День захисту персональних даних – це не той день, який

викликає такий резонанс, як урочисті або державні свята.

Однак його мета – підвищення обізнаності про конфіденційність

даних серед споживачів, законодавців та компаній, що має

хвилювати кожного дня.

Russell Parsons

Щороку фокус до захисту персональних даних прикутий відзначенням міжнародною спільнотою Дня захисту персональних даних. Відзначення було запроваджене Комітетом Міністрів Ради Європи у 2006 році з нагоди відкриття для підписання 28 січня 1981 року Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенції 108) та має на меті проінформувати громадськість про проблеми захисту даних, а також права та способи їх реалізації.

Ми живемо в еру цифрових технологій, коли персональні дані про особу збираються усіма і скрізь. Наш комп’ютер, смартфон і майже кожен інший гаджет, підключений до Інтернету, збирає дані, включаючи навіть смарт-годинник або автомобіль. В обмін на отримання певної послуги щоразу передається частинка певної інформації про себе: заповнюючи анкети на знижки в супермаркетах, реєструючись в медичних закладах, спорт-клубах тощо.

Життя без передачі своїх персональних даних неможливе. Питання не в тому, щоб не ділитися інформацією про себе, оскільки уявити це практично нереально, а розуміти, яка інформація про вас збирається, бути впевненим, що вона використовується за цільовим призначенням та убезпечена від несанкціонованих витоків та неправомірного поширення.

Як міжнародна спільнота регулює персональні дані?

У контексті міжнародного нормативно-правового регулювання захисту персональних даних варто відмітити, що дане право пройшло досить тривалий трансформаційний шлях свого розвитку. Вперше нормативне закріплення захисту персональних даних відбулося в тих положеннях міжнародних договорів з прав людини, які гарантували право на приватність. Зокрема, йдеться мова про Загальну декларацію прав людини 1948 року, Міжнародний пакт про громадянські і політичні права 1966 року.

На регіональному рівні в рамках Ради Європи базовим документом, який захищає право на захист персональних даних, безумовно, є Конвенція про захист прав людини та основоположних свобод. З аналізу тексту документу можемо відмітити, що окремо дане право не згадується, оскільки воно захищається в межах права на приватність, гарантованого статтею 8 Конвенції.

Наприклад, в одному зі своїх рішень у справі «Amann v. Switzerland» Суд, у контексті дослідження питання обробки інформації про особу, надав визначення того, що він має на увазі під «приватним життям», вказавши, що останнє охоплює також право встановлювати та розвивати відносини з іншими людьми, що своєю чергою, охоплює професійну діяльність та соціальне життя людини. Тому і вся інформація, яка стосується вказаних сфер життя людини, така, що охоплюється гарантованим статтею 8 Конвенції правом на повагу до приватного життя. Отже, Суд з часом зближує поняття інформації про приватне життя особи з поняттям персональних даних.

Під егідою Ради Європи 28 січня 1981 року прийнято Конвенцію № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних», в якій вперше викладено ключові принципи обробки персональних даних, права особи у зв’язку з обробкою її персональних даних, санкції та засоби правового захисту, транскордонні потоки даних, а також положення про Консультативний комітет, до повноважень якого відноситься внесення пропозицій для сприяння застосування або поліпшення застосування Конвенції, підготовка висновків з будь-яких питань, що стосуються Конвенції тощо. 8 листопада 2001 року ухвалено Додатковий протокол до цього міжнародного договору, який деталізував положення Конвенції № 108. Новий текст Конвенції (108+) було затверджено у 2018 році з урахуванням розвитку інформаційно-комунікаційних технологій та більш жорстких правил Загального регламенту про захист даних (GDPR).

На рівні Європейського Союзу діють правила обробки персональних даних, встановлені Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (Загальний регламент про захист даних) або GDPR (General Data Protection Regulation). Дія GDPR не лімітована рамками Євросоюзу, а поширюється на всі компанії, які обробляють персональні дані резидентів ЄС, незалежно від місця знаходження такої компанії. Цей регламент є безпрецедентний у світі, оскільки встановлює посилені вимоги щодо захисту персональних даних та сувору відповідальність за порушення цього регламенту.

Як регулюються персональні дані в Україні?

В Україні захист персональних даних здійснюється:

1. Конституцією України (https://cutt.ly/d9Wya2K). Стаття 32 Конституції України надає право людині на невтручання в її особисте життя. Не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

2. Міжнародними договорами України, згода на обов’язковість яких надана Верховною Радою України. Йдеться, зокрема, про Конвенцію 108 від 28 січня 1981 року, Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних від 8 листопада 2001 року (ратифіковані Україною 06 липня 2010 року).

На практиці українські компанії також у своїй діяльності мають керуватися GDPR у випадку, якщо:

• Відбувається робота з персональними даними громадян ЄС;

• Реєстрація на території ЄС компанії, що є контролером, процесором або отримувачем даних;

• Відстежується поведінка суб’єктів даних в межах ЄС.

3. Профільним Законом «Про захист персональних даних» № 2297-VI від 1 червня 2010 року (https://cutt.ly/w9Wyrkh). Регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

4. Типовим порядком обробки персональних даних, затвердженим Наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 року № 1/02-14 (https://cutt.ly/m9Wyzdl). Визначає загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

5. Порядком здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженим Наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 року № 1/02-14 (https://cutt.ly/m9Wyzdl). Встановлює процедуру здійснення Уповноваженим контролю за додержанням вимог законодавства про захист персональних даних шляхом проведення перевірок фізичних осіб, фізичних осіб-підприємців, підприємств, установ і організацій усіх форм власності, органів державної влади та місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних, а також оформлення і розгляд результатів перевірок.

Висновок

Значення персональних даних та їх захисту в умовах сьогодення важко переоцінити, а тому підвищення обізнаності про конфіденційність даних має бути на порядку денному.

Використані джерела:

1. «Захист персональних даних в Європі та Україні: адвокат Ганна Урусова». https://cutt.ly/f9mSPi2

2. Маркіян Бем, Іван Городиський «Захист персональних даних: правове регулювання та практичні аспекти: науково-практичний посібник» (2021). https://cutt.ly/O9mS3t6

3. Міжнародний день захисту персональних даних: чи відповідає міжнародним стандартам захист персональних даних в Україні? https://cutt.ly/Z9mDowB

4. Сергій Барбашин «Що таке GDPR та як його дотримуватись українським компанія?». https://cutt.ly/g9Wi5Se

5. 28 January 2023: 17th Data Protection Day. https://cutt.ly/g9mAQDY

6. Every day should be data protection day. https://cutt.ly/b9mShtJ