Нужна ли Украине защита персональных данных?
У найближчому майбутньому перед Україною постане питання ратифікації протоколу, яким було внесено зміни до Конвенції про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних, а також взяття на себе відповідальності за виконання її положень.
Нагадаємо, у травні 2018 року Рада Європи прийняла рішення про модернізацію положень Конвенції про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних, стороною якої є Україна.
Оновлені положення актуалізували гарантії Конвенції, врахували всі виклики, які наразі існують в сфері захисту персональних даних.
Найцікавішими є два блоки: щодо прав суб'єкта персональних даних та щодо повноважень наглядового органу, який має бути створено державою в цій сфері.
Відповідно до Конвенції суб'єкт персональних даних має право:
- не бути суб'єктом рішення, що має значний вплив на нього або неї, прийнятого виключно на основі автоматизованої обробки даних, без врахування його або її думки;
- на вимогу отримувати через розумні інтервали часу та без надмірної затримки або витрат підтвердження обробки персональних даних, що стосуються його або неї; отримувати в доступній для розуміння формі дані, що обробляються, всю наявну інформацію про їхнє походження, період зберігання, а також будь-яку іншу інформацію, надання якої вимагається від контролера для забезпечення прозорості обробки відповідно до пункту 1 Статті 8;
- на вимогу отримувати обґрунтування, що є підґрунтям обробки даних, якщо результати такої обробки застосовуються до нього або до неї;
- у будь-який час заперечувати на підставах, що стосуються його або її ситуації, проти обробки персональних даних, що стосуються його або її, крім випадків, коли контролер демонструє легітимні підстави для обробки, які переважають його або її інтереси або права і основоположні свободи;
- на вимогу, безоплатно і без надмірної затримки, отримувати виправлення або знищення таких даних у відповідних випадках, якщо вони обробляються або оброблялися всупереч положень цієї Конвенції;
- мати засоби захисту, передбачені у статті 12, якщо його або її права за цією Конвенцією були порушені;
- мати користь незалежно від його або її громадянства або місця проживання від допомоги наглядового органу у розумінні Статті 15 при реалізації його або її прав за цією Конвенцією.
Звертаю особливу увагу на останній пункт. Кожна особа має право мати користь від допомоги наглядового органу. І це не поганий переклад. Так, саме користь.
Наглядовий орган має надавати особі корисну для неї допомогу в захисті її персональних даних, тобто таку, що має певний ефект для особи. Англійською це виглядає так: "have a right to benefit, whatever his or her nationality or residence, from the assistance of a supervisory authority".
Кожна держава-сторона Конвенції має створити один або декілька органів влади, які є відповідальними за забезпечення дотримання положень цієї Конвенції (стаття 15 Конвенції). Конвенція чітко передбачає перелік повноважень, який повинен мати такий орган.
Відтак, орган має:
- мати повноваження проводити розслідування та здійснювати втручання;
- виконувати функції, пов'язані з транскордонною передачею даних, передбаченою Статтею 14, зокрема, погодження стандартизованих гарантій;
- мати повноваження приймати рішення стосовно порушень положень цієї Конвенції і, зокрема, можливість накладати адміністративні санкції;
- бути повноважними брати участь у судовому проваджені або доводити факти порушень положень цієї Конвенції до відома компетентних судових органів.
- Крім того, будь-які законодавчі або адміністративні заходи, які передбачають обробку персональних даних, повинні узгоджуватись з цим органом.
Це означає, що будь-який нормативно-правовий акт має проходити експертизу на предмет дотримання гарантій захисту персональних даних у цьому органі.
- Кожен компетентний наглядовий орган розглядає запити та скарги, подані суб'єктами даних щодо їхнього права на захист даних, і інформує суб'єктів даних про стан їх розгляду.
Це означає, що такий орган має бути квазі судовим органом, який здатний не тільки прочитати скаргу та, зітхаючи, порадити особі звернутись до суду, а прийняти рішення про порушення, у разі його наявності, і мати повноваження поновити порушене право особи.
- В ході виконання своїх обов'язків та здійснення своїх повноважень наглядові органи діють з повною незалежністю та безсторонністю і тому не повинні ні просити, ні приймати жодних вказівок.
Це означає, що держава не може створити наглядовий орган такий, як ЦОВВ або будь-який інший орган, який належить до однієї з гілок влади. Він має бути спеціальним органом зі своїм конституційним статусом. Тільки в такому разі незалежність органу може бути забезпечена.
- Кожна сторона забезпечує наглядові органи ресурсами, необхідними для ефективного виконання ними своїх функцій та здійснення їхніх повноважень.
Можемо уявити, яким має бути ресурс органу, який має швидко розглядати скарги осіб на порушення їхніх прав, здійснювати розслідування за скаргами в будь-якій точці України, здійснювати ефективну роз'яснювальну і освітню програму для всіх і кожного і до того ж ще й здійснювати обов'язкову експертизу всіх нормативних актів, які стосуються обробки персональних даних. За ресурсом це має бути середньої величини міністерство з своїми регіональними представництвами на місцях.
- Рішення наглядових органів можуть підлягати судовому оскарженню.
Це одне із найцікавіших нових положень. Звичайно, якщо орган уповноважений накладати штрафи за порушення прав, які підлягають обов'язковому стягненню, у порушника має бути право оскаржити позицію органу до суду… інакше держава порушить його право на ефективний засіб захисту щонайменше щодо майнового права.
Чи готова до таких змін Україна?
Наразі функції контролю за дотриманням права на захист персональних даних покладено на уповноваженого Верховної Ради з прав людини. Наскільки я пам'ятаю, у відповідному департаменті працюють не більше 20 працівників…
З 2015 року офіс уповноваженого всюди кричав про необхідність створення нового органу на конституційному рівні, тоді всі знизували плечима і, м'яко кажучи, натякали на неадекватність цієї ідеї.
Ні, уповноважений не може накладати штрафи на порушників. Гібридизація уповноваженого з прав людини і органу влади з такими повноваженнями призведе до:
– втрати для суспільства самого уповноваженого (оскарження рішень уповноваженого з прав людини рано чи пізно призведе до появи судової практики, якою суди будуть визнавати порушення уповноваженим прав інших осіб, що в свою чергу матиме результатом втрату довіри суспільства до цього органу)
– не створення належного наглядового органу (уповноважений з прав людини ресурсно просто не зможе забезпечити нормальне виконання всіх функцій такого органу).
І от у 2019 році Україна має ратифікувати протокол про внесення змін. Не може не ратифікувати після заявленого курсу та всіх процесів євроінтеграції.
До ратифікації Україна має продемонструвати не намір виконувати положення Конвенції, а вже вжиті заходи, які уможливлюють її виконання, тобто:
1) законодавство, приведене у відповідність до положень Конвенції;
2) наглядовий орган зі всіма повноваженнями і гарантіями.
Завдяки Раді Європи ідея створення нового контролюючого органу в сфері захисту персональних даних не тільки перестане бути неадекватною, але й буде реалізована на практиці.
Ірина Кушнір, спеціально для УП