Питання захисту персональних даних вже досить довгий година привертає увагу правників та широких кіл суспільства. Воно є одним із індикаторів демократизації українського законодавства та інтеграційних кроків України до європейського інформаційного простору.
Нарешті можна констатувати що багатостраждальна робота над розробкою законодавства про захист персональних даних завершена - 1 січня 2011 року набравши чинність Закон України "Про захист персональних даних", прийнятий після багатьох обговорень та доопрацювань у рамках поетапного виконання Україною вимог Євросоюзу, закріплених в спільній Угоді під умовною назвою "матриця співпраці".
| ФАБУЛА |
Врегулювання правовідносин у сфері захисту персональної інформації в Україні є, безумовно, позитивним явищем, однак ряд положень нового Закону не витримує критики з точки зору їх практичної реалізації та доцільності і виникає питання - наскільки насправді новий Закон наближає українське законодавство про захист персональних даних до європейських вимог.
Зокрема, Законом передбачається створення уповноваженого державного органу з питань захисту персональних даних (у складі органів виконавчої влади). На перший погляд це відповідає європейському досвіду, де існує інститут Уповноваженого з питань захисту персональних даних. Однак, на відміну від України, Уповноважений є структурою непокладу (яка хоч і може призначатися владними органами)що забезпечує баланс особистих, громадських та державних інтересів.
|
Ілля Онищенко, юрист ЮФ "АСТЕРС" |
Згідно положень статті 28 Директиви 95/46/ЄС Європарламенту та Заради Євросоюзу від 24.10.1995 року про захист прав приватних осіб щодо обробки персональних даних і про вільний рух таких даних, відповідний державний орган обов'язково повинний діяти в умовах повної незалежності та складати регулярні звіти про свою діяльність, які підлягають опублікуванню.
Натомість у нашому Законі немає жодних положень про незалежність уповноваженого органу, що може унеможливити забезпечення захисту інтересів громадянина від можливих неправомірних дій (у тому числі і з боку держави).
Закон не містить положень щодо структури, порядку формування, складу, а також вимог до особини, яка має очолити цей орган. Можливо, у рамках розробки відповідних підзаконних актів законотворцям слід розкрити більш детально контрольний-наглядові функції та повноваження органу, що зробило б його роботові більш прозорою, підвищило б довіру суспільства і дозволило ефективно працювати за умів інтенсивного розвитку інформаційних технологій. Адже, на наше думання, наділення уповноваженого органу можливістю доступу до інформації та приміщень, де здійснюється її обробка, без конкретизації прав та підстав такого доступу може на практиці "розв'язати руки"дозволивши посадовим особам органу втручатися в комерційні справи банківоператорів зв'язку та багатьох інших організацій, шкодячи не тільки таким комерційним структурам але й мільйонам їх клієнтів.
Також слід додати, що наразі невідомо, чи буде створюватись окрема структура, що буде виконувати функції уповноваженого органу, чи відповідними повноваженнями буде наділений один із існуючих органів влади.
Окремо слід відмітити положення Закону щодо надання власниками баз персональних даних повідомлень до уповноваженого органу. Не зупиняючись безпосередньо на самій вимозі про реєстрацію таких баз, слід зазначити, що Закон вимагає повідомляти уповноважений орган про кожну зміну місцезнаходження бази даних або цілі їх обробки.
Власникам баз даних доведеться інформувати про зміну серверного майданчика, хостера, або зміни в програмному забезпеченні |
Скоріш за усе, така норма була прийнята з огляду на положення вищезгаданої Директиви ЄС, яка зобів' язує власника інформувати уповноважений орган про дії щодо обробки персональних даних. Наші законодавці пішли ще далі, внаслідок чого, кожен власник бази персональних даних буде змушений повідомляти уповноважений орган про кожну зміну місцезнаходження бази даних, зокрема про зміну серверного майданчика, хостера, або зміни в програмному забезпеченніякі можна кваліфікувати як зміну цілей обробки даних.
Незважаючи на прогресивність окремих положень Закону, зокрема щодо встановлення обов'язку отримання згоди суб' єкту персональних даних на їх обробкузміну, передачу третім особам і навіть знищення, на практиці у деяких власників баз даних можуть виникнути труднощіпов' язані із необхідністю отримання таких погоджень від шкірного суб' єкта і щодо кожної операції з його персональними даними.
Відповідна норма Закону щодо форми повідомлення дозволяє використовувати не тільки письмові погодження і напевне була покликана розширити можливі варіанти оформлення згоди. У тій же година, згідно Закону, будь-яка така згода повинна бути задокументована. У такому разі незрозуміло, наприклад, чи вважатимуться документуванням згоди подальші (конклюдентні) дії суб' єкта із надання своїх персональних даних на сайті.
Чи вважатимуться документуванням згоди подальші (конклюдентні) дії суб' єкта із надання своїх персональних даних на сайті? |
Також виникає питання - як власник бази даних зможе зберігати документальні підтвердження всіх згод, наданих йому суб' єктами. Ймовірно також, що з метою уникнення зайвого документообігу, власники баз даних будуть змушені формулювати текст відповідної згоди максимально широкоаби дозволити собі виконувати майже будь-які операції із персональними даними.
Окремо варто відмітити, що Закон забороняє обробку так званих "вразливих" персональних данихдо складу яких, зокрема включені "світоглядні переконання". Застосування такого неконкретного і розпливчатого формулювання може дозволити суб' єкту персональних даних маніпулювати відповідними обмеженнями, що містяться в Законі. З іншого боку така недосконалість дає можливість недобросовісному власнику бази даних збирати та обробляти в тому числі і дані, що віднесені до заборонених.
| ВИСНОВОК |
Підсумовуючи вищевикладене, виявляється, що новий Закон може потребувати доопрацювання. Вже заразом відомо про активну кампанію щодо призупинення його дії, ініційовану правозахисними колами. З іншого боку, бізнес- кола також можуть зазнати шкоди через недоопрацьованість та недосконалість окремих положень цього Закону. У будь-якому випадку, за відсутності призначеного уповноваженого органу, врегульованої реєстраційної процедури та підзаконних актів, що деталізуватимуть спірні норми Закону, наразі не можна сказати, як на практиці відбуватиметься його реалізація.
