Огляд міжнародного законодавства в сфері регулювання захисту персональних даних

У подальшому інститут
недоторканності особистого життя людини почав розглядатися як обов'язковий
фактор розбудови демократичного суспільства. Історія формування
законодавчої бази захисту персональних даних бере свій початок з 1948 року,
коли в Загальній декларації прав людини було проголошено, що ніхто не може
піддаватися свавільному втручанню в особисте та сімейне життя та, що кожна
людина має право на захист закону від такого втручання.

Європейська Конвенція про захист прав і основних свобод людини від 1950
року конкретизувала це право, проголосивши, що кожна людина має право на
свободу дотримуватися своєї думки, отримувати й поширювати інформацію та
ідеї без втручання з боку державних органів і незалежно від державних
кордонів. Міжнародним пактом про громадянські та політичні права від 1966
року забороняється не лише свавільне, а й незаконне втручання в особисте та
сімейне життя людини. Отже, зазначені міжнародні документи узагальнюють
основні принципи захисту приватного життя людини.

Актуальність більш детального регулювання цього права зросла у зв'язку з
інтенсивним розвитком комп'ютерних технологій та обробкою персональної
інформації в автоматизованих інформаційних системах. В рамках низки
міжнародних організацій було прийнято ряд міжнародних документів, що
регулюють право на захист персональної інформації, серед яких можна
виділити наступні. 1979 року була прийнята Резолюція Європарламенту "Про
захист прав особи у зв'язку з прогресом інформатизації", якою пропонувалося
Раді та Комісії Європейських співтовариств розробити і прийняти правові
акти про захист даних про особу у зв'язку з технічним прогресом в галузі
інформатики. В 1980 році прийняті Рекомендації Організації зі
співробітництва країн-членів Євросоюзу "Про керівні принципи з захисту
приватного життя при міждержавному обміні даними персонального характеру".
1985 року вступила в силу розроблена Радою Європи Європейська Конвенцію про
захист фізичних осіб у зв'язку з автоматизованою обробкою персональних
даних та їх вільним обігом, якою регламентується порядок збору та обробки
даних про особу, принципи зберігання та доступу до цих даних, способи
фізичного захисту даних, а також заборона обробки даних про расове
походження, політичні погляди, здоров'я, релігію без відповідних юридичних
обґрунтувань. 1995 та 1997 рр. вступили в силу Директиви Європарламенту та
Ради Євросоюзу 95/46/ЄС "Про захист прав приватних осіб стосовно обробки
персональних даних та про вільне переміщення таких даних", яка є
обов'язковою для всіх країн-членів ЄС та яка є предметом для наслідування в
галузі законодавства, та 97/66/ЄС щодо використання персональних даних і
захисту недоторканності приватного життя в галузі телекомунікацій, в яких
детально характеризуються принципи та критерії автоматизованої обробки
даних, прав та обов'язків суб'єктів та користувачів персональних даних, а
також відповідальності та санкцій за нанесення збитків. 1999 року
Міжпарламентською асамблеєю держав - учасників СНД був прийнятий Модельний
закон "Про захист персональних даних", принципи та норми якого тим чи іншим
чином мають бути враховані в національних законодавствах.

Європа. Історія формування національних законодавчих баз триває вже кілька
десятиліть і бере свій початок з Німеччини. Саме в федеральній землі Гессен
у 1970 році був прийнятий перший у світі закон про захист персональних
даних. Цим законом було введено державну посаду Комісара по захисту
персональних даних, який набув право незалежності від владних структур, а
також право спостереження за діяльністю щодо персональних даних.
Федеральний закон Німеччини в цій галузі був прийнятий у 1977 році і
переглянутий у 1990-му у зв'язку з розвитком телекомунікаційних технологій.
Варто зауважити, що всі 16 федеральних земель мають власні закони про
захист персональних даних, відповідно до яких в кожній землі призначається
комісар з питань захисту персональних даних, який здійснює нагляд за
використанням цих даних неурядовими організаціями та приватними особами.

Головною метою Федерального закону є захист особи від посягань на
недоторканність його приватного життя шляхом використання його персональних
даних. Відповідно до закону, за поданням Федерального уряду Бундестаг
обирає на 5 років Федерального уповноваженого з питань захисту персональних
даних, який призначається президентом. За діяльністю Федерального
уповноваженого здійснює нагляд міністерство внутрішніх справ, яке до того ж
відповідає за його організаційне забезпечення.

Основними принципами захисту персональних даних в Німеччині є ведення
реєстру файлів і баз персональних даних державних та недержавних структур,
ведення переліку пристроїв, а також нагляд за застосуванням програм обробки
персональних даних, здійснення контролю діяльності з персональними даними в
різних організаціях, можливість оскарження порушень положень законодавства.
Досвід Німеччини в цій галузі заслуговує на те, щоб він був досконало
вивчений і врахований українськими законодавцями при розробці та прийнятті
відповідних законів.

Французький закон про відкрите правління був прийнятий у 1978 році і
встановлював загальне право на доступ до державних документів,
запроваджував спеціальну комісію для нагляду за виконанням закону та для
розгляду скарг у випадках відмови у доступі до документів.

Закон про інформатику, картотеки та свободи, прийнятий також 1978 року,
охоплює всі питання щодо дій з персональними даними як в державних, так і в
приватних установах, стосується як комп'ютерних, так і рукописних баз
даних. Нагляд за дотриманням закону покладається на Національну комісію з
інформатики та свобод, яка є адміністративно незалежним органом. Однак
даний закон регулює механізми захисту даних, що стосуються лише фізичних
осіб. В засіданнях комісії бере участь Комісар уряду, який призначається
прем'єр-міністром. Щорічно комісія має надавати президенту і парламенту
звіт про свою діяльність, який публікується. Кожен громадянин, який
підтвердив свою особу, має право звертатися в служби та організації, що
здійснюють автоматизовану обробку даних, для з'ясування, чи здійснюється
обробка його персональних даних, і за необхідності отримувати ці дані.

У 1984 році у Великобританії був прийнятий "Акт про захист персональних
даних", яким здійснюється захист персональних даних, що оброблюються
автоматизованими системами. Основними організаційно-правовими механізмами
системи захисту даних в Великобританії є ведення реєстру користувачів
даних, баз персональних даних і осіб, які надають послуги в сфері захисту
персональної інформації, адміністративне і судове оскарження, перевірка та
контроль діяльності з персональними даними. Законом вводиться інститут
Уповноваженого з питань захисту персональних даних, посади Міністра,
Реєстратора, а також утворюється Суд з захисту даних.

До повноважень Міністра належить право вносити зміни або доповнення до
положень закону, які мають схвалюватися постановою кожної палати
парламенту. До обов'язків Реєстратора входить ведення реєстру осіб, що
виконують дії з персональними даними, розгляд скарг про порушення закону,
вручення повідомлень про скасування реєстрації або заборону передачі даних.

В Росії сферу захисту персональних даних регулюють кілька нормативних
актів: закон про інформацію персонального характеру, положення Трудового
кодексу щодо захисту персональних даних працівника, закону про
індивідуальний (персоніфікований) облік в системі обов'язкового пенсійного
страхування. Спроба комплексного та повноцінного регулювання даного питання
було зроблено в 2006 році шляхом прийняття закону про персональні дані.
Даний закон досить лаконічний, у більшості випадків вдало розвиває норми
Європейської Конвенції про захист фізичних осіб у зв'язку з автоматизованою
обробкою персональних даних та їх вільним обігом. Принципи збору, обробки
та передачі персональних даних у випадку їх реалізації на практиці можуть
стати базою для розвитку дієвого захисту права громадян на недоторканність
приватного життя, оскільки вони викладені у повній відповідності з
європейськими традиціями законодавства в цій галузі.

Однак, певні положення російського закону щодо інституту Уповноваженого
органу з захисту прав суб'єктів персональних даних суттєво відрізняється
від відповідних законів інших країн світу. Насамперед це стосується статусу
Уповноваженого органу. Оскільки основною його функцією є захист прав
суб'єктів персональних даних, цей орган має бути незалежною структурою.
Виходячи з міжнародного досвіду, Уповноважений орган може призначатися
владними структурами країни, однак основоположним фактором, що визначає
його статус, є надання йому незалежності, інакше він не зможе ефективно
виконувати покладені на нього обов'язки.

Скандинавські країни. Разом з Німеччиною Швеція була однією з перших країн,
яка розробила на законодавчому рівні механізми захисту приватної
інформації. У 1973 році був прийнятий Закон про охорону даних, який регулює
всі проблеми, що відносяться до інформації приватного характеру. Однією з
головних вимог даного закону є те, що на створення будь-якої
автоматизованої системи приватних досьє необхідно отримати ліцензію від
Ради по контролю за даними, яка є незалежною і на яку покладено втілення
положень закону в життя. Ще один важливий принцип закріплює широке право
кожної особи на доступ до інформації стосовно самої себе, тобто будь-який
громадянин має право знати весь обсяг відомостей про нього та переконатися,
що ці відомості достатньо точні та повні.

Слідом за Швецією закон про гласність інформації був прийнятий у Фінляндії.
Загалом він дуже подібний до швецького, однак має й свої відмінності.
Насамперед цей закон не є складовою конституції і може змінюватися, як і
будь-який інший закон. Друга відмінність полягає у тому, що фінський
законодавчий акт встановлює декілька загальних принципів секретності і, на
відміну від шведського, не містить таких же детальних положень щодо цього.

У Норвегії сферу персональних даних регулюють чотири закони. Норвезький
закон про адміністративну процедуру, який вступив в силу у 1971 році, більш
подібний до американського і містить положення, що дозволяють уряду своїм
рішенням накладати гриф секретності на ті чи інші види документів, а також
дозволяє адміністративним органам відмовляти особам у доступі до певних
документів. Крім того, він містить низку положень, відповідно до яких
численна група документів може публікуватися лише на розсуд
адміністративних органів. Закон про захист даних від 1978 року регулює
процедуру доступу та можливість ознайомлення суб'єкта даних з інформацією
про нього. На підставі закону про гласність інформації будь-який громадянин
у певних випадках має право доступу до інформації. Закон про
недоторканність приватного життя був прийнятий 1978 року і є одним з самих
повних у порівнянні з законами інших країн в площині захисту даних. Цей акт
регулює аспекти персональної інформації, яка перебуває в розпорядженні як
державних установ, так і приватних організацій. На відміну від аналогічних
законів інших країн, у норвезькому законі під поняття "особа" підпадають як
фізичні, так і юридичні особи. Особливістю закону є те, що він закріплює
майже необмежене право особи на доступ до персональної інформації, за
виключенням лише випадків, коли надання інформації особі може нанести шкоду
її психічному чи фізичному здоров'ю, а також коли мова йде про статистичну
інформацію, яку неможливо з легкістю відновити в кожному окремому випадку.

Аналогічно до шведського законодавства, для створення будь-якої бази даних
необхідно отримати ліцензію від Служби контролю за інформаційними
системами, на яку покладається втілення закону в життя.

Данія має два закони в зазначеній галузі, які були прийняті у 1979 році і
стосуються лише комп'ютеризованих систем. Закон про інформацію в
розпорядженні державних органів регулює питання, що виникають в сфері
державних банків даних, а Закон про інформацію в розпорядженні приватних
установ - відповідно в сфері комерційних банків даних. Контроль за
виконанням обох законів покладено на Службу контролю за інформаційними
системами. Особливістю датського законодавства є те, що державні банки
даних контролюються лише тоді, якщо вони містять інформацію про окремих
осіб, а комерційні банки даних - якщо вони містять відомості про осіб чи
установи. Крім того, право громадянина на доступ до інформації про себе є
обмеженим і забезпечується вимогою Служби контролю.

Північна Америка. Розглядаючи проблему правового регулювання обробки
персональних даних в США, можна виділити документ Code of Fair Information
Practice, прийнятий у 1973 році Державним Департаментом Здоров'я та Освіти,
принципи якого були поширені на всі системи обробки персональної
інформації. Ці принципи включали в себе наступні положення: не повинно
існувати секретних баз з персональними даними, повинні бути визначені
методи, що дозволяють окремим громадянам попередити використання інформації
в інших цілях без їх згоди, визначені механізми, які дозволили б громадянам
перевіряти, яка інформація приватного характеру міститься в базах даних і
як вона використовується, розроблені методи, що дозволяють відкоригувати
приватну інформацію.

У подальшому зазначені принципи лягли в основу Акта про захист приватного
життя від 1974 року, який передбачає обов'язок кожної установи за запитом
будь-якої фізичної особи надавати їй доступ до відомостей про неї,
отримувати їй копії всіх даних чи будь-якої їх частини в доступній для
розуміння формі.

Взагалі в США закони в галузі інформаційного права діють з 1974 року і
поширюються на всі штати. Особливість американського законодавства в сфері
регулювання інформаційних відносин полягає у тому, що інформація
розглядається як об'єкт права інтелектуальної власності на інформацію.
Законодавство США визначає об'єкти правової охорони в інформаційній сфері,
порядок реалізації права власності на інформаційні об'єкти, права і
обов'язки власників, правовий режим функціонування інформаційних
технологій, категорії доступу окремих суб'єктів до певних видів інформації,
розкриває поняття конфіденційної інформації та межі його правового
застосування.

Таким чином, зазначені положення американського законодавства аналогічні
принципам європейської моделі захисту персональної інформації. Однак,
експерти в галузі права зазначають, що практика захисту персональних даних
в США не є бездоганною, що стало причиною включення Сполучених Штатів до
переліку країн, що не забезпечують адекватного захисту персональних даних,
оскільки принципи вилучення з гласності сформульовані в ньому в дуже
загальному вигляді.

Аналізуючи практику захисту персональних даних, варто зауважити, що
персональна інформація розглядається відповідно до концепції "privacy".
Зокрема в Канаді був прийнятий Стандарт CSA, на якому базувалася резолюція
щодо розвитку міжнародних стандартів приватності, прийнята 1996 року
Міжнародною організацією стандартизації.

Відповідно до канадського законодавства, яке передбачає реальні механізми
захисту персональних даних, під персональною інформацією слід розуміти
відомості про окрему особу, записані в будь-якій формі, в тому числі
інформація про національність, релігійну приналежність, вік, стан здоров'я,
рівень доходів. Персональні дані не можуть використовуватися поза цілями,
заради яких вони збиралися та без згоди самого суб'єкта. Виключення
становить інформація про особу, яка є співробітником державної установи.
Крім того, громадяни Канади або особи, які постійно мешкають на її
території, мають право вільного доступу до персональної інформації про
себе, а також у разі необхідності вносити відповідні поправки.

Безпосередній контроль за дотриманням закону здійснює Комісар з захисту
персональної інформації, який призначається та відповідає перед
парламентом. Відповідальність за правомірність збору, обробки, зберігання
та використання персональних даних покладена на уряд Канади. У випадку
виникнення спірних ситуацій громадяни можуть оскаржити дії влади в офісі
Комісара. До обов'язків Комісара входить щорічна доповідь, обробка
численних запитів, розгляд скарг, організація та проведення публічних
дебатів по роботі з даними, розслідувань.

Варто відзначити, що зазначена робота проводиться невеликим штатом
співробітників, а самі канадці, за соціологічними опитуваннями, приділяють
велику увагу питанням обробки персональної інформації та демонструють
високий рівень правової освіти в даній галузі.

В цілому, нараховується вже 43 країни, в яких діють закони, що регулюють
порядок захисту недоторканності приватного життя та персональної
інформації. Таким чином, вивчення Україною міжнародного досвіду щодо
правових механізмів регулювання захисту персональних даних та врахування
основних принципів щодо організації заходів стосовно контролю за виконанням
законодавства в цій галузі, дозволило б привести у відповідність до
стандартів ЄС вітчизняних законів та підзаконних актів з тим, щоб втілити
їх в життя в інтересах українських громадян.

Iлона Білан, керівник Групи контролю демократичних змін Українського незалежного центру політичних досліджень

Джерело: http://www.ucipr.kiev.ua

Додати коментар

Ім'я, Прізвище* E-mail Захист від спаму* Текст повідомлення*  

Додати коментар