UA / RU
Підтримати ZN.ua

Право на інформаційне самовизначення?

Україна повинна базувати свою внутрішню вимогу реєструвати БПД на принципі диференціації персональних даних.

Автори: Олексій Волков, Маріанна Бек

Громадянин сучасного інформаційного суспільства - фізична особа, персональні дані якої (ПД) піддаються автоматизованій обробці. Чи узгоджується це з конституційним принципом невтручання в особисте життя?

Із щоденного. Ви - фізична особа, учасник правовідносин, наприклад трудових. При влаштуванні на роботу надаєте роботодавцеві необхідну інформацію про себе, тобто ПД, - «відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Роботодавець заносить їх у свою базу персональних даних (БПД) працівників - і, вітаємо, ви отримали статус суб’єкта персональних даних (СуПД). Роботодавець у даному разі є володільцем БПД. А це означає, що дані про вас починають збирати, накопичувати, зберігати, адаптовувати, змінювати, поновлювати, використовувати й поширювати, знеособлювати і навіть знищувати! Словом, ваші дані обробляються у БПД. Обробкою ПД займається окрема особа, призначена володільцем, - розпорядник БПД.

Увага! Обробку ваших ПД володілець може здійснювати виключно за вашої документованої добровільної згоди (з визначенням обсягу даних) на це відповідно до сформульованої мети. В даному випадку мета обробки даних - працевлаштування.

На основі чого?

Конституційне право на невтручання в особисте життя лежить в основі захисту ПД і передбачає особливий правовий режим інформації про фізичну особу, оскільки згідно із законодавством України інформація про фізичну особу є конфіденційною, а отже, доступ до неї обмежено самою особою.

Тільки з дозволу?

Усі ПД про вас як фізичну особу обробляються (автоматизовано чи у формі картотек) виключно за наявності вашої письмової згоди. Таке рішення Україна ухвалила на шляху до безвізового режиму. Однак про це пізніше. Світова правова практика захисту ПД пішла двома шляхами: або ототожнивши ПД з будь-якою інформацією, що стосується конкретної особи, або диференціювавши ПД. Принцип диференціювання ПД також закріплено в нашому законодавстві. Закріп­лено, але, на жаль, не покладено в основу режиму дос­тупу до ПД.

У чому ж полягає диференціювання? У розподілі інформації про фізичну особу на:

так званий «оперативний мінімум ПД» - загальні дані - ПІБ фізичної особи, ідентифікаційний номер, відомості про освіту, трудовий стаж, сімейний стан, контактні дані та

категорію «чутливих даних» - про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членст­во у політичних партіях та профспілках, а також дані, що стосуються здоров’я чи статевого життя. Закон забороняє обробку «чутливих» даних, але дає перелік винятків із заборони. Умовно ці винятки можна поділити на дві категорії: за однозначної згоди СуПД та за об’єктивної необхідності.

Зауважимо: коли в основі доступу до ПД лежить принцип диференціювання даних, то дозвільний порядок обробки передбачається виключно щодо «чутливих» даних. У нашому випадку обов’язок отримання згоди СуПД поширюється на всі його ПД. Саме в такий спосіб український законодавець вирішив організувати захист ПД у Законі України «Про захист персональних даних» №2297 від 01.06.2010 року (Закон).

Отже, ми розглянули ситуацію з позиції СуПД.

Закон з’явився у відповідь на черговий виклик євроінтеграції. З метою активізації безвізового діалогу з ЄС захист ПД потрапив до списку реформ невідкладного впровадження 2010 року: через «Матрицю співробітництва» України з ЄС та План першочергових заходів щодо інтеграції України в ЄС - до Закону. Крім цього, було внесено зміни до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних (набирають чинності з 01.01.2012 року) та ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних 1981 року (Конвенція) та Додатковий протокол до неї щодо органів нагляду та транскордонних потоків даних 2001 року. Проте «встигнувши» не розчарувати ЄС, Україна не встигла розібратися у правових наслідках «реформи» для себе.

Тепер розглянемо ситуацію з позиції володільця БПД. Гаран­тією захисту ПД Закон визначив обов’яз­кову державну реєстрацію всіх БПД. Хоча Конвенція формулює лише загальний обов’язок створення системи захисту ПД, тобто не вимагає від держав-учасниць запровадження якогось конкретного механізму, наприк­лад обов’язко­вої реєстрації всіх БПД. Мало того, європейські держави - учасниці Конвенції запровадили так звану «необхідну реєстрацію» - тобто реєстрацію, по-перше, володільців БПД, а не самих БПД, по-друге, - володільців баз «чутливих» ПД і, по-третє, - з метою контролю за обробкою даних та забезпечення відкритості інформації про обробку.

До речі, ви можете навіть не здогадуватися, що на вашому рахунку вже зараз є декілька БПД, які підлягають реєстрації. Але з нового року ваше незнання само дасть про себе знати.

Набравши чинності з 01.01.2011 року, Закон запустив новий механізм. До чого ж призвели надзусилля держави? Суб’єкт підприємницької діяльності - фізична особа-приватний підприємець (далі - ПП), оформивши на роботу двох най­маних працівників, автоматично став володільцем БПД. Отже, БПД працівників - перша база. Займаючись своєю улюбленою справою, отримуємо в подарунок іще одну - БПД клієнтів.

Суб’єкт підприємницької діяльності-юридична особа, коли статус зобов’язує, матиме як мінімум ще й третю базу - БПД постачальників послуг.

Отже, до вашої уваги реєстраційний мінімум: якщо ви - фізична особа-ПП, готуйтеся до реєстрації двох БПД, якщо ж юридична особа - вам світить зареєструвати їх аж три!

Як же держава пропонує жити зі статусом володільця БПД?

Держава створила спеціалізований правовий та інституційний механізм забезпечення захисту ПД. Державна служба із захисту персональних даних України (ДСЗПД) - регулятор, держатель реєстру та контролер. До спеціалізованої правової бази, крім Закону та внесених змін до інших правових актів, входять підзаконні правові акти, які рег­ламентують порядок створення та діяльності ДСЗПД, ведення реєст­ру та подання документів для реєстрації.

Володільцям до реєстрації БПД слід підготуватися. І не тільки морально, зокрема:

встановити мету обробки ПД і кількість БПД, необхідних для здійснення власної діяльності;

затвердити внутрішнім наказом порядок обробки та захисту персональних даних, ознайомити з ним співробітників із цим документом;

затвердити текст згоди особи на обробку її персональних даних;

отримати письмову згоду суб’єктів персональних даних;

визначити структурний підрозділ або особу, відповідальну за організацію роботи із захисту персональних даних під час обробки.

З’ясувавши ці питання на приватному рівні, володілець подає зая­ву про реєстрацію БПД, яка перебуває в його володінні (щодо кожної БПД окремо!). Заява повинна містити відомості, необхідні для реєст­рації, а саме: звернення про внесення БПД до реєстру, інформацію про володільця БПД, інформацію про найменування та місцезнаходження БПД, інформацію про розпорядника ПБД, інформацію про мету обробки даних, документ, який підтверджує зобо­в’язання виконувати вимоги законодавства щодо захисту ПД.

Зразок заяви Мін’юст затвердив іще в серпні ц.р. Реєстрація БПД здійснюється шляхом внесення відповідного запису та видачі свідоцтва протягом десяти днів з дня надходження заяви.

Отже, свідоцтво на руках! Чи можна після факту реєстрації забути про ще один бюрократичний механізм? Ні. Із цим доведеться жити.

Згідно із Законом: «про кожну зміну відомостей, необхідних для реєстрації, володілець БПД повинен повідомити ДСЗПД України не пізніше як протягом десяти робочих днів з настання такої зміни».

Який же алгоритм дій законо­слухняного володільця? Розпо­рядник БПД Геннадій Павлович змінив адресу.

Володілець БПД:

звертається до Геннадія Пав­ло­вича для отримання згоди на обробку його персональних даних (оскільки статус розпорядни­ка не звільняє його від статусу СуПД);

отримавши згоду, вносить зміни до БПД;

повідомляє ДСЗПД про внесення змін до відомостей.

Змінивши адресу фактичного розміщення або зберігання носіїв БПД, повідомляємо ДСЗПД.

Крім того, правила ведення документообігу та порядок здійснення самої діяльності роботодавця вимагають від нього постійної внутрішньої обробки ПД. І хоча зміни в даних СуПД не потребують повідом­лення ДСЗПД, за рахунок процедури отримання згоди обробка даних додає роботодавцеві значного документарного навантаження. Навіть за поповнен­ня в сім’ї працівника щиро не порадієш…

За таким сценарієм фізична особа-ПП або невелика юридична особа, лиха прикупивши, обійдеться розширенням штату працівників на одну особу, а от більшеньким - як для внутрішнього «листування» із СуПД щодо обробки їхніх даних, так і для «листування» з ДСЗПД - доведеться вдатися до створення окремого структурного підрозділу. Чи не дорога це в Абсурдистан?

Згідно із Законом: «персональні дані в БПД підлягають знищенню у разі припинення правовідносин між суб’єктом персональних даних та володільцем БПД, якщо інше не передбачено законом». А от Головне архівне управління ще 1998 року пере­зобов’язало роботодавця зберігати персональні дані протягом 75 років. Норма не нова, а успадкована. А відповідно до ієрар­хії законодавства, закон перемагає наказ, тож практику документообігу та архівації перекреслюємо?

І не забудьте, про знищення ПД вам теж доведеться повідоми­ти і СуПД, і всіх осіб, яким ці дані було передано.

Стаття 1 - помилка перша

Винятком із загального правила обов’язкової реєстрації, в силу виключення зі сфери дії Закону, є діяльність зі створення БПД та обробки персональних даних у цих базах, що здійс­нюється:

• фізичними особами - виключно для непрофесійних особистих чи побутових потреб;

• журналістами - у зв’язку з виконанням ними службових чи професійних обов’язків;

• професійними творчими працівниками - для здійснення творчої діяльності.

Оскільки Закон України «Про державну підтримку засобів масової інформації та соціальний захист журналістів» визначає журналіста «творчим працівником, який професійно збирає, одержує, створює і зай­мається підготовкою інформації для ЗМІ…», друга категорія суб’єктів звільнення входить до третьої. Залишається тільки наголосити на неабиякій увазі, яка приділяється виняткам зі сфери дії будь-якого реформаторського закону.

У Великій Британії захист персональних даних здійснюється на основі Акта про захист персональних даних 1998 року (Акт), в основу якого покладено принцип диференціації ПД. У цій державі - учасниці Конвенції запроваджено «необхідну обо­в’яз­ко­ву реєстрацію», що передбачає винятки для:

володільців, які здійснюють обробку персональної інформації для:

управління персоналом (включаючи платіжні відомості);

реклами, маркетингу, зв’язків із громадськістю (у зв’язку з комерційною діяльністю компанії);

ведення бухгалтерської звітності;

деяких неприбуткових організацій;

обробки персональних даних для особистих, сімейних або побутових цілей (включаючи проведення дозвілля);

володільців, які здійснюють обробку персональних даних з метою ведення публічного реєст­ру;

володільців, які не здійснюють комп’ютерної обробки персональних даних.

Реєстр володільців веде комісар з питань інформаційного регулювання, який також уповноважений накладати грошові штрафи за порушення реєстрації. Контроль за веденням реєст­ру здійснює відомство з питань інформаційної політики. Інститу­ційну систему доповнює трибунал з питань інформаційної політики, який входить до системи адміністративного судочинства.

Винятки у британській системі не є винятками заради винятків, а дійсно спрямовані на усунення бюрократизації діяльності володільців БПД, які мають справу з обробкою «оперативного мінімуму ПД», та захист «чутливих» ПД.

Чому це важливо саме сьогодні? Станом на 10.11.2011 р. ДСЗПД отримала, опрацювала та внесла до Державного реєстру БПД 1203 заяви про реєстрацію БПД. За результатами розгляду цих заяв Тимчасова комісія ДСЗПД з розгляду документів про реєстрацію БПД до Держав­ного реєстру баз персональних даних внесла 861. Порушення Закону?

На перший погляд, статистичні дані свідчать про недодержання володільцями БПД чинного законодавства у сфері захисту ПД шляхом ухилення від обов’язку реєстрації БПД. Проте насправді для роботи системи захисту ПД необхідно запустити ключовий механізм - механізм відповідальності за порушення законодавст­ва щодо захисту ПД. Відповідні зміни набирають чинності з 01.01.2012 року і передбачають адміністративну та кримінальну відповідальність згідно з Кодексом про адміністративні правопорушення (КАСУ) та Кримі­нальним кодексом України (ККУ).

Зокрема передбачається адмініст­ративна відповідальність у вигляді штрафних санкцій за ухилення від державної реєстрації БПД:

для громадян у розмірі від 300 до 500 н.м.д.г., тобто від 5100 до 8500 грн. та

для посадових осіб, громадян-суб’єктів підприємницької діяльності у розмірі від 500 до 1000 н.м.д.г., тобто від 8500 до 17000 грн.

Оскільки основний масив реєстрації становитимуть саме бази, що містять «оперативний мінімум ПД», то «нерозуміння» концепції обов’яз­кової реєстрації може дорого обійтися володільцям БПД.

Публічність інформації

З 1 січня 2012 року стануть загальнодоступними відомості Реєстру на веб-сайті адміністратора Реєстру (ДП «Інформа­цій­ний центр» Міністерства юстиції України) шляхом пошуку та перегляду інформації про БПД (най­менування бази, відомості про володільця [для фізичних осіб - ПІБ (за наявності)], мета обробки даних, реєстраційний номер запису про базу персональних даних у Реєстрі). При цьому пошук може здійснюватися за трьома останніми відомостями.

Україна знову пішла шляхом «письмової антинародної законотворчості», поклавши додаткове бюрократичне та фінансово-адміністративне навантаження на суб’єктів підприємницької діяльності, - реєстрація заради реєст­рації, а не з метою захисту необхідної категорії «чутливих» ПД.

Як бачимо, важко недооцінити інститут захисту ПД в сучасних умовах несанкціонованого їх використання. Однак Україна повинна базувати свою внутрішню вимогу реєструвати БПД на принципі диференціації персональних даних, що, з одного боку, забезпечить досягнення мети захисту тих ПД, які цього потребують, і, з іншого - не створюватиме додаткових перешкод для діяльності володільців БПД - представників малого та середнього бізнесу.

Непродумане реформування законодавства, замість лікувати правову систему України, приносить їй лише болячки, оскільки мало проконсультуватися в лікаря, мало отримати рецепт і навіть мало купити ліки. Потрібно правильно й систематично їх приймати, а не гнатися за примарним здоров’ям, упиваючись антибіотиками та транквілізаторами, особливо коли це здоров’я потрібне мільйонам людей.