Захист персональних даних

Нині міжнародне законодавство включає приблизно 20 загальноєвропейських конвенцій, директив та рекомендацій із питань захисту персональних даних. 06.07.2010 року Україна ратифікувала базові європейські стандарти у сфері захисту персональних даних, зокрема Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, таким чином беручи на себе зобов’язання імплементувати їх положення в українське законодавство.

Основною метою прийняття Закону України «Про захист персональних даних» є захист особистого життя громадян. Закон регулює відносини пов’язані із захистом персональних даних під час їх обробки в органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності, фізичними особами – підприємцями, у тому числі лікарями, які мають відповідну ліцензію, адвокатами, нотаріусами.

Нормативно-правове забезпечення

Конституція України (ст. 32)

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Страсбург, 28 січня 1981 р.)

Директива 95/46/ЄС Європейського парламенту і Ради Європейського Союзу «Про захист персональних даних» від 24 жовтня 1995 року

Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI

Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI

Роз’яснення Міністерства юстиції України «Деякі питання практичного застосування Закону України «Про захист персональних даних» 21.12.2011р.

Постанова Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25.05.2011 № 616.

Наказ Міністерства юстиції України від 30.12.2011 р. № 3659/5 «Про затвердження Типового порядку обробки персональних даних у базах персональних даних»

Законотворча робота Комітету у 2012 році

У 2012 році було опрацьовано декілька законопроектів щодо внесення змін до чинного Закону України «Про захист персональних даних» реєстр. № 10472, № 10472-1 та 9790.

Під час підготовки цих законопроектів до розгляду на сесії Верховної Ради України було проведено дві зустрічі з представниками Ради Європи – незалежними експертами з питань захисту персональних даних. Погоджуючись з пропозицією представників Ради Європи законопроекти були направлені на експертизу до Генерального Директорату з прав людини та верховенства права Ради Європи для проведення експертизи на предмет відповідності стандартам Ради Європи.

За домовленістю з представництвом Ради Європи в Україні було заплановано проведення комітетських слухань на тему: «Про реалізацію Закону України «Про захист персональних даних» та шляхи його вдосконалення» на 12 вересня 2012 року. У зв’язку з тим, що урядовий законопроект реєстр. № 10472-1 було прийнято за основу напередодні комітетських слухань, було вирішено замість слухань провести засідання робочої групи з підготовки проекту до другого читання.

Під час засідання були розглянуті всі пропозиції, які надійшли до Комітету від обласних державних адміністрацій, центральних органів виконавчої влади. Всі присутні були ознайомлені з узагальненими матеріалами щодо проблемних питань, які виникають під час реалізації положень Закону України «Про захист персональних даних»; думкою представників Ради Європи; позицією Міністерства юстиції України; громадських організацій; представника Уповноваженого з прав людини.

До другого читання була підготована порівняльна таблиця до законопроекту № 10472-1 «Про внесення змін до Закону України «Про захист персональних даних» (щодо удосконалення правового регулювання у цій сфері).

Під час підготовки було розглянуто 63 поправки внесені суб’єктами законодавчої ініціативи. Всі пропозиції було розглянуто на предмет відповідності новому Регламентові Європейського Союзу у сфері захисту персональних даних та законодавству держав-членів ЄС.

02 жовтня 2012 року законопроект № 10472-1 було розглянуто під час вечірнього засідання Верховної Ради т прийнято в цілому. 09  жовтня 2012 р. направлено на підпис Президенту України.

Інституційна система захисту персональних даних

Прийняття Закону та ратифікація Конвенції вимагало створення належної інституціональної системи захисту персональних даних.

Міністерство юстиції є головним органом у системі центральних органів виконавчої влади з формування та забезпечення реалізації державної правової політики у сфері захисту персональних даних.

Крім того Міністерство визначено органом відповідальним за співробітництво з країнами, які підписали Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних.

Державна служба України з питань захисту персональних даних є центральним органом виконавчої влади, який забезпечує реалізацію державної політики у сфері захисту персональних даних.

Діяльність служби спрямовується і координується Кабінетом Міністрів України через Міністерство юстиції України. Крім того, Державна служба визначається держателем Реєстру баз персональних даних.

Уповноважений Верховної Ради України з прав людини здійснює парламентський контроль за додержанням вимог законодавства України про захист персональних даних.

Основні питання, які виникають у громадян України

під час реалізації положень Закону України

«Про захист персональних даних»

Варто зазначити, що більшість заяв громадян, надісланих до Верховної Ради України, Державної Служби з питань захисту персональних даних, містять вимоги про заборону та заперечення здійснення обробки персональних даних заявників, знищення відомостей про них з баз персональних даних.

Такі заяви громадян свідчать, в першу чергу, про неправильне розуміння норм Закону України «Про захист персональних даних», оскільки положення цього Закону є новими в українському законодавстві.

Розповсюдженою є хибна думка про те, що реєструючи базу персональних даних, особа має передавати й саму персональну інформацію про осіб. Однак це не так – володілець бази персональних даних реєструє наявність у нього конкретної бази персональних даних. Проте при цьому не вказується ні перелік осіб, дані яких обробляються, ні будь-які інші відомості про них.

З моменту народження фізичної особи та протягом усього її життя установами, організаціями, органами державної влади чи органами місцевого самоврядування здійснюються дії нерозривно пов’язані з обробкою відомостей про таку особу.

Крім того, громадяни України порушують такі питання у своїх зверненнях:

-         визначити належність тих чи інших відомостей до персональних даних;

-         чи поширюється Закон на фізичних осіб-підприємців, адвокатів, нотаріусів, приватних лікарів тощо;

-         щодо правових підстав обробки персональних даних, зокрема у яких випадках необхідно брати згоду від суб’єктів персональних даних, а у яких – ні і що робити, якщо особа відмовляється надавати таку згоду;

-         питання у сфері страхової та колекторської діяльності, банківських послуг.

Основні питання, які порушують

місцеві органи державної виконавчої влади,

центральні органи державної виконавчої влади під час реалізації положень Закону України «Про захист персональних даних»

1) Необхідність визначити терміни збереження статусу конфіденційності щодо інформації про померлих осіб;

2) Через обмеженість фінансування і незадовільне матеріально-технічне забезпечення роботи місцевих органів виконавчої влади проблематичним є забезпечення належного захисту електронної бази персональних даних особових карток державних службовців, захисту інформації автоматизованих систем, в яких обробляються персональні дані. 

Існує потреба в цільовому фінансуванні структурних підрозділів для виконання вимог Закону.

Потребує уточнення перелік вимог до захисту приміщень і оргтехніки, де здійснюється обробка персональних даних.

3) На законодавчому рівні не врегульоване питання щодо підстав та порядку обробки в базі персональних даних інформації про громадян, які звертаються відповідно до законів України «Про звернення громадян» та «Про доступ до публічної інформації».

На практиці виникає ситуація, коли ведеться картотека звернень громадян (тобто в упорядкованій формі зберігаються відомості, надані громадянами при зверненні, як того вимагає Закон України «Про звернення громадян»). Враховуючи що такі картотеки накопичувалися протягом багатьох років і чисельність справ досить значна, невиправданим і недоцільним є обов’язок повідомляти кожного громадянина, який самостійно звернувся до органу державної влади про внесення його персональних даних до бази персональних даних. Крім того письмове повідомлення в окремих випадках є проблематичним. В першу чергу це стосується випадків, коли особа може повідомити певні персональні дані через електронну пошту без зазначення поштової адреси.

4) Проблемним питанням є виникнення правової колізії, яке може призвести до неотримання диплому про освіту.

Пункт 1 статті 7 Закону забороняє обробку персональних даних про расове, або етнічне походження, політичні, релігійні та світоглядні переконання, членство в політичних партіях, а також дані про здоров’я. Зазначене положення не дозволяє отримати дозвіл на обробку персональних даних від вступників, які подають документи на вступ до вищих навчальних закладів і не дають згоду на обробку з релігійних переконань. Не надання згоди на обробку персональних даних призводить до неможливості виконання навчальними закладами умов і правил прийому до ВНЗ, в частині оприлюднення списків рекомендованих до зарахування та формування наказів про зарахування, неможливості видачі студентського квитка, екзаменаційних відомостей, диплому про освіту, тощо.

Важливим напрямком, де потрібно досягти значного прогресу з метою належного впровадження Конвенції Ради Європи з ефективними результатами на майбутнє є урахування необхідного балансу між свободою висловлювання думок і правом на доступ до публічної інформації.

Для чого потрібна реєстрація баз персональних даних?

Реєстрація баз персональних даних є:

І. Корисною для суб’єктів персональних даних, оскільки є важливою ознакою прозорості стосовно обробки персональних даних, аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів.

ІІ. Сприяє обізнаності щодо вимог законодавства та щодо необхідності забезпечувати обробку персональних даних з дотриманням вимог законодавства володільців баз персональних даних.

ІІІ. Корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє йому бути обізнаним із ситуацією стосовно обробки персональних даних, та водночас дає змогу здійснювати аналіз записів з метою удосконалення положень типового порядку обробки персональних даних та методів контролю за додержанням вимог законодавства про захист персональних даних.