Наш коментар до Закону «Про захист персональних даних»
Наш коментар до Закону «Про захист персональних даних»
Необхідність прийняття цього Закону уже давно гостро стояла в усіх учасників інформаційного обміну персональними даними, що перш за все обумовлено тим, що стан нормативно-правової бази неефективно забезпечує захист прав людини щодо виконання положень статей 3, 32, 34 Конституції України стосовно персональних даних. Більш ніж два десятки законів України регулюють суспільні відносини, що пов’язані із збиранням, зберіганням, використанням та поширенням інформації про особу (персональних даних), однак всі вони не мають чіткого та скорельованого з європейським законодавством визначення персональних даних та визначених вимог щодо їхнього захисту (що захищаємо, як, а головне хто відповідальний).
І ось, як то кажуть, «Нарешті дочекались!!!». Років п’ять було потрачено на
підготовку законопроекту та його слухання, отже, здавалось би, відпрацьовано
усі тонкощі і підводне каміння з цього приводу. Але знаючи наше законодавство
та підходи з його формування (ми спочатку пишемо закони, а вже потім думаємо
над механізмами їх реалізації) варто проаналізувати як має жити інформаційна
спільнота найближчих пів року та що нас чекає з 1 січня 2011 року (дата вступу
в силу Закону).
Для більш чіткого розуміння ситуації необхідно привести ряд інформаційних
фактів:
- Сучасні суспільні відносини характеризуються широким використанням персональних даних під час обігу інформації (соціального, фінансового, правоохоронного, науково-технічного та ін. характеру), товарів, послуг і капіталів, що вимагає не тільки вільний рух інформації про особу, забезпечення її надійного захисту у відповідності до основних прав і свобод людини.
- Зміцнення міжнародного соціального, економічного та науково-технічного співробітництва, розвиток інформаційних мереж, зростання транскордонних потоків персональних даних, з одного боку, та зусилля, що вживаються державною владою щодо розвитку демократичних процесів з іншого, визначають актуальність і об'єктивну необхідність захисту прав і свобод громадян України у цій сфері.
- Конституцією України визначено зміст основних прав людини, у тому числі стаття 32 гарантує недоторканість особистого життя, зокрема – щодо збирання інформації про особу. Зазначене право повинно бути конкретизовано Законами встановленням технологій їх виконання. Бази персональних даних про своїх клієнтів сьогодні формує широке коло суб’єктів – фізичних та юридичних осіб: підприємства та торгівля, приватні лікарі, нотаріуси тощо. «Витік інформації» з цих баз даних наносить шкоду багатьом особам, що потребує термінового законодавчого врегулювання цих питань.
- Україна спізнюється майже на чверть століття як з підписанням міжнародних угод, так й з впровадженням відповідних норм міжнародного прав. Лише у 2005 році підписано Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних», яку до цього часу не подано на ратифікацію. Європейське право охоплює майже два десятки загальноєвропейських конвенцій, директив та рекомендацій з питань захисту персональних даних, кожна країна ЄС видала свої базові нормативно-законодавчі акти, приймалися конкретні закони: щодо діяльності з персональними даними у медичній, статистичній, державній, журналістській, поліцейській та інших сферах. Аналогічні закони прийнято в багатьох країнах світу, у тому числі – в країнах СНД, зокрема в Росії.
- Враховуючи необхідність застосування сучасних технологій при автоматизованій обробці інформації про особу, а також виникнення загрози для конкретної людини стосовно витоку та несанкціонованого використання персональних даних, багато європейських країн підписали Конвенцію про захист фізичних осіб під час автоматизованої обробки персональних даних (м. Страсбург, 28.01.1981 р.). Принципи, що містяться у Конвенції, уточнюються і розширюються в Директиві 95/46/ЕС Європейського парламенту і Ради від 24.10.1995 р. стосовно захисту фізичних осіб у питаннях обробки персональних даних і вільного обігу цих даних та в Директиві 97/66/ЕС Європейського парламенту і Ради від 15.12.1997 р. у стосовно обробки персональних даних і захисту приватності у телекомунікаційному секторі.
Отже з прийняттям Закону «Про захист персональних даних»
можна сказати, що держава зробила перший, уже впевнений та відчутний крок до
Євроінтеграції та розвитку свого інформаційного простору в частині одного із
його найвагоміших сегментів «захисту прав людини під час автоматизації обробки
її персональних даних».
Але як кажуть, «важливо не зробити перший крок, а почати рух вперед». А для
цього на виконання Закону необхідно виконати досить клопітку та важливу роботу,
яка передбачає:
На державному рівні:
- Створити (або надати повноваження вже створеному) орган контролю за станом захисту персональних даних. Крім того встановити чітку та прозору юридично-правову базу щодо забезпечення розгляду справ та відповідальності за несанкціонований доступ та використання персональних даних та/або порушень в частині забезпечення відповідного захисту.
- Ввести в експлуатацію Державний реєстр баз персональних даних), прийняти регламент його функціонування та порядок реєстрації баз даних.
- Розробити та запровадити загальнодержавну класифікацію відомостей, які відносяться до персональних даних та вимоги щодо їхнього захисту та автоматизованої обробки.
- Розробити та запровадити вимоги щодо функціонального профілю захисту автоматизованих систем, в яких передбачається обробка та зберігання персональних даних.
На рівні окремих організацій та установ (державної та недержавної форм власності):
- В рамках загальної класифікації інформації в ІТС визначити окремий клас «Персональні дані» та автоматизовані системи, в рамках яких вони обробляються.
- Забезпечити відповідні юридично-правові та організаційно-розпорядчі заходи щодо визначення власника, розпорядника та основних вимог із захисту персональних даних, які надаються фізичними особами та/або накопичуються організаціями (угоди про використання персональних даних, реєстрація бази персональних даних в рамках єдиного Державного реєстру баз персональних даних).
- Забезпечити захист персональних даних, які обробляються в автоматизованих системах, шляхом створення комплексної системи захисту інформації відповідно до Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» та Закону «Про захист персональних даних» в обсягах встановлених профілем захисту відповідними підзаконними актами Адміністрації Держспецзв’язку України.