Чи потрібен Україні захист персональних даних?

Ірина КУШНІР, співзасновник ГО «Український інститут з прав людини»

У найближчому майбутньому перед Україною постане питання ратифікації протоколу, яким було внесено зміни до Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних, а також взяття на себе відповідальності за виконання її положень.

Нагадаємо, у травні 2018 року Рада Європи прийняла рішення про модернізацію положень Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних, стороною якої є Україна. Оновлені положення актуалізували гарантії Конвенції, врахували всі виклики, які наразі існують в сфері захисту персональних даних. Найцікавішими з них є два блоки: щодо прав суб’єкта персональних даних та щодо повноважень наглядового органу.

Відповідно до Конвенції суб’єкт персональних даних має право:

— не бути суб’єктом рішення, що має значний вплив на нього або неї, прийнятого виключно на основі автоматизованої обробки даних, без урахування його або її думки;

— на вимогу отримувати через розумні інтервали часу та без надмірної затримки або витрат підтвердження обробки персональних даних, що стосуються його або її; отримувати в доступній для розуміння формі дані, що обробляються, всю наявну інформацію про їхнє походження, період зберігання, а також будь-яку іншу інформацію, надання якої вимагається від контролера для забезпечення прозорості обробки відповідно до пункту 1 статті 8;

— на вимогу отримувати обґрунтування, що є підґрунтям обробки даних, якщо результати такої обробки застосовуються до нього або до неї;

— у будь-який час заперечувати на підставах, що стосуються його або її, проти обробки персональних даних, що стосуються його або її, крім випадків, коли контролер демонструє легітимні підстави для обробки, які переважають його або її інтереси або права і основоположні свободи;

— на вимогу, безоплатно і без надмірної затримки, отримувати виправлення або знищення таких даних у відповідних випадках, якщо вони обробляються або оброблялися всупереч положенням цієї Конвенції;

— мати засоби захисту, передбачені в статті 12, якщо його або її права за цією Конвенцією були порушені;

— мати користь незалежно від його або її громадянства або місця проживання від допомоги наглядового органу в розумінні статті 15 при реалізації його або її прав за цією Конвенцією.

Звертаю особливу увагу на останній пункт. Кожна особа має право мати користь від допомоги наглядового органу. І це — не поганий переклад. Так, саме користь.

Наглядовий орган має надавати особі корисну для неї допомогу в захисті її персональних даних, тобто таку, що має певний ефект для особи. Англійською це виглядає так: «have a right to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority».

Що ж це за наглядовий орган, який передбачено Конвенцією і який має бути створено в Україні після ратифікації протоколу? Кожна держава—сторона Конвенції має створити один або декілька органів влади, які є відповідальними за забезпечення дотримання положень цієї Конвенції (стаття 15 Конвенції). Конвенція чітко передбачає перелік повноважень, якій повинен мати такий орган, а саме:

— мати повноваження проводити розслідування та здійснювати втручання;

— виконувати функції, пов’язані з транскордонною передачею даних, передбаченою статтею 14, зокрема, погодження стандартизованих гарантій;

— мати повноваження приймати рішення стосовно порушень положень цієї Конвенції і, зокрема, можливість накладати адміністративні санкції;

— бути повноважними брати участь у судовому проваджені або доводити факти порушень положень цієї Конвенції до відома компетентних судових органів. Крім того, будьякі законодавчі або адміністративні заходи, які передбачають обробку персональних даних, повинні узгоджуватися з цим органом. Це означає, що будь-який нормативно-правовий акт має проходити експертизу на предмет дотримання гарантій захисту персональних даних у цьому органі;

— кожен компетентний наглядовий орган розглядає запити та скарги, подані суб’єктами даних щодо їхнього права на захист даних, і інформує суб’єктів даних про стан їх розгляду. А це значить, що такий орган має бути квазісудовим органом, який здатний не лише прочитати скаргу та, зітхаючи, порадити особі звернутися до суду, а й прийняти рішення про порушення, в разі його наявності, і мати повноваження поновити порушене право особи;

— у ході виконання своїх обов’язків та здійснення своїх повноважень наглядові органи діють з повною незалежністю та безсторонністю і тому не повинні ні просити, ні приймати жодних вказівок, що означає, що держава не може створити наглядовий орган такий, як ЦОВВ або будьякий інший орган, який належить до однієї з гілок влади. Він має бути спеціальним органом зі своїм конституційним статусом. Тільки в такому разі незалежність органу може бути забезпечена;

— кожна сторона забезпечує наглядові органи ресурсами, необхідними для ефективного виконання ними своїх функцій та здійснення їхніх повноважень. Можемо, відтак, уявити, яким має бути ресурс органу, який має швидко розглядати скарги осіб на порушення їхніх прав, здійснювати розслідування за скаргами в будь-якій точці України, здійснювати ефективну роз’яснювальну й освітню програми для всіх і кожного та, до того ж, ще й проводити обов’язкову експертизу всіх нормативних актів, які стосуються обробки персональних даних. За ресурсом це має бути середньої величини міністерство зі своїми регіональними представництвами на місцях;

— рішення наглядових органів можуть підлягати судовому оскарженню. Це — одне із найцікавіших нових положень. Звичайно, якщо орган уповноважений накладати штрафи за порушення прав, які підлягають обов’язковому стягненню, у порушника має бути право оскаржити позицію органу до суду… інакше держава порушить його право на ефективний засіб захисту щонайменше щодо майнового права.

Чи готова до таких змін Україна?

Наразі функції контролю за дотриманням права на захист персональних даних покладено на Уповноваженого Верховної Ради з прав людини (далі — Уповноважений з прав людини). Наскільки я пам’ятаю, у відповідному департаменті працюють не більше 20 працівників…

Із 2015 року офіс Уповноваженого з прав людини всюди кричав про необхідність створення нового органу на конституційному рівні, тоді всі знизували плечима і, м’яко кажучи, натякали на неадекватність цієї ідеї. Ні, Уповноважений не може накладати штрафи на порушників. Гібридизація Уповноваженого Верховної Ради з прав людини й органу влади з такими повноваженнями призведе до:

— втрати для суспільства самого Уповноваженого з прав людини (оскарження його рішень рано чи пізно призведе до появи судової практики, якою суди будуть визнавати порушення Уповноваженим прав інших осіб, що, в свою чергу, матиме результатом втрату довіри суспільства до цього органу);

— нестворення належного наглядового органу (Уповноважений з прав людини ресурсно просто не зможе забезпечити нормальне виконання всіх функцій такого органу).

І от у цьому році наша країна має ратифікувати цей протокол про внесення змін. Відмовитися від намірів не можна після заявленого курсу та всіх процесів євроінтеграції. А до цього Україна має продемонструвати не намагання виконувати положення Конвенції, а вже вжиті заходи, які уможливлюють її виконання, тобто: законодавство, приведене у відповідність до положень Конвенції, та наглядовий орган зі всіма повноваженнями і гарантіями.

Відтак завдяки Раді Європи ідея створення нового контролюючого органу в сфері захисту персональних даних не лише перестане називатися «неадекватною», а й буде реалізована на практиці.

Джерело: Юридичний вісник України

Поділитися

Твітнути