№24, грудень 2011

Проблеми забезпечення захисту прав і свобод людини при впровадженні Єдиного реєстру фізичних осіб України та документів посвідчення особи з електронним носієм інформації

Ситуація, що склалась у світі після фінансово-економічної кризи 2008 року, спонукає керівництво держав та господарюючих суб'єктів до різкого скорочення структур управління, оптимізації господарчих механізмів, перегляду цінової політики з урахуванням реальних показників попиту й пропозиції, а також стимулює запровадження новітніх інноваційно-комунікаційних технологій тощо.

Яскравим прикладом реалізації таких заходів є досвід провідних країн світу. Зокрема, Сполучені Штати Америки задля зменшення негативних наслідків кризи здійснили відповідні корективи інвестиційно-інноваційної політики у сфері інформатизації та розвитку інформаційного суспільства. Сьогодні аналогічні кроки робить і наша держава: затверджено закони України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007—2015 роки» та «Про захист персональних даних», розглянуто в другому читанні та прийнято в цілому Закон України «Про документи, що посвідчують особу та підтверджують громадянство України», який, однак, був заветований Президентом України через значні невідповідності Основному Закону та певним міжнародним стандартам. Також зініційовано і прийнято низку державних програм, що закріплюють як пріоритетний напрям державної політики побудову інформаційного суспільства та впровадження інформаційних технологій у сферу державного управління.

Актуальність обраної автором теми зумовлена необхідністю прискорення розбудови в Україні інформаційного суспільства. Як відомо, 23 вересня 2011 року Верховна Рада України прийняла Закон «Про документи, що посвідчують особу та підтверджують громадянство України», яким запроваджується низка посвідчень особи з електронним носієм інформації. Метою статті є розробка рекомендацій для органів державної влади, зокрема й вищого законодавчого органу України, щодо реалізації державної політики впровадження Єдиного реєстру фізичних осіб (ЄРФО) та електронних документів посвідчення особи в Україні й внесення  раціональних пропозицій щодо якісних змін деяких положень прийнятого в цілому Верховною Радою України закону № 8507 від 13.05.2011 року, заветованого Президентом України. Об'єктом дослідження є юридичний механізм реалізації основних прав і свобод людини, зокрема, права на захист персональних даних у ЄРФО.

Для досягнення позитивного результату автор ставить за мету:

— виявити причини необхідності гарантування права людини на захист її персональних даних в автоматизованих і неавтоматизованих базах даних;

— визначити нормативний зміст права людини на захист персональних даних, підстави й умови його легітимного обмеження;

— підготувати науково обґрунтовані пропозиції з удосконалення законодавства України для ефективного забезпечення прав громадян під час обробки їхніх персональних даних;

— розробити рекомендації органам державної влади щодо проблемних питань, які постають при  запровадженні Єдиного реєстру фізичних осіб.

Для реалізації поставлених завдань було використано широкий спектр методів: а) історико-правовий — дав можливість розглянути в ретроспективі історію генезису та еволюції правового регулювання інституту захисту персональних даних; б) формально-юридичний — висвітлити міжнародно-правові стандарти захисту даного права; в) порівняльно-правовий — охарактеризувати національні нормативно-правові акти різних країн;
г) методи індукції, дедукції, синтезу та аналізу — обґрунтувати теорію необхідності розподілу доступу до інформації єдиної бази даних та опису процесу персоніфікації.

Щоб розкрити й зрозуміти правовідносини у сфері обігу інформації про особу, необхідно розкрити поняття інформації. З точки зору соціально-філософської концепції, поняття «інформація» нерозривно пов'язане з категорією відображення. За визначенням Н. Джинчарадзе, «інформація — це найвищий, найскладніший результат упорядкованого відображення у вигляді повідомлень, знань, відомостей про природу, суспільство, в цілому про об'єктивну реальність, які охоплюють усі сфери людської діяльності, використовуються в процесі спілкування, управління, виробництва, пізнання, творчості, виховання, освіти тощо» [11, с. 9]. Поділяючи цю думку, оскільки вона зосереджується на основній функції інформації — давати уявлення (інформувати) про об'єкт, відображаючи його властивості, автор вважає за необхідне перейти до поняття «персональні дані» (ПД).

Виходячи з поняття інформації, можна дійти такого висновку: інформація про особу (персональні дані) є різновидом інформації, яка підкреслює індивідуальність кожної особи, а також містить загальнолюдські біологічні й соціальні властивості окремого індивіда. Отже, визначальною ознакою персональних даних є здатність за її допомогою ідентифікувати конкретну особу. Під час такої персоніфікації відбувається прив'язування даних індивіда до конкретної людини. Інформація, що дає змогу ідентифікувати особу, є інформацією про особу — «персональними даними».

Високі темпи науково-технічного прогресу призвели до актуалізації питання правового захисту персональних даних від неправомірного збирання й використання, тобто небажаного вторгнення до внутрішньої сфери життя людини, яка охороняється правом на повагу до приватного життя. На початку третього тисячоліття суспільство досягло такого рівня розвитку, що неправомірний обіг персональних даних може не тільки викривити сформоване суспільством уявлення про особу, а й завдати, і зазвичай завдає, особі реальних економічних збитків. Можливе заподіяння моральної й матеріальної шкоди особі пояснюється тим, що персональні дані це не тільки біографічні дані (ПІБ, дата і місце народження особи, освіта, місце навчання чи роботи…), до них також належать відомості про релігійні чи політичні переконання, матеріально-фінансовий стан (нерухоме й рухоме майно, майнові права…) і чимало іншої вразливої інформації. Отже, для запобігання використанню такого масиву даних на шкоду кожній з осіб, відомості про яких є в базі даних, суб'єкти володіння такої бази повинні реєструвати ці бази в органах державної влади, а державний орган — здійснювати перевірку на правомірність отримання, користування та розпорядження інформацією, що міститься в ній. Яскравим підтвердженням необхідності виконання таких дій з боку державних органів є доповідь робочої групи експертів при Міністерстві юстиції Нідерландів «Соціальні ризики використання смарт-карток» [8]. У своєму висновку група закріпила 45 найважливіших ризиків використання смарт-карток, значна кількість яких безпосередньо пов'язана з ідентифікацією особи й можливістю неправомірного використання персональних даних про неї. Варто зауважити, що над питаннями боротьби з «крадіжками ідентичності» працює також Міжнародна організація поліції — Інтерпол [6].

Водночас розбудова інформаційного суспільства нерозривно пов'язана зі створенням ЄРФО. Незалежно від того, як названо масив даних про фізичних осіб (наприклад, у проекті закону України № 8507 від 13.05.2011 року — Державна інформаційна система (ДІС) реєстраційного обліку фізичних осіб та їх документування, в ЦВК — це АІТС «Державний реєстр виборців»), створення єдиної бази даних є необхідною умовою ефективного функціонування електронного урядування і взагалі просто конкурентоспроможного державного управління в третьому тисячолітті. Тож ані урядовцям, ані науковцям не слід замислюватися над питанням, чи потрібно створювати таку базу даних. Відповідь однозначна: потрібно. Основною ж проблемою створення ЄРФО є дотримання прав і свобод людини (забезпечення поваги до приватного й сімейного життя відповідно до загальновизнаних міжнародних стандартів у сфері захисту прав людини і основоположних свобод, балансу між інтересами держави щодо доступу до даних про особу та приватними інтересами особи та інше) при використанні цих відомостей як юридичними особами, в тому числі державними органами, так і фізичними особами. В свою чергу, Європейський суд з прав людини, який є джерелом тлумачення Конвенції про захист прав людини і основоположних свобод, у своїх рішеннях (рішення у справах «Ротару проти Румунії» від 6.04.2000 року, «Аманн проти Швейцарії» від 16.02.2000 року та ін.) указує, що закон має чітко визначати межі повноважень компетентних органів та спосіб здійснення цих повноважень з урахуванням легітимної мети й засобу, щоб гарантувати особі адекватний захист від свавільного втручання.

Окрім того, на самому початку процесу розбудови інформаційного суспільства в Україні слід очікувати виникнення великої проблеми поєднання неточних чи застарілих персональних даних, що призведе до спотворення уявлення про індивіда. Також варто зазначити, що бази персональних даних допомагають «відсортувати» масив людей за певною ознакою з подальшими дискримінаційними чи іншими злочинними цілями.

З огляду на зазначене державі необхідно законодавчо й технічно виокремити масив «вразливих персональних даних», доступ до яких буде додатково обмежено   для органів державної влади, а також чітко окреслити рамки обігу кожного окремого елементу бази даних. До «вразливих даних» мають належати інформація про расове або етнічне походження чи національність, політичні погляди, релігійні переконання та інша інформація. Саме ці ідеї сповідуються дослідниками проблем імплементації загальноєвропейського підходу до захисту права на безпеку персональних даних із точки зору конституційних традицій окремих європейських країн, а саме: І. Вассілаком [9], Л. Кадоу, Б. Варуфселом, Х. Беркетом [10], Ж.- К. Коксом [5] та іншими.

Німецький науковець Майор-Шонбергер, проаналізувавши еволюцію законів деяких європейських країн, дійшов висновку, що переважна більшість чинних законодавств країн Європи щодо захисту прав на недоторканність персональних даних бере свої витоки з положень про технічний захист інформації [7, с. 224]. Звідси бере початок не зовсім коректне розуміння поняття «захист даних», оскільки захисту потребують не так дані, як права осіб, котрих стосуються ці дані, а також легітимні інтереси всього суспільства. В наукових працях Майор-Шонбергер дослідив, що першим поколінням нормативних актів суб'єктам даних (особам, інформація про яких міститься в базі даних) надається незначний обсяг прав. На початку розвитку цієї галузі знань індивід мав лише право доступу до даних та право на їх виправлення, якщо вони були неточними. Отже, правові колізії, що виникають під час збирання й обробки ПД не вважалися такими, що можуть мати підстави у вигляді певних інтересів людини.

Подальший розвиток права на недоторканність ПД знаменувався значним розширенням прав їхніх суб'єктів і правовою регламентацією всіх операцій з інформацією від збирання до знищення. Створений у більшості розвинених країн механізм захисту ПД надає їхньому суб'єкту можливість контролювати поводження з ними під час будь-яких операцій. Ця можливість ґрунтується на таких правах суб'єкта даних: а) право знати про мету та правомірні підстави збирання інформації, майбутніх її одержувачів; б) отримати копію зібраних даних, зокрема й інформацію про їх використання; в) вносити корективи, знищувати або блокувати (забороняти використання) ПД, що обробляються з порушенням закону, та вимагати повідомити про це сторони, яким ці дані було розкрито, тощо.

Отже, можна сформулювати такі особливості роботи з персональними даними згідно з Концепцією права на їх недоторканність:

а) ПД обробляються (в тому числі збираються) на правомірних і законних підставах;

б)  ПД використовуються у правомірний спосіб, передбачений законами;

в) розпоряднику бази даних повинен бути забезпечений адекватний обсяг ПД, достатній і не надмірний для виконання його функцій у кожному окремому випадку;

г) ПД повинні бути точними й не застарілими, вони підлягають систематичному оновленню й перевірці, в тому числі їх суб'єктом;

д) ПД мають зберігатися у формі, яка не дозволяє ідентифікації суб'єкта цих даних, що забезпечується фактичним власником бази.

Такий підхід до роботи з ПД дає людині можливість реалізувати право на недоторканність її даних в автоматизованих і неавтоматизованих базах шляхом забезпечення реалізації всіх її законних прав через накладення відповідних обов'язків на інших суб'єктів цих правовідносин. Фактично для гарантування права на недоторканність персональних даних слід забезпечити не лише захист «постфактум» (захист сервера від злому, пошкодження…), а й створення правового механізму активної реалізації права на захист ПД, адже це право не є негативним, тобто таким, що лише забороняє іншим суб'єктам його порушувати. Його головним елементом є активні інформаційні права суб'єкта даних на доступ до інформації, виправлення неточної інформації, право визначати умови, за яких здійснюються операції з даними, право заперечувати обробку певної категорії даних та вимагати перевірки у законності обробки тощо.

Перед початком створення ЄРФО у державі слід звернути увагу на закони України (запропонований в статті їх перелік не є вичерпним), які закріплюють специфіку доступу до інформації, отриманої у зв'язку з професійною діяльністю:

— Закон України «Про оперативно-розшукову діяльність» забороняє передавати й розголошувати відомості, що можуть зашкодити слідству або інтересам людини (ч. 10 ст. 9), а також зобов'язує правоохоронні органи знищувати отримані в результаті оперативно-розшукової діяльності відомості, що стосуються особистого життя, честі й гідності людини, якщо вони не містять інформації про вчинення заборонених законом дій (ч. 12 ст. 9) [2];

— Закон України «Про розвідувальні органи України» у статті 5 визначає, що не підлягає розголошенню інформація щодо особистого життя, честі та гідності громадян, яка стала відома розвідувальним органам у процесі їх роботи, крім випадків, передбачених законом [3];

— Законом України «Про свободу совісті та релігійні організації» захищається таємниця сповіді [4];

— Закон України «Про адвокатуру» передбачає, що предметом адвокатської таємниці є питання, з яких громадянин або юридична особа зверталися до адвоката, суть консультацій, порад, роз'яснень та інших відомостей, одержаних адвокатом при виконанні своїх професійних обов'язків (ст. 9) [1].

На перший погляд, зрозуміло, що є інформація з особливим статусом, але завданням цього переліку була не констатація факту, а початок пошуку суб'єктів державної влади, які повинні виступати розпорядниками інформації ЄРФО та спеціально уповноваженого суб'єкта щодо забезпечення захисту персональних даних і встановлення механізмів реалізації своїх прав цими суб'єктами.

Під спеціально уповноваженим суб'єктом щодо забезпечення захисту персональних даних слід розуміти орган, який здійснює відповідні технічні та організаційні заходи із захисту цілісності бази даних ЄРФО, її технологічного й програмного забезпечення, захисту інформації в ЄРФО від випадкового чи незаконного знищення, спотворення, втрати, несанкціонованого надання доступу. В свою чергу, розпорядники ЄРФО забезпечують накопичення, актуалізацію, перевірку інформації, надання фізичним особам чи їхнім законним представникам і уповноваженим суб'єктам витягів із ЄРФО в порядку, встановленому законами України, обслуговування та облік уповноважених суб'єктів, організацію контролю за доступом до інформації; захист інформації від несанкціонованого доступу, незаконної обробки; інформаційну взаємодію з відомчими інформаційними (автоматизованими) системами уповноважених суб'єктів; деякі інші функції та завдання.

З огляду на функції та завдання, які покладені на спеціально уповноважений суб'єкт щодо забезпечення захисту всього масиву персональних даних у ЄРФО, цілком зрозуміло, що таким органом може бути тільки найвищий орган у системі органів виконавчої влади, а це — Кабінет Міністрів України. У свою чергу, розпорядниками цієї інформації тією чи іншою мірою повинні бути органи державної влади, які безпосередньо або опосередковано працюють з фізичними особами та їхніми даними (а це міністерства, СБУ, прокуратура, суди, інші органи центральної й місцевої виконавчої влади, органи місцевого самоврядування).

Беручи до уваги зазначені наукові розробки й висновки, автор вважає, що впровадження документів з електронним носієм інформації буде науково обґрунтованим і раціональним кроком державного управління тільки при запровадженні ЄРФО. Адже запровадження більше десятка посвідчень особи з електронним носієм інформації це не лише ірраціональний крок, воно ще й тягне за собою істотне економічне навантаження на фізичну особу.

Тож, якщо органи влади хочуть створити ефективне електронне урядування та запровадити посвідчення особи з електронним носієм інформації їм потрібно забезпечити роботу ЄРФО України на принципах Концепції права на недоторканність ПД, а це означає цілковите виконання наведених вище п'яти правил поводження з персональними даними. Держава також повинна забезпечити мінімізацію суб'єктивного чинника в роботі ЄРФО, що означає максимальну автоматизацію його процесів. Чіткий механізм роботи ЄРФО зможе забезпечити високий рівень захисту ПД, знищить чорний ринок цих даних (програма передбачатиме видимість ознак копіювання інформації в базі, що дасть змогу притягати до відповідальності винних осіб), допоможе запровадити один універсальний документ посвідчення особи з електронним носієм даних, який значно зменшить економічне навантаження на особу й допоможе запровадити електронне голосування в майбутньому, що заощадить значні бюджетні кошти.

Варто зазначити, що з метою економії коштів сьогодні базу даних ЄРФО слід формувати на базі автоматизованої інформаційно-телекомунікаційної системи «Державний реєстр виборців» (надалі АІТС «ДРВ»). Такого висновку можна дійти, зважаючи на таке: а) у базі даних АІТС «ДРВ» міститься понад 36 мільйонів 775 тисяч записів про виборців; б) реєстр уже знищив понад 1 мільйон 90 тисяч зайвих записів (3% двійників); в) АІТС «ДРВ» містить інформацію про більш ніж 345 тисяч вулиць та понад 9 мільйонів будинків по всій країні; г) АІТС «ДРВ» уможливлює одночасне користування її потужностями понад 3300 користувачам по всій території України (показник можна збільшити під час оновлення обладнання); д) АІТС «ДРВ» не раз проходила державну експертизу Державної служби спеціального зв'язку та захисту інформації України на відповідність щодо забезпечення цілковитого захисту інформації, як того вимагають нормативні документи систем технічного захисту інформації в Україні, що й підтверджує отриманий Атестат відповідності [12].

Отже, логічним кроком органів державної влади буде створення ЄРФО (в тому числі з інформацією про нерухомість та міграційні потоки) на базі Cisco Expo-2009 АІТС «Державний реєстр виборців» з майбутнім безперервним доповненням та оновленням інформації в базі даних та при запровадженні механізму різнорівневого допуску користувачів (органів державної влади та місцевого самоврядування) до інформації в цій базі залежно від повноважень, закріплених у законах України.

Після створення ЄРФО державним органам влади слід розпочати запровадження посвідчення особи з електронним носієм інформації, яке має вміщувати цілий масив персональних даних власника. Інформацію, яку несе посвідчення особи,  можна умовно поділити на інформацію на електронному носії та інформацію на картці. Тут слід підкреслити, що посвідчення особи також має бути своєрідним ключем доступу до повного обсягу інформації в ЄРФО з відповідними обмеженнями на технічному рівні доступу органу, який безпосередньо здійснюватиме операції з цим посвідченням, до інформації, необхідної винятково для виконання своїх повноважень, передбачених законами України.

Інформація, розташована на картці посвідчення особи, має бути максимально стабільною та якомога менше зазнавати змін (назва та код держави, назва та тип документа, неповторний номер документа, прізвище, ім'я, по батькові, дата та місце народження, стать, громадянство, дата видачі документа, дата закінчення строку дії документа (за наявності), орган, який видав документ, та інша довгострокова інформація) . На електронному носії повинна міститись інформація, розташована на картці посвідчення особи, та додаткова інформація, яка через його завантаженість не може бути там розміщена, але є необхідною для унеможливлення викрадення ідентичності (використання посвідчення третіми особами). До обов'язкової на сучасному документі посвідчення особи інформації науковці відносять біометричні покажчики   сукупність даних про особу, зібраних на основі фіксації її параметрів, що є досить стабільними та істотно різняться від аналогічних параметрів інших осіб (відцифрований підпис, відцифроване зображення обличчя особи та інші біометричні параметри). Наявність біометричних даних на посвідченнях особи забезпечить ефективність боротьби з викраденням ідентичності.


Джерела

1. Закон України «Про адвокатуру» від 19 грудня 1992 р. № 2887—XII // Відомості Верховної Ради. — 1993. — № 9. — Cт. 62.

2. Закон України «Про оперативно-розшукову діяльність» від 18.02.1992  № 2135—XII // Відомості Верховної Ради. — 1992. — №  22. —  Ст. 303.

3. Закон України «Про розвідувальні органи України» від 22 березня 2001 р. // Відомості Верховної Ради. — 2001. — № 19. — Ст. 94.

4. Закон України «Про свободу совісті та релігійні організації» від 23 квітня 1991 року №  987—XII // Відомості Верховної Ради. — 1991. — № 25. — Cт. 283.

5. Cox J.-C. Base de donnees et protection de la vie privee: mythe ou necessite? // Reflets Et Perspectives De La Vie Economique, Bruxelles. — 1996. — T. 35. — №. 3. —
P. 345—354.

6. Grijpink J.H.A.M. Identity fraud in an information society: the case of a chain approach // Interpol publications. — The Hague: 2001. — 15 p.

7. Mayer—Schцnberger. Generational Development of Data Protection in Europe // Technology and Privacy: The New Landscape; Ed. Philip E. Agre, Marc Rotenberg. — Cambridge: The MIT Press, 1997. — P. 224.

8. Social Risks of Smart Cards // Report of the Ministry of Justice working group. — The Hague: 1998. — 30 p.

9. Vassilaki I. The constitutional background of privacy protection within the European Communities: Basic principles for the interpretation and implementation of the EC Data Protection Directive // Revue Europeenne de Droit Public. Revue quadrilingue, London. — 1994. — Vol. 6. — № 1. — P. 109—129.

10. Warufsel B., Burkert H. La protection des donnees personnelles. IV. (Fin.) // Revue Francaise D'administration Publique, Paris. — 1999. — № 89 (janvier-mars). — P. 105—163.

11. Джинчарадзе Н. Г. Інформаційна культура. — К.,  1999.

12. Усенко-Чорна Ж. Державний реєстр виборців — крок до нової якості суспільного буття в Україні // Вісник Центральної виборчої комісії. — 2011. — № 2(21) (жовт.). — С. 31—34.

Автор: Михайло РІЗАК

Архів журналу Віче

Віче №3/2016 №3
Реклама в журналі Інформація авторам Передплата
Останні новини

Вибір ідеальних чоловічих шкарпеток. Поради Сьогодні, 28 березня

Вибір майстер-класів у Києві Сьогодні, 28 березня

Чехія виділить кошти на свою ініціативу щодо закупівлі боєприпасів для України Сьогодні, 28 березня

ЄС розблокував пільги для України, Косово йде в Раду Європи, "коаліція бронетехніки": новини дня Сьогодні, 28 березня

ЗМІ: Заява Макрона про відправку військ в Україну розлютила американських посадовців Вчора, 27 березня

Словенія приєднається до ініціативи Чехії із закупівлі снарядів для України Вчора, 27 березня

Естонія готова підтримати прем’єра Нідерландів на посаду генсека НАТО Вчора, 27 березня

Реєстр збитків від агресії РФ визначив дату початку роботи та пріоритетних постраждалих  Вчора, 27 березня

У Польщі заявили, що близькі до угоди з Україною щодо агропродукції Вчора, 27 березня

Глава МЗС Швеції: НАТО має створити більше стратегічних труднощів для Росії Вчора, 27 березня