Коментар до Закону України «Про захист персональних даних»
Аналізований закон було прийнято 1 червня 2010 р. За час, що минув від його прийняття, з’ясувалися певні прогалини і вразливі місця цього акта, які дають підставу як для відповідної критики, так і для певних пропозицій щодо його вдосконалення.
Необхідність уточнення окремих формулювань Закону України «Про захист персональних даних» (далі – Закон) стала особливо очевидною після прийняття Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 р., яким було запроваджено доволі жорсткі норми адміністративної відповідальності як за невиконання обов’язків, пов’язаних з веденням і реєстрацією баз персональних даних, так і за порушення недоторканності приватного життя. Так, норми Закону від 1 червня 2010 р. через нечіткість юридичних конструкцій допускають настільки широке тлумачення, що мало не все населення країни, не кажучи вже про суб’єктів підприємницької діяльності та юридичних осіб, автоматично перетворилося у потенційних правопорушників. Водночас відповідне державне відомство – Державна служба України з питань захисту персональних даних – захлинулося у морі заявок на реєстрацію баз персональних даних. Через гостроту ситуації 13 січня 2012 р. законодавець був змушений навіть відстрочити набуття чинності Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» до 1 липня 2012 р.
У цьому контексті нагальним завданням стає швидке (упродовж 2-3 місяців) внесення змін до Закону України «Про захист персональних даних» від 1 червня 2010 р. (далі – Закон), чому має сприяти і неупереджена наукова оцінка його змісту.
Насамперед слід звернути увагу на деякі питання концептуального характеру. Сама природа суспільного життя передбачає постійні багаторівневі і багатоаспектні міжособистісні стосунки. Ці стосунки не можливі, якщо сторони не матимуть уявлення про своїх партнерів, тобто без ідентифікації відповідних осіб, без використання більшого чи меншого обсягу інформації про особу (персональних даних). Водночас кожний науковий, інший фаховий чи навіть аматорський опис суспільного життя (як сучасного, так і минулого) на макро- чи мікро- рівнях неминуче передбачає ідентифікацію особистостей – учасників суспільних процесів, тобто використання персональних даних. У такому контексті ідея забезпечити повну анонімність особи, знеособити загалом суспільну історію і сучасну суспільну практику виглядає абсолютною нісенітницею. Як видається, ідея захисту персональних даних полягає не в утаємничені цих даних загалом, а в запобіганні можливим зловживанням з цими даними, а саме розголошенню відомостей про особисте життя, таємниця якого охороняється на конституційному рівні.
Для досягнення цієї мети треба:
1) з усього обсягу інформації про особу визначити ті відомості, які за загальним правилом не мають підлягати розголошенню (конфіденційні персональні дані), а все інше вважати загальнодоступною інформацією;
2) визначитися з колом осіб, життя і діяльність яких становить публічний (суспільний) інтерес, і визначити обсяг конфіденційної інформації щодо них, який має бути набагато вужчий від звичайного;
3) визначити коло партнерів особи у суспільних стосунках (державних органів, працедавців, контрагентів за цивільно-правовими договорами тощо), які мають обґрунтовану потребу мати не лише загальнодоступну, а й іншу інформацію про особу;
4) законодавчо закріпити заборону включати в листки обліку кадрів та інші аналогічні документи вимогу подавати конфіденційні персональні дані, а також можливі винятки з цього загального правила для медичних документів, для документів, які подаються до правоохоронних органів, та інших документів, які створюються для потреб згаданих вище «соціальних партнерів» (ці винятки мають закріплюватися у законах про відповідні державні органи або види діяльності);
5) передбачити право кожної особи закрити від широкого загалу (але не від «соціальних партнерів», згаданих раніше) ту чи іншу частину загальнодоступної інформації про себе, а отже, і розробити механізм реалізації цього права, тобто межі і процедури такого закриття інформації;
6) дозволити як самій особі, так і з її дозволу іншим фізичним або юридичним особам, оприлюднювати чи передавати іншим суб’єктам без загального оприлюднення її конфіденційні персональні дані, а також розробити механізм надання такого дозволу (як видається, достатньо простої письмової згоди, але вимога надання такої згоди не може бути обов’язковою умовою для започаткування якихось правових відносин);
7) установити відповідальність за протиправну професійну діяльність зі збирання конфіденційної інформації про третіх осіб (не можна заборонити чоловіку або свекрусі стежити на аматорському рівні за особистим життям своєї дружини або невістки, а от кожне приватне детективне бюро мусить мати відповідний дозвіл-ліцензію);
8) закріпити загальне професійне право журналістів, працівників інформаційних служб, творчих працівників сфери культури і мистецтва, науковців і вчених, а також право всіх інших фізичних осіб, які збирають персональні дані для задоволення власних інформаційних потреб, на збирання інформації будь-якими не забороненими законом способами (йдеться передусім про збирання інформації з загальнодоступних джерел або шляхом особистого спостереження чи опитування);
9) закріпити юридичну відповідальність фізичних осіб, які у зв’язку з виконанням своїх службових обов’язків, особистими стосунками чи аматорською діяльністю стали поінформованими щодо конфіденційних персональних даних про інших осіб, за протиправне розголошення цих даних, а також визначити можливі винятки з цього загального правила;
10) окремо визначитися зі строками збереження статусу конфіденційності щодо інформації про померлих осіб (як видається, з часом вся така інформація має стати юридично відкритою і обмеження щодо її поширення можуть вводитися лише етичними кодексами певних професій);
11) врахувати особливості застосування зазначених загальних положень щодо осіб, які не мають повної цивільної дієздатності;
12) створити юридичні передумови для правового і дипломатичного захисту з боку держави громадян України, які не з доброї волі, а вимушено мають для вирішення візових проблем подавати в консульські установи інших держав чимало різноманітної інформації про себе, зокрема й такої, що не лише за сучасного підходу, а й у перспективі в контексті необхідної диференціації інформації про особу, зберігатиме характер конфіденційних персональних даних.
Зазначені загальні підходи до нормативно-правового регулювання, як видається, майже у повному обсязі можна було б реалізувати у новій редакції Закону України «Про інформації» без прийняття відповідного окремого закону.
Практика пішла зовсім іншим шляхом прийняття окремого Закону України «Про захист персональних даних». Утім, з усіх наведених вище позицій у цьому законі знайшли відображення лише декілька (2, 4, 6, 8) і то в доволі недосконалому вигляді. Центр ваги змістився на суто технічні моменти, передусім на правила поводження з базами персональних даних. До того ж мало не як основний засіб захисту персональних даних було запропоновано державну реєстрацію баз персональних даних, яка сама по собі не запобігає протиправному розголошенню конфіденційних персональних даних, а лише породжує надмірну бюрократизацію відповідних процесів. «Олії до вогню» додало ще встановлення юридичної відповідальності за невиконання цього закону, передусім за недодержання вимог щодо реєстрації баз даних, унаслідок чого вся країна без перебільшення почала панічно оформлювати за великим рахунком нікому не потрібні заявки на реєстрацію відповідних баз даних.
Наприклад, на сьогодні виходячи з «букви закону», пересічний академічний інститут має окремо зареєструвати такі бази даних: 1) кадровий склад, 2) аспіранти, 3) здобувачі наукових ступенів, 4) здобувачі вчених звань, 5) особи які захистили дисертацію у спеціалізованих вчених радах інституту (по кожній раді окремо), 6) особи, які співпрацювали з інститутом за цивільно-правовими договорами, 7) особи, які користуються науковою бібліотекою інституту, 8) особи, які складали кандидатські іспити в інституті, 9) особи, які складали вступні іспити в аспірантуру. І це, мабуть, ще й не повний перелік.
Щоб якось розрядити ситуацію, на підзаконному рівні з’являються відомчі роз’яснення щодо окремих найабсурдніших ситуацій (наприклад, щодо реєстрації баз даних нотаріусів), але вони не знімають проблеми як такої.
Тож, найпослідовнішим рішенням було б скасувати закон як такий і розв’язати проблеми захисту персональних даних через зміни в Законі України «Про інформацію». Проте, пам’ятаючи про обставини (зовнішній чинник певних міжнародних зобов’язань) прийняття цього акта реалістичнішою виглядає спроба внесення до нього системних змін з одночасним уточненням Законів України «Про інформацію» і про «Доступ до публічної інформації».
У зв’язку з цим пропонується взяти до уваги і такі конкретні зауваження до окремих статей вже чинного Закону України «Про захист персональних даних».
1. Назва Закону не зовсім відповідає його сьогоднішньому змісту, який здебільшого стосується не всіх питань захисту персональних даних, а лише тих, які пов’язані з їх «обробкою» в базах персональних даних (під останніми в Законі розуміються як автоматизовані бази, так і упорядковані картотеки). Нинішньому змісту точніше відповідала назва Закон України «Про бази персональних даних».
У цьому контексті доцільно звернути увагу, що Закон приймався передусім у зв’язку з приєднанням України до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28 січня 1981 р. (далі – Конвенція), але у Законі України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 6 липня 2010 р. окремо було зафіксовано заяву такого змісту: «Україна буде застосовувати цю Конвенцію до файлів персональних даних, які не обробляються автоматизовано». Ця заява, до речі, не була чимось екстраординарним, її можливість передбачається, а текст мало не дослівно наводиться у самій Конвенції.
Утім, як би там не було, слід констатувати, що наш законодавець послідовно виходить з того, що в Україні рівень автоматизації діловодства ще помітно відстає від європейського і ряд важливих баз даних існує лише на паперових носіях.
2. Стаття 1 «Сфера дії закону» є однією з найважливіших у Законі, як така, що запобігає невиправданому поширенню сфери дії закону на ті відносини, які не потребують правового регулювання.
Перша частина цієї статті цілком виправдано виводить зі сфери дії Закону бази даних, які створюються «виключно для непрофесійних особистих чи побутових потреб». Попри деяку законодавчу невизначеність меж цих «потреб», ця позиція законодавця має принциповий характер. Так, у згаданому Законі України від 6 липня 2010 р. серед інших містилася і заява, що «Україна не буде застосовувати цю Конвенцію до персональних даних, які обробляються фізичними особами виключно для непрофесійних особистих чи побутових потреб». Такий підхід цілком відповідає і Директиві 95/46/ЄС Європейського Парламенту і Ради Європейського Союзу «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 р. (далі –Директива), в преамбулі якої, зокрема, зазначається, що загальні принципи захисту персональних даних не поширюються «на обробку даних, створених фізичною особою в процесі діяльності винятково особистого чи домашнього характеру, такої як переписування і ведення адресних книг» .
Утім, коли особа займається водночас як творчою діяльністю відповідно до службових завдань, так і творчою діяльністю відповідно до власного інтересу (зокрема, згідно з законодавством України «вченими» визнаються не лише професійні науковці чи освітяни) визначити чітку юридично обґрунтовану межу між професійними і непрофесійними потребами дуже важко.
Зазначену проблему до певної міри мала б зняти друга частина цієї статті, у якій передбачено, що за професійною ознакою дія Закону не поширюється на дві категорії осіб – журналістів і професійних творчих працівників. У зв’язку з цим виникає потреба з’ясувати, хто ж є професійним творчим працівником.
У Законі Україні «Про професійних творчих працівників та творчі спілки» від 7 жовтня 1997 р. дається таке визначення: «професійний творчий працівник – особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва». Таке визначення видається занадто стислим, оскільки охоплює лише частину осіб, які займаються професійною творчою діяльністю, власне діячів культури і мистецтва – митців.
Водночас у статті 1 Закону України «Про державну підтримку засобів масової інформації та соціальний захист журналістів» від 23 вересня 1997 р. журналіст визначається як «творчий працівник, який професійно збирає, одержує, створює і займається підготовкою інформації для засобів масової інформації …». Це визначення в частині наявності елементу професійної творчої діяльності наявності майже ідентичне визначенню «професійного творчого працівника». Але виходячи з «букви закону», в якому немає широкого визначення поняття «творчого працівника», доводиться, щоб усунути всякі сумнів, згадувати журналістів поруч з професійними творчими працівниками.
Важко сказати, чи це свідомо мали на меті розробники відповідного законопроекту, але, якщо виходити з буквального тлумачення тексту Закону, правовий режим, передбачений для журналістів і митців (професійних творчих працівників), не поширюється на наукових працівників і інших вчених. Хоча їх діяльність теж є безумовно творчою. Зокрема, Законом України «Про наукову і науково-технічну діяльність» від 13 грудня 1991 р. наукова діяльність визначається як «інтелектуальна творча діяльність, спрямована на одержання і використання нових знань». Таким чином, наукові співробітники професійно займаються творчою діяльністю, але формально не охоплюються поняттям «професійні творчі працівники» і під страхом юридичної відповідальності мають реєструвати у загальному порядку свої робочі картотеки та інші бази персональних даних. Чи потрібно це суспільству? Думаю, що, безумовно, ні. Виходом може бути або офіційне розширювальне тлумачення Конституційним Судом України поняття «професійні творчі працівники» у цій статті або відповідні зміни у Законі.
Як видається, існує ще чимало й інших ситуацій, які мають бути виведені за сферу дії цього Закону і які обов’язково слід буде врахувати у процесі його вдосконалення.
Так, сьогодні кожне підприємство, установа і організація веде кадровий облік і має відповідну базу даних (списки і особові справи) на своїх працівників. Про це всім відомо і інакше й бути не може. Яка реальна потреба у державній реєстрації таких баз?
Тому видається доцільним вивести з під сфери дії Закону «бази даних, які створюються в підприємствах, установах, організаціях або у фізичних осіб – працедавців відповідно до законодавства з метою обліку своїх працівників або у об’єднаннях громадян щодо своїх членів, а також щодо осіб, які перебувають або перебували у адміністративних, цивільно-правових та інших безпосередніх відносинах з відповідною юридичною або фізичною особою». Тобто реєстрації мали б підлягати лише бази даних, які спрямовані, так би мовити, назовні і стосуються людей, які не мають безпосередніх відносин з володільцем бази даних.
Зі сфери дії Закону, як видається, без особливої шкоди можна було б виключити всі бази даних історичного характеру, що стосуються лише осіб, яких немає вже у живих. Задля справедливості слід зазначити, що розробники закону пропонували на перших етапах розгляду відповідного законопроекту надати право розпоряджатися персональними даними померлої фізичної особи її спадкоємцям. Проте коли ця позиція була обґрунтовано розкритикована юристами Головного експертного управління Верховної Ради України з посиланням на те, що особисті немайнові права не входять до складу спадщини, розробники взагалі відмовилися від будь-яких спроб урегулювати це питання.
Як наслідок, важко не погодитися з висновком фахівців іншого структурного підрозділу Верховної Ради України – Головного юридичного управління, що законопроектом (а тепер – Законом) не врегульовано правовий режим персональних даних, що містяться в базах даних після смерті особи, що ще більш ускладнить правовідносини, зважаючи на неоднозначність регулювання цих питань Цивільним кодексом України та іншими законами України, зокрема Законом України «Про банки і банківську діяльність».
Також варто вивести зі сфери дії Закону бази даних, які створюються у процесі підготовки довідково-енциклопедичних видань і/або науково-біографічних та інших аналогічних праць, з тим застереженням, що на публікацію раніше не оприлюднених конфіденційних персональних даних про живих осіб потрібна їх особиста згода.
3. Представлений у статті 2 термінологічний апарат Закону загалом не викликає принципових заперечень, але може бути вдосконаленим з наданням йому більшої стрункості і чіткості. Ось кілька прикладів і пропозицій.
3.1 Чому база даних обов’язково має бути «іменованою сукупністю»? Хіба, якщо реальна картотека не матиме певної власної назви, вона перестане бути базою даних? З визначення також незрозуміло, чи будуть базою даних розташовані на поличці за абеткою 120 особових справ на співробітників або вміщені в одну велику папку файли з анкетами цих же співробітників?
Не виправляють, до речі, ситуацію і офіційне «Роз’яснення Державної служби з питань захисту персональних даних про реєстрацію баз персональних даних», в якому пропонується така конкретизація: «база персональних даних в електронній формі – організована сукупність логічно пов’язаних даних про фізичних осіб, що зберігаються та обробляються відповідним програмним забезпеченням, а картотека персональних даних – систематизоване зібрання паперових носіїв інформації, що містять відомості про фізичних осіб, які є персональними даними у сенсі статті 2 Закону».
Певною підказкою для подальшої роботи законотворців могло б стати положення Директиви (пункт 27 преамбули), що дана Директива охоплює тільки картотеки даних, але не неструктуровані справи, і зміст картотеки завдяки систематизації має забезпечувати легкий доступ до персональних даних.
3.2 Слово «обробка» вживається у Законі постійно, але, як видається, воно не властиве українській мові. Краще – «оброблення» або «опрацювання» . Це саме стосується і слова «передача», яке у відповідних контекстах краще замінити на слово «передавання».
3.3 Як не дивно, у цій статті немає визначення основоположного для Закону терміносполучення «захист персональних даних».
В Конвенції з цього приводу зазначається» «Метою цієї Конвенції є забезпечення на території кожної Сторони для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканність приватного життя, у зв'язку з автоматизованою обробкою персональних даних, що її стосуються (далі – захист даних)», тобто «захист персональних даних» розуміється як одна з форм забезпечення недоторканності приватного життя.
3.4 Варто також порівняти два визначення.
У Законі: «володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом».
У Конвенції: «термін "контролер файлу" означає фізичну або юридичну особу, державний орган, установу чи будь-який інший орган, що уповноважений відповідно до національного законодавства вирішувати, яким повинно бути призначення файлу даних для автоматизованої обробки, які категорії персональних даних повинні зберігатися та які операції повинні здійснюватися з ними».
На нашу думку, враховуючи, що питання права власності на інформацію зараз фактично опинилися за межами правового поля, термін «контролер» є точнішим, ніж «володілець бази персональних даних».
Також звернемо увагу, що мовна конструкція «законом або за згодою суб'єкта персональних даних надано право» є не зовсім вдалою. Краще – «відповідно до закону або за згодою суб'єкта персональних даних надано право». Окрім того, виходячи з нашої правової реальності, у цьому випадку краще посилатися на законодавство, а не закон (закони).
3.5 Саме у рамках цієї статті, мабуть, слід було зробити необхідну спробу диференціювати персональні дані на відкриті (загальнодоступні) та конфіденційні. Утім, ця недиференційованість знайшла відображення і в загальнішому за змістом акті – новій редакції Закону України «Про інформацію». На цю тему існує вже доволі багато резонансних публікацій, зокрема, у щотижневику «Дзеркало Тижня» за 16–23 грудня 2011 року.
Маємо підкреслити, що у Конвенції є стаття 6 «Особливі категорії даних: такого змісту: «Персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров'я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій. Це правило також застосовується до персональних даних, що стосуються засудження в кримінальному порядку.»
У тексті Закону це положення відтворено у статті 7 серед особливих вимог до оброблення персональних даних, що видається не зовсім точним, оскільки акцент варто зробити саме на особливій природі таких даних, а не на тому, що до частини персональних даних чомусь (у статті мотивація не зазначається) застосовуються особливі умови оброблення.
4. До числа «суб’єктів відносин, пов'язаних із персональними даними» (стаття 4) доцільно включити також державу, яка реально бере участь у зазначених відносинах. Інакше її доведеться трактувати як третю особу, що навряд чи буде правильно. Можливо, слід згадати і про існування суб’єктів міжнародного права.
5. Викликає заперечення віднесення усіх персональних даних (крім знеособлених) до інформації з обмеженим доступом (частина 2 статті 5). Частина основних персональних даних за загальним правилом має бути повністю відкрита. Втім, маю повторити, що це загальний недолік нашого нового інформаційного законодавства, що знайшов відображення і в новій редакції Закону України «Про інформацію».
Не до кінця продумана і частина 4 цієї статті, де загалом передбачається вільний доступ до всіх персональних даних фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії. Виняток має становити інформація щодо таких осіб, доступ до якої обмежено відповідно до закону. Так, звернення до актуального тексту Закону України «Про державну службу» від 16 грудня 1993 р., у статті 25 якого міститься перелік посад державних службовців першої категорії, засвідчує, що існує ряд публічних осіб, які не потрапляють ні до категорії виборних посадовців представницьких органів, ні до кола державних службовців першої категорії. Це, зокрема, стосується Прем'єр-міністра України, членів Кабінету Міністрів України, Голови та суддів Конституційного Суду України, Голови та суддів Верховного Суду України, Голови та суддів вищого спеціалізованого суду України, Генерального прокурора України та його заступників, правовий статус яких не регулюється Законом України «Про державну службу». З іншого боку, вже «просто» заступники (не перші заступники) міністрів належать вже не до першої, а до другої категорії державних службовців. Варто було також врахувати, що, крім державних службовців, є ще й службовці органів місцевого самоврядування. Загалом відчувається певна колізія у підходах з Законом України «Про доступ до публічної інформації» від 13 січня 2011 р., у частині 6 статті 6 якого зазначається, що не належать до інформації з обмеженим доступом декларації про доходи осіб та членів їхніх сімей, які, зокрема, «обіймають посаду державного службовця, службовця органу місцевого самоврядування першої або другої категорії».
Закон від 1 червня 2010 р. не дає чіткого розуміння і щодо того, які ж персональні дані зазначених вище публічних осіб як виняток не підлягають розголошенню, оскільки за відсилкою до інших законів поки що фактично нічого не стоїть.
6. Стаття 6 Закону «Загальні вимоги до обробки персональних даних» загалом відповідає змісту статті 5 Конвенції «Якість даних». Але є й дійсно революційна відмінність, яка закріплена у частині 6 статті 6: «Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».
Ця норма суттєво відрізняється від положення частини 2 статті 32 Конституції України «Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини», яке було дослівно відтворено і у статті 11 нової редакції Закону України «Про інформацію». «Випало» важливе застереження, що йдеться лише про конфіденційну інформацію про особу. Втім, як вже не раз зазначалося, сучасне українське інформаційне законодавство відносить до конфіденційної інформації всю інформацію про особу, не розрізняючи загальнодоступну та «вразливу» інформацію, а тому прямої суперечності з Конституцією ніби і немає. Проте ми не маємо сумнівів, що здоровий глузд врешті-решт переможе і на законодавчому, а, можливо, навіть і на конституційному, рівні конфіденційні дані про особу будуть розмежовані із загальнодоступними. От тоді всі механізми, пов’язані з одержанням згоди особи на оброблення її відкритих персональних даних, втратять будь-який сенс. Принагідно зауважимо, що у тексті Конвенції необхідність згоди громадян на оброблення її персональних даних у жодному контексті не передбачається.
Варто підкреслити, що саме в цій нормі недостатньо простої відсилки до «випадків, визначених законом», а мало б бути максимум конкретики. Для порівняння наводжу зміст пункту 30 преамбули Директиви: «Враховуючи, що для забезпечення законності обробки персональних даних, вона повинна, крім іншого, проводитися з дозволу суб'єкта даних чи бути необхідною для укладання чи виконання договору, обов'язкового для суб'єкта даних, або в якості правової вимоги, або для виконання завдання, яке здійснюється в інтересах суспільства чи при виконанні офіційних повноважень, або в законних інтересах фізичної чи юридичної особи, за умови, що враховуються інтереси чи права і свободи суб'єкта даних; враховуючи, що, зокрема, для того, щоб зберегти рівновагу між інтересами, які зачіпаються, в той же час гарантуючи ефективну конкуренцію, держави-члени можуть визначити обставини, при яких персональні дані можуть використовуватися чи надаватися третій стороні в контексті законної звичайної ділової діяльності компаній і інших органів; враховуючи, що держави-члени можуть аналогічним чином визначити умови, за яких персональні дані можуть надаватися третій стороні з метою маркетингу, здійснюваного або в комерційних цілях, або благодійною організацією чи будь-якою іншою асоціацією чи фондом, наприклад, політичного характеру, за умови дотримання положень, що дозволяють суб'єкту даних безкоштовно і без зазначення причин заперечувати проти обробки даних, які його стосуються».
7. Категоричний протест викликає частина 9 статті 6 про те, що «використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособленому вигляді». Уявіть собі підручник з історії, в якому не буде жодного прізвища, а фігуруватимуть лише посади тих чи тих особистостей. Ця непродумана норма автоматично перекреслює всю наукову діяльність в галузі історії та біографістики, ставить під заборону всі довідково-енциклопедичні видання, де згадуються конкретні персональні дані. До речі, не зовсім зрозуміло, що таке «історичні (відмінні від наукових!) цілі».
Варто наголосити, що Конвенція закріплює абсолютно протилежні підходи. Так, у пункті 3 статті 9 Конвенції зазначається, що загальні права особи на захист своїх персональних даних можуть обмежуватися законодавством «стосовно файлів персональних даних для автоматизованої обробки, що використовуються для цілей статистики або наукових досліджень у випадках явної відсутності небезпеки порушення недоторканності приватного життя суб'єктів даних». Про це ж саме йдеться і у частині 2 статті 13 Директиви.
Принагідно також зауважимо, що пункт 23 преамбули Директиви вимагає, щоб в державах ЄС були не лише загальні, а й спеціальні галузеві закони щодо захисту персональних даних, зокрема, у діяльності статистичних установ. Водночас в пункті 29 преамбули підкреслюється, що «подальша обробка персональних даних в історичних, статистичних чи наукових цілях не повинна розглядатися як несумісна з цілями, заради яких дані були зібрані раніше, за умови, що держави-члени забезпечать відповідні гарантії; враховуючи, що ці гарантії повинні, зокрема, виключати використання даних на підтримку заходів чи рішень відносно будь-якої конкретної особи».
Ще категоричніше про це сказано у пункті 34 преамбули Директиви, де підкреслюється, що держави-члени повинні бути також уповноважені, якщо це виправдовується важливим суспільним інтересом, відступати від заборони обробляти конфіденційні категорії даних, якщо це пов'язано із суспільними інтересами … у сфері наукових досліджень і урядової статистики; враховуючи, що, незважаючи на це, вони зобов'язані забезпечувати особливі і відповідні гарантії, спрямовані на захист основних прав і приватного життя людей».
А у статті 7 Директиви закріплено, що персональні дані можуть оброблятися без згоди особи «для виконання завдання, здійснюваного в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані».
Слід окремо зауважити, що ця і деякі подальші норми Закону виходять далеко за межі його основного призначення – регулювання питань, пов’язаних з обробленням персональних даних у відповідних базах, а отже, порушують логіку і системність нашого інформаційного законодавства.
8. У частині 10 статті 6 Закону, як видається, не враховано, що відносини, пов’язані з банківською таємницею, мають регулюватися передусім законом, а не підзаконними актами Національного банку України.
9. У пункті 6 частини 2 статті 7 слід врахувати, що у чинному законодавстві, наскільки мені відомо, не розкривається зміст поняття «медичний працівник», яке було автоматично перенесено з не зовсім адекватно перекладених міжнародних документів.
Водночас у пункті 7 частини 2 статті 7 поруч з контррозвідувальною і оперативно-розшуковою діяльністю варто згадати ще й розвідувальну діяльність. Аналогічні зауваження стосуються і частини 4 статті 15 та пункту 1 частини 2 статті 21.
10. Неоднозначне ставлення викликає закріплене у пункті 7 частини 2 статті 8 право на захист від надання відомостей, що ганьблять честь, гідність та ділову репутацію фізичної особи (так званої дифамації). Підкреслимо, що ця норма у редакції Закону, якщо її трактувати дослівно, поширюється і на достовірні відомості. Досі в нашому законодавстві не було заборони на поширення достовірних відомостей. Дослівне розуміння цієї норми, наприклад, означатиме, що злочинець-рецидивіст може вимагати, щоб одні правоохоронні органи не повідомляли іншим на їхні запити про факти, які «ганьблять його честь і гідність».
Утім, у вітчизняній правовій доктрині все ж існує відносно загальноприйняте розуміння дифамації як поширення саме неправдивих і таких, що ганьблять особу, фактичних відомостей (інформації). Згідно з цивільним законодавством (стаття 277 ЦК України), спростуванню підлягають поширені про особу відомості (інформація), які порочать честь, гідність і ділову репутацію та є недостовірними. Відповідно, так мала б бути сформульована і норма цього Закону.
Проте всі наведені вище міркування втрачають свій сенс у контексті вже не раз згадуваного віднесення до конфіденційної будь-якої інформації про особу. Формально без згоди особи тепер не можна поширювати про неї навіть абсолютно достовірну і таку, що підносить її честь, гідність і ділову репутацію, інформацію.
11. Стаття 9 має загалом суто технічний і процедурний характер, а тому не викликає особливих принципових сутнісних зауважень. Утім, не можна не зауважити, що положення частини 4 цієї статті про те, що Уповноважений державний орган з питань захисту персональних даних повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання, виглядає повною фантастикою на тлі реальної кількості відповідних заяв, які надійшли до згаданого органу.
12. Частина 4 статті 10 входить у колізію з нормами нашого трудового та деякого іншого законодавства, які висувають певні моральні вимоги до працівників, які виконують виховні функції.
13. За змістом частин 2 і 3 статті 11 створюється враження, що відносини між володільцем і розпорядником бази персональних даних мають ґрунтуватися виключно на договорі. Це не відповідає визначенню терміна «розпорядник бази персональних даних» у статті 2 Закону, згідно з якою розпорядник бази персональних даних може бути наділений правом обробляти ці дані і відповідно до закону. Окрім того, як видається, на практиці доволі часто між володільцем і розпорядником бази персональних даних можуть існувати субординаційні, а не координаційні відносини підпорядкування, які виключають укладання договорів.
14. Норма частини 2 статті 12 була б абсолютно нереальною для виконання, якби не застереження у частині 3 цієї статті. Проте в Законі не розкривається поняття «загальнодоступні джерела». Виходячи з принципів відкритості і доступності інформації «загальнодоступними» слід вважати не лише публікації, а й архівні фонди та мало не всі інші джерела інформації, що не містять інформації з обмеженим доступом. Поза увагою законодавців залишилася й ситуація, коли інформація добувається шляхом власних спостережень або через опитування краще поінформованих осіб.
За таких обставин варто було б сформулювати зазначену норму приблизно так: «У разі включення конфіденційної і раніше не оприлюдненої інформації про особу до бази даних, вона має бути про це сповіщена володільцем або розпорядником цієї бази даних».
15. Положення статті 13 мають характер норм-дефініцій і краще виглядали б у Статті 2 Закону.
16. Стаття 14 не викликає принципових заперечень, якщо йдеться виключно про конфіденційні персональні дані. Якщо ж відповідно до визначення персональних даних у чинному Законі України «Про інформацію» поширювати дію цієї статті на будь-яку інформацію про особу, то стаття втрачає всякий реальний сенс і в повному обсязі ніколи не буде виконуватися.
17. Пункт 2 частини 2 статті 15 про знищення персональних даних у зв’язку з припиненням трудових відносин входить у колізію з багатьма нормами нашого законодавства, а у практичному відношенні насамперед може завдати значної шкоди реалізації і захисту пенсійних прав громадян.
18. Статтю 16 варто доповнити положенням, що порядок доступу до персональних даних, які містяться в документах Національного архівного фонду України, визначається відповідними законодавством.
19. Положення частини 4 статті 19 про право на безперешкодний і безоплатний доступ до персональних даних органів державної влади і органів місцевого самоврядування підлягають додатковому вивченню на предмет їх відповідності до загальної тези про рівність усіх суб’єктів інформаційних відносин. Окрім того, мало закріпити право як таке. Слід ще передбачити конкретний механізм його реалізації.
20. У статті 21 обов’язок повідомляти про передачу персональних даних третій особі, на нашу думку, має покладатися не стільки на володільця, скільки на розпорядника бази персональних даних.
21. У статті 22 не варто було обмежувати парламентський контроль лише діяльністю Уповноваженого Верховної Ради України з прав людини. Значно більшою тут має бути, зокрема, роль відповідного профільного комітету парламенту та різного роду спеціальних і слідчих комісій.
22. У статті 23 доцільно назвати рівень основного нормативно-правового акта (Закон чи підзаконне положення), який визначатиме правовий статус цього органу, оскільки в одній статті Закону можна закріпити лише деякі основні положення цього статусу.
23. Стаття 24 за своїм значенням не мала б бути на самому кінці Закону.
У частині 6 цієї статті допущена очевидна юридична некоректність, оскільки ні адвокати, ні нотаріуси аж ніяк не вважаються фізичними особами – підприємцями. Коректність фрази про «лікарів, які мають відповідну ліцензію» теж викликає багато сумнівів. Замість «у тому числі» тут доречно «а також».
24. Стаття 25 за своїм змістом видається дещо плутаною. У назві йдеться про обмеження дії статей, що загалом має розумітися, як обмеження у часі, просторі або за колом осіб. В самому тексті йдеться вже про обмеження права, що не є ідентичним попередньому. Не зрозуміло, про що конкретно йдеться у пункті 3 частини 1 цієї статті.
Частина 2 фактично спотворює загальну конституційну норму, прирівнюючи фізичних осіб, які лише не повинні вчиняти заборонених дій, до державних органів, які мають діяти виключно в межах і порядку, установлених Конституцією та законами України.
25. Статтю 27 доцільно об’єднати зі статтею 3 Закону. Окрім того, схоже, що розробники цього акта не зовсім знали, що саме в теорії права називається «застосуванням права» як однією з форм її реалізації.
Частина 1 цієї статті затверджує пріоритетну роль цього Закону в законодавстві про захист персональних думках. Проте, на нашу думку, інтереси збереження інформаційного законодавства України як цілісної галузі вимагають, щоб положення цього закону узгоджувалися не лише з Конституцією України, а й із Законом України «Про інформацію».
26. Стаття 28 містить некоректну з мовного боку конструкцію «тягне за собою». Попри її певну поширеність, фахівці, які цікавляться проблемами правничої термінології, знають, що правильно «має наслідком» (саме таке словосполучення вживається, наприклад, у Конституції України).
27. Статтю 29 слід було б узгодити зі Статтями 2 і 3, в яких не має жодної згадки про «іноземних суб'єктів відносин, пов'язаних із персональними даними». У частині 3 цієї статті потребує уточнення положення «Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані». Очевидно, що йдеться не про мету збирання персональних даних, а про мету, задля якої персональні дані (які, можливо, колись збиралися зовсім з іншою метою) передаються «іноземним суб’єктам». Застереження також може накладатися лише на первинне поширення персональних даних, оскільки після оприлюднення їх подальше поширення виходить з під контролю суб’єкта, який їх поширив. Як видається, варто чіткіше пояснити, що мається на увазі під «поширенням» у цій статті.
Таким чином Закон України «Про захист персональних даних» від 1 червня 2010 р. помітно розширив сферу правового регулювання інформаційних відносин, увів у наше законодавство доволі багато нових понять і підходів, суттєво розширив коло юридичних обов’язків учасників інформаційних відносин, якими є мало не все населення України. Водночас така «юридизація» була здійснена без належної системності, з істотними суперечностями і прогалинами. Особливу тривогу викликає характерне для всього нового інформаційного законодавства віднесення усіх персональних даних до конфіденційної інформації, юридична невизначеність поняття «база персональних даних», а відповідно і сфери дії цього Закону.
Тому Закон потребує негайних концептуальних системних змін, без яких реалізація навіть переважної більшості зазначених вище конкретних зауважень не гарантуватиме його високу якість і практичну ефективність.