Права людини і захист персональних даних

Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу. Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження.

Джерелами документованої інформації про особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.

Конституцією України передбачено, що ніхто не може зазнавати втручання в його особисте і сімейне життя. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Кожний громадянин має право ознайомитися в органах державної влади, місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою таємницею. Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Ці права закріплені також у Законі України “Про інформацію” (ст. 23, 31), а також – у Цивільному кодексі (ст. 277, 286, 301, 302) [16].

Державні органи та організації, органи місцевого і регіонального самоврядування, інформаційні системи яких вміщують інформацію про громадян, зобов'язані надавати її безперешкодно і безкоштовно на вимогу осіб, яких вона стосується, крім випадків, передбачених законом, а також вживати заходів щодо запобігання несанкціонованому доступу до неї. У разі порушень цих вимог Закон гарантує захист громадян від завданої їм шкоди використанням такої інформації.

Забороняється доступ сторонніх осіб до відомостей про іншу особу, зібраних відповідно до чинного законодавства державними органами, організаціями і посадовими особами. Зберігання інформації про громадян не повинно тривати довше, ніж це необхідно для законно встановленої мети.

Відмова в доступі до такої інформації, або приховування її, або незаконні збирання, використання, зберігання чи поширення можуть бути оскаржені до суду.

Особа, особисті немайнові права якої порушено внаслідок поширення про неї та (або) членів її сім'ї недостовірної інформації, має право на відповідь, а також на спростування цієї інформації. Право на відповідь, а також на спростування недостовірної інформації щодо особи, яка померла, належить членам її сім'ї, близьким родичам та іншим заінтересованим особам. Вважається, що негативна інформація, поширена про особу, є недостовірною. Спростування недостовірної інформації здійснюється особою, яка поширила інформацію. Поширювачем інформації, яку подає посадова чи службова особа при виконанні своїх посадових (службових) обов'язків, вважається юридична особа, у якій вона працює. Якщо особа, яка поширила недостовірну інформацію, невідома, фізична особа, право якої порушено, може звернутися до суду із заявою про встановлення факту неправдивості цієї інформації та її спростування.

Спростування недостовірної інформації здійснюється незалежно від вини особи, яка її поширила.

Особа має право на таємницю про стан свого здоров'я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при її медичному обстеженні. Забороняється вимагати та подавати за місцем роботи або навчання інформацію про діагноз та методи лікування фізичної особи.

Враховуючи необхідність застосування сучасних технологій при автоматизованій обробці інформації про особу, а також виникнення загрози для конкретної людини стосовно витоку та несанкціонованого використання персональних даних, багато європейських країн підписали Конвенцію про захист фізичних осіб при автоматизованій обробці персональних даних (м. Страсбург, 28.01.81 р.) [4]. Принципи, що містяться у Конвенції, уточнюються і розширюються в Директиві 95/46/ЕС Європейського парламенту і Ради від 24 жовтня 1995 року [6] стосовно захисту фізичних осіб у питаннях обробки персональних даних і вільного обігу цих даних та в Директиві 97/66/ЕС Європейського парламенту і Ради від 15 грудня 1997 року [7] стосовно обробки персональних даних і захисту приватності у телекомунікаційному секторі.

Україна приєдналася до Європейської Конвенції “Про захист особи у відношенні автоматичної обробки персональних даних” [4].

Для цілей цієї Конвенції:

a) "дані особистого характеру" означають будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною ("суб'єкт даних");

b) "файл даних для автоматизованої обробки" означає будь-який масив даних, що піддаються автоматизованій обробці;

c) "автоматизована обробка" включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних і/або арифметичних операцій з цими даними, змінення, знищення, вибірка або поширення даних;

d) "контролер файлу" означає фізичну чи юридичну особу, державний орган, установу або будь-який інший орган, що має повноваження відповідно до внутрішнього права вирішувати щодо цілі файлу даних для автоматизованої обробки, категорій даних особистого характеру, що мають зберігатися, та операцій, які мають здійснюватися з ними.

Дані особистого характеру, що свідчать про расову приналежність, політичні або релігійні чи інші переконання, а також дані особистого характеру, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє право не забезпечує відповідних гарантій. Це правило застосовується також до даних особистого характеру, що стосуються засудження у кримінальному порядку.

Для захисту даних особистого характеру, що зберігаються у файлах даних для автоматизованої обробки, вживаються відповідні заходи захисту, спрямовані на запобігання випадковому чи несанкціонованому знищенню або випадковій втраті, а також на запобігання несанкціонованому доступу, зміненню або поширенню.

Будь-якій особі має бути надана можливість:

a) встановлювати існування файлу даних особистого характеру для автоматизованої обробки, його головні цілі, а також особистість та постійне помешкання чи місце знаходження головної штаб-квартири контролера файлу;

b) отримувати через розумні проміжки часу та без надмірної затримки або витрат підтвердження або спростування зберігання даних особистого характеру, що її стосуються, у файлі даних для автоматизованої обробки, а також отримувати такі дані у доступній для розуміння формі;

c) вимагати у відповідних випадках виправлення або знищення таких даних, якщо вони оброблялися на порушення положень внутрішнього права, що запроваджують основоположні принципи цієї Конвенції;

d) використовувати засоби правового захисту у разі невиконання передбаченого у пунктах b і c цієї статті прохання про підтвердження або у відповідних випадках про надання, виправлення або знищення даних.

Відступ від положень цієї Конвенції дозволяється у випадках, коли такий відступ передбачається внутрішнім законодавством та є у демократичному суспільстві необхідним заходом, спрямованим на:

a) захист державної та громадської безпеки, валютно-кредитних інтересів держави або на боротьбу із кримінальними правопорушеннями;

b) захист суб'єкта даних або прав і свобод інших людей.

Обмеження на здійснення прав можуть запроваджуватися законодавством стосовно файлів даних особистого характеру для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень, у випадках явної відсутності небезпеки порушення недоторканості особистого життя суб'єктів даних.

Але наявний в Україні на цей час стан нормативно-правової бази не забезпечує захист прав людини щодо виконання положень статей 3, 32, 34 Конституції України стосовно персональних даних. Чинні на цей час більш як два десятки законів України, що пов’язані зі збиранням, зберіганням, використанням та поширенням інформації про особу (персональних даних), не мають навіть чіткого та скорельованого з європейським законодавством визначення персональних даних, хоч це поняття несе гносеологічне навантаження, а саме на його базі повинні формуватися гіпотези норм, регулюючих відношення в процесі захисту тих або інших персональних даних. Сучасний стан суспільних відносин, який характеризується тім що рух інформації, товарів, осіб, послуг і капіталів пов’язано з використанням персональних даних (соціального, фінансового, правоохоронного, науково-технічного та ін. характеру) вимагає не тільки вільний рух інформації про особу, але й забезпечення їх захисту у відповідності до основних прав і свобод людини.

З метоює усунення недоліків нормативно-правового забезпечення захисту персональних даних в Україні відповідно до законодавства Європейського співтовариства, сприяння спільним діям щодо соціального, економічного і науково-технічного прогресу і забезпечення балансу прав людини, суспільства та держави в сфері персональних даних на цей час розроблено та подано на розгляд Верховною Радою України проект закону “Про захист персональних даних “ [47].

Він базується на пріоритеті інтересів та праві власності людини на персональні дані, як інформації, виходячи з положень ст. 3, 32 Конституції України, ст.30, 38, 39 і 54 Закону України "Про інформацію", ст.2 Закону України "Про власність", з урахуванням балансу прав особи, суспільства і держави в умовах становлення і розвитку інформаційно-комунікативних процесів. Захист осіб застосовується як до автоматизованого, так і до ручного оброблення персональних даних [42-44].

Проект внесено народними депутатами України М. К. Родіоновим, Ніколаєнко С. М., Юхновським І. Р., Толочко П.П., Ситником К. М.

У цьому Законі терміни вживаються в такому значенні:

автоматизоване оброблення персональних даних - сукупність операцій з персональними даними, які здійснюються повністю або частково за допомогою автоматизованих систем;

база персональних даних - іменована сукупність упорядкованих відомостей про фізичну особу в електронному вигляді чи картотеках;

власник персональних даних - фізична особа, яка має виключне право власності на персональні дані про себе;

володілець персональних даних - суб’єкт відносин, пов’язаних з персональними даними, якому надано часткове або повне право на використання відомостей про власника персональних даних;

ідентифікація персональних даних - встановлення тотожності певної фізичної особи відомостям про неї, які визначають її особистість;

оброблення персональних даних — будь-яка дія або сукупність дій, здійснених або не здійснених через процеси в автоматизованій системі, які пов’язані із збиранням (набуттям, придбанням), реєстрацією, накопиченням, збереженням, використанням і поширенням (розповсюдженням, реалізацією) відомостей про фізичну особу;

персональні дані - окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифіковані;

право власності на персональні дані - встановлене законом право фізичної особи на володіння, користування, розпорядження відомостями про себе, а також право забороняти іншим суб’єктам їх використання, крім випадків, передбачених законодавством України;

розпорядник автоматизованої системи - фізична або юридична особа, яка має право розпоряджатися автоматизованою системою за угодою з її власником або за його дорученням;

Суб’єктами відносин, пов’язаних з персональними даними, є:

фізичні особи; юридичні особи; органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форм власності; уповноважений з питань захисту персональних даних; спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних.

Суб’єкти відносин, пов’язаних з персональними даними зобов’язані:

не допускати розголошення відомостей про фізичну особу, які їм будуть доведені або стануть відомими у зв’язку з виконанням службових обов’язків;

виконувати вимоги встановленого режиму доступу до персональних даних;

повідомляти посадових осіб органів державної влади та органів місцевого самоврядування, організацій, установ і підприємств усіх форм власності про обставини, що перешкоджають дотриманню встановленого режиму захисту відомостей про фізичну особу.

Об’єктами захисту є персональні дані, які обробляються за допомогою систем автоматизованого оброблення чи за допомогою систем щодо оброблення картотек персональних даних.

Персональні дані за режимом доступу є інформацією з обмеженим доступом.

Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом.

У процесі виконання дій з персональними даними обов’язкове дотримання таких вимог:

оброблення персональних даних, а також знищення і ознайомлення з даними третьої сторони, здійснюється за письмовою згодою власника персональних даних або відповідно до діючих законів України;

персональні дані обробляються відповідно до свого прямого, законного призначення щодо функціональних обов’язків суб’єктів відносин, пов’язаних з персональними даними, і не використовуються для інших цілей, не сумісних з цим призначенням;

персональні дані, які обробляються згідно з певним призначенням, повинні відповідати прямому, законному призначенню, і не могуть оброблятися без конкретного призначення;

персональні дані повинні бути точними, у разі необхідності — оновлюватися;

персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

Не допускається оброблення даних про фізичну особу без її згоди, крім випадків, визначених цим Законом, і лише в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини.

Джерелами відомостей про фізичну особу є видані на її ім’я документи; підписані нею документи; відомості про фізичну особу на матеріальних носіях інформації, що обробляються органами державної влади та органами місцевого самоврядування, організаціями, установами і підприємствами усіх форм власності і фізичними особами, які діють відповідно до законодавства України та в межах своїх повноважень, а також бази персональних даних в електронному вигляді, які зареєстровані в установленому порядку.

Право власності на персональні дані є абсолютне, невід’ємне, недоторканне і невідчужуване. Право власності на свої персональні дані має кожна фізична особа.