Правовий статус автора (творця, розробника) бази персональних даних

Встановлено, що правовий статус автора (творця, розробника) бази персональних даних як суб’єкта правовідносин щодо обігу й обробки персональних даних тривалий час залишався поза увагою науковців та законодавців у сфері інформаційного права.
На основі аналізу усталеного цивільного законодавства та законодавства про авторські та суміжні права в Україні, враховуючи особливості суб’єктного складу відносин обігу та обробки персональних даних, сформульовано поняття «автор (творець, розробник) бази персональних даних».
З метою гарантування недоторканності приватного життя в контексті безпеки обігу й обробки персональних даних запропоновано внести зміни до Закону України «Про захист персональних даних», а саме доповнити статтю 2 поняттям «автор (творець, розробник) бази персональних даних», а також додати нову статтею із встановленням конкретно визначених прав та обов’язків автора (творця, розробника) бази персональних даних.
Ключові слова: автор, база, обіг, обов’язки, обробка, персональні дані, правовий статус, розробник, творець.

Правове регулювання створення та функціонування баз персональних даних у нашій країні – відносно нове явище, що перебуває на стадії вивчення та системного вдосконалення. Доволі тривалий час суб’єкти відносин у цій сфері не мали чіткого уявлення про те, як регламентуються процедури, пов’язані з накопиченням, обігом та обробленням інформації, яка стосується кожної окремої фізичної особи та виражає її унікальність як індиві­дуума. Однак прийняття цілої низки нормативно­правових документів, які регулюють зазначену сферу, дало змогу детальніше визначитись із колом суб’єктів суспільних відносин, серед яких необхідно виокремити автора (творця, розробника) бази персональних даних, оскільки його правовий статус до цього часу рідко ставав предметом наукових досліджень, а отже, потребує детальнішого вивчення.

Дослідженню правового статусу суб’єктів відносин, пов’язаних із обігом та обробленням персональних даних, присвятили свої праці такі вчені, як І. Бачіло, В. Брижко, І. Жиляєв, Р. Калюжний, Д. Карпенко, Л. Комзюк, О. Кохановська, Д. Назаров, М. Розсолов, А. Чернобай, В. Цимбалюк, М. Швець та інші. Зазначені науковці переважно намагалися проаналізувати та визначити основні права та обов’язки суб’єкта персональних даних, володільця та розпорядника бази персональних даних, третіх осіб, а також гарантії їхніх прав та відповідальність у разі їх порушення.

Розпочинаючи наше дослідження, передусім зазначимо, що поширення та активне використання сучасних інформаційно­комунікаційних технологій, методів автоматичного обігу та оброблення даних, формування глобальних інформаційно­комунікаційних систем, доступних будь­кому і будь­де, істотно оптимізує різноманітні процеси суспільного життя, зокрема у сфері прийняття рішень. Це оптимізує життєдіяльність громадян, а отже, сприяє розбудові нового (інформаційного) суспільства, що супроводжується зростанням інформаційних потоків, розвитком автоматизованих алгоритмів аналізу інформації та прийняття рішень на їх основі. Водночас цей процес, що супроводжується щоденним формуванням десятків нових баз персональних даних у соціальній, фінансовій, маркетинговій, медичній, екологічній, адміністративній, правоохоронній та інших сферах, може створювати певні загрози для безпеки недоторканності приватного життя особи, спричинені обігом та обробленням її персональних даних.

Відповідно до статті 1 Закону України «Про авторське право і суміжні права» під базою даних слід розуміти сукупність творів, даних або будь­якої іншої незалежної інформації в довільній формі, зокрема і в електронній. Добір і розташування її складових частин та упорядкування є результатом творчої праці, вони доступні індивідуально і можуть бути знайдені за допомогою спеціальної
пошукової системи на основі електронних чи інших засобів [3].

Згідно з рекомендаціями Міністерства юстиції (у підпорядкуванні якого була Державна служба України з питань захисту персональних даних) розрізняються бази персональних даних в електронній формі (зберігаються та обробляються відповідним програмним забезпеченням) і у формі картотек (зберігаються та обробляються на паперових носіях інформації).

В. Брижко виокремив такі ознаки цих баз: зміст бази персональних даних – інформація про фізичну особу; об’єктивна форма існування (це матеріальний носій бази персональних даних у вигляді електронної форми або картотеки); мета існування (база персональних даних завжди створюється з відповідною метою); обов’язкова державна реєстрація бази даних [6, с. 66].

Виходячи із законодавчих норм і сучасних реалій, поняття «база персональних даних» можна визначити як сукупність персональних даних у довільній формі, зокрема електронній та/або формі картотек, складові частини якої є доступними індивідуально і можуть бути знайдені за допомогою пошукової системи на основі електронних чи інших засобів. За порядком доступу до розміщеної на них інформації розрізняють: 1) бази відкритих персональних даних, які доступні необмеженому колу осіб; 2) бази обмежених у доступі персональних даних, які доступні конкретно визначеному колу осіб; 3) бази змішаних персональних даних, частина яких доступна необмеженому колу осіб, а частина – обмеженому [10, с. 265].

Необхідно підкреслити, що самі собою ні матеріальний носій бази персональних даних, ні її внутрішнє інформаційне наповнення не є об’єктом права інтелектуальної власності автора (творця, розробника) бази. Такими об’єктами виступають тільки індивідуальна система обігу інформації та/або особливий алгоритм оброблення інформаційного наповнення бази.

Варто зазначити, що, як і будь­які інші об’єкти права інтелектуальної власності, база персональних даних має свого автора (творця, розробника). При цьому автори (творці, розробники) баз персональних даних можуть створювати їх як на основі своєї творчої розробки (творчого внеску), так і здійснюючи звичайне накопичення персональних даних, що не має ознак творчості. Тому розрізняють оригінальні та неоригінальні бази персональних даних. Оригінальні охороняються авторським правом, а для охорони неоригінальних баз персональних даних у європейських країнах запроваджено режим sui generis (правомочність творця, який зробив внесок у процес накопичення інформації, її перевірки щодо протидії вилученню або повторному використанню всієї бази даних чи окремих її складових). Відповідно до Директиви про правовий захист баз даних [1] авторське право має охороняти тільки оригінальні бази даних, тобто такі, що за добором, розташуванням та аналізом свого змісту визнані результатом інтелектуальної праці автора. Суб'єктом авторського права тут може бути як громадянин України, так і іноземець.

Необхідно зазначити, що іноді в одній особі поєднуються кілька суб’єктів відносин обігу та оброблення персональних даних, зокрема автор (творець, розробник) бази персональних даних може бути розпорядником та/або володільцем такої бази. Проте це поодинокі випадки, адже базу персональних даних та особливий алгоритм обігу та оброблення цих даних, як правило, створюють одні особи, а наповнюють і використову­
ють — інші. Відповідно до законодавства, наповнення та використання персональних даних здійснює їх володілець та розпорядник. Згідно зі статтями 2 та 4 Закону України «Про захист персональних даних»:

– володілець персональних даних – фізична або юридична особа, яка визначає мету оброблення персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

– розпорядник персональних даних – фізична чи юридична особа, якій володілець персональних даних або закон надає право обробляти ці дані від імені володільця.

Володільцем чи розпорядником персональних даних можуть бути підприємства, установи й організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи – підприємці, які обробляють персональні дані відповідно до закону [4].

Варто підкреслити, що при формуванні бази персональних даних, збиранні відомостей особистого характеру майбутній володілець бази чи уповноважена ним особа повинні повідомляти осіб, персональні дані яких вони збирають, про мету створення такої бази даних та отримати від них згоду на внесення їхніх даних до цієї бази. Така згода не є обов’язковою лише у виняткових випадках, передбачених законом [9, с. 193–195].

Розглянемо правовий статус автора (творця, розробника) бази персональних даних, який не є володільцем та розпорядником бази даних, і правовий статус особи, яка поєднує в собі автора (творця, розробника) та володільця бази персональних даних.

Стаття 421 Цивільного кодексу України серед інших суб’єктів права інтелектуальної власності виокремлює творця об’єкта права інтелектуальної власності (автора, виконавця, винахідника, розробника тощо). Відповідно до положень Закону України «Про авторське право і суміжні права» автор (творець) – це особа, яка своєю творчою працею створила об’єкт права інтелектуальної власності. Основним критерієм віднесення особи до творця (автора) є здійснення ним творчої та інтелектуальної діяльності, результатом якої є об’єкт права інтелектуальної власності, в нашому випадку – база персональних даних. Враховуючи вищевикладене, автором (творцем, розробником) бази персональних даних є та особа, яка в результаті своєї творчої та інтелектуальної праці створила нову систему організації обігу (нову систему зв’язків) персональних даних та/або розробила особливий алгоритм оброблення інформаційного наповнення бази персональних даних (наприклад, визначила особливий(і) набір(набори) категорій інформації про фізичну особу, сукупність якого (яких) дає змогу конкретно ідентифікувати особу. У цьому контексті варто пояснити терміни «обіг» та «оброблення» персональних даних, під якими слід розуміти:

– обіг персональних даних – будь­яка дія або сукупність дій (таких, як збирання, реєстрація, накопичення, зберігання, вилучення, поновлення, копіювання і поширення, у тому числі із використанням інформаційних систем, персональних даних), у результаті яких вони не змінюються;

– оброблення персональних даних – будь­яка дія або сукупність дій щодо персональних даних з метою отримання нової інформації [11, с. 26].

Своєю чергою, автори (творці, розробники) бази персональних даних, як і інші суб’єкти відносин щодо персональних даних, наділені відповідним правовим статусом, який уособлює систему законодавчо закріплених прав, обов’язків та меж відповідальності фізичної особи, що має програмно­технічні можливості для створення систем організації обігу (систем зв’язків потоку) персональних даних та/або розроблення алгоритмів
оброблення інформації, зокрема і персонального характеру.

До структури правового статусу автора (творця, розробника) бази персональних даних, як і до правового статусу будь­якої іншої особи як інтегрованого поняття належать: а) правосуб’єктність; б) основні права та обов’язки; в) юридична відповідальність за невиконання обов’язків [8, с. 133]. За нормами чинного законодавства правосуб’єктність є особливою властивістю, політико­
юридичним станом певної особи і складається з трьох елементів: 1) правоздатність – загальна (абстрактна) можливість автора (творця, розробника) бази персональних даних, що визнається державою, мати передбачені законом права і обов’язки, здатність бути їхнім носієм (підкреслімо, що йдеться не про фактичне правоволодіння, а тільки про можливість або здатність до цього); 2) дієздатність – передбачена нормами права здатність автора (творця, розробника) бази персональних даних самостійно, своїми усвідомленими діями здійснювати (виконувати) суб’єктивні юридичні права та обов’язки; 3) деліктоздатність – здатність автора (творця, розробника) бази персональних даних нести юридичну відповідальність за свої дії [7, с. 54].

Що стосується основних немайнових та майнових прав автора (творця, розробника) бази персональних даних, то статтями 423 та 424 Цивільного кодексу України визначено, що до них належать: 1) право на визнання його автором (творцем, розробником) бази персональних даних; 2) право перешкоджати будь­якому посяганню на право інтелектуальної власності, здатному завдати шкоди честі чи репутації автора (творця, розробника) бази персональних даних; 3) право на використання бази персональних даних; 4) виключне право дозволяти використання бази персональних даних; 5) виключне право перешкоджати неправомірному використанню бази персональних даних, також забороняти таке використання [2]. У цьому контексті під базою персональних даних слід розуміти всю систему, яка забезпечує обіг та/або оброблення цих персональних даних.

Зазначимо, що відповідно до статті 429 Цивільного кодексу України особисті немайнові права інтелектуальної власності на об'єкт, створений у зв'язку з виконанням трудового договору, належать працівникові, який створив цей об'єкт. У випадках, передбачених законом, окремі особисті немайнові права інтелектуальної власності на такий об'єкт можуть належати його роботодавцеві – юридичній або фізичній особі. Майнові права інтелектуальної власності на зазначений об'єкт належать працівникові, який створив цей об'єкт, та юридичній або фізичній особі, в якої він працює, якщо інше не встановлено договором [2]. Тобто з аналізу цієї норми можемо зробити висновок, що немайновим правом інтелектуальної власності на базу персональних даних наділений працівник, який створив цю базу (наприклад, працівник ІТ­відділу), а майновим правом – працівник та/або організація, в якого (якій) він працює. (Часто саме вона виступає первинним володільцем такої бази персональних даних). Наприклад, відповідно до п. 3 Положення про автоматизовану базу даних медичних, фармацевтичних та науково­педагогічних працівників сфери управління МОЗ України, затвердженого Наказом МОЗ України № 842 від 19. 12. 2006, «Органи управління охорони здоров'я місцевих органів виконавчої влади (міськ­ та райздороввідділи) формують бази даних власних територій, до яких входять підпорядковані їм заклади охорони здоров'я. Ці бази даних є складовою частиною баз даних території» [5]. Тобто володільцем у такому випадку є орган управління охорони здоров'я території, а автором (творцем, розробником) – працівник, який створив нову систему обігу та оброблення персональних даних.

До обов’язків володільця бази персональних даних, на наш погляд, слід відносити: 1) здійснення реєстрації баз персональних даних; 2) забезпечення законності збирання персональних даних; 3) організацію захисту персональних даних під час їх обігу та оброблення. Серед основних прав володільця бази персональних даних вважаємо за доцільне виокремити такі: 1) фактичне здійснення обігу та оброблення персональних даних; 2) передача персональних даних третім особам, зокрема й за кордон, у встановленому Законом України «Про захист персональних даних» порядку [12, с. 201].

Зауважимо, що в разі поєднання в одній особі автора (творця, розробника) бази персональних даних та володільця та/або розпорядника ця особа в загальному порядку несе відповідальність за порушення законодавства про захист персональних даних.

Отже, можна підсумувати, що, незважаючи на важливість ролі автора (творця, розробника) у формуванні баз персональних даних, Закон України «Про захист персональних даних» не розкриває сутності поняття автора (творця, розробника) бази персональних даних, а також його правового статусу. При цьому встановлено, що права та обов’язки автора (творця, розробника) бази персональних даних розосереджено по різних законодавчих актах, які потребують чіткішого визначення в межах однієї статті зазначеного закону.

На основі законодавства авторського і суміжного права в Україні, враховуючи особливості суб’єктного складу відносин обігу та оброблення персональних даних, пропонуємо статтю 2 Закону України «Про захист персональних даних» доповнити новим абзацом такого змісту:

«Автор (творець, розробник) бази персональних даних – це особа, яка в результаті своєї творчої та інтелектуальної праці створила систему обігу персональних даних та/або розробила алгоритм оброблення персональних даних у базі персональних даних».

З метою гарантування недоторканності приватного життя в контексті безпеки обігу й оброблення персональних даних пропонуємо законодавчо передбачити обов’язок автора (творця, розробника) бази персональних даних інформувати володільців його бази про: 1) порядок доступу до бази персональних даних; 2) порядок доступу до інформації, яка міститься в базі персональних даних; 3) алгоритми обігу та оброблення інформації в базі персональних даних.

 

Список використаних джерел

1. Про правовий захист баз даних: Директива 96/9/ЄС Європейського парламенту та Ради ЄС від 11 березня 1996 р. [Електронний ресурс]. – Режим доступу: http://zakon2.rada.gov.ua/laws/show/994_241

2. Цивільний кодекс України: Закон України № 435­IV від 16 січня 2003 р. [Електронний ресурс]. – Режим доступу: http://zakon4.rada.gov.ua/laws/show/435­15

3. Про авторське право і суміжні права: Закон України № 3792­XII від 23 грудня 1993 р. // Відомості Верховної Ради України. – 1994. – № 13. – Ст. 64.

4. Про захист персональних даних: Закон України № 2297­VI від 1 червня 2010 р. // Відомості Верховної Ради України. – 2010. – № 34. – Ст. 1188.

5. Положення про автоматизовану базу даних медичних, фармацевтичних та науково­педагогічних працівників сфери управління Міністерства охорони здоров’я України. Затверджене наказом Міністерства охорони здоров’я України № 842 від 19 грудня 2006 р. [Електронний ресурс]. – Режим доступу: http://zakon2.rada.gov.ua/laws/show/z0018­07

6. Брижко В. М. Правовий механізм захисту персональних даних: Монографія / В. М. Брижко [за заг. ред. М. Я. Швець, Р. А. Калюжного]. – К.: Парламентське вид­во, 2013. – 120 с.

7. Иоффе О. С. Правоотношения по советскому гражданскому праву / О. С. Иоффе. – Л.: Изд­во ЛГУ, 1949. – 141 с.

8. Права людини і громадянина в Україні / [авт. тексту А. М. Колодій, А. Ю. Олійник]. – К.: Юрінком Інтер, 2003. – 332 с.

9. Права человека и защита персональных данных // [Баранов А. А., Брыжко В. М., Базанов Ю. К.] – К.: Государственный комитет связи и информатизации Украины, 2000. – 276 с.

10. Ризак М. В. База персональных данных и ее отдельные виды: особенности законодательного обеспечения в Украине / М. В. Ризак. – Право України (російськомовна версія). – 2013. – № 3. – С. 259–265.

11. Різак М. В. Співвідношення понять «обіг» та «обробка» персональних даних: термінологічні аспекти / М. В. Різак // Віче. – 2013. – № 8. – С. 25–26.

12. Rizak М. The owners of the personal data as members of a circulation on and processing of personal data: the issues of legal status / M. Rizak // Scientific Issue of Education, Knowledge, Law and Management. – 2014 – № 1(5). – Р. 188–201.

Автор: Михайло РІЗАК