Європейські правові стандарти захисту ПД

Додатковий протокол до Конвенції 108 РЄ

Рамкове рішення № 2008/977/JHA ЄС

Правовими стандартами захисту персональних даних вважаються найбільш узагальнені, загальновизнані на міжнародному рівні, фундаментальні правові засади у сфері відносин, безпосередньо пов’язаних із персональними даними.

Формування європейських правових стандартів захисту персональних даних відбувалося в контексті діяльності таких організацій як Рада Європи та Європейський Союз. Результатом співпраці держав у межах названих організацій стали міжнародні угоди, що встановлюють як загальні правила захисту прав осіб у зв’язку з обробленням персональних даних (у тій мірі наскільки це необхідно зробити на рівні європейського права), так і особливості застосування цих правил в певних сферах державної діяльності (передусім у сфері діяльності поліції і кримінального судочинства).

Європейські правові стандарти у сфері персональних даних

Рада Європи:

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних, 28 січня 1981 р. (Конвенція 108 РЄ)

Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних, 8 листопада 2001 р. (Додатковий протокол до Конвенції 108 РЄ)

Конвенція про кіберзлочинність, 23 листопада 2001 р. (Конвенція про кіберзлочинність)

Рекомендація Rec(87)15 державам-членам, що регулює використання персональних даних у секторі поліції, 17 вересня 1987 р. (Рекомендація Rec(87)15)

Європейський Союз:

Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних», 24 жовтня 1995 р. (Директива 95/46/ЄС)

Рамкове рішення Ради ЄС № 2008/977/JHA про захист персональних даних, що обробляються в рамках поліцейського та судового співробітництва у кримінальних справах, 27 листопада 2008 р. (Рамкове рішення про захист персональних даних)

Рада Європи

Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108 РЄ), прийнята 28 січня 1981 р. – це перший міжнародний правовий документ, спрямований безпосередньо і винятково на врегулювання питань захисту персональних даних. Поява Конвенції 108 РЄ пов’язана із стрімким розвитком інформаційних технологій у другій половині ХХ століття і виникненням потреби в розробленні більш детальних правил забезпечення захисту осіб через охорону їхніх (персональних) даних.

Про наявність такої потреби свідчили й рішення Європейського суду з прав людини, який розглянув значну кількість справ щодо захисту права на приватність, передусім тоді, коли йшлося про перехоплення інформації, різні форми спостереження, захист від зберігання персональних даних державними органами.

Європейський суд з прав людини зокрема роз’яснював, що ст. 8 Конвенції про захист прав людини і основоположних свобод не тільки зобов’язує держави утримуватися від будь-яких дій, які могли б порушити гарантоване Конвенцією право, але й за певних обставин передбачає позитивні зобов’язання держав активно забезпечувати ефективне дотримання права на приватне і сімейне життя.

У зв’язку з цим, до середини 1970-х років Комітет міністрів Ради Європи прийняв низку резолюцій, що стосуються захисту персональних даних, а в 1981 році була відкрита для підписання Конвенція 108 РЄ.

Конвенція 108 РЄ загалом будується на визнанні об’єктивної потреби обігу персональних даних в сучасних суспільних відносинах, але, водночас, і на надзвичайній важливості захисту прав осіб, персональні дані яких обробляються.

Положення Конвенції 108 РЄ поширюються на будь-які процеси обробки даних, що здійснюється як у приватному, так і у державному секторах, зокрема, на обробку персональних даних судовими і правоохоронними органами.

Конвенція 108 РЄ визначає основоположні, або так звані «рамкові», засади, зокрема щодо:

прав особи, пов’язаних з обробленням персональних даних, та можливих обмежень цих прав;
принципів і вимог до процесу обробки персональних даних;
обов’язків осіб, які збирають, опрацьовують, використовують персональні дані, зокрема у зв’язку з передачею персональних даних на міждержавному рівні (транскордонного обміну);
особливих випадків звільнення від зобов’язань, визначених Конвенцією, зумовлених іншими правами людини;
особливих винятків, пов’язаних із специфічними потребами діяльності із забезпечення безпеки суспільства і держави в демократичному суспільстві;
державного контролю у сфері захисту персональних даних.

Важливо те, що Конвенція 108 РЄ, передбачаючи вільний обмін персональними даними між державами-сторонами Конвенції, водночас накладає деякі обмеження на ті потоки даних, спрямовані в країни, правове регулювання яких не передбачає відповідного рівню захисту, а також обов’язкове створення національних наглядових органів з питань захисту персональних даних (Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних).

Наразі сторонами Конвенції 108 РЄ є країни європейського регіону і не тільки. Першою неєвропейською країною, яка у серпні 2013 року приєдналася до Конвенції 108 РЄ, став Уругвай. Україна ратифікувала Конвенцію 108 РЄ у 2010 році, результатом імплементації її положень в українське законодавство став ЗУ «Про захист персональних даних».

Слід зазначити, що у 2011 році стартував процес модернізації Конвенції 108 РЄ, що має на меті передусім посилення захисту приватного життя у сфері використання цифрових технологій та зміцнення механізму виконання Конвенції.

Такі властивості Конвенції 108 РЄ як здатність формувати універсальні норми, відкритий характер, орієнтованість на адаптацію до наявних потреб можуть бути основою для розвитку захисту персональних даних в усьому світі.

Сучасні правники підкреслюють, що абсолютних прав людини практично не існує – це означає можливість певного правомірного обмеження і права особи на приватність, настільки, наскільки це необхідно в демократичному суспільстві. Тому й принципи захисту персональних даних не застосовуються незмінно абсолютно в усіх випадках обробки персональних даних. Деякі з них вимагають визначення особливостей застосування положень Конвенції 108 РЄ відповідними правовими документами.

Так, особливої уваги європейське право приділяє захисту персональних даних у сфері діяльності поліції та кримінального судочинства, виходячи із особливих потреб такої діяльності.

Однією з найвпливовіших міжнародних угод, що регулює питання боротьби з правопорушеннями, які вчиняються із використанням інформаційно-комунікаційних мереж (зокрема Інтернету), комп’ютерів, засобів зв’язку тощо, є Конвенція про кіберзлочинність, прийнята в Будапешті 23 листопада 2001 р.

Завдання Конвенції про кіберзлочинність – модернізувати і гармонізувати національне кримінальне законодавство держав з метою більш ефективної і злагодженої протидії злочинам у сфері комп’ютерних і мережевих технологій, зокрема порушенням авторських прав, шахрайству, поширенню дитячої порнографії тощо. Конвенція про кіберзлочинність також передбачає процесуальні повноваження, що охоплюють обшук комп’ютерних мереж і перехоплення комунікацій в контексті боротьби з кіберзлочинністю.

Конвенція про кіберзлочинність не є безпосереднім інструментом забезпечення захисту персональних даних, проте вона вимагає встановлення кримінальної відповідальності за протиправні діяння, які, серед іншого, можуть порушувати права суб’єктів персональних даних. Окрім того, здійснення поліцією та органами кримінального судочинства своїх функцій часто вимагає обробки персональних даних, яка може істотно впливати на відповідних осіб і пов’язаної з певними обмеженнями права приватність. Це зумовлює особливу необхідність чіткого визначення правил захисту персональних даних, зокрема припустимих обмежень, виходячи з потреб правоохоронної діяльності. З цією метою Рекомендація Комітету Міністрів Ради Європи Rec(87)15 державам-членам, що регулює використання персональних даних у секторі поліції від 17 вересня 1987 р. (Рекомендація Rec(87)15) надає поради договірним сторонам Конвенції 108 РЄ як застосовувати, визначені нею принципи, в контексті обробки персональних даних поліцейськими органами.

Рекомендація Rec(87)15 не передбачає необмеженого і нерозбірливого збирання персональних даних органами поліції, навпаки, вона обмежує їх в обробці персональних даних в тій мірі, наскільки це необхідно для запобігання реальній небезпеці або припиненню певного кримінального правопорушення.

До основних моментів у діяльності поліції, на яких акцентується увага Рекомендацією Rec(87)15 належать:

збір і зберігання персональних даних;
забезпечення адекватного рівня безпеки даних;
здійснення захисту прав суб’єктів персональних даних;
надання доступу до файлів персональних даних, а також умови, за яких дані повинні передаватися іноземним органам поліції;
реалізація контролю з боку незалежних органів.

Відповідно до Рекомендації Rec(87)15 будь-яке збирання додаткових даних повинно базуватися на конкретному національному законодавстві.

Якщо персональні дані збираються без відома суб’єкта даних, то останній повинен бути поінформований про збирання даних, як тільки таке розкриття більше не перешкоджатиме розслідуванню. Збирання даних за допомогою технічного спостереження чи інших автоматизованих засобів також повинно базуватися на конкретних правових положеннях національного законодавства.

Обробка поліцією «чутливих» персональних даних допускається тільки у разі, якщо наявна об’єктивна необхідність в контексті конкретного розслідування.

Європейський Союз

Що стосується регулювання захисту персональних даних в Європейському Союзі, то всі держави-члени ЄС окремо ратифікували Конвенцію 108 РЄ, а завдяки змінам, запровадженим у 1999 році, ЄC в цілому став стороною Конвенції.

Першим документом і основним інструментом права ЄС у царині захисту персональних даних стала Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 р.

Директиву 95/46/ЄС прийнято з метою уточнення і посилення принципів, викладених у Конвенції 108 РЄ, та гармонізації національних законодавств держав-членів ЄС у сфері захисту персональних даних. Зокрема, у ній пропонуються більш точні визначення порівняно з наявними на той час національними законами щодо захисту персональних даних.

За визначенням Суду Європейського Союзу призначенням Директиви 95/46/ЄС є забезпечення однакового рівня захисту прав і свобод особи при обробці персональних даних в усіх державах-членах ЄС. Територія, на якій застосовується Директива 95/46/ЄС, виходить за межі 28 держав-членів ЄС, охоплюючи й ті держави, які не є членами ЄС, але належать до єдиної економічної зони ЄС (наприклад, Ісландія, Ліхтенштейн, Норвегія). Оскільки Директива 95/46/ЄС стосувалася лише держав-членів ЄС, то виникла необхідність у створенні додаткового правового інструменту, який би забезпечував захист персональних даних під час їх обробки інститутами та органами ЄС. Таким інструментом став Регламент ЄС № 45/2001 про захист фізичних осіб при обробці персональних даних інститутами і органами Співтовариства і про вільне переміщення таких даних.

Для урегулювання специфіки захисту персональних даних у діяльності поліції Радою ЄС прийняте Рамкове рішення № 2008/977/JHA про захист персональних даних, що обробляються в рамках поліцейського та судового співробітництва у кримінальних справах (Рамкове рішення про захист персональних даних).

Його спрямовано на забезпечення захисту персональних даних фізичних осіб при їх обробці з метою запобігання, розслідування, виявлення і переслідування кримінального правопорушення або виконання кримінального покарання.

Сфера застосування Рамкового рішення про захист персональних даних обмежується забезпеченням захисту даних в процесі транскордонного співробітництва між органами держав-членів ЄС або ЄС, що здійснюють поліцейську діяльність та кримінальне судочинство, і не поширюється на питання національної безпеки.

Окремим питанням взаємодії правоохоронних структур у ЄС, у процесі якої здійснюється обмін інформацією, присвячені також:

Рішення Ради ЄС № 2008/615/JHA про посилення транскордонного співробітництва, зокрема, у боротьбі з тероризмом і транскордонною злочинністю (Прюмське рішення);

Рамкове рішення Ради ЄС № 2009/315/JHA про організацію та зміст обміну інформацією, отриманою з відомостей про судимості, між державами-членами.

Для українського законодавства Директива 95/46/ЄС та інші акти права ЄС є важливим орієнтиром правового регулювання з огляду на обраний і підтриманий суспільством євроінтеграційний вектор.

Приклади деталізації Європейського правового регулювання щодо захисту персональних даних у різних сферах діяльності

Рада Європи:

Рекомендація Rec(95)4 щодо захисту персональних даних у сфері телекомунікаційних послуг з особливими рекомендаціями щодо телефонних послуг;

Рекомендація Rес(90)19 щодо захисту персональних даних, що використовуються для розрахункових та інших суміжних операцій;

Рекомендація Rec(89)2 державам-членам щодо захисту персональних даних, що використовуються для працевлаштування;

Рекомендація Rec(97)5 державам-членам щодо захисту медичних даних.

Європейський Союз:

Рішення Ради ЄС 2000/642/JHA відносно домовленостей про співпрацю між підрозділами фінансової розвідки держав-членів у плані обміну інформацією;

Директива 2002/58/ЄC «Про обробку персональних даних та захисту конфіденційності у секторі електронних комунікацій»;

Директива 2006/24/ЄC «Про зберігання даних, що генеруються або обробляються при наданні загальнодоступних послуг електронних комунікацій або громадських мереж зв’язку»;

Директива 2011/24/ЄС «Про застосування прав пацієнтів у транскордонній системі охорони здоров’я».

« на початок сторінки »