх обігу; 3) права суб’єкта персональних даних, реалізовані після їх обігу.

У Розділі 3 «Правове регулювання управлінських відносин у сфері обігу персональних даних: окремі питання», враховуючи існування певних особливостей характеру суспільних відносин, які виникають під час обігу персональних даних, автор вважає за доцільне акцентувати увагу на ролі держави у формуванні правових засад державної політики в зазначеній сфері, а також на повноваженнях відповідного органу державної влади, який може поставати як суб’єктом правовідносин, так і суб’єктом правозастосування.

Саме через це підрозділ 3.1 «Правові основи державної інформаційної політики у сфері обігу персональних даних» присвячений висвітленню особливостей здійснення інформаційної політики держави у сфері обігу персональних даних.

Автор звертає увагу на те, що в інформаційному суспільстві політика та інформація – це взаємозалежні явища, що впливають одне на одного в процесі соціального управління. Якість інформації та її доступність, сучасні інформаційно-телекомунікаційні технології, що радикально збільшують обсяг і швидкість поширення інформації, викликають глибокі зміни в політиці конкретної держави, спричиняють суттєвий вплив на характер і системи володарювання. Водночас, і політичні структури впливають на інформацію, ступінь її відкритості, процеси доставки, характер передачі споживачу.

Суцільна інформатизація всіх сфер життя суспільства, зокрема сфери обігу персональних даних особи, суспільства, економіки та фінансів, державної інфраструктури, ставить питання про комплексний підхід до проблеми інформаційної безпеки. При цьому, проблема інформаційної безпеки набула особливо вагомого значення в наш час. Захист інформаційного суверенітету тісно пов’язаний із поняттям інформаційної безпеки, що може розглядатися як захищеність внутрішньої інформації як такої, що передбачає захищеність якості інформації, її надійність, захищеність різних галузей інформації (державної, банківської, комерційної таємниці) від розголошення, захищеність інформаційних ресурсів.

Автор акцентує увагу на тому, що основні шляхи та напрямки реалізації основних засад інформаційної безпеки повинні зазначатися в науково обґрунтованій доктрині інформаційної безпеки, якої на сьогодні в Україні, на превеликий жаль, немає. Вона, зазвичай, розробляється на визначений період. Доктрина інформаційної безпеки держави є не тільки системою офіційно прийнятих поглядів щодо інформаційних та інших питань. Вона, насамперед, є керівництвом до дії. На основі доктринальних положень здійснюється широке коло управлінських заходів і дій у зовнішній і внутрішній політиці держави.

Державна інформаційна політика у сфері обігу персональних даних сьогодні спрямована на забезпечення належних правових, економічних, внутрішньо- та зовнішньополітичних, організаційних та інших умов. Усі ці умови необхідні для: 1) створення розвиненої та захищеної інформаційної інфраструктури України; 2) розвитку міжнародного співробітництва в інформаційній сфері та утвердження України як країни з інформаційним суспільством; 3) гарантування безпеки інформаційної діяльності, життєво важливих інтересів особи, суспільства та держави в інформаційній сфері.

Підрозділ 3.2 «Уповноважений орган з питань захисту персональних даних: питання правового регулювання діяльності» розкриває сутність та зміст такого напряму діяльності держави у сфері обігу персональних даних громадян, як здійснення контролю за відповідністю вимогам закону процесів їх збору, використання та розпорядження, що здійснюються на рівні як державних (муніципальних), так і приватних структур.

Автор зазначає, що в Європейському Союзі склалася сувора система адміністративних, правозастосовчих, консультативних та наглядових органів, котрі забезпечують дотримання права на недоторканність персональних даних як у приватній, так і в публічній сферах. Відмітна риса правового статусу зазначених органів – незалежність як основний принцип їх діяльності.

Український досвід створення спеціальної інституційної структури, що здійснює контроль за безпекою обігу персональних даних і захистом прав їх суб’єктів, багато в чому нагадує європейський. Слідуючи європейським традиціям, Закон України «Про захист персональних даних» докладно розкрив компетенцію уповноваженого органу, надавши йому сукупність ефективних засобів впливу на порушників законодавства у сфері обігу персональних даних, контролю за діяльністю суб’єктів цих правовідносин, а також захисту прав суб’єктів відповідної інформації.

Разом з тим, основною критичною характеристикою статусу Уповноваженого органу, що виділяється теоретиками права, є його «залежність» від інших владних структур через його входження в систему органів виконавчої влади України. Досвід європейських країн свідчить про те, що Уповноважений орган з питань захисту персональних даних – це структура, яка підпорядковується парламенту, тобто це організаційна структура, що має спеціальні повноваження, які визначені саме парламентом, що здійснює нагляд і контроль за діяльністю у сфері обігу персональних даних, несе відповідальність за вирішення питань щодо виконання законодавства про персональні дані.

Автор пропонує внести зміни до чинного законодавства України, що визначає статус Державної служби України з питань захисту персональних даних.