September 3, 2012
У заяві, оприлюдненій партнерством «Новий Громадянин», експерти виокремили такі складнощі: на практиці доступ громадян до публічної інформації обмежується з посиланням на конфіденційність персональних даних; діють надмірні адміністративні вимоги до обробки персональних даних; а перелік підстав для правомірної обробки таких даних обмежений. Експерти Ради Європи та Міжнародної організації «Артикль 19» також вказали на проблемність окремих положень Закону та їх невідповідність європейським стандартам, у своїх висновках від 19 січня 2012 р. та від 26 липня 2012 р. відповідно.
Ці проблеми обумовлюють необхідність внесення комплексних змін до Закону «Про захист персональних даних» та узгодження його із законодавчими актами щодо доступу до публічної інформації. Відповідно, 28 серпня представники Партнерства «Новий громадянин» та громадські експерти звернулися до Верховної Ради України, зокрема до профільного Комітету з питань науки і освіти, а також до Офісу Ради Європи в Україні з пропозиціями щодо доопрацювання урядового проекту Закону України “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1).
Зокрема, експерти пропонують:
1) вивести з-під дії Закону “Про захист персональних даних” обробку персональних даних не тільки журналістами, але й іншими особами, якщо це здійснюється в журналістських цілях;
2) узгодити Закон “Про захист персональних даних” із Законом «Про доступ до публічної інформації» в частині доступу третіх осіб до конфіденційної інформації про особу, а також уточнити визначення конфіденційної інформації в Законі про інформацію;
3) скасувати обов’язкову реєстрацію баз персональних даних та вилучити відповідні положення із Закону України про «Про захист персональних даних», через неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації та відсутність будь-якої реальної користі від такої реєстрації для захисту персональних даних;
4) розширити підстави для правомірної обробки персональних даних, у тому числі, коли це необхідно для захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес;
5) забезпечити інституційну незалежність державного органу з контролю за захистом персональних даних, шляхом створення державного колегіального органу зі спеціальним статусом та порядком формування, подібним до національних комісій, що здійснюють державне регулювання в окремих сферах; шляхом покладення відповідних функцій на Уповноваженого Верховної Ради з прав людини.
Нижче наведено повний текст Звернення щодо перегляду Закону України “Про захист персональних даних” та Пропозиції до проекту Закону України “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1)
Комітету Верховної Ради України з питань науки і освіти
Офісу Ради Європи в Україні
Звернення
щодо перегляду Закону України “Про захист персональних даних”
Практичне застосування Закону України “Про захист персональних даних” (далі – Закон), що діє з початку 2011 року, засвідчило наявність низки проблем, зокрема, пов’язаних з обмеженням доступу до публічної інформації з посиланням на конфіденційність персональних даних, надмірними адміністративними вимогами до обробки персональних даних (реєстрація баз даних), обмеженим переліком підстав для правомірної обробки таких даних.
На проблемність окремих положень Закону, а також їх невідповідність європейським стандартам вказується також у висновку експертів Ради Європи від 19 січня 2012 р. 1 та юридичному аналізі, підготовленому міжнародною організацією “Артикль 19”, від 26 липня 2012 р.2
Зазначені проблеми ускладнюються набуттям чинності 1 липня 2012 р. змін до законодавчих актів, якими було посилено відповідальність за порушення у сфері обробки персональних даних.
Це обумовлює необхідність внесення комплексних змін до Закону та, зокрема, узгодження його із законодавчими актами щодо доступу до публічної інформації.
На розгляді Верховної Ради України знаходиться кілька законопроектів про внесення змін до Закону “Про захист персональних даних” (реєстр. №№ 9790, 10472, 10472-1). На нашу думку, законопроект №10472-1, поданий Кабінетом Міністрів 28 травня 2012 р., може бути ухвалений в першому читанні за умови його обов’язкового доопрацювання до остаточного прийняття.
У зв’язку з цим, ми, експерти та представники громадських організацій, звертаємося до Верховної Ради України, зокрема Комітету з питань науки і освіти, а також до експертів Ради Європи, які можуть проводити аналіз зазначених законопроектів, з проханням урахувати пропозиції, що містяться в додатку до цього звернення.
23 серпня 2012 р.
Підписали:
– Дмитро Котляр, незалежний експерт
– Роман Головенко, Інститут масової інформації
– Олександр Павліченко, Українська фундація правової допомоги
– Тарас Шевченко, Інститут медіа права
– Віктор Таран, Центр політичних студій та аналітики
– Світлана Заліщук, Центр UA
– Олексій Хмара, Творче об’єднання “ТОРО” – Transparency International Україна
– Анатолій Пінчук, ВГО “Українська стратегія”
– Леся Шевченко, Фундація “Відкрите суспільство”
– Ірина Бекешкіна, Фонд “Демократичні ініціативи” ім. Ілька Кучеріва
– Тарас Петрів, Фундація “Суспільність”
– Олександр Сушко, Інститут Євро-Атлантичного співробітництва
– Роман Романов, член Консультативної ради при Уповноваженому Верховної Ради
України з прав людини
– Аркадій Бущенко, Українська Гельсінська спілка з прав людини
1 Документ DGI/DP/expertiseUKR(2012).
2 http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukrain….
Додаток до звернення
Пропозиції до проекту Закону України “Про внесення змін до Закону України
«Про захист персональних даних»” (№10472-1)
1. Законопроектом пропонується викласти в новій редакції формулювання щодо сфери дії Закону “Про захист персональних даних” (далі – Закон) в його статті 1, а саме встановити, що: “Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.”
Це, на нашу думку, не зовсім коректне формулювання, оскільки захист інших прав та свобод фізичних осіб, безвідносно до захисту персональних даних, не входить до сфери дії Закону. Хоча запропоноване в Законопроекті формулювання є буквальним перекладом відповідного положення Директиви ЄС 95/463, більш коректним видається положення Конвенції Ради Європи №108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних 4 . До того ж, зазначені положення Директиви та Конвенції визначені як “цілі” відповідних документів, а не як сфера їхньої дії. Такий же підхід варто обрати і в українському законі.
У зв’язку з цим пропонується:
1) доповнити Закон преамбулою такого змісту:
“Цей Закон спрямований на захист основоположних прав і свобод фізичних осіб, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.”;
2) вилучити частину першу статті 1 Закону.
2. Законопроектом №10472-1 пропонується викласти в новій редакції положення щодо винятків зі сфери дії Закону (стаття 1). При цьому зберігається помилка чинної редакції, відповідно до якої Закон не поширюється на обробку персональних даних, що проводиться журналістом для своїх професійних цілей. Це не відповідає Директиві ЄС 95/46 щодо захисту осіб у зв’язку з обробкою персональних даних, відповідно до статті 9 якої, держави забезпечують виключення з вимог Директиви для обробки персональних даних, що здійснюється, зокрема, “в журналістських цілях”. У Директиві відсутня прив’язка до професії чи посади журналіста. В одному з рішень Суду ЄС зазначається, що цей виняток стосується не тільки засобів масової інформації, але “будь-якої особи, що займається журналізмом”; що не має значення засіб, що використовується для поширення інформації; що виняток застосовується, якщо “метою є донесення до суспільства інформації, думок чи ідей”5. Такі формулювання також пропонується закріпити в новій Постанові ЄС щодо захисту осіб стосовно обробки персональних даних (далі – проект Постанови ЄС)6, яка повинна замінити Директиву ЄС 95/46 (див. пункт 121 вступної частини проекту Постанови ЄС).
У зв’язку з цим пропонується викласти відповідний виняток у статті 1 Закону таким чином:
“Цей Закон не поширюється на обробку персональних даних:
…
що здійснюється виключно у журналістських цілях.”
3. Законопроектом із статті 5 Закону пропонується вилучити частини третю
(“Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом”) та четверту (“Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.”).
При цьому залишається без змін частина друга цієї статті: “Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.”
Це призведе до втрати зв’язку між положеннями Закону “Про захист персональних даних” та законодавством про доступ до публічної інформації. Останнє містить норми, які прямо забороняють відносити певні відомості до інформації з обмеженим доступом (наприклад, чч. 5-6 ст. 6 Закону “Про доступ до публічної інформації”). Ці норми прямо кореспондують із ч. 3 ст. 5 Закону “Про захист персональних даних”. Вилучення зазначеної частини із Закону, поряд із збереженням норми про автоматичне віднесення всіх персональних даних до інформації з обмеженим доступом, матиме наслідком дальше погіршення ситуації із доступом до публічної інформації. Адже на практиці посилання на Закон “Про захист персональних даних” часто використовується для відмови в доступі до інформації; з вилученням зазначених положень це буде робити ще легше.
Розгляд законопроекту про внесення змін до Закону про захист персональних даних дає можливість виправити закладений в ньому неправильний підхід, за яким будь-які персональні дані автоматично визнаються конфіденційними, та встановити належний баланс між правом на доступ до інформації і правом на захист приватності.
Насамперед, слід виправити норму, що всі персональні дані є інформацією з обмеженим доступом. Це суперечить Конституції України (ст. 32), відповідно до якої забороняється збирання, зберігання, використання та поширення “конфіденційної інформації про особу”. З цього випливає, що не вся інформація про особу є конфіденційною. Це підтверджується Рішенням Конституційного Суду України від 20.01.2012, згідно з яким не вся інформація про особу є конфіденційною.
Конфіденційною не є передбачена законами інформація, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень7.
Такий підхід також не відповідає європейським стандартам, зокрема практиці Європейського суду з прав людини (ЄСПЛ). Так, у багатьох своїх рішеннях ЄСПЛ встановив, що право на приватність публічних діячів може бути обмежено з огляду на посаду, яку вони займають чи їхній публічний статус, а також виходячи з важливості певної інформації для суспільної дискусії тощо.
Це також суперечить визначенню конфіденційної інформації, що міститься в Законі “Про доступ до публічної інформації” (ст. 7: “Конфіденційна інформація – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов”).
Водночас, помилка ототожнення інформації про особу та конфіденційної інформації повторюється у ч. 2 ст. 21 Закону “Про інформацію” (“Конфіденційною є інформація про фізичну особу…”). Хоча в іншому положенні цього ж Закону (ч. 2 ст. 11) повторюється конституційна норма про заборону поширення без згоди особи лише конфіденційної інформації про неї та визначено перелік інформації, яка відноситься до конфіденційної (з чого також випливає, що не вся інформація про особу є конфіденційною). Тому це положення також слід виправити.
У зв’язку із зазначеним пропонується:
1) викласти статтю 5 Закону “Про захист персональних даних” у такій редакції:
“Стаття 5. Об’єкти захисту
1. Об’єктами захисту є персональні дані, які обробляються в базах персональних даних.
2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.”
2) викласти перше речення частини другої статті 21 Закону “Про інформацію” в такій редакції:
“2. Конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень.”
4. Законопроектом пропонується зберегти обов’язкову реєстрацію баз персональних даних. При цьому передбачається встановити лише два винятки із зазначеного обов’язку (ч. 2 ст. 9). Не підлягатимуть реєстрації лише бази даних, ведення яких пов’язано із забезпеченням та реалізацією трудових відносин, а також бази даних членів громадських, релігійних організацій, професійних спілок, а також політичних партій.
Вимога щодо обов’язкової реєстрації баз персональних даних, запроваджена Законом, призвела до надмірного і необґрунтованого навантаження на суб’єкти господарювання та інших осіб, які здійснюють у своїй діяльності обробку персональних даних. Досвід застосування цієї вимоги Закону засвідчив неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації та відсутність будь-якої реальної користі від такої реєстрації для захисту персональних даних. Таким чином, вимога обов’язкової реєстрації баз персональних даних засвідчила свою неефективність та недоцільність.
Слід зазначити, що реєстрація баз персональних даних не вимагається Конвенцією Ради Європи №108. Директива ЄС 95/46, що містить вимогу повідомлення уповноваженого органу перед початком здійснення обробки персональних даних (з можливістю для держав-членів встановити цілу низку винятків із цієї вимоги), зараз переглядається. При цьому проект нового юридичного інструменту ЄС з цього питання (проект Постанови ЄС), що був представлений Європейською Комісією, взагалі не містить вимоги щодо обов’язкової нотифікації.
З огляду на це пропонується відмовитися від обов’язкової реєстрації баз персональних даних та вилучити відповідні положення із Закону України “Про захист персональних даних”.
5. Законопроектом пропонується значно розширити перелік підстав для правомірної обробки персональних даних, що міститься в статті 11 Закону. Це загалом позитивна зміна, яку слід вітати, оскільки вона спрямована на приведення Закону у відповідність до європейський стандартів та відмову від необґрунтованого звуження підстав для обробки персональних даних. Водночас пропонована редакція не повною мірою відповідає зазначеним стандартам, а саме статті 7 Директиви ЄС 95/46 (стаття 6
проекту Постанови ЄС), а саме:
– відсутня така підстава для обробки персональних даних як “обробка, що необхідна для виконання юридичного обов’язку володільця персональних даних”;
– у пункті 5 нової редакції статті 11 Закону міститься згадка випадку “коли суб’єкт персональних даних вимагає припинити обробку його персональних даних”,
який відсутній у зазначених документах ЄС. Це може призвести до того, що навіть в разі наявності законного інтересу, що є підставою для правомірної обробки даних, така обробка може бути заборонена через вимогу суб’єкта персональних даних.
Крім того, на нашу думку, останню підставу для обробки персональних даних наявність законного інтересу володільця чи третіх осіб) слід доповнити прикладом
такої ситуації, а саме коли обробка відповідає законному інтересу в доступі до публічної інформації. Це допоможе конкретизувати це положення та спростить його застосування на практиці.
У зв’язку з цим пропонується замінити пункт 5 статті 11 Закону в редакції Законопроекту такими двома пунктами:
5) необхідність виконання юридичного обов’язку володільця персональних
даних;
6) необхідність захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес.”
6. Законопроект залишає без змін положення Закону щодо доступу третіх осіб до персональних даних (статті 16-20), які не узгоджуються із Законом “Про доступ до публічної інформації”.
У зв’язку з цим пропонується доповнити частину першу статті 16 Закону реченням другим такого змісту:
“1. … Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації.”
7. Законопроектом не вирішується проблема забезпечення інституційної незалежності уповноваженого державного органу із захисту персональних даних, що є одним з головних недоліків чинного Закону “Про захист персональних даних”.
Проектом лише пропонується додати, що цей орган “є незалежним у реалізації повноважень, передбачених цим Законом”. Це навряд чи є достатнім для зміни існуючої ситуації, коли органом, що здійснює державний захист персональних даних, є орган виконавчої влади, що підпорядковується Міністерству юстиції. Аналіз невідповідності існуючої моделі уповноваженого органу європейським стандартам викладений у висновку експертів Ради Європи від 12.01.20129 та юридичному аналізі міжнародної організації “Артикль 19” від 26.07.201210.
З огляду на існуючі конституційні обмеження та адміністративну систему України, на нашу думку, такою моделлю незалежного державного органу із захисту персональних даних в Україні могло б бути:
1) створення державного колегіального органу із спеціальним статусом та порядком формування, подібним до національних комісій, що здійснюють державне регулювання в окремих сферах;
2) покладення відповідних функцій на Уповноваженого Верховної Ради з прав людини.
3 Стаття 1: “In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.”
4 Стаття 1: “The purpose of this convention is to secure in the territory of each Party for every individual,
whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his
right to privacy, with regard to automatic processing of personal data relating to him”.
5 Рішення Великої палати Суду ЄС у справі № C-73/07, 16 грудня 2008 р., параграфи 58-62, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62007J0073:EN….
6 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 25.01.2012, COM(2012) 11 final, http://eurlex.
europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF.
7 Абзац другий пункту 1 резолютивної частини Рішення Конституційного Суду України від 20 січня 2012 року №2-рп/2012.
8 Див., серед багатьох інших, рішення у справах Von Hannover v. Germany (№59320/00), Sciacca v. Italy (№50774/99), Hachette Filipacchi Associés v.France (№12268/03), Editions Plon v. France (№58148/00), Lyashko v. Ukraine (№21040/02).
9 Документ DGI/DP/expertiseUKR(2012), http://astol.com.ua/PDF/DGI-DP-expertiseUKR.pdf.
10 http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukrain…
Ці проблеми обумовлюють необхідність внесення комплексних змін до Закону «Про захист персональних даних» та узгодження його із законодавчими актами щодо доступу до публічної інформації. Відповідно, 28 серпня представники Партнерства «Новий громадянин» та громадські експерти звернулися до Верховної Ради України, зокрема до профільного Комітету з питань науки і освіти, а також до Офісу Ради Європи в Україні з пропозиціями щодо доопрацювання урядового проекту Закону України “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1).
Зокрема, експерти пропонують:
1) вивести з-під дії Закону “Про захист персональних даних” обробку персональних даних не тільки журналістами, але й іншими особами, якщо це здійснюється в журналістських цілях;
2) узгодити Закон “Про захист персональних даних” із Законом «Про доступ до публічної інформації» в частині доступу третіх осіб до конфіденційної інформації про особу, а також уточнити визначення конфіденційної інформації в Законі про інформацію;
3) скасувати обов’язкову реєстрацію баз персональних даних та вилучити відповідні положення із Закону України про «Про захист персональних даних», через неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації та відсутність будь-якої реальної користі від такої реєстрації для захисту персональних даних;
4) розширити підстави для правомірної обробки персональних даних, у тому числі, коли це необхідно для захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес;
5) забезпечити інституційну незалежність державного органу з контролю за захистом персональних даних, шляхом створення державного колегіального органу зі спеціальним статусом та порядком формування, подібним до національних комісій, що здійснюють державне регулювання в окремих сферах; шляхом покладення відповідних функцій на Уповноваженого Верховної Ради з прав людини.
Нижче наведено повний текст Звернення щодо перегляду Закону України “Про захист персональних даних” та Пропозиції до проекту Закону України “Про внесення змін до Закону України «Про захист персональних даних»” (№10472-1)
Комітету Верховної Ради України з питань науки і освіти
Офісу Ради Європи в Україні
Звернення
щодо перегляду Закону України “Про захист персональних даних”
Практичне застосування Закону України “Про захист персональних даних” (далі – Закон), що діє з початку 2011 року, засвідчило наявність низки проблем, зокрема, пов’язаних з обмеженням доступу до публічної інформації з посиланням на конфіденційність персональних даних, надмірними адміністративними вимогами до обробки персональних даних (реєстрація баз даних), обмеженим переліком підстав для правомірної обробки таких даних.
На проблемність окремих положень Закону, а також їх невідповідність європейським стандартам вказується також у висновку експертів Ради Європи від 19 січня 2012 р. 1 та юридичному аналізі, підготовленому міжнародною організацією “Артикль 19”, від 26 липня 2012 р.2
Зазначені проблеми ускладнюються набуттям чинності 1 липня 2012 р. змін до законодавчих актів, якими було посилено відповідальність за порушення у сфері обробки персональних даних.
Це обумовлює необхідність внесення комплексних змін до Закону та, зокрема, узгодження його із законодавчими актами щодо доступу до публічної інформації.
На розгляді Верховної Ради України знаходиться кілька законопроектів про внесення змін до Закону “Про захист персональних даних” (реєстр. №№ 9790, 10472, 10472-1). На нашу думку, законопроект №10472-1, поданий Кабінетом Міністрів 28 травня 2012 р., може бути ухвалений в першому читанні за умови його обов’язкового доопрацювання до остаточного прийняття.
У зв’язку з цим, ми, експерти та представники громадських організацій, звертаємося до Верховної Ради України, зокрема Комітету з питань науки і освіти, а також до експертів Ради Європи, які можуть проводити аналіз зазначених законопроектів, з проханням урахувати пропозиції, що містяться в додатку до цього звернення.
23 серпня 2012 р.
Підписали:
– Дмитро Котляр, незалежний експерт
– Роман Головенко, Інститут масової інформації
– Олександр Павліченко, Українська фундація правової допомоги
– Тарас Шевченко, Інститут медіа права
– Віктор Таран, Центр політичних студій та аналітики
– Світлана Заліщук, Центр UA
– Олексій Хмара, Творче об’єднання “ТОРО” – Transparency International Україна
– Анатолій Пінчук, ВГО “Українська стратегія”
– Леся Шевченко, Фундація “Відкрите суспільство”
– Ірина Бекешкіна, Фонд “Демократичні ініціативи” ім. Ілька Кучеріва
– Тарас Петрів, Фундація “Суспільність”
– Олександр Сушко, Інститут Євро-Атлантичного співробітництва
– Роман Романов, член Консультативної ради при Уповноваженому Верховної Ради
України з прав людини
– Аркадій Бущенко, Українська Гельсінська спілка з прав людини
1 Документ DGI/DP/expertiseUKR(2012).
2 http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukrain….
Додаток до звернення
Пропозиції до проекту Закону України “Про внесення змін до Закону України
«Про захист персональних даних»” (№10472-1)
1. Законопроектом пропонується викласти в новій редакції формулювання щодо сфери дії Закону “Про захист персональних даних” (далі – Закон) в його статті 1, а саме встановити, що: “Цей Закон захищає основоположні права та свободи фізичних осіб, зокрема право на невтручання в особисте життя під час обробки персональних даних.”
Це, на нашу думку, не зовсім коректне формулювання, оскільки захист інших прав та свобод фізичних осіб, безвідносно до захисту персональних даних, не входить до сфери дії Закону. Хоча запропоноване в Законопроекті формулювання є буквальним перекладом відповідного положення Директиви ЄС 95/463, більш коректним видається положення Конвенції Ради Європи №108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних 4 . До того ж, зазначені положення Директиви та Конвенції визначені як “цілі” відповідних документів, а не як сфера їхньої дії. Такий же підхід варто обрати і в українському законі.
У зв’язку з цим пропонується:
1) доповнити Закон преамбулою такого змісту:
“Цей Закон спрямований на захист основоположних прав і свобод фізичних осіб, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.”;
2) вилучити частину першу статті 1 Закону.
2. Законопроектом №10472-1 пропонується викласти в новій редакції положення щодо винятків зі сфери дії Закону (стаття 1). При цьому зберігається помилка чинної редакції, відповідно до якої Закон не поширюється на обробку персональних даних, що проводиться журналістом для своїх професійних цілей. Це не відповідає Директиві ЄС 95/46 щодо захисту осіб у зв’язку з обробкою персональних даних, відповідно до статті 9 якої, держави забезпечують виключення з вимог Директиви для обробки персональних даних, що здійснюється, зокрема, “в журналістських цілях”. У Директиві відсутня прив’язка до професії чи посади журналіста. В одному з рішень Суду ЄС зазначається, що цей виняток стосується не тільки засобів масової інформації, але “будь-якої особи, що займається журналізмом”; що не має значення засіб, що використовується для поширення інформації; що виняток застосовується, якщо “метою є донесення до суспільства інформації, думок чи ідей”5. Такі формулювання також пропонується закріпити в новій Постанові ЄС щодо захисту осіб стосовно обробки персональних даних (далі – проект Постанови ЄС)6, яка повинна замінити Директиву ЄС 95/46 (див. пункт 121 вступної частини проекту Постанови ЄС).
У зв’язку з цим пропонується викласти відповідний виняток у статті 1 Закону таким чином:
“Цей Закон не поширюється на обробку персональних даних:
…
що здійснюється виключно у журналістських цілях.”
3. Законопроектом із статті 5 Закону пропонується вилучити частини третю
(“Законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом”) та четверту (“Персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.”).
При цьому залишається без змін частина друга цієї статті: “Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.”
Це призведе до втрати зв’язку між положеннями Закону “Про захист персональних даних” та законодавством про доступ до публічної інформації. Останнє містить норми, які прямо забороняють відносити певні відомості до інформації з обмеженим доступом (наприклад, чч. 5-6 ст. 6 Закону “Про доступ до публічної інформації”). Ці норми прямо кореспондують із ч. 3 ст. 5 Закону “Про захист персональних даних”. Вилучення зазначеної частини із Закону, поряд із збереженням норми про автоматичне віднесення всіх персональних даних до інформації з обмеженим доступом, матиме наслідком дальше погіршення ситуації із доступом до публічної інформації. Адже на практиці посилання на Закон “Про захист персональних даних” часто використовується для відмови в доступі до інформації; з вилученням зазначених положень це буде робити ще легше.
Розгляд законопроекту про внесення змін до Закону про захист персональних даних дає можливість виправити закладений в ньому неправильний підхід, за яким будь-які персональні дані автоматично визнаються конфіденційними, та встановити належний баланс між правом на доступ до інформації і правом на захист приватності.
Насамперед, слід виправити норму, що всі персональні дані є інформацією з обмеженим доступом. Це суперечить Конституції України (ст. 32), відповідно до якої забороняється збирання, зберігання, використання та поширення “конфіденційної інформації про особу”. З цього випливає, що не вся інформація про особу є конфіденційною. Це підтверджується Рішенням Конституційного Суду України від 20.01.2012, згідно з яким не вся інформація про особу є конфіденційною.
Конфіденційною не є передбачена законами інформація, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень7.
Такий підхід також не відповідає європейським стандартам, зокрема практиці Європейського суду з прав людини (ЄСПЛ). Так, у багатьох своїх рішеннях ЄСПЛ встановив, що право на приватність публічних діячів може бути обмежено з огляду на посаду, яку вони займають чи їхній публічний статус, а також виходячи з важливості певної інформації для суспільної дискусії тощо.
Це також суперечить визначенню конфіденційної інформації, що міститься в Законі “Про доступ до публічної інформації” (ст. 7: “Конфіденційна інформація – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов”).
Водночас, помилка ототожнення інформації про особу та конфіденційної інформації повторюється у ч. 2 ст. 21 Закону “Про інформацію” (“Конфіденційною є інформація про фізичну особу…”). Хоча в іншому положенні цього ж Закону (ч. 2 ст. 11) повторюється конституційна норма про заборону поширення без згоди особи лише конфіденційної інформації про неї та визначено перелік інформації, яка відноситься до конфіденційної (з чого також випливає, що не вся інформація про особу є конфіденційною). Тому це положення також слід виправити.
У зв’язку із зазначеним пропонується:
1) викласти статтю 5 Закону “Про захист персональних даних” у такій редакції:
“Стаття 5. Об’єкти захисту
1. Об’єктами захисту є персональні дані, які обробляються в базах персональних даних.
2. Персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Не є конфіденційною інформацією персональні дані, що стосуються здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Законом може бути заборонено віднесення інших відомостей, що є персональними даними, до інформації з обмеженим доступом.”
2) викласти перше речення частини другої статті 21 Закону “Про інформацію” в такій редакції:
“2. Конфіденційною є інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень.”
4. Законопроектом пропонується зберегти обов’язкову реєстрацію баз персональних даних. При цьому передбачається встановити лише два винятки із зазначеного обов’язку (ч. 2 ст. 9). Не підлягатимуть реєстрації лише бази даних, ведення яких пов’язано із забезпеченням та реалізацією трудових відносин, а також бази даних членів громадських, релігійних організацій, професійних спілок, а також політичних партій.
Вимога щодо обов’язкової реєстрації баз персональних даних, запроваджена Законом, призвела до надмірного і необґрунтованого навантаження на суб’єкти господарювання та інших осіб, які здійснюють у своїй діяльності обробку персональних даних. Досвід застосування цієї вимоги Закону засвідчив неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації та відсутність будь-якої реальної користі від такої реєстрації для захисту персональних даних. Таким чином, вимога обов’язкової реєстрації баз персональних даних засвідчила свою неефективність та недоцільність.
Слід зазначити, що реєстрація баз персональних даних не вимагається Конвенцією Ради Європи №108. Директива ЄС 95/46, що містить вимогу повідомлення уповноваженого органу перед початком здійснення обробки персональних даних (з можливістю для держав-членів встановити цілу низку винятків із цієї вимоги), зараз переглядається. При цьому проект нового юридичного інструменту ЄС з цього питання (проект Постанови ЄС), що був представлений Європейською Комісією, взагалі не містить вимоги щодо обов’язкової нотифікації.
З огляду на це пропонується відмовитися від обов’язкової реєстрації баз персональних даних та вилучити відповідні положення із Закону України “Про захист персональних даних”.
5. Законопроектом пропонується значно розширити перелік підстав для правомірної обробки персональних даних, що міститься в статті 11 Закону. Це загалом позитивна зміна, яку слід вітати, оскільки вона спрямована на приведення Закону у відповідність до європейський стандартів та відмову від необґрунтованого звуження підстав для обробки персональних даних. Водночас пропонована редакція не повною мірою відповідає зазначеним стандартам, а саме статті 7 Директиви ЄС 95/46 (стаття 6
проекту Постанови ЄС), а саме:
– відсутня така підстава для обробки персональних даних як “обробка, що необхідна для виконання юридичного обов’язку володільця персональних даних”;
– у пункті 5 нової редакції статті 11 Закону міститься згадка випадку “коли суб’єкт персональних даних вимагає припинити обробку його персональних даних”,
який відсутній у зазначених документах ЄС. Це може призвести до того, що навіть в разі наявності законного інтересу, що є підставою для правомірної обробки даних, така обробка може бути заборонена через вимогу суб’єкта персональних даних.
Крім того, на нашу думку, останню підставу для обробки персональних даних наявність законного інтересу володільця чи третіх осіб) слід доповнити прикладом
такої ситуації, а саме коли обробка відповідає законному інтересу в доступі до публічної інформації. Це допоможе конкретизувати це положення та спростить його застосування на практиці.
У зв’язку з цим пропонується замінити пункт 5 статті 11 Закону в редакції Законопроекту такими двома пунктами:
5) необхідність виконання юридичного обов’язку володільця персональних
даних;
6) необхідність захисту законного інтересу володільця персональних даних або третьої особи, зокрема щодо доступу до публічної інформації, крім випадку, коли потреби захисту персональних даних переважають такий інтерес.”
6. Законопроект залишає без змін положення Закону щодо доступу третіх осіб до персональних даних (статті 16-20), які не узгоджуються із Законом “Про доступ до публічної інформації”.
У зв’язку з цим пропонується доповнити частину першу статті 16 Закону реченням другим такого змісту:
“1. … Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України “Про доступ до публічної інформації.”
7. Законопроектом не вирішується проблема забезпечення інституційної незалежності уповноваженого державного органу із захисту персональних даних, що є одним з головних недоліків чинного Закону “Про захист персональних даних”.
Проектом лише пропонується додати, що цей орган “є незалежним у реалізації повноважень, передбачених цим Законом”. Це навряд чи є достатнім для зміни існуючої ситуації, коли органом, що здійснює державний захист персональних даних, є орган виконавчої влади, що підпорядковується Міністерству юстиції. Аналіз невідповідності існуючої моделі уповноваженого органу європейським стандартам викладений у висновку експертів Ради Європи від 12.01.20129 та юридичному аналізі міжнародної організації “Артикль 19” від 26.07.201210.
З огляду на існуючі конституційні обмеження та адміністративну систему України, на нашу думку, такою моделлю незалежного державного органу із захисту персональних даних в Україні могло б бути:
1) створення державного колегіального органу із спеціальним статусом та порядком формування, подібним до національних комісій, що здійснюють державне регулювання в окремих сферах;
2) покладення відповідних функцій на Уповноваженого Верховної Ради з прав людини.
3 Стаття 1: “In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.”
4 Стаття 1: “The purpose of this convention is to secure in the territory of each Party for every individual,
whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his
right to privacy, with regard to automatic processing of personal data relating to him”.
5 Рішення Великої палати Суду ЄС у справі № C-73/07, 16 грудня 2008 р., параграфи 58-62, http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62007J0073:EN….
6 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), 25.01.2012, COM(2012) 11 final, http://eurlex.
europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:EN:PDF.
7 Абзац другий пункту 1 резолютивної частини Рішення Конституційного Суду України від 20 січня 2012 року №2-рп/2012.
8 Див., серед багатьох інших, рішення у справах Von Hannover v. Germany (№59320/00), Sciacca v. Italy (№50774/99), Hachette Filipacchi Associés v.France (№12268/03), Editions Plon v. France (№58148/00), Lyashko v. Ukraine (№21040/02).
9 Документ DGI/DP/expertiseUKR(2012), http://astol.com.ua/PDF/DGI-DP-expertiseUKR.pdf.
10 http://www.article19.org/data/files/medialibrary/3391/12-07-26-LA-ukrain…