1 січня 2011 вступив у силу Закон «Про захист персональних даних», головним завданням якого є створення правової бази держрегулювання суспільних відносин, за умови дієвого захисту цивільних прав у сфері персональних даних (у тому числі конституційних прав і свобод); встановлення прав і гарантій, обов'язків і відповідальності всіх суб'єктів діяльності, пов'язаної із захистом персональних даних. Для більш чіткого розуміння ситуації необхідно привести ряд інформаційних фактів:
- Сучасні суспільні відносини характеризуються широким використанням персональних даних під час обігу інформації (соціального, фінансового, правоохоронного, науково-технічного та ін. характеру), товарів, послуг і капіталів, що вимагає не тільки вільний рух інформації про особу, забезпечення її надійного захисту у відповідності до основних прав і свобод людини.
- Зміцнення міжнародного соціального, економічного та науково-технічного співробітництва, розвиток інформаційних мереж, зростання транскордонних потоків персональних даних, з одного боку, та зусилля, що вживаються державною владою щодо розвитку демократичних процесів з іншого, визначають актуальність і об'єктивну необхідність захисту прав і свобод громадян України у цій сфері.
- Конституцією України визначено зміст основних прав людини, у тому числі стаття 32 гарантує недоторканість особистого життя, зокрема – щодо збирання інформації про особу. Зазначене право повинно бути конкретизовано Законами встановленням технологій їх виконання. Бази персональних даних про своїх клієнтів сьогодні формує широке коло суб’єктів – фізичних та юридичних осіб: підприємства та торгівля, приватні лікарі, нотаріуси тощо. «Витік інформації» з цих баз даних наносить шкоду багатьом особам, що потребує термінового законодавчого врегулювання цих питань.
- Україна спізнюється майже на чверть століття як з підписанням міжнародних угод, так й з впровадженням відповідних норм міжнародного прав. Лише у 2005 році підписано Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних», яку до цього часу не подано на ратифікацію. Європейське право охоплює майже два десятки загальноєвропейських конвенцій, директив та рекомендацій з питань захисту персональних даних, кожна країна ЄС видала свої базові нормативно-законодавчі акти, приймалися конкретні закони: щодо діяльності з персональними даними у медичній, статистичній, державній, журналістській, міліцейській та інших сферах. Аналогічні закони прийнято в багатьох країнах світу, у тому числі – в країнах СНД, зокрема в Росії.
- Враховуючи необхідність застосування сучасних технологій при автоматизованій обробці інформації про особу, а також виникнення загрози для конкретної людини стосовно витоку та несанкціонованого використання персональних даних, багато європейських країн підписали Конвенцію про захист фізичних осіб під час автоматизованої обробки персональних даних (м. Страсбург, 28.01.1981 р.). Принципи, що містяться у Конвенції, уточнюються і розширюються в Директиві 95/46/ЕС Європейського парламенту і Ради від 24.10.1995 р. стосовно захисту фізичних осіб у питаннях обробки персональних даних і вільного обігу цих даних та в Директиві 97/66/ЕС Європейського парламенту і Ради від 15.12.1997 р. у стосовно обробки персональних даних і захисту приватності у телекомунікаційному секторі.
Отже, Закон вступив в силу. Що змінилося? Нічого! Ні підзаконних нормативно-правових актів, що регламентують порядок виконання Закону та роз'яснюють його окремі положення.
Уповноважений орган у сфері захисту персональних даних створений поки тільки «на папері» (на сьогоднішній день лише формується його персональний склад), не встановлено відповідальності за порушення (проект закону «Про відповідальність» знаходиться на розгляді у Верховній Раді Україні, і найближчим часом, найімовірніше, буде прийнятий у першому читанні).
Є підстави вважати, що запроваджена державою система із захисту персональних даних повноцінно запрацює в Україну в кращому випадку до кінця поточного року. До того часу залишиться більше питань, ніж відповідей, як у підприємців, правозахисників, так і у самих громадян:
1. Критерії віднесення до персональних даних
Основні труднощі створює відсутність класифікації персональних даних. Так, відповідно до Закону до персональних даних може бути віднесена будь-яка інформація про особу. Що ж підлягає захисту і хто визначає його міру. Чи вважається персональними даними база мобільних номерів або окремо взятий ідентифікаційний номер фізичної особи (без зазначення прізвища та імені його власника)? Атже така інформація за певих умов теж може ідентифікувати власника персональних даних.
Крім того, відповідно до європейських стандартів персональні дані розділяються на дані загального характеру (прізвище, ім'я, по батькові, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров'я - історія хвороби і діагнози, етнічна приналежність, ставлення до релігії; кредитна історія, ідентифікаційні коди). За європейськими стандартами тільки до вразливих даними відноситься заборона збору, зберігання, використання та поширення їх без згоди суб'єкта даних. Але в українському Законі це відноситься до всіх без винятку персональних даних, що фактично паралізує розвиток бізнесу в багатьох напрямках.
2. Які персональні дані підлягають реєстрації?
Закон вводить тлумачення визначення «персональні дані», відповідно до якого під дію Закону підпадає будь-яка громадська або комерційна діяльність. «Базою персональних даних» визнається будь-який масив інформації, який містить елементи персональних даних. Зокрема, базою персональних даних визнається картотека у вигляді паперових документів. Разом з тим у Законі не міститься визначення терміну «картотека». Можна припустити, що під регулювання Закону підпадають навіть такі повсякденні операції, як висновок і виконання будь-яких цивільно-правових договорів, які в тій чи іншій мірі містять персональні дані.
За Законом всі власники бази персональних даних повинні зареєструвати всі наявні в них бази персональних даних в спеціальному державному реєстрі.
Сьогодні база персональних даних є у кожного підприємця Україні (а в деяких організаціях їх кількість буде вимірюватися сотнями одиниць - поштові служби, оператори телекомунікацій, дата-центри, банки, страхові компанії тощо). Це означає, що повинна бути створена дуже розгалужена система з офісом у кожному місті. За обсягом цей реєстр швидко перевищить обсяг ЄДРПОУ. Фінансування проведення робіт, пов'язаних з реєстрацією та контролем, передбачається в тому числі за рахунок підприємців, при цьому користь від існування такого реєстру не отримає ні держава, ні її громадяни.
3. Повноваження контролюючого органу нічим не виправдані
Уповноваженому органу дано право перевіряти стан захисту персональних даних і накладати приписи та покарання на власників баз персональних даних. Також Указом Президента України від 09.12.2010 затверджена «Схема організації та взаємодії центральних органів виконавчої влади». Згідно Схемі Державна служба України з питань захисту персональних даних отримала статус центрального органу виконавчої влади, діяльність якого спрямовується і координується Камбін через відповідних членів Кабміну, через міністра юстиції України.
Варто зауважити, що такі положення Закону не відповідають європейській законотворчій практиці, яка наполягає на незалежності органів, що здійснюють захист персональних даних. Якщо говорити про ЗУ «Про захист персональних даних», то про незалежність уповноваженого державного органу у ньому не йдеться взагалі, адже, виходячи з тексту Закону та Указу Президента, уповноважений орган є складовою частиною виконавчої влади, що фактично позбавляє його незалежності як такої.
4. Проблеми залучення до відповідальності за порушення Закону
Важливо відзначити, що у ВР вже зареєстрований проект закону, яким пропонується внести зміни до КК України, КУпАП, КПК України та ЗУ «Про інформацію» з метою встановлення жорстких санкцій за порушення законодавства у сфері захисту персональних даних (№ 7355 від 11.11.2010) .
Самим проблемним моментом законопроекту є те, що можливість покарання в більшості випадків не зв'язується з фактом порушення прав конкретного громадянина - суб'єкта персональних даних. Це означає, що покарання може бути накладено при формальному приводі, наприклад, невиконання власником бази ПД будь-яких технічних чи організаційних вимог, встановлених уповноваженим органом.
У багатьох європейських країнах відповідний орган не має права безперешкодного доступу до приміщень, де обробляються персональні дані. В українських реаліях такі права контролюючого органу стануть живильним середовищем для корупції, але не приведуть до захисту прав громадян.
5. Подвійне отримання згоди від суб'єктів персональних даних
Забюрократизованим і надзвичайно витратним для власника бази персональних даних є вимога повідомляти громадянам суб'єктам персональних даних «виключно у письмовій формі» про їхні права, метою збору персональних даних, осіб, яким персональні дані будуть передаватися. Повідомити потрібно протягом десяти робочих днів з дня включення персональних даних у базу.
Така вимога є нелогічним, оскільки внесення в базу персональних даних, отриманих особисто документальним (анкетними) шляхом від суб'єктів персональних даних з їх же підписом, в судовій практиці і є документованим фактом їх власної згоди на використання викладеної в документі (анкети) інформації - приймаючої документ організацією у внутрішній її документації.
