MENU
Гаряча лінія з пошуку зниклих безвісти в Україні
Документування воєнних злочинів в Україні.
Глобальна ініціатива T4P (Трибунал для Путіна) була створена у відповідь на повномасштабну агресію Росії проти України у лютому 2022 року. Учасники ініціативи документують події, у яких є ознаки злочинів згідно з Римським статутом Міжнародного кримінального суду (геноцид, злочини проти людяності, воєнні злочини) в усіх регіонах України

Окремі аспекти правотворчості у сфері реєстрації особи та захисту персональних даних.

04.12.2003   
Руслан Тополевський
Проект Закону України №1089 від 23 травня 2002 р. "Про свободу пересування та вільний вибір місця проживання в Україні". Проект Закону України № 2618 від 10 січня 2003 р. "Про захист персональних даних". Проект Закону України №4002 від 17.07.2003 р. "Про Єдиний реєстр персональних даних".

Про зміни, які відбулися в свідомості наших громадян протягом останнього десятиріччя, свідчить поява законопроектів, які тією чи іншою мірою стосуються ідентифікації та реєстрації особи. Безумовно, не може не радувати той факт, що законодавці вже дозріли до необхідності врегулювати ці питання на рівні закону. Разом з тим слід також відзначити наявність певних негативних тенденцій, які виявляються в процесі правотворчості в цій сфері. Саме на це вказує відхилення Верховною Радою низки законопроектів щодо реєстрації фізичних осіб.

Загалом нормативне врегулювання цієї проблеми повинне носити системний характер і вирішувати низку взаємопов’язаних питань: ведення реєстрів, ідентифікація особи, реєстрація особи за місцем проживання, захист персональних даних особи тощо. Загалом видається доцільним створити єдиний закон.

Питання ідентифікації особи та захисту персональних даних є ключовим для побудови правової держави та розвитку громадянського суспільства. Порушення балансу між правом особи на захист приватності (і, зокрема, конфіденційності персональних даних) і бажанням держави знати все про всіх (як нас переконують, з благими намірами) може призвести в найгіршому випадку до побудови поліційної недемократичної держави, а в найкращому – до визнання Конституційним Судом України певних статтей цих законів неконституційними або до програшу в Європейському суді з прав людини справ щодо порушення статті 8 Європейської конвенції про захист прав людини та основних свобод.

Як свідчить історія, суттєве обмеження свободи громадян має своїм наслідком зниження динаміки суспільного поступу, тоді як неналежне регулювання цієї сфери надасть можливість на закон­них підставах втручатися в таку вразливу сферу буття людини як приватне життя.

Розробка законопроектів, які в той чи інший спосіб мали врегулювати проблему реєстрації постійного місця проживання, внаслідок відміни системи прописки, не обмежилися лише цим. Фактично неодноразово було зроблено спроби, які мали на меті впровадження універсального ідентифікаційного коду, який би застосовувався в усіх документах, що посвідчують особу.

Слід зазначити, що застосування єдиного багатоцільового ідентифікаційного коду створює загрозу конфіденційності інформації про особу (персональних даних). Це пов’язане перш за все з тим, що розміщення універсального ідентифікаційного коду на всіх документах особи призведе до можливості об’єднувати між собою різні реєстри (бази даних, в яких міститься та чи інша персональна інформація), тоді як з ч.2 ст. 32 Конституції України випливає неприйнятність збирання, зберігання, використання та поширення інформації про особу без її згоди.

Хоча ці технічні переваги підвищують ефективність систем обробки інформації та прийняття управлінських рішень, однак ціна за це – загроза приватності особи – надто висока. Загроза з боку впровадження універсального багатоцільового ідентифікаційного коду полягає перш за все в можливості його використання як інструмента поєднання всіх інших баз даних, в яких міститься інформація про особу.

Окремі законопроекти в цій сфері намагалися подолати цю суперечність, пропонуючи багаторівневі реєстри, розбиваючи їх на низку підсистем, однак все ж найкращим захистом персональних даних було б розділення певних видів персональних даних в різних реєстрах, у відповідності до конкретної мети збирання інформації.

Розробка цих законопроектів потребувала враху­ван­ня низки фак­торів:

·  законопроект мав передбачати особливості обробки персональних даних, зокрема, забезпечувати конфіденційність персональних даних.

·  законопроект мав враховувати міжнародно-пра­вові документи, присвячені обробці персональних даних і роботі з реєстрами.

·  законопроект не повинен був суперечити Конституції України і враховувати приписи міжнародних договорів, ратифікованих Верховною Радою України та, наскільки це можливо, приписи інших законів.

·  законопроект не повинен був порушувати права людини, зокрема, право особи на захист персональних даних.

Разом з тим ці законопроекти мали низку спільних недоліків:

·  не передбачена заборона на об’єднання баз персональних даних, що обробляються з різними цілями, без відома особи.

·  низка законопроектів передбачала впровад­ження єдиного універсального ідентифікаційного коду, який мав полегшити діяльність державних органів за рахунок звуження «зон свободи» особи, за рахунок збору і обробки персональних даних без участі власника персональних даних.

·  як правило, не розділялися загальні і вразливі персональні дані, які потребують додаткового рівня захисту.

·  як правило, не передбачається доступ особи до всього маршруту обробки персональних даних, тоді як це правило повинне мати юридичне закріплення. Винятки з цього положення можливі лише для цілей, передбачених в ст. 32 Конституції України.

·  як правило, не передбачається повідомлення особи про мету обробки персональної інформації, що в свою чергу може впливати на реалізацію прав і свобод особою.

·  реєстри персональних даних нерідко передбачаються як такі, що містять інформацію про особу не лише для конкретної мети, але й на всяк випадок, що, безумовно, у випадку зі збиранням і обробкою персональних даних неприпустимо.

Особливу увагу привертає процедура захисту персональних даних. Безперечно, організаційно-технічні заходи відіграють важливу роль для забезпечення конфіденційності і таємності персональних даних. Зрозуміло, однак, що вагому увагу слід звернути на людський фактор, як можливу загрозу конфіденційності персональних даних. Оскільки обробкою персональних даних будуть займатися державні органи, слід передбачити можливість порушення конфіденційності персональних даних, інших порушень режиму роботи з персональними даними. Для покращення захисту персональних даних, на нашу думку, слід запровадити таку інституцію як Уповноважений (Омбудсман) з питань захисту персональних даних. В перспективі саме на цю інституцію покладатиметься обов’язок контролю за правомірним веденням інших реєстрів, які стосуються персональних даних. Окремі законопроекти передбачають таку інституцію, другі – покладають цей обов’язок на спеціальний державний орган, треті взагалі вважають, що для захисту прав особи достатньо наявності судів загальної юрисдикції.

Покажемо вади та переваги законопроектів у сфері захисту персональних даних на конкретних прикладах.

Проект Закону України №1089  від 23 травня 2002 р. «Про свободу пересування та вільний вибір місця проживання в Україні»

Перш за все зауважимо, що для повноцінного функціонування цей закон потребує також прийняття щонайменше Закону «Про єдиний реєстр фізичних осіб за місцем проживання», Закону «Про захист персональних даних» та Закону «Про реєстрацію осіб», які б врегульовували окремі аспекти, неврегульовані законопроектом №1089.

Визначення в ст. 2 законопроекту місця перебування і місця проживання розходиться з поняттям «місця проживання», яке визначене Цивільним кодексом (2003 р.). В законопроекті також не передбачено особливості реєстрації неповнолітніх осіб, недієздатних та новонароджених. Викликає здивування спроба реєстрації місця перебування особи, що, в свою чергу, фактично створює передумови для контролю за пересуванням особи, що неприйнятно в демократичному суспільстві.

Стаття 6 законопроекту передбачає досить простий спосіб реєстрації особи, передбачаючи в загальному вигляді підставою реєстрації лише заяву громадянина. Разом з тим, з тексту незрозуміло, чи потрібно подавати цю заяву особисто, чи розроб­ники законопроекту передбачали можливість по­дан­ня такої заяви поштою.

Законопроект передбачає реєстрацію постійного місця проживання органами РАГСу, а тимчасового – органами внутрішніх справ, а також передачу останньої інформації органам РАГСу. Здатність органів РАГСу на сучасному етапі забезпечити конфіденційність персональних даних викликає певне занепокоєння. Зрозуміле бажання авторів законопроекту забезпечити конфіденційність інформації, однак виникає питання, чи приведуть такі дії до досягнення цього результату.

З тексту законопроекту не зовсім зрозуміло, що мається на увазі під зонами обмеженого доступу, де обмежується право на свободу пересування (ст.11). Крім того, законопроект не передбачає обмеження права на свободу пересування військовослужбовців строкової служби.

Проект Закону України № 2618 від 10 січня 2003 р. «Про захист персональних даних»

В основі цього законопроекту лежить концепція права власності особи на персональні дані. Навряд чи можна охопити відносини щодо персональних даних лише правом власності. Право на персональні дані слід віднести до особистих немайнових прав (регулювання особистих немайнових прав передбачене книгою другою Цивільного кодексу України в редакції від 16 січня 2003 р.) Це витікає, зокрема, з права на особисте життя (приватність), проголошеного статтею 32 Конституції України і статтею 301 нового ЦК України. Конвенція Ради Європи про захист особи в зв’язку з автоматичною обробкою персональних даних (1981) стосується перш за все захисту права на недоторканність особистої сфери. Персональні дані не є майном, законна передача персональних даних у користування, як правило, не передбачає плати за них. Не належить право на персональні дані і до права на інтелектуальну власність. Більше того, виникнення права на персональні дані не відповідає жодній з підстав виникнення права власності на інформацію у ч.3 ст. 38 Закону про інформацію. Разом з тим персональні дані як інформація безумовно підпадають під дію закону «Про захист інформації в автоматизованих системах». В свою чергу, створення бази персональних даних призводить до виникнення права інтелектуальної власності на неї (п.3 ч.1 ст.433 ЦК України). Таким чином, цей законопроект повинен відобразити особливий характер права на персональні дані.

Однак, як видається, прийняття законопроекту з трактуванням права на персональні дані як права на власність на персональні дані створить колізію між Законом «Про захист персональних даних» і Конституцією України, Цивільним кодексом, іншим законодавством у визначенні статусу персональних даних.

При визначенні кола осіб слід чітко визначити, на кого поширюється дія цього закону, не припускаючи невизначеного кола осіб за допомогою слова тощо (ст.1)

Слід позитивно відзначити положення ст.4 законопроекту, яка передбачає, що персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом. Однак, на нашу думку, навряд чи доцільно обмежувати коло таких осіб лише вибірними посадами або державними службовцями першої категорії. Як свідчить практика Європейського суду з прав людини, обмеження конфіденційності персональних даних особи можливе в тому разі, коли її діяльність набуває публічного характеру, коли вона стає публічною особою. Саме це підкреслює ч.9 ст.30 Закону України «Про інформацію», яка дозволяє поширювати суспільно значиму інформацію без згоди її власника.

Слід зазначити розбіжність між текстом законопроекту (ст. 5), який передбачає можливість обробки даних про фізичну особу без її згоди, крім випадків, визначених цим Законом, і лише в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини, і Конституцією, ч.2 ст.32 якої забороняє збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди крім випадків, визначених законом і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Стаття 23 законопроекту передбачає, що про зміну, доповнення, знищення персональних даних або обмеження до них доступу володільці персональних даних повідомляють органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форми власності, яким ці дані передаються, якщо це необхідно для захисту інтересів власника персональних даних, тоді як суб’єкт (власник) персональних даних про зміну, доповнення і зни­щення персональних даних не повідомляється, що, безумовно, обмежує його право на захист персональних даних.

Законопроект передбачає впровадження інституції Уповноваженого з питань захисту персональних даних, а також Спеціально упов­новаженого центрального органу виконавчої влади з питань захисту персональних даних. Однак видається зайвим існування як інституції Уповноваженого з питань захисту персональних даних (стаття 25), так і Спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (стаття 26), з повноваженнями, які частково співпадають.

Видається за доцільне створення саме інституту Уповноваженого з питань захисту персональних даних та інформації, який би опікувався не лише захистом персональних даних, а й права на інформацію. На нашу думку, цей Уповноважений мав би призначатися Верховною Радою. Цей інститут можно також створити як окремий підрозділ апарату Уповноваженного ВРУ з прав людини. Необхідно передба­чити вимоги, що пред’яв­ляються до осіб, які прете­дують на цю посаду: освіта, відсутність судимості, прак­тика тривалої професійної діяльності чи значні наукові досягнення, громадське визнання, тощо. Також слід передбачити можливість Уповноваженого з питань персона­льних даних і інформації призначати представ­ни­ків в регіонах і умови функціонування бюро уповноваженого.

Хоча законопроект передбачає можливість забезпечення статистичними, соціологічними і науково-дослідними відомостями органів державної влади, з урахуванням права власності на персональні дані та за умови їх знеособлення (ст. 29), однак не передбачена можливість надання знеособленої пер­сональної інформації науково-дослід­ним установам.

Слід також передбачити можливість передання персональних даних у архівні установи за умов забезпечення останніми належного рівня захисту персональних даних.

Складається враження, що законопроект створювався спершу для захисту автоматизованої обробки персональних даних. Спроба регулювання картотек в цьому законопроекті не носить системного характеру. Так, ст.12 «Накопичення персональних даних» не передбачає накопичення даних в картотеках, тощо. На нашу думку, на першому етапі доцільно впроваджувати захист персональних даних лише стосовно персональних даних, які зазнають автоматизованої обробки (тобто зі сфери дії закону слід виключити ручні картотеки). На цьому етапі також не варто поширювати його діяльність на окремих фізичних осіб, що займаються приватною практикою. З часом дію цього закону можна буде поширити і на картотеки, і таких осіб.

Стосовно таких категорій персональних даних, які стосуються медичної інформації про особу або тих, які зберігаються в архівах, і тих, які стосуються захисту персональних даних в сфері телекомунікацій, необхідно буде прийняти окремі закони.

Зауважимо, що цей законопроект залишив поза розглядом такі важливі проблеми як:

– заборону на об’єднання баз персональних даних, що обробляються з різними цілями;

– заборону на введення універсального особистого багатоцільового ідентифікаційного коду;

– не врегульовано процедуру знищення персональних даних;

– не передбачається розділення персональних даних на

1) загальні персональні дані: ім’я, прізвище по-батькові, дата і місце народження, адреса:

2) спеціальні (вразливі) персональні дані: етнічне (расове) походження, політичні погляди чи партійна приналежність, релігійні або інші переконання, стан здоров’я, статеве життя, наявність судимості за кримінальні злочини. Подібне розмежування дасть можливість створити різні режими користування і поширення персональних даних – більш відкритий для першої групи і більш закритий для другої.

Слід зауважити, що прийняття цього закону повинно потягти за собою зміни ч.2 статті 23 Закону «Про інформацію» з метою узгодження двох законів. Ця стаття проголошує: «Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров’я, а також адреса, дата і місце народження» . Очевидно, що з основних даних слід виключити ті, які є вразливими: релігійність, стан здоров’я.

Проект Закону України №4002 від 17.07.2003 р. «Про Єдиний реєстр персональних даних»

Питання реєстрації особи можна розглядати в різних аспектах. Так, можна дивитися на неї з точки зору зручності і спрощення роботи державних органів влади. А можна з точки зору захисту прав і свобод людини. В цьому випадку, з урахуванням нашої історії слід дуже обережно підходити до впровадження універсального реєстраційного коду, який би мав розміщатися на всіх документах особи (як це передбачено в статтях 3 і 27 законопроекту), точніше, слід вважати такий реєстраційний код неприйнятним. Необхідність засто­сування єдиного ідентифікаційного номеру у всіх документах, що належать особі, тягне за собою порушення права особи на конфіденційність персональних даних, внаслідок, в цьому випадку, можливості у держави відслідкувати всі дії і пересування конкретної особи. На нашу думку, в законі повинні бути чітко визначені цілі збору інфор­мації про особу: наприклад, ідентифікація особи або реєстрація постійного місця проживання.

На жаль, цей законопроект, хоча й намагався уникнути недоліків своїх попередників, так і не зміг цілком позбутися спокуси принести право особи на конфіденційність інформації про неї (ч.2 ст. 32 Конституції України) в жертву зручності діяльності державних органів. Показовим в цьому відношенні є той факт, що слова «персональні дані» зустрічаються в тексті законопроекту лише два рази, причому обидва рази в назві реєстру. Далі реєстр починає називатися Єдиний реєстр фізичних осіб (ст.1).

Стаття 14 законопроекту передбачає визначення Адміністратора Єдиного реєстру на конкурсних засадах: це може бути юридична особа, яка відповідає встановленим Мінюстом кваліфікаційним вимогам та з якою Мінюст в установленому порядку уклав договір на виконання цих функцій. Це положення викликає низку запитань, зокрема, чи не загрожуватиме конфіденційності персональних даних запрошення сторонньої юридичної особи для виконання функцій реєстрації?

На нашу думку, персональна інформація, збір якої передбачений ст.24 законопроекту, є надлишковою для виконання передбачених функцій. Так, наприклад виникає питання в потрібності внесення ідентифікаційного номера дітей, батьків, подружжя.

Ми вважаємо, що окремо повинні виділятися реєстри з інформацією щодо військового обов’язку, про розшук, про обмеження дієздатності, тощо.

Даний законопроект, як і низка попередніх, на жаль, не вільний від певних недоліків. Так, бажання авторів зробити більш ефективною обробку персональних даних тим самим створює загрозу для порушення конфіденційності персональних даних. Автори законопроекту, навіть не вважають за потрібне інформувати особу про те, що її персональними даними хтось користується, і взаємозв’язки між Єдиним реєстром і громадянином будують за принципом «громадянин зобов’язаний», забуваючи, що громадянин перш за все має право. В законопроекті, на жаль, не згадується інституція Уповноваженого з персональних даних. Загалом складається враження, що збір персональних даних в Єдиний реєстр за цим законопроектом дасть можливість вдатися до глобального контролю за діяльністю особи, наприклад, завдяки пов’язанню ідентифікаційного коду з оподаткуванням.

Необхідно зауважити, що законопроект не передбачає можливості особи відмовитися від надання ідентифікаційного коду з релігійних переконань, що, як свідчила процедура надання податкового ідентифікаційного номеру, є необхідним. Більше того, законопроект скасовує усі існуючі заперечення щодо такої відмови, що викличе загострення конфліктів у цій сфері.

Таким чином, мусимо констатувати, що, на превеликий жаль, всі існуючі законопроекти у сфері реєстрації особи та захисту персональних даних далекі від досконалості.

 Поділитися