Закон України «Про захист персональних даних» потрібний, але не практичний, недієвий і дивний. В самому законі прописано безліч нюансів, використовуючи які державні установи можуть їх обійти. Самого ж громадянинина закон не дуже то і захищає, скоріш створює йому нові проблеми. Отже, як кажуть гуцули: «то тре мінєти».

Сьогодні із персональними даними громадян працює багато організацій. Інтернет-провайдери, оператори зв’язку, страхові компанії, банки, туристичні фірми, заклади охорони здоров’я, тощо. Всі вони зобов’язані захищати інтереси суб’єктів персональних даних, та не всі сприймають цей обов’язок серйозно…

Куди ми йдемо
Від 1 січня 2011 року вступив в дію Закон України «Про захист персональних даних» (№ 2297-17), який було прийнято Верховною Радою України 1 червня 2010 року. На виконання статті 9 цього Закону Кабінет Міністрів України затвердив Положення про державний реєстр персональних даних (Постанова № 616 від 25 травня 2011 р.), окремі пункти якого набрали чинності вже з 1 січня 2012 року.
Розробка відповідного комплексного законодавчого акту ведеться в Україні ще з дев’яностих років. Тому даний закон є надзвичайно довгоочікуваним, а його актуальність із кожним роком лише зростає.
Право на захист персональних даних виникає із права особи на повагу його приватного й сімейного життя, закріпленого в ст.8 Європейської конвенції про захист прав людини й основних воль 1950 року (ратифікована Україною в 1997 році). В 2001 році в Україні був розроблений законопроект, що ґрунтувався на концепції приватності персональних даних як особистого немайнового права. Однак, у законі, прийнятому Верховною Радою України в 2006 році, була втілена інша концепція персональних даних, що мала винятково майновий характер, тобто, передбачала право власності на персональні дані.
Президент України В.Ющенко наклав вето на цей закон. Завдяки цьому вето перемогла попередня концепція захисту персональних даних як особистого немайнового права кожної людини. У практиці ЄС спостерігається співіснування обох підходів, адже загальним для них є заборона обробки даних без згоди особи.
Прийняття Закону фактично є виконанням одного із зобов’язань України перед Європейським Союзом та Радою Європи. Отже, Європі є чим відзвітувати, а от що дає цей закон нам, українцям? Щоб розібратись у цьому питанні слід з’ясувати, а що ж таке «персональні дані»?

Що таке «персональні дані»
Відповідно до положень нового закону поняття “персональних даних” може стосуватися різноманітної ідентифікуючої інформації про особу. На практиці варто орієнтуватися на те, що у випадку об’єднання даних про особу з її ім’ям та прізвищем, вони будуть вважатися персональними даними. Наприклад, це дата й місце народження, освіта, національність, сімейне положення, віросповідання, стан здоров’я, адреса.
З визначенням, що надано в статті 2 Закону, до Бази Персональних Даних (БПД) належать навіть картотеки. Отже адресна книга у Вашій пошті або мобільному телефоні – це теж БПД, і вести її треба у відповідності із Законом. Відповідно до статті 2 Закону, кожний власник/розпорядник БПД повинен буде зареєструвати базу в Державному реєстрі баз ПД. Причому на відміну від російського законодавства (Закон РФ “Про персональні дані” від 27.07.2006), де реєструється тільки обробник БПД, українці повинні будуть реєструвати кожну базу. У статті 9 Закону зазначено, що реєстрація здійснюється за принципом заявки, шляхом повідомлення.
Це означає, що якщо ви складаєте список друзів, щоб не забути коли у кого день народження, то, обов’язково повинні будете повідомити про це державу заявою.
Заява повинне містити:
 звернення про внесення БПД до Державного реєстру;
 інформацію про власника; БПД;
 інформацію про назву й місцезнаходження БПД (цей пункт викликає багато питань, у зв’язку з тим, що база може вестися на якомусь сервері і про місцезнаходження бази найчастіше знає тільки дата-центр, але ніяк не власник або розпорядник. А якщо база є частиною Інтернет-сайту, то треба буде вказувати місце хостингу, що практично нездійсненно);
 інформацію про мету обробки персональних даних
 інформацію про інших розпорядників БПД;
 підтвердження зобов’язання про виконання вимог по захисту ПД
Це ж яку бюрократичну машину ми породжуємо? Якщо всі, хто складає для приватного використання якісь бази слухняно почнуть їх реєструвати, ми по кілька десятків разів на рік будемо реєструвати кожного громадянина України, плюс це будуть робити всі фірми та офіційні організації. Можна собі уявити, скільки співробітників має мати таке відомство і які там будуть черги!

Внесення змін до БПД
Кожного разу, як в бази зміниться розпорядник, мета обробки, місцерозташування або власник, необхідно буде сповіщати про це вповноважений державний орган. Відповідно до статті 23 Закону це буде орган виконавчої влади, на який будуть покладені дві суперечні одна одній функції: контролююча й дозвільна (стаття 9). Представники даного органа будуть мати право входити в будь-яке приміщення, де обробляються або перебувають БПД. Якщо ви обробляєте чи зберігаєте ці дані вдома, до вас теж зможуть прийти.
Також Закон передбачає, що підставою для використання й поширення персональних даних є згода суб’єкта персональних даних на таке використання. На сьогодні така вимога прописана в Законі України “Про інформацію” (Розділ 2, Стаття 21).
У Законі “Про захист персональних даних” наші законодавці пішли далі. У процесі роботи із БПД її власникові або розпорядникові необхідно буде 5 разів одержувати письмову згоду власника персональних даних про їхнє використання: при одержанні даних (стаття 11), при внесенні його даних у базу (стаття 12), при поширенні, передачі даних третім особам (стаття 14), при знищенні бази даних (стаття 15), при зміні цілей обробки БПД
Цікаво й те, що сповіщати власника ПД про внесення його даних у базу не треба, якщо ці дані взяті з відкритих джерел, при цьому, які джерела можна класифікувати як відкриті Закон не говорить (стаття 12).
Звичайно, для забезпечення захисту даних у кожному офісі повинен бути співробітник, на якого будуть покладені такі зобов’язання (стаття 24). У випадку недотримання норм Закону, порушник буде нести відповідальність, але яку – залишається тільки здогадуватися, у Законі це не прописано (стаття 28).

Чи потрібна згода?
Окремої уваги заслуговує стаття 1, де зазначено, що чинність Закону не поширюється на журналістів і творчих працівників при виконанні ними службових професійних обов’язків і творчої діяльності. До речі, в українському законодавстві вичерпного списку тих самих працівників не існує. Тому, які професії потрапляють до цієї неконтрольованої категорії – невідомо.
В той же час ст. 25 Закону № 2297-17 передбачає, що одержання згоди на використання й поширення персональних даних не потрібно у випадках, коли таке використання або поширення здійснюється в інтересах: національної безпеки, економічного добробуту й прав людини; захисту прав і свобод фізичних осіб, персональні дані яких обробляються, або прав інших суб’єктів відносин, пов’язаних з персональними даними, а також з метою боротьби зі злочинністю; забезпечення суб’єктів відносин, зв’язаних с персональними даними, зведеною знеособленою інформацією щодо персональних даних згідно законодавства.
Отже державні служби отримують практично безмежні права щодо збору інформації стосовно нас – громадян.
Із цього приводу необхідно звернути увагу на положення ч. 2 ст. 32 Конституції України, відповідно до якого, не допускається збирання, зберігання, використання та
поширення конфіденційної інформації про особу без її згоди, крім
випадків, визначених законом, і лише в інтересах національної
безпеки, економічного добробуту та прав людини.
При зазначених обставинах можна говорити про певні обмеження конституційних прав особи в частині реалізації особою свого права на недоторканність його особистого життя.
Таким чином, діюча редакція Закону № 2297-17 у цілому має потребу в доробці, оскільки окремі норми закону не відповідають Конституції України.

Корисні поради
За традицією, розглянувши всі «за» та «проти» цього закону, я спробую дати його редакторам кілька корисних порад, якими вони, теж за традицією, не скористаються.
І тим не менше…
Задля суспільного блага людину не обтяжено роботою у державних установах не слід обмежувати під час створення будь яких баз інформаційних даних, за умови, якщо вона не збирається оприлюднювати їх, без згоди осіб, які у ній фігурують. Збираємо собі – на здоров’я. Це наше з вами конституційне право. Ми ж можемо користуватись телефонним довідником? А там безліч даних. Абсурдно заставляти реєструвати цей довідник і вимагати дозвіл на його використання в кожного, хто у нього занесений.
Натомість державні установи обов’язково повинні повідомляти нас, коли збирають дані більш глибокі ніж адреса, та дані зазначені у паспорті. Думаю, кожен хотів би знати, навіщо держава так пильно цікавиться ним. Винятком повинні бути випадки коли правоохоронні органи проводять слідство, аналізуючи оперативні дані. Але і тут повинні бути певні обмеження. Якщо громадянин потрапляє у розробку правоохоронців, то вони мають право збирати дані про нього протягом року. Якщо за цей час підтвердиться, що піддослідний замішаний у протиправних діях, правоохоронці повинні висунути йому обвинувачення, провести повноцінне слідство за встановленою законом процедурою, та передати справу до суду. Якщо ж підозри були хибні, силовики мають повідомити такого громадянина про те, що ним цікавились і представити йому всю зібрану інформацію. Далі, вже сам громадянин повинен вирішувати, що з нею робити. Якщо він буде вимагати знищити всі дані, це повинно бути зроблено негайно.
Цей пункт закону має стосуватись і фірм, які займаються приватною розшуковою та охоронною діяльністю.
Звичайно, такий пункт закону можна обійти. Наприклад, міліціонер збирає дані як приватна особа, а не як працівник внутрішніх органів. Має на це право, але, робимо маленьке уточнення і ніяких пересмикувань не буде – дані, які правоохоронець збирав приватно не можуть бути використані у суді.
От і весь закон. Всі права захищені, і немає потреби створювати кілька бюрократичних відомств, які будуть займатись беззмістовною паперовою роботою. Все просто. Шкода, що мене знову ніхто не послухає.

Юрист Утопіст