(044) 486–71–56 – Пряма телефонна лінія для допомоги жителям Автономної Республіки Крим, Донецької, Луганської областей та з питань діяльності Міністерства юстиції і підпорядкованих органів.         0–800–213–103 – телефонний номер системи безоплатної правової допомоги для людей, які зазнали кримінального або адміністративного переслідування. Дзвінки зі стаціонарних телефонів в межах України безкоштовні.         «Гаряча» телефонна лінія для працівників органів юстиції АР Крим. Звертатися можна за телефоном: (044) 486-71-56.         До уваги неурядових організацій, вищих навчальних закладів та інших установ! Урядовим уповноваженим у справах Європейського суду з прав людини розроблено анкету для осіб, постраждалих внаслідок порушення їх прав, гарантованих Конвенцією про захист прав людини і основоположних свобод, Російською Федерацією на окупованій території Автономної Республіки Крим та м. Севастополя, а також у Донецькій та Луганській областях України, та методичні рекомендації для її заповнення.         До уваги осіб, які бажають звернутися до Європейського суду з прав людини! У зв'язку зі змінами, внесеними до Правила 47 Регламенту Європейського суду з прав людини, з 01 січня 2016 року було оновлено формуляр заяви та пояснювальну нотатку для його заповнення. З вказаними документами Ви можете ознайомитись у рубриці «Захист інтересів держави в Європейському суді» на офіційному сайті Міністерства юстиції України
Розпочав роботу новий сайт Міністерства юстиції України >>
Міністр юстиції України Петренко Павло Дмитрович
Петренко Павло Дмитрович
Міністр юстиції України

Організаційно-правове забезпечення захисту інформації про особу (персональних даних)

Люди ніколи не користуються свободою, яка
у них є, але вимагають тої, якої у них немає.
С. К’єркегор

Сьогодні забезпечення захисту інформації про особу (персональних даних) потребує неабиякої уваги, передусім з точки зору змісту таких понять, як персональні дані, ідентифікаційний номер та ідентифікація даних.

Прогрес в галузі інформаційних технологій, зокрема, в сфері розробки та впровадження програмного забезпечення, активність у формуванні баз персональних даних надзвичайно загострили проблему захисту приватного життя фізичних осіб та захисту інших основних прав і свобод людини.

При підготовці даної статті були використані напрацювання провідних вітчизняних теоретиків, а саме: Ю.К. Базанова, А.А. Баранова, В.М. Брижка, В.С. Цимбалюка, Р. А. Калюжного, М.Я. Швеця та інших.

Мета статті – висвітлення проблеми необхідності організаційно-правового забезпечення захисту інформації про особу (персональних даних) та визначення шляхів її вирішення, розробка практичних рекомендацій щодо вдосконалення системи правового регулювання суспільних інформаційних відносин.

У процесі підготовки зазначеної статті був здійснений аналіз чинного законодавства в частині врегулювання суспільних відносин стосовно захисту інформації про особу (персональних даних).

Захист інформації про особу гарантовано Конституцією України. Частина друга статті 32 Конституції України не допускає збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Але вітчизняним законодавством не повністю визначено режим збирання, зберігання, використання та поширення інформації про особу. Закон України "Про інформацію" закріплює лише загальні принципи доступу громадян до інформації, що стосується їх особисто. Механізм реалізації зазначеного права належним чином не визначений. Відсутнє й регулювання використання конфіденційної інформації про особу.

Статтею 23 Закону України "Про інформацію" встановлено, що інформація про особу – це сукупність документованих або публічно оголошених відомостей про особу.

Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров’я, а також адреса, дата і місце народження.

Персональні дані – окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифікованими [1, 145].

Джерелами документованої інформації про особу є видані на її ім’я документи, підписані нею документи, а також відомості про особу зібрані державними органами влади та органами місцевого самоврядування в межах своїх повноважень.

Законом встановлено заборону збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом.

Відповідно до Рішення Конституційного Суду України у справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України "Про інформацію" та статті 12 Закону України "Про прокуратуру" від 30 жовтня 1997 року № 5-зп (справа К.Г. Устименка № 18/203-97) частину четверту статті 23 Закону України "Про інформацію" треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини. До конфіденційної інформації, зокрема, належать свідчення про особу (освіта, сімейний стан, релігійність, стан здоров’я, дата і місце народження, майновий стан та інші персональні дані).

Крім того, суспільні відносини щодо збирання, зберігання, використання та поширення інформації про особу регулюються Законами України "Про захист інформації в інформаційно-телекомунікаційних системах" та "Про Державний реєстр фізичних осіб-платників податків та інших обов’язкових платежів", Указами Президента України від 11 січня 2002 року № 12 "Про заходи щодо реєстрації фізичних осіб" та від 10 березня 2005 року № 457 "Про внесення змін до Положення про паспорт громадянина України для виїзду за кордон та визнання такими, що втратили чинність, деяких указів Президента України", Постановою Верховної Ради України "Про затвердження положень про паспорт громадянина України та свідоцтво про народження" від 26 червня 1992 року № 2503-XII, постановами Кабінету Міністрів України від 28 вересня 1996 року № 1182 "Питання паспортизації громадян", від 6 листопада 1997 року № 1232 "Про заходи щодо запровадження ідентифікаційних номерів фізичних осіб - платників податків та інших обов’язкових платежів", від 4 червня 1998 року № 794 "Про затвердження Положення про організацію персоніфікованого обліку відомостей у системі загальнообов’язкового державного пенсійного страхування", від 15 березня 2006 року № 327 "Про створення Державної інформаційної системи реєстраційного обліку фізичних осіб та їх документування" тощо.

Одночасно, європейський вибір України потребує від неї приведення законодавства до норм та принципів Європейського співтовариства.

Враховуючи наведене, Україна, як суб’єкт міжнародного права, має дотримуватися його певних принципів і норм.

Планом заходів із виконання обов’язків та зобов’язань України, що випливають з її членства в Раді Європи, затвердженим Указом Президента України від 20 січня 2006 року № 39, (до підпункту 13.17 Резолюції Парламентської Асамблеї Ради Європи "Про виконання обов’язків та зобов’язань Україною" від 5 жовтня 2005 року № 1466) передбачено вжити заходів із забезпечення додержання права на недоторканність особистого життя, для чого, зокрема, подати в установленому порядку Президентові України для наступного внесення на розгляд Верховної Ради України проект Закону про захист інформації про особу (персональних даних).

На сьогодні, Радою Європи, членом якої є Україна, прийнято більше ста правових документів, рекомендації тощо, спрямованих на врегулювання суспільних відносин в інформаційній сфері [2, 3], зокрема, Директива 95/46/ЄС Європейського парламенту і Ради від 24 жовтня 1995 року "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних", Директива 97/66/ЄС Європейського парламенту і Ради від 15 грудня 1997 року "Про обробку персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі" та Конвенція № 108 Ради Європи від 28 січня 1981 року "Про захист осіб стосовно автоматизованої обробки даних особистого характеру" (підписано від імені України 20 серпня 2005 року), які мають бути враховані під час підготовки проекту Закону про захист інформації про особу (персональних даних).

Відповідно до наведеної Конвенції № 108 персональні дані – будь-яка інформація про фізичну особу, що ідентифікована або може бути ідентифікованими [3]. Необхідно підкреслити, що зазначена Конвенція вважається першим міжнародним документом про взаємні права та обов’язки, що містить загальноєвропейські норми (стандарти), що створюють умови регулювання суспільних відносин у сфері захисту персональних даних. Норми Конвенції є імперативними, тобто такими, від яких країни, які до неї приєднались, не можуть відступати. Відповідно до положень цієї Конвенції приведення національного законодавства у відповідність до її положень повинно відбуватися не пізніше вступу в дію Конвенції на території відповідної країни. Країни, що підписали зазначений документ, мають керуватися ним при розгляді всіх питань, пов’язаних із захистом персональних даних, які обробляються або не обробляються в автоматизованих системах різного призначення.

Так, згідно зі статтею 1 цієї Конвенції її метою є забезпечення на території кожної Сторони для кожної особи незалежно від її національності або помешкання поважання її прав і основних свобод, зокрема її права на недоторканність особистого життя, стосовно автоматизованої обробки даних особистого характеру, що її стосуються.

Згідно зі статтею 6 вказаної Конвенції дані особистого характеру, що свідчать про расову належність, політичні або релігійні чи інші переконання, а також дані особистого характеру, що стосуються здоров’я або статевого життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє право не забезпечує відповідних гарантій.

З метою забезпечення захисту персональних даних у національному інформаційному просторі та взаємодії країн-учасниць Конвенції, кожна країна призначає уповноважений орган, назву і адресу якого необхідно вказати в повідомлені, яке надсилається до Генерального Секретаря Ради Європи [1, 100].

Згідно з Директивою 95/46/ЄС Європейського парламенту і Ради від 24 жовтня 1995 року "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" персональні дані означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити ("суб’єкт даних"). Особа, яку можна встановити, є особа, яку можна встановити прямо чи непрямо, зокрема за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним захистам її особистості [2, 216].

Директива 97/66/ЄС Європейського парламенту і Ради від 15 грудня 1997 року "Про обробку персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі" застосовується до обробки персональних даних у зв’язку з наданням загальнодоступних телекомунікаційних послуг в телекомунікаційних мережах загального користування в Європейському Співтоваристві, зокрема, через цифрову мережу зв’язку з комплексними послугами та цифрові мобільні мережі загального користування.

Згідно з Законом Німеччини "Про подальший розвиток обробки даних і захисту даних" від 20 грудня 1990 року персональні дані - конкретні дані про особисті або майнові відносини встановленої або установлюваної фізичної особи [1, 146].

Ідентифікація – це надання об’єкту унікального імені або числа. Встановлення справжності полягає у перевірці, чи є особа або об’єкт, який перевіряється, насправді тим, за кого себе видає [4, 87].

Ідентифікаційні документи фізичної особи – це документи у вигляді картки встановленого зразка, що є матеріальним носієм інформації про фізичну особу персонального характеру, яка міститься у певному реєстрі.

Абзацом третім пункту 6 Положення про паспорт громадянина України, затвердженого Постановою Верховної Ради України від 26 червня 1992 року № 2503-XII встановлено, що на першу і другу сторінки паспортної книжечки заносяться прізвище, ім’я та по батькові, дата і місце народження. На першій сторінці також вклеюється фотокартка і відводиться місце для підпису його власника. На другу сторінку заносяться відомості про стать, дату видачі та орган, що видав паспорт, ставиться підпис посадової особи, відповідальної за його видачу. Записи засвідчуються мастиковою, а фотокартка - випуклою сухою печаткою

Відносно паспортних даних, до відомостей персонального характеру Комітетом по стандартам України, в ДСТУ 3389-96 "ідентифікаційна картка особи – носій біометричної інформації" віднесено фото громадянина, ідентифікаційний номер, ПІБ (прізвище, ім’я та по-батькові), стать, місце та дата народження, особистий підпис, місце проживання (реєстрація), належність до військової служби, група крові, сімейний стан та відомості про дітей [5, 160].

Цікавим є те, що ідентифікаційний номер фізичної особи побудовано не як випадковий набір цифр. Знаючи порядок його формування, можна отримати конкретну інформацію про особу. Так, перші п’ять цифр означають дату народження людини. Відлік ведеться починаючи від 1 січня 1900 року. Наступні чотири цифри – порядковий номер людини серед тих, хто народився в один день. Дев’ятий знак означає статеву приналежність. Парне число – чоловічу, непарне – жіночу. Нарешті остання цифра ідентифікаційного номера – контрольне число. Принцип та порядок його застосування визначається Державною податковою адміністрацією та не розголошується, з метою захисту від підробок. Проте, практичне застосування ідентифікаційних номерів не є беззастережним питанням ні в країнах, що мають досвід беззастережного запровадження багатоцільових (універсальних) ідентифікаторів, так і в країнах, які не вважають за потрібне їх введення [6, 39].

Оскільки ідентифікаційні номери передбачені для ідентифікації осіб, то будь-які ідентифікатори (критерії за якими здійснюється ідентифікація) є персональними даними, що підлягають під дію міжнародних стандартів щодо захисту персональних даних [6, 47].

Будь-яка особа має природне, виключне право власності на відомості про неї. Це означає, що може володіти, користуватися та розпоряджатися відомостями про себе, як вважає за потрібне, з урахуванням чинного законодавства та норм суспільної моралі. Одночасно вона має право забороняти іншим суб’єктам використовувати свої персональні дані, за винятком виключень, встановлених законом [7, 64].

Сьогодні в Україні інформаційна взаємодія баз персональних даних різних реєстрів не здійснюється, їх дані часто не сумісні, жоден із реєстрів не охоплює все населення країни [8, 43]. Наведене створює перешкоди при здійсненні ідентифікації фізичних осіб, а іноді й унеможливлює отримання органами державної влади та органами місцевого самоврядування достовірної інформації про населення для виконання, покладених на них завдань, належним чином.

Існує думка, що один і той же ідентифікаційний номер може застосовуватись як податковий, номер соціального забезпечення, номер паспорту, номер посвідчення водія автотранспортного засобу тощо.

Необхідно зазначити, що ідентифікаційна пластикова картка існує майже у всіх країнах світу, зокрема, у Бельгії, Греції, Гонконгу, Єгипті, Малайзії, Німеччині, Південній Африці, США, Франції та інших країнах. Одночасно Конституція Португалії містить пряму заборону застосування багатоцільових ідентифікаційних номерів.

На нашу думку, на сьогодні правове забезпечення суспільних відносин в Україні щодо персональних даних в частині їх правового захисту є недостатнім.

Запровадження будь-якого "єдиного реєстру персональних даних" громадян України веде до загальної реєстрації всього населення. Зазначене як не сприятиме процесу захисту прав і свобод людини, так і не виключатиме можливості несанкціонованого використання конфіденційної інформації про особу.

Разом з цим, достовірна інформація стосовно обліку громадян різних категорій необхідна не лише для виборчого процесу, а передусім для надання адресної допомоги, відстеження процесів міграції населення, планування народного господарства, попередження переміщень міжнародних терористів та екстремістських груп через територію країни тощо.

Потреба в автоматизованій обробці персональних даних залишається поза сумнівом, що в свою чергу викликає необхідність додаткового їх захисту. Враховуючи наведене, важливим питанням є співвідношення свободи та захисту.

Вирішення проблеми є можливим шляхом запровадження окремих реєстрів персональних даних, головним принципом функціонування яких буде цільове використання інформації про особу (Наприклад, відповідні реєстри щодо податків, соціального та медичного забезпечення).

З метою попередження залежності людини від одного-єдиного документа (картки, що містить багатоцільовий ідентифікаційний номер), питання організаційно-правового забезпечення захисту інформації про особу (персональних даних) потребує більш глибокого та змістовного аналізу діючих світових стандартів та широкого громадського обговорення.

Зазначене вище має підлягати обов’язковому врахуванню під час вироблення державної політики в інформаційній сфері.




Літературні джерела

1. В.М. Брижко, О.М. Гальченко, В.С. Цимбалюк, О.А. Орєхов, А.М. Чорнобров. Інформаційне суспільство. Дефініції: людина. Її права, інформація, інформатика, інформатизація, телекомунікації, інтелектуальна власність, ліцензування, сертифікація, економіка, ринок, юриспруденція/За ред. Доктора юридичних наук, професора, Р.А. Калюжного, доктора економічних наук М.Я. Швеця.-К.: "Інтеграл", 2002.-220 с.

2. Інформаційне законодавство: Збірник законодавчих актів: У 6 т./ За заг.ред. Ю.С. Шемшученка, І.С. Чижа.-Т.5. Міжнародно-правові акти в інформаційній сфері.-К.: ТОВ "Видавництво "Юридична думка", 2005.-328 с.

3. Конвенція № 108 Ради Європи "Про захист осіб у зв’язку з автоматизованою обробкою персональних даних". Страсбург, від 28 січня 1981 року //http://conventions.coe.int/Treaty/EN/Treaties/PDF/Ukrainian/108-Ukrainian.pdf.

4. Комп’ютерна криптологія: Підручник/За ред.В.К. Задірака, О.С. Олексюка.-К: Вид-во "Збруч", 2002.-504 с.

5. Гуцалюк М. Ідентифікація фізичних осіб в Україні // Правова інформатика.-2005.-№ 3 (7).-С. 43- 47.

6. А.А.. Баранов, В.М. Брыжко, Ю.К. Базанов. Права человека и защита персональных данных. - К: Государственный комитет связи и информации Украины, 2000.-280 с.

7. Защита персональных данных. А..А. Баранов, В.М. Брыжко, Ю.К. Базанов. - К: Национальное агентство по вопросам информации при Президенте Украины, 1998.-128 с.

8. Базанов О.Ю., Брыжко В.М. Щодо реєстрації, ідентифікації фізичних осіб та захисту персональних даних // Правова інформатика.-2004.-№ 4.-С. 38-48.


Головний спеціаліст Департаменту
соціального, трудового та
гуманітарного законодавства
Г.М. Красноступ