Персональні дані — відомості чи сукупність відомостей за допомогою яких фізична особа може бути ідентифікована.
Обробка персональних даних — це будь-яка дія від збирання до знищення персональних даних. Тобто і реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення (розповсюдження, реалізація, передача), знеособлення тощо (стаття 2 Закону України «Про захист персональних даних».
І ще два важливих моменти для громадян: отримати ваші персональні дані (домашню адресу, національність, релігійну приналежність, стан здоров’я тощо) можна тільки з вашої згоди. Натомість ім’я та прізвище, ваші телефон та емейл у вас мають право при потребі запитувати.
Той, хто розуміється на темі, бодай хоч раз стикався, із цією проблемою. Ба більше, з часу запровадження в Україні правового режиму воєнного стану, в медіа з’являлись повідомлення про певні випадки незаконного збирання персональних даних не лише з метою шахрайства, а й для стеження за волонтерами чи публічними службовцями. Тож не дивно, що експерт спільного проєкту ЄС та Ради Європи «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини» Андрій Ніколаєв вважає, що хоча Закон України “Про захист персональних даних” містить практично всі ключові вимоги до обробки та захисту персональних даних, визначені Конвенцією 108 та GDPR, сам захист персональних даних в Україні далекий від європейських стандартів. Тим паче сьогодні, коли необхідність захисту прав суб’єктів персональних даних в умовах дії правового режиму воєнного стану вкрай висока. Бо навіть в умовах бойових дій право на життя, право на повагу до гідності, право на свободу та особисту недоторканність, визначені в Конституції України, мають бути дотримані. Україна, яка поступово інтегрується до Європейського Союзу, має відповідне законодавство, спрямоване на створення якісної системи правового захисту персональних даних, відповідно до стандартів ЄС.
«Серед найбільших проблем захисту персональних даних в Україні можна виділити такі: недосконалість законодавства, складнощі правозастосування, відсутність належного контролю за застосуванням законодавства, низький рівень обізнаності населення про право на захист персональних даних», – зазначає Андрій Ніколаєв.
Проблеми законодавства:
• норми вітчизняного закону здебільшого містять загальні вимоги, більшості норм не вистачає деталізації, що значно ускладнює їх практичне застосування;
• Закон України “Про захист персональних даних” прийнятий у 2010 році. Він не був новаторським. Технології обробки даних розвиваються дуже швидко і на сьогодні цей закон вже значно застарів та не відповідає багатьом практичним реаліям обробки персональних даних;
• низька якість підзаконних нормативно-правових актів. Наприклад, Типовий порядок обробки персональних даних, який міг би допомогти вирішити деякі проблеми правозастосування, є мало інформативним та з моменту його прийняття в 2014 році не оновлювався.
Проблема правозастосування: Недосконалість законодавства призводить до складнощів у його застосуванні на практиці. Низку питань обробки персональних даних врегульовано лише у загальних рисах, а деякі питання випали з регулювання взагалі, наприклад, питання профілювання. Крім того, недосконалість мови закону призводить до нерозуміння його норм та різних тлумачень, наприклад, правових підстав обробки.
Проблема контролю: Належне виконання вимог закону можливе за умови забезпечення ефективного контролю за його застосуванням. Нині контроль за дотриманням законодавства про захист персональних даних покладений на Омбудсмана України. Проте, в Омбудсмана не вистачає людських ресурсів задля ефективного виконання цієї функції.
Проблема обізнаності: Рівень обізнаності про право на приватність та захист персональних даних в українському суспільстві дуже низький, як серед – громадян (суб’єктів персональних даних), так і серед співробітників приватних та державних компаній й органів, які безпосередньо причетні до обробки персональних даних.
Що треба зробити для вдосконалення захисту персональних даних
Олександр Шевчук, експерт спільного проєкту «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини», зазначає що задля вдосконалення захисту персональних даних в Україні необхідно:
• створити ефективний наглядовий орган із захисту персональних даних в Україні: незалежний наглядовий орган, відповідальний за розроблення методичних рекомендацій, моніторинг і контроль за додержанням законодавства в сфері захисту персональних даних;
• привести термінологію Закону України «Про захист персональних даних» у відповідність до законодавства ЄС (Регламенту 2016/679);
• деталізувати зміст принципів захисту персональних даних;
• ввести та удосконалити ряд прав суб’єктів щодо їх персональних даних, зокрема право бути забутим та право на мобільність даних;
• детально та чітко прописати повноваження, обов’язки, відповідальність розпорядника і володільця даних;
• запровадити вимогу для компаній у певних випадках призначати співробітника з питань захисту персональних даних;
• розробити та удосконалити кодекси поведінки з питань захисту персональних даних у відповідних сферах;
• удосконалити процедуру повідомлення про витік даних.
Довідково: Конвенція 108, яку було прийняти 40 років тому, стала першим міжнародним інструментом, який гарантує права фізичної особи на обробку її персональних даних. Всі сучасні національні або наднаціональні правила захисту персональних даних сформувалися на основі Конвенції 108. Україна ратифікувала Конвенцію 108 у 2010 році.
Проте у травні 2018 року Рада Європи прийняла Протокол CETS № 223, яким було внесено зміни до Конвенції 108. Модернізована Конвенція 108+ спрямована на вирішення проблем недоторканності приватного життя, що виникають у зв’язку з використанням нових інформаційно-комунікаційних технологій, і на зміцнення механізму виконання положень.
«Новий текст Конвенції (108+) було затверджено у 2018 році з урахуванням розвитку інформаційно-комунікаційних технологій та більш жорстких правил Загального регламенту про захист даних (GDPR). Зокрема використовується нова термінологія, Конвенція 108+ розповсюджується як на автоматизовану, так і на неавтоматизовану обробку, однак не розповсюджується на обробку фізичними особами для власних потреб. У Конвенцію 108+ інтегровано такі принципи, як: прозорість, пропорційність, підзвітність, мінімізація даних та конфіденційність за дизайном (privacy by design). Встановлено додаткові обов’язки держав-учасниць вживати необхідних заходів для дотримання вимог Конвенції 108+», – пояснює Борис Кормич, експерт спільного проєкту ЄС та Ради Європи «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини».
Таким чином перед Україною постало питання ратифікації Протоколу, яким було внесено зміни до Конвенції 108. Це дозволить покращити ситуацію з дотриманням прав людини у сфері захисту персональних даних.