Ми поступово та неухильно наближаємось до стандартів ЄС, про що свідчить і прийняття Верховною Радою Закону України «Про захист персональних даних» від 01 червня 2010 року, який вступить в силу 01 січня 2011 року. Одночасно з цим законом вступить в силу Закон України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних». Це означає, що з 01 січня 2011 року до України будуть застосовуватися положення цієї Конвенції та Протоколу.
Робота над розробкою відповідного комплексного законодавчого акту ведеться в Україні давно, ще з дев‘яностих років. Тому даний закон, можливо, як ніякий інший, є надзвичайно довгоочікуваним законом, а його актуальність з кожним роком лише зростає.
Право на захист персональних даних випливає з права особи на повагу до свого приватного і сімейного життя, закріпленого у ст. 8 Європейської конвенції про захист прав людини і основоположних свобод 1950 року (ратифікована Україною в 1997 році). В 2001 році в Україні було розроблено законопроект, що ґрунтувався на концепції приватності персональних даних як особистого немайнового права. Однак, у законі, прийнятому Верховною Радою в 2006 році, була втілена протилежна концепція персональних даних, що носила виключно майновий характер, тобто, передбачала право власності особи на персональні дані. Проте, Президент України В.Ющенко ветував цей закон. У новому законі перемогла попередня концепція захисту персональних даних як особистого немайнового права кожної людини. У практиці ЄС спостерігається співіснування обох підходів, адже спільним для них є заборона обробки даних без згоди особи.
Згідно із положеннями нового закону поняття «персональних даних» може стосуватись різної ідентифікуючої інформації про особу. На практиці слід орієнтуватись на те, що у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться персональними даними. Наприклад, це адреса, дата і місце народження, освіта, сімейний і майновий стан, національність, віросповідання, стан здоров‘я.
Слід додатково відзначити, що новий закон не сприйняв концепцію поділу персональних даних на загальні та чутливі персональні дані, що прийнята в більшості країн ЄС та Російській Федерації. Однак, останнє не може бути віднесено до суттєвих недоліків закону, тим більше, що віднедавна спостерігається поступове віддалення країн Європи від такого підходу.
Згідно нового закону під поняття бази персональних даних підпадає паперова картотека або електронна база працівників з їх біографією, даними про соціальний статус, або база клієнтів страхових компаній, банків, медичних закладів тощо.
Сьогодні збирати, обробляти, зберігати та використовувати персональні дані дозволено лише після отримання попередньої згоди особи. Згідно з новим законом така згода повинна бути документованою, зокрема, письмовою. Згода на обробку персональних даних повинна бути надана відповідно до чітко визначеної мети обробки цих даних, встановленої у документах володільця бази даних. На виконання цієї норми закону доцільно розробити положення про обробку та захист персональних даних, де закріпити мету і порядок обробки, врегулювати інші питання захисту персональних даних. За змістом ст. 6 закону, у разі зміни мети обробки потрібно отримати нову згоду особи на обробку її персональних даних. Згідно із ст. 21 закону особа повинна бути повідомлена про передачу її персональних даних третій особі протягом 10 робочих днів, якщо цього вимагають умови її згоди, або якщо інше не передбачено законом. Тому доцільно одразу зафіксувати відмову особи від повідомлення про передачу її персональних даних у тексті згоди на обробку даних. На виконання вимог ст. 24 Закону про визначення особи, відповідальної за організацію роботи, пов‘язаної із захистом персональних даних при їх обробці, рекомендуємо доручити виконання цих функцій спеціалісту з управління персоналом чи системному адміністратору (залежно від того, хто дійсно буде займатися збором та обробкою персональних даних). Такі функції можуть бути покладені на них наказом керівника, про це можна також вказати в положенні про обробку та захист персональних даних.
Закон встановлює обов‘язок державної реєстрації баз персональних даних. Такий обов‘язок покладено на володільця бази даних, хоча в деяких країнах обов‘язковий порядок реєстрації діє лише відносно обробників баз даних (провайдерів послуг).
Не вирішено, який орган (посадова особа) виконуватиме функції контролюючого органу, або мовою закону «уповноваженого органу з питань захисту персональних даних». В багатьох країнах ЄС ці функції виконує спеціально створений дорадчий орган, що складається з представників різних гілок влади. В деяких країнах ці функції покладені на омбудсмена. В Україні невдалою виявилася спроба покладення відповідних функцій на Уповноваженого з прав людини. З даного приводу вівся діалог також з Міністерством юстиції України. Наразі зміст та обсяг повноважень цього органу не визначено на належному рівні. Встановлене ж законом право доступу до приміщень, де здійснюється обробка персональних даних, викликало справедливу критику.
Хоча закон в цілому є надзвичайно актуальним та потрібним, проте прийнятий в чинній редакції являється досить загальним (рамковим) документом, який для належного втілення в життя положень про захист персональних даних потребує прийняття ще багатьох підзаконних нормативно-правових актів, які б деталізували та конкретизували його застосування, в тому числі щодо окремих категорій суб‘єктів (страхові компанії, банки тощо). Тому доцільно відтермінувати дію закону на певний час, принаймні до прийняття необхідних підзаконних нормативно-правових актів. Більше того, певні положення закону потребують змін, наприклад, доцільно передбачити, що не підлягають реєстрації бази даних, якщо особу та володільця бази даних зв‘язують трудові відносини, або персональні дані були отримані на підставі укладеної ними цивільно-правової угоди.
Робота над розробкою відповідного комплексного законодавчого акту ведеться в Україні давно, ще з дев‘яностих років. Тому даний закон, можливо, як ніякий інший, є надзвичайно довгоочікуваним законом, а його актуальність з кожним роком лише зростає.
Право на захист персональних даних випливає з права особи на повагу до свого приватного і сімейного життя, закріпленого у ст. 8 Європейської конвенції про захист прав людини і основоположних свобод 1950 року (ратифікована Україною в 1997 році). В 2001 році в Україні було розроблено законопроект, що ґрунтувався на концепції приватності персональних даних як особистого немайнового права. Однак, у законі, прийнятому Верховною Радою в 2006 році, була втілена протилежна концепція персональних даних, що носила виключно майновий характер, тобто, передбачала право власності особи на персональні дані. Проте, Президент України В.Ющенко ветував цей закон. У новому законі перемогла попередня концепція захисту персональних даних як особистого немайнового права кожної людини. У практиці ЄС спостерігається співіснування обох підходів, адже спільним для них є заборона обробки даних без згоди особи.
Згідно із положеннями нового закону поняття «персональних даних» може стосуватись різної ідентифікуючої інформації про особу. На практиці слід орієнтуватись на те, що у разі поєднання даних про особу з її іменем та прізвищем, вони вважатимуться персональними даними. Наприклад, це адреса, дата і місце народження, освіта, сімейний і майновий стан, національність, віросповідання, стан здоров‘я.
Слід додатково відзначити, що новий закон не сприйняв концепцію поділу персональних даних на загальні та чутливі персональні дані, що прийнята в більшості країн ЄС та Російській Федерації. Однак, останнє не може бути віднесено до суттєвих недоліків закону, тим більше, що віднедавна спостерігається поступове віддалення країн Європи від такого підходу.
Згідно нового закону під поняття бази персональних даних підпадає паперова картотека або електронна база працівників з їх біографією, даними про соціальний статус, або база клієнтів страхових компаній, банків, медичних закладів тощо.
Сьогодні збирати, обробляти, зберігати та використовувати персональні дані дозволено лише після отримання попередньої згоди особи. Згідно з новим законом така згода повинна бути документованою, зокрема, письмовою. Згода на обробку персональних даних повинна бути надана відповідно до чітко визначеної мети обробки цих даних, встановленої у документах володільця бази даних. На виконання цієї норми закону доцільно розробити положення про обробку та захист персональних даних, де закріпити мету і порядок обробки, врегулювати інші питання захисту персональних даних. За змістом ст. 6 закону, у разі зміни мети обробки потрібно отримати нову згоду особи на обробку її персональних даних. Згідно із ст. 21 закону особа повинна бути повідомлена про передачу її персональних даних третій особі протягом 10 робочих днів, якщо цього вимагають умови її згоди, або якщо інше не передбачено законом. Тому доцільно одразу зафіксувати відмову особи від повідомлення про передачу її персональних даних у тексті згоди на обробку даних. На виконання вимог ст. 24 Закону про визначення особи, відповідальної за організацію роботи, пов‘язаної із захистом персональних даних при їх обробці, рекомендуємо доручити виконання цих функцій спеціалісту з управління персоналом чи системному адміністратору (залежно від того, хто дійсно буде займатися збором та обробкою персональних даних). Такі функції можуть бути покладені на них наказом керівника, про це можна також вказати в положенні про обробку та захист персональних даних.
Закон встановлює обов‘язок державної реєстрації баз персональних даних. Такий обов‘язок покладено на володільця бази даних, хоча в деяких країнах обов‘язковий порядок реєстрації діє лише відносно обробників баз даних (провайдерів послуг).
Не вирішено, який орган (посадова особа) виконуватиме функції контролюючого органу, або мовою закону «уповноваженого органу з питань захисту персональних даних». В багатьох країнах ЄС ці функції виконує спеціально створений дорадчий орган, що складається з представників різних гілок влади. В деяких країнах ці функції покладені на омбудсмена. В Україні невдалою виявилася спроба покладення відповідних функцій на Уповноваженого з прав людини. З даного приводу вівся діалог також з Міністерством юстиції України. Наразі зміст та обсяг повноважень цього органу не визначено на належному рівні. Встановлене ж законом право доступу до приміщень, де здійснюється обробка персональних даних, викликало справедливу критику.
Хоча закон в цілому є надзвичайно актуальним та потрібним, проте прийнятий в чинній редакції являється досить загальним (рамковим) документом, який для належного втілення в життя положень про захист персональних даних потребує прийняття ще багатьох підзаконних нормативно-правових актів, які б деталізували та конкретизували його застосування, в тому числі щодо окремих категорій суб‘єктів (страхові компанії, банки тощо). Тому доцільно відтермінувати дію закону на певний час, принаймні до прийняття необхідних підзаконних нормативно-правових актів. Більше того, певні положення закону потребують змін, наприклад, доцільно передбачити, що не підлягають реєстрації бази даних, якщо особу та володільця бази даних зв‘язують трудові відносини, або персональні дані були отримані на підставі укладеної ними цивільно-правової угоди.