Тема аналізу та визначення правових аспектів організації захисту персональних даних у сфері правоохоронної діяльності, на наш погляд, є вельми актуальною з огляду на складність та суттєву специфіку даного питання.  Як відомо, 1 червня 2010 року Верховна Рада прийняла Закон «Про захист персональних даних» №2297-VI (далі – Закон), який створив належні правові засади забезпечення захисту персональних даних в Україні та привів законодавство країни у відповідність до міжнародних стандартів, зокрема, Конвенції Ради Європи №108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих 6 липня 2010 року Законом України №2438-VI (далі – Конвенція №108 та Додатковий протокол до неї).

Олексій МЕРВІНСЬКИЙ,
голова Державної служби України
з питань захисту персональних даних

Статтею 1 Закону визначається сфера його дії: регулювання відносин, пов’язаних із захистом персональних даних під час їх обробки. Разом із тим зазначається, що його дія не поширюється на діяльність зі створення баз персональних даних та їх обробки у цих базах: фізичною особою – виключно для непрофесійних особистих чи побутових потреб; журналістом – у зв’язку з виконанням ним службових чи професійних обов’язків; професійним творчим працівником – для здійснення творчої діяльності. Жодних застережень (обмежень) щодо поширення сфери дії Закону на діяльність правоохоронних органів зі створення баз персональних даних та обробки персональних даних він не містить.

 Міжнародні стандарти у сфері захисту персональних даних відносять більшість персональних даних, що обробляються правоохоронними органами, з огляду на специфіку їх діяльності, до категорії так званих чутливих персональних даних, зокрема, про расове або етнічне походження людини, політичні, релігійні та світоглядні переконання, членство в політичних партіях або професійних спілках тощо. Цим, зокрема, й пояснюється важливість застосування особливих та додаткових правових гарантій захисту персональних даних під час їх обробки правоохоронними органами, адже чим більша чутливість та особливість персональних даних, тим збільшується ризик порушення прав осіб на їх приватне життя.

Відповідно до статті 6 Конвенції №108 персональні дані, що свідчать про расову приналежність, політичні, релігійні чи інші переконання, а також дані, що стосуються здоров’я або статевого життя, не можуть піддаватись автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій. Це правило також застосовується до персональних даних, що стосуються засудження в кримінальному порядку. Проте статтею 9 цієї ж Конвенції дозволяється витянки зі статті 6 тоді, коли «таке відхилення передбачене законодавством сторони та є в демократичному суспільстві необхідним заходом, спрямованим на захист державної та громадської безпеки, фінансових інтересів держави або на боротьбу з кримінальними правопорушеннями».

Особливості обробки так званих чутливих персональних даних визначені і статтею 7 Закону. Виходячи з аналізу її положень, можна зробити висновок, що обробка таких персональних можлива, якщо вона «стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом». Детальне є роз’яснення положень статті 9 Конвенції №108 міститься в Рекомендації Комітету Міністрів РЄ № (87) 15 «Про захист персональних даних у секторі поліції» (1987 р.). Рекомендацією визначаються 8 базових принципів захисту персональних даних у секторі поліції, що поширюються на збір, зберігання, використання та передачу персональних даних для поліцейських цілей, які є предметом автоматичної обробки.

Згідно з Рекомендацією термін «персональні дані» охоплює будь-яку інформацію, що стосується ідентифікованої особи. Саме цей термін «для поліцейських цілей» охоплює всі завдання, які поліцейські повинні виконати для попередження і припинення кримінальних злочинів та підтримки громадського порядку.

Держава-член Ради Європи, яка ратифікувала Конвенцію №108, може застосовувати принципи, що містяться в цій Рекомендації до персональних даних, які не піддаються автоматизованій обробці. Ручна їх обробка не дозволяється, якщо це робиться для уникнення положень цієї Рекомендації.

Перший принцип і стосується контролю за обробкою персональних даних і передбачає існування незалежного наглядового органу за межами сектора поліції, який повинен нести відповідальність за забезпечення дотримання умов, викладених у цьому документі. На нього ж покладена функція реєстрації файлів (баз) персональних даних, що оброблятимуться для поліцейських цілей. Крім цього, не повинно існувати таємних баз даних невідомих громадськості.

Другий принцип визначає особливі аспекти збору персональних даних. Він має бути обмежений до міри, необхідної для запобігання реальній загрозі або припиненню конкретного кримінального злочину. Будь-який виняток з цього положення повинен врегулювуватися конкретним національним законодавством. Як тільки об’єкт діяльності поліції більше не зможе завдати шкоди, фізичну особу необхідно поінформувати (в разі збирання й зберігання даних про цю особу без її згоди) про місце зберігання інформація про неї або видалення (знищення) цих даних. Збір персональних даних про осіб, виключно на тій підставі, що вони мають  іншу расову приналежність, релігійні переконання, сексуальну поведінку, політичні переконання або належать до конкретних легальних рухів чи організацій, має бути заборонено. Робитися це може лише в разі нагальної потреби для цілей персональних запитів правоохоронних органів.

Третій принцип стосується зберігання персональних даних. У міру можливого зберігання цієї інформації має бути обмежене точністю даних й відноситись лише до даних, необхідних органам поліції для виконання своїх законних завдань у рамках національного законодавства і своїх зобов’язань, що випливають з міжнародного права. Різні категорії персональних даних, що зберігаються, повинні розрізнятись, відповідно, за їх ступенем точності і надійності, зокрема, дані, засновані на фактах, слід відрізняти від даних на основі думки або особистої оцінки. Згідно з четвертим принципом персональні дані, які збираються і зберігаються поліцією для службових цілей, повинні використовуватися виключно з цією метою. Важливим є п’ятий принцип, що визначає особливості передачі персональних даних. Передача даних між поліцейськими органами, які використовуватимуться для службових цілей, допустима, якщо для цього існують законні підстави і це не виходить за рамки правових повноважень вказаних органів. Щодо державних органів, приватних осіб, іноземних суб’єктів, правовою підставою для передачі таких даних є наявність дво- або багатосторонніх домовленостей між державами.

Наступний принцип регламентує право суб’єкта персональних даних на ознайомлення і виправлення помилкових даних. У цьому випадку наглядовий орган повинен вжити всіх заходів, аби упевнитися в тому, що громадськість було поінформовано про існування файлів, які є предметом подання відповідного повідомлення, а також про свої права щодо цих файлів. Реалізація даного принципу повинна враховувати специфіку спеціальних файлів: необхідність запобігти нанесенню серйозної шкоди продуктивності вирішення завдань, що належать до компетенції органів поліції. Права на доступ, виправлення й знищення персональних даних повинні бути обмежені лише тою мірою, в якій це є необхідно для виконання безпосередніх завдань поліції, або якщо це потрібно для захисту суб’єкта даних чи прав і свобод інших осіб. При тому ідеться про забезпечення балансу між таємним характером обробки персональних даних з метою боротьби зі злочинністю та принципом доступу до цих даних.

Сьомий принцип стосується тривалості зберігання персональних даних. Відповідно до нього персональні дані, що збирались з визначеною метою, після її досягнення повинні знищуватися. В останньому восьмому, принципі ідеться про забезпечення захисту персональних даних від незаконної обробки та незаконного доступу до них. Відповідальний орган повинен вжити всіх необхідних заходів для забезпечення відповідної фізичної та логічної безпеки даних, запобігання несанкціонованого доступу до них, їх передачі або зміни.

Підсумовуючи вищезазначене, варто зауважити, що згадані принципи в цілому належним чином імплементовані в національне законодавство України. Проте існує низка проблемних питань, що потребують свого вирішення. Мова, зокрема, про забезпечення реєстрації усіх баз персональних даних правоохоронних органів у Державному реєстрі баз персональних даних (не повинно існувати таємних баз персональних даних); створення механізмів нагляду (контролю) з боку уповноваженого органу з питань захисту персональних даних (Державної служби України з питань захисту персональних даних) за дотриманням правоохоронними органами встановлених законом вимог щодо обробки персональних даних; запровадження механізмів контролю з боку громадськості за обробкою персональних даних через уповноважений орган з питань захисту персональних даних.

Важливим також залишається приведення законодавства, яке регламентує діяльність правоохоронних органів України, у відповідність до Закону «Про захист персональних даних». Відповідно до статті 2 Закону володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних і яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Також відповідно до статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних.

Отже, законодавство, що регламентує діяльність правоохоронних органів, обов’язково повинно враховувати: чітку мету обробки персональних даних у базі персональних даних (наприклад, з метою забезпечення особистої безпеки громадян,  захисту  їх  прав  і свобод, законних інтересів тощо); склад персональних даних (наприклад, прізвище, ім’я, по батькові (інші імена, псевдоніми, прізвиська), дата і місце народження, національність, стать, обставини здійснення або підготовки до вчинення злочинів, засоби здійснення злочинів, підозрюване членство у злочинній групі тощо); процедури обробки персональних даних у базах персональних даних з урахуванням специфіки обробки персональних даних у сфері правоохоронної діяльності.

Теги: