Зауваження та пропозиції до проекту Закону України No. 2618. від 01.10.2003 р. Про захист персональних даних
Проект Закону України «Про захист персональних даних» було зареєстровано у Верховній Раді України 1 жовтня 2003 р. під No. 2618.
Загальні зауваження:
В основі цього законопроекту лежить концепція права власності особи на персональні дані. Навряд чи можна охопити відносини щодо персональних даних лише правом власності. Право на персональні дані слід віднести до немайнових, так само як і інші, передбачені в Книзі другій Цивільного кодексу (від 16 січня 2003 р.). Це витікає зокрема, з права на особисте життя (приватність), передбачене статтею 32 Конституції України і статтею 301 нового ЦК України. Конвенція Ради Європи про захист особи в зв’язку з автоматичною обробкою персональних даних (1981) стосується перш за все захисту права на недоторканність особистої сфери. Персональні дані не є майном, законна передача персональних даних у користування, як правило, не передбачає плати за них. Не належить право на персональні дані і до права на інтелектуальну власність. Більше того, виникнення права на персональні дані не відповідає жодній з підстав виникнення права власності на інформацію ч.3 ст. 38 Закону про інформацію. Разом з тим персональні дані як інформація безумовно підпадають під дію закону «Про захист інформації в автоматизованих системах». В свою чергу створення бази персональних даних призводить до виникнення права інтелектуальної власності на неї (п.3 ч.1 ст.433 ЦК України). Таким чином цей законопроект повинен відобразити особливий характер права на персональні дані.
Однак як видається, прийняття законопроекту з трактуванням права на персональні дані як права на власність персональних даних створить колізію між Законом «Про захист персональних даних» і Конституцією України, Цивільним кодексом, іншим законодавством у визначенні статусу персональних даних.
Розділ I ЗАГАЛЬНІ ПОЛОЖЕННЯ Стаття 1. Сфера дії Закону Дія цього Закону поширюється на відносини пов'язані із обробленням відомостей про певну фізичну особу в органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності, а також фізичними особами, які виконують професійні обов'язки приватно практикуючих адвоката, нотаріуса, лікаря тощо. | До статті 1: В тексті законопроекту вжито термін «оброблення даних», тоді як традиційно для дій над даними вживається термін «обробка». Пропонуємо замінити в усьому тексті законопроекту термін «оброблення» на «обробка». Зі сфери дії закону слід виключити фізичних осіб, які займаються приватною практикою або принаймні чітко визначити щодо яких категорій фізичних осіб, що займаються обробкою відомостей про особу, йдеться. Вживання слово «тощо» в цьому випадку навряд чи можливе: |
Стаття 2. Визначення термінів У цьому Законі терміни вживаються в такому значенні: автоматизоване оброблення персональних даних – сукупність операцій з персональними даними, які здійснюються повністю або частково за допомогою автоматизованих систем; база персональних даних – іменована сукупність упорядкованих відомостей про фізичну особу в електронному вигляді чи картотеках; власник персональних даних – фізична особа, яка має виключне право власності на персональні дані про себе; володілець персональних даних – суб'єкт відносин, пов'язаних з персональними даними, якому надано часткове або повне право на використання відомостей про власника персональних даних; (…) ідентифікація персональних даних – встановлення тотожності певної фізичної особи відомостям про неї, які визначають її особистість; оброблення персональних даних – будь-яка дія або сукупність дій, здійснених або не здійснених через процеси в автоматизованій системі, які пов'язані із збиранням (набуттям, придбанням), реєстрацією, накопиченням, збереженням, використанням і поширенням (розповсюдженням, реалізацією) відомостей про фізичну особу; персональні дані – окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифіковані; письмова згода – згода власника персональних даних на будь-які дії щодо оброблення його персональних даних, яка оформлена у письмовому вигляді; письмовий договір – договір про включення відомостей про фізичну особу до бази персональних даних, який оформлений у вигляді офіційного документу; (…) фізичні особи – громадяни України, які проживають в Україні або за її межами, іноземці та особи без громадянства, які постійно проживають в Україні. | До статті 2: Очевидно першим терміном, який слід визначити повинно бути «персональні дані» Як зазначалося вище концепція права власності на персональні дані не узгоджується з чинним законодавством, тому, імовірно, слід в тексті усього законопроекту змінити термін власник персональних даних на «суб’єкт персональних даних» – особа, якої стосуються ці дані, так само як «право власності на персональні дані» на «право на персональні дані». Виходячи з вище викладеного «володілець персональних даних» слід замінити на «користувач» (або розпорядник, контролер) персональних даних» Варто говорити про ідентифікацію особи, а не персональних даних. Адже метою використання персональних даних є ідентифікація особи, а не навпаки, Як видається слід уточнити визначення поняття «обробка персональних даних»: «...сукупність дій, здійснюваних завдяки процесам в автоматизованій системі або без них..., які пов’язані...» Крім того п.с. ст.2 Конвенції Ради Європи про захист особи в зв’язку з автоматичною обробкою персональних даних (1981 р.) – далі Конвенція про захист особи –передбачає такі процеси як зміна даних, видалення та поновлення. Що стосується самого визначення, його текст потребує деякого уточнення: «персональні дані – окремі відомості про фізичну особу чи сукупність таких відомостей, що придатні або можуть бути придатними для її ідентифікації». Однак, незрозуміло, яким чином термін «персональні дані» співвідноситься з терміном «інформація про особу», яка у відповідності з ч.1 ст. 23 Закону «Про інформацію» визначається як сукупність документованих або публічно оголошених відомостей про особу. Згодом в тексті цей термін зустрічається фактично як синонім терміну «персональні дані». Не зовсім очевидною є потреба впроваджувати і письмову згоду і письмовий договір. Імовірно слід обрати одну з форм.
визначення фізичної особи дається в ст.24 Цивільного кодексу України (2003 р.), тому в тексті цього законопроекту визначення фізичних осіб є зайвим. |
Стаття 3. Суб'єкти відносин, пов'язаних з персональними даними, та їх основні зобов'язання Суб'єктами відносин, пов'язаних з персональними даними, є: (…) юридичні особи; органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форм власності; (…) Суб'єкти відносин, пов'язаних з персональними даними зобов'язані: (...) повідомляти посадових осіб органів державної влади та органів місцевого самоврядування, організацій, установ і підприємств усіх форм власності про обставини, що перешкоджають дотриманню встановленого режиму захисту відомостей про фізичну особу. Суб'єктами відносин, пов'язаних з персональними даними відповідно до цього Закону, можуть бути інші держави та міжнародні організації. | До статті 3. «юридичні особи» – охоплюється наступним пунктом, тому рекомендуємо виключити; Перелік слід доповнити таким чином : – інші держави та міжнародні організації Не зовсім очевидно які саме органи, організації, установи чи підприємства необхідно повідомляти. Слід включити ці суб’єкти в загальний перелік суб'єктів відносин, пов'язаних з персональними даними |
Стаття 4. Об'єкти захисту Об'єктами захисту є персональні дані, які обробляються за допомогою систем автоматизованого оброблення чи за допомогою систем щодо оброблення картотек персональних даних. Персональні дані за режимом доступу є інформацією з обмеженим доступом. Персональні дані фізичної особи, яка претендує чи займає вибірну посаду (в представницьких органах) або посаду державного службовця першої категорії не відносяться до інформації з обмеженим доступом. | До статті 4 З врахуванням термінології закону «Про захист інформації в автоматизованих системах» замість «системи автоматизованого оброблення» більш доцільним є вживання терміну «автоматизовані системи» З тексту законопроекту незрозуміло що мається на увазі під системою щодо оброблення картотек персональних даних»... : Очевидно, що громадський інтерес можуть представляти персональні дані не лише згаданих осіб, а й деяких інших категорій публічних осіб |
Стаття 5. Загальні вимоги до виконання дій з персональними даними У процесі виконання дій з персональними даними обов'язкове дотримання таких вимог: оброблення персональних даних, а також знищення і ознайомлення з даними третьої сторони, здійснюється за письмовою згодою власника персональних даних або відповідно до діючих законів України; (…) Не допускається оброблення даних про фізичну особу без її згоди, крім випадків, визначених цим Законом, і лише в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини. (…) | До статті 5 Слід доповнити: від слів «знищення» «включення персональних даних в бази даних, обробка персональних даних» і далі по тексту. Слід відзначити, що ч.2 ст.32 Конституці України забороняє збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди крім випадків, визначених законом і лише в інтересах національної безпеки, економічного добробуту та прав людини, тоді як пропоноване положення при обробці даних передбачає інтереси національної, економічної і громадської безпеки чи з метою захисту прав людини, що потенційно може призвести до колізії. |
Стаття 6. Джерела і бази персональних даних Джерелами відомостей про фізичну особу є видані на її ім'я документи; підписані нею документи; відомості про фізичну особу на матеріальних носіях інформації, що обробляються органами державної влади та органами місцевого самоврядування, організаціями, установами і підприємствами усіх форм власності і фізичними особами, які діють відповідно до законодавства України та в межах своїх повноважень. Джерелами відомостей про фізичну особу є бази персональних даних в електронному вигляді, які зареєстровані в установленому порядку. | До статті 6 Зауважимо, що тут і далі в тексті зустрічається вираз «відомості про фізичну особу». Очевидно він вживається як синонім до виразу «персональні дані» Виділення інформації про бази персональних даних очевидно недоцільне. Як варіант може бути запропоновано сумістити частину 1 і частину 2 цієї статті або зміни до редакції статті: «Джерелами електронних відомостей про фізичну особу є бази персональних даних, зареєстровані в установленому порядку». |
Розділ II ВЛАСНІСТЬ НА ПЕРСОНАЛЬНІ ДАНІ Стаття 7. Право власності на персональні дані Право власності на персональні дані є абсолютне, невід'ємне, недоторканне і невідчужуване. (…) Кожна фізична особа має право ознайомитися в органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності із своїми персональними даними, що обробляються, чи доручити ознайомитися з ними іншим суб'єктам відносин, пов'язаних з персональними даними, крім випадків, визначених законодавством. (…) | Як вже зазначалося ми розглядаємо право на персональні дані як особисте немайнове право, а не як право власності, а тому пропонуємо змінити назву цього розділу на «Право на персональні дані» Так само рекомендуємо замінити тут і далі по тексту «право власності на персональні дані» на «право на персональні дані» До статті 7 Ч.1 статті 7 передбачає, що «право власності на персональні дані є абсолютне». Однак в цьому разі право власності на персональні дані не відповідає іншим статтям цього закону перш за все через його обмеження, зокрема в статтях 17 і 33 цього законопроекту. Це положення не передбачає можливості адвоката ознайомлюватися з персональними даними свого клієнта за його дорученням.
|
Стаття 8. Користування персональними даними Користування персональними даними передбачає будь-які дії їх власника щодо оброблення цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права оброблення персональних даних іншими суб'єктами відносин, пов'язаних з персональними даними певної фізичної особи. | До статей 8 і ч.1 ст.9 Викладення ст. 8 і ч. 1 ст. 9 у цій редакції видається зайвим дублюванням і не вносить принципово нового в правове регулювання. |
Розділ III ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ Стаття 9. Використання персональних даних Використання персональних даних передбачає дії їх власника щодо користування ними або дії володільця персональних даних, якому їх власником чи законом України надано часткове або повне право оброблення персональних даних, а також покладені обов'язки щодо їх захисту. Використання персональних даних передбачає також право володільця персональних даних на надання часткового або повного права оброблення персональних даних іншими суб'єктами відносин, пов'язаних з персональними даними, за згодою власника персональних даних чи відповідно до закону України. (…) Посадові особи, які використовують персональні дані фізичних осіб, зобов'язані дотримуватися вимог щодо нерозголошення отриманих відомостей. Таке зобов'язання має силу після закінчення їх діяльності в органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності. Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлювання, яке підтверджує чи не підтверджує її ділові здібності. |
До статті 9
Відсутність санкцій за розголошення персональних даних надає цьому припису характер декларативності.
Термін «відомості щодо особистого життя» очевидно слід замінити терміном «персональні дані» |
Стаття 10. Підстави виникнення права на використання персональних даних Підставами виникнення права на використання персональних даних є: письмова згода фізичної особи на оброблення її персональних даних; письмовий договір про включення відомостей про фізичну особу до бази персональних даних. Власник персональних даних має право робити в договорі застереження щодо обмеження оброблення його персональних даних. Розходження в інтересах власника персональних даних та інших суб'єктів відносин, пов'язаних з персональними даними, усуваються в судовому порядку; наданий законом дозвіл на оброблення персональних даних, а також знищення (ліквідування) відомостей про фізичну особу з метою виконання суворо функціональних повноважень суб'єктом відносин, пов'язаних з персональними даними.
| До статті 10
Включення відомостей про фізичну особу до бази персональних даних передбачає в подальшому її обробку. Більш доцільним було б сумістити письмову згоду і письмовий договір
Віднесення до підстав виникнення права на використання персональних даних «знищення (ліквідування) відомостей про фізичну особу з метою виконання суворо функціональних повноважень суб'єктом відносин, пов'язаних з персональними даними» видається нелогічним. Можливо йдеться про знеособлення персональних даних, однак даний текст не дає можливості зробити однозначний висновок, що йдеться саме про це. |
Стаття 11. Збирання персональних даних Збирання персональних даних передбачає будь-які дії щодо зосередження окремих та різноманітних відомостей про фізичну особу з будь-яких джерел та розміщення їх у базі персональних даних. При первісному розміщенні відомостей про фізичну особу до складу бази персональних даних їх власник повідомляється протягом одного місяця про мету розміщення даних. Повідомлення не здійснюється, якщо дані призначаються виключно для забезпечення захисту персональних даних, чи збираються в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини, або коли персональні дані передбачається зберігати тимчасово і протягом 3 місяців після внесення їх до бази персональних даних, а також коли вони взяті із загальнодоступних джерел. Відомості про фізичну особу, що зібрані з будь-яких джерел, а також інформація про їх джерела надаються власнику персональних даних за його вимогою. | До статті 11 Це положення не передбачає збирання персональних даних до картотеки, про які йдеться в статтях 2, 4, 26
Як вже зазначалося ч.2 ст.32 Конституці України забороняє збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди крім випадків, визначених законом і лише в інтересах національної безпеки, економічного добробуту та прав людини, Очевидно, що тимчасове збереження персональних даних обмежує право громадян на інформацію.
|
Стаття 13. Зберігання персональних даних (…) У разі зберігання персональних даних з метою їх поширення в знеособленій формі необхідно зберігати окремі відмінності, за якими конкретні відомості про фізичну особу можуть бути поставлені у відповідність до певного суб'єкта відносин, пов'язаних з персональними даними. | До статті 13
Для забезпечення права на особисте життя інформація придатна для ідентифікації особи повинна зберігатися окремо від знеособлених даних. |
Стаття 14. Поширення персональних даних (…) Поширення персональних даних здійснюється безпосередньо власником персональних даних або уповноваженим ним суб'єктом, крім випадків здійснення органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених чинним законодавством України. Поширення персональних даних дозволяється, якщо є необхідність у виконанні завдань, які належать до компетенції органів державної влади та органів місцевого самоврядування, організацій, установ і підприємств усіх форм власності, стосовно захисту національної, економічної і громадської безпеки чи з метою захисту прав людини. Відповідальність за виконання вимог встановленого режиму захисту даних про фізичну особу несе сторона, що поширює персональні дані. | До статті 14
Суб’єкт (власник) персональних даних має право знати кому уповноважений ним суб’єкт передав його персональні дані
Очевидно в цьому положенні пропущено «без згоди власника або уповноваженого ним суб’єкта»
|
Розділ IV ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ |
|
Стаття 16. Запит на доступ до персональних даних Власник персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними згідно із законами України.
| До статті 16 Необхідно вказати, яких саме відомостей: про обробку інформації щодо нього,цілі такої обробки, її правових підставах і тривалості, а також про те, хто отримував чи отримає інформацію і з якою метою, тощо. Не встановлюється термін протягом якого особа може одержати свої відомості про себе. |
Стаття 20. Додаткові права власника персональних даних, що підлягають автоматизованому обробленню Кожний власник персональних даних має право: знати про місцезнаходження систем автоматизованого оброблення персональних даних, що обробляє його персональні дані, її призначення та адресні реквізити володільця або розпорядника автоматизованої системи; має право на доступ до своїх персональних даних, які обробляються у архівних установах; отримати у місячний строк відповідь про те, чи зберігаються його персональні дані у відповідній системи автоматизованого оброблення; пред'являти мотивовану вимогу щодо зміни або знищення даних будь-яким володільцям персональних даних щодо оброблення персональних даних про нього, якщо ці дані обробляються незаконно чи є недостовірними; звертатися до суду для захисту своїх прав. | До статті 20 Надання додаткових прав щодо персональних даних, стосується лише тих, що підлягають автоматизованій обробці, залишаючи поза увагою ті персональні дані, які обробляються без автоматизованих систем. Стаття 16 передбачає, що строк вивчення запиту на предмет його задоволення не повинен перевищувати 10 днів, тоді як запит особи про наявність її персональних даних розглядається протягом місяця, що є непропорційним. |
Розділ V ВНЕСЕННЯ ЗМІН І ДОПОВНЕНЬ | |
Стаття 23. Повідомлення про дії з персональними даними Про зміну, доповнення, знищення персональних даних або обмеження до них доступу володільці персональних даних повідомляють органи державної влади та органи місцевого самоврядування, організації, установи і підприємства усіх форми власності, яким ці дані передаються, якщо це необхідно для захисту інтересів власника персональних даних. | До статті 23 Відзначимо, що про зміну, доповнення і знищення персональних даних нічого не дізнається сам суб’єкт (власник) персональних даних що безумовно обмежує його право на персональні дані. |
Розділ VI ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ | |
Стаття 25. Уповноважений з питань захисту персональних даних Уповноважений Верховної Ради України з прав людини призначає на посаду та знімає з посади Уповноваженого з питань захисту персональних даних. Уповноважений з питань захисту персональних даних в своїй діяльності стосовно персональних даних є незалежною особою, яка керується законодавством України. Завданням Уповноваженого з питань захисту персональних даних є захист прав та основних свобод особи в сфері персональних даних і суміщення захисту даних про особу зі свободою її поширення. Основні функції Уповноваженого з питань захисту персональних даних є: (…) ведення реєстру баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних; (…) | До статті 25 Видається зайвим існування як інституту Уповноваженого з питань захисту персональних даних (стаття 25) так і Спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (стаття 26), з повноваженнями, які частково співпадають. Видається за доцільне створення саме інституту Уповноваженого з питань захисту персональних даних та інформації, який би опікувався не лише захистом персональних даних, а й права на інформацію. Цей Уповноважений мав би признатися Верховною Радою. Необхідно передбачити вимоги, які пред’являються до осіб, які претендують на цю посаду: освіта, відсутність судимості, практика тривалої професійної діяльності чи значні наукові досягнення, громадське визнання, тощо. Також слід передбачити можливість Уповноваженого з питань персональних даних і інформації призначати представників в регіонах і умови функціонування бюро уповноваженого. Слід закріпити, що фінансування Уповноваженого з питань персональних даних передбачається в Державному бюджеті окремим рядком. Видається доцільним надати Уповноваженому з персональних даних права звертатися до суду для забезпечення законних інтересів суб’єктів персональних даних. Хоча й передбачається ведення Реєстру баз персональних даних, однак який порядок ведення цього реєстру, яку інформацію він повинен містити, порядок видачі реєстраційного номера сам законопроект не встановлює... |
Стаття 26. Спеціально уповноважений центральний орган виконавчої влади з питань захисту персональних даних Основними завданнями спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних є: підготовка пропозицій щодо формування державної політики в сфері захисту персональних даних; надання дозволу на здійснення діяльності в сфері захисту персональних даних; реєстрація баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних; контроль виконання законодавства з питань захисту персональних даних, з безперешкодним доступом до приміщень, в яких здійснюється обробка персональних даних, надання приписів щодо припинення роботи баз персональних даних, систем автоматизованого оброблення персональних даних, у випадку виявлення порушень; здійснення запитів до суб'єктів захисту персональних даних та отримування від них документів з любих питань щодо захисту персональних даних; розгляд пропозицій, запитів, звернень, вимог та скарг фізичних і юридичних осіб; забезпечення взаємодії з іноземними суб'єктами відносин, пов'язаних з персональними даними; участь міжнародних організацій з питань захисту персональних даних. Порядок надання дозволу на здійснення діяльності в сфері захисту персональних даних, реєстрації баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних, а також розміри плати за здійснення зазначених дій спеціально уповноваженим центральним органом виконавчої влади з питань захисту персональних даних визначається Кабінетом Міністрів України. | До статті 26 Пропонуємо передати повноваження цього органу Уповноваженому з персональних даних. |
Стаття 27. Служби захисту персональних даних в органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності призначається відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробленні в автоматизованих системах та картотеках, і несе персональну відповідальність за ефективність захисту персональних даних у відповідної організації, згідно вимог цього Закону. (…) | До статті 27 Назва статті передбачає створення служби, тоді як текст говорить про одну особу. |
Стаття 29. Обмеження дії окремих статей цього Закону Обмеження прав, передбачених статтями 10, 20 і 22 цього Закону здійснюється згідно з законодавством України і передбачається в інтересах: захисту національної, економічної і громадської безпеки чи з метою захисту прав людини; захисту прав і свобод фізичних осіб, персональні дані яких підлягають обробленню, чи прав інших суб'єктів відносин, пов'язаних з персональними даними, а також з метою боротьби з адміністративними порушеннями та злочинністю; забезпечення статистичними, соціологічними і науково-дослідними відомостями органів державної влади, з урахуванням права власності на персональні дані та за умови їх знеособлення. (...) | До статті 29 Як зазначалося це положення не повною мірою відповідає ч.2 ст.32 Конституції України Не передбачається надання знеособленої персональної інформації науково-дослідним установам Слід передбачити можливість передання персональних даних у архівні установи за умов забезпечення останніми належного рівня захисту персональних даних. |
Розділ VII ВІДПОВІДАЛЬНІСТЬ Стаття 31. Види відповідальності Порушення законодавства України про захист персональних даних тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність. | До статті 31 Очевидно слід передбачити відповідні зміни в законодавство, з тим, щоб внести в них зміни одночасно з прийняттям цього закону |
Стаття 32. Компенсація матеріальної і моральної шкоди У разі коли власнику або володільцю персональних даних заподіяно матеріальну або моральну шкоду внаслідок навмисного знищення персональних даних чи їх носіїв, або несанкціонованого оброблення будь-яких відомостей про фізичну особу, винні особи зобов'язані компенсувати цю шкоду згідно із законодавством України. Розмір компенсації за нанесену шкоду визначається рішенням суду. (...) | До статті 32 Слід передбачити, що в разі заподіяння збитків особі з боку державного органу шкоду має відшкодовувати держава. |
Стаття 33. Оскарження протиправних дій (...) Жодна фізична особа не може бути позбавлена або примушена до позбавлення прав, що стосуються її персональних даних без судового розгляду і без відповідної компенсації згідно з чинним законодавством. (...) | До статті 33 Слід передбачити конкретні випадки, коли особу може бути позбавлено або примушено до позбавлення прав або відмовитися від цієї норми. |
Стаття 36. Передача персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними Передача персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними здійснюється лише на підставі врахування права власності на персональні дані і за наявності дозволу спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних, у випадках встановлених законодавством. Персональні дані не можуть надаватися третім особам з іншою метою, ніж та з якою вони були зібрані. | До статті 36 Необхідно передбачити, що персональні дані не можуть передаватися у країну, яка не забезпечує належного рівня процесуальних даних Доцільно передбачити надання інформації з науково-дослідною метою за умови знеособлення персональних даних. |
Розділ IX. Прикінцеві положення 1. Цей Закон набуває чинності з дня його опублікування. | До Розділу IX Слід забезпечити доволі тривалий термін для того, щоб практика використання вже існуючих баз даних і картотек була приведена у відповідність з цим законом. Наприклад, бази персональних даних – протягом 3-5 років, а картотеки – протягом 10-12 років |
Складається враження, що законопроект створювався спершу для захисту автоматизованої обробки персональних даних. Спроба регулювання картотек в цьому законопроекті не носить системного характеру. Так ст.12 «Накопичення персональних даних» не передбачає накопичення даних в картотеках, тощо. На нашу думку на першому етапі доцільно впроваджувати захист персональних даних лише стосовно персональних даних, які зазнають автоматизованої обробки (тобто зі сфери дії закону слід виключити ручні картотеки). На цьому етапі також не варто поширювати його діяльність на окремих фізичних осіб, що займаються приватною практикою. З часом дію цього закону можна буде поширити і на картотеки і таких осіб.
Стосовно таких категорій персональних даних, які стосуються медичної інформації про особу або тих, які зберігаються в архівах і тих, які стосуються захисту персональних даних в сфері телекомунікації необхідно буде прийняти окремі закони.
Зауважимо, що цей законопроект залишив поза розглядом такі важливі проблеми як:
– заборону на об’єднання баз персональних даних, що обробляються з різними цілями
– заборону на введення універсального особистого багатоцільового ідентифікаційного коду
– не врегульовано процедуру знищення персональних даних
– не передбачається розділення персональних даних на
1) загальні персональні дані: ім’я, прізвище по-батькові, дата і місце народження, адреса:
2) спеціальні (вразливі) персональні дані: етнічне (расове) походження, політичні погляди чи партійна приналежність, релігійні або інші переконання, стан здоров’я, статеве життя, наявність судимості за кримінальні злочини. Подібне розмежування дасть можливість створити різні режими користування і поширення персональних даних – більш відкритий для першої групи і більш закритий для другої.
Прийняття цього закону повинно потягти за собою зміни ч.2 статті 23 Закону «Про інформацію», яка передбачає, що «Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження» з метою узгодження двох законів. Очевидно, що з основних даних слід виключити ті, які є вразливими: релігійність, стан здоров’я.
Таким чином, ми вважаємо, що зміст деяких норм Законопроекту є неузгодженим одна з одною, з нормами інших законів і міжнародно-правових актів і потребують серйозного доопрацювання.
Зауваження та пропозиції до законопроекту підготовано Р. Тополевським