Одним з найбільш проблемних правових питань в еру інформаційних технологій є захист персональних даних. До того ж у світі, поглиненому глобалізацією, дані користувача однієї країни можуть використовувати треті особи з будь-якого куточка світу (в тому числі незаконно).
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
В Україні питання захисту персональних даних регулюється Законом України «Про захист персональних даних», який набрав чинності у 2011 р. На виконання його завдань у 2012 р. був створений спеціальний орган — Державна служба України з питань захисту персональних даних. Однак вже через два роки її ліквідували, а тягар захисту персональних даних поклали на Уповноваженого Верховної Ради України з прав людини та суди.
Велика Палата Верховного Суду сформувала принципи обробки персональних даних (відкритість і прозорість, відповідальність, адекватність, не надмірність їх складу та змісту стосовно визначеної мети обробки), а також підстави для обробки персональних даних (згода суб'єкта персональних даних).
Найпростішим прикладом, коли від особи беруть згоду обробку на персональних даних, є реєстрація на сайті. Під час такої процедури більшість осіб мало цікавить, хто і як надалі оброблятиме персональні дані. Для багатьох послуг, що надають державні органи, також отримується згода на обробку персональних даних. На жаль, запам'ятати, кому і які персональні дані надаються, а також спрогнозувати можливий витік наданих даних майже неможливо. В цьому питанні існує безліч проблем, тож пропоную зупинитися на найбільш поширених.
По‑перше, текст згоди на обробку персональних даних завжди однотипний, не передбачає внесення змін та має лише одну опцію — погодитися. Непідписання такої згоди призводить до неможливості отримати необхідні послуги. Однак потрібно зважати на те, до яких наслідків призведе надання згоди в тій чи іншій ситуації.
Велика Палата Верховного Суду у зразковій справі №806/3265/17 звернула увагу, що законодавством не врегульовується питання щодо наслідків відмови особи від обробки її персональних даних, тобто фактично відсутня будь-яка альтернатива такого вибору, що обумовлює низьку якість закону та порушення конституційних прав такої особи.
Окрім того, реалізація державних функцій має здійснюватися без примушування людини до надання згоди на обробку персональних даних. Така обробка, як і раніше, повинна здійснюватися в межах та на підставі тих законів і нормативно-правових актів України, відповідно до яких виникають правовідносини між громадянином та державою. При цьому згадані технології не повинні бути безальтернативними й примусовими. Особи, які відмовилися від обробки своїх персональних даних, повинні мати альтернативу — використання традиційних методів ідентифікації особи.
По‑друге, особа не знає, куди та кому в майбутньому можуть бути передані її персональні дані. Ст. 8 Закону України «Про захист персональних даних» визначено, що суб'єкт персональних даних може отримувати інформацію про умови надання доступу до персональних даних, інформацію про третіх осіб, яким передаються його персональні дані, мати доступ до своїх персональних даних і навіть відкликати згоду на обробку персональних даних.
Враховуючи кількість згод, які надає особа в сучасному світі, неможливо відстежувати передачу своїх даних третім особам. У зв'язку з цим реалізація прав, наданих законом, виявляється неефективною. В більшості випадків особи часто не знають про поширення їхніх даних, а отже, не можуть належним чином їх захистити.
Питання щодо відкликання згоди розглядало Міністерство юстиції України в Листі №5543‑0‑33‑13/6.1 від 26.04.2013 р., де зазначалося про те, що згоду можна відкликати лише щодо майбутньої обробки даних, внаслідок чого особа не може бути впевнена в тому, як і хто вже опрацьовував її дані. У зв'язку з цим постає питання безпеки вже опрацьованих даних.
Нещодавно стався масштабний витік персональних даних українських громадян, переважно з водійських посвідчень, тому підозра одразу впала на додаток «Дія». Через деякий час влада заперечила причетність цього додатку. Встановити дійсну причину витоку даних досі не вдалося. Однак були порушені права не тільки користувачів цього додатку, але й мільйонів інших осіб.
З огляду на зазначене, доречно буде звернути увагу на можливість видалення вже наданих персональних даних. В Законі України «Про захист персональних даних» передбачається така можливість, але цього не можна зробити за зверненням чи запитом особи. Для цього потрібно отримати рішення суду або припис Уповноваженого. Враховуючи завантаженість цих органів, така процедура може тривати не один місяць. Водночас такі способи захисту прав можуть бути ефективними.
У справі №127/13877/19 суд першої інстанції, задовольняючи вимоги позивачів щодо зобов'язання видалення Акціонерним товариством «Укрпошта» персональних даних, вказав, що ідентифікація особи під час надання їй послуг може здійснюватися за паспортними даними без необхідності використання засобів автоматизації. Незважаючи на те, що позивачі у цій справі не надавали згоду на обробку їхніх персональних даних та внесення до електронних баз даних, відповідач не довів, що він не здійснював такої обробки.
Як відомо, володільцем найбільшої кількості персональних даних є держава, тому саме до неї висуваються найсуворіші вимоги щодо їх збереження та уникнення поширення у випадках, коли це не передбачається згодою особи. Очевидно, що витік інформації з державних баз даних лише посилює недовіру до держави та створює відчуття незахищеності перед внутрішніми й зовнішніми загрозами. Таким чином, ми не можемо говорити про захист персональних даних приватними особами, якщо навіть державні бази даних перебувають під загрозою.
Що стосується питання захисту персональних даних в інших країнах, традиційно, найбільш розвиненою юрисдикцією вважається США. Однією з причин необхідності розвитку такого законодавства є значна кількість порушень у сфері персональних даних. У зв'язку з цим у 2020 р. у штаті Каліфорнія був прийнятий новий закон про захист персональних даних. Насамперед, його важливість полягає в тому, що в Каліфорнії знаходяться такі компанії як Facebook, Google, Apple, що працюють з персональними даними користувачів по всьому світу.
Метою зазначеного закону є захист персональних даних, які обробляють юридичні особи приватного права та є розпорядниками такої інформації. Саме тому цим законом користувачам надається право дізнатися відомості про те, як компанія розпоряджається їхніми даними, а також можливість вимагати видалення інформації про себе та зупинення її розповсюдження. За невиконання вимог закону передбачені значні штрафи у кілька тисяч доларів, навіть якщо компанія порушує законодавство через необережність. Таким чином, завдяки впровадженню цього закону Каліфорнія підвищила дисциплінованість та відповідальність юридичних осіб під час роботи з персональними даними фізичних осіб.
Також варто зазначити, що в ЄС у 2018 р. був прийнятий Загальний регламент захисту даних (GDPR), яким встановлюються суворі вимоги до опрацювання персональних даних. Вони полягають в тому, що персональні дані мають збиратися законно, правомірно, прозоро та відповідно до цільового обмеження. Окрім того, їх зберігання обмежується строком, необхідним для опрацювання, яке має відбуватися під захистом від несанкціонованого впливу. Найважливіше, що як і у випадку з наведеним вище законом Каліфорнії, встановлюється значна відповідальність юридичних осіб за порушення вимог Регламенту щодо захисту персональних даних.
Про ефективність застосування GDPR говорить статистика, оскільки за 2 роки функціонування за його порушення стягнуто майже 360 млн євро. Водночас ця статистика вказує на те, що в Європі все ще залишаються проблеми щодо захисту персональних даних. Однак ефективний захист, запроваджений GDPR, у перспективі має призвести до значного зменшення кількості задоволених скарг та накладених штрафів у цій сфері.
Українська практика в цьому питанні відрізняється набагато меншою кількістю справ, але не через відсутність порушень, а у зв'язку з низькою правовою культурою громадян щодо власних персональних даних та неефективною системою їх захисту. Варто зазначити, що сьогодні найбільш дієвим способом захисту своїх персональних даних є ретельна фільтрація, кому та з якою метою ці дані передаються. На жаль, забезпечити абсолютний захист персональних даних наразі не може жодна держава у світі, проте особа може обмежити обсяг тих відомостей, на обробку яких вона надає згоду.