Хронологія міжнародного регулювання

Регулювання захисту персональних даних базується на засадничих принципах, які були запроваджені в Керівних принципах про захист права на приватність та транскордонні потоки персональних даних від 23.09.1980 р., розроблених Організацією економічного співробітництва та розвитку (ОЕСР) та схваленій США та Європейським Союзом. В 2013 році Керівні принципи були викладені в новій редакції.

28.01.1981 р. Радою Європи була прийнята власна Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних. Конвенція є першим профільним міжнародно-правовим актом у загальноєвропейській юрисдикції.

24.10.1995 р. Європейським Парламентом і Радою ЄС було ухвалено Директиву 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних. Директива в 2016 році була скасована Загальним регламентом про захист даних (GDPR).

Наступним фундаментальним кроком у сфері захисту персональних даних стала Директива Європейського Парламенту від 15.12.1997 р. 97/66/ЄС. Її з часом замінила Директива Європейського Парламенту і Ради ЄС від 12.07.2002 р. 2002/58/ЄС про приватність та електронні комунікації.

25.05.2018 р. набуває чинності Загальний регламент про захист даних (GDPR), офіційний переклад якого доступний українською мовою.

28.06.2018 р. було прийнято Закон Каліфорнії про захист персональних даних споживачів (CCPA), який набув чинності 01.01.2020 р. Офіційний переклад українською мовою відсутній.

Принципи

Наведена хронологія генезису та еволюції правового регулювання захисту персональних даних, яка не є вичерпною, на сьогоднішній день має результатом такі засадничі принципи:

– принцип законності, правомірності та прозорості. Персональні дані повинні бути отримані відповідно до мети, передбаченої законом, у спосіб, передбачений законом, а також відкрито та за згодою власника;

– обмеження цілі. Мета збору даних повинна бути оприлюднена під час збору, і дані не повинні використовуватися ні для чого іншого, крім початкового наміру;

– мінімізація даних. Зібрані дані повинні відповідати початкові меті, забороняється збирати дані в більшому обсязі, ніж це потрібно для досягнення мети;

– точність. Персональні дані повинні бути точними, повними та актуальними (за необхідності оновлюватися, в протилежному випадку вони повинні бути стерті або виправлені;

– обмеження зберігання. Персональні дані зберігаються у формі, яка дозволяє ідентифікувати користувача не довше, ніж це необхідно для виконання цілей обробки інформації, за виключенням цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей;

– цілісність і конфіденційність. Особисті дані повинні бути захищені від несанкціонованого доступу та опрацювання, а також від ненавмисних втрати, знищення, завдання шкоди;

– підзвітність. Контролер несе відповідальність і повинен бути готовий продемонструвати дотримання вищезазначених принципів.

Закон Каліфорнії про захист персональних даних споживачів (CCPA) не містить в прямому сенсі принципів захисту персональних даних.

Співвідношення міжнародного та національного

В загальних рисах архітектура цивілізованого регулювання захисту персональних даних виглядає таким чином.

Від початку виникнення проблеми, існує міжнародно-правове та національно-правове її регулювання, при чому частка першого поступово збільшується, а частка останнього – зменшується.

На сьогоднішній день на прикладі ЄС можна простежити, що основні засадничі чинники, такі як визначення, суб’єктний склад, стандарти та процедури, права та обов’язки врегульовані саме в GDPR. Національне законодавство лише деталізує їх зміст, визначає регулятора тощо.

Тому принципової різниці між правовим регулюванням захисту персональних даних, наприклад, Польщі, та Португалії, немає.

Більше того, навіть національні законодавчі акти типу CCPA, архітектура та підходи якого, між іншим, істотно відрізняються від GDPR, не є в чистому сенсі «національними».

Враховуючи, що один з компонентів – споживач, підприємство, третя особа тощо в сучасних комерційних відносинах з великою долею ймовірності може знаходитися під юрисдикцією Каліфорнії, адаптування власних політик конфіденційності та технічних складових бізнесу буде необхідним для набагато ширшого кола суб’єктів.

Аналогічна ситуація і з GDPR.

Знаходження серверів українського виробника під юрисдикцією Німеччини потребуватиме від нього адаптації власних процесів до GDPR та національних правил. При тому що українське законодавство навіть приблизно не вимагатиме від нього відповідного рівня дисципліни.

Зміст

Загалом, персональні дані – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати. До них належать щонайменше ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор, а також визначальні фактори фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності фізичної особи.

Як правило, міжнародно-правові акти потребують прийняття національних актів, спрямованих на захист персональних даних через розкриття та тлумачення таких основоположних прав і свобод, як право на невтручання в особисте життя, таємницю листування, поштових відправлень, право на недоторканність житла тощо.

Класифікація

Персональні дані поділяються за критерієм їх «чутливості» на загальну інформацію (наприклад, ПІБ, дата і місце народження, громадянство, місце проживання тощо) та «чутливі» (стан здоров’я, етнічне походження, віросповідання, ідентифікаційні номери, відбитки пальців, аудіо-, відео-, фотофіксація, судимість та інше). Для чутливих персональних даних передбачається більш високий ступінь захисту. Забороняється збирання, зберігання, використання та передавання без згоди суб’єкта даних, як правило, саме чутливих персональних даних.

Суб’єкти у сфері захисту персональних даних, відмінні від суб’єктів даних, повинні враховувати правила захисту персональних даних на етапі планування діяльності, фіксувати процес обробки персональних даних, здійснювати оцінку ризиків, запроваджувати необхідні та достатні заходи безпеки технічного і організаційного характеру при роботі з персональними даними, оцінювати вплив на захист даних (DPIA), повідомляти регуляторів у сфері захисту персональних даних про випадки порушення безпеки персональних даних.

Пакет прав

Сучасний стан регулювання захисту персональних даних дозволяє виокремити більш-менш сформований пакет прав суб’єкта даних, в т. ч., але не виключно:

– отримувати в доступній і зрозумілій формі інформацію про цілі і підстави обробки, одержувачів, підстави для передачі даних, використовувані заходи безпеки, час зберігання даних, обмеження обробки даних, виправлення (обмеження обробки, перенесення, відмову від автоматичної обробки та профайлінга), видалення своїх персональних даних (right to be forgotten), а також право на їх отримання в компактному вигляді;

– відкликання згоди на обробку персональних даних;

– оскарження в наглядовий орган;

– наявності системи автоматичного прийняття рішень, включаючи створення профілю з приведенням логіки роботи такого механізму і результатами такого профілювання;

Європейська «філософія» right to be forgotten означає, що суб’єкт зобов’язаний без зволікання видалити персональні дані при виконанні будь-якої із зазначених нижче умов:

– дані більш не потрібні для виконання цілей, заявлених при зборі (обробці) даних;

– відкликано згоду суб’єкта даних, і немає інших законних підстав для обробки;

– персональні дані оброблялися незаконно.

Якщо оператор персональних даних зробив їх публічними і зобов’язаний на підставі вимоги суб’єкта видалити дані, то він, ґрунтуючись на доступних технологіях і вартості реалізації, повинен вжити розумних заходів (включаючи технічні) для повідомлення всіх організацій, які отримали від оператора ці дані, про необхідність їх видалення, включаючи посилання на них. Право на забуття може бути обмежене.

Український аналог right to be forgotten – видалення або знищення – європейському регулюванню не відповідає.

Обов’язки

Сучасна цивілізована практика детально описує обов’язки суб’єктів збору та обробки персональних даних щодо забезпечення безпеки персональних даних. При цьому вимагає від цих організацій адекватних зусиль на всіх етапах обробки і збору даних.

До початку обробки слід оцінити ризики, що виникають в процесі обробки і провести попередні консультації з наглядовим органом. Наглядовий орган має право запросити додаткову інформацію про заходи щодо забезпечення безпеки персональних даних. Він також має право вимагати додатковий час для оцінки пропонованих заходів безпеки.

Однією з вимог є реєстрація всіх дій суб’єктів збору та обробки персональних даних. У GDPR, наприклад, наведено повний перелік всіх питань, які потребують реєстрації в письмовому або електронному вигляді, а також винятки з цього правила.

Про всі випадки витоку персональних даних слід повідомити в наглядовий орган.

Передача персональних даних третій стороні, яка знаходиться поза юрисдикцією міжнародного чи національного акта, можлива тільки за умови спеціального рішення.

За відсутності рішення передати персональні дані третій стороні можна лише за наявності системи адекватної безпеки і твердих положень законодавства про захист персональних даних на території третьої сторони.

Однією з важливих вимог у сфері захисту персональних даних є сертифікація системи забезпечення безпеки даних. Цей інститут повністю відсутній в Українському законодавстві.

Контроль захисту персональних даних покладається на наглядові органи, які володіють широким колом повноважень. Вони включають право припиняти роботу суб’єктів збору та обробки даних, сприяти створенню кодексів поведінки, проведення розслідувань тощо.

Насамкінець, повинен існувати ефективний та дієвий механізм оскарження.

Стан регулювання в Україні

В Україні питання захисту персональних даних на сьогоднішній день врегульовано Законом України «Про захист персональних даних».

Враховуючи, що даний закон був прийнятий у 2010 році, його зміст не в повній мірі відображає стан регулювання захисту персональних даних в світі.

Новації GDPR в ньому не відображені взагалі.

Зокрема, закон не визначає, що відносить до персональних даних, не поділяє персональні дані на загальні та «чутливі».

Щодо поняття персональних даних існують лише тлумачення Конституційного Суду України (Рішення у справі № 1-9/2012 від 20.01.2012 р.). Згідно з ним персональні дані – це лише відомості про особисте та сімейне життя (національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування).

Як видно, наведене рішення не відображає багатогранність поняття персональних даних, зокрема його електронну складову – IP, геолокацію, cookies тощо та багато іншого.

Роль Уповноваженого

Порядок обробки персональних даних закон не містить, відносячи це питання до повноважень наглядового органу – Уповноваженого Верховної Ради України з прав людини.

Саме наказом останнього від 08.01.2014 р. № 1/02-14 затверджені:

  • Типовий порядок обробки персональних даних,
  • Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних,
  • Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

Номінально наведені порядки відповідають концепції, викладеній у GDPR. Однак поверхневий огляд їх змісту говорить про те, що до них включені численні положення, які потребують саме законодавчого визначення.

Проблемні питання

Законодавство України повністю неузгоджене в питаннях співвідношення конфіденційної інформації про особу та її персональних даних.

Закони України «Про інформацію» та «Про доступ до публічної інформації» не синхронізовані в питаннях, що стосуються захисту персональних даних.

Провадження щодо притягнення до адміністративної відповідальності за порушення у сфері захисту персональних даних покладено на Уповноваженого Верховної Ради України з прав людини.

Однак, як показує досвід, цей інститут в Україні не є дієвим.

Зокрема, секретаріат Уповноваженого забезпечений кадрами дуже низького рівня. Це не дозволяє ефективно готувати матеріали для притягнення осіб до адміністративної відповідальності за ст. 18839 КУпАП в судовому порядку.

Крім цього, забезпеченість кадрами явно не відповідає обсягу зайнятості з підготовки матеріалів для направлення до суду. У зв’язку з цим матеріали надходять до суду поза межами 3-місячного строку, встановленого для накладення адміністративного стягнення.

Як підсумок, провадження у справах про порушення законодавства у сфері захисту персональних даних закривається у зв’язку із закінченням строків притягнення до адміністративної відповідальності.

Описані вади нормативного захисту персональних даних в Україні не є вичерпними.

З нашими послугами для IT-бізнесу у сфері захисту персональних даних можна ознайомитися тут.