Реферат
на тему:
Організаційно-правовий захист персональних даних
На виконання Указу Президента України “Про рішення Ради національної
безпеки і оборони України від 31 жовтня 2001 р. “Про заходи щодо
вдосконалення державної інформаційної політики та забезпечення
інформаційної безпеки України”” від 06.12.2001 р. № 1193/2001 та
Доручення Кабінету Міністрів України від 23 січня 2002 р. № 17884/1 щодо
завершення вирішення питання підписання від імені України Конвенції №
108 Ради Європи “Про захист осіб у зв’язку з автоматизованою обробкою
персональних даних” 1981 р. МЗС 1 липня 2002 р. засвідчило офіційний
переклад зазначеної Конвенції та Додаткового протоколу від 8 листопада
2001 р. до неї стосовно створення органів нагляду у сфері захисту
персональних даних.
Згідно з європейською практикою зазначений орган повинен співпрацювати у
тісному зв’язку з тими органами, що зобов’язані підтримувати в країні
правовий порядок і безпеку громадян, суспільства та держави.
Складнощі правового регулювання у сфері інформатизації. Все більше стає
зрозумілим, що відомі юридичні підходи регулювання інформаційних
відносин не в змозі забезпечити соціальну регуляцію суб’єктів в
інтермережах, в Інтернеті.
Одна з основних проблем інтермереж – як юридично забезпечити захист прав
людини в електронно-інформаційному просторі щодо права власності на
інформацію, авторських і патентних прав, персональних даних, комерційних
(ділових) секретів? Додаткова складність полягає ще в тому, що вказані
інститути мають різні режими охорони, різне їх відношення до права
власності.
Так, авторське право і промислова власність хоча й близькі по колу
об’єктів до охорони, але далеко не ідентичні. Права власності у зв’язку
з результатами творчої діяльності людини регулюються по-різному: за
авторським правом – спочатку укладають договір, в якому вказуються
права, потім створюється відповідний об’єкт; за патентним правом –
спочатку створюється винахід, потім надаються права. З минулого сторіччя
ці інститути не піддаються уніфікації. Єдиної конвенції щодо
інтелектуальній власності не існує.
Упевнено можна стверджувати, що представлення будь-якої інформації в
інтермережі – це інтелектуальна праця. Навіть та інформація, що не
відповідає нормам охороноздатності, зокрема, персональні дані, в
інтермережі набуває характеру об’єктів інтелектуальної власності (в неї
вкладено творчу працю). Це означає, що подібна інформація повинна
захищатися вже згідно із законами авторського права. А правових норм, що
забезпечують регуляцію відношень із такою інформацією, у сфері
інтелектуальної власності немає.
Як підходити до питання правового регулювання прав на гіпертекстову
сторінку, яка використовує широке коло елементів: текст, малюнок,
промисловий зразок, знак найменування, аудіо, дизайн, фото тощо? Як
довести пріоритет зо окремим елементом сторінки? Відповіді до сих пір
відсутні.
Як вирішувати суперечки між системою індивідуалізації в формі товарного
знаку, торгової марки, фірмового найменування і системою
індивідуалізації у вигляді доменних імен, що ввійшла у вжиток і не надає
гарантій захисту від несумлінної комерційних діяльності? Наприклад, знак
фірми “Кока-Кола” коштує 10 тис. дол. США; товарний знак “Джип” – 60
тис. дол. США Син чоботаря, колишній полковник бундесвера, власник
всесвітньо відомої корпорації Аді Даслер вже не раз судився на захист
своїх прав щодо товарного знаку “Адідас” з електронними конкурентами.
Можна спортивний одяг і не виробляти, але скористувавшись з відомого
імені, привертати до сайту увагу та одержувати за показ його змісту
гроші, таким чином ще й підривати престиж фірми.
Не менш складною проблемою є екстериторіальність інтермереж і
територіальність юрисдикції.
Інтермережі, Інтернет кордонів не визнають. Інтернет із самого початку
(1968 р.) розвивався за власними законами як засіб вільного
розповсюдження будь-якої інформації на будь-якої території. Як
вважається у США, Японії, на Заході, період “романтичного” розвитку
інтермереж закінчився. Всі технологічні проблеми побудови світової
інформаційної інфраструктури принципово вирішені. Розвиток інтермереж
почав визначати умови електронного бізнесу, що є не таким безпечним, як
це здається. Так, наприклад, зі збільшенням у нас в країні користувачів
Інтернет зарубіжні системи електронної комерції цілком можуть
перетворитися на гігантські “висмоктувачі” грошових ресурсів як
населення, так і підприємств. Для електронно-інформаційного простору
потрібне відповідне інформаційне право.
Однак, у різних країнах існують різні юридичні системи. Основні питання,
на які за кордоном зараз намагаються знайти відповіді, полягають у
пошуку надійних умов для успіху електронної комерції, захисту
персональних даних і прав на інтелектуальну власність в електронному
просторі. У зв’язку з екстериторіальністю інтермереж вказане потребує
надійних умов забезпечення захисту прав у міжнародному
соціально-правовому і економічному аспектах щодо створення глобального
інформаційно-правового середовища. Але доки країни будуть домовлятися
про єдине правове регулювання, минуть десятки років. А законів для
інтермереж немає, механізм аналізу інформаційних потоків відсутній. На
Заході такі технічні системи тільки будуються, а нам вони – “не по
кишені”, є надзвичайно дорогими. На сьогодні в Україні існує понад 6000
зареєстрованих сайтів. Тільки через одного провайдера може проходити в
день 300–400 мегабайт тексту електронної пошти (до 1000 сторінок
машинного тексту). Відстежувати весь обсяг трафіку практично неможливо.
Сьогодні спроби навести порядок у взаємовідносинах в
електронно-інформаційному просторі орієнтуються на етику, рекомендації,
роз’яснення, як себе поводити, щоб не постраждати. Тільки ведучі країни
мають зародки національного законодавства і правила у сфері
інформаційного простору, що містять надто суперечливі звичаї. Причому,
недоліки і протиріччя існують на фоні геополітичних інтересів і спроб
окремих країн нав’язати свій вплив.
Існує думка, що проблема правового регулювання в інформаційному просторі
полягає у забезпеченні доказу протиправних дій в умовах нестабільності
електронної інформації.
Конкретні порушення існують та існуватимуть. У принципі, в мережах вони
не підлягають індивідуалізації. Дуже складно відстежувати навіть
легальну роботу людини, яка не бажає зробити будь-що протиправне. Вона
працює, але працює анонімно. Її електронні сліди мало про що говорять і,
тим більше, не можуть служити за доказ протиправних дій.
Але, як ставитися до так званого “портрета особи”, що може бути зібраний
з окремих відомостей персонального характеру різних баз даних,
відомостей, які узяті з первісного контексту і, як правило, містять
викривлений образ? Хто і як взагалі повинен нести відповідальність за
зміст персональних даних, що розповсюджується в інтермережі? Як
забезпечити доказ у разі виникнення спірних ситуацій? Може файл
вважатися за доказ?
Відповіді на ці та інші питання також немає. Існують точки зору різних
фахівців, полеміка і ціле електронно-інформаційне поле щодо правового
регулювання взаємостосунків різних осіб.
Виникає цікавий момент: порушень немає тому, що немає відповідних
правових конструкцій, а це означає, що можу робити те, що захочу! Що
може впливати зі сказаного?
Існує реальний світ, який виник та є відмінним від реального – світ
інформатизації й інтермереж, світ електронно-інформаційного простору, що
передбачає новий погляд на суспільне життя і діяльність. Цей світ
отримав назву інформаційного суспільства.
За визначенням, наданим у 1993 році Комісією Європейського Союзу:
“Інформаційне суспільство – це суспільство, де діяльність людей
здійснюється на основі послуг, що надаються з допомогою інформаційних
технологій і технологій зв’язку”. По суті інформаційні і
телекомунікаційні технології породжують нову революцію, що основана на
інформації, яка надає людині нові знання і створює умови формування
індустрії інформації. Об’єднуючи інформаційні ресурси, які традиційно
розділені й віддалені один від одного на значну відстань, інформаційна
інфраструктура відкриває необмежений потенціал для набуття знань,
інновацій і творчості. Причому, планами Євросоюзу чітко передбачається,
що персональні дані в будь-якому разі не повинні потрапляти до
загальнодоступних інформаційних ресурсів.
Перед дійсно видатними технологічними досягненнями й економічними
можливостями, що виникають, передові країни переглядають свої стратегії
та шляхи ведення бізнесу.
Досвід Європейського Союзу наочно переконує, що альтернативи
інформаційному суспільству немає. Ми зобов’язані усвідомити глобальну
природу змін, сучасниками і діючими особами яких ми є, і почати до них
пристосовуватися. Від того, яким чином ми будемо реагувати на світові
тенденції і можливості, перетворюючи їх на реальність і вигоду,
залежатиме, як швидко ми вийдемо з кризи і чи скоро будемо жити в
Європейському інформаційному суспільстві.
Ми зобов’язані усвідомити, що новий світ вимагає нових підходів у
соціальній регуляції прав та свобод громадян. Для нового середовища
необхідні нові юридичні механізми, що відповідають природі й розвитку
процесів електронно-інформаційного простору.
У цьому сенсі в країні розробляється, зокрема, проект Закону України
“Про захист персональних даних”, який у 2000 р. представлений на
остаточну правову експертизу органів виконавчої влади до Кабінету
Міністрів України.
Проект Закону України “Про захист персональних даних”. Розробка проекту
Закону України “Про захист персональних даних” розпочалася у 1996 р.
статтею кандидата технічних наук Олександра Баранова в газеті “Зеркало
недели” під назвою “Персональні дані: чи є проблеми?”
У статті ставилося питання необхідності розробки базового закону України
щодо захисту персональних даних людини.
Практична необхідність розробки закону обгрунтовується наведеним нижче:
стан нормативно-правової бази України не повною мірою забезпечує захист
прав людини у сфері персональних даних. Нормативна база має слабку
кореляцію з вимогами ст. 3, 23, 31, 32, 34 Конституції України і
міжнародних стандартів;
чинні на сьогодні більше 20 законів України зв’язані зі збором,
використанням і передачею інформації про фізичних осіб, не мають
однозначного, єдиного визначення, що це за інформація, а саме воно
зобов’язане бути вихідним і нести гносеологічне навантаження: саме на
його основі повинні формуватися гіпотези норм, регулюючих відношення по
захисту персональних даних.
Перша версія законопроекту була підготовлена у 1998 р. У цей же час була
видана книжка під однойменною назвою. По суті, в ній викладалася
відповідна концепція.
Законопроект 4 рази розглядався в різноманітних міністерствах і
комітетах: Мінекономіці, Мінфіні, Мінюсті, в МВС, СБУ, Комітеті з питань
державних секретів, Податковій адміністрації, у Раді національної
безпеки і оборони, Уповноваженим ВР України з прав людини. Було
висловлено понад 160 зауважень і пропозицій.
Наприкінці 1999 року законопроект погодили всі відомства, за винятком
Мінюста та СБУ. 27 грудня 1999 року законопроект був переданий до
Кабінету Міністрів України.
Після внесення правок профільними відділами Кабміну законопроект у 5-тий
раз був розісланий на погодження до тих же органів влади, а також до
Міністерства освіти і науки, Міністерства закордонних справ України.
Було отримано більше 50 зауважень, після врахування яких керівники всіх
відомств затвердили версію законопроекту і 20 грудня 2000 року він був
переданий до Кабінету Міністрів України для опрацювання і направлення до
комісій Верховної Ради.
Ідейна сутність законопроекту формулювалася на базі норм міжнародного
права і законодавства європейських країн.
Ситуація у сфері захисту персональних даних за кордоном свідчить про
таку загальну тенденцію:
розробляються і приймаються законодавчі та підзаконні акти, що регулюють
відносини різних суб’єктів у сфері захисту персональних даних;
створюється інфраструктура для вирішення проблем технічного та
організаційного захисту персональних даних;
організовуються спеціальні інститути уповноважених для забезпечення
нагляду за дотриманням прав фізичних осіб у сфері персональних даних. Ця
діяльність базується на принципах Європейської Конвенції “Про захист
прав людини й основних свобод” 1950 р.
Виходячи з потреб забезпечення вільного обігу персональних даних і,
водночас, наявності загрози несанкціонованого доступу до відомостей
персонального характеру в умовах розгортання процесів інформатизації,
Рада Європи у 1981 р. прийняла Конвенцію “Про захист осіб в зв’язку з
автоматизованою обробкою персональних даних” № 108.
Конвенція № 108 виходить з того, що права й інтереси особи в умовах
застосування новітніх інформаційних технологій, комп’ютерних і
телекомунікаційних засобів можуть бути порушені в результаті
несанкціонованого збору, обробки, зберігання і розповсюдження
персональних даних їй на шкоду, завдяки цьому, звівши нанівець її
природні, життєві права, що є основою свободи, загальної справедливості
та миру. Означені права слід захищати владою закону.
Принципи Конвенції № 108 уточнюються і конкретизуються в Директиві
Європейського Парламенту та Ради Європейського Союзу 1995 р. (від 24
жовтня 1995 р. 95/46/ЄС) про захист осіб у зв’язку з обробкою
персональних даних та їх вільним обігом. Директива була підготована і
прийнята на основі аналізу розвитку ринкових відношень, що був
розроблений групою фахівців під керівництвом члена Європейської комісії
Мартина Бангемана (на той час – Комісар ЕС по захисту персональних
даних) на замовлення Європейської Ради в 1994 р. Звіт групи М. Бангемана
представляє собою маніфест побудови інформаційного суспільства і має
назву: “Європа і глобальне інформаційне суспільство. Рекомендації
Європейській Раді”.
Згідно з Директивою 95/46/ЄС зміст європейської моделі захисту
персональних даних можна визначити як “забезпечення єдиними механізмами
виконання”.
Європейський Союз прагне до того, щоб суб’єкти персональних даних мали
чітко визначені права і реальну можливість звернутися до посадової особи
або органу, що зобов’язаний вжити дії для їх захисту. Кожній країні, що
є учасником Євросоюзу, рекомендовано створити інститут Уповноваженого по
захисту персональних даних. Країни інших континентів, з якими
співпрацюють держави-учасники ЄС, матимуть аналогічний уніфікований
рівень контролю за діяльністю у сфері захисту персональних даних.
З метою поглиблення галузевого принципу захисту персональних даних,
проголошеного Директивою 95/46/ЄС, у 1997 р. була затверджена Директива
Європарламенту і Ради Євросоюзу (97/66/ЄС від 15 грудня 1997 р.) про
обробку персональних даних і захист прав людини (privacy) в
телекомунікаційному секторі. Вона доповнює і конкретизує правила обробки
даних в операційних системах, що збираються операторами під час надання
телекомунікаційних послуг.
В Україні існує думка, що проблема захисту персональних даних у наш час
не є актуальною у зв’язку з нерозвиненістю громадянського суспільства,
наявністю менталітету примата держави і низьким рівнем інформатизації.
Парадоксальність ситуації у тому, що потреба в захисті відомостей про
громадян об’єктивно існує, але ця потреба суспільством серйозно не
сприймається.
Є три основні причини для руху в напрямі створення законодавчої бази по
захисту персональних даних, з яких виходять європейські та інші країни:
усунення несправедливості, що була допущена в минулому;
розвиток електронної торгівлі;
уніфікація національних законодавств згідно з нормами європейського
права.
Для України актуальність і об’єктивна необхідність захисту прав громадян
в інформаційній сфері визначається:
великою активністю в формуванні баз даних (соціального, фінансового,
маркетингового, медичного, екологічного, адміністративного,
правоохоронного та іншого характеру);
розвитком і розповсюдженням автоматизованих засобів і засобів збору,
обробки, зберігання і поширення інформації;
використанням інформаційних технологій кримінальними структурами, що
підривають зусилля щодо розвитку і зміцнення демократичної правової
держави.
Потреба призведення норм права вітчизняного законодавства до вимог
міжнародних стандартів є і в аспекті участі України в міжнародному
процесі обміну інформацією, в міжнародних проектах, що засновані на
використанні нових інформаційних технологій у різних секторах
економічної, соціальної і науково-технічної діяльності (наприклад,
Інтерпол, Партнерство заради миру, банківські технології та ін.).
Метою Закону “Про захист персональних даних” є усунення недоліків
нормативно-правового забезпечення в Україні по захисту персональних
даних і призведення його у відповідність до положень вказаних конвенцій
і директив, які віддзеркалюють європейське уявлення про права і свободи
людини у сфері захисту персональних даних.
Закон базується на 3 моментах:
пріоритеті інтересів та права власності людини на персональні дані;
врахуванні балансу прав особи, суспільства і держави;
умовах створення й розвитку інформаційно-комунікаційних процесів.
Захист осіб передбачається як для автоматизованої обробки персональних
даних, так і для систем ручної обробки, в яких відбувається
маніпулювання персональною інформацією, що реалізує індивідуальні
ресурси даних, мови і зображень.
Перший розділ Закону визначає сферу його чинності, вказує суб’єкти і
об’єкти захисту персональних даних, вводить загальні вимоги відносно дій
з персональними даними, застерігає джерела персональних даних.
Другий розділ вводить право власності на персональні дані та визначає
обсяг повноважень власника персональних даних.
У третьому розділі дається визначення права на використання персональних
даних іншими суб’єктами, підстави виникнення їх права на використання
стосовно збору, накопичення, зберігання і розповсюдження персональних
даних.
Четвертий розділ визначає режим доступу до персональних даних, права й
обов’язки суб’єктів по запиту, відстрочці, оскарженню та відмові в
задоволенні доступу, а також – додаткові права володільця персональних
даних.
У п’ятому розділі дано умови внесення змін і доповнень до персональних
даних.
Шостий розділ регулює питання організації захисту персональних даних, а
також визначає обмеження дій окремих статей.
Сьомий розділ визначає види відповідальності й умови відшкодування
матеріальних і моральних збитків, порядок оскарження протиправних дій.
Восьмий розділ встановлює принципи міжнародного співробітництва і
взаємодії України з іншими державами та підтримки громадян України, які
проживають за кордоном.
Набуття Законом чинності дозволяє:
створити умови для захисту персональних даних із урахуванням
європейського уявлення про права і свободи людини;
привести положення всіх галузевих нормативних актів у відповідність до
єдиних вимог базового закону;
підвищити рівень захисту персональних даних людини;
забезпечити дотримання балансу прав особи, суспільства і держави;
сприяти розвитку ринку інформаційних ресурсів, інформаційних продуктів
та інформаційних послуг;
забезпечити додаткові можливості в боротьбі з комп’ютерною злочинністю;
сприяти розвитку інформаційної безпеки країни.
Механізми захисту персональних даних. Законодавство України у сфері
захисту персональних даних на сьогодні не повною мірою відповідає
вимогам положень європейських стандартів – Конвенції Ради Європи “Про
захист осіб у зв’язку з автоматизованою обробкою персональних даних” №
108 та Директиви Європейського Союзу “Про захист осіб у зв’язку з
обробкою персональних даних і вільним обігом цих даних” 95/46/ЄС.
Проте чинні правові норми створюють передумови для існування системи
державного регулювання діяльності, пов’язаної із захистом персональних
даних, що знаходить підтвердження в Конституції України 1996 р., а також
у таких нормативно-правових актах: Законі України “Про інформацію” (1992
р.); Законі України “Про захист інформації в автоматизованих системах”
(1994 р.); Положенні про технічний захист інформації, затвердженому
Указом Президента України від 27 вересня 1999 р. № 1229/99 і т.ін.
На сьогодні вирішення проблем по захисту персональних даних базуються на
пріоритетах і цілях:
Стратегії економічної та соціальної політики на 2000–2004 рр. “Україна:
поступ у XXI століття”, що визначено у Посланні Президента України до
Верховної Ради України у 2000 р.; Програмі інтеграції України до
Європейського Союзу, затвердженої Указом Президента України від 14
вересня 2000 № 1072/2000; Посланні Президента України до Верховної Ради
України “Європейський вибір: концептуальні засади стратегії економічного
та соціального розвитку України на 2002–2011 роки”.
Планами державної виконавчої влади передбачається визначення проблем
захисту персональних даних у Концепції державної інформаційної політики
та у Програмі “Електронна Україна”. Вирішення проблеми упорядкування,
систематизації та розвитку правових норм інформаційної сфери на базі
європейських стандартів і перспектив розвитку нового
електронно-інформаційного середовища вимагає системного підходу та
кодифікації суспільних інформаційних відносин. Особливо це стосується
регуляції відносин, пов’язаних із обробкою даних, що містять відомості
обмеженого доступу, до яких відносяться персональні дані.
Нині проводиться робота з підготовки документів до підписання Україною
Конвенції Ради Європи № 108 “Про захист осіб у зв’язку з автоматизованою
обробкою персональних даних”. У липні 2002 року український текст
Конвенції та Додаткового протоколу до неї від 08.11.01 пройшли
аутентифікацію та були засвідчені МЗС України як офіційні переклади*.
Слід сподіватися, що законодавець почне працювати над законопроектом
України щодо захисту персональних даних.
З огляду на можливість розпочати роботу зі створення механізмів захисту
персональних даних правове поле законодавства сфери інформаційних
відносин, у принципі, надає право розробки і впровадження механізмів
цільового регулювання. У цьому правовому полі існують такі види
регулювання, як надання дозволу на здійснення діяльності в окремій
області, реєстрація ресурсів (баз даних), сертифікація засобів
технічного захисту і т.ін.
Виходячи із загальних вимог європейських стандартів і законодавчої
практики країн Європи, зокрема, ст. 13 Конвенції РЄ № 108, яка
зобов’язує держави-члени Конвенції створювати уповноважені органи
нагляду за захистом (обробкою) персональних даних, перелік основних
нормативно-правових документів, які першочергово необхідні для
функціонування системи механізмів захисту персональних даних в Україні,
включає документи стосовно:
функціонування спеціально Уповноваженого органу нагляду з питань захисту
персональних даних в Україні. До Положення про Уповноважений орган слід
розробити його структуру, здійснити розрахунок матеріально-технічного та
фінансового забезпечення; порядку надання дозволу на здійснення
діяльності у сфері захисту персональних даних. Зазначений порядок є
найважливішим привентивно-регулятивним засобом захисту від
несанкціонованого збору, обробки, реєстрації, нагромадження, збереження
та поширення персональних даних. Процес регулювання діяльності
передбачає визначення мети дій з персональними даними, оцінку стану
техніко-технологічної бази та заходів захисту персональних даних,
встановлення рівня правової та професійної підготовки претендентів на
право займатися діяльністю з надання послуг у сфері персональних даних і
т.ін.;
реєстрації баз персональних даних, систем автоматизованої обробки
персональних даних і систем обробки картотек персональних даних.
Порядок, який визначається цим документом, також є одним із головних
привентивно-регулятивних засобів захисту від несанкціонованого збору,
обробки, реєстрації, збереження і поширення персональних даних. Процес
регулювання діяльності передбачає визначення мети формування баз
персональних даних, оцінку стану техніко-технологічних можливостей по
захисту персональних даних і т.ін.;
сертифікації засобів технічного захисту персональних даних. Враховуючи
те, що кураторство питань технічного захисту інформації покладене на
спеціалізовану структуру державної влади (СБУ України), рішення щодо
створення проектів зазначених у цьому пункті документів повинно бути
прийнято окремо на рівні Кабінету Міністрів України.
Разом з тим, повноцінний захист персональних даних у різних організаціях
(фірмах) тощо, а також робота Уповноваженого органу неможлива без ряду
інших підзаконних нормативно-правових актів, покликаних деталізувати
окремі напрями захисту персональних даних.
Загальний аналіз та оцінка практики захисту персональних даних за
кордоном дозволяє визначити перелік основних документів для створення
механізмів забезпечення захисту персональних даних та діяльності
Уповноваженого органу нагляду в Україні. Це понад 20 документів, робота
зі створення яких чекає на свій час.
В.М. Брижко. Організаційно-правовий захист персональних даних. “Боротьба
з організованою злочинністю і корупцією (теорія і практика)” 6’2002
* Веб-сайт Держкомзв’зку та інформатизації України.
Нашли опечатку? Выделите и нажмите CTRL+Enter
