Сучасні темпи розвитку інформаційних відносин безпосередньо пов’язані зі збільшенням обсягів і напрямів використання персональної інформації в різних сферах суспільного життя. Не є винятком і економічні відносини, учасниками яких виступають господарюючі суб’єкти. Тому виникає об’єктивна необхідність належного правового регулювання відносин діяльності суб’єктів господарювання з використанням інформації, що містить персональні дані фізичних осіб.

В Україні дослідженню окремих питань обігу інформації, що містить персональні дані, приділили увагу такі вчені, як І. Арістова, О. Задорожний, В. Гавловський, Р. Калюжний, Е. Захаров, В. Наумов та ін. Зазначені проблеми також предметно були проаналізовані у дисертаційних дослідженнях А. Пазюка, В. Брижка, О. Дмитренко та А. Чернобай. Фрагментарно правовий бік персональних даних розглядався у працях таких вітчизняних та іноземних вчених, як І. Бачило, А. Венгеров, О. Гаврилов, В. Дозорцев, В. Копилов, М. Расолов, В. Шестаков, А. Степанов, А. Старченко, Ю. Тихомиров та ін.

Праці зазначених та інших авторів, безумовно, мають велике наукове і практичне значення та роблять вагомий внесок у процеси удосконалення нормативно-правової бази, яка регулює інформаційні відносини. Але при цьому, в переважній більшості праць, обіг інформації, що містить персональні дані, розглядається в контексті ефективної реалізації фізичною особою свого суб’єктивного права на захист персональної інформації. Разом із тим відсутність наукових досліджень з точки зору взаємних обов’язків інших суб’єктів щодо забезпечення належного рівня реалізації цього права зумовлює необхідність проведення такого аналізу і визначає актуальність та завдання цієї статті.

Сьогодні правовий інститут персональних даних у вітчизняному інформаційному законодавстві ще знаходиться на стадії становлення. Окремі положення, пов’язані з регулюванням обігу інформації, що містить персональні дані, закріплені в нормативно- правових актах, зокрема в Законі України «Про інформацію» [1], де визначаються загальні положення про інформацію, та спеціальному Законі України «Про захист персональних даних» [2] (далі — Закон), що був прийнятий відповідно до Конвенції Ради Європи «Про захист особистості у зв’язку з автоматичною обробкою персональних даних» № 108 [3, 34] (далі — Конвенція).

Головним завданням Закону є створення правової бази для державного регулювання суспільних відносин з метою дієвого захисту інформаційних прав у сфері персональних даних і встановлення прав та гарантій, обов’язків та відповідальності всіх суб’єктів, пов’язаних із захистом персональних даних. До таких суб’єктів Закон, перш за все, відносить суб’єктів господарювання: підприємства, установи й організації усіх форм власності. Вони можуть виступати як володільцем чи розпорядником бази персональних даних — будь-якої іменованої сукупності упорядкованих відомостей про фізичних осіб, які ідентифіковані або можуть бути конкретно ідентифіковані. При цьому розпорядник бази персональних даних, на відміну від володільця, має право тільки обробляти дані, що містяться в ній.

Норми цього Закону стосуються буквально будь-якого бізнесу, незалежно від масштабу або географічної належності, який працює з клієнтами або має найманих працівників та збирає й обробляє дані про них. Насамперед, це промислові підприємства, банки, страхові компанії, телекомунікаційні компанії, у тому числі оператори фіксованого і мобільного зв’язку, інтернет-провайдери, компанії, що займаються рекламною діяльністю, маркетингом, видавничою справою тощо. Представників цих господарюючих суб’єктів дуже турбує, що в Законі достатньо «прогалин» і спірних моментів, при цьому вже створений спеціальний орган — Державна служба України з питань захисту персональних даних (далі — Служба), яка стежитиме за виконанням вимог Закону, а окремим законопроектом визначені санкції для правопорушників.

Критика Закону передусім ґрунтується на формальності положень цього нормативного акта, загальності дефініції понять, а також на серйозних обмеженнях стосовно процесів збору, обробки та зберігання персональних даних.

Закон, зокрема, ввівши у правове поле поняття «персональні дані» (далі — ПД) зобов’язує усі компанії та організації реєструвати бази ПД у Державному реєстрі баз персональних даних (далі — Реєстр). При цьому персональні дані визначені в Законі в узагальненій формі як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Схожа дефініція міститься і в Конвенції. Отже, фактично це можуть бути будь-які конкретні відомості про фізичну особу, такі як: ім’я, вік, місце роботи, місце проживання, освіта тощо. Відповідне визначення ПД містить і Закон України «Про інформацію».

На відміну від українського законодавства, російський Закон «Про персональні дані» [4] надає більш змістовну характеристику ПД: персональні дані — будь-яка інформація, що належить до визначеної або визначуваної на підставі такої інформації фізичної особи, у тому числі її прізвище, ім’я, по батькові, рік, місяць, дата і місце народження, адреса, сімейний, соціальний, майновий стан, освіта, професія, доходи, інша інформація.

З викладеного можна дійти висновку, що визначення ПД у Законі, незважаючи на відповідність міжнародній практиці, не є вичерпним і не дає чітких критеріїв того, які саме дані про фізичну особу можна вважати персональними. Тому вважаємо за необхідне визначити мінімальну сукупність таких відомостей і внести такі зміни до ст. 2 Закону: «Персональні дані — відомості про фізичну особу, які у своїй сукупності дають можливість конкретно ідентифікувати таку особу. Мінімальною сукупністю відомостей, які становлять персональні дані, є: прізвище, повні ім’я та по батькові особи разом з датою народження та/або: домашньою чи робочою адресою; поштовою адресою; електронною адресою; місцем роботи; займаною посадою; номером телефону; реєстраційним номером облікової карти платника податків, номером картки соціального страхування чи іншого особистого документа; особистою фотокарткою».

Окрім понятійного апарату, нарікання підприємців викликають також норми Закону в частині створення єдиного державного реєстру баз ПД. Виникають незручності для бізнесу, оскільки це фактично змушує підприємців відкривати свої бази даних (у тому числі інформацію про клієнтів) державі. Дія Закону взагалі може змінити деякі принципи взаємодії з інформацією для українських компаній, що зобов’язані провести реєстрацію баз персональних даних у державному реєстрі та встановити спеціальні внутрішні механізми для роботи з такими базами даних. Тут виникає необхідність у доопрацюванні внутрішніх положень про комерційну таємницю і конфіденційну інформацію. На виконання усіх цих дій компаніям потрібно докласти чимало зусиль, у тому числі й фінансових.

До того ж якщо реєстрація баз даних проходитиме відповідно до діючого визначення ПД, кількість записів реєстру обчислюватиметься мільйонами, тому що більшість суб’єктів господарювання мають щонайменш дві таких бази: власних працівників і клієнтів. При цьому ведення такого реєстру, знов-таки, є витратним не лише для Державного бюджету, а й для підприємців, оскільки згідно зі ст. 26 Закону існує можливість покладення цих витрат на самих підприємців.

На нашу думку, компромісним варіантом має бути створення реєстру володільців баз ПД, тобто реєстру фізичних або юридичних осіб, яким законом або за згодою суб’єкта персональних даних надано право на їх обробку та які затверджують мету, встановлюють склад та процедури обробки інформації у базі ПД.

Наступною частиною Закону, що викликає непорозуміння суб’єктів господарювання, є сукупність норм, які встановлюють порядок обробки, в тому числі використання та видалення ПД.

За Законом для обробки ПД потрібно отримання згоди суб’єкта цих даних. І, начебто, все логічно, але обробку ПД законодавець визначає як будь-яку дію або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках ПД, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням

і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. Іншими словами, під обробку ПД підпадає практично будь-яка дія, що здійснюється з такими даними. Для посилення вимоги про необхідність отримання дозволу у суб’єкта ПД на їх обробку законодавець чітко прописав заборону на обробку таких даних без згоди особи. Тобто тепер суб’єктам господарювання необхідно отримувати письмову згоду всіх співробітників і клієнтів на використання їх особистих даних. Відсутність таких документів може призвести до застосування санкцій.

Незахищеними також суб’єкти господарювання виступають у відносинах із суб’єктами ПД через реалізацію наданого останнім права вимагати видалення своїх даних з формальних причин (помилка в даних, недостовірність). Цією нормою можуть зловживати громадяни з метою уникнення відповідальності за нормативно-правовими договорами: наприклад, змінивши місце проживання чи номер телефону, звернутися з вимогою видалити свої дані, а в подальшому і відмовитися на цій підставі від виконання своїх зобов’язань.

Окрему увагу потрібно звернути на механізми державного контролю за дотриманням законодавства про захист ПД. Державне регулювання захисту ПД шляхом створення спеціального органу в структурі органів виконавчої влади суперечить європейським нормам. В європейських країнах захист ПД забезпечується незалежним органом, адміністративний, ринковий і політичний нейтралітет якого закріплені державою. В Україні виконання таких функцій покладено на Державну службу України з питань захисту персональних даних, що для суб’єктів господарювання фактично додає ще один державний перевіряючий орган, який уповноважений проводити перевірки на територіях компаній, що працюють з базами ПД або на територіях яких такі бази знаходяться.

Отже, підсумовуючи викладене, слід зазначити, що прийняття Закону стало черговим кроком України на шляху до європейської спільноти, де до проблем захисту даних ставляться з особливою увагою. Важливість закону в тому, що він вперше сфокусував увагу громадськості на проблемах захисту ПД і приватності в нашій країні. Натомість бізнес загалом зустрів новостворений Закон досить негативно. Звичайно, оцінити реальний результат його дії буде можливо після спливу певного періоду часу, однак, на нашу думку, визначені нами проблеми потребують законодавчого регулювання й узгодження вже сьогодні. Це дасть можливість суб’єктам господарювання уникнути як юридичних, так і економічних негативних наслідків у подальшому.

ВИКОРИСТАНІ МАТЕРІАЛИ

1. Про інформацію : Закон України від 2 жовтня 1992 р. № 2657-XII // Відомості Верховної Ради України. — 1992. — № 48. — Ст. 650.
2. Про захист персональних даних : Закон України від 1 червня 2010 р. № 2297-VI // Відомості Верховної Ради України. — 2010. — № 34. — Ст. 481.
3. Брижко В. М. Про приєднання України до Конвенції № 108 Ради Європи // Право України : Міністерство юстиції України. — 2003. — № 1. — С. 34—37.
4. О персональных данных : Федеральный закон от 27 июля 2006 р. № 152-ФЗ // Собрание законодательства Российской Федерации. — 2006. — № 31 (ч. 1). — Ст. 3451.
5. Конвенция о защите личности в связи с автоматической обработкой персональных данных. — СПб., 1996. — 28 с.
6. Баранов А. А., Брыжко В. М., Базанов Ю. К. Защита персональных данных. — К., 1998. — 128 с.
7. Чернобай А. М. Правові засоби захисту персональних даних працівника : автореф. дис. … канд. юрид. наук : спец. 12.00.05 / Одес. нац. юрид. акад. — О., 2006. — 21 с.