Проект закону „Про захист персональних даних” крізь призму забезпечення права людини на приватність
Відбулися громадські слухання щодо проекту закону „Про захист персональних даних”, на яких учасники пробували знайти компроміс між інтересами держави, правом на свободу вираження та свободою від втручання в особисте та сімейне життя.
Пропонуємо до вашої уваги позицію Секретаріату Ради українських правозахисних організацій щодо цього законопроекту.
Захист персональних даних є одним із найголовніших аспектів юридичного забезпечення приватності. В українському законодавстві термін приватність виражений найбільш повно у свободі від втручання в сімейне та особисте життя, що закріплена в статті 32 Конституції України. Саме з цієї точки зору слід підходити при розробці даного законопроекту. Механічний підхід щодо захисту певної інформації запропонований розробниками не цілком відповідає цій меті зазначили учасники слухань. Законопроект ні разу не згадує про те, що ідея цього закону лежить в праві на приватність, в цьому і вбачається низка концептуальних недоліків проекту.
Аналізуючи іноземний та міжнародний досвід, можна навести такі критерії, що визначають чи є цей захист належним і чи забезпечує він дотримання прав людини:
1) персональні дані повинні бути отримані законним шляхом: тобто має бути чітко визначений порядок їхнього отримання та встановлена відповідальність за їхнє отримання незаконним шляхом.
Законопроект не містить згадки про відповідальність за незаконні шляхи збирання персональних даних. Ним установлена лише загальна норма щодо відповідальності, що явно є не достатнім.
2) персональні дані повинні збиратися з відома або зі згоди особи: проект, у свою чергу, дозволяє збирати персональні дані органам державної влади в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини взагалі без відома особи, а також містить низку винятків, коли можна збирати персональні дані без згоди та відома особи. На наш погляд, виправданим винятком у цьому може бути тільки забезпечення таємниці оперативно-розшукової діяльності.
3) Персональні дані повинні використовуватися тільки в тих цілях, в яких вони були зібрані, іншими словами, коли ви заповнюєте анкету при прийомі на роботу, то ці документи не мають опинитися у маркетолога працедавця для її використання з іншою метою.
Це стосується також заборони об’єднувати всі отримані персональні дані з різною метою під одним кодом (ідентифікаційним кодом), що становить пряму загрозу правам і основним свободам людини. Проте саме така концепція втілюється зараз органами державної влади. Це стає чітко зрозумілим при аналізі проекту закону № 2206 від 17.09.2002 року „Про єдиний реєстр фізичних осіб” чи проекту закону № 4002 від 17.07.2003 року „Про єдиний реєстр персональних даних”. Більш детальну інформацію щодо цих законопроектів можна знайти на порталі „Права людини в Україні” Харківської правозахисної групи. Також слід зазначити, що об’єднання всіх зібраних даних про особу під одним кодом суперечить практиці більшості демократичних країн, а, наприклад, в Угорщині визнані Конституційним Судом цієї країни не конституційним і таким, що порушує свободу від втручання в особисте та сімейне життя.
Законопроект, на жаль, взагалі обійшов увагою це питання. Ним абсолютно ігнорується зв’язок мети збирання інформації та її подальшого використання.
4) Персональні дані повинні збиратися в мінімальному обсязі стосовно мети їхнього збирання. Іншими словами, коли ви заповнюєте формуляр для отримання книжки, то для цього необхідна лише ваша адреса та телефон, а інші відомості, як то рід занять, стать, що ви любите читати до цього не мають жодного відношення. Тому у багатьох країнах заборонено запитувати інформацію, що не стосується справи (мети збирання). Законопроект не містить жодного положення на цей рахунок.
5) Персональні дані повинні бути точними, а також мають бути доступними для особи, якої вони стосуються (власника персональних даних).
Загалом проект задовольняє цю вимогу. Питання постає лише при тлумаченні норми, яка визначає, що певні персональні дані можуть становити державну таємницю. Очевидно це положення слід деталізувати, бо органи державної влади можуть зробити всі персональні дані державною таємницею, оскільки це ніяк не обмежено цим законом.
6) Персональні дані мають бути захищеними від несанкціонованого доступу.
У законопроекті приділено належну увагу захисту, за винятками двох „але”. Проект визначає, що „всі системи автоматизованого оброблення персональних даних повинні мати відповідний сертифікат або атестат захищеності”. Це встановлює державну монополію на системи захисту інформації, що важко аргументувати у демократичному суспільстві. Міжнародний досвід свідчить, що такі системи захисту повинні контролюватися громадськими самоорганізаційними структурами. Також окремо добре визначити відповідальність за незаконне отримання доступу до персональних даних.
7) Персональні дані мають бути знищені після того, як мета, з якою вони збиралися, досягнута і в них не має більше потреби.
Законопроект також не визначив строки зберігання та підстави для знищення персональних даних.
Як видно з короткого огляду, законопроект містить недоліки майже щодо кожного пункту. Кожен з цих пунктів, як вже згадувалося, становить частину комплексу юридичних гарантій забезпечення приватності. Відповідно, можемо зробити висновок про відповідність цього законопроекту міжнародним стандартам прав людини і основних свобод.
Секретаріат Ради українських правозахисних організацій