УДК 342.7 (477)nauka.nlu.edu.ua/download/diss/kardash/d_kardash.pdf · 2019-05-17 ·...
TRANSCRIPT
Національний юридичний університет імені Ярослава Мудрого
Міністерство освіти і науки України
Кваліфікаційна наукова
праця на правах рукопису
Кардаш Анна Вячеславівна
УДК 342.7 (477)
ДИСЕРТАЦІЯ
КОНСТИТУЦІЙНО-ПРАВОВИЙ ЗАХИСТ ІНФОРМАЦІЇ ПРО ОСОБУ
(ПОРІВНЯЛЬНО-ПРАВОВИЙ АСПЕКТ)
12.00.02 «Конституційне право; муніципальне право»
Юридичні науки
Подається на здобуття наукового ступеня кандидата юридичних наук
Дисертація містить результати власних досліджень. Використання ідей,
результатів і текстів інших авторів мають посилання на відповідне джерело.
_______________________ А.В. Кардаш
Науковий керівник –
Барабаш Юрій Григорович,
доктор юридичних наук, професор, член-кореспондент
Національної академії правових наук України
Харків – 2019
1
АНОТАЦІЯ
Кардаш А. В. Конституційно-правовий захист інформації про особу
(порівняльно-правовий аспект). – Кваліфікаційна наукова праця на правах
рукопису.
Дисертація на здобуття наукового ступеня кандидата юридичних наук за
спеціальністю 12.00.02 «Конституційне право; муніципальне право» –
Національний юридичний університет імені Ярослава Мудрого, Міністерство
освіти і науки України, Харків, 2019.
У дисертації надано розгорнуту характеристику конституційно-
правовому захисту інформації про особу в порівняльному аспекті, а також
визначенню шляхів використання зарубіжного досвіду в сфері захисту
інформації про особу в Україні.
Звернуто увагу на те, що у доктрині існують досить різноманітні
погляди щодо питання співвідношення термінів «персональні дані»,
«інформація про особу», «інформація про особисте і сімейне життя». На
підставі аналізу різних аргументів на користь розділення термінів
«інформація про особу» і «інформація про особисте і сімейне життя»,
«інформація про приватне життя» зазначаємо, що намагання знайти між
цими термінами якісь юридично значущі відмінності видається досить
штучним. Зауважимо, що термін «інформація про особисте і сімейне життя»
є радянським рудиментом, який зберігся в цивільному законодавстві України
та в низці інших нормативно-правових актів і походить з формули
«недоторканності особистого і сімейного життя». Метою введення в обіг
термінів «інформація про особу», «персональні дані» є фіксація об’єкта
захисту в структурі права на недоторканність приватного життя,
гарантованого ст. 32 Конституції України, права на приватність загалом.
Термін «інформація про особисте і сімейне життя» в цьому плані є не зовсім
коректним і має бути вилученим із законодавства разом з відповідним
внесенням змін у ст. 32 Конституції. Разом із тим, термін «інформація про
2
приватне життя» також досить громіздкий. Цілком логічним виглядає
використання з цією метою терміна «інформація про особу» або ж
«персональні дані», оскільки вони дозволяють охопити весь спектр
інформації.
Стверджується, що поняття «інформація про особу» та «персональні
дані», по суті, як правило за змістом є тотожними і означають одне й те саме
– об’єкт захисту інформаційної приватності. Проте аналіз відповідної
літератури показав, що різниця ж між персональними даними і інформацією
про особу, найчастіше розглядається в двох аспектах.
По-перше, розмежування ґрунтується на точці зору, згідно з якою
розмежовуються терміни «дані» і «інформація». Тобто, власне кажучи, за
цією логікою інформація є матеріальним поняттям, тоді як дані – формою
вираження інформації. Розмежування персональних даних і інформації про
особу носить також історичний характер. Справа в тому, що поява термінів
«персональні дані», «захист персональних даних» пов’язана з комп’ютерною
епохою, появою технічних можливостей обробки великої кількості
інформації, саме комп’ютерна інформація і називалася «даними». Така
історична відмінність не впливає на обсяг відповідного поняття, яке воно має
на сьогодні в юридичній сфері. Таким чином, перший аспект, що
характеризує відмінність між інформацією про особу і персональним даними,
ми не вважаємо достатньо юридично значущим. Інформація і дані цілком
можуть бути ототожнені.
По-друге, відмінність між даними і інформацією часто розглядають
полягає в тому, що персональні дані як поняття містить чітку прив’язку до
ідентифікації за допомогою цієї інформації певної особи. Персональні дані –
це не будь-яка інформація про фізичну особу, а лише інформація про
ідентифіковану або таку, що може бути ідентифікована, фізичну особу.
Таким чином, якщо фізична особа не ідентифікована (конкретно не
3
визначена) і не може бути ідентифікована (конкретно визначена), то
інформація, що стосується такої фізичної особи, не є персональними даними
Пропонується встановити винятки зі ст. 11 Закону України «Про захист
персональних даних» щодо обробки відкритої інформації, оскільки
законодавство спростовує твердження про апріорний характер
конфіденційності будь-якої інформації про особу і відсутність відкритої
інформації, яка є такою за законом (прямо встановлюючи режим
відкритості/загальнодоступності або ж забороняючи обмежувати доступ до
тієї чи іншої інформації). Наразі законодавець, визначаючи інформацію про
особу в Законі України «Про інформацію», чомусь ігнорує поняття
відкритості і загальнодоступності.
Обґрунтовано висновок про те, що право бути забутим не спростовує, за
загальним правилом, можливість існування правового режиму відкритої
(загальнодоступної) інформації. Про безспірність такого вилучення (за
певних умов) можна стверджувати лише по відношенню до права на забуття
в пошукових системах мережі Інтернет.
Удосконалено тезу про те, що використання понять «персональні дані» і
«інформація про особу» часто випливає з національної традиції тієї чи іншої
правової системи. Відмінності між поняттями «інформація про особу» і
«персональні дані є переважно семантичними, їх вживання викликано
історичними причинами, відсутністю усталеної єдиної термінології і
різноманітністю юридичної лексики в різних кранах. Якщо йдеться про
інформацію про особу, яка не є анонімною, то юридично значущої
відмінності між інформацією про особу і персональними даними немає.
Удосконалена пропозиція щодо застосування змішаного підходу до
побудови вітчизняного законодавства в сфері захисту інформації про особу,
який полягає в дії загального закону про захист інформаційної приватності та
необхідності створення галузевих нормативно-правових актів з детальною
регламентацією відповідних відносин.
4
Набула подальшого розвитку пропозиція щодо запровадження посади
спеціалізованого інформаційного уповноваженого (окремо від
Уповноваженого Верховної Ради України з прав людини), який би мав
відповідну незалежність. Окрім проведення перевірок і накладення штрафів,
такий уповноважений має володіти більш ефективним арсеналом правових
засобів щодо нагляду у відповідній сфері (право вимагати від порушника, а
також звертатися до суду з вимогою в найкоротший строк припинити
порушення права на недоторканність приватного життя в сфері персональних
даних, можливості звернення щодо блокування Інтернет-ресурсів в судовому
порядку.
Пропонується інформацію про особу за режимом доступу поділяти на:
- відкриту (загальнодоступну). Водночас особа має право за певних умов
обмежувати доступ до такої відкритої інформації за власним бажанням
(право на забуття). Ця інформація, незважаючи на її існування, формально не
вписується у термінологію на рівні визначень у відповідних профільних
інформаційних законах. Саме тому вона має бути офіційно вказана. Для
цього потрібно змінити формулювання Законів України «Про інформацію»
та «Про доступ до публічної інформації», а також переформулювати норму
Закону України «Про захист персональних даних» щодо обробки будь-яких
персональних даних на підставі закону або згоди особи. Такі підстави мають
стосуватися лише конфіденційної інформації, а не будь-яких персональних
даних (зокрема, відкритої інформації);
- обмежену в доступі, яка може бути:
а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової інформації);
б) конфіденційною, яка, у свою чергу, поділяється на:
інформацію, що визначається конфіденційною самою особою (яка не
віднесена законом ані до відкритої, ані до чутливої/вразливої). Обробка такої
інформації можлива за згоди особи;
5
вразливу (чутливу) інформацію, щодо якої законодавець може
встановлювати обмеження або пряму заборону на її обробку (що не
забороняє самій особі добровільно її поширювати) або дозволяти за умови
прямої згоди на обробку з боку особи, проте за таких умов визначається
особливий підвищений порядок її обробки. Законодавство може
встановлювати спеціальні правила на обробку чутливої інформації,
спрямовані на гарантування конфіденційності або на заборону збирання
/обробки певних видів особливо чутливої інформації.
Відзначається, що Існують дві основні моделі захисту інформації про
особу: американська і європейська. Американський підхід будується на
секторальному, галузевому підході, що означає ухвалення різних актів щодо
захисту інформації залежно від конкретної сфери суспільних відносин.
Згідно з європейським підходом – має існувати єдиний комплексний закон
щодо захисту персональних даних. Виділяють також змішаний підхід
(існування одночасно загального закону і окремих галузевих актів).
Вважаємо, що саме такий підхід до побудови вітчизняного законодавства в
сфері захисту інформації про особу є найбільш прийнятним, наголошуємо на
обов’язковій необхідності існування загального закону щодо захисту
інформаційної приватності за умов відповідного детального галузевого
регулювання в різноманітних сферах.
Зазначено, що «публічної особи» міцно вкорінений в зарубіжному
законодавстві і судовій практиці країн Заходу в сфері захисту права на
приватність. Водночас українське законодавство статус публічних осіб при
регулюванні питання захисту інформації про особу не виокремлює, натомість
воно містить лише поняття «суспільно необхідна інформація», яке можна
розуміти, в тому числі, і з позицій можливості легітимного втручання в
приватне життя публічних осіб. Концепція публічних осіб активно
застосовується в українській судовій практиці, яка орієнтується на
міжнародні стандарти, а також практику ЄСПЛ.
6
Відзначено, що американська і європейська модель захисту
персональних даних яскраво відбивається і на відповідних спеціалізованих
механізмах. В США такі спеціалізовані механізми повністю відсутні
(частково до цього процесу залучена Федеральна торгова комісія з досить
обмеженими повноваженнями і незначною реальною роллю у відповідному
захисті інформаційної приватності). Це пояснюється значною роллю
приватно-правових механізмів (подання позовів і відшкодування шкоди).
Натомість для Європи характерною є велика роль публічно-правових
механізмів, повсюдність таких спеціалізованих органів по захисту інформації
про особу, а також наявність у таких органів досить широких
регламентарних, наглядових та контрольних повноважень. Ця тенденція
проявляється як на національному рівні, так і останніми роками знайшла своє
відображення на рівні європейських нормативних документів і договорів.
Сформульовано низку рекомендації щодо проведення реформи
місцевого самоврядування в Україні. Зокрема, необхідності законодавчого
узгодження із Конституцією України положень, що унеможливлюють
відмову від надання біометричних даних для отримання внутрішнього
паспорта (ID карти); необхідності обмеження використання індивідуального
податкового номера (ІПН) виключно в сфері податкового обліку і податкових
відносин, а не застосування зазначеного номера як універсального
ідентифікатора особи; припинення практики розміщенні на сайті «Прозорро»
копій паспорта і довідки про присвоєння ІПН фізичних осіб-підприємців;
неконституційності передбаченого Законом України «Про Національну
поліцію» дозволу забезпечувати збирання, накопичення біометричних даних
у вигляді зразків ДНК; неконституційності електронного декларування для
антикорупційних активістів, передбачене Законом «Про запобігання
корупції»; припинення масового поширення в Інтернеті на відповідних
неофіційних сайтах персональних даних (ІПН, адрес проживання, номерів
телефонів, дати народження фізичних осіб-громадян України).
7
Наукова новизна одержаних результатів визначається тим, що дана
робота є комплексним науковим дослідженням конституційно-правового
захисту інформації про особу в порівняльно-правовому
аспекті. Обґрунтовано низку концептуальних понять, теоретичних положень
і висновків, практичних рекомендацій щодо вдосконалення конституційно-
правового регулювання захисту інформації про особу в Україні.
Практичне значення одержаних результатів полягає у тому, що вони
можуть бути використані:
– у науково-дослідницькій галузі – для подальшого дослідження захисту
інформації про особу;
– у правотворчій діяльності – як теоретичний матеріал при опрацюванні
і прийнятті законів та інших нормативно-правових актів;
– у навчальному процесі – при підготовці відповідних розділів
підручників з конституційного права України, у викладанні навчального
курсу «Конституційне право України». «Права і свободи людини і
громадянина та механізм їх захисту», «Конституційна юрисдикція», у
науково-дослідницькій роботі студентів;
– у правовиховній роботі – для підвищення правової культури громадян
України.
Ключові слова: інформація про особу, персональні дані, конфіденційна
інформація, публічні особи, право на приватність.
ABSTRACT
Kardash A. V. Constitutional and legal protection of personal information
(comparative legal aspect). – Qualifying scientific work retaining manuscript
rights.
The thesis for a candidate’s degree by the specialty 12.00.02 – constitutional
law; municipal law. – Yaroslav Mudryi National Law University, Ministry of Edu-
cation and Science of Ukraine, Kharkiv, 2019.
8
The thesis provides a detailed description of the constitutional and legal pro-
tection of personal information in its comparative aspect as well as the ways how
to use foreign experience in the field of protection of information about a person in
Ukraine.
Attention is drawn to the fact that in the doctrine there are quite different
views on the relation of the terms "personal data", "information about a person",
and "information on private and family life". Based on the analysis of various ar-
guments in favour of the division of the terms "information about a person", "in-
formation on private and family life", and "information on privacy", we shall note
that attempts to find differences between these terms as a matter of law seem rather
artificial. It is to be noted that the term "information on private and family life" is a
Soviet rudiment, which has been preserved in the civil law of Ukraine and in a
number of other normative legal acts and derives from the formula of "private and
family liberty". The purpose of introduction of the terms "information about a per-
son" and "personal data" is to fix the object of protection in the structure of the
right to privacy, guaranteed by Art. 32 of the Constitution of Ukraine and the right
to privacy in general. In our opinion, the term "information about personal and
family life" in this regard is not entirely correct and should be removed from the
law, along with the corresponding amendment to Art. 32 of the Constitution. The
term "information on private and family life" is not exactly correct in this regard
and should be removed from the law, along with the corresponding amendment to
Art. 32 of the Constitution. At the same time, the term "information on private
life", in our opinion, is also rather cumbersome. It is quite logical to use the term
"information about a person" or "personal data" for this purpose, since they allow
covering the entire spectrum of information.
It is argued that as a rule the concept of "information about a person" and
"personal data", as such are identical in matter and mean the same thing - the ob-
ject of protection of information privacy. However, the analysis of the correspond-
9
ing literature has shown that the difference of personal data and information about
a person is often considered in two aspects.
First, the distinction is based on the point of view according to which the
terms "data" and "information" are differentiated. In other words, according to this
logic, information is a material concept, whereas data are a form of expression of
information. The distinction between personal data and personal information is al-
so historic. The fact is that the emergence of the terms "personal data" and "protec-
tion of personal data" are associated with the computer age, the emergence of tech-
nical capabilities to process a large amount of information, and it was computer in-
formation which was called "data". Such a historical difference does not affect the
scope of the concept that it currently has in the legal sector. Thus, we do not con-
sider the first aspect, which characterizes the distinction of information about a
person and personal data, to be quite relevant in law. Information and data may be
well identified.
Secondly, the difference between data and information lies in the fact that
personal data as a concept clearly refer to the identification with the use of this in-
formation by a particular person. Personal data do not include all information about
an individual, but only information about an identified or identifiable individual.
Thus, if an individual is not identified (not specified) and can not be identified
(specifically defined), then the information about such an individual is not personal
data.
It is suggested to identify exceptions from Art. 11 of the Law "On Protection
of Personal Data" in reference to the processing of public information, since the
legislation refutes the statement on the a priori nature of the confidentiality of any
personal information and the lack of public information that is defined in accord-
ance with the law (directly by establishing the regime of publicity / public availa-
bility or prohibiting barrier to access to some information). Currently, the legisla-
tor, when defining information about a person in the Law "On Information", inex-
plicably flouts the concept of publicity and accessibility.
10
It is deduced that the right to be forgotten, as a general rule, does not refute
the possibility of a legal regime of public (publicly available) information. The in-
disputable nature of such withdrawal (under certain conditions) can only be assert-
ed in relation to the right to be forgotten in search engines of the Internet.
The statement that the use of the concepts of "personal data" and "information
about the person" often derives from the national tradition of a particular legal sys-
tem has been improved. It is stated that the differences between the concepts of
"information about a person" and "personal data” are mainly semantic, and their
use is due to historical reasons, the lack of a long-held uniform terminology and
the diversity of legal vocabulary in different countries. When referring to infor-
mation about a person who is not anonymous, there is no legally significant differ-
ence between personal information and personal data.
A proposition of the usage of a mixed approach to the development of domes-
tic legislation in the field of protection of personal information, which lies in the
operation of the general law on the protection of information privacy and the need
for the creation of sectoral regulatory acts with detailed regulation of the relevant
relations has been improved.
The idea of the introduction of the position of a specialized information com-
missioner (apart from the Human Rights Ombudsperson of the Verhovna Rada of
Ukraine), which would have appropriate independence, has been further devel-
oped. In addition to conducting inspections and imposition of fines, such a com-
missioner should have a more effective arsenal of legal methods for the supervi-
sion in the relevant area (the right to demand from the offender, as well as to apply
to the court with the requirement to put an end to the violation of the right to priva-
cy in the field of personal data as soon as possible, an appeal regarding the disrup-
tion of Internet resources in court, improvement of the procedure of the reporting
about the processing of personal data base - the apeal should be accomplished be-
fore correspondent operations, etc.).
It is suggested to divide the information about a person by access mode into:
11
-public (of public access). At the same time, under certain conditions a person
has the right, to restrict access to such public information of his own free will
(right to be forgotten). This information, despite its existence, does not formally
correlate with the terminology at the level of definitions in the relevant field-
oriented information laws. That is why it should be officially specified. To do this,
it is necessary to redraft the Laws "On Information" and "On Access to Public In-
formation", as well as to reformulate the provision of the Law "On Protection of
Personal Data" regarding the processing of any personal data by law or consent of
a person. Such grounds should concern confidential information only, but not any
personal data (in particular, public information);
- restricted access information, which can be:
a) secret (in accordance with special legislative acts which establish a legal
treatment of secrecy);
b) confidential, which, in turn, is divided into:
• information that is determined as confidential by a person himself/ herself
(which is not legally defined as either public or sensitive). Processing of such in-
formation is possible upon the consent of a person;
• sensitive information on which the legislator may impose restrictions or an
explicit ban on its processing (which does not prohibit the person himself/herself to
spread it voluntary) or allow processing by a person; however, under such condi-
tions, a special high complexity order of its processing is introduced. Legislation
may establish special rules for the processing of sensitive information which are
aimed at guaranteeing confidentiality or prohibiting the collection / processing of
certain types of particularly sensitive information.
It is noted that there are two basic models of protection of personal infor-
mation: American and European ones. The American approach is based on a sec-
toral approach, which means adopting various acts to protect information depend-
ing on the specific field of public relations. According to the European approach,
there should be the unique omnibus law on personal data protection. There is also a
12
mixed approach (the existence of the general law and special field acts at the same
time). We believe that the mixed approach to the development of domestic legisla-
tion in the field of protection of personal information is the most acceptable; we
shall emphasize the mandatory necessity of the existence of the general law on the
protection of information privacy under the conditions of the corresponding de-
tailed sectoral regulation in various spheres.
It is found out that the term "public person" is constantly used in the foreign
law and judicial practice of the West in the field of protection of the right to priva-
cy. At the same time, Ukrainian legislation does not distinguish the status of public
persons as such when regulating the protection of personal information, as an al-
ternative it contains only the concept of "social necessary information”, which can
be also considered from the point of view of the possibility of legitimate interfer-
ence with the private life of public persons as well. The concept of public people is
actively used in Ukrainian case-law, which is guided by international standards, as
well as by the practice of the European Court of Human Rights.
It is noted that the American and European models of protection of personal
data are clearly reflected in the relevant specialized mechanisms. There are no such
specialized mechanisms in the United States (partly, this process involves the Fed-
eral Trade Commission, but it has rather limited powers and plays an insignificant
role in the appropriate protection of information privacy). This is due to a signifi-
cant role of private-law mechanisms (commencement of an action and compensa-
tion of losses). In Europe in constrast to the American model one can find a signif-
icant role of public-law mechanisms, the widespread nature of such specialized
bodies for the protection of the information about a person, as well as the presence
of such wide-ranging regulatory, supervisory and controlling powers. This tenden-
cy has recently manifested itself both at the national level and European statutory
documents and treaties.
A number of recommendations for the implementation of the local self-
government reform in Ukraine are formulated. In particular, these are: the need for
13
legislative approximation to the Constitution of Ukraine, improvement of the prac-
tice of application of: provisions that make it impossible to refuse to provide bio-
metric data to obtain a national passport (ID card); the need to restrict the use of an
individual tax number (IPN) only in the field of tax accounting and tax policy, im-
possibility of the use of the specified number as a universal identifier of a person;
discontinuation of practice to place information on duplicates of passport and the cer-
tificate of assignment of the personal identification number of the entrepreneurs on
the ‘Prozzoro’ website; the unconstitutionality of collecting biometric data in the
form of DNA samples provided by the Law "On National Police”; unconstitu-
tionality of electronic declaration for anti-corruption activists, provided by the Law
"On Prevention of Corruption"; discontinuation of mass distribution of personal
data on relevant unofficial sites in the Internet (IDNs, residential addresses, tele-
phone numbers, date of birth of natural persons-citizens of Ukraine).
The scientific novelty of the obtained results is determined by the fact that
this work is a multicenter scientific study of the constitutional and legal protection
of information about a person in its comparative and legal aspect. The author sub-
stantiates a number of conceptual notions, theoretical issues and conclusions, prac-
tical recommendations for improving the constitutional and legal regulations of
protection of personal information in Ukraine.
The practical importance of the results obtained involve the following:
in the scientific and research area - for further research on the protection of
personal information;
in law-making activity - as theoretical material in the elaboration and adop-
tion of laws and other regulatory legal acts;
in the educational process - when preparing the relevant sections of text-
books on the Constitutional Law of Ukraine, in teaching "Constitutional Law of
Ukraine", "Human and Civil Rights and Freedoms and Mechanism of their Protection",
"Constitutional Jurisdiction" courses and for students’ research work;
14
in legal awareness-rising work - to improve the legal culture of Ukrainian
citizens.
Key words: personal information, personal data, confidential information,
public persons, right to privacy.
Список публікацій здобувача:
Наукові праці, в яких відображені основні результати дослідження:
1. Кардаш А. В. Захист інформації про публічних осіб в Україні Публічне
право. 2017. № 4. С. 84-90
2. Кардаш А. В. Уповноважений орган у сфері захисту інформації про
особу в Україні: проблеми правового регулювання Науковий вісник
Херсонського державного університету. Серія «Юридичні науки». 2017. №
5. С. 64-67
3. Кардаш А.В. Уповноважений орган у сфері захисту інформації про
особу: зарубіжний досвід Право і суспільство. 2017. № 6. С. 7-13
4. Кардаш А.В. Право на приватність як основоположне право людини
Науковий вісник Ужгородського національного університету. 2017. Серія
Право. Вип. 47. С. 76-80.
5. Кардаш А. В. Інформація про особу та персональні дані: окремі
аспекти співвідношення Форум права: електрон. наук. фахове вид. 2017. №
4. С. 87–92. URL: http://nbuv.gov.ua/j-pdf/FP_index.htm_2017_4_15.pdf
Наукові праці, в яких засвідчено апробацію результатів дослідження:
1. Кардаш А. В. До питання про розмежування категорії "інформація про
особу" та "персональні дані" Принципи сучасного конституціоналізму та
Основний Закон України. IХ Тодиківські читання : зб. тез наук. доп. і
15
повідомлень Міжнар. наук. конф. (4-5 лист. 2016 р.) / гол. редкол. А. П.
Гетьман ; редкол. Ю. Г. Барабаш [та ін.] . Харків : Права людини, 2016. С.
59-61 .
2. Кардаш А. В. Правова регламентація особистих прав в Конституції
УНР ("Круглий стіл" "Історія українського парламентаризму (до 100-річчя
утворення Української Центральної Ради)") Вісник Національної академії
правових наук України. 2017. № 2. С. 230.
3. Кардаш А. В. Уповноважений орган в сфері захисту інформації про
особу в Україні Юридична осінь 2017 року : зб. тез доп. та наук. повідомл.
учасників всеукр. наук. конф. молодих учених : 15 листоп. 2017 р. м. Харків /
М-во освіти і науки України, Нац. юрид. ун-т ім. Ярослава Мудрого, Рада
молодих учених, Студент. наук. т-во. Харків : НЮУ ім. Ярослава Мудрого,
2017. С. 48-50
4. Кардаш А. В. Захист інформації про публічних осіб в Україні
Конституція України в контексті сучасних конституційних парадигм. Х
Тодиківські читання : зб. тез наук. доп. і повідомлень Міжнар. наук. конф.
(27-28 жовт. 2017 р.) / гол. редкол. А. П. Гетьман ; редкол. Ю. Г. Барабаш [та
ін.] . Харків : Права людини, 2017. С. 121-122 .
5. Кардаш А. В. Конституційно-правовий захист інформації про особу:
порівняльний аспект Юридична осінь 2018 року : зб. тез доп. та наук.
повідомл. учасників всеукр. наук. конф. молодих учених : 14 листоп. 2018 р.
м. Харків / М-во освіти і науки України, Нац. юрид. ун-т ім. Ярослава
Мудрого, Рада молодих учених, Студент. наук. т-во. Харків : НЮУ ім.
Ярослава Мудрого, 2018. С. 189-191.
16
2
ВСТУП ..................................................................................................................... 3
РОЗДІЛ І. ІНФОРМАЦІЯ ПРО ОСОБУ ЯК ОБ’ЄКТ КОНСТИТУЦІЙНО-
ПРАВОВОГО РЕГУЛЮВАННЯ ......................................................................... 12
1.1. Право на приватність: теоретичні аспекти. .............................................. 12
1.2. Співвідношення термінів «інформація про особу» і «персональні дані»
в законодавстві України .................................................................................... 33
1.3. Сутність та види інформації про особу в зарубіжному законодавстві . 57
1.4. Правовий режим конфіденційності інформації про особу ..................... 78
Висновки до розділу 1 ........................................................................................ 101
РОЗДІЛ ІІ. КОНСТИТУЦІЙНО-ПРАВОВІ ЗАСАДИ ЗАХИСТУ
ІНФОРМАЦІЇ ПРО ОСОБУ ............................................................................... 109
2.1. Захист інформації про особу в міжнародних актах та конституційно-
правовому законодавстві зарубіжних країн .................................................. 109
2.2. Конституційно-правові межі захисту інформації про особу ................ 132
2.3. Статус публічних осіб та його вплив на обсяг захисту інформації про
особу .................................................................................................................. 150
2.4. Спеціалізовані механізми захисту інформації про особу: досвід
зарубіжних країн і України ............................................................................. 168
Висновки до розділу 2 ........................................................................................ 193
ВИСНОВКИ ......................................................................................................... 199
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ........................................................... 205
ДОДАТКИ ............................................................................................................ 227
Додаток А ............................................................................................................. 227
3
ВСТУП
Обґрунтування вибору теми дослідження. Приватна сфера життя
традиційно є надзвичайно чутливою для кожної людини. Разом з тим останні
десятиліття неабияк сколихнули світове співтовариство у зв’язку з ризиками,
які несе приватності розвиток інформаційних цифрових технологій.
Свідченням цього є ініціювання Радою Європи 2007 року Європейського дня
захисту даних, який відзначають 28 січня – в річницю підписання у 1981
році Конвенції «Про захист осіб у зв’язку з автоматизованою обробкою
персональних даних» (т.з. «Конвенція 108»).
Серед актуальних важливих подій, прямо пов’язаних із заявленою
тематикою – набуття чинності нового Регламенту ЄС про захист даних
(GDPR) 25 травня 2018 року. Вагомість цього документу полягає в тому, що
в ньому зроблено спробу створити таку систему норм у сфері правового
регулювання інформації про особу, яка б відповідала існуючій цифровій
реальності і надійно захищала права людини.
Стрімкий розвиток інформаційних технологій, що проникли в усі
царини суспільного життя, сприяв виникненню нових правовідносин з
приводу захисту інформації про особу. Не оминули ці процеси і Україну, яка
поступово, ґрунтуючись на положеннях статті 32 Конституції України, стає
на шлях захисту інформаційної приватності. Ключовим кроком до цього
стало ухвалення Закону «Про захист персональних даних» 1 червня 2010 р.
Щоправда, багато його положень є недосконалими, не завжди узгоджуються
з іншим інформаційним законодавством та потребують вдосконалення,
зокрема з позицій врахування європейського досвіду.
Теоретичною основою для дослідження конституційно-правового
захисту інформації про особу стали наукові праці українських вчених:
Ю.Г. Барабаша, І.І. Дахової, О.В. Нестеренко, В.В. Речицького, В.О.
Серьогіна, Т.М. Слінько, Ю.М. Тодики, О.О. Чуб, С.В. Шевчука та інших.
4
Варто зазначити, що питання захисту інформації про особу неодноразово
ставало предметом дисертаційних досліджень на кандидатському рівні з
позицій різних галузей права, зокрема: цивільного права (О.А. Дмитренко
«Право фізичної особи на власні персональні дані в цивільному праві
України», 2010 р., О.П. Радкевич «Цивільно-правова охорона і захист
персональної інформації в мережі Інтернет», 2014 р., І. І. Романюк «Охорона
права на персональні дані в України (цивільно-правовий аспект», 2015 р.);
кримінального права (О.П. Горпинюк «Кримінально-правова охорона
інформаційного аспекту приватності в Україні», 2011 р., І. Б. Король
«Охорона недоторканності приватного життя: кримінально-правові та
кримінологічні аспекти», 2015 р., О. В. Сосніна, «Кримінальна
відповідальність за порушення недоторканності приватного життя (ст. 182
КК України)», 2017 р.); адміністративного права (В.М. Брижко
«Організаційно-правові питання захисту персональних даних», 2004 р., Ю.О.
Гелич «Інформаційно-правові гарантії таємниці особистого життя людини»,
2010 р., М.В. Різак «Правове регулювання відносин обігу персональних
даних», 2012 р., А.В. Тунік «Правові основи захисту персональних даних»,
2012 р., К. С. Мельник «Правові та організаційні засади захисту
персональних даних в умовах євроінтеграції України 2016 р.»); трудового
права (А.М. Чернобай «Правові засоби захисту персональних даних
працівника», 2006 р. , Д. С. Гета «Захист персональних даних працівників у
трудових відносинах», 2017 р.); міжнародного права (А.В. Пазюк
«Міжнародно-правовий захист права людини на приватність
персоніфікованої інформації», 2004 р.).
З позицій конституційного права досліджувалися лише окремі аспекти
інформаційної приватності, зокрема, в кандидатських дисертаціях
«Конституційне право на інформацію в Україні (порівняльний аналіз)» Н.В.
Кушакової (2003 р.), «Право на доступ до інформації в Україні:
конституційно-правовий аспект» О.В. Нестеренко (2008 р.) та «Свобода
5
масової інформації: конституційно-правовий аспект» В.В. Середюк (2010 р.),
а також у докторській дисертації В.О. Серьогіна «Конституційне право особи
на недоторканність приватного життя (прайвесі): проблеми теорії та
практики» (2011 р.).
Разом з тим, слід зазначити, що на сьогодні комплексне конституційно-
правове дослідження проблеми конституційно-правового захисту інформації
про особу на монографічному рівні відсутнє. Саме цим, а також
надзвичайною актуалізацією потреби сучасного суспільства у захисті такої
інформації і зумовлено вибір теми дисертації як об’єкта наукового аналізу.
Зв’язок роботи з науковими програмами, планами, темами.
Дисертаційна робота виконана згідно з планом науково-дослідних робіт
Національного юридичного університету України імені Ярослава Мудрого в
межах та відповідно до цільової комплексної програми «Конституційно-
правові проблеми забезпечення верховенства права у функціонуванні
механізму публічної влади в Україні» (державна реєстрація № 0111U000966).
Мета і завдання дослідження. Метою роботи є здійснення комплексної
науково-практичної розробки конституційного-правового захисту інформації
про особу, його еволюції, а також особливостей на сучасному етапі в
зарубіжних країнах і Україні в порівняльно-правовому аспекті.
Для досягнення вказаної мети в дисертації поставлено такі завдання, що
розкривають спрямованість дослідження:
– розкрити сутність права на приватність;
– визначити співвідношення між термінами «інформація про особу» і
«персональні дані» в законодавстві України;
– з’ясувати сутність та види інформації про особу у зарубіжному
законодавстві;
– охарактеризувати особливості правового режиму конфіденційності
інформації про особу;
6
– з’ясувати особливості захисту інформації про особу в міжнародних
актах та конституційно-правовому законодавстві зарубіжних країн;
– визначити конституційно-правові межі захисту інформації про особу;
– з’ясувати особливості статусу публічних осіб та його вплив на обсяг
захисту інформації про особу;
– встановити роль спеціалізованих механізмів захисту персональних
даних у досвіді зарубіжних країн і України.
Об’єктом дослідження є суспільні відносини, що складаються в процесі
правового регулювання конституційно-правового захисту інформації про
особу та практика застосування відповідних нормативних положень в
зарубіжних країнах і Україні.
Предметом дослідження є конституційно-правовий захист інформації
про особу в порівняльно-правовому аспекті.
Методи дослідження. Методологічну основу дисертаційної роботи
становить сукупність прийомів і методів наукового пізнання. Використання
загальнонаукового діалектичного методу допомогло проаналізувати питання
конституційно-правового захисту інформації про особу у взаємозв’язку і
взаємозалежності, цілісності, всебічності і динаміці. Характер предмета
дисертаційної роботи зумовив також використання порівняльно-правового
методу – для порівняльного аналізу нормативного регулювання в сфері
захисту інформації про особу та практики його застосування у зарубіжних
країнах і в Україні (підрозділи 2.1, 2.3, 2.4); структурно-функціонального – з
метою виокремлення та дослідження чинників, які впливають на захист
інформації про особу (підрозділ 2.1); історичного – для аналізу історії права
на приватність (зокрема, в сфері захисту інформації), його нормативного
закріплення, історії розвитку законодавства щодо конституційно-правового
захисту інформації про особу в зарубіжних країнах, Україні, а також в
міжнародних актах (підрозділ 1.1, 2.1); системного – з метою розгляду
інформації про особу, а у комплексі з іншими конституційно-правовими
7
явищами, зокрема з позицій балансування права на приватність і свободи
вираження поглядів, а також у комплексі з іншими юридичними явищами, які
стосуються захисту інформації про особу в інших галузях права (підрозділ
2.2); формально-логічного – при формулюванні визначень таких понять, як
«інформація про особу», «публічні особи», «персональні дані» тощо
(підрозділи 1.2, 1.3, 1.4, 2.3); формально-юридичного – при тлумаченні і
аналізі положень чинного законодавства і судової практики України та
зарубіжних країн (підрозділи 1.2, 1.4, 2.2, 2.3, 2.4).
Наукова новизна отриманих результатів полягає в тому, що
представлена робота є комплексним науковим дослідженням конституційно-
правового захисту інформації про особу в порівняльно-правовому
аспекті. Обґрунтовано низку концептуальних понять, теоретичних положень
і висновків, практичних рекомендацій щодо вдосконалення конституційно-
правового регулювання захисту інформації про особу в Україні.
Уперше:
– сформульовано визначення конституційно-правового захисту
інформації про особу як сукупності нормативних та інституційних правових
механізмів, спрямованих на забезпечення інформаційної приватності в формі
реагування конституційно-правовими засобами на неправомірне втручання з
боку держави і приватних осіб;
– запропоновано відмовитися від вживання терміна «особисте і сімейне
життя» в тексті Конституції України та використовувати замість нього термін
«приватне і сімейне життя». Термін «інформація про особисте і сімейне
життя» має бути вилучений також із поточного законодавства після
відповідної корекції ст. 32 Конституції України;
– аргументовано пропозицію щодо необхідності закріплення у Законі
«Про захист персональних даних» норми щодо нерозповсюдження загальних
підстав обробки персональних даних, вичерпний перелік яких міститься у ст.
8
11 цього Закону, на інформацію з правовим режимом відкритості
(загальнодоступності);
– запропоновано в Законі України «Про захист персональних даних»
закріпити класифікацію інформації про особу за режимом доступу на
відкриту апріорі (загальнодоступну) та обмежену в доступі. Остання може
бути: а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової інформації);
б) конфіденційною. Конфіденційна інформація має поділятися на:
інформацію, яка визначається конфіденційною самою особою (яка не
віднесена законом ані до відкритої, ані до чутливої/вразливої). Обробка такої
інформації можлива за згоди особи; вразливу (чутливу) інформацію, щодо
якої законодавець може встановлювати обмеження або пряму заборону на її
обробку (що не забороняє самій особі добровільно її поширювати) або
дозволяти за умови прямої згоди на обробку з боку особи, проте за таких
умов визначається особливий підвищений порядок її обробки;
– обґрунтовано висновок про те, що «право бути забутим (право на
забуття)» («right to be forgotten») не спростовує, за загальним правилом,
можливість існування правового режиму відкритої (загальнодоступної)
інформації. Про безспірність такого вилучення (за певних умов) можна
стверджувати лише в пошукових системах мережі Інтернет;
удосконалено:
– аргументацію щодо доцільності застосування концепції відносної
(суб’єктивної) ідентифікації особи, на користь чого свідчать нормативні
документи і судова практика;
– положення про те, що право на захист інформації стосується лише
фізичних осіб;
– пропозиція щодо застосування змішаного підходу до побудови
вітчизняного законодавства в сфері захисту інформації про особу, який
полягає в дії загального закону про захист інформаційної приватності та
9
необхідності створення галузевих нормативно-правових актів з детальною
регламентацією відповідних відносин;
набули подальшого розвитку:
– конституційно-правове тлумачення понять «інформація про особу» і
«інформація про особисте і сімейне життя», «інформація про приватне
життя» як синонімічних;
– аргументи щодо неможливості вважати анонімну інформацію про
особу цілковито «безпечною» з точки зору інформаційної приватності,
передусім з огляду на появу феномену т.з. «Великі дані» («Big Data»);
– аргументи щодо недоцільності розгляду будь-яких відомостей про
фізичну особу та її приватне життя особливим видом умовно визначеної
власності, що юридично виступає у формі права приватної власності людини;
– аргументи на користь необхідності запровадження офіційного статусу
відкритої інформації про особу на рівні законодавчої класифікації інформації
про особу. Доцільним також є пряме закріплення класифікації персональних
даних на звичайні і чутливі. Відповідне означення чутливої інформації має
бути також зроблено у ст. 7 Закону «Про захист персональних даних»;
– наукові аргументи щодо: неконституційності положень, що
унеможливлюють відмову від надання біометричних даних для отримання
внутрішнього паспорта (ID карти); необхідності обмеження використання
індивідуального податкового номера (ІПН) виключно в сфері податкового
обліку і податкових відносин, а не застосування зазначеного номера як
універсального ідентифікатора особи; припинення практики розміщенні на
сайті «Прозорро» копій паспорта і довідки про присвоєння ІПН фізичних
осіб-підприємців; неконституційності передбаченого Законом «Про
Національну поліцію» дозволу забезпечувати збирання, накопичення
біометричних даних у вигляді зразків ДНК; неконституційності електронного
декларування для антикорупційних активістів, що передбачене Законом «Про
запобігання корупції»; припинення масового поширення в Інтернеті на
10
відповідних неофіційних сайтах персональних даних (ІПН, адрес
проживання, номерів телефонів, дати народження фізичних осіб-громадян
України);
– теза щодо відмінностей у підходах до створення спеціалізованих
органів щодо захисту інформаційної приватності в Європі (характерною є
велика роль публічно-правових механізмів, повсюдність таких
спеціалізованих органів) та США (спеціалізовані механізми відсутні);
– пропозиція щодо запровадження посади спеціалізованого
інформаційного уповноваженого (окремо від Уповноваженого Верховної
Ради України з прав людини), який би мав відповідну незалежність. Окрім
проведення перевірок і накладення штрафів, такий уповноважений має
володіти більш ефективним арсеналом правових засобів щодо нагляду у
відповідній сфері (право вимагати від порушника, а також звертатися до суду
з вимогою в найкоротший строк припинити порушення права на
недоторканність приватного життя в сфері персональних даних, можливості
звернення щодо блокування Інтернет-ресурсів в судовому порядку,
здійснення контролю за обробкою інформації про особу в базах даних тощо).
Практичне значення одержаних результатів. На підставі наукових
положень проведеного дослідження сформульовані висновки, практичні
рекомендації можуть бути використані:
– у науково-дослідницькій галузі – для подальшого дослідження
захисту інформації про особу;
– у правотворчій діяльності – як теоретичну базу при опрацюванні і
прийнятті законів та інших нормативно-правових актів;
– у навчальному процесі – у викладанні навчального курсу
«Конституційне право України». «Права і свободи людини і громадянина та
механізм їх захисту», «Конституційна юрисдикція», при підготовці
відповідних розділів підручників з конституційного права України, у
науково-дослідницькій роботі студентів;
11
– у правовиховній роботі – для підвищення правової культури громадян
України та обіхнаності в сфері захисту інформації про себе.
Апробація матеріалів дисертації. Основні теоретичні положення
дисертації, висновки і пропозиції, обговорювались та були схвалені на
засіданнях кафедри конституційного права України Національного
юридичного університету України імені Ярослава Мудрого. Ключові
положення роботи були апробовані автором на науково-практичних
конференціях: Міжнародній науковій конференції молодих учених,
аспірантів і студентів «Принципи сучасного конституціоналізму та Основний
Закон України: ІХ Тодиківські читання» (м. Харків, 4–5 листопада 2016
року); круглому столі «Історія українського парламентаризму (до 100-річчя
утворення Української Центральної Ради)» (27 квітня 2017 р., м. Харків);
круглому столі «Актуальні проблеми конституційного реформування на
сучасному етапі» (15 чеврня 2017 р., м. Харків); Міжнародній науковій
конференції «Конституція України в контексті сучасних конституційних
парадигм: Х Тодиківські читання» (27-28 жовтня 2017 року, м. Харків);
Всеукраїнській науковій конференції молодих вчених «Юридична осінь 2017
р.» (15 листопада 2017 р., м. Харків); Всеукраїнській науковій конференції
молодих вчених «Юридична осінь 2018 р.» (14 листопада 2018 р., м. Харків).
Структура та обсяг дисертації. Дисертація складається зі вступу, двох
розділів, що включають вісім підрозділів, висновків, списку використаних
джерел (208 найменувань) та додатків. Загальний обсяг дисертації складає
223 сторінок, з яких основного тексту – 198 сторінок.
12
РОЗДІЛ 1
ІНФОРМАЦІЯ ПРО ОСОБУ ЯК ОБ’ЄКТ КОНСТИТУЦІЙНО-
ПРАВОВОГО РЕГУЛЮВАННЯ
1.1. Право на приватність: теоретичні аспекти.
Характеристику конституційно-правового регулювання захисту
інформації про особу, потрібно почати з характеристики того права, сфера дії
якого охоплює відповідний захист. Таким суб’єктивним індивідуальним
правом є право людини на приватність (за американською термінологією,
right to privacy, прайвесі), або – право на повагу до приватного життя (за
термінологією ЄКПЛ).
В англійській мові всі сторони приватного життя позначаються єдиним
терміном “privacy” (з англ. – приватне життя, приватність), який не має
буквального перекладу українською мовою [64, с. 49]. Український
відповідник англомовному «Privacy» може бути утворений двома шляхами.
Перший – шляхом нового запозиченого слова за допомогою транскрибування
та транслітерації: «privacy – прайвесі» [Див., напр.: 145]. Другий – шляхом
використання терміна «приватність», який є спробою адекватного перекладу
англійського слова «privacy». Ми підтримуємо тих вчених, які вважають за
доцільне використовувати термін «право на приватність» як український
відповідник «right to privacy» [105, С. 129-130].
Варто погодитися із С. Шевчуком у тому, що право на повагу до
приватного життя є одним з небагатьох прав людини, які не мають точного
визначення [172, С. 359]. Практично неможливо визначити повний перелік
відносин, дій чи фактів, що становлять зміст приватного життя особи [55, c.
5]. Намагання сформулювати детальне визначення приватного життя є
неефективним і недоцільним через тісний взаємозв’язок цієї категорії з
глибинними психологічними процесами та властивостями індивіда. Нема
змоги також встановити і вичерпний перелік правомочностей, які
13
забезпечують недоторканність приватного життя, і навіть порушень
приватності – поява нових технологій неодмінно призведе до «збагачення»
способів порушення приватності та зумовить необхідність доповнення
переліку правомочностей для захисту недоторканності приватного життя [55,
c. 7].
Подібної думки притримується І.В. Михайленко, яка також вважає, що
вичерпне визначення права на недоторканність приватного життя
формулювати недоцільно, оскільки, по-перше, кожен вміщує в нього
власний, індивідуальний зміст; по-друге, неможливо охопити всі сфери його
прояву з огляду на сучасний стан і розвиток суспільних відносин [70, c. 6].
Як справедливо зазначають Т.М. Слінько і О.Г. Кушніренко, відносини
між людьми і сфера особистого, сімейного життя людини нормами права
регулюються не значною мірою. Це пояснюється тим, що крім публічно
значущої діяльності людина існує як індивідуум, якому необхідна
незалежність від інших людей, а також суспільства та держави [58, С. 104].
Прайвесі передбачає наявність певної фізичної, психологічної та духовної
автономії, яку стали називати «персональним суверенітетом», «сферою
імунітету», «резервуаром природного свободи», «територією вільної
діяльності» людини [76].
Не маючи змоги розглянути всі історичні передумови цього права,
зазначимо, що його визнання було тісно поєднано із законодавчим
визначенням і конституюванням прав людини взагалі. Величезну роль у
створенні сучасної системи прав людини відіграла англосаксонська правова
система. Одним з ключових історичних документів в цьому плані став акт
Хабеас корпус 1678 р., завдяки якому в юридичний обіг введено поняття
«належна процедура», встановлено гарантії недоторканності особи, принцип
презумпції невинуватості й інші важливі для захисту прав особи положення,
а в 1689 р. був прийнятий Білль про права, який затвердив у Великій Британії
конституційну монархію [155, С. 24-25].
14
Щоправда, у цих документах прямої вказівки на право на приватність не
було. У Великій Британії це право застосовується на підставі судових
прецедентів. Так само в США право на приватне життя виводиться з
судового тлумачення ряду статей Білля про права, який прямо не передбачає
право на приватне життя [155, C. 27]. Це право завдячує свому розвитку
передусім правовій доктрині − опублікована в 1890 р. випускниками
Гарвардської школи права С. Уорреном та Л. Брандейсом стаття «Право на
приватність» [180] вважається однією з найбільш відомих, авторитетних та
впливових наукових праць в юридичній науці. Загалом ХІХ ст. було золотим
століттям приватності. Саме тоді сформувалося його поняття і термінологія
[29, C. 7].
У зв’язку з цим більшість сучасних вітчизняних та іноземних вчених
дійшли висновку, що початок розробки ідеї про необхідність розгляду
сукупності інформації про фізичну особу як об’єкт правової охорони,
поклали американські вчені-правознавці. Розвиток цієї ідеї знайшов
відображення у концепції права на приватність (right to privacy) [65, c. 16].
Автори статті підходили до змісту права на недоторканність приватного
життя з позицій його виникнення: унаслідок розвитку друкарської справи,
фотографії з'явилася нова сфера правової реальності, що потребує захисту.
Зважаючи на це була висловлена ідея про необхідність законодавчого
захисту права на приватне життя. Ця ідея виводилася з аналогії з авторським
правом, тому робився висновок, що дане право не підлягає захисту в разі,
якщо власник інформації не оприлюднить її за власною ініціативою. При
цьому вказується на порочність обґрунтування права на приватне життя
авторським правом або правом власності, оскільки предмет захисту в даному
разі інший. Стаття С. Уоррена та Л. Брандейса визначила напрямки розвитку
загального права США в частині захисту життя і стала базисом для
подальшого розвитку даного права як в країнах англосаксонської системи
права, так і на континенті. Великий вплив на розвиток концепції права на
15
приватне життя в США справила низка прецедентів Верховного Суду США,
тлумачення останнім Білля про права з позицій захисту недоторканності
приватного життя [155, С. 29-30].
Разом з тим у правовій доктрині США немає єдності щодо розуміння
правової природи права на приватність. Натомість виокремлюють низку
різноманітних концепцій [Детальніше див.: 105, С. 132]. В.О. Серьогін серед
існуючого різноманіття наукових концепцій прайвесі виділяє такі: 1)
прайвесі як право бути залишеним у спокої (С.Уоррен, Л. Брайденс); 2)
прайвесі як обмежений доступ до себе (Д.О. Брайєн, Е.Ван Ден Хааг, Р.
Гавізон); 3) прайвесі як таємність (Р.Познер, С. Джерард, А. Етціоні); 4)
прайвесі як контроль над персональною інформацією (А.Вестін, Р.Паркер,
Р.Мерфі); 5) прайвесі як інтимність (Т.Джереті, Д.Фарбер, Дж. Рейчелс) [145,
с. 151].
Різноманітність підходів цілком зрозуміла. Судова практика зіткнулася з
тим, що під спільним дахом «приватності» зібрано купу різнорідних
інтересів, які треба було визначити й класифікувати. Тому в кінцевому
рахунку конкретизувати зміст права на недоторканність приватного життя
легше не через правомочності, які має у своєму розпорядженні суб’єкт цього
права, а через ті порушення, від яких це право його захищає. Класифікацію
таких порушень можна представити таким чином: 1) порушення
усамітненості особи або втручання в її особисті справи (сюди належать і такі
порушення, як підслуховування і перехоплення телефонних переговорів або
перлюстрація кореспонденції); 2) оприлюднення відомостей особистого
характеру, які з точки зору особи, несприятливо впливають на її імідж у
суспільстві або завдають їй біль і душевні страждання ( у т.ч. і в тих
випадках, коли такі відомості відповідають дійсності); 3) виставлення особи
в неправдивому світлі в очах оточуючих; 4) використання імені або
зображення обличчя в інтересах того, хто його використовує (у першу чергу,
з метою отримання комерційної вигоди) [145, C. 101-102].
16
Конституційний аспект приватності вперше був закріплений у рішенні
Верховного суду США у справі Грісволд проти штату Коннектикут (Griswold
v. Connecticut), у якому встановлено, що закон штату Коннектикут, який
забороняє використання контрацептивів, порушує право подружжя на
приватність. Суд, визнаючи, що Конституція не містить у своєму тексті слово
«приватність», вважав, що загальне право на приватність може бути виведено
із змісту першої, третьої, четвертої, п’ятої та чотирнадцятої поправок, а
також інтересів, що ними охороняються [105, С. 136-137].
Як зазначає В.О. Серьогін, конституційне право на інформаційне
прайвесі – це відгалуження сформульованого у рішеннях Верховного суду
США “права на прайвесі”. Концепція прайвесі як приховування інформації
про себе формує базу для того, що відоме як конституційне право на
інформаційне прайвесі [144, С. 207].
Відповідно до законодавства право на приватність означає здатність
запобігти неузгодженому оприлюдненню делікатної, конфіденційної або
компрометуючої інформації. У цьому разі приватність спрямована на
таємницю. Зважаючи на федеративну форму державного устрою,
законодавство, яке встановлює охорону приватності, слід розглядати на двох
рівнях, а саме – федеральному та окремих суб’єктів федерації. На
федеральному рівні законодавчий орган прийняв низку нормативно-правових
актів, спрямованих на захист від втручання в особисте життя. Усю
сукупність вказаних законів О.О. Посикалюк умовно поділяє на групи [105,
С. 138-139], які: а) встановлюють загальні положення про захист приватності,
а саме, Закон про охорону приватності 1974 р. (Privacy Act), Закон про
свободу інформації 1996 р. (Freedom of Information Act); б) встановлюють
охорону приватності в межах медичних правовідносин, наприклад, Закон про
відповідальність та переміщення даних про страхування здоров’я 1996 р.
(Health Insurance Portability and Accountability Act); забезпечують фінансову
приватність, серед яких Закон про добросовісне надання кредитної
17
інформації 1970 р. (Fair Credit Reporting Act), Закон про конфіденційність
фінансового стану приватної особи 1978 р. (The Right to Financial Privacy
Act); в) закріплюють окремі аспекти права на приватність у сфері відносин,
пов’язаних із освітньою діяльністю – Закон про права сім’ї на освіту і
конфіденційність результатів навчання 1974 р. (Family Educational Rights and
Privacy Act); гарантують приватність при використанні інформаційних
технологій – Закон про захист комп’ютерної інформації (The Computer
Security Act); г) встановлюють випадки правомірного втручання в
приватність з метою забезпечення національної безпеки та правопорядку –
Зведений закон про контроль над злочинністю і забезпечення безпеки на
вулицях 1968 р. (Omnibus Crime Control and Safe Streets Act), Закон про
свободу 2015 р. (USA Freedom Act) тощо.
Таким чином, у США розвиток права на приватне життя йшов від
доктринального і судового визнання до видання цілої системи нормативно-
правових актів, що всебічно регулюють захист права на приватне життя в
різних галузях людської діяльності. На початковому етапі при формуванні
доктрини права на приватне життя серйозний вплив на цей процес справляли
рішення англійських судів, у яких найчастіше американські автори бачили
дещо більше, ніж самі англійці. Закономірності формування концепції права
на приватне життя в США відбивають загальні закономірності розвитку
американського права, в якому юридична доктрина «прив'язана» до судових
прецедентів і позицій суддів з того чи іншого питання [155, С. 37].
Що стосується країн континентальної Європи, то закріплення права на
приватне життя було переважно здійснено в новітніх конституціях країн
континентальної правової системи, прийнятих після закінчення Другої
світової війни. Значний вплив на це справила стаття 12 Загальної декларації
прав людини 1948 р., де таке право було вперше визнане на міжнародному
рівні. Статтею 12 Загальної декларації встановлено «No one shall be subjected
to arbitrary interference with his privacy, family, home or correspondence, nor to
18
attacks upon his honour and reputation», що можна перекласти як «ніхто не
може зазнавати свавільного втручання у його приватність і сім’ю, житло або
кореспонденцію, або посягання на його честь і репутацію». Загальна
декларація прав людини в цьому відношенні мала вплив на розвиток інших
правових документів (інструментів) захисту прав людини у Європі [108, С.
15].
В.О. Серьогін справедливо наголошує: «Право на приватність виходить
на авансцену суспільної уваги. Воно включається до загального каталогу
прав людини і закріплюється багатьма міжнародно-правовими актами та
конституціями індустріально розвинених країн. Ідея правової охорони
недоторканності приватного життя набуває нового, більш глибокого змісту»
[145, с. 103].
Окремо потрібно вказати на роль Конвенції про захист прав людини і
основоположних свобод 1950 р. (ЄКПЛ), стаття 8 якої гарантує право на
повагу до приватного і сімейного життя, житла та кореспонденції, а також
визначає умови, за яких дозволяється обмежувати це право. В аспекті захисту
ст. 8 ЄСПЛ оперує поняттям «інформація про приватне і сімейне життя
особи».
У ході вивчення прецедентів та правових позицій ЄСПЛ щодо ст. 8
Конвенції про захист прав людини і основоположних свобод виявлено
тенденцію до все більш широкого розуміння змісту поняття «приватне
життя». Термін «повага», який використовується у ст. 8 цієї Конвенції, також
тлумачиться відповідно до європейських стандартів ширше, ніж поняття
«недоторканність», яке використовується у вітчизняному законодавстві і
означає не тільки заборону на втручання держави, але і покладення на
останню позитивного обов’язку забезпечити за допомогою законодавства та
інших засобів повагу особистої сфери існування людини та її захист від
незаконного втручання з боку інших осіб. Аналіз рішень ЄСПЛ дає підстави
для висновку, що зміст права людини на приватне життя тлумачиться
19
надзвичайно широко [4, с. 32; 151, С. 56]. Зокрема, ЄСПЛ розуміє поняття
«приватне життя», включаючи в нього також професійну діяльність (справи
«Аманн проти Швейцарії») [108, С. 40].
У справі «Німіц проти Німеччини» (1992 р.) Європейський суд зазначив,
що він не вважає за можливе або необхідне дати вичерпне визначення
поняття «приватне життя», і що було б неправильно обмежувати його
«внутрішнім колом», де кожен може жити таким своїм власним життям,
якому він надає перевагу, і повністю виключити з цього зовнішній світ, що
не входить до складу цього кола. … Таким чином, особливо у разі, коли
особа має вільну професію, її робота в такому контексті може стати
невід’ємною частиною її життя до такого ступеня, що стає неможливим
відрізнити, ким вона виступає в даний момент [172, С. 363-364].
При цьому Комітет міністрів Ради Європи використовує також і термін
«право на приватність», тим самим, по суті, ототожнюючи американську
концепцію з відповідним правом у ст. 8 ЄКПЛ (див., зокрема, Резолюцію
1165 (1998) «Право на приватність») [125].
Значення права особи на повагу до її приватного життя висвітлюється і
у висновках і доповідях Європейської комісії з прав людини. Так, у своїй
доповіді по справі «Ван Оостервійк проти Бельгії» (1979 р.) Комісія
зауважила: «На думку багатьох англосаксонських та французьких авторів
право на повагу до приватного життя є правом на приватність, правом жити
так, як кожен того бажає, і бути захищеним від оприлюднення фактів
приватного життя… До певної міри це передбачає також право
встановлювати та підтримувати зв’язки з іншими особами, особливо коли
йдеться про вираження почуттів, а також для розвитку та ствердження себе
як особистості» [16, С. 72.].
Право на повагу до приватного і сімейного життя знайшло своє
відображення і в ст. 17 Міжнародного пакту про громадянські і політичні
права: «No one shall be subjected to arbitrary or unlawful interference with his
20
privacy, family, home or correspondence, nor to unlawful attacks on his honour
and reputation» [197]. Українською мовою це положення офіційно
перекладено так: «Ніхто не повинен зазнавати свавільного чи незаконного
втручання в його особисте і сімейне життя, свавільних чи незаконних
посягань на недоторканність його житла або таємницю його кореспонденції
чи незаконних посягань на його честь і репутацію» [71]. Як бачимо,
приватність перекладено як «особисте і сімейне життя».
Право на приватність також передбачено в ст. 7 Хартії основних прав
Європейського Союзу від 7 грудня 2000 р.: «Кожна людина має право на
повагу до його приватного і сімейного життя, житла і кореспонденції». Варто
звернути увагу на те, що в зазначеній Хартії окремо регулюється право на
захист персональних даних (ст. 8) [184]. Фактично йдеться про окреме право
особи, яке починає відокремлюватися від права на недоторканність
приватного життя. У науковій літературі з цього приводу зазначають, що
виокремлення права на захист персональних даних у самостійне право
людини, поряд із правом на недоторканність приватного життя, є єдино
правильним і продуктивним [153, С. 92]. До речі, цікавим є переклад
російською ч. 1 ст. 8 Хартії: «Каждый человек имеет право на охрану
касающихся его сведений личного характера» [168]. Як бачимо, персональні
дані стають при перекладі «відомостями особистого характеру».
Зауважимо, що право на приватне (особисте) і сімейне життя, таємницю
телефонних переговорів і на недоторканність житла передбачаються
більшістю конституцій сучасних європейських держав, зокрема,
Конституцією Королівства Бельгії від 17 лютого 1994 р. (ст. 22),
Конституцією Грецької Республіки від 11 червня 1975 р. (ст. ст. 9, 19),
Конституцією Королівства Данії від 5 червня 1953 р. (ч. VIII п. 72 ),
Конституцією Республіки Ісландії від 17 червня 1944 р. (ст. 71 була прийнята
поправкою до Конституції), Конституцією Королівства Іспанії від 27 грудня
1978 р. (ст. 18), Конституцією Італійської Республіки від 22 грудня 1947 року
21
(ст. ст. 14, 15), Конституцією великого герцогства Люксембург від 17 жовтня
1968 р. (ст. 28), Конституцією Королівства Нідерландів від 17 лютого 1983 р.
(ст. ст. 10, 12, 13), Конституцією князівства Монако від 17 грудня 1962 р. (ст.
22), Конституцією Швеції від 27 лютого 1974 р. (§ 2 ), Конституцією
Португальської Республіки від 2 квітня 1976 р. (ст. ст. 34, 35), Хартією
основних прав і свобод Чеської Республіки від 9 січня 1991 р. (ст. ст. 7,10),
Конституцією Фінляндії від 11 червня 1999 року (гл. 2 § 10) 24 та ін. [155, С.
32].
Разом із тим, варто відзначити, що єдиного підходу до вирішення цього
питання в країнах континентальної системи права немає. Як бачимо,
переважно вони пішли по шляху закріплення норми про право на приватне
життя в тексті конституції. Але справедливим слід визнати, що в
демократичних державах питання про необхідність позитивного закріплення
права на приватне життя, скоріше є питанням законодавчої традиції цих
держав і законодавчого стилю, а відсутність позитивного закріплення права в
тексті конституції, як правило, не впливає негативно на проблему його
визнання. Так, Конституція Франції 1958 р., так само як і Декларація прав
людини і громадянина 1789 р., право на приватне життя прямо не
передбачають, що в значній мірі пов'язано з традицією закріплення норм про
права людини і особливостями юридичної техніки у Франції. Проте право на
приватне життя у Франції визнається [155, С. 27-29].
Окремо слід сказати про Німеччину, оскільки особливістю каталогу
основних прав, який отримав закріплення в Основному законі ФРН, є
відсутність в ньому права на недоторканність приватного життя. Захист
приватного життя в німецькому праві охоплюється загальним правом на
свободу особистості і розглядається як один з проявів останнього [120, С.
34].
Як реакція на загрози особистості, пов'язані з розвитком інформаційних
технологій, що дозволяють обробляти, в тому числі таємно, величезні масиви
22
інформації, із загального права на свободу особистості ФКС Німеччини були
виведені право на інформаційне самовизначення (Recht auf informationelle
Selbstbestimmung) і право на забезпечення конфіденційності і цілісності
інформаційно-технологічних систем (Grundrecht auf Gewährleistung der
Vertraulichkeit und Integrität informationstechnischer Systeme) [120, С. 36-37].
Гарантування права на приватність у країнах континентальної Європи за
загальним правилом відбувається шляхом конституційного закріплення.
Водночас досвід таких країн, як ФРН чи Франція, доводить велику роль
судової практики та правової доктрини у гарантуванні цього права, що
виводиться з інших конституційних положень.
Необхідно відзначити, що міжнародні договори вплинули на
закріплення права на недоторканність приватного життя і в конституціях
інших держав. Зокрема, Конституція Перу від 29 грудня 1993 р. (ст. 2)
закріплює право кожного на недоторканність приватного і сімейного життя,
також на свій голос і образ; на секретність і недоторканність особистої
кореспонденції і документів; право зберігати в таємниці свої політичні,
філософські, релігійні та інші види переконань, а також професійну
таємницю. Конституція Бразилії від 5 жовтня 1988 р. (ст. 5) встановлює, що
інтимність, особисте життя, честь, репутація осіб непорушні; таємниця
листування, телеграфних повідомлень, телефонних відомостей і повідомлень
непорушна, за винятком випадків наявності судового ордера, виданого з
метою розслідування у кримінальній справі [155, С. 33].
На думку В.О. Серьогіна, у змісті права на недоторканність
приватного життя (прайвесі) можна виокремити такі компоненти:
1. За аспектами приватного життя: право на фізичну (тілесну,
тактильну) приватність; право на фонетичну (звукову) приватність; право на
візуальну (зорову) приватність; право на одорологічну (запахову) приватність;
право на географічну (дислокаційну) приватність; право на інформаційну
приватність (у т.ч. на таємницю особистого та сімейного життя).
23
2. За станами приватності: право на усамітненість (особисту
автономію); право на інтимність (обмежене й захищене спілкування); право
на анонімність (бути невпізнаним); право на нестриманість (емоційне
вивільнення); право на автономність (регулятивно-вольову автономію); право
на утаємниченість (таємниці приватного життя);
3. За вимірами: право на просторову приватність (власний фізичний
простір); право на часову приватність (час для приватного життя) [144, С. 147-
148].
С. Шевчук виділяє чотири основні складові права на повагу до
приватного життя:
– інформаційну, що включає в себе такі аспекти, як поширення
відомостей про особу, збір та обробка персональних даних;
– фізична, тобто захист фізичної недоторканності особи;
– комунікативну – безпеку та приватність листування, електронної
пошти, телефонних розмов та інших видів приватних комунікацій;
– просторова, яка охоплює поняття дому, робочого місця, тобто
безпосереднього середовища особи [172, с. 362]. Крім цього, частиною права
на повагу до приватного життя є право на самовизначення. Ідея автономії
особистості, що лежить в основі права на приватне життя, містить в собі
також можливість особи визначати свою особистість та обирати її власну
ідентичність. Відповідно, особа має право обирати своє власне ім’я, стиль
одягу, сексуальну орієнтацію і навіть змінювати свою стать [172, с. 377-378].
І.В. Михайленко виокремлює (а) тілесну (фізичну) приватність, (б)
територіальну приватність, (в) комунікативну та (г) інформаційну
приватність [70, с. 6].
Українська конституція право на приватність закріпила у формулі статті
32: «Ніхто не може зазнавати втручання в його особисте і сімейне життя,
крім випадків, передбачених Конституцією України…». Крім цього, дане
24
право передбачено ст. 301 Цивільного кодексу України (далі – ЦКУ) «Право
на особисте життя та його таємницю».
Отже, на відміну від ЄКПЛ, Конституція України та ЦКУ оперують
поняттям «особистого і сімейного», «особистого», а не «приватного» життя.
Проте не можемо погодитися з І.В. Михайленко, яка на підставі різних
формулювань ЄКПЛ і ЦКУ доходить висновку, що згідно із законодавством
України, окремими правами є право на повагу до приватного життя (ч. 1 ст. 8
Конвенції) і право на особисте життя (ч. 1 ст. 301 ЦК України) [69, С. 184].
На наше переконання, як випливає із семантики наведених словосполучень,
вони означають одне й те саме право.
Відмінність в термінах можна пояснити радянською традицією,
оскільки, наприклад, за Конституцією УРСР 1978 р. [52] «особисте життя
громадян, таємниця листування, телефонних розмов і телеграфних
повідомлень охороняються законом» (стаття 54). До речі, навіть офіційний
текст Загальної декларації прав людини 1948 року російською мовою,
перекладеної ще в СРСР, на відміну від свого англомовного відповідника,
містить замість згадки про приватність і сім’ю (privacy, family) формулу:
«Никто не может подвергаться произвольному вмешательству в его личную
и семейную жизнь…». Тобто англійський термін «приватність» був
перекладений як «особисте життя». Так само його перекладають і
українською, калькуючи з російської. Аналогічна ситуація з Міжнародним
пактом про громадянські і політичні права, про що ми вже згадували.
Справедливо зазначає О.З. Панкевич, що на теренах Української держави,
навіть після двадцяти п’яти років її незалежності, прайвесі як політико-
правовий феномен залишається значною мірою, так би мовити, terra incognita
(від лат. – невідома, незвідана земля) [92, с. 48].
Можемо побачити також, що український конституцієдавець обрав
звужений підхід, порівняно з ЄКПЛ та Загальною декларацією з прав
людини, і не згадує поряд з особистим і сімейним життям у ст. 32 про житло і
25
кореспонденцію. Щодо розгляду недоторканності особистого життя і
недоторканності житла окремо, то ця традиція також існує з радянських
часів. Так, за Конституцією УРСР 1978 р. недоторканності житла так само
була присвячена окрема ст. 53 Конституції. Вочевидь, радянська юридична
техніка і термінологія суттєво вплинули на текст чинної Конституції України
1996 р.
Як зазначають фахівці, право на приватність у Конституції України
також закріплено в ст. 30 Конституції, яка гарантує недоторканність житла,
ст. 31 Конституції, яка безпосередньо регулює таємницю листування,
телефонних розмов, телеграфної та іншої кореспонденції, ч.3 ст. 28, яка
забороняє піддавати особу без її вільної згоди медичним, науковим та іншим
дослідам. Інші аспекти та елементи права на приватність розкриваються в
Цивільному кодексі України, Кримінальному кодексі України, спеціальних
законах та нормах, наприклад, у Законі «Про захист персональних даних»
[110, C. 120]. Отже, різні аспекти захисту приватного життя знайшли своє
відображення в різних статтях Конституції.
Повертаючись до змісту ст. 32 Конституції України, зазначимо, що сам
факт роздільного закріплення окремих аспектів права на приватність у різних
статтях Конституції України у нас не викликає якихось суттєвих заперечень.
Водночас використання законодавцем словосполучення «недоторканність
особистого і сімейного життя», а не, наприклад, «недоторканність
приватного і сімейного життя» видається сумнівним. Справа в тому, що саме
в радянський час прикметник «особистий» був більш прийнятним з точки
зору марксистсько-ленінської ідеології, аніж прикметник «приватний». Ленін
писав: «Ми нічого "приватного" не визнаємо, для нас все в області
господарства є публічно-правове, а не приватне» [102, с. 398].
Отже, термін «особисте життя» має чітке ідеологічне забарвлення, він є
комуністичним ерзацом «приватного життя», його рафінованим замінником.
Так само, наприклад, загальновживаним в СРСР був термін «особиста
26
власність», «особисті права», а не, наприклад, «приватна власність»,
«громадянські»/ «цивільні права», як вони названі в Міжнародному пакті про
громадянські і політичні права 1966 р. («International Covenant on Civil and
Political Rights» [197]). Саме тому вважаємо обґрунтованим у подальшому
відхід від поняття «особисте і сімейне життя» в тексті Конституції України та
використання замість нього терміна «приватне життя», що більш чітко
підкреслював би суть права на приватність.
З огляду на зазначене викликає інтерес підхід Конституційного Суду
України (далі – КСУ), який фактично ототожнює особисте і приватне життя.
Надаючи роз’яснення ч. 1 і 2 ст. 32 Конституції України, КСУ в абз. 1 п. 3.1
мотивувальної частини рішення від 20 січня 2012 р. № 2-рп/2012 вживає
поняття «особисте життя» і «приватне життя» як синоніми. КСУ прямо пише
про «право на приватне та сімейне життя» (а не «особисте і сімейне») в абз. 4
п. 3.1 мотивувальної частини [136]. Так само КСУ пише про приватне життя і
в рішенні від 11 жовтня 2018 року № 7-р/2018 ( ч. 3 п. 2.2, ч. 6, 10, 11 п. 3
мотивувальної частини).
До того ж цікавий факт – Кримінальний кодекс України (далі – ККУ)
встановлює відповідальність за порушення недоторканності приватного
життя (така назва ст. 182 ККУ). Саме «приватного», а не «особистого». У
цьому плані ККУ є більш прогресивним з точки зору термінології, аніж
навіть Конституція України.
При цьому справедливим буде згадати про те, що представники
Інституту Медіа Права наголошують, що така норма є недоречною і
шкідливою для свободи слова, і вважають, що основним засобом захисту
інтересів людини має стати грошова компенсація в межах цивільного
процесу [60, С. 98]. З іншого боку, норму ст. 182 ККУ можна критикувати
через те, що вона звужує предмет злочину лише до конфіденційної
інформації про особу. У зв’язку з цим пропонують предмет складу злочину,
передбачений ст. 182 КК України, визначити як інформацію з обмеженим
27
доступом про особу, яким охоплюватиметься охорона як конфіденційної
інформації, так і службової і таємної інформації по особу [63, С. 13.]. Так
само, на думку С.Я. Лихової, назва ст. 182 КК України видається більш
широкою, ніж її зміст. Законодавець за допомогою даної норми захищає
такий елемент приватного життя, як право на конфіденційну інформацію, і
тому до її тексту пропонує внести доповнення, яке конкретизувало б зміст
цієї конфіденційної інформації, а саме: «відомості про приватне життя особи,
що складають її особисту чи сімейну таємницю», адже конфіденційна
інформація може стосуватися і стану здоров’я особи та її близьких, і
майнового стану, і рахунку у банку та інших обставин життя, які виходять за
межі приватної або сімейної таємниці [59, С. 265]. Остання теза (щодо досить
вузького тлумачення приватної або сімейної таємниці автором) вбачається
доволі спірною, про що буде йти мова далі у роботі.
Завершуючи розмову про термінологію, зауважимо, що порушення
недоторканності приватного життя у ККУ визначається через «незаконне
збирання, зберігання, використання, знищення, поширення конфіденційної
інформації про особу або незаконна зміна такої інформації…». Отже, йдеться
про інформаційний аспект приватності. Власне кажучи, інші аспекти
приватності нібито не існують взагалі, а сама приватність охоплює лише
конфіденційну інформацію про особу. Те саме випливає з буквального
розуміння тексту ст. 32 Конституції України, а також ст. 301 ЦКУ, де саме
інформаційна приватність знайшла своє текстуальне закріплення.
Більше того, не лише у законодавстві, а й у доктрині також дуже часто
право на недоторканність особистого і сімейного життя розуміється
виключно в інформаційному сенсі. Як зазначає Н.С. Кузнєцова у коментарі
до ст. 32 Конституції України, право на особисте життя означає надану
людині й гарантовану державою можливість контролювати інформацію про
саму себе, не допускаючи розголошення відомостей особистого, інтимного
характеру [154, С. 234].
28
Справді, «серцевиною» права на приватність є питання, пов’язані зі
здобуттям, зберіганням і поширенням інформації про особу; з тією мірою, з
якою людина може контролювати доступ інших людей і державних органів
до цієї інформації, та з можливістю для індивіда зберегти свою анонімність
[92, С. 49.]. Як визначив у справі «Волен проти Роу» Верховний суд США,
конституційно захищена «зона прайвесі» – це не тільки захищена
«незалежність особи у прийнятті деяких видів важливих рішень», але й
«індивідуальна заінтересованість в уникненні розкриття особистих питань».
Водночас, на думку В.О. Серьогіна, зведення недоторканності приватного
життя до певного набору таємниць призводить до необґрунтованого
звуження змісту даного права, оскільки в цьому випадку поза його межами
залишається ціла низка елементів, таких як право на усамітнення,
територіальне прайвесі, статева свобода тощо [145, с. 168].
Власне кажучи, систематизувавши різні точки зору, висловлені в
літературі щодо співвідношення права на приватність і положень ст. 32
Конституції України, можна виокремити дві позиції. Згідно з першою право
на приватність і право на недоторканність особистого і сімейного життя
ототожнюється, причому право на приватність зводиться лише до
інформаційного аспекту, захисту інформації про особу. Друга позиція
полягає в тому, що ст. 32 Конституції України розглядається як положення,
що закріплює лише з елементів приватності, як елемент загального права на
недоторканність приватного життя, яке, крім цього, включає також гарантії
недоторканності житла, таємницю листування тощо.
Другий підхід видається більш обґрунтованим. Дійсно, зводити право на
приватність, недоторканність приватного (особистого і сімейного життя)
лише до формули ст. 32 Конституції і інформаційного прайвесі означає
збіднити зміст цього права. Дається взнаки відсутність вітчизняної традиції
поваги до приватного життя, розуміння сутнісного змісту цього права,
насамперед, в юридичному середовищі.
29
Міжнародні стандарти в сфері прав людини, американська і європейські
традиції ґрунтуються на більш широкому підході. Та й КСУ в рішенні від 20
січня 2012 р. № 2-рп/2012 [136] вважає, що право на приватне та сімейне
життя є засадничою цінністю, яке є необхідним для повного розквіту
людини в демократичному суспільстві, це право розглядається КСУ як
«право фізичної особи на автономне буття незалежно від держави, органів
місцевого самоврядування, юридичних і фізичних осіб». Тобто КСУ
демонструє більш широке розуміння цього права і не зводить його до
сукупності інформаційних таємниць.
Водночас наголосимо, що саме інформаційна приватність є предметом
нашого дослідження, коли ми говоримо про захист інформації про особу,
тож, виходячи з цього, надалі ми будемо акцентувати на праві на приватність
передусім в його інформаційному прояві.
Роль інформаційної приватності постійно зростає в сучасному світі
починаючи з 1970-х-1980-х рр. Комп’ютерна доба (тривала до 80-х рр. ХХ
ст.) характеризувалася винаходом електронно-обчислювальних машин-
мейнфреймів та початком накопичення і аналізу найрізноманітнішої
інформації про фізичних осіб у рамках масштабних баз даних [25, С. 7].
Занепокоєння з приводу недобросовісного використання інформації було
спричинене збільшенням потужності комп’ютерів, масштабами їхнього
використання, хоча багато проблем виникло ще до появи комп’ютерів, або
було пов’язано з іншими формами автоматичної обробки інформації, як-то
ксерокопіювання, мікрофільмування та телекомунікації [145, С. 103-104].
Після закінчення Другої світової війни, поступово починається період
«комп’ютерної приватності», а з 1980-х рр. – період «мережевої
приватності». І саме в ці часи законодавці звернули значно більшу увагу на
регулювання обігу інформації про фізичну особу і практично розробили нове
суб’єктивне право фізичної особи на її «персональні дані» [149, С. 66].
30
Персональні дані, як найбільш чутлива, делікатна та важлива для
людини інформація, посідає особливе місце в сучасних інформаційних
відносинах. Проблема їх захисту значно актуалізується в умовах розбудови
інформаційного суспільства та поширення новітніх інформаційно-
комунікаційних технологій, що надають реальні можливості для тотального
контролю за приватним життям людини. Водночас створена в Україні
система захисту персональних даних не гарантує захисту приватності та
персональних даних людини і громадянина й потребує приведення у
відповідність до правових стандартів Європейського Союзу [100, С. 45].
Тому для розгляду інформаційної приватності ми маємо більш чітко
визначити об’єкт її захисту, а саме – інформацію про особу (в іншій
термінології – персональні дані), про що піде мова в наступному підрозділі
роботи.
Отже, із зазначеного можна зробити такі висновки:
1. «Right to privacy» вперше було сформульоване американськими
вченими С. Уорреном та Л. Брандейсом у 1890 р. і генетично його можна
вважати американським концептом. ЄКПЛ натомість оперує терміном «право
на повагу до приватного життя». В цілому «право на приватність» і «право на
недоторканність приватного життя» є синонімами, їх використання і
змістовне наповнення обумовлено середовищем, в якому вони виникли
(перше – в США, друге – в Європі). Право на приватне (особисте) і сімейне
життя, таємницю телефонних переговорів і на недоторканність житла
передбачаються більшістю конституцій європейських держав, проте не є
повсюдним. Таким чином, право на недоторканність приватного життя дуже
сильно пов’язано з юридичною доктриною і судовою практикою (як в
англосаксонській, так і континентальній правових системах). Разом з тим
лише у другій половині ХХ ст. почалася активна конституціоналізація цього
права.
31
2. Право на персональні дані (інформаційна приватність), зазвичай,
охоплюється захистом права на недоторканність приватного життя, іноді
становить окреме право (Хартія основних прав ЄС 2000 р.), або ж
ґрунтується на праві на інформаційне самовизначення (ФРН).
3. На відміну від ЄКПЛ, Конституція України та ЦКУ оперують
поняттям «особистого і сімейного», «особистого», а не «приватного» життя.
Відмінність у термінах можна пояснити радянською традицією, оскільки,
наприклад, за Конституцією УРСР 1978 р. особисте життя громадян,
таємниця листування, телефонних розмов і телеграфних повідомлень
охороняються законом» (стаття 54). Так само офіційний текст Загальної
декларації прав людини 1948 року російською мовою, перекладеної ще в
СРСР, на відміну від свого англомовного відповідника, містить замість
згадки про приватність і сім’ю (privacy, family), термін «особисте і сімейне
життя».
4. Український конституцієдавець обрав звужений підхід, порівняно з
ЄКПЛ та Загальною декларацією з прав людини, і не згадує поряд з
особистим і сімейним життям у ст. 32 Конституції України про житло і
кореспонденцію. Ця традиція також існує з радянських часів (за
Конституцією УРСР 1978 р. недоторканності житла так само була
присвячена окрема ст. 53 Конституції). Вочевидь, радянська юридична
техніка і термінологія суттєво вплинули на текст чинної Конституції України
1996 р.
5. Щодо співвідношення права на приватність і положень ст. 32
Конституції України можна виокремити дві позиції. Згідно з першою право
на приватність і право на недоторканність особистого і сімейного життя
ототожнюється, причому право на приватність зводиться лише до
інформаційного аспекту, захисту інформації про особу; друга позиція полягає
в тому, що ст. 32 Конституції України розглядається як положення, що
закріплює лише один з елементів приватності, як елемент загального права
32
на недоторканність приватного життя, яке, крім цього, включає також
гарантії недоторканності житла, таємницю листування тощо. Другий підхід
видається більш обґрунтованим. Дійсно, зводити право на приватність,
недоторканність приватного (особистого і сімейного життя) лише до
формули ст. 32 Конституції і інформаційного прайвесі означає збіднити
зміст цього права. Дається взнаки відсутність вітчизняної традиції поваги до
приватного життя, розуміння сутнісного змісту цього права, насамперед, в
юридичному середовищі;
6. Право на приватність стосується не лише інформаційної приватності
і, крім ст. 32 Конституції України, закріплено у ст. 30, яка гарантує
недоторканність житла, ст. 31, – безпосередньо регулює таємницю
листування, телефонних розмов, телеграфної та іншої кореспонденції, ч.3 ст.
28 – забороняє піддавати особу без її вільної згоди медичним, науковим та
іншим дослідам. Отже, найважливіші аспекти захисту приватного життя
знайшли своє відображення в різних статтях Конституції України;
7. Роздільне закріплення окремих аспектів права на приватність у різних
статтях Конституції України не викликає якихось заперечень, проте
термінологічне словосполучення «недоторканність особистого і сімейного
життя», а не, наприклад, «недоторканність приватного і сімейного життя»
видається сумнівним. Термін «особисте життя» має чітке ідеологічне
забарвлення, він є комуністичним ерзацом «приватного життя», його
рафінованим замінником. Саме тому вважаємо обґрунтованим у подальшому
відхід від поняття «особисте життя» в тексті Конституції України та заміну
його терміном «приватне життя», що за своєю семантикою точніше
відображає суть поняття «право на приватність».
33
1.2. Співвідношення термінів «інформація про особу» і
«персональні дані» в законодавстві України
Конституція України у ч. 2 ст. 32 говорить про те, що не допускається
збирання, зберігання, використання та поширення конфіденційної інформації
про особу без її згоди, крім випадків, визначених законом, і лише в інтересах
національної безпеки, економічного добробуту та прав людини. Що ж
означає термін «інформація про особу»?
Ключовими для розуміння цієї норми в українському законодавстві є
Закон «Про інформацію», Закон «Про доступ до публічної інформація» та
Закон «Про захист персональних даних».
Єдиний з цих трьох нормативних актів – Закон України «Про
інформацію» – дає пряме визначення інформації про особу. Відповідно до ч.
1 ст. 11 цього Закону інформація про фізичну особу (персональні дані) –
відомості чи сукупність відомостей про фізичну особу, яка ідентифікована
або може бути конкретно ідентифікована. Як бачимо, інформація про особу
ототожнюється з персональними даними. Крім того, підкреслюється, що
терміни «інформація про особу» та «персональні дані» стосуються саме
фізичної особи.
Згадані закони так чи інакше пояснюють термін «інформація про особу»
в контексті терміна «конфіденційна інформація». Про режим
конфіденційності детальніше йтиметься у наступному підрозділі дисертації, а
зараз ми маємо згадати про цей термін у контексті більш детального
розуміння змісту термінів «інформація про особу» і «персональні дані».
У ч. 2 ст. 21 Закону «Про інформацію» закріплено: «конфіденційною є
інформація про фізичну особу, а також інформація, доступ до якої обмежено
фізичною або юридичною особою, крім суб'єктів владних повноважень».
Далі йдеться: «Конфіденційна інформація може поширюватися за бажанням
34
(згодою) відповідної особи у визначеному нею порядку відповідно до
передбачених нею умов, а також в інших випадках, визначених законом».
Згідно з ч. 2 ст. 11 Закону «Про інформацію» до конфіденційної
інформації належить інформація про фізичну особу, зокрема, дані про її
національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а
також адресу, дату і місце народження. Показово, що КСУ в абзаці першому
пункту 1 резолютивної частини рішення від 30 жовтня 1997 року № 5-зп
відніс до конфіденційної інформації про фізичну особу, крім вказаної, ще й
відомості про її «майновий стан та інші персональні дані» [130]. Причому
КСУ вважає, що перелік даних про особу, які визнаються як конфіденційна
інформація, не є вичерпним (абз. 6 п. 3.2 рішення КСУ від 20 січня 2012 р. №
2-рп/2012).
Також до конфіденційної інформації про особу КСУ відніс інформацію
про особисте та сімейне життя фізичної особи, до якої належать будь-які
відомості та/або дані про відносини немайнового та майнового характеру,
обставини, події, стосунки тощо, які пов’язані з особою та членами її сім’ї, за
винятком передбаченої законами інформації, що стосується здійснення
особою, яка займає посаду, пов’язану із виконанням функцій держави або
органів місцевого самоврядування, посадових або службових повноважень
(п. 1 резолютивної частини Рішення від 20 січня 2012 р. № 2-рп/2012).
На думку В.О. Серьогіна, заслуговує на увагу така деталь: у переліку
основних даних про особу відсутні прізвище, ім’я та по батькові, оскільки ці
дані якраз і є тими первинними відомостями, які дають змогу вести мову про
особу як суб’єкт права; без них правове спілкування є взагалі неможливим
[144, С. 253]. Водночас прізвище, ім’я та по батькові визначаються
персональними даними в інших законодавчих актах, що ми далі зможемо
побачити.
Таким чином, по суті, будь-яку інформацію про особу, здатну
ідентифікувати, апріорі можна визначити конфіденційною інформацією про
35
особу. При цьому фізична особа може додатково обмежити доступ ще до
якоїсь інформації (якою вона вочевидь володіє) і таким чином зробити її
конфіденційною на власний розсуд. Це випливає із Закону «Про
інформацію».
Закон «Про доступ до публічної інформації» ні визначення «інформації
про особу», ні деталізації її змісту не містить. У ньому лише згадується про
конфіденційну інформацію про особу і наводяться деякі приклади такої
інформації у контексті заборони обмеження в доступі щодо неї.
Закон «Про захист персональних даних» як такого (хоча б орієнтовного)
переліку персональних даних не містить1. Водночас відповідно до ч. 2 ст. 5
персональні дані можуть бути віднесені до конфіденційної інформації про
особу законом або відповідною особою.
Конкретний перелік персональних даних міститься у ч. 2 ст.5 Закону
України „Про Всеукраїнський перепис населення”, яка відносить до них
склад та родинні стосунки членів домогосподарства; стать; вік; дату й місце
народження; сімейний стан; етнічне походження; мовні ознаки;
громадянство; освіту; джерела засобів існування; зайнятість; міграційну
активність; житлові умови. Як і в Законі України «Про інформацію», що
надає перелік конфіденційної інформації про особу, перелік персональних
даних не є вичерпним, він має на меті лише орієнтувати учасників
конкретних правовідносин на належне розуміння даної категорії [144, С.
253]. До речі, можемо побачити, що ці орієнтовні переліки (конфіденційної
інформації про особу і персональних даних) перетинаються.
Досить детальну регламентацію переліку персональних даних особи
містить Закон України «Про Державний реєстр виборців» [113] (ст. 5). Закон
«Про Єдиний державний демографічний реєстр та документи, що
1 Щоправда, деякі приклади в ньому все ж таки наводяться. Відповідно до ч. 1 ст. 7 Закону «Про
захист персональних даних» забороняється обробка персональних даних про расове або етнічне
походження, політичні, релігійні або світоглядні переконання, членство у політичних партіях і
професійних спілках, а також даних, які стосуються здоров’я чи статевого життя.
36
підтверджують громадянство України, посвідчують особу чи її спеціальний
статус» [115] від 20 листопада 2012 р. № 5492-VI також передбачає перелік
персональних даних (інформації про особу)2.
Окрім термінів «персональні дані», «інформація про особу»,
«конфіденційна інформація про особу» додаткову термінологічну плутанину
створює той факт, що згідно з абз. 2 ч. 1 ст. 302 Цивільного кодексу України
(далі – ЦКУ) збирання, зберігання, використання і поширення інформації про
особисте життя фізичної особи без її згоди не допускаються, окрім випадків,
визначених законом, і лише в інтересах національної безпеки, економічного
добробуту та прав людини. Отже, мова йде ще про один окремий
законодавчий термін «інформація про особисте життя фізичної особи».
Вживаються також терміни «персоніфікована інформація» «таємниця
особистого життя людини», «таємниця обставин особистого життя»,
«інформація персонального характеру» за відсутності єдиного підходу до
вирішення питання співвідношення між ними [54, С. 25]. А.В. Пазюк
пропонує термін «персоналізована інформації» для вжиття в розглядуваному
контексті [91].
Деякі труднощі понятійного характеру виникають при перекладі
міжнародних договорів. Так, ми вже бачили, як персональні дані в
російському перекладі Хартії основних прав ЄС перекладалися як відомості
особистого характеру (див.: підрозділ 1.1 дисертації). Такий плюралізм часто
пов'язаний саме з авторським перекладом зарубіжних нормативно-правових
актів [170, С. 108].
У доктрині існують досить різноманітні погляди щодо питання
співвідношення термінів «персональні дані», «інформація про особу»,
«інформація про особисте і сімейне життя».
Нагадаємо, що відповідно до ст. 2 Закону «Про захист персональних
даних» персональні дані – відомості чи сукупність відомостей про фізичну
2 Закон саме так вживає ці поняття: «персональні дані (інформація про особу)».
37
особу, яка ідентифікована або може бути конкретно ідентифікована. Перше ж
визначення персональних даних було надано у Конвенції Ради Європи від
1981 р. № 108: “персональні дані означають будь-яку інформацію, яка
стосується конкретно визначеної особи або особи, що може бути конкретно
визначеною (суб’єкт даних)”. За визначенням 2016 р., яке сформульовано у
новому Регламенті ЄС, – “персональні дані означають будь-яку інформацію,
що стосується ідентифікованої фізичної особи або фізичної особи, що
ідентифікується (“суб’єкта даних”). Фізична особа, що ідентифікується – це
“особа, яка може бути ототожнена прямо або опосередковано, зокрема, з
ім’ям, ідентифікаційним номером, даними про місцеположення, онлайн-
ідентифікатором, з одним чи декількома специфічними чинниками для
встановлення фізичної, фізіологічної, генетичної, психічної, економічної,
культурної або соціальної ідентичності цієї фізичної особи”. Порівняно із
попереднім визначенням у Директиві 95/46/ЄС Європейського Парламенту і
Ради від 1995 р., нове визначення має аналогічний, але не тотожний зміст.
Воно конкретизує термін «персональні дані» та розширює обсяг обов’язків і
повноважень відповідних суб’єктів [8, C. 48].
Можемо зробити висновок, що вітчизняний законодавець при
закріпленні дефініції «персональні дані» використав безпосередньо норми
міжнародного законодавства, зокрема стандарти Європейського Союзу.
Зрозуміло, що такий підхід зумовлений необхідністю адаптації вітчизняного
законодавства до законодавства ЄС у зв’язку з проголошенням Україною
курсу на євроінтеграцію [158, С. 50–54; 170, С. 104–105]. Щоправда, останні
новації із регламенту “GDPR” у чинному законодавстві України ще не
встигли набути свого відображення.
Отже, як співвідносяться терміни «інформація про особу» і «персональні
дані»? У чинному законодавстві, як бачимо, дуже часто «інформація про
особу» і «персональні дані» ототожнюються. Багато хто ототожнює
персональні дані з інформацією про особу і в теорії. Так, на думку, О.А.
38
Дмитренко, «персональні дані», тобто будь-яка інформація, що стосується
ідентифікованої фізичної особи або фізичної особи, яку можна
ідентифікувати, є тотожним «інформації про особу» [25, С. 4]. О.О.
Серебряник так само вважає, що між термінами «персональні дані» та
«інформація про особу» можна поставити знак рівності, український
законодавець вживає терміни «інформація про фізичну особу» і «персональні
дані» як синоніми [142, С. 38, 79]. О.В. Кохановська також пише про таку
тотожність, оскільки коло замикається, бо персональні дані — це інформація.
У цьому випадку йдеться лише про коло виокремленої інформації, а саме
«про фізичну особу» [56, С. 30].
Притримується подібної позиції І.І. Романюк, яка вважає, що
враховуючи вихідне положення про те, що вся інформація, здатна
індивідуалізувати та ідентифікувати людину як учасника суспільних
відносин, належить до її «персональних даних», «персональні дані» та
«інформація про особу» є тотожними [139, С. 36]. На думку А. Туніка, аналіз
дефініцій «персональні дані» та «інформація про особу» свідчить, що у
вітчизняному законодавстві вони є ідентичними, а тому можуть вживатися як
синонімічні та взаємозамінні [158, С. 51; 170, С. 105].
При цьому існують навіть пропозиції щодо відмови від терміна
«конфіденційна інформація про особу» на користь персональних даних. Так,
В. В. Речицький у своєму проекті Конституції (ст. 28) пропонує
використовувати «персональні дані» замість терміна «конфіденційна
інформація про особу». На думку вченого, персональні дані — це юридичний
термін спеціального призначення. Він означає не просто конфіденційну
інформацію, а її конкретний тип, різновид [127, С. 25]. Цей підхід знайшов
підтримку в літературі [42, С. 112].
Так само можна вважати, що шляхом ототожнення інформації про
особу, персональних даних, інформації про особисте і сімейне життя та
визнання цих явищ конфіденційною інформацією пішов і КСУ. Так, у
39
Рішенні від 20 січня 2012 р. № 2-рп/2012 КСУ зазначив: «інформацією про
особисте та сімейне життя особи є будь-які відомості та/або дані про
відносини немайнового та майнового характеру, обставини, події, стосунки
тощо, пов’язані з особою та членами її сім’ї, за винятком передбаченої
законами інформації, що стосується здійснення особою, яка займає посаду,
пов’язану з виконанням функцій держави або органів місцевого
самоврядування, посадових або службових повноважень. Така інформація
про особу є конфіденційною”.
У мотивувальній частині цього ж Рішення КСУ надав визначення
терміна “інформація про особисте та сімейне життя особи (персональні дані
про неї)». На його думку, це будь-які відомості чи сукупність відомостей про
фізичну особу, яка ідентифікована або може бути конкретно ідентифікована,
а саме: національність, освіта, сімейний стан, релігійні переконання, стан
здоров’я, матеріальний стан, адреса, дата й місце народження, місце
проживання та перебування тощо, дані про особисті майнові та немайнові
відносини цієї особи з іншими особами, зокрема із членами сім’ї, а також
відомості про події та явища, що відбувалися або відбуваються у побутовому,
інтимному, товариському, професійному, діловому й інших сферах життя
особи, за винятком даних стосовно виконання повноважень особою, яка
займає посаду, пов’язану із здійсненням функцій держави або органів
місцевого самоврядування.
Фактично КСУ визнав тотожними терміни «конфіденційна інформація
про особу», «інформація про особисте і сімейне життя”, “персональні дані”.
При цьому, за логікою КСУ, конфіденційною є вся інформація про особисте і
сімейне життя (інформація про особу, персональні дані) без орієнтації на
обмеження доступу до зазначеної інформації і встановлення такого режиму
щодо конкретної інформації законом чи самою особою.
Однак подібне ототожнення не було однозначно сприйнято фахівцями.
Більше того, саме розуміння позиції КСУ вченими є доволі різним і
40
неоднозначним. Деякі автори побачили в рішенні КСУ звуження змісту
конфіденційної інформації про особу до персональних даних у сфері
особистого і сімейного життя, категорично з цим не погоджуючись [54, С.
25-26; 42, С. 109].
Звертаємо увагу на те, що в літературі існує багато прихильників
розмежування інформації про особу і персональних даних, персональних
даних і інформації про особисте і сімейне життя за різними критеріями. На
думку І.І. Романюк, «персональні дані є елементом інформації про особу у
широкому розумінні, оскільки крім персональних даних фізична особа має
право формувати про себе будь-яку інформацію як достовірну, так і
недостовірну. Тому співвідносити інформацію про фізичну особу лише з
персональними даними є обмеженням права людини на самостійне
формування інформації про себе, яка може складатися з будь-яких
відомостей/даних. Зовнішній вигляд людини є певним видом інформації про
фізичну особу, але це не буде персональними даними. Поняття «персональні
дані» та «інформація про особисте життя» не ідентичні за своїм обсягом: уся
інформація про особисте життя фізичної особи персоніфікує її особистість
через відображення процесу її життєдіяльності у сфері особистого життя, а
тому вона зазвичай становить персональні дані особи. Поняття «персональні
дані» у широкому розумінні включає в себе інформацію про особисте життя
фізичної особи, при цьому поза цим інформаційним масивом залишається
досить значний обсяг персональних даних, які, хоча й ідентифікують фізичну
особу, однак не є інформацією про її особисте життя» [139, С. 38].
На думку О.А. Дмитренко, при звуженому тлумаченні персональних
даних, зокрема, як інформації, яка стосується особистого життя, значний
масив інформації про особу може бути необґрунтовано позбавлений правової
охорони. При поширенні ж терміна «інформація про особисте життя» на весь
масив інформації, яка індивідуалізує особу, можна створити штучні правові
перепони для руху інформації, обіг якої необхідний для нормального
41
перебігу низки суспільних відносин, передумовами яких є індивідуалізація
фізичної особи [26, С. 29].
С.С. Єсімова уточнює, що «персональні дані» та «інформація про
особисте життя» не ідентичні за обсягом, разом з тим їх зміст
співвідноситься наступним чином: вся інформація про особисте життя
персоніфікує особистість шляхом відображення процесу її життєдіяльності у
сфері особистого життя, отже, є сегментом категорії персональних даних.
Однак існує великий обсяг персональних даних, який хоча й ідентифікує
особу, але не становить відомостей про її особисте життя. Отже, персональні
дані, що ідентифікують їх носія, але не містять відомостей про його особисте
життя, в процесі їх накопичення та систематизації можуть сформувати масив
інформації про особисте життя людини [30, С. 202-203].
На переконання І.В. Михайленко, персональні дані – це конфіденційна
інформація, закріплена на матеріальних носіях (у документах, комп’ютері
тощо), а інформація про приватне життя – це відомості особистого характеру,
що не підлягають розголошенню [70, С. 12]. А О.О. Серебряник вважає, що
до змісту інформації про фізичну особу входять: інформація про приватне
життя людини, персональні дані, комунікаційні дані (метадані) [142, С. 97].
Як бачимо, приватне життя і персональні дані в останньому випадку взагалі
розмежовуються, нібито це взагалі різні речі. При цьому вчена додатково
включає як окремий підвид інформації про особу комунікаційні дані
(метадані).
На нашу думку, так звані «комунікаційні дані (метадані)» є елементом
персональних даних, що підтверджується визначенням персональних даних,
яке міститься в Регламенті ЄС GDPR 2016 р. У преамбулі до Регламенту
підкреслюється, що певні категорії онлайн даних можуть бути віднесені до
персональних – онлайн ідентифікатори, ідентифікатори пристроїв,
ідентифікатори файлів cookie та IP-адреси [32]. Стаття 4 та положення
Преамбули GDPR підтверджує, що персональні дані можуть включати
42
Інтернет-ідентифікатори, надані пристрою, додатку, такі інструменти , як IP-
адреси, cookies, цифрові ідентифікатори або інші ідентифікатори пристроїв,
ідентифікатори, місце розташування, за якими може бути ідентифікована
конкретна особа). Саме тому вважаємо пропозицію О.О. Серебряник [142, С.
92-96] щодо виокремлення метаданих (комунікаційних даних), які
дозволяють ідентифікувати особу за будь-якими даними, які були закріплені
на Інтернет-ресурсах, пов’язаних з ip-адресою особи, зокрема огляд сайтів
особою, її листування, спілкування у соціальних мережах, користування
банківськими послугами через мережу Інтернет тощо, як окремий вид
інформації про особу поряд з персональними даними і відмінним від них,
невиправданою.
Після наведення аргументів на користь розмежування між «інформацією
про особу», «інформацією про особисте і сімейне життя», «інформацією про
приватне життя» хочемо зазначити, що намагання знайти між ними якісь
юридично значущі відмінності видається досить штучним. Взагалі сам по
собі термін «інформація про особисте і сімейне життя» є радянським
рудиментом, який зберігся в цивільному законодавстві України та в низці
інших нормативно-правових актів. Цей рудимент будується на радянській
формулі «недоторканності особистого і сімейного життя», яку ми піддали
критиці в попередньому підрозділі і пропонували замінити на термін
«недоторканність приватного життя».
Сенсом введення в обіг термнів «інформація про особу», «персональні
дані» є фіксація об’єкта захисту в структурі права на недоторканність
приватного життя, гарантованого ст. 32 Конституції України, права на
приватність загалом. Термін «інформація про особисте і сімейне життя», на
нашу думку, в цьому плані є не зовсім коректним і має бути вилученим із
законодавства разом з відповідною корекцією ст. 32 Конституції (мова йде
про нашу пропозицію щодо трансформації «особистого» життя в «приватне»
в контексті відповідного права). Разом із тим, словосполучення «інформація
43
про приватне життя» вбачається занадто громіздким, тому цілком логічно
вживати з цією метою термін «інформація про особу» або ж «персональні
дані».
Ці терміни позначають одне й теж саме поняття, дозволяють охопити
весь спектр інформації. Також важко стверджувати, що вони «щось
звужують», а отже, на наш погляд, їх можна вважати цілком коректними.
Тим більше, як показано в попередньому підрозділі, навіть ЄСПЛ розуміє
право на повагу до приватного життя і, відповідно, інформацію про особу
широко, включаючи сюди часто й інформацію професійного характеру. Саме
тому семантичні розвідки вітчизняних вчених у цьому плані ми вважаємо
манівцями, які заважають підійти до захисту інформаційної приватності по
суті, змушуючи натомість заглиблюватися у термінологію.
Що ж до розмежування термінів «інформація про особу» та
«персональні дані» зазначимо таке. По суті, вони означають одне й те саме –
об’єкт захисту інформаційної приватності. Проте аналіз відповідної
літератури показав, що різниця ж між персональними даними і інформацією
про особу, найчастіше розглядається в двох аспектах.
По-перше, розмежування ґрунтується на точці зору, згідно з якою
розмежовуються терміни «дані» і «інформація». Тобто, власне кажучи, за
цією логікою інформація є матеріальним явищем, тоді як дані – формою
вираження інформації. Дослідники, що поділяють зазначену позицію, до
даних відносять неінтерпретовані відомості, завжди закріплені на
матеріальному носії, а до інформації – інтерпретовані дані, так звані
«смислові елементи» [120, С. 26]. Як зазначає Т.М. Слінько, інформація не
може бути передана, прийнята або збережена у чистому вигляді [146, С. 27].
За цією логікою дані і інформація співвідносять як форма і зміст.
На думку О.А. Дмитренко, концепція розрізнення «даних» та
«інформації» має певну привабливість, оскільки дає можливість чітко
відмежувати «персональні дані» від будь-яких усних повідомлень про особу,
44
інформації, яка міститься на ідеальних носіях (зокрема, у пам’яті людини),
художніх творів та іншого інформаційного змісту, обігоздатність та способи
використання якого значно відрізняються від формалізованої інформації,
придатної для автоматизованої чи іншої системної обробки. Таке розрізнення
може бути зручним при виробленні відповідних механізмів правового
регулювання, адже суспільні відносини з використання стандартизованої та
не стандартизованої інформації мають значні відмінності [26, С. 21].
З цієї точки зору цікавим видається підхід японського законодавця, що
розділив терміни «персональна інформація» і «персональні дані». Так, згідно
з Указом Кабінету Міністрів Японії «Про застосування Закону «Про захист
персональної інформації», персональною інформацією є інформація про
живу людину, що може бути ідентифікована по імені, даті народження та
іншій інформації, наприклад, за місцем роботи, займаною посадою тощо, а
під категорією «персональні дані» розуміють персональну інформацію, що
становить базу даних, структурується для її швидкого пошуку в електронній
комп’ютерній базі [75, С. 31-32].
Подібну точку зору висловлює О.П. Радкевич, який стверджує, що
інформація, яка дозволяє безпосередньо або за допомогою інших чинників
ідентифікувати особу, є персональною інформацією, а інформація, надана в
електронному вигляді, що складається із знаків і чисел, є персональними
даними [122, С. 123].
Проте варто погодитися з І.І. Романюк, яка вважає, що правові
положення повинні бути сконцентровані на змісті інформації, а не на її
формі, адже суспільні відносини спрямовані загалом саме на використання
змісту. Приєднуємося до позиції щодо недоцільності розрізняти «дані» та
«інформацію» [139, С. 23].
Розмежування персональних даних і інформації про особу носить також
історичний характер. Справа в тому, що поява термінів «персональні дані»,
«захист персональних даних» пов’язана з комп’ютерною епохою, появою
45
технічних можливостей обробки великої кількості інформації, саме
комп’ютерна інформація і називалася «даними». Перші закони про захист
персональних даних призначалися саме для захисту інформації у
різноманітних, передусім електронних, базах даних. Згодом ці закони стали
поштовхом до більш широкого захисту інформаційної приватності у різних
сферах, не лише в сфері комп’ютерних баз, проте відповідний термін
залишився. Така історична відмінність не впливає на обсяг відповідного
поняття, яке воно має на сьогодні в юридичній сфері.
Переважна більшість чинних законодавств країн Європи щодо захисту
прав на недоторканність персональних даних бере свої витоки з положень
про технічний за хист інформації. Звідси й початок не зовсім коректного
розуміння терміну «захист даних», оскільки захисту потребують не так дані,
як права осіб, котрих стосуються ці дані, а також легітимні інтереси всього
суспільства [128, С. 17-20].
Таким чином, перший аспект, що характеризує відмінність між
інформацією про особу і персональним даними, ми не вважаємо достатньо
юридично значущим. Інформація і дані цілком можуть бути ототожнені.
По-друге, і це, на наш погляд, більш принципово, відмінність між
даними і інформацією часто розглядають полягає в тому, що персональні
дані як поняття містить чітку прив’язку до ідентифікації за допомогою цієї
інформації певної особи. Персональні дані – це не будь-яка інформація про
фізичну особу, а лише інформація про ідентифіковану або таку, що може
бути ідентифікована, фізичну особу. Таким чином, якщо фізична особа не
ідентифікована і не може бути ідентифікована, то інформація, що стосується
фізичної особи, не є її персональними даними.
У такому разі невиправдане використання у Законі України “Про захист
персональних даних” терміну “знеособлені персональні дані” (ч. 2 ст. 5),
адже знеособлення персональних даних – це вилучення відомостей, які дають
змогу ідентифікувати особу (ст. 2), і тому персональні дані не можуть
46
залишатися персональними даними в значенні, наведеному в ст. 2 цього
Закону, як знеособлені. Точніше стверджувати не про знеособлені
персональні дані, а про знеособлену інформацію про фізичну особу
(фізичних осіб) [42, С. 108-109], адже за своєю природою персональні дані
передбачають пряму чи опосередковану ідентифікацію особи. Внаслідок
знеособлення дана властивість ними втрачається, дані – деперсоніфікуються
і, таким чином, перестають бути персональними. Фактично, цей термін
містить нерозв’язне протиріччя, що суперечить елементарним правилам
формальної логіки [95, С. 115].
Водночас варто зазначити, що не можна спрощувати проблему
анонімних даних і повністю вважати їх «безпечними» з точки зору
інформаційної приватності. Шифрування і часткове знеособлення не можуть
самі по собі бути використані для цілей повного знеособлення, оскільки буде
існувати той, хто матиме ключ і може визначити суб’єкта цих даних. Якщо
знеособлені дані зберігають будь-яку інформацію, яка може дозволити
повернути процес знеособлення назад (наприклад, адреса, місце
народження), такі дані все одно кваліфікуються як персональні відповідно до
європейського законодавства. Таке зворотнє знеособлення називається
«псевдонімізацією» [21, с. 16-17.].
Справа в тому, що останнім часом з’явився новий феномен, т.з. «Великі
дані» (англ. «Big Data»). Термін «Великі дані» можна звести до класичного
та популярного американського розуміння 3V: (Volume) (величезні обсяги
інформації, з якими традиційні системи не можуть впоратися), Velocity
(величезна швидкість їхньої зміни, отримання в першу чергу) та Variety
(різноманітність). На відміну від інших даних, Big Data неможливо зберігати
як класичну базу даних, яку зібрали, обробили та використовують декілька
років. Вони надзвичайно швидко змінюються і накопичуються [179, c. 9].
Появу «Big Data» приписують Кліфорду Лінчу, редактору журналу
Nature, після публікації у вересні 2008 р. спеціального випуску. Big Data
47
виникло за аналогією до розповсюджених у діловому середовищі понять Big
Oil та Big Ore. Поява «Big Data» свідчить про те, що погляд бізнесу
переведено з видобування природних ресурсів на видобування інформації,
яка стала більш цінним ресурсом, ніж природна сировина [87, С. 20].
Під терміном «Великі дані» прийнято розуміти більш потужну форму
інтелектуального аналізу даних, що спирається на величезні обсяги
інформації, супершвидкісні комп'ютери та новітні аналітичні методи, здатні
виявити приховані, а часом навіть несподівані кореляції між фактами і
явищами навколишнього дійсності. Іншими словами, «Великі дані» являють
собою нетривіальне виявлення раніше невідомих і потенційно корисних
відомостей з наявних баз даних. Такого роду аналіз спирається не на
причинно-наслідкові зв'язки, а на кореляції, які виявляються завдяки
застосуванню відповідних алгоритмів до великих баз даних. Відповідно,
інформація є не тільки неінтуїтивною та непередбачуваною, але також
становить собою результат досить неясного (або, як говорять на Заході,
несправедливого) процесу [143, С. 94].
Проте коли ми говоримо про «Big Data», їх необхідно розуміти як
сукупність не інформації, яка може бути персональною, а саме знеособлених
даних. «Великі дані» цікаві з позиції можливості виявлення закономірності
прийняття групами людей певних рішень або виявлення потреби чи
зацікавленості людей в певних послугах і товарах, або встановлення
уподобань певної соціальної групи тощо. Однак самостійно людина фізично
не зможе обробити «Big Data», з цією метою використовують програмні
алгоритми. Разом з цим чи не можна розцінювати такі поради машинного
алгоритму як порушення заборони на безпідставне втручання у приватне
життя? [87, С. 21].
На думку В.О. Серьогіна, «Великі дані» кидають виклик системі
міжнародного та національного захисту персональних даних, що здавалася
стійкою і цілком сучасною, а в більш широкому плані – організаційно-
48
правовим механізмом захисту інформаційного аспекту права на невтручання
в приватне життя – інформаційне прайвесі, зокрема, за допомогою того, що
вони ставлять під сумнів розбіжності між персональними та
неперсональними даними. Анонімізація – процес видалення ідентифікаторів
для створення анонімних наборів залишкових даних – ще недавно здавалася
цілком ефективною для захисту користувачів від відстеження та
профілювання. Однак за останні кілька років було декілька нещасних
випадків реідентифікації осіб за перехресними посиланнями анонімних
наборів даних з відповідним набором даних, який включав ідентифікатори.
БД посилює проблему, спираючись на додаткові дані, високошвидкісні
комп'ютери, а також поліпшення аналітичних методів [143, С. 96]3.
За допомогою технологій «Big Data», «Artificial intelligence» (Штучний
інтелект), «Internet of Things» (Інтернет речей) збір та обробка персональних
даних набули нових значень. Сьогодні інформація про індивіда не просто
акумулюється, а прогнозується. Результатами такого використання
персональних даних є пропонування користувачу товарів та послуг згідно з
історією його пошукових запитів і публікацій у соціальних мережах,
проведення маркетингових та навіть передвиборних кампаній [167, С. 23].
Таким чином, як випливає із наведеного вище, на наш погляд,
інформація про особу може бути поділена на інформацію персоніфіковану, за
допомогою якої особа стає ідентифікованою або її можна буде
ідентифікувати та не персоніфіковану, або анонімну, за допомогою якої
особу ідентифікувати неможливо. Перший вид інформації про особу, на наше
переконання, і є персональними даними. Право захищає саме персональні
дані, а не анонімну інформацію про особу, оскільки без ознак ідентифікації,
персоналізації правовий захист стає неможливим і втрачає сенс. Саме тому
дуже часто говорячи про інформацію про особу, її правовий захист мають на
3 Про умовність анонімності в сучасному світі і в умовах новітніх технологій детальніше див: [62,
С. 78–80].
49
увазі лише один її різновид – персональні дані. Проте зауважимо, що
одночасне використання обох термінів ми не заперечуємо, вважаючи такий
підхід традиційним і певною мірою виправданим.
Персональні дані (інформація про особу, яка містить можливість її
ідентифікації) може називатися в різних країнах по-різному. Так, зокрема, у
Франції виокремлюються так звані номінативні дані. У ст. 4 Закону Франції
№ 78-17 від 6 січня 1978 р. номінативними в значенні цього закону
вважаються дані, що дозволяють в тій чи іншій формі, прямо чи
опосередковано здійснювати ідентифікацію фізичних осіб, до яких вони
відносяться, незалежно від того, здійснюється обробка фізичною або
юридичною особою [84; 201]4. По суті, це ті ж самі персональні дані, лише
названі по-іншому.
Отже, можна вважати, що використання різних термінів («персональні
дані», «інформація про особу») тощо часто випливає з національної традиції
тієї чи іншої правової системи. У рамках нашого дослідження згідно із
загальним правилом ми будемо послуговуватися терміном «інформація про
особу», виходячи з того, що саме цей термін вжито на конституційному рівні.
Водночас для цілей коректного цитування вітчизняного і зарубіжного
законодавства, наукових позицій вчених паралельно вживатимемо також
термін «персональні дані», у значенні персоніфікованої інформації про
особу.
Інші ж відмінності між інформацією про особу і персональними даними
вважаємо переважно семантичними, вживання відповідних термінів
викликані історичними причинами, відсутністю усталеної єдиної
термінології і різноманітністю юридичної лексики в різних кранах. Якщо
йдеться про інформацію про особу, яка не є анонімною, то юридично
значущої відмінності між інформацією про особу і персональними даними
ми не бачимо і пропонуємо вживати ці терміни як синоніми. Цілковита
4 Детальніше про захист персональних даних у Франції - див: [189]
50
відмова від одного з них видається недоречною, хоча в перспективі з метою
приведення термінології у сфері приватності до єдиного знаменника про це
може йти мова.
До речі, в контексті термінів «інформація про особу» і «персональні
дані» цілком логічно постає питання щодо можливості захисту інформації не
лише про фізичних, а й про юридичних осіб, адже певні аспекти
професійного життя також можуть бути предметом захисту персональних
даних. Згідно з практикою ЄСПЛ права гарантуються всім особам, а не лише
фізичним [108, С 40].
Як справедливо вважає Д.Д. Луспеник, недоторканність приватного
життя притаманна лише індивідууму [60, С. 96]. На розвиток цієї думки К.С.
Мельник стверджує: «оскільки визначення персональних даних стосується
людей, тобто фізичних осіб, інформація стосовно юридичних осіб у принципі
не розглядається як персональні дані. Однак за цілого ряду обставин певні
правила захисту персональних даних можуть все одно опосередковано
застосовуватися до інформації стосовно юридичних осіб, наприклад, у
контексті їх засновників, директорів тощо» [64, с. 55]. У ФРН суб'єктами
права на інформаційне самовизначення, в першу чергу, є фізичні особи і
можна сумніватися в практичній необхідності поширення права на
інформаційне самовизначення на юридичних осіб [120, С. 44-45]. Правилами
GDPR так само не охоплюється обробка даних про юридичних осіб, а також
ті, що відносяться до анонімної інформації і померлих осіб [8, C. 49].
Витоки право на захист персональних даних беруть початок із права на
повагу до приватного життя. Поняття «приватне життя» стосується людей.
Отже, фізичні особи – це головні вигодонабувачі від захисту персональних
даних [108, С. 39]. До того ж відповідно до висновку робочої групи «Стаття
29» тільки жива особа може перебувати під захистом європейського
законодавства про захист персональних даних.
51
В більшості юрисдикцій, дійсно, комерційні компанії не можуть
заявляти вимоги, що ґрунтуються на порушення законодавства в сфері
захисту персональних даних. Тільки живі фізичні особи охороняються
законодавством [21, C 278]. Водночас це лише загальне правило, з якого є
відповідні винятки. В деяких юрисдикціях (у тому числі Австрії, Італії і
Швейцарії) до «персональних даних» належать дані, що стосуються не лише
фізичних, а й юридичних осіб [21, с. 56].
У цьому контексті слід звернути увагу на положення Конвенції 108,
згідно з якими захист персональних даних, насамперед, стосується захисту
фізичних осіб, хоча при цьому робиться уточнення дозвільного характеру
про те, що Договірні Сторони можуть розширювати у своєму національному
законодавстві дію захисту персональних даних на юридичних осіб, таких як
бізнес-компанії та об’єднання. У цьому контексті вбачається доречним
навести висновок європейських фахівців стосовно права ЄС: «Загалом у
праві ЄС про захист персональних даних не охоплюються питання захисту
юридичних осіб у зв’язку з обробкою персональних даних, які їх стосуються»
[108, С. 41].
Є й інші приклади. Ісландським законодавчим актом 1989 р. «Про
реєстрацію та поводження з персональними даними» розповсюдив поняття
«персональні дані» на відомості про юридичні особи (тобто визнано так
зване корпоративне право на невтручання у приватну сферу): «... до
персональних даних відносяться дані, пов'язані з приватними, фінансовими
або іншими справами індивідів, інститутів, компаній чи інших юридичних
осіб, які ці особи обґрунтовано повинні тримати в секреті » (Art. 1 of Act
Concerning the Registration and Handling of Personal Data (1989, Iceland) (Log
um pers nuvernd og me fer pers nuuppl singa). Між тим, у новій редакції
ісландського Закону «Про захист приватного життя щодо обробки
персональних даних» 2000 р. під «персональними даними» вже розуміються
чітко про фізичну особу (померлу чи живу) [176].
52
Для прикладу можна також навести поняття «персональні дані»,
закріплене в аргентинському Законі «Про захист персональних даних», яке
означає відомості будь-якого роду, щодо визначеної фізичної особи, або
юридичних осіб [203].
Як випливає з українського законодавства і правозастосувальної
практики, жодних прикладів поширення стандартів захисту інформації про
особу і права на невтручання в приватне життя щодо юридичних осіб ми не
знайшли. До того ж (хоч це не є основним аргументом), як зазначає КСУ в п.
3 мотивувальної частини рішення 9 лютого 1999 року № 1-рп/99 (справа про
зворотну дію в часі законів та інших нормативно-правових актів) [134],
розділ II "Права, свободи та обов'язки людини і громадянина" закріплює
конституційні права, свободи і обов'язки насамперед людини і громадянина
та їх гарантії. Отже, логічним є, що суб’єктом захисту інформації про особу є
лише фізичні особи.
Досить спірною є теза про те, що будь-які відомості про фізичну особу
та її приватне життя є особливим видом умовно визначеної власності, що
юридично виступає у формі права приватної власності людини та ототожнює
собою право на її самовизначення і повагу до себе [99, с. 12]. Сумнівно, що
найбільш реальні правові гарантії захисту приватності та персональних
даних, як убачається, може надати впровадження інституту права приватної
власності людини на свої персональні дані, що потребує додаткового
теоретичного і правового опрацювання [100, С. 45]. В літературі
пропонується здійснювати подальше дослідження інститут приватної
власності як основна складова загальної системи захисту прав людини на свої
персональні дані [65, с. 109]. При цьому, на наш погляд, досить сумнівним
видається обґрунтування права приватної власності на персональні дані
виходячи з семантичного значення «приватності» і «права на приватність», й
твердження, що “приватні персональні дані” – це персональні дані, які
належать відповідній людині (особі) як продукту суспільних відносин у будь-
53
яких галузях публічного та приватного права [7, С. 48-49]. Насправді питання
власності пов’язано з цивільним правом, де вже давно те, що ми називаємо
інформацією про особу (персональні дані), розглядають як особисте
немайнове право. Субєкти даних не є власниками даних про них з точки зору
речового права. В більшості юрисдикцій факти і інформація не є об’єктами
майнових прав, що зроблено для забезпечення свободи інформації і слова
[21, с. 260].
Питання захисту персональних даних викликані переважно
вдосконаленням публічно-правих норм, а не норм приватного (цивільного)
права в цій сфері, хоча, безумовно, вони нерозривно пов’язані.
Отже, із зазначеного можна зробити такі висновки:
1. У доктрині існують досить різноманітні погляди щодо питання
співвідношення термінів «персональні дані», «інформація про особу»,
«інформація про особисте і сімейне життя». Дуже часто ці терміни
ототожнюються, проте в літературі водночас існує багато підходів щодо
розмежування інформації про особу, персональних даних і інформації про
особисте і сімейне життя.
2. На підставі аналізу різних аргументів на користь розділення термінів
«інформація про особу» і «інформація про особисте і сімейне життя»,
«інформація про приватне життя» зазначаємо, що намагання знайти між
цими термінами якісь юридично значущі відмінності видається досить
штучним. Зауважимо, що термін «інформація про особисте і сімейне життя»
є радянським рудиментом, який зберігся в цивільному законодавстві України
та в низці інших нормативно-правових актів і походить з формули
«недоторканності особистого і сімейного життя». Метою введення в обіг
термінів «інформація про особу», «персональні дані» є фіксація об’єкта
захисту в структурі права на недоторканність приватного життя,
гарантованого ст. 32 Конституції України, права на приватність загалом.
Термін «інформація про особисте і сімейне життя», на нашу думку, в цьому
54
плані є не зовсім коректним і має бути вилученим із законодавства разом з
відповідним внесенням змін у ст. 32 Конституції. Разом із тим, термін
«інформація про приватне життя», з нашого погляду, також досить
громіздкий. Цілком логічним виглядає використання з цією метою терміна
«інформація про особу» або ж «персональні дані», оскільки вони дозволяють
охопити весь спектр інформації.
3. Терміни «інформація про особу» та «персональні дані», по суті, як
правило за змістом є тотожними і означають одне й те саме – об’єкт захисту
інформаційної приватності. Проте аналіз відповідної літератури показав, що
різниця ж між персональними даними і інформацією про особу, найчастіше
розглядається в двох аспектах.
По-перше, розмежування ґрунтується на точці зору, згідно з якою
розмежовуються терміни «дані» і «інформація». Тобто, власне кажучи, за
цією логікою інформація є матеріальним явищем, тоді як дані – формою
вираження інформації. Розмежування персональних даних і інформації про
особу носить також історичний характер. Справа в тому, що поява термінів
«персональні дані», «захист персональних даних» пов’язана з комп’ютерною
епохою, появою технічних можливостей обробки великої кількості
інформації, саме комп’ютерна інформація і називалася «даними». Така
історична відмінність не впливає на обсяг відповідного поняття, яке воно має
на сьогодні в юридичній сфері. Таким чином, перший аспект, що
характеризує відмінність між інформацією про особу і персональним даними,
ми не вважаємо достатньо юридично значущим. Інформація і дані цілком
можуть бути ототожнені.
По-друге, відмінність між даними і інформацією часто розглядають
полягає в тому, що персональні дані як поняття містить чітку прив’язку до
ідентифікації за допомогою цієї інформації певної особи. Персональні дані –
це не будь-яка інформація про фізичну особу, а лише інформація про
ідентифіковану або таку, що може бути ідентифікована, фізичну особу.
55
Таким чином, якщо фізична особа не ідентифікована і не може бути
ідентифікована, то інформація, що стосується фізичної особи, не є її
персональними даними.
4. Інформація про особу може бути поділена на інформацію
персоніфіковану, за допомогою якої особа є ідентифікована або може бути
ідентифікованою та не персоніфіковану, або анонімну, за якою особу
ідентифікувати неможливо. Перший вид інформації про особу і є
персональними даними. Право захищає саме персональні дані, а не анонімну
інформацію про особу, оскільки без ознак ідентифікації, персоналізації
правовий захист стає неможливим і втрачає сенс. Саме тому, говорячи про
інформацію про особу, її правовий захист, зазвичай, мають на увазі лише
один її різновид – персональні дані. Проте одночасне використання обох
термінів ми не заперечуємо, вважаючи такий підхід традиційним і певною
мірою виправданим. Не можна спрощувати і проблему анонімних даних,
цілком вважаючи їх «безпечними» з точки зору інформаційної приватності,
передусім з огляду на появу феномену т.з. «Великі дані» (англ. «Big Data»).
5. Використання різних термінів («персональні дані», «інформація про
особу» тощо) часто випливає з національної традиції тієї чи іншої правової
системи. Відмінності між інформацією про особу і персональними даними
вважаємо переважно семантичними, вживання відповідних термінів
викликані історичними причинами, відсутністю усталеної єдиної
термінології і різноманітністю юридичної лексики в різних кранах. Якщо
йдеться про інформацію про особу, яка не є анонімною, то юридично
значущої відмінності між інформацією про особу і персональними даними
ми не бачимо і пропонуємо вживати ці терміни як синоніми. Цілковита
відмова від одного з цих термінів видається недоречною, хоча в перспективі з
метою приведення термінології в сфері приватності до єдиного знаменника
про це може йти мова;
56
6. Переважна більшість держав визначає право на захист інформації
лише про фізичних осіб. Водночас окремі держави передбачають наявність
захисту стосовно юридичних осіб нарівні з фізичними (зокрема, Австрія,
Аргентина, Італія і Швейцарія). Право ЄС передбачає відповідний захист
лише за умови, якщо з офіційної назви юридичної особи можна встановити
одну або декілька фізичних осіб. Як випливає з українського законодавства і
правозастосувальної практики, жодних прикладів поширення стандартів
захисту інформації про особу щодо юридичних осіб немає. До того ж (хоч це
не є основним аргументом), як зазначає КСУ в п. 3 мотивувальної частини
рішення 9 лютого 1999 р. № 1-рп/99 у справі за конституційним зверненням
Національного банку України щодо офіційного тлумачення положення
частини першої статті 58 Конституції України (справа про зворотну дію в
часі законів та інших нормативно-правових актів), розділ II «Права, свободи
та обов'язки людини і громадянина» закріплює конституційні права, свободи
і обов'язки насамперед людини і громадянина та їх гарантії. Отже, вважаємо,
що суб’єктом захисту інформації про особу є лише фізичні особи.
7. Досить спірною є теза про те, що будь-які відомості про фізичну
особу та її приватне життя є особливим видом умовно визначеної власності,
що юридично виступає у формі права приватної власності людини та
ототожнює собою право на її самовизначення і повагу до себе. Насправді
питання власності пов’язано з цивільним правом, де вже давно те, що ми
називаємо інформацією про особу (персональні дані) розглядають як
особисте немайнове право. Питання захисту персональних даних викликані
переважно вдосконаленням публічно-правових норм, а не норм приватного
(цивільного) права в цій сфері, хоча, безумовно, вони нерозривно пов’язані.
57
1.3. Сутність та види інформації про особу в зарубіжному
законодавстві
Для більш глибокого розуміння сутності інформації про особу
(персональних даних) звернемося до їх визначення в конституційно-
правовому законодавстві зарубіжних країн.
Легальне визначення персональних даних (personenbezogene Daten)
міститься в абзаці 1 §3 Закону ФРН про захист даних [181], згідно з яким до
таких даних належать «окремі відомості про особисті або майнові відносини
визначеної або такої, що може бути визначеною фізичної особи». Термін
«персональні дані» в німецькому праві розуміється дуже широко. Поряд з
ім'ям, роком народження, адресою персональними даними можуть бути
номер банківського рахунку, номер паспорта, адреса електронної пошти,
реєстраційний номер автомобіля, відбитки пальців, зразки тканин,
рентгенівські знімки, геодані. Вичерпний перелік відомостей, які є
персональними даними, не може бути складений, оскільки до даної категорії
можуть належати найрізноманітніші відомості з усіх без винятку сфер життя
людини (персональні дані не обмежуються лише інформацією про інтимну
сферу, приватне життя). Такі очевидні відомості, які зазвичай
використовуються для ідентифікації особи, як прізвище та ім'я, поштова
адреса, дата народження, професія, самі по собі не позбавлені захисту і не
оголошені «вільними даними» [120, С. 23-24].
Значно більш складним є британське визначення персональних даних.
Законодавчий акт 1984 року в редакції Закону 1998 р. «Про захист даних»
вводить у нормативне визначення додаткові категорії «думка» і «намір».
Термін «персональні дані» означає дані, що складаються з інформації,
пов'язаної з певним живим індивідом, який може бути ідентифікований на
підставі цієї інформації (або за допомогою цієї та іншої інформації, що
58
знаходиться в розпорядженні користувача даних), включаючи будь-яке
висловлення думки про дану особу, але без будь-якої вказівки про наміри
користувача даних щодо цієї особи» [155, С. 86].
Таким чином, будь-яка висловлена думка про індивіда (суб'єкта даних)
включається до складу персональних даних, тоді як будь-яка вказівка на
наміри користувача даних щодо суб'єкта даних однозначно виключається зі
складу персональних даних (необхідно підкреслити, що наміри третьої
сторони, оскільки вони в явній і недвозначній формі не виключені законом,
включаються до складу персональних даних).
Іншою важливою особливістю британського визначення є застереження
«або за допомогою цієї та іншої інформації, що знаходиться в розпорядженні
користувача даних», яке введено в зміст дефініції, щоб запобігти
поширеному серед користувачів даних прийому: щоб дані не підпадали під
юрисдикцію законодавства про захист персональних даних, вони зберігають
їх в комп'ютері в псевдознеособленій формі – без згадки ідентифікуюючих
відомостей про суб'єкта даних, але з прив'язкою до ідентифікаційних кодів.
Таблиця ж відповідності кодів і суб'єктів даних зберігається (в писаній формі
або на магнітних носіях) окремо і в азі потреби забезпечує ідентифікацію
суб'єктів даних цієї нібито знеособленої комп'ютерної інформації [155, С. 87].
До того ж, кваліфікуючи дані як «персональні», у Великій Британії
зважають на додаткові критерії, визначені в судовому прецеденті у справі
«Durant vs FSA» (Управління з регулювання та нагляду у сфері фінансових
послуг). Зокрема, до інформації, яка ідентифікує особу, належать також
відомості щодо приватного життя людини, в тому числі про її власне життя
або членів сім’ї, або її ділового життя, або її професійних зв’язків.
В Австралії під персональними даними розуміють будь-яку інформацію
про людину, яка є безпосередньою або достатньою для ідентифікації особи,
незалежно від того, правдиві такі дані та зафіксовані чи ні [167, с. 22-23].
59
За Законом Чеської Республіки «Про захист персональних даних»
персональними даними слід вважати будь-яку інформацію, що стосується
ідентифікованого або здатного бути ідентифікованим суб’єкта даних. При
цьому суб’єкт вважається таким, якщо його прямо або опосередковано можна
ідентифікувати, зокрема, на підставі номера, коду або однієї чи більше
характеристик, притаманних його фізичній, фізіологічній, психічній,
економічній, культурній або соціальній індивідуальності [33].
Особливо слід відзначити ретельне опрацювання визначень
персональних даних та суміжних з ними понять у фінському законодавчому
акті 1988 р. «Про персональні дані» та його новій редакції – Законі «Про
персональні дані» 1999 р. Згідно з останнім документом Термін «персональні
дані» означає будь-який опис будь-якої особи, або характеристик фізичної
особи, або життєвих обставин, який може бути визнаний як такий, що описує
певну приватну фізичну особу, або її сім'ю, або тих, хто живе з нею в одному
і тому ж житлі. Термін «персональні кредитні дані» визначено як персональні
дані, призначені для використання в оцінці фінансового статусу фізичної
особи, її здатності відповідати своїми зобов'язаннями або ступеня наданої їй
кредитної довіри [202].
Данський закон «Про обробку персональних даних» від 2000 р., як і
багато інших законів держав-членів Ради Європи, до «персональних даних»
відносить будь-яку інформацію, що стосується ідентифікованої або такої, що
може бути ідентифікованою фізичної особи» [175].
Як вже зазначалось вище, відповідно до ст. 2 Конвенції про захист осіб у
зв'язку з автоматизованою обробкою персональних даних від 28 січня 1981 р.
№ 108, термін "персональні дані" означає будь-яку інформацію, яка
стосується конкретно визначеної особи або особи, що може бути конкретно
визначеною [187].
Що стосується права Європейського Союзу, то відповідно до ст. 2
Директиви 95/46/ЄС Європейського Парламенту і Ради Європи «Про захист
60
фізичних осіб при обробці персональних даних і про вільне переміщення
таких даних» персональні дані являють собою будь-яку інформацію, що
стосується встановленої фізичної особи чи фізичної особи, яку можна
встановити [23]. У контексті Загального Регламенту ЄС про захист даних (EU
General Data Protection Regulation (GDPR), який набув чинності 25 травня
2018 року, замінивши собою чинну до цього Директиву ЄС щодо захисту
даних 95/46 / ЄС, «персональні дані означають будь-яку інформацію, що
стосується ідентифікованої фізичної особи або фізичної особи, що
ідентифікується (“суб’єкта даних”). Фізична особа, що ідентифікується – це
особа, яка може бути ототожнена прямо або опосередковано, зокрема, з
ім’ям, ідентифікаційним номером, даними про місцеположення, онлайн-
ідентифікатором, із одним чи декількома специфічними чинниками для
встановлення фізичної, фізіологічної, генетичної, психічної, економічної,
культурної або соціальної ідентичності цієї фізичної особи.
Повертаючись до визначення персональних даних, зауважимо, що
українське визначення персональних даних у ст. 2 Закону України “Про
захист персональних даних” (“персональні дані – відомості чи сукупність
відомостей про фізичну особу, яка ідентифікована або може бути конкретно
ідентифікована”) цілком вписується в європейські стандарти. Запропоноване
українським законодавцем визначення терміна “персональні дані” відповідає
за змістом зазначеним термінам, закріпленим у Конвенції Ради Європи №
108 про захист осіб у зв’язку з автоматизованою обробкою персональних
даних та в Директиві 95/46/ЄС [64, с. 56]. Це визначення є достатньо
лаконічним і чітким та відповідає існуючим міжнародним підходам до
розуміння цього поняття [4, С. 21].
Отже, і в праві Європейського Союзу, і в праві Ради Європи інформація
є такою, що містить персональні дані, якщо: 1) за нею можна встановити
особу або 2) якщо особу не встановлено, але дано опис у такий спосіб, який
61
шляхом подальшого розслідування робить можливим з’ясування, хто є
суб’єктом персональних даних.
Визначення персональних даних має на меті охопити всю інформацію,
пов’язану з ідентифікацією або можливістю ідентифікувати особу прямо чи
опосередковано. З метою встановлення, чи особа може бути ідентифікована,
мають враховуватися всі засоби, якими може скористатись володілець або
будь-яка інша особа для ідентифікації згаданої людини.
Законодавством України, як і законодавством ЄС, не встановлено і не
може бути встановлено чіткого переліку відомостей про фізичну особу, які є
персональними даними. ]. Варто підтримати Міністерство юстиції, яке в
роз’ясненні від 21.12.2011 р. зазначило, що законодавством України не
встановлено і не може бути встановлено чіткого переліку відомостей про
фізичну особу, які є персональними даними [22]. Зазначений підхід до
поняття «персональні дані» довів свою дієвість у ЄС та дозволив забезпечити
належний рівень захисту персональних даних протягом останніх десятиріч,
незважаючи на динамічний розвиток технологій [40, С. 7
Персональні дані, за слушною думкою В.А. Проценко, – це будь-яка
інформація, що стосується особи, незалежно від того, до якої сфери
життєдіяльності вона належить – особистої, професійної чи громадської. Це
може бути що завгодно – від імені особи, фото та адреси електронної пошти,
до банківських реквізитів, повідомлень в соціальних мережах, медичної
інформації або ІР-адреси комп’ютера [121, С. 45]. Під персональними даними
слід розуміти будь-яку інформацію, згенеровану людиною в процесі її
життєдіяльності, за допомогою якої можна проводити її індивідуалізацію,
незалежно від способу та рівня формалізації такої інформації [25, С. 7].
Перелік відомостей, що є персональними даними особи, є динамічним і
залежить, насамперед, від конкретної сфери правовідносин, які виникли у
конкретної особи [170, С. 107].
62
Таким чином, закріплення в законі вичерпного переліку персональних
даних без допущення винятків і багатоваріантності підходів до їх окремих
груп практично неможливе. Саме тому правове регулювання персональних
даних, має бути максимально гнучким і універсальним. Так, зокрема, суб’єкт
персональних даних має право частково самостійно формувати набір
персональних даних, вирішуючи, віднести ті чи інші відомості до їх числа чи
ні. Це зумовлено не тільки й не стільки відкритістю переліку персональних
даних, встановленого законом, а тим, що категорії «приватне життя» в
цілому й «персональні дані» зокрема носять переважно суб’єктивний
характер. Примітним є факт, що для різних галузей діяльності до необхідних
і достатніх переліків персональних даних внесено тільки певні їх види, що
зумовлено специфікою відповідної сфери діяльності та метою обробки
персональних даних в їх межах [65, с. 31].
Досить детальний аналіз терміна “персональні дані” міститься у
Висновку Робочої групи із захисту даних, утвореної відповідно до ст. 29
Директиви № 95/46/ЄС, № 4/2007 (WP 136) від 20 червня 2007 р. щодо
концепції персональних даних (далі – Висновок WP 136) [119] (Більш
детально з цього приводу – див.: [65, с. 26-30]).
Термін “персональні дані”, на думку експертів Робочої групи, варто
поділити на 4 основні змістові блоки, кожен з яких несе в собі певний
правовий зміст. У поєднанні ці змістові блоки утворюють термін
“персональні дані” та визначають, чи слід вважати певну інформацію
“персональними даними” [64, с. 51]. Не маючи змоги повністю передати
зміст цього документа, зазначимо, що він в певній мірі відображає сучасне
європейське розуміння всіх аспектів, пов’язаних з тлумаченням
персональних даних.
Вище ми вже звертали увагу на важливість ідентифікаційної
властивості інформації, тому цілком приймаємо позицію О.С. Каретник, яка
наголошує, що критерій ідентифікації фізичної особи є головним питанням
63
визначення обсягу поняття «інформація про фізичну особу (персональні
дані)» [43, С. 229]. Як випливає з європейських документів, дієслово
«визначення» та похідні від цього слова в контексті розглядуваного поняття
(персональні дані) є найуживанішими: «термін "персональні дані" означає
будь-яку інформацію, яка стосується конкретно визначеної особи або особи,
що може бути конкретно визначеною» [45]. Проте у українському законі
вжито термін «ідентифікація»: «персональні дані – відомості чи сукупність
відомостей про фізичну особу, яка ідентифікована або може бути конкретно
ідентифікована» [118]. По суті, це одне й те саме поняття, лише інакше
перекладене. Таким, що більш точно виражає смислове значення поняття
«персональні дані» і входить до нього як сутнісна складова, є, на наше
переконання, слово «ідентифікувати» та його похідні, оскільки воно
однозначне – ототожнення, тоді як слово «визначати», а отже і його похідні –
полісемантичне.
Загальне правило зводиться до того, що фізична особа може бути
“прямо” або “опосередковано” ідентифікована. Фізична особа може
вважатися “ідентифікованою”, якщо в групі осіб вона “виділяється” з-поміж
інших членів групи [64, с. 55]. Відповідно, фізична особа є такою, яка “може
бути ідентифікована”, якщо, незважаючи на те, що її ще не було
ідентифіковано, це можливо зробити. Як приклад дуже часто наводять
користування послугами передплаченого мобільного зв’язку, який може бути
здійснений без ідентифікації, хоча на практиці (за потреби), відповідна
ідентифікація є здійсненною, а отже особа «може бути ідентифікованою».
Як бачимо, ключове значення має властивість інформації, завдяки якій
остання виконує активну роль у встановленні особи, її ідентифікуванні (від
латинського «identi(tas)» – тотожність, «facatio», «facio» – роблю). Лише в
такому разі звичайна інформація набуває ознак, а отже, й змістовного
значення поняття «персональні дані» або «персоніфікована інформація» і
підлягає захисту. Тому питання щодо наявності ідентифікаційної властивості
64
певної інформації, тобто можливості встановлення, які дані дозволяють
ідентифікувати особу, а які ні, є в цьому контексті найважливішим і має бути
розглянуто більш детально.
Метою ідентифікації фізичної особи є відособлення цього суб’єкта права
серед інших суб’єктів. Це, так би мовити, формування правосуб’єктного
«портрета» фізичної особи, який ми маємо намір «написати» [44, С. 230].
Додаткове роз’яснення з цього питання міститься в повідомленні
Європейської комісії COM (92) 422 [185], у якому повідомленні зазначається,
що «людина може бути ідентифікована прямо за допомогою імені або
опосередковано за допомогою номера телефону, номера автомобіля, номера
соціального страхування, номера паспорта або поєднання важливих
критеріїв, які дозволяють йому бути визнаним шляхом звуження групи, до
якої він належить (вік, рід занять, місце проживання і т.д.)». Зазначене
свідчить, що достатній ступінь деяких ідентифікаторів для досягнення
ідентифікації людини залежить від контексту конкретної ситуації. Дуже
поширеного імені та/або прізвища може бути недостатньо, щоб
ідентифікувати особу, тобто виділити когось з усього населення країни.
Проте цього може бути достатньо для ідентифікації, наприклад, учня в класі.
Навіть допоміжна інформація, наприклад “людина в чорному костюмі” може
ідентифікувати когось з перехожих, що стоять на світлофорі. Таким чином,
питання про те, чи може бути ідентифікована особа, якої стосується певна
інформація чи ні, залежить від обставин ситуації [64, с. 56].
Прізвище, ім’я, по батькові особи або ж дата її народження окремо не
можуть вважатися персональними даними, оскільки вони унеможливлюють
ідентифікацію особи (адже таке прізвище, ім’я, по батькові може мати багато
інших осіб у країні; дата народження без зазначення імені її власника також
не є персональними даними). Проте в комплексі ці відомості є
персональними даними, оскільки за їх допомогою можна встановити, якій
саме особі вони належать [158, С. 53].
65
Водночас перед правовою наукою постає проблема проведення межі між
тією кількістю інформації, яка достатня для усунення непевності щодо особи
суб’єкта, і тією, яка недостатня (тобто інформацією, яка становить і не
становить персональних даних). Сучасна доктрина та законодавча практика
не виробили єдиних підходів до вирішення даної проблеми: виділяють
об’єктивну й суб’єктивну (абсолютну і відносну) можливості ідентифікації
суб’єкта даних. У першому випадку ідентифікація проводиться виключно на
основі уже наявної інформації, яка є предметом розгляду. Суб’єктивно
можлива ідентифікація додатково передбачає аналіз й іншої інформації,
одержання якої потребує «розумних зусиль» або до якої може одержати
доступ особа, відповідальна за обробку даних [139, с. 35].
На користь відносної ідентифікації свідчать нормативні документи.
Згідно з пунктом 26 преамбули Директиви про захист персональних даних
відправною точкою є імовірність існування розумних засобів для
встановлення особи, а також їх здійснення передбачуваними користувачами
інформації, включаючи одержувачів – третіх осіб (див. розділ 2.3.2) [108, с.
43]. У свою чергу, варто звернути увагу на рекомендацію Комітету міністрів
Ради Європи державам-членам № CM/Rec (2010) щодо захисту осіб у зв’язку
з автоматизованою обробкою персональних даних у контексті їх
профілювання [36]. Відповідно до пункту 1 Додатка до зазначеної
рекомендації особа не вважається такою, що підлягає ідентифікації, якщо
ідентифікація вимагає необґрунтованих часу та зусиль. Так само у статті 1 (2)
Рекомендації щодо захисту персональних даних, які використовуються для
сплати та інших споріднених операцій (13 вересня 1990 p.), йдеться про те,
що особу не вважають такою, яку можна ідентифікувати, якщо процес
ідентифікації потребує необґрунтовано багато часу, коштів або робочої сили
[108, С. 44].
На користь суб’єктивної ідентифікації свідчить і рішення, ухвалене
Судом ЄС у справі C-582/14 «Breyer v Bundesrepublik Deutschland» [177; 198].
66
Суд вирішив поступово впроваджувати визначення персональних даних
шляхом включення динамічних IP-адрес, у разі наявності реальної
можливості поєднання додаткової інформації з IP-адресою, що дозволяє
ідентифікувати користувача Інтернету. Очевидно, що Інтернет-провайдери
можуть, як правило, співвіднести IP-адресу з конкретним користувачем, і для
цього їм не потрібно значних зусиль. Інші ж особи, наприклад, адміністратор
сайта, переважно не здатні ідентифікувати особу на підставі IP-адреси без
сприяння сторонніх суб'єктів, які мають необхідну інформацією (в даному
разі – Інтернет-провайдера). Викладене, як видається, підтверджує висновок
про те, що однозначно і абстрактно (у відриві від конкретних обставин)
встановити, чи є дані персональними, неможливо. Відповідно одні і ті самі
відомості (наприклад, IP-адреса) для однієї особи можуть бути
персональними даними, а для іншої – ні. Варто погодитися з тим, що така
інтерпретація персональних даних, характерна для прихильників відносного
підходу, видається більш обґрунтованою [120, С. 25-26]. І.І. Романюк та О.А.
Дмитренко так само вважають, що у вітчизняному законодавстві слід надати
перевагу суб’єктивно можливій ідентифікації, оскільки це забезпечить більш
надійний ступінь захисту прав фізичної особи [26, С. 60; 139, с. 35].
Водночас підхід щодо віднесення до персональних даних додаткових
(оціночних) характеристик людини залишається дискусійним у науковому
середовищі. Так, судження оціночного характеру, певні характеристики
людини, думки про неї можуть бути лише факультативним джерелом
ідентифікації особи лише за певних обставин. Прямо ідентифікувати лише за
факультативними джерелами особу фактично неможливо. Тому, якщо мова
іде про необхідність прямої ідентифікації особи, в першу чергу, необхідно
брати до уваги первині джерела даних про неї. Факультативні джерела
ідентифікації особи є лише допоміжними. Водночас вони також містять
персональні дані особи [65, с. 25-26].
67
У літературі розмежовують ідентифікацію і індивідуалізацію особи [44;
139, С. 35; 142, С. 41]. На думку А.В. Пазюка, визначальною ознакою
персоніфікованої інформації є її індивідуалізований характер… Під час такої
ідентифікації відбувається процес персоніфікації тих чи інших відомостей,
тобто прив’язування їх до конкретної людини [91, С. 12]. Тим самим вчений
фактично ототожнює персоніфікацію, індивідуалізацію і ідентифікацію
особи.
Ідентифікація та індивідуалізація видається нам тотожними процесами,
тож юридичного значення в їх розмежуванні ми не вбачаємо. Погоджуємося
з М. Різаком в тому, що визначальною ознакою персональних даних є
здатність за їх допомогою ідентифікувати конкретну особу. Під час такої
персоніфікації відбувається прив'язування даних індивіда до конкретної
людини. Інформація, що дає змогу ідентифікувати особу, є інформацією про
особу — «персональними даними» [128, С. 18].
Для більш глибокого з’ясування сутності персональних даних маємо
звернутися до питань їх класифікації, розглянути ті види персональних
даних, які виділяються в літературі.
Різні класифікації персональних даних містяться у національному
законодавстві європейських країн. Наприклад, Закон Франції «Про
інформатику, картотеки і свободи» виділяє в окрему категорію медичну
інформацію про особу (за винятком даних, що накопичуються з метою
терапевтичного або медичного контролю за пацієнтом і для дослідницьких
цілей) і в спеціальному розділі виділяє порядок збору та обігу такої
інформації. В окрему категорію виділені також дані про здоров’я, що
накопичуються і обробляються з метою розвитку профілактичної та
лікувальної діяльності.
Згідно з угорським Законом «Про захист персональних даних та
публікацію даних, що становлять суспільний інтерес» в окрему категорію
публічних персональних даних виділені відомості про імена та посади
68
фізичних осіб, котрі обрані/призначені до центральних та місцевих органів
влади [39, С. 119].
У Законі «Про персональні дані» Іспанії особливими положеннями
регулюється обробка таких категорій персональних даних: а) ті, що
визначаються законодавством про вибори; б) ті, що мають на меті
збереження відомостей, які містяться в особливих звітах про рівень
кваліфікації, про які йде мова в законах про військову службу; в) картотеки
зображень і звуків, отриманих за допомогою використання відеокамер
органами безпеки, згідно з відповідним законодавством [39, С. 109].
Справедливим є твердження, що вироблення універсального підходу до
класифікації персональних даних є досить складним процесом з огляду на те,
що одна й та сама інформація про особу часто може бути об’єктом обробки у
різних сферах життєдіяльності, перебувати у вільному обігу, бути
забороненою до обігу тощо [63, С 9].
Н. Петрикіна залежно від правового режиму обігу та сфери застосування
персональних даних виділяє три види: загальнодоступні персональні дані;
спеціальні категорії персональних даних; біометричні персональні дані. До
перших віднесені персональні дані, доступ до яких наданий відповідною
особою. Це відомості, які може повідомити про себе індивід і змістом яких є
його щоденне соціальне спілкування. До спеціальних категорій відомостей
відносяться відомості про расову, національну належність особи, політичні
погляди, релігійні переконання, стан здоров’я тощо. Біометричні персональні
дані – це відомості, що характеризують фізіологічні особливості людини, на
підставі яких можна її ідентифікувати (група крові, код ДНК, відбитки
пальців тощо) [97, С. 18].
Біометричні дані можуть бути визначені як біологічні властивості,
фізіологічні характеристики, життєві риси або повторювані дії, які є
унікальними для даної людини і вимірюваними, навіть якщо шаблони, які
використовуються на практиці для їх технічного вимірювання, містять
69
певний ступінь ймовірності. Типовими прикладами таких біометричних
даних є відбитки пальців, зображення сітківки ока, структури обличчя, голос,
а також геометрія руки, конфігурація вен або навіть деякі глибоко вкорінені
навички або інші характеристики поведінки (такі, як власноручний підпис,
натиснення клавіш, певна хода або манера мовлення і т.д.). Завдяки їх
унікальному зв’язку з конкретною особою, біометричні дані можуть
використовуватися для ідентифікації особи. Двоїстий характер цих даних
проявляється також і у випадку з даними ДНК, які містять інформацію про
людське тіло і надають можливість конкретно ідентифікувати особу. Зразки
людської тканини (наприклад, зразки крові) є джерелами вилучених
біометричних даних, але самі по собі вони не є біометричними даними (як,
наприклад, зразок для відбитків пальців є біометричними даними, але самі
пальці – ні). Тому вилучення інформації зі зразків є збором персональних
даних. Збір, зберігання і використання зразків тканини самі по собі можуть
бути предметом окремого правового регулювання [114].
У 2014 р. в Україні на законодавчому рівні було закріплено визначення
біометричних даних (п. 2 ч. 1 ст. 3 Закону України «Про Єдиний державний
демографічний реєстр та документи, що підтверджують громадянство
України, посвідчують особу чи її спеціальний статус»). Варто зазначити, що
цей перелік біометричних даних є, по-перше, не повним, а, по-друге,
вибірковим саме для запровадження документів, що підтверджують
громадянство України, посвідчують особу чи її спеціальний статус [65, с. 35].
На думку О.Каретник, доцільним є поділ персональних даних особи на
біологічні та соціальні (суспільно-політичні, правові). До біологічних
персональних даних вчена відносить відомості про морфо фізіологічні,
біохімічні та психологічні ознаки особи: відомості про стан здоров’я, про
стать, рік народження, фізіологічне зображення тощо. Соціальні персональні
дані складаються із відомостей про сімейний стан, рівень освіти, наявність
70
дітей, професійну зайнятість, громадянство, віросповідання, політичну
належність, громадську позицію, кредитну історію особи, судимість тощо.
Для встановлення правосуб`єктної персоніфікації фізичної особи О.
Каретник пропонує класифікацію, яку складають: а) номінативні персональні
дані фізичної особи (прізвище, ім’я, по батькові, дата народження тощо як
базисна умова класифікації); б) варіативні персональні дані (освіта, сімейний
стан, місце проживання тощо, за допомогою яких встановлюється
змістовність інформації про особу, досягається можливість чіткішої
ідентифікації індивідуума в «правовому полі». Вчена характеризує
номінативні персональні дані як статичні, оскільки їх метою є первісне
визначення суб’єкта на підставі його загальної характеристики, а варіативні
персональні дані – як динамічні, які можуть накопичуватися або
змінюватися під впливом обставин дійсності [43, С. 54].
Т.І. Обуховська підходить до класифікації персональних даних залежно
від суб’єкта, який збирає, накопичує і створює інформацію про особу
виокремлюючи чотири групи. Перша група персональних даних створюється
та збирається органами державної влади і місцевого самоврядування
відповідно до вимог закону. До таких даних належать: оперативно-розшукові
дані, відомості про сплату податків та інших обов’язкових платежів, дані про
доходи фізичних осіб, про проходження митного контролю, ідентифікаційні
дані документів на ім’я особи (серія, номер, дата видачі документа і
найменування органу, який здійснив цю видачу) та ін.
Друга група персональних даних створюється та збирається суб’єктами
права власності і господарювання відповідно до вимог закону. До таких
даних належать: витяги із наказів про працівників, характеристики на
працівників, ідентифікаційні дані документів на ім’я особи тощо.
Третя група персональних даних самостійно надається фізичними
особами органам державної влади і місцевого самоврядування та суб’єктам
права власності і господарювання у визначені законом терміни та ситуації.
71
До таких персональних даних належать: податкова декларація, податковий
звіт, митна декларація, анкета, симптоми захворювання пацієнтів.
Четверта група персональних даних створюється суб’єктами права
власності і господарювання згідно з угодами між ними та фізичними
особами, що описуються цими даними. До цієї групи персональних даних
належать: дані про послуги електрозв’язку, відомості про комунальні
послуги, дані медичного обстеження пацієнтів, рецепти хворих [85, С. 101].
Таким чином, перелік підстав для класифікації персональних даних на
сьогодні є відкритим і таким, що постійно поновлюється новими критеріями
для поділу, що пов’язано з багатоаспектністю самого феномену
«персональних даних», який перебуває в динамічному розвитку, а також із
прогресуючими процесами інформатизації та глобалізації сучасного
суспільства [139, С. 42].
Разом з тим, не заперечуючи значення відповідних законодавчих та
наукових класифікацій персональних даних, зазначимо, що найбільш
важливою з юридичної точки зору класифікацією є їх поділ на чутливі
(вразливі) і звичайні персональні дані.
Згідно із законодавством більшості європейських держав персональні
дані розділяються за критерієм “чутливості” на “дані загального характеру” і
“чутливі” (вразливі) персональні дані. Даними загального характеру є
прізвище, ім’я по батькові, дата і місце народження, громадянство, місце
проживання). “Чутливими” (вразливими) є персональні дані про стан
здоров’я (історія хвороби, діагнози); етнічна належність, ставлення до релігії,
ідентифікаційні коди чи номери, відбитки пальців, записи голосу, фотографії,
кредитна історія, дані про судимість тощо. Для вразливих персональних
даних передбачений вищий ступінь захисту. Так, забороняється збирання,
зберігання, використання та передача без згоди суб’єкта даних саме
чутливих, а не всіх персональних даних [85, С. 99].
72
Оскільки поняття «чутливість» персональної інформації є досить
суб'єктивним і залежить від сприйняття суб'єкта даних, на базі багатьох
прецедентів у судочинстві країн загального права був вироблений такий
принцип: публікація якогось факту приватного життя (персональних даних)
визнавалася посяганням на сферу приватного життя, якщо було доведено,
«що публікація цього факту була високонеприйнятною з точки зору будь-
якої розсудливої людини, наділеної звичайною чутливістю». Сенс цього
судового критерію в тому, «що закон не призначений для захисту
надчутливих людей, оскільки кожна людина повинна до якоїсь обґрунтованої
межі відкривати своє життя для пильної уваги суспільства» [155, С. 85].
Приклад використання цього критерію дає визначення з австрійського
закону 1978 р. в редакції Закону 2000 р. «Про захист даних»: «Дані
(персональні дані) – інформація, що зберігається на носії даних і має
відношення до якогось ідентифікованого або такого, що має високу
ймовірність ідентифікації суб'єкта даних ». Однак в особливу категорію
виділяється поняття «конфіденційні дані»: дані фізичних осіб, про їх расову
та етнічну належність, політичні погляди, про участь у профспілках, релігійні
або філософські переконання, здоров'я або сексуальне життя [155, С. 86].
У Бельгії контролер (утримувач) файлів повинен дотримуватися
особливо суворих правил обробки і використання стосовно трьох категорій
персональних даних: (1) високочутливих даних; (2) медичних даних; і (3)
судових даних (категорії 2 та 3 вважаються просто «чутливими» даними). Що
стосується першої категорії, то Бельгійський законодавчий акт 1992 р. «Про
захист даних» (BDPA) надає найвищий ступінь захисту даних, пов'язаних із
расою, етнічним походженням, сексуальною поведінкою, політичними
поглядами або діями, релігійними або філософськими переконаннями,
членством в будь-якому професійному або трудовому союзі або належністю
до державної служби охорони здоров'я (усі вони далі називаються
високочутливими даними). Будь-який контролер файлів може обробляти цю
73
категорію високочутливих даних тільки для цілей, дозволених BDPA, або на
виконання цього законодавчого акта [155, С. 91].
За декретом про «вразливі» дані 1993 р., у Нідерландах встановлені
детальні вимоги стосовно правил поводження з кожним окремим видом
«вразливих» даних, які стосуються релігійних чи філософських переконань
(ст. 2), расового походження (ст. 3), політичних поглядів (ст. 4), інтимних
аспектів приватного життя і стану здоров’я (ст. 5), кримінальних вчинків (ст.
6), адміністративних порушень (ст.7) [90, С. 23].
Разом з тим чутливість даних не означає, що інші персональні дані
втрачають захист. У постанові по справі про перепис населення 1983 р. ФКС
Німеччини зазначає, що в умовах автоматичної обробки даних більше не
існує «неважливих» («belangloses») даних, оскільки за допомогою
використання можливостей інформаційних технологій по обробці і з'єднанню
даних самі по собі «неважливі »дані можуть набути нового значення.
Відповідно «чутливість даних», тобто їх належність до тих обставин життя
людини, які вона бажає зберегти в таємниці, «не виступає умовою для того,
щоб вони охоплювалися правом на інформаційне самовизначення» [120, С.
41-42].
Таким чином, незважаючи на деякі винятки, більшість країн поділяє
персональні дані за критерієм «чутливості» на три категорії:
– «звичайні» персональні дані – їх збір, обробка, використання і
передача можливі без спеціального дозволу в режимі, встановленому
національними законами;
– «чутливі» персональні дані – їх збір, обробка, використання і передача
вимагають особливих заходів захисту і безпеки, спеціально встановлених
законом;
– «особливо чутливі» персональні дані – їх збір, обробка, використання і
передача або взагалі заборонені законом, або дозволені тільки у виняткових
випадках з використанням спеціальних заходів захисту і безпеки.
74
Загальновизнаними видами «чутливих» персональних даних, як
підтверджує проведений аналіз зарубіжного законодавства, є дані про
арешти; банківські дані; дані кредитних звітів і кредитних історій; дані про
освіту та трудову діяльність (як правило, тільки дані, що містять оцінку
здібностей і трудових якостей індивіда); медичні дані; податкові дані.
Набір «особливо чутливих» персональних даних, що підлягають
особливо ретельному захисту, може варіюватися в різних країнах залежно від
національного менталітету, але, як правило, до цієї категорії відносяться дані
про расове і етнічне походження, релігійні вірування, політичні
переконаннях, членство в професійних асоціаціях , політичних і громадських
організаціях, стан здоров'я, особливості сексуальної поведінки, кримінальне
минуле (дані про винесені і виконані обвинувальні судові вироки у
кримінальних справах). [155, С. 90-91].
Що стосується європейських стандартів, то маємо підкреслити, що в
Конвенції 1981 р. № 108 є стаття 6 «Особливі категорії даних». Там сказано,
що персональні дані, що свідчать про расову належність, політичні, релігійні
чи інші переконання, а також дані, які стосуються здоров'я або статевого
життя, не можуть піддаватися автоматизованій обробці, якщо внутрішнє
законодавство не забезпечує відповідних гарантій. Це ж правило
застосовується до персональних даних, що стосуються засудження в
кримінальному порядку [161].
Положення згаданої Конвенції встановлюють, що ст. 6 не містить
повного переліку персональних даних, які розглядаються як «чутливі».
Справа кожної держави – встановлювати обмеження щодо збору, реєстрації,
накопичення, зберігання та поширення зазначених відомостей у
національному законодавстві. Загальне правило зводиться до того, що
персональні дані не повинні оброблятися виключно з метою виявлення
фактів, що характеризують особу лише з негативного боку. Обробка таких
даних можлива для надання людині особливої допомоги або розслідування
75
кримінальних правопорушень. Системи, за допомогою яких здійснюються дії
з «чутливими» даними, повинні мати техніко-технологічні засоби захисту
[65, с. 33].
Директива 95/46/ЄС Європейського Парламенту і Ради «Про захист
фізичних осіб при обробці персональних даних і про вільне переміщення
таких даних» 1995 р. (ст. 8) та Конвенція Ради Європи про захист осіб у
зв’язку з автоматизованою обробкою персональних даних 1981 р. (ст. 6) до
чутливих категорії персональних даних відносять персональні дані про:
1) расове або етнічне походження;
2) політичні, релігійні або світоглядні переконання;
3) членство в політичних партіях та професійних спілках;
4) засудження до кримінального покарання;
5) дані, що стосуються здоров’я, статевого життя, а також біометричні
або генетичні дані [4, С. 22].
В США особливому захисту підлягають номери Федеральної програми
соціального страхування, що присвоюються кожному громадянину, а також
дані кредитних карток, оскільки споживачі часто стають жертвами крадіжок
ідентифікуючих даних користувачів через відносно слабких процедур
аутентифікації, що використовуються банками і продавцями [21, с. 17].
Певним чином поділ персональних даних на «звичайні» і «чутливі»
проведено і на рівні Закону «Про захист персональних даних», оскільки ст. 7
Закону визначено перелік даних особи, обробка яких заборонена (це дані про
расове або етнічне походження, членство в політичних партіях та
професійних спілках, політичні, релігійні або світоглядні переконання, дані
про засудження до кримінального покарання, дані, що стосуються здоров’я,
статевого життя, біометричних або генетичних даних). Таким чином,
визнається їх особлива важливість для особи, а тому запроваджується і більш
посилений захист порівняно з іншими категоріями даних [139, С. 39].
76
Водночас ч. 2 ст. 7 встановлює винятки із загального правила щодо заборони
обробки відповідних персональних даних.
У цілому запропонований законодавцем підхід щодо заборони обробки
«чутливих» персональних даних та визначення умов, за яких обробка
зазначених даних можлива, відповідає міжнародним стандартам у цій сфері,
проте не вирішує вкрай суттєвого питання – гарантій додержання прав
людини та механізму запобігання незаконного використання цих даних.
Основною ж гарантією, наданою законом суб’єктам персональних даних, має
стати обов’язковість негайного припинення їх обробки на першу ж вимогу
відповідного суб’єкта та уникнення можливості розміщення відповідних
даних у загальнодоступних джерелах [65, с. 34].
У тексті Закону «Про захист персональних даних» це положення
відтворено у статті 7 серед особливих вимог до оброблення персональних
даних. Водночас варто погодитись, що акцент варто зробити саме на
особливій природі таких даних, назвавши їх чутливими прямим текстом.
Поки що мотивація щодо необхідності особливих умов обробки певних груп
даних прямо із їх чутливістю законом не пов’язується [161].
Крім того, варто навести дві підстави, які дозволяють обробку чутливої
інформації: «здійснюється за умови надання суб'єктом персональних даних
однозначної згоди на обробку таких даних» (п. 1. ч. 2 ст. 7) і «стосується
даних, які були явно оприлюднені суб'єктом персональних даних» (п. 8 ч. 2
ст. 7). В такому випадку не йдеться про якісь особливі вимоги до обробки чи
механізм захисту таких даних володільцем, що їх обробляє. Максимум, що
тут можливе – обов’язок повідомлення Уповноваженого Верховної Ради
України з прав людини про обробку персональних даних про відповідну
обробку даних, що становлять «особливий ризик для прав і свобод суб’єктів
персональних даних». Вважаємо, що відповідних гарантій в Україні для
чутливих даних недостатньо.
77
Крім того, важливою видається класифікація, яка передбачає поділ
персональних даних за режимом доступу на відкриті і обмежені в доступі, а
також пов’язане з цим поділом виокремлення правового режиму
конфіденційності інформації про особу. Зазначимо, що це питання окремо
буде розглянуте в наступному підрозділі.
Отже, із зазначеного можна зробити такі висновки:
1. Незважаючи на різноманітні підходи в національному законодавстві
щодо визначення персональних даних, ключовим в їх розумінні є те, що за
допомогою них особа є ідентифікованою (визначеною) або може бути
ідентифікованою (визначеною). Фізична особа є такою, яка “може бути
ідентифікована”, якщо, незважаючи на те, що її ще не було ідентифіковано,
це можливо зробити. Як приклад часто наводять користування послугами
передплаченого мобільного зв’язку, який може бути здійснений без
ідентифікації, хоча на практиці (за потреби) така ідентифікація є
здійсненною, тому особа «може бути ідентифікованою».
2. Питання ідентифікації особи є наріжним каменем розуміння сутності
персональних даних. У доктрині виділяють два підходи до ідентифікації:
об’єктивну (абсолютну) і суб’єктивну (відносну) можливості ідентифікації
суб’єкта даних. Перший підхід (об’єктивна, або абсолютна ідентифікація)
передбачає ідентифікацію виключно на підставі існуючої інформації. Другий
(суб’єктивна, або відносна ідентифікація) пов’язується з можливістю для
відповідної ідентифікації збір іншої інформації, що потребує розумних
зусиль. На користь відносної ідентифікації свідчать нормативні документи і
судова практика. Суб’єктивна (відносна) ідентифікація видається нам більш
обґрунтованою.
3. Дискусійним є питання щодо належності до персональних даних
оціночних суджень про особу. На нашу думку, якщо такі судження
супроводжуються можливістю ідентифікації особи, така інформація має
підпадати під критерії персональних даних.
78
4. У науковій літературі окремі автори розмежовують ідентифікацію і
індивідуалізацію особи, проте ці поняття означають тотожні процеси, тож
вважаємо, що їх розмежування юридичного значення не має;
5. Найбільш важливою з юридичної точки зору класифікацією
персональних даних є їх поділ на чутливі (вразливі) і звичайні персональні
дані. До чутливих даних відповідно до європейських документів належать
дані про расове або етнічне походження; політичні, релігійні або світоглядні
переконання; членство в політичних партіях та професійних спілках;
засудження до кримінального покарання; дані, що стосуються здоров’я,
статевого життя, а також біометричні або генетичні дані. Правила здійснення
обробки звичайних персональних даних на чутливі дані не поширюються;
здійснення обробки таких даних потребує спеціальної згоди суб’єкта
персональних даних, а також додаткових гарантій щодо їх захисту.
6. Закон «Про захист персональних даних», закріплюючи у ст. 7
заборону на обробку деяких видів даних (за винятками, визначеними у цій же
статті), у цілому відповідає європейському підходу щодо виокремленню
чутливих даних. Проте в згаданому законі такі дані чутливими прямо не
названі. Крім того, не йдеться про якісь особливі вимоги до обробки чи
механізм захисту таких даних володільцем, що їх обробляє. Максимум, що
тут можливе, – обов’язок повідомлення Уповноваженого Верховної Ради
України з прав людини про обробку персональних даних про відповідну
обробку даних, що становлять «особливий ризик для прав і свобод суб’єктів
персональних даних». Вважаємо, що відповідних гарантій в Україні для
чутливих даних недостатньо.
1.4. Правовий режим конфіденційності інформації про особу
79
Варто нагадати, що Конституція України у ч. 2 ст. 32 говорить про те,
що не допускається збирання, зберігання, використання та поширення
конфіденційної інформації про особу без її згоди, крім випадків, визначених
законом, і лише в інтересах національної безпеки, економічного добробуту та
прав людини. Тобто статус конфіденційності інформації про особу має
конституційне підґрунтя.
Залишається відкритим питання: яка ж саме інформація про особу
визнається конфіденційною? Так, за логікою ужиття в Конституції України
поняття ‟конфіденційна інформація про особу” уже передбачає, що має бути
і ‟неконфіденційна” [4, С. 55; 42; 54, С. 26]. Зазначимо при цьому, що в
літературі таке тлумачення зазначеної статті не визнається повністю
очевидним. Ми вже частково зверталися до поняття конфіденційної
інформації у підрозділі 1.2, тепер розглянемо цей правовий режим інформації
більш детально.
З огляду на історію питання слід зазначити, що в Законі України “Про
інформацію” в редакції 1992 р. передбачалися два види інформації з
обмеженим доступом: конфіденційна і таємна. При цьому “власником”
конфіденційної інформації могла бути держава [78, с. 66].
Чинним Законом «Про інформацію» (ч. 2 ст. 21) визначено
«конфіденційною є інформація про фізичну особу, а також інформація,
доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів
владних повноважень. Конфіденційна інформація може поширюватися за
бажанням (згодою) відповідної особи у визначеному нею порядку відповідно
до передбачених нею умов, а також в інших випадках, визначених законом».
У ч. 2 ст. 11 цього Закону деталізовано, які дані слід відносити до
конфіденційної інформації, а саме: інформацію про фізичну особу, зокрема,
дані про її національність, освіту, сімейний стан, релігійні переконання, стан
здоров'я, а також адресу, дату і місце народження. Таким чином, будь-яка
інформація про особу згідно з даним Законом називається конфіденційною.
80
Крім того, конфіденційною може бути й інша інформація (вочевидь, не лише
інформація про особу), якою особа володіє і доступ до якої сама особа
обмежує.
Безумовно, слід погодитися з думкою К.С. Мельник, який стверджує, що
віднесення всіх, без винятку, типів персональних даних до інформації з
обмеженим доступом є недоцільним [65, с. 108]. А.Л. Петрицький
обстоюючи цю позицію, пояснює, що на жаль, кореспондуючі настанови
Ради ЄС при творенні та подальших змінах Закону «Про інформацію»
враховані не були. Як наслідок, будь-які типи персональних даних, навіть
найбільш загальні та широковідомі, можуть вважатися конфіденційними. Це
системний недолік вітчизняного інформаційного законодавства, тож його
виправлення можливе тільки в рамках комплексного підходу [95, С. 114-115].
Переконані, що режим конфіденційності має встановлювати сама особа,
визначаючи, яка інформація про неї має характер конфіденційності.
Зважаючи на вищенаведене, приєднуємося до пропозиції окремих науковців
щодо доцільності прийняття Закону «Про захист конфіденційної інформації»,
у якому слід визначити перелік інформації, що може бути віднесена до
конфіденційної та порушення обігу якої (без дозволу її власника) має тягти
юридичну відповідальність; передбачити перелік інформації, яка не може
бути віднесена до конфіденційної; надати визначення такої інформації та
закріпити її правовий режим [151, С. 88-89].
Отже, Закон “Про інформацію”, по-перше, прямо відносить певну
інформацію до конфіденційної; по-друге, встановлює, що будь-яка
інформація про фізичну особу є конфіденційною. Щодо першого, то багато
інших законів також прямо відносять певні відомості до конфіденційних,
незважаючи на те, чи обмежила особа доступ до них. Щодо другого, то
встановлення презумпції конфіденційності інформації про фізичну особу
видається проблематичним. Цілком можливо, що законодавець виходив з
того, що в більшості випадків фізична особа не вчинятиме активних дій з
81
обмеження доступу до інформації про себе. Адже саме це вимагається у
визначенні, що міститься в Законі України “Про доступ до публічної
інформації”, йдеться про інформацію, “доступ до якої обмежено фізичною
або юридичною особою”). Відповідно, зазначене положення спрямовано на
надання захисту інформації про фізичну особу навіть до того моменту, як ця
особа обмежила доступ до інформації про себе, оскільки в іншому разі може
бути завдано істотної шкоди інтересам такої особи. Автоматичне віднесення
будь-якої інформації про фізичну особу до конфіденційної є надмірним і
покладає непропорційні обов’язки на інших осіб, які повинні захищати таку
інформацію від розголошення, незалежно від того, про яку інформацію
йдеться, чи була вона оприлюднена раніше [78, с. 122].
Прайвесі як теорія контролю над інформацією найбільше говорить про
те, що ми захищаємо як приватну будь-яку інформацію, над якою особи
хочуть зберегти контроль. Прайвесі, однак, не просто питання
індивідуальної прерогативи; це також проблема того, що суспільство вважає
гідним захисту [145, с. 123]. Більше того, уявлення про прайвесі як про
секретність доволі часто змушує дійти висновку, що як тільки факт
оприлюднений публічно, незалежно від того, наскільки обмеженим було його
розкриття, він не може більше залишатися приватним. Прайвесі таким чином
розглядається як співмірне з повною таємницею інформації. Наприклад,
судова практика щодо Четвертої поправки до Конституції США
дотримується концепції, що питання, яке більше не є повністю таємним, не
може вважатися приватним. У низці справ Суд дотримувався думки, що не
може бути ніякого «розумного очікування прайвесі» у справах, виставлених
публіці, навіть якщо дуже малоймовірно, що будь-хто зможе побачити чи
віднайти їх [145, с. 118]. Звичайно, тут потрібне комплексне розуміння
американської моделі захисту приватності, про що окремо йтиме мова у
другому розділі дисертації.
82
Натомість інший інформаційний закон – «Про доступ до публічної
інформації» у ч. 1 ст. 7 визначає конфіденційною інформацію, доступ до якої
обмежено фізичною або юридичною особою, крім суб'єктів владних
повноважень, та яка може поширюватися у визначеному ними порядку за
їхнім бажанням відповідно до передбачених ними умов. Тобто, на відміну від
Закону «Про інформацію», згадка про будь-яку інформацію про особу як
конфіденційну тут вже відсутня. Виходить так, що закон не визначає
імперативно конфіденційний статус всієї інформації про особу чи її окремих
видів. Це справа самої особи обмежувати ту чи іншу інформацію про себе в
доступі, чи ні.
Так само КСУ вважає, що «лише фізична особа, якої стосується
конфіденційна інформація…має право вільно, на власний розсуд визначати
порядок ознайомлення з нею інших осіб, держави та органів місцевого
самоврядування, а також право на збереження її у таємниці» (абз. 2 п 3
мотивувальної частини рішення від 20 січня 2012 р. № 2-рп/2012).
Ззаначимо, що про неприйнятність використання суб’єктивного фактора
(тобто небажання особи) у визначенні обсягу конфіденційної інформації про
особу вже говорилося у науковій літературі [20, С. 480-484].
Звичайно, що всі ці тези можуть бути дискусійними і мати багато
нюансів. Проте очевидним є те, що конфіденційність на підставі одного лише
волевиявлення особи явно спрощує саму суть цього поняття. Важливе
значення повинні мати також публічні інтереси, факт попереднього
оприлюднення певної інформації, суть такої інформації про особу та багато
інших обставин. Навіть фізично (якщо це уявити), без прив’язки до того чи
іншого правового режиму, реальний повний і всеохоплюючий контроль над
інформацією про себе з боку певної особи є неможливим.
Так, автори коментаря до Закону «Про доступ до публічної інформації»
колізію визначень між двома законами (ч. 2 ст. 21 Закону “Про інформацію” і
83
ст.7 Закону “Про доступ до публічної інформації“) пропонують вирішувати
на користь Закону “Про доступ до публічної інформації“ [78, с. 124].
Вважаємо підхід, втілений в Законі України “Про інформацію“ , про те,
що вся інформація про особу апріорі є конфіденційною, недостатньо
обгрунтованим. Водночас, виходячи із логіки Закону «Про доступ до
публічної інформації», навпаки, якщо сама особа жодних активних дій щодо
режиму конфіденційності не вчиняє, не надає згоди і не заперечує проти
збирання і обробки інформації про неї, тобто самостійно не обмежує доступ
до інформації, то чи не маємо ми тут іншої проблеми? Адже, за логікою, без
самої особи режиму конфіденційності в такому разі не буде також і
відповідного правового захисту.
Автори коментаря до Закону «Про доступ до публічної інформації»
спробували систематизувати перелік законодавчих актів (до речі, досить
немалий), які прямо визначають інформацію про особу, що є
конфіденційною, або забороняють розголошення певної інформації про
особу5.
По суті, така «конфіденційна інформація на підставі закону» є прямим
наслідком існування т.з. чутливої інформації про особу, про яку йшлося в
попередньому розділі і яка підлягає особливому конституційно-правовому
захисту, більш посиленому, ніж інша інформація. Адже переважна більшість
заборон щодо розповсюдження тієї чи іншої інформації стосується саме
чутливої інформації. Хоча на рівні визначення, знову ж таки бачимо, що її
існування в прямій формі законодавець у Законах «Про інформацію» і «Про
доступ до публічної інформації» ігнорує, впадаючи в крайнощі: з одного
боку, вся інформація про особу є конфіденційною (Закон «Про інформацію»),
з іншого – тільки обмежена за волевиявленням самої особи (Закон «Про
доступ до публічної інформації»).
5 Див. детельніше: [78 с. 124-126].
84
Достатньо адекватне визначення конфіденційної інформації, на наш
погляд, міститься у ч. 2 ст. 5 «Про захист персональних даних», відповідно
до якої персональні дані можуть бути віднесені до конфіденційної інформації
про особу законом або відповідною особою. Розуміння конфіденційної
інформації в Законі України «Про захист персональних даних», як і в Законі
України «Про доступ до публічної інформації» є вужчим, ніж зведення її до
всієї інформації про особу (порівняно із Законом «Про інформацію»). Різниця
полягає в тому, що віднесення інформації до конфіденційної відбувається не
тільки самою особою (як про це зазначено у Законі «Про доступ до публічної
інформації»), а також і законом. Разом з тим як такого переліку персональних
даних, що належать до конфіденційної інформації, Закон не містить. Власне,
про це конкретно йдеться, коли ми говоримо про віднесення інформації про
особу до конфіденційної законом, а чим така інформація відрізняється від тієї
конфіденційної інформації, режим конфіденційності якої встановлює сама
особа, закон не визначає.
До речі, чинне інформаційне законодавство побудоване так, що
персональні дані з обмеженим доступом поділяються на конфіденційні й
таємні. Тобто власне обмеження доступу стосується не лише
конфіденційності режиму інформації. Існує ціла низка таємниць (лікарська,
банківська, адвокатська, нотаріальна тощо), які охоплюють інформацію про
особу. Існує думка про те, що конфіденційними є персональні дані, доступ до
яких обмежено суб’єктом персональних даних, а таємними є дані, на які
режим таємниці поширюється відповідно до вимог законодавства (таємниця
стану здоров’я, таємниця особистого життя, таємниця усиновлення та ін.).
[139, С. 128]. Навряд чи можна із цим погодитися, оскільки такий поділ
виходить з досить спірного критерію. Насправді та чи інша інформація може
бути одночасно конфіденційною і таємною. Це (режим таємниці) –
додатковий ступінь захисту інформації про особу.
85
Водночас, повертаючись до Закону «Про захист персональних даних»,
зазначимо, що у ч. 6 ст. 6 цього Закону вказано: «Не допускається обробка
даних про фізичну особу, які є конфіденційною інформацією, без її згоди,
крім випадків, визначених законом, і лише в інтересах національної безпеки,
економічного добробуту та прав людини». Ця норма була у 2014 р. узгоджена
з ч. 2 ст. 32 Конституції України, оскільки раніше згадки про
конфіденційність інформації, для обробки якої потрібна згода, не було. Крім
того, відповідно до п. 8 ч. 2 ст. 7 зазначеного Закону вимоги щодо заборони
на обробку чутливих даних не поширюються стосовно даних, які були явно
оприлюднені суб'єктом персональних даних.
Таким чином, Закон «Про захист персональних даних» у ч. 2 ст. 5 ніби
створює фактичну презумпцію відкритості персональних даних (за винятком
конфіденційності на підставі закону або за бажанням самої особи). Натомість
ст. 11 цього ж Закону визначено вичерпний перелік підстав обробки
персональних даних (і в тому числі їх поширення). Всі вони пов’язані із
законом або згодою самої особи і немає жодної згадки про можливу обробку
без такої згоди або прямого дозволу закону певних видів персональних
даних. Ця норма є також досить показовою з точки зору того, що Закон «Про
захист персональних даних» не на рівні визначень, а встановлюючи
конкретні механізми, по суті ототожнює «конфіденційну інформацію про
особу» з будь-якою інформацією про фізичну особу (персональними
даними), не передбачаючи можливості обробки без її згоди або прямого
дозволу закону.
Тобто цей Закон, незважаючи на формулювання конфіденційності,
насправді сутнісно ототожнює будь-яку інформацію про особу у вигляді
персональних даних з конфіденційною інформацію, оскільки обробляти та
поширювати можна лише на підставі згоди чи на законодавчих підставах.
86
Винятки ж встановлені лише для побутових та інших потреб6. Винятки
побутового характеру – це використання персональних даних «фізичною
особою під час діяльності виключно особистого чи побутового характеру».
Разом з тим, з огляду на рішення СЄС у справі «Боділ Ліндквіст», цей
виняток має тлумачитися у більш вузькому значенні, особливо у зв’язку з
розкриттям даних. Зокрема, виняток побутового характеру не повинен
поширюватися на виклад персональних даних в Інтернеті для необмеженої
кількості користувачів [108, С. 102].
Фахівцями пропонується виходити саме зі ст.11 Закону, вирішуючи
питання щодо підстав обробки персональних даних, а концепція
конфіденційної інформації носить дещо застарілий характер і є пережитком,
характерним для держав пострадянського простору [4, с. 55-58]. Навряд чи
такий підхід є достатньо обґрунтованим. Так само ми би не були настільки
радикальними щодо висновків про застарілість концепції конфіденційної
інформації і вважаємо, що вона потрібна, оскільки дає розуміння щодо
режиму доступу до тієї чи іншої інформації. Інша справа, що законодавча
база для такої концепції має бути чіткою і несуперечливою, а в самій
доктрині мають бути вироблені критерії віднесення інформації про особу до
конфіденційної.
Для того, щоб розібратися з даною проблемою, на наш погляд, потрібно
з’ясувати, що ж взагалі означає термін «конфіденційність». З етимологічної
точки зору, слово «конфіденційний» походить від латинського confidentia –
довіра. Як загальновживані слова «конфіденційний» означає такий, що не
підлягає розголосові; довірчий, таємний [148, С. 273], а конфіденційність (від
англ. Confidence – довіра) – необхідність запобігання витоку (розголошення)
будь-якої інформації. Отже, смислове ядро цих термінів складають слова
6 Згідно з ч. 2 ст. 25 Закону України «Про захист персональних даних» дозволяється обробка
персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
фізичною особою виключно для особистих чи побутових потреб; виключно для журналістських та
творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та
правом на свободу вираження поглядів.
87
«таємний», такий, що не підлягає розголосові і саме у цьому значенні вони
увійшли в науковий обіг.
У вітчизняному законодавстві визначення поняття «конфіденційність»
немає. Лише у Положенні про технічний захист інформації в Україні,
затвердженому Указом Президента України від 27 вересня 1999 р. [103],
конфіденційність визначається як властивість інформації бути захищеною від
несанкціонованого ознайомлення.
Водночас у зарубіжних країнах конфіденційна інформація не
ототожнюється із всією інформацією про особу (персональними даними). Так
само не наголошується виключно на волевиявленні самої особи для набуття
інформацією статусу конфіденційної. Передусім йдеться, як правило, про
конфіденційність як режим чутливої інформації. Так, поряд із поняттям
«персональні дані» Австрійського Закону 1978 р. в редакції 2000 р. «Про
захист даних» в особливу категорію виділяється поняття «конфіденційні
дані»: дані фізичних осіб, про їх расову та етнічну належність, політичні
погляди, участь у профспілках, релігійні або філософські переконання,
здоров'я або сексуальне життя [155, С. 86]. Як бачимо, ці дані віднесені до
чутливої інформації.
Також ключове питання, на яке ми маємо відповісти для розуміння
режиму конфіденційної інформації: чи можуть існувати відкриті дані про
особу на рівні законодавчого регулювання або в разі, коли сама особа
жодних активних дій стосовно власних персональних даних не вчиняє для
визначення їх конфіденційного статусу?
Почнемо із загальнодоступності даних. Закон України ‟Про захист
персональних даних” не передбачає, що персональні дані втрачають ознаку
конфіденційності, якщо фізична особа дає згоду на їх загальнодоступність
[42, С. 112; 54, С. 26]. Частину 3 ст. 12 цього Закону, де було зазначено, що
повідомлення (повідомлення суб’єкта персональних даних про включення
його персональних даних до бази персональних даних) не здійснюється,
88
якщо персональні дані збираються із загальнодоступних джерел, виключено
із Закону.
Водночас українське законодавство містить прямі норми, в яких
визначається, що та чи інша інформація, зокрема інформація про особу,
носить відкритий характер, не може бути обмежена в доступі, а отже, не є
конфіденційною, тобто відповідно за логікою, відкритою.
Так, у ч. 5 ст. 6 Закону “Про доступ до публічної інформації” заборонено
обмежувати доступ, у тому числі відносити до конфіденційної, до інформації
про розпорядження бюджетними коштами, володіння, користування чи
розпорядження державним, комунальним майном. У ч. 6 ст. 6 цього Закону:
не належать до інформації з обмеженим доступом, у тому числі не є
конфіденційною інформацією про фізичну особу, декларації визначених в цій
частині осіб.
У частині першій статті 7 вищезазначеного Закону міститься ще одне
посилання на заборону віднесення певної інформації до конфіденційної, а
саме – інформації, що зазначена в ч. 1 і 2 ст. 13 даного Закону. У цих
положеннях ст. 13 йдеться про розпорядників публічної інформації, на яких
поширюється дія Закону, при цьому уточнюється, що на деяких
розпорядників така дія поширюється лише в частині певної інформації, якою
означений розпорядник володіє (крім суб’єктів владних повноважень, які є
розпорядниками щодо всієї інформації, якою вони володіють або повинні
володіти).
Оскільки ч. 1 і 2 ст. 13 сформульовані через визначення розпорядників,
то відповідну заборону обмежувати доступ до інформації шляхом віднесення
її до конфіденційної також слід розглядати у зв’язці з відповідними особами
– розпорядниками (формулювання ст. 13 не дозволяє розглядати згадану в
ній інформацію автономно від особи, яка нею володіє). Заборона відносити
таку інформацію до конфіденційної поширюється як на самих цих осіб
(розпорядників), так і на інших осіб, які такою інформацією володіють,
89
наприклад, державні органи при відмові в наданні доступу до інформації не
можуть посилатися на конфіденційність інформації про юридичну особу,
якщо вона стосується особи та інформації, зазначених у ст. 13 (Див.
детальніше: [78 с. 131].)
Крім описаних вище випадків заборони обмеження доступу до певної
інформації (ч. 5 і 6 ст. 6, ч. 1 ст. 7 Закону «Про доступ до публічної
інформації»), інші закони також можуть містити подібні заборони,
наприклад, ч. 4 ст. 21 Закону “Про інформацію”, ч. 4 ст. 5 Закону “Про захист
персональних даних”, ст. 46 Закону “Про запобігання корупції”, ст. 6 Закону
“Про загальну безпечність нехарчової продукції”, ст. 20 Закону “Про
державну реєстрацію юридичних осіб та фізичних осіб-підприємців і
громадських формувань” і так далі. При цьому не обов’язковим є
формулювання таких заборон, як це зроблено в Законі України “Про доступ
до публічної інформації” чи Законі “Про інформацію” (“не може бути
обмежено доступ до”/“не може бути віднесена до конфіденційної”); такі
заборони можуть випливати із встановлення обов’язку оприлюднення певної
інформації, закріплення відкритості та доступності певної інформації і т.д.
[78, с. 133] Так, авторами коментаря до Закону «Про доступ до публічної
інформації» досить детально проаналізовано низку законів, де містяться
відповідні формулювання, що вказують на відкритість тієї чи іншої
інформації [78, С. 133-135].
Водночас, про що ми вже зазначали, в юридичній літературі
наголошується на тому, що незважаючи на те, що та чи інша інформація за
спеціальними нормами законодавства визначена відкритою, її обробка все
одно має здійснюватися на підставі закону або згоди (ст. 11 Закону «Про
захист персональних даних») [4, с. 58]. Ця теза, що формально ґрунтується
на законі, є досить спірною. Адже закономірно виникає питання, в чому тоді
сенс режиму відкритості певної інформації та визнання її неконфіденційного
характеру? Переконані, що це положення має бути виправлено.
90
Варто нагадати, що постановою Кабінету Міністрів України від 21
жовтня 2015 р. № 835 затверджено Положення про набори даних, які
підлягають оприлюдненню у формі відкритих даних [117]. Аналіз цього
документа також дає підстави для цікавих висновків про наявність у
законодавстві режиму відкритої (загальнодоступної) інформації про особу.
Сама постанова, до речі, лише акумулює (систематизує) норми інших
законодавчих актів щодо відкритих даних, не створюючи якихось
принципово нових норм. З цього приводу варто зазначити, що Україна за
останнім рейтингом The Global Open Data Index, який складає міжнародна
неурядова мережа Open Knowledge International, увійшла у ТОП-30 країн за
ступенем відкритості даних [160]7.
Отже, конкретні приписи, що містяться в законодавстві України,
спростовують твердження про апріорний характер конфіденційності будь-
якої інформації про особу і відсутність відкритої інформації, яка є такою за
законом. Проте чомусь формально на рівні визначення інформації про особу
Закон “Про інформацію“ ігнорує поняття відкритості і загальнодоступності.
Р.С. Концевой пропонує внести і в українське законодавство поняття
загальнодоступності, аргументуючи це тим, що загальнодоступні джерела
персональних даних завжди існували й існуватимуть, тому відсутність
правового регулювання відносин з їх створення та подальшого існування має
однозначно бути оцінена негативно [54, С. 26-27].
К.С. Мельник так само пропонує визначити ті джерела інформації, до
яких особи можуть мати вільний, необмежений чинним законодавством,
доступ (“загальнодоступні джерела“). Проте необхідно враховувати, що
суб’єкт персональних даних, у свою чергу, має право на безальтернативне
вилучення персональних даних із загальнодоступних джерел на явну його
вимогу або на вимогу інших уповноважених осіб [68, С. 37].
7 З повним рейтингом можна ознайомитися за посиланням [193].
91
Пропозицію передбачити можливість поширення режиму
загальнодоступної інформації на деякі види персональних даних висуває,
зокрема, А.Пазюк [91, С. 150]. Модельний закон СНД “Про персональні дані“
так само передбачив можливість встановлення режиму відкритої інформації
для персональних даних за бажанням їх суб’єкта, наприклад, у
бібліографічних довідниках, телефонних, адресних книгах, приватних
оголошеннях тощо (ст. 4) [72].
Разом з тим, аналізуючи питання загальнодоступності (відкритості)
інформації, тим не менше, зазначимо, що право людини обмежувати доступ
до інформації і самостійно визначати режим її конфіденційності включає
також право бути забутим, тобто право вимагати видалення з пошукових
систем посилань з старою інформацією про себе. Право бути забутим
належить безпосередньо до автономії особистості бути власником прав щодо
особистої інформації у часовому вимірі8. Не зайвим буде згадати з огляду на
цей аспект рішення Суду ЄС від 13 травня 2014 року (Google Spain SL,
Google Inc. vs. Agencia Española de Protección de Datos), яким визнано, що
пошукові сервіси за певних обставин “зобов’язані вилучати з результатів
пошуку посилання на окремі статті, судові рішення чи інші документи, які
містять персональні дані особи“ [66, С. 67].
Проте, як справедливо зазначає В.О. Серьогін, вимога прайвесі – не
тотожна вимозі власності [145, с. 127]. Інформація може бути легко передана
і колись, ставши відомою іншим, не може бути вилучена з їхніх голів. На
відміну від фізичних об’єктів, інформація може бути охоплена одночасно
розумом мільйонів. Це те, чому право інтелектуальної власності захищає
специфічні матеріальні вираження ідей, а не самі ці ідеї безпосередньо.
Складність персональної інформації полягає у тому, що вона є одночасно і
самовираженням, і набором фактів, й історичним звітом про поведінку [145,
с. 126]. Саме тому теза про «безальтернативне вилучення» інформації про
8 Див. детальніше про це право: [111; 124; 153]
92
особу на її вимогу не є апріорною і такою, що також не може бути піддана
сумніву. Фактично про безспірність такого вилучення (за певних умов)
можна стверджувати лише стосовно права на забуття в пошукових системах
мережі Інтернет. Отже, право бути забутим не спростовує за загальним
правилом, можливість існування правового режиму відкритої
(загальнодоступної) інформації.
Варто згадати у цьому зв’язку питання щодо ідентифікації як ключового
критерію визначення персональних даних, про яке ми вже говорили. Н.І.
Петрикіна відзначає, що не вся інформація має однакове значення для
ідентифікації особи. Якщо, наприклад, прізвище, ім’я, по батькові дата та
місце народження у своїй сукупності, як правило, дозволяють ідентифікувати
особу, то такі дані як сімейний, соціальний, майновий стан, освіта, професія
тощо самі по собі, зазвичай, не дозволяють цього зробити. Для того, щоб з їх
допомогою ідентифікувати особу, необхідно «прив’язати» їх до
номінативної, тобто знакової, у цьому розумінні інформації – прізвища,
імені, по батькові, дати і місця народження. Вільний обіг номінативної
інформації, як правило, не може спричинити шкоди індивіду. У той же час
обіг номінативної інформації разом із, наприклад, інформацією про доходи,
судимість, перенесені захворювання тощо, може таку шкоду завдати. Із цього
випливає, що далеко не всяка інформація про особу і її вільний обіг можуть
становити загрозу для суб’єкта персональних даних, а лише певний її набір.
Саме такий набір даних про конкретну особу не повинен вводитися в обіг
[98, С. 25-26].
До загальнодоступних джерел персональних даних можуть належати
довідники, каталоги, адресні книги, до яких поміщені дані про особу за
згодою цієї особи. Висловлюється також думка, що до таких джерел повинні
належати і соціальні мережі та Інтернет-ресурси, які за своєю природою є
відкритими джерелами. І.І. Романюк вважає за необхідне поділяти
персональні дані фізичної особи за режимом доступу на відкриті
93
загальнодоступні) та з обмеженим доступом. Відкритими є персональні дані,
визначені як такі згідно із законом (наприклад, дані, що стосуються
здійснення особою, яка займає посаду, пов’язану з виконанням функцій
держави або органів місцевого самоврядування, посадових або службових
повноважень), або які були явно, тобто відкрито, очевидно та без
приховування, оприлюднені суб’єктом цих даних [139, С. 128].
Зауважимо, що сьогодні, за деякими винятками, про які вже було
зазначено, розповсюдження різних видів інформації є дуже часто
неправомірним. Це явище слушно коментує О.О. Серебряник, наводячи як
приклад розміщення на сайтах – телефонних довідниках, через які
здійснюється пошук адреси за прізвищем особи. Таке розміщення інформації
про особу є неправомірним, оскільки особи не дають згоду на обробку
інформації про себе на цьому ресурсі. Можливо допустити, що базу даних
телефонів та адресу проживання власникам інформаційних ресурсів було
незаконно продано з базою даних користувачів телефонів. Це є негативним
наслідком законної обробки персональних даних, котрі були внесені до бази
даних [142, С. 124]. В Інтернеті у вільному доступі містяться бази даних
телефонних номерів, адрес громадян України [1] (хоч і певною мірою
застаріла), індивідуальних податкових номерів [94], законність розміщення
яких є під великим питанням.
Досить скандальною виявилася діяльність в Україні сайта
«Миротворець» 9
. Так, у травні 2016 року на ньому був опублікований
оновлений список акредитованих у т.з. «ДНР» працівників ЗМІ.
Уповноважений Верховної Ради України з прав людини звернувся до СБУ із
запитом про припинення поширення персональних даних на сайті
«Миротворець» [88]. Слідче управління ГУ Нацполіціі Києва розслідує
кримінальне провадження за фактом публікації на сайті «Миротворець»
9 Детальніше див: [110, С. 126-128]
94
списків журналістів, які нібито акредитовані в самопроголошених «ДНР» і
«ЛНР» [101].
Ще один із останніх прикладів – додаток Getcontact, що набув
популярності серед користувачів смартфонів у 2017-2018 рр. Суть програми
в тому, що користувачі могли отримати записи щодо незнайомих номерів з
чужих телефонних книжок. Таким чином можна було отримати не тільки ім'я
іншої людини, а й домашню адресу, дізнатися про наявність машини, дітей,
навіть номер банківської карти, якщо такі дані вказували інші. Як наслідок,
це було незаконно без відповідного дозволу. Україна ніяк на відреагувала на
цю ситуацію. А от, наприклад, Міністерством інформації і комунікації
Республіки Казахстан 9 лютого 2018 р. було винесено припис операторам
зв'язку і РГП "Державна технічна служба" про необхідність обмеження
доступу для користувачів з території Республіки Казахстан [104]. Ця ситуація
(порушення інформаційної приватності) є можливою, в тому числі, й через
те, що законодавчо не проведено межі «відкритості», тому вона є достатньо
невизначеною в очах багатьох, провокуючи на невиправданий збір і
поширення інформації «під маскою» добрих намірів (додаток Getcontact був
створений заради запобігання шахрайству).
Варто зазначити, що існують і противники апріорного віднесення
певних конкретних даних до загальнодоступних [24, С. 41–43]. Однак, на
нашу думку, цей підхід не відображає публічно-правового погляду на
проблему, а виходить лише з приватно-правових позицій. Тим більше, що ми
вже наводили не один приклад, коли законодавець «відкриває» ту чи іншу
інформацію законом. Переконані, що запровадження офіційного статусу
щодо відкритої інформації про особу, безумовно, потрібне, водночас ми
свідомі того, що перелік даних є найбільш дискусійним питанням.
Вже існуючі норми в законодавстві щодо відкритих даних є цілком
обґрунтованими, за деякими винятками. Зокрема, залишається проблемним, з
точи зору захисту персональних даних, розміщення у відкритому доступі
95
повного комплекту документів (паспорта, довідки про присвоєння ІПН, тощо
фізичних осіб-підприємців – учасників публічних закупівель, оскільки, як
зазначає О. Дмитренко, вільний доступ в Інтернеті до комплектів, необхідних
для здійснення цивільно-правових, фінансових та інших операцій, може мати
негативні наслідки для особи, яка розмістила їх там [35]. Більше того,
відкрите розміщення документів на сайті ProZorro вже призвело до
використання таких персональних даних з неправомірною метою [171].
Відкритість – це обмеження приватності, яке має бути обґрунтованим.
Загалом віднесення даних до відкритих має обов’язково проходити
трискладовий тест, і кожен окремий вид інформації має бути прискіпливо
обґрунтований в частині суспільної необхідності надання тим чи іншим
даним відкритого характеру.
З огляду на вищезазначене наведемо класифікацію К.С. Мельника, який
пропонує диференціювати персональні дані на а) загальнодоступні
(персональні дані з вільним (необмеженим законом) доступом до них,
розміщені в загальнодоступних джерелах інформації, щодо обробки яких
відсутні заперечення суб’єкта персональних даних); б) конфіденційні
(персональні дані, визначені суб’єктом персональних даних (як виняток –
законом або судом як конфіденційні, крім знеособлених персональних даних
і персональних даних, що обробляються із загальнодоступних джерел); в)
спеціальні (персональні дані, статус, вимоги до обробки та захисту яких
визначаються національним законодавством на основі вимог міжнародного
права) [63, с. 9; 65, с. 36-38, 106]. До останніх вчений відносить персональні
дані про расове або етнічне походження, політичні, релігійні або світоглядні
переконання, членство в політичних партіях та професійних спілках,
засудження до кримінального покарання, а також дані, що стосуються
здоров’я, статевого життя, біометричні або генетичні дані [65, с. 36]. Дані про
фізичну особу, до яких фізичні та юридичні особи мають вільний, не
обмежений чинним законодавством доступ, не мають підпадати під об’єкти
96
захисту, проте категорії таких даних і критерії віднесення їх до відкритої
інформації мають чітко визначатись законом [65, с. 80].
У цілому погоджуючись із цим, пропонуємо власну класифікацію груп
інформації про особу. Отже, інформацію про особу за режимом доступу
можна поділити на:
- відкриту апріорі (загальнодоступну). Водночас особа має право за
певних умов обмежувати доступ до такої відкритої інформації за власним
бажанням (право на забуття). Ця інформація, незважаючи на її існування,
формально не вписується у термінологію на рівні визначень у відповідних
профільних інформаційних законах. Саме тому вона має бути офіційно
вказана. Для цього потрібно змінити формулювання законів «Про
інформацію» та «Про доступ до публічної інформації», а також
переформулювати норму Закону «Про захист персональних даних» щодо
обробки будь-яких персональних даних на підставі закону або згоди особи.
Такі підстави мають стосуватися лише конфіденційної інформації, а не будь-
яких персональних даних (зокрема, відкритої інформації);
- обмежену в доступі, яка може бути:
а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової
інформації);
б) конфіденційною, яка, у свою чергу, поділяється на:
інформацію, що визначається конфіденційною самою особою (яка не
віднесена законом ані до відкритої, ані до чутливої/вразливої). Обробка
такої інформації можлива за згоди особи;
вразливу (чутливу) інформацію, щодо якої законодавець може
встановлювати обмеження або пряму заборону на її обробку (що не
забороняє самій особі добровільно її поширювати) або дозволяти за
умови прямої згоди на обробку з боку особи, проте за таких умов
визначається особливий підвищений порядок її обробки. Законодавство
97
може встановлювати спеціальні правила на обробку чутливої інформації,
спрямовані на гарантування конфіденційності або на заборону збирання
/обробки певних видів особливо чутливої інформації.
Поряд із змінами в Законі України «Про інформацію», де варто
закріпити запропоновану нами класифікацію інформації про особу,
вважаємо, що на виконання абз. 2. ч. 2 ст. 21 Закону «Про інформацію»
(«відносини, пов'язані з правовим режимом конфіденційної інформації,
регулюються законом») необхідно розробити і ухвалити закон «Про
правовий режим конфіденційної інформації».
Таким чином, із зазначеного можна зробити такі висновки:
1. Будь-яка інформація про особу Законом «Про інформацію»
називається конфіденційною. Крім того, конфіденційною може бути й інша
інформація (вочевидь, не лише інформація про особу), якою особа володіє і
доступ до якої сама особа обмежує. Натомість ч. 1 ст. 7 Закону «Про доступ
до публічної інформації» визначає конфіденційною «інформацію, доступ до
якої обмежено фізичною або юридичною особою, крім суб'єктів владних
повноважень, та яка може поширюватися у визначеному ними порядку за
їхнім бажанням відповідно до передбачених ними умов». Таким чином, на
відміну від Закону «Про інформацію», згадка про будь-яку інформацію про
особу як конфіденційну тут вже відсутня. Виходить так, що закон не
визначає імперативно конфіденційний статус всієї інформації про особу чи її
окремих видів. Це справа самої особи обмежувати ту чи іншу інформацію
про себе в доступі, чи ні.
2. Вважаємо підхід, втілений в Законі України «Про інформацію» , про
те, що вся інформація про особу апріорі є конфіденційною, недостатньо
обгрунтованим. Водночас, виходячи із Закону «Про доступ до публічної
інформації», якщо сама особа жодних активних дій щодо режиму
конфіденційності не вчиняє, не надає згоди і не заперечує проти збирання і
обробки інформації про неї, тобто самостійно не обмежує доступ до
98
інформації, то за логікою без самої особи режиму конфіденційності в такому
разі не буде також і відповідного правового захисту. Очевидним є те, що
трактування конфіденційності на підставі одного лише волевиявлення особи
явно спрощує саму суть цього поняття. Важливе значення повинні мати
також публічні інтереси, факт попереднього оприлюднення певної
інформації, суть такої інформації про особу та багато інших обставин. Навіть
фізично (якщо це уявити), без прив’язки до того чи іншого правового
режиму, реальний повний і всеохоплюючий контроль над інформацією про
себе з боку певної особи є неможливим.
3. Законодавчі акти прямо визначають інформацію про особу, яка є
конфіденційною, або забороняють розголошення певної інформації про
особу. По суті така «конфіденційна інформація на підставі закону» є прямим
наслідком існування т.з. чутливої інформації про особу, яка підлягає
особливому конституційно-правовому захисту, більш посиленому, ніж інша
інформація. Хоча законодавець її існування в прямій формі в Законах «Про
інформацію» і «Про доступ до публічної інформації» ігнорує, впадаючи в
крайнощі: з одного боку, вся інформація про особу є конфіденційною (Закон
«Про інформацію»), з іншого – тільки обмежена за волевиявленням самої
особи (Закон «Про доступ до публічної інформації»).
4. Найбільш адекватне визначення, на наш погляд, міститься у ч. 2 ст. 5
«Про захист персональних даних», відповідно до якої персональні дані
можуть бути віднесені до конфіденційної інформації про особу законом або
відповідною особою. Зміст поняття «конфіденційна інформація» в
трактуванні Закону «Про захист персональних даних», як і Закону «Про
доступ до публічної інформації» є вужчим і не означає охоплення всієї
інформації про особу. Різниця полягає в тому, що віднесення до
конфіденційної інформації відбувається не тільки самою особою (як про це
зазначено у Законі «Про доступ до публічної інформації»), а також і законом.
Разом із тим як такого переліку персональних даних, що належать до
99
конфіденційної інформації, даний Закон не містить. Власне, про це йдеться,
коли ми говоримо про віднесення інформації про особу до конфіденційної
законом, а чим така інформація відрізняється від тієї конфіденційної
інформації, режим конфіденційності якої встановлює сама особа, закон не
визначає.
5. Вважаємо, що зі ст. 11 Закону «Про захист персональних даних»
мають бути винятки щодо обробки відкритої інформації. Законодавство
спростовує твердження про апріорний характер конфіденційності будь-якої
інформації про особу і відсутність відкритої інформації, яка є такою за
законом (прямо встановлюючи режим відкритості/загальнодоступності або ж
забороняючи обмежувати доступ до тієї чи іншої інформації). Проте
законодавець визначаючи інформацію про особу в Законі «Про інформацію»,
чомусь ігнорує поняття відкритості і загальнодоступності.
6. Право бути забутим висуває вимогу щодо вилучення навіть
загальнодоступної інформації. Проте теза про безумовність вимоги
вилучення інформації не є безспірною і такою, що також не може бути
піддана сумніву. Фактично про безспірність такого вилучення (за певних
умов) можна стверджувати лише щодо права на забуття в пошукових
системах мережі Інтернет. Отже, право бути забутим не спростовує,є за
загальним правилом, можливість існування правового режиму відкритої
(загальнодоступної) інформації;
7. На практиці розповсюдження різних видів інформації дуже часто є
неправомірним. Прикладом цього може бути інформація, розміщена на
сайтах – телефонних довідниках, через які здійснюється пошук адреси за
прізвищем особи. Не викликає сумніву, що в даному разі розміщення
інформації про особу є неправомірним, оскільки особи не дають згоди на
обробку інформації про себе на цьому ресурсі.
8. Вважаємо за необхідне офіційно запровадити статус відкритої
інформації про особу. Водночас ми свідомі того, що перелік даних є
100
найбільш дискусійним питанням. Тим не менше вже існуючі норми в
законодавстві щодо відкритих даних є цілком обґрунтованими, за деякими
винятками. Відкритість – це обмеження приватності, яке має бути
обґрунтованим. Віднесення даних до відкритих має обов’язково проходити
трискладовий тест, і кожен окремий вид інформації має бути переконливо
обґрунтований у частині суспільної необхідності надання тим чи іншим
даним відкритого характеру.
9. Поряд із відповідними змінами в Законі України «Про інформацію»,
де варто закріпити запропоновану нами класифікацію інформації про особу,
вважаємо, що на виконання абз. 2. ч. 2 ст. 21 Закону «Про інформацію»
(«відносини, пов'язані з правовим режимом конфіденційної інформації,
регулюються законом») необхідно розробити і ухвалити Закон «Про
правовий режим конфіденційної інформації».
10. Інформацію про особу за режимом доступу можна поділити на:
- відкриту апріорі (загальнодоступну). Водночас особа має право за
певних умов обмежувати доступ до такої відкритої інформації за власним
бажанням (право на забуття). Ця інформація, незважаючи на її існування,
формально не вписується у термінологію на рівні визначень у відповідних
профільних інформаційних законах. Саме тому вона має бути офіційно
вказана. Для цього потрібно змінити формулювання законів «Про
інформацію» та «Про доступ до публічної інформації», а також
переформулювати норму Закону «Про захист персональних даних» щодо
обробки будь-яких персональних даних на підставі закону або згоди особи.
Такі підстави мають стосуватися лише конфіденційної інформації, а не будь-
яких персональних даних (зокрема, відкритої інформації);
- обмежену в доступі, яка може бути:
а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової
інформації);
101
б) конфіденційною, яка, у свою чергу, поділяється на:
інформацію, що визначається конфіденційною самою особою (яка не
віднесена законом ані до відкритої, ані до чутливої/вразливої). Обробка
такої інформації можлива за згоди особи;
вразливу (чутливу) інформацію, щодо якої законодавець може
встановлювати обмеження або пряму заборону на її обробку (що не
забороняє самій особі добровільно її поширювати) або дозволяти за
умови прямої згоди на обробку з боку особи, проте за таких умов
визначається особливий підвищений порядок її обробки. Законодавство
може встановлювати спеціальні правила на обробку чутливої інформації,
спрямовані на гарантування конфіденційності або на заборону збирання
/обробки певних видів особливо чутливої інформації.
Висновки до розділу 1
1. Право на персональні дані (інформаційна приватність), зазвичай,
охоплюється захистом права на недоторканність приватного життя, іноді
становить окреме право (Хартія основних прав ЄС 2000 р.), або ж
ґрунтується на праві на інформаційне самовизначення (ФРН).
2. Роздільне закріплення окремих аспектів права на приватність у різних
статтях Конституції України не викликає якихось заперечень, проте
термінологічне словосполучення «недоторканність особистого і сімейного
життя», а не, наприклад, «недоторканність приватного життя» видається
сумнівним. Термін «особисте життя» має чітке ідеологічне забарвлення, він є
комуністичним ерзацом «приватного життя», його рафінованим замінником.
Саме тому вважаємо обґрунтованим у подальшому відхід від поняття
«особисте і сімейне життя» в тексті Конституції України та заміну його
терміном «приватне життя», що за своєю семантикою точніше відображає
суть поняття «право на приватність».
102
3. На підставі аналізу різних аргументів на користь розділення понять
«інформація про особу» і «інформація про особисте і сімейне життя»,
«інформація про приватне життя» зазначаємо, що намагання знайти між
цими поняттями якісь юридично значущі відмінності видається досить
штучним. Зауважимо, що поняття «інформація про особисте і сімейне життя»
є радянським рудиментом, який зберігся в цивільному законодавстві України
та в низці інших нормативно-правових актів і походить з формули
«недоторканності особистого і сімейного життя». Метою введення в обіг
понять «інформація про особу», «персональні дані» є фіксація об’єкта
захисту в структурі права на недоторканність приватного життя,
гарантованого ст. 32 Конституції України, права на приватність загалом.
Термін «інформація про особисте і сімейне життя», на нашу думку, в цьому
плані є не зовсім коректним і має бути вилученим із законодавства разом з
відповідним внесенням змін у ст. 32 Конституції. Разом із тим, термін
«інформація про приватне життя», з нашого погляду, досить громіздкий.
Цілком логічним виглядає використання з цією метою терміна «інформація
про особу» або «персональні дані», оскільки вони дозволяють охопити весь
спектр інформації;
4. Поняття «інформація про особу» та «персональні дані», по суті, як
правило за змістом є тотожними і означають одне й те саме – об’єкт захисту
інформаційної приватності. Проте аналіз відповідної літератури показав, що
різниця ж між персональними даними і інформацією про особу, найчастіше
розглядається в двох аспектах.
По-перше, розмежування ґрунтується на точці зору, згідно з якою
розмежовуються терміни «дані» і «інформація». Тобто, власне кажучи, за
цією логікою інформація є матеріальним поняттям, тоді як дані – формою
вираження інформації. Розмежування персональних даних і інформації про
особу носить також історичний характер. Справа в тому, що поява термінів
«персональні дані», «захист персональних даних» пов’язана з комп’ютерною
103
епохою, появою технічних можливостей обробки великої кількості
інформації, саме комп’ютерна інформація і називалася «даними». Така
історична відмінність не впливає на обсяг відповідного поняття, яке воно має
на сьогодні в юридичній сфері. Таким чином, перший аспект, що
характеризує відмінність між інформацією про особу і персональним даними,
ми не вважаємо достатньо юридично значущим. Інформація і дані цілком
можуть бути ототожнені.
По-друге, відмінність між даними і інформацією часто розглядають
полягає в тому, що персональні дані як поняття містить чітку прив’язку до
ідентифікації за допомогою цієї інформації певної особи. Персональні дані –
це не будь-яка інформація про фізичну особу, а лише інформація про
ідентифіковану або таку, що може бути ідентифікована, фізичну особу.
Таким чином, якщо фізична особа не ідентифікована і не може бути
ідентифікована, то інформація, що стосується фізичної особи, не є її
персональними даними.
5. Інформація про особу може бути поділена на інформацію
персоніфіковану, за допомогою якої особа є ідентифікована або може бути
ідентифікованою та не персоніфіковану, або анонімну, за якою особу
ідентифікувати неможливо. Перший вид інформації про особу і є
персональними даними. Право захищає саме персональні дані, а не анонімну
інформацію про особу, оскільки без ознак ідентифікації, персоналізації
правовий захист стає неможливим і втрачає сенс. Саме тому, говорячи про
інформацію про особу, її правовий захист, зазвичай, мають на увазі лише
один її різновид – персональні дані. Проте одночасне використання обох
понять ми не заперечуємо, вважаючи такий підхід традиційним і певною
мірою виправданим. Не можна спрощувати і проблему анонімних даних,
цілком вважаючи їх «безпечними» з точки зору інформаційної приватності,
передусім з огляду на появу феномену т.з. Big Data («Великі дані»).
104
6. Використання різних понять («персональні дані», «інформація про
особу» тощо) часто випливає з національної традиції тієї чи іншої правової
системи. Відмінності між інформацією про особу і персональними даними
вважаємо переважно семантичними, вживання відповідних понять викликані
історичними причинами, відсутністю усталеної єдиної термінології і
різноманітністю юридичної лексики в різних кранах. Якщо йдеться про
інформацію про особу, яка не є анонімною, то юридично значущої
відмінності між інформацією про особу і персональними даними ми не
бачимо і пропонуємо вживати ці поняття як синоніми. Цілковита відмова від
одного з цих понять видається недоречною, хоча в перспективі з метою
приведення термінології в сфері приватності до єдиного знаменника про це
може йти мова.
7. Незважаючи на різноманітні підходи в національному законодавстві
щодо визначення персональних даних, ключовим в їх розумінні є те, що за
допомогою них особа є ідентифікованою (визначеною) або може бути
ідентифікованою (визначеною). У доктрині виділяють два підходи до
ідентифікації: об’єктивну (абсолютну) і суб’єктивну (відносну) можливості
ідентифікації суб’єкта даних. Перший підхід (об’єктивна, або абсолютна
ідентифікація) передбачає ідентифікацію виключно на підставі існуючої
інформації. Другий (суб’єктивна, або відносна ідентифікація) пов’язується з
можливістю для відповідної ідентифікації збір іншої інформації, що потребує
розумних зусиль. На користь відносної ідентифікації свідчать нормативні
документи і судова практика. Суб’єктивна (відносна) ідентифікація видається
нам більш обґрунтованою.
8. Найбільш важливою з юридичної точки зору класифікацією
персональних даних є їх поділ на чутливі (вразливі) і звичайні персональні
дані. До чутливих даних відповідно до європейських документів належать
дані про расове або етнічне походження; політичні, релігійні або світоглядні
переконання; членство в політичних партіях та професійних спілках;
105
засудження до кримінального покарання; дані, що стосуються здоров’я,
статевого життя, а також біометричні або генетичні дані. Правила здійснення
обробки звичайних персональних даних на чутливі дані не поширюються;
здійснення обробки таких даних потребує спеціальної згоди суб’єкта
персональних даних, а також додаткових гарантій щодо їх захисту.
9. Закон «Про захист персональних даних», закріплюючи у ст. 7
заборону на обробку деяких видів даних (за винятками, визначеними у цій же
статті), у цілому відповідає європейському підходу щодо виокремленню
чутливих даних. Проте в згаданому законі такі дані чутливими прямо не
названі. Крім того, не йдеться про якісь особливі вимоги до обробки чи
механізм захисту таких даних володільцем, що їх обробляє. Максимум, що
тут можливе, – обов’язок повідомлення Уповноваженого Верховної Ради
України з прав людини про обробку персональних даних про відповідну
обробку даних, що становлять «особливий ризик для прав і свобод суб’єктів
персональних даних». Вважаємо, що відповідних гарантій в Україні для
чутливих даних недостатньо.
10. Вважаємо підхід, втілений в Законі України «Про інформацію», про
те, що вся інформація про особу апріорі є конфіденційною, недостатньо
обгрунтованим. Водночас, виходячи із Закону «Про доступ до публічної
інформації», якщо сама особа жодних активних дій щодо режиму
конфіденційності не вчиняє, не надає згоди і не заперечує проти збирання і
обробки інформації про неї, тобто самостійно не обмежує доступ до
інформації, то за логікою без самої особи режиму конфіденційності в такому
разі не буде також і відповідного правового захисту. Очевидним є те,
трактування що конфіденційності на підставі одного лише волевиявлення
особи явно спрощує саму суть цього поняття. Важливе значення повинні
мати також публічні інтереси, факт попереднього оприлюднення певної
інформації, суть такої інформації про особу та багато інших обставин. Навіть
фізично (якщо це уявити), без прив’язки до того чи іншого правового
106
режиму, реальний повний і всеохоплюючий контроль над інформацією про
себе з боку певної особи є неможливим.
11. Законодавчі акти прямо визначають інформацію про особу, яка є
конфіденційною, або забороняють розголошення певної інформації про
особу. По суті така «конфіденційна інформація на підставі закону» є прямим
наслідком існування т.з. чутливої інформації про особу, яка підлягає
особливому конституційно-правовому захисту, більш посиленому, ніж інша
інформація. Хоча законодавець її існування в прямій формі в Законах «Про
інформацію» і «Про доступ до публічної інформації» ігнорує, впадаючи в
крайнощі: з одного боку, вся інформація про особу є конфіденційною (Закон
«Про інформацію»), з іншого – тільки обмежена за волевиявленням самої
особи (Закон «Про доступ до публічної інформації»).
12. Закон «Про захист персональних даних», з одного боку, у ч. 2 ст. 5
ніби створює фактичну презумпцію відкритості персональних даних (за
винятком конфіденційності на підставі закону або за бажанням самої особи).
З іншого боку, ст. 11 цього ж Закону визначено вичерпний перелік підстав
обробки персональних даних (і в тому числі їх поширення). Усі вони
пов’язані із законом або згодою самої особи і жодної згадки про можливу
обробку без такої згоди або прямого дозволу закону певних видів
персональних даних. Ця норма є також досить показовою з точки зору того,
що Закон «Про захист персональних даних» не на рівні визначень, а
встановлюючи конкретні механізми, по суті ототожнює «конфіденційну
інформацію про особу» з будь-якою інформацією про фізичну особу
(персональними даними), не передбачаючи можливості обробки без її згоди
або прямого дозволу закону. Тобто цей Закон, незважаючи на формулювання
конфіденційності, насправді сутнісно ототожнює будь-яку інформацію про
особу у вигляді персональних даних з конфіденційною інформацію, оскільки
обробляти та поширювати можна лише на підставі згоди чи на законодавчих
підставах. Ця теза, формально ґрунтуючись на законі, є досить спірною. Саме
107
тому вважаємо, що зі ст. 11 мають бути винятки щодо обробки відкритої
інформації. Законодавство спростовує твердження про апріорний характер
конфіденційності будь-якої інформації про особу і відсутність відкритої
інформації, яка є такою за законом (прямо встановлюючи режим
відкритості/загальнодоступності або ж забороняючи обмежувати доступ до
тієї чи іншої інформації). Проте законодавець визначаючи інформацію про
особу в Законі України «Про інформацію», чомусь ігнорує поняття
відкритості і загальнодоступності.
13. Право бути забутим висуває вимогу щодо вилучення навіть
загальнодоступної інформації. Проте теза про безумовність вимоги
вилучення інформації не є безспірною і такою, що також не може бути
піддана сумніву. Фактично про безспірність такого вилучення (за певних
умов) можна стверджувати лише щодо права на забуття в пошукових
системах мережі Інтернет. Отже, право бути забутим не спростовує,є за
загальним правилом, можливість існування правового режиму відкритої
(загальнодоступної) інформації.
14. Інформацію про особу за режимом доступу можна поділити на:
- відкриту апріорі (загальнодоступну). Водночас особа має право за
певних умов обмежувати доступ до такої відкритої інформації за власним
бажанням (право на забуття). Ця інформація, незважаючи на її існування,
формально не вписується у термінологію на рівні визначень у відповідних
профільних інформаційних законах. Саме тому вона має бути офіційно
вказана. Для цього потрібно змінити формулювання законів «Про
інформацію» та «Про доступ до публічної інформації», а також
переформулювати норму Закону «Про захист персональних даних» щодо
обробки будь-яких персональних даних на підставі закону або згоди особи.
Такі підстави мають стосуватися лише конфіденційної інформації, а не будь-
яких персональних даних (зокрема, відкритої інформації);
- обмежену в доступі, яка може бути:
108
а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової
інформації);
б) конфіденційною, яка, у свою чергу, поділяється на:
інформацію, що визначається конфіденційною самою особою
(яка не віднесена законом ані до відкритої, ані до чутливої/вразливої).
Обробка такої інформації можлива за згоди особи;
вразливу (чутливу) інформацію, щодо якої законодавець може
встановлювати обмеження або пряму заборону на її обробку (що не
забороняє самій особі добровільно її поширювати) або дозволяти за
умови прямої згоди на обробку з боку особи, проте за таких умов
визначається особливий підвищений порядок її обробки. Законодавство
може встановлювати спеціальні правила на обробку чутливої інформації,
спрямовані на гарантування конфіденційності або на заборону збирання
/обробки певних видів особливо чутливої інформації.
109
РОЗДІЛ 2
КОНСТИТУЦІЙНО-ПРАВОВІ ЗАСАДИ ЗАХИСТУ ІНФОРМАЦІЇ ПРО
ОСОБУ
2.1. Захист інформації про особу в міжнародних актах та
конституційно-правовому законодавстві зарубіжних країн
Аналізуючи захист інформації про особу з позиції конституційно-
правового регулювання, маємо визначитися із елементами і засобами, за
допомогою яких такий захист здійснюється. Так, А.Л. Петрицький пропонує
розглядати захист персональних даних у трьох аспектах, а саме як: а)
фундаментальне право людини; б) напрям діяльності; в) інтегральну систему
юридичних норм. На його думку, норми про захист персональних даних
утворюють комплексний міжгалузевий правовий інститут, який забезпечує
системне регулювання відповідної сфери суспільних відносин,
характеризується наявністю імперативного метода регламентації, функціонує
на єдиних принципах, перебуває в тісному взаємозв’язку та постійній
взаємодії з провідними галузями вітчизняного права [96, С. 4-5, 13, 14].
У сфері захисту персональних даних в зарубіжних країнах закони мають
типову назву – це закони про захист даних [67, С. 56]. Не є винятком і
Україна, де діє Закон «Про захист персональних даних». Проте захист
персональних даних, або інформації про особу є багатоаспектним поняттям,
тож не обмежується виключно відповідними нормами згаданого закону, а
охоплює всі галузі правового регулювання (адміністративне, кримінальне,
цивільне право тощо).
Якщо поглянути на захист інформації про особу з позицій
конституційного права, то такий аспект буде вужчим, ніж весь захист в
цілому. Розглядаючи захист інформації про особу в конституційно-
правовому аспекті ми маємо звернутися як до суті спеціальних
110
конституційно-правових норм і інститутів захисту інформації щодо захисту
про особу, так і проаналізувати питання конституційності (пропорційності,
збалансованості) втручання в інформаційну приватність осіб у різних сферах.
Під конституційно-правовим захистом інформації про особу ми розуміємо
передусім сукупність нормативних та інституційних правових механізмів,
спрямованих на забезпечення інформаційної приватності в формі реагування
конституційно-правовими засобами на неправомірне втручання з боку
держави і приватних осіб.
Закони про захист персональних даних у європейських країнах почали
прийматися у 1970–х рр. [139, С. 51]. Деякі країни прийняли закони, що
стосуються виключно комп'ютерів і комп'ютеризованих видів діяльності.
Інші країни підійшли до питань захисту недоторканності приватного життя з
більш широких позицій, не обмежуючи себе конкретними видами технологій
обробки персональних даних. У федеративних державах подібні закони
введені як на національному рівні, так і на рівні окремих штатів або
провінцій. У різних країнах ці закони називались по-різному. Наприклад, у
країнах континентальної правової системи вони називалися «законами про
дані» або «законами про захист даних» (data protection laws), тоді як в
англосаксонській правовій системі вони більш відомі як «закони про захист
недоторканності приватного життя» (privacy protection laws) .
Перший Закон «Про захист даних» був прийнятий 7 жовтня 1970 р.
виданий у Федеративній Республіці Німеччини в землі Гессен, у ньому
головний акцент зроблено на регулюванні автоматизованої обробки тільки
тих даних, що містяться в офіційних документах уряду Гессену, будь-які
приватні файли виключено зі сфери дії закону. Таким чином, Закон «Про
захист даних» був більше призначений для захисту цілісності даних про стан
державної влади, ніж для захисту інтересів громадян [155, С. 74]. Проте
відсутність значних практичних рішень в жодній мірі не зменшило його
корисності як поштовху для розробки подібного законодавства в інших
111
країнах. На основі досвіду землі Гессен, в Гамбурзі і землі Рейнланд-Пфальц
були прийняті аналогічні акти, а землі Баден-Вюртемберг, Шлезвіг-
Гольштейн, Баварія, Нижня Саксонія прийняли кілька більш обмежених
законів і правил. На федеральному рівні Бундестаг розглядав ряд пропозицій
для прийняття національного закону з більш широкими правовими рамками.
Згодом загальні закони про захист персональних даних з`явилися в семи
державах-членах Ради Європи (в Люксембурзі, Норвегії і Швеції – 1973 р
ФРН – 1977 р. Австрії, Данії, Франції – 1978 р.), а також у Сполучених
Штатах Америки (1974 р.). У трьох державах-членах Ради Європи захист
даних включено як основне право в Конституції (ст. 35 Конституції
Португалії від 1976 р.; ст. 18 Конституції Іспанії від 1978 р., ст. 1 Акта про
захист даних Австрії від 1978 р.: Основне право на захист даних). У багатьох
інших державах-членах Ради Європи (зокрема, в Бельгії, Ісландії,
Нідерландах, Іспанії та Швейцарії) законодавство про захист даних
перебувало на завершальній стадії підготовки [155, С. 76].
Сьогодні профільні закони про захист персональних даних діють,
наприклад, у Великій Британії – Закон «Про захист інформації» (1998 р.);
Угорщині – Закон «Про персональні дані і публікацію даних, що становлять
суспільний інтерес» (1992 р.); Німеччина – Закон «Про захист персональних
даних» (1977 р.); Іспанії – органічний Закон «Про інформатику, картотеки та
свободи» (1978 р.); Швеції – Закон «Про охорону інформації» (1973 р.);
Японії – Закон «Про захист персональної інформації» (2003 р.) тощо. [139, С.
60]10
. Близько 40 країн світу мають закони з питань персональних даних [5,
С. 35].
Розглянемо еволюцію національного законодавства окремих держав в
цій сфері. В Основному законі ФРН 1949 р. право на захист персональних
даних експліцитного закріплення не отримало. Відсутність в тексті
10
Більш детально про сучасний стан законодавчоо регулювання в сфері персональних даних в
європейських країнах – див: [6]
112
Основного закону безпосередньо закріпленого «права на захист
персональних даних», однак, не варто розглядати як перешкоду, що
виключає можливість визнання персональних даних предметом
конституційно-правового захисту [120, С. 15]. Німецька модель
конституційно-правового захисту персональних даних розкривається через
конституційні підстави захисту персональних даних, що містяться в таких
основних правах: праві на інформаційне самовизначення, IT-праві, праві на
таємницю листування, поштових відправлень і телекомунікацій, право на
недоторканність житла [120, С. 38-39].
Право на інформаційне самовизначення Федеральний Конституційний
Суд (далі – ФКС) сформулював у своїй Постанові 1983 р. по справі про
перепис населення (Volkszählungsurteil)11
. Тоді ж ФКС була сформульована
доктрина про те, що фізичні особи мають контролювати використання їх
персональних даних на усіх етапах обробки: від збору до знищення. ФКС
зазначив, що свобода особи планувати і здійснювати свої вчинки значною
мірою обмежується, якщо вона не має достатньої впевненості у тому, яку
інформацію про особу мають у своєму розпорядженні контролери
персональних даних і треті особи [65, с. 65].
ФКС Німеччини вивів право на інформаційне самовизначення із
загального права на свободу особистості. Відповідно обидва цих права мають
одну нормативну основу: абз. 1 статті 2 у взаємозв'язку з абз. 1 ст. 1
Основного закону [120, С. 42-43]. Отже, захист персональних даних підпадає
під сферу дії загальної клаузули свободи, що є у статті 2 (1) Основного
Закону ФРН. Утім, клаузула гідності обмежує можливі дії держави щодо
збору та використання персональних даних [15, С. 466-467]. Наприклад,
будь-яка спроба сприймати людське життя як фізичний об’єкт, реєструючи
все, що стосується чиєїсь особистості, порушує гарантію людської гідності
(BVerGE 27, 1, 6; 65,1,41 ff).
11
Детальніше див.: [120, С. 41-42].
113
У Німеччині діє Закон «Про захист персональних даних» 1991 р., а
також прийнятий у жовтні 1997 р. Акт захисту інформації в телекомунікаціях
(Teleservices Data Protection Act) [156, С. 78-79].
У Великій Британії Закон «Про захист особистих даних» (Data Protection
Act) [190] 1998 р., який набрав чинності з березня 2001 р. Окремі аспекти
охорони особистої немайнової сфери закріплює Закон «Про авторське право,
промислові зразки та патенти» (Copyright, Designs and Patents Act) [188] 1988
р., Закон «Про торгові марки» (Trade Marks Act) [207] 1994 р., Закон «Про
реєстрацію промислових зразків» 1949 р. (Registered Designs Act) [204] та
деякі інші нормативно-правові акти [105, С. 165].
Науковий інтерес становить законодавство Великої Британії в частині
заборони публікації матеріалів, що містять випадки агресії стосовно особи чи
держави. Ще одним важливим фактом вбачається наявність на сторінках
британських веб-сайтів повідомлень про те, яку інформацію сайт збирає і як
її видалити. Особливостями сучасного законодавства Великої Британії є
конкретизація формулювання складу правопорушень, пов’язаних із
розголошенням персональної інформації, й дотримання принципів
конфіденційності, збереження, цілісності та доступності даних у діяльності
органів, що займаються її захистом [123, 148-149.].
У деяких державах, наприклад, у Швейцарській конфедерації12
,
Республіці Австрія, право на захист персональних даних отримало
безпосереднє закріплення на конституційному рівні13
. Федеральний закон
«Про захист даних Швейцарії» [166], який набув чинності з 1 липня 1993 р.,
ґрунтується на принципах, подібних до тих, які містяться у подібних чинних
законах інших європейських держав, хоча Швейцарія і не є членом
Європейського Союзу. Спершу публічний і приватний сектори у Швейцарії
12
Див .: стаття 13 Конституції Швейцарської конфедерації 1999 р. (Bundesverfassung der
Schweizerischen Eidgenossenschaft v. 18. April 1999) [53]. 13
Стаття 1 (має статус конституційного положення) Закону Республіки Австрія про захист
персональних даних 2000 р (Bundesgesetz über den Schutz personenbezogener Daten
(Datenschutzgesetz 2000 – DSG 2000) vom 17. August 1999 [182].
114
підлягали тим самим правилам. У публічному секторі закон стосувався лише
діяльності органів влади на федеральному рівні. Однак більшість
швейцарських кантонів запровадило подібне законодавство для того, щоб
керувати публічним сектором збирання і оброблення персональних даних у
своїй відповідній місцевості. Викликає інтерес досвід Франції, де функціонує
Закон «Про інформатику, картотеки та свободи» від 6 листопада 1978 р.
У конституціях деяких пострадянських країн (РФ, Білорусь, Молдова та
ін.) проголошується право на доступ до публічної інформації та
розглядається право на доступ до інформації персонального характеру як
складова загального права на доступ до інформації. Крім того, законодавство
цих країн, закріплюючи право людини на доступ до персональних даних,
відокремлює його від права на недоторканність приватного життя.
Аналізуючи законодавство у сфері захисту персональних даних вказаних
країн, необхідно наголосити, що лише в окремих з них є відповідні
нормативно-правові акти, а саме: Закон РФ від 27 липня 2006 р. «Про
персональні дані», Закон Республіки Молдова від 08 липня 2011 р. «Про
захист персональних даних», Закон Республіки Азербайджан від 11 травня
2010 р. «Про персональні дані», Закон Республіки Вірменія від 07 листопада
2002 р. «Про персональні дані», Закон Киргизької Республіки від 14 квітня
2008 р. «Про інформацію персонального характеру» [156, С. 79-80].
Якщо порівнювати сучасний стан регулювання відносин щодо обігу
персональних даних у США та країнах Європи, то американське право в
регулюванні відносин щодо обігу персональних даних передбачає галузевий
підхід, що спирається на поєднання законодавства, регулювання та
саморегуляції [139, С. 58]. США були першою державою, яка зайнялася
проблемою захисту персональних даних. Початок такої діяльності було
покладено у 1964-1965 рр., роботами комісії Конгресу «ЕОМ і порушення
секретності» й набуло подальшого розвитку в 1966 р., коли сенатор Дж.
Маккарті запропонував Білль про ЕОМ і про права, який став основою для
115
урядової пропозиції 1967 р., що відома як «Правила про секретність». Розділ
VI цих Правил «Дані про особу» надав кожному громадянину право знати
зміст файла, який його стосується, і ввів просту процедуру для виправлення
можливих помилок [156, С. 77].
На даний час у США обіг персональних даних регулюють такі акти:
– Закон «Про передачу даних медичного страхування та звітності»
(Health Insurance Portability and Accountability Act), відповідно до положень
якого доступ до персональної медичної інформації особи мають лише
медики, які використовують надані відомості для лікування і догляду. До
інформації, що підлягає захисту, включено записи лікаря, інші записи
медичного характеру щодо особи, включаючи медичну страховку, платіжні
реквізити і записи розмов лікарів про лікування особи тощо;
– Закон «Про справедливі і точні операції» (The Fair and Accurate Credit
Transaction Act), призначений для захисту кредитних користувачів від
ризиків, пов’язаних із крадіжкою персональних даних. Цей закон, серед
інших, забороняє друкувати на чеку більше ніж п’ять останніх цифр номера
картки, хоча це не стосується рукописних чеків. Така заборона була прийнята
після хвилі численних крадіжок коштів з кредитних карток;
– Закон «Про надання кредитної інформації про покупця» (Fair Credit
Reporting Act), який покладає на організації, що займаються кредитною
діяльністю, певні обов’язки, зокрема, вести реєстр організацій, які
займаються збором кредитної інформації про покупця для надання звітів
третім особам;
– Закон «Про охорону приватності дітей у мережі он-лайн (Children's
Online Privacy Protection Act), що обмежує можливості збирання
персональних даних дітей у мережі Інтернет;
116
– Закон «Про захист приватності відео» (Video Privacy Protection Act),
який регулює порядок використання відеозаписів громадян і збереження при
цьому персональних даних, тощо14
.
Звичайно, велику роль грає політична складова і окремі аспекти захисту
інформації набувають ліберального або ж, навпаки, протекціоністського
забарвлення залежно від політичної позиції парламенту і президента. До речі,
серед останніх змін у законодавстві можна назвати скасування в 2017 р.
закону, введеного при адміністрації Барака Обами, що зобов'язує інтернет-
провайдерів отримувати дозвіл на використання особистих даних
користувачів, включаючи такі, як місце розташування клієнта і його історія
відвідувань інтернет-сайтів. Інтернет-провайдери у США не повинні будуть
питати дозволу користувачів, щоб ділитися їхніми персональними даними з
маркетинговими фірмами та іншими учасниками ринку [47].
Якщо ж узагальнити, то бачимо, що США надають перевагу так
званому «секторальному» підходу до законодавства про захист даних, який
ґрунтується на поєднанні законодавства, регулювання та саморегулювання.
На сьогодні в США нема єдиного закону про захист даних [121, С. 49].
Закон Канади «Про персональну інформацію та електронні документи»
2000 р. поширюється на організації приватного сектору, які збирають,
використовують і передають персональну інформацію під час комерційної
діяльності. Зокрема, кожний громадянин або особа, яка постійно проживає в
Канаді, може отримати доступ до інформації про себе, що міститься в
установах, і виправити її, якщо вважає її невірною [156, С. 77-78].
Л. Детерманн виокремлює американську (англосаксонську) і
європейську (континентальну) моделі. На його думку, перша оперує
поняттям «data privacy», друга – до поняттям «data protection». Data
protection пов’язано із захистом інформації, що стосується фізичних осіб.
Безпосередній фокус регулювання спрямований не стільки на самого
14
Див. детальніше: [139, С. 59-61]
117
суб’єкта, скільки на інформацію про нього. За допомогою захисту
персональних даних закон захищає фізичних осіб (суб’єктів даних) від
наслідків автоматизованої обробки даних. Загальний принцип тут можна
охарактеризувати одним словом – заборонено. Європейське законодавство
про захист персональних даних передусім призначено для обмеження і
скорочення автоматизованої обробки персональних даних, навіть коли такі
дані є загальнодоступними. Однією з ключових особливостей законів про
захист персональних даних за європейським зразком є вимога про
мінімізацію даних: компаніям заборонено збирати, використовувати і
зберігати дані, якщо вони не отримали на це згоду або мають іншу законну
підставу для обробки даних. Також компанії зобов’язані звести до мінімуму
обсяг даних, що збираються, випадки обробки, коло осіб, які мають доступ
до даних, і періоди часу, протягом яких ці дані зберігаються. Обмеження
обробки персональних даних, вірогідно, є однією з причин того, що
європейські компанії не займають провідних позицій в таких секторах, як
електронна комерція, хмарні обчислення, надання програмного забезпечення
як послуги (SaaS) і соціальні мережі, де більша частин інновацій і лідерів
ринку належить США, а також останнім часом і Азії.
На відміну від Європи, США і її законодавство про Data privacy, в першу
чергу, спрямоване на захист фізичних осіб від втручання в їх приватне життя
і перехоплення особистих повідомлень. Фізичні особи, за загальним
правилом, не захищаються законом, за винятком випадків наявності
об’єктивно обумовленого розумного очікування, що третіми особами буде
збережена конфіденційність. Компанії, як правило, мають можливість
нейтралізувати такі очікування, повідомивши фізичних осіб про збір і
обробку даних. Фізичні особи мають певний захист при знаходженні в
своєму житлі, проте їх діяльність і спілкування поза його межами, як
правило, не захищені очікуваннями конфіденційності. Замість ухвалення
єдиного закону на федеральному рівні і на рівні штатів існують численні
118
закони, які спрямовані на вузьке регулювання окремих сфер і в цілому не
спричиняють шкоди вільному обміну інформацією і технологіями [21, с. 7-9].
Інші країни,, що не є традиційно західними, як правило, моделюють свої
закони, спираючись більшою чи меншою мірою на європейські стандарти
(наприклад, Аргентина, Колумбія, Ізраїль, Росія, Уругвай) або обираючи
змішаний підхід: з деякими елементами європейського законодавства, проте з
більш м’якими вимогами стосовно згод і повідомлень суб’єктів даних і менш
суворими адміністративними обов’язками (наприклад, Австралія, Канада,
Індія, Японія, Мексика) [21, с. 60-61].
А.В. Пазюк виокремлює три основні національні моделі правового
захисту приватності персоніфікованої інформації: соціально-захисна
(більшість європейських країн), ліберальна (США), змішана (Канада,
Австралія) [91, с. 173]. Для соціально-захисної системи у країнах ЄС
характерне визнання поняття «персональні дані» юридичною категорією та
комплексним об’єктом суб’єктивного права особи, елемента її
фундаментального права на приватність. З іншого боку, американська
ліберальна модель протистоїть соціально-захисній європейській моделі.
Американське право не визначає загального права особи на персональні дані,
а захищає його лише в окремих сферах. Зокрема, регулюванню піддається
обіг інформації про фінансовий стан, стан здоров’я, кредитоспроможність та
деякі інші відомості. Така особливість ліберальної моделі пояснюється
історичними чинниками. Американська держава і суспільство формувалися
таким чином, що пріоритет надавався праву на свободу слова і свободу
інформації, а не праву на приватність [18, С. 309].
Іншу класифікацію – за формальним критерієм – пропонує В.М.
Брижко, виділяючи два принципи, згідно з якими вибудовуються національні
правові системи захисту персональних даних а саме:
1) створення всеохоплюючого закону про захист приватного життя,
спрямованого на упорядкування суспільних інформаційних відносин,
119
пов’язаних із конкретними даними, що передбачає відповідне коригування
положень закону при появі нових загроз;
2) створення спеціальних законів для кожного типу зазіхань на приватне
життя або для кожної сфери, яка є потенційним джерелом загрози та
порушень (наприклад, для засобів масової інформації, банків,
телекомунікацій та ін.). У даному разі через виникнення нових видів загроз
такий підхід призводить до безсистемності, дублювання та суперечливості
окремих норм права.
На думку В.М. Брижка і К.С. Мельника, на даний час набутий досвід
враховується законодавцями і при формуванні національних правових систем
застосовують змішаний підхід, який полягає у створенні базового
(рамкового, системоутворюючого) закону про захист персональних даних, а
вже на його основі розробляються галузеві нормативно-правові акти [6, С.
15; 67, С. 57].
А от на думку В.І. Теремицького і Д.В. Цвірюк, регулювання сфери
захисту персональних даних повинно відбуватися не на загальному рівні
(Закон Французької республіки «Про інформатику, картотеки та свободи»), а
на рівні галузевих нормативно-правових актів у сфері захисту відомостей про
фізичну особу (досвід США, Німеччини, Канади). Такий підхід надає
можливість зосередити увагу на особливостях правового регулювання групи
суспільних відносин у сфері обробки та захисту інформації персонального
характеру [156, С. 79-80].
Ми ж схиляємося до підтримки позиції В.М. Брижка та К.С. Мельника
щодо змішаного підходу до побудови вітчизняного законодавства у сфері
захисту інформації про особу, а саме: до необхідності розробки загального
закону щодо захисту інформаційної приватності, а також забезпечення
детального галузевого регулювання в різноманітних сферах.
Детальне з’ясування всіх аспектів вдосконалення структури і змісту
законодавства про захист інформації про особу в Україні не є предметом
120
нашого дослідження. Назвемо лише, як приклад, показове рішення у справі
К.Г. Устименка від 30 жовтня 1997 року, в якому КСУ довелося констатувати
відсутність регулювання використання конфіденційних даних у сфері
психіатрії. Згодом, 22 лютого 2000 року, було ухвалено Закон «Про
психіатричну допомогу» № 1489-III, який врегулював відповідні питання. Це
лише один приклад, проте відсутність або ж недосконалоість галузевого
регулювання в сфері захисту інформації про особу, на жаль, поки що в
Україні залишається проблемою.
Загалом, за статистикою більше 80 країн ухвалили спеціальне
законодавство про захист персональних даних. З іншого боку, в багатьох
країнах до нині є вкрай мало випадків спорів, пов’язаних із захистом
персональних даних. Глобальна криза з обмеженими ресурсами зосереджує
свої зусилля на юрисдикціях з усталеним законодавством і
правозастосувальною практикою в цій сфері [21, с. 281]. Це ж саме можна
сказати і про розвиток законодавства – переважно західні та ряд інших країн,
що мають розвинену економіку і інтегровані в глобальні процеси,
демонструють відповідний рівень зацікавленості у правовому регулюванні
захисту інформації про особу та мають якісне законодавство. З іншого боку,
очевидним є і зворотній вплив – більш ліберальне американське
законодавство (порівняно з європейським) в сфері прайвесі сприяє розвитку і
процвітанню великих компаній на ринку. Очевидно, що необхідність
балансування захисту приватних інтересів з позицій прав людини, що в
цілому стає вже публічним інтересом, і економічного розвитку є ключовим у
сучасних дискусіях про найбільш ефективні правові моделі у цій сфері.
Що стосується міжнародного рівня, то необхідність спеціалізованого
регулювання інформаційної приватності почали усвідомлювати у 60-ті рр.
ХХ ст.
У 1968 році Парламентська Асамблея Ради Європи у своїй рекомендації
звернулася до Комітету Міністрів з проханням розглянути питання про те, чи
121
надає Європейська Конвенція про захист прав людини і основних свобод та
внутрішнє право держав-членів достатній захист права на приватне життя у
зв'язку з розвитком сучасної науки і технологій. Дослідження, проведені за
вказівкою Комітету Міністрів як відповідь на дану Рекомендацію, показали,
що національне законодавство країн не забезпечувало достатнього захисту
приватного життя громадян при використанні автоматизованих банків даних.
Виходячи із зазначених висновків, Комітет Міністрів у 1973 і 1974 роках
прийняла дві резолюції про захист персональних даних. У першій Резолюції
(73) 22 встановлюються принципи захисту персональних даних у приватному
секторі, а в другій Резолюції (74) 29 – у громадському секторі [155, С. 73].
У 1978 р. в Організації з економічного співробітництва і розвитку (далі –
ОЕСР) була створена Експертна група, із завданням розробити набір базових
принципів захисту приватного життя і індивідуальних свобод (тобто –
“прайвесі”) у зв'язку з обробкою персональних даних і з транскордонними
потоками даних. Ці принципи повинні були стати підґрунтям для
гармонізації відповідних національних законів. За підсумками дворічної
роботи Експертної групи, включаючи процес узгодження принципів із усіма
державами-членами, Рада ОЕСР прийняла Директиву від 23 вересня 1980
року “Про базові принципи захисту недоторканності приватного життя і
транскордонних потоків персональних даних”15
.
З огляду на ці запитання і в цілях зміцнення національних норм щодо
захисту персональних даних Комітетом Міністрів прийнято рішення про
укладення обов'язкової до виконання міжнародної угоди. Конвенція Ради
Європи про захист фізичних осіб при автоматизованій обробці персональних
даних ETS № 108 була укладена і відкрита для підписання державами-
членами Ради Європи 28 січня 1981 р. у Страсбурзі. Дія Конвенції
поширюється на «персональні дані» та «автоматичну обробку персональних
даних» у державному і приватному секторах. Однак будь-яка держава може
15
Більш детально див: [6, С. 16-17].
122
заявити, що вона буде також застосовувати цю Конвенцію «для особистих
файлів даних, які не обробляються автоматично» [155, С. 81-82].
Слід звернути увагу на те, що Конвенція № 108 не є «європейською» у
вузькому розумінні, що відрізняє її від інших конвенцій РЄ. У цьому
розумінні ст. 23 Конвенції несе в собі важливий елемент, оскільки дозволяє
вступ до Конвенції державам, які не є членами РЄ. Крім того, у статті 18
передбачається можливість участі в роботі Консультативного комітету
Конвенції № 108 на правах спостерігачів представників держав-членів РЄ,
які не є сторонами Конвенції № 108. За одностайним рішенням
Консультативного комітету така можливість може надаватися й іншим
країнам, які не є членами РЄ. Для обговорення проблем, пов’язаних із
узгодженням поглядів різних країн діє Міжнародна конференція країн з
проблем захисту інформаційних прав громадян. При ній створено декілька
робочих груп, у тому числі Міжнародна робоча група із захисту
персональних даних у телекомунікаціях («Берлінська група»). Основне
завдання робочої групи – розробка рекомендацій з питань національного та
міждержавного регулювання відносин, які виникають при обміні
персональними даними. Одинадцять рекомендацій, прийнятих Кабінетом
Міністрів РЄ, охоплюють різні напрями захисту персональних даних [65, с.
42].
Уругвай – перша неєвропейська країна, яка приєдналася у серпні 2013 р.,
а держава Марокко, якій Комітет Міністрів запропонував приєднатися до
Конвенції 108, перебуває у процесі оформлення приєднання [108, С. 18]. На
даний час, на основі положень Конвенції ETS № 108 прийнято більше 50
національних законів, що регламентують питання захисту персональних
даних не тільки країнами, що входять до складу Ради Європи, а й державами
– учасниками Азійсько-Тихоокеанського економічного співробітництва
(наприклад, Австралія, Канада, Малайзія, Нова Зеландія, Республіка Перу,
США, Республіка Чилі, Японія та ін.) [155, С. 96].
123
Згодом 8. 11. 2001 р., було прийнято Додатковий протокол. Він
конкретизував положення Конвенції щодо транскордонної передачі даних, та
закріпив нові положення щодо необхідності створення Сторонами Конвенції
наглядового органу, який би здійснював контроль за додержанням
законодавства про захист персональних даних[4, с. 16].
В літературі стверджується про певну спадковість і спорідненість
методологічних підходів до захисту персональних даних у праві ЄС та праві
Ради Єворопи [67, С. 55]. Джерелами регулювання ЄС у сфері персональних
даних визнають: Хартію основоположних прав Європейського Союзу,
Генеральний регламент із захисту персональних даних GDPR 2016 р.,
Директиву 95/46/ЄС ‟Про захист фізичних осіб при обробці персональних
даних і про вільне переміщення таких даних”, Директиву 97/66/ЄС
Європейського парламенту та Ради ‟Про обробку персональних даних і
захист прав осіб у телекомунікаційному секторі”, Стокгольмську програму,
Нову стратегію економічного зростання Європейського Союзу (Європа
2020), повідомлення Європейської комісії ‟Цифрова програма дій для
Європи” тощо. Їх розроблено з метою захисту прав осіб під час обробки та
вільного переміщення їх персональних даних, захисту особистих прав у
процесі обробки персональних даних компетентними органами, з метою
запобігання, розслідування, виявлення кримінальних злочинів, висунення
звинувачень у їх вчиненні, або при виконанні кримінальних покарань, та при
вільному переміщенні цих даних [42, С. 111].
Європейська Комісія створила “Робочу групу 29-ї статті” – Робочу
групу із захисту даних, утворену у 1996 р., діяльність якої спрямована на
гармонізацію європейського права у сфері захисту персональних даних та
полегшення застосування для європейських країн втілених у Директиві
принципів [67, С. 58]. Робоча група статті 29 надає необхідну інституційну
допомогу органам із захисту даних, щоб гармонізувати їхні закони. Багатьма
спеціалістами відзначається позитивна практика від двостороннього або
124
багатостороннього співробітництва, здійснюваного на основі регіональної
або мовної спорідненості (подібності) [155, С. 147]. Робоча група має
консультативний статус і діє незалежно. Вона складається з представників
національних наглядових органів держав-членів ЄС, представника органів,
створених установами та органами ЄС, і представника Європейської Комісії.
Робоча група виконує дослідницьку, експертну і консультативну функції16
.
Окремо потрібно згадати про Хартію основних прав Європейського
Союзу, прийняту у 2000 р., яка містить спеціальну ст. 8, присвячену саме
праву на захист персональних даних. Таке виокремлення обґрунтовується
тим, що у своїх висновках і рішеннях Європейська Комісія і Європейський
суд розвинули і визначили фундаментальне право, що ґрунтується на різних
правах людини і стосується захисту персональних даних [139, С. 57]. Після
набрання чинності Лісабонською угодою 1 грудня 2009 року Хартія стала
юридично обов’язковою, якиим є усе первинне право Європейського Союзу
(ст. 6 (1) Договору про Європейський Союз) [108, С. 22].
У 2016 р. Європейський парламент і Рада затвердили “Пакет захисту
даних” , що передбачає створення умов забезпечення узгодженої
нормативно-правової бази на європейському рівні. Він включає такі
документи:
1) Регламент від 27.04.16 р. № 2016/679 “Про захист фізичних осіб у
зв’язку з обробкою персональних даних та про вільне переміщення таких
даних, а також про скасування Директиви 95/46/ЄС (Загальні Положення про
захист даних)”;
2) Директиву Європейського Парламенту і Ради від 27.04.16 р. №
2016/680 “Про захист фізичних осіб у зв’язку з обробкою персональних
даних компетентними органами в цілях запобігання, розслідування,
виявлення або переслідування злочинця злочину або виконання
16
Див. [65, с. 57-59].
125
кримінальних покарань, а також про вільне переміщення таких даних, і
скасування Рамкового рішення Ради 2008/977/ПВД”;
3) Директиву Європейського Парламенту і Ради від 27.04.16 р. №
2016/681 “Про використання даних записів реєстрації пасажирів (PNR) для
профілактики, виявлення, розслідування і судового переслідування злочинів
терористичного характеру і тяжкого злочину” [8, C. 45, C. 47].
Загальний регламент щодо захисту даних 2016/679 (General Data
Protection Regulation) (GDPR) [205] набув чинності 25 травня 2018 р., а
Директива 95/46/ЄС скасовується.
Ключовою ціллю нового Регламенту є приведення законодавства у сфері
захисту персональних даних у відповідність до «первинного» права ЄС.
Лісабонська угода спричинила деякі неузгодженості для Директиви №
95/46/ЄС. Згідно із цією Угодою, Хартія основоположних прав ЄС 2000 року
набула статусу «первинного» права ЄС. За твердженням Європейської комісії
зміст Директиви № 95/46/ЄС не відповідав положенням статті 8 Хартії, які
стосуються захисту персональних даних [65, с. 51-52].
Прийнятий документ у сфері захисту персональних даних має статус
регламенту (regulation), на відміну від існуючої до цього директиви
(directive). Принципова особливість полягає в тому, що регламенти ЄС
стають безпосередньо чинними на всій території держав-членів ЄС з моменту
їх затвердження, в той час як директиви вводяться через національне
законодавство кожної європейської держави. На практиці це означає, що
одна і та сама директива ЄС може бути по-різному введена в державах-
членах ЄС, що створювало додаткове навантаження на бізнес. Тому
прийняття нових правил у формі регламенту має сприяти розвитку єдиного
порядку на всій території ЄС [83].
Регламент, відповідно до основоположних угод ЄС, являє собою
незмінний текст, що має безпосередньо виконуватися державами-членами ЄС
після його прийняття [38]. Утім, форма регламенту допускає наявність у
126
ньому норм, які залишають регулювання окремих питань на розсуд держав-
членів, і кількість таких норм у підсумковому тексті Регламенту про захист
даних виявилася істотною. Крім того, багато положень Регламенту про
захист даних сформульовані дуже абстрактно, а Європейська Комісія не
наділена повноваженнями щодо їх конкретизації за допомогою видання
правових актів [120, с. 21].
За Регламентом ЄС 2016/679 від 27.04.2016 р. створюється Рада Європи
із захисту даних (European Data Protection Board, EDPB) як окремий орган
Європейського Союзу. Склад Ради формується з представників
контролюючих (наглядових) органів кожної держави – члена ЄС,
Європейського супервайзера (Європейський інспектор) із захисту даних та
представника Європейської Комісії (призначає голову Ради)17
. Цей орган
покликаний замінити Робочу групу статті 29 (WP29) [21, с. 23; 86]. Можемо
припустити, що ключову роль у тлумаченні Регламенту буде здійснювати
саме Рада Європи із захисту даних.
Новий Регламент пропонує створити посади службовців із захисту
персональних даних (обов’язково у компаніях, де кількість персоналу
перевищує 250 осіб, а також у державних установах), запровадження права
особи ‟бути забутою”, дотримання прав особи в цифровому середовищі.
Безумовно, такі єдині наднаціональні стандарти захисту персональних даних
здатні забезпечити високий рівень охорони персональних даних у всіх сферах
життєдіяльності та належне дотримання правил, введених з цією метою,
забезпечити спрощення процесу міжнародного переміщення персональних
даних, упровадження єдиних стандартів з їх захисту [42, С. 111- 112].
Новели в GDPR стосуються також прав суб’єктів персональних даних.
Відповідно до статті 15 володільці персональних даних зобов’язані
інформувати суб’єктів персональних даних про строк зберігання, а також про
права на виправлення, видалення персональних даних, а також щодо
17
Євроейська рада з захисту даних має на меті замінити Робочу групу статті 29.
127
механізму подання скарги уповноваженому органу. Відповідно до статті 17
за суб’єктом даних закріплено “право бути забутим” (right to be forgotten) [67,
С. 59].
Змінилися умови отримання згоди на обробку персональних даних. По-
перше, суб'єкти персональних даних відтепер завжди повинні мати
можливість відкликати свою згоду. По-друге, окрема згода має бути надана
щодо кожної окремої мети обробки таких персональних даних. Загальні
(omnibus) згоди презюмуються недійсними. Регламент містить особливі
правила для отримання згоди дітей на обробку їх персональних даних. Згода
дітей до 16 років має бути супроводжено згодою їх батьків. Держави-члени
ЄС можуть знизити цей поріг до 13 років.
До речі, у США так само за законом при зборі інформації про дітей до
13 років компанії зобов'язані отримувати на це згоду батьків (Children`s
Online Privacy Protection Act). Разом з тим у квітні 2018 р. 20 груп юристів
звернулися до Федеральної торгової комісію США з вимогою розслідувати
діяльність відеохостингу YouTube. Вони стверджують, що компанія Google
неправомірно збирала інформацію про маленьких дітей [194].
GDPR зазнав суттєвої критики як від держав-членів , так і від різних
інституцій Європейського Союзу 18
. Цікавим для України в плані реформ ЄС
у відповідній сфері можуть стати:
- обов’язок впровадження інституту службовців із захисту даних на
корпоративному та державному рівнях;
- обов’язок мати корпоративні кодекси поведінки як взірець поєднання
зобов’язань по національному та наднаціональному законодавствах ЄС із
внутрішніми особливостями/правилами захисту персональних даних на
підприємстві;
- вирішення питання із запобігання «профілюванню» без відома фізичної
особи;
18
Більш детально див: [38]
128
- впровадження та проблематика поняття «перенесених даних»;
- практична реалізація «права бути забутим» [65, с. 107].
Регламент застосовується не тільки до організацій, які засновані на
території ЄС, а також й до інших організацій, що безпосередньо працюють на
європейському ринку. Саме тому він буде поширюватися, в тому числі, й на
українські компанії.
Регламент передбачає максимальні розміри штрафів, в той час як
повноваження по визначенню конкретних сум штрафів надані національним
органам влади держав-членів ЄС (20 млн євро або 4% від глобального
обороту; 10 млн євро або 2% від глобального обороту).
Із завершенням впровадження Загального регламенту ЄС про захист
персональних даних можна буде стверджувати про фактичне настання нової
ери розвитку правових відносин, пов’язаних із захистом персональних даних,
в ЄС. Нові зміни базуються на паритетних основах співіснування жорстких
принципів захисту персональних даних та їх вільного обігу із додержанням
прав людини [65, с. 107].
Водночас «жорсткість» нових норм ЄС, незважаючи на посилений
захист інформаційної приватності, потребує додаткових витрат і несе певні
ризики для комерційних суб’єктів, передусім економічного характеру у
вигляді штрафів. Так, Facebook вже перенесла дані 1,5 млрд користувачів зі
свого міжнародного офісу в Ірландії до офісу в США, де знаходиться її
головна штаб-квартира, щоб його не оштрафували на суму до 4% від її
глобального фінансового обігу, що становить близько $ 1,6 млрд. Це означає,
що їх дані перебуватимуть на сайті, який регулюється законодавством США,
а не законами Ірландії [192].
Як свідчить аналіз, впровадження нового порядку захисту персональних
даних потребує кардинальних змін ментальності, законодавчого регулювання
та ділової практики не лише у країнах – членах ЄС, а й в інших державах, що
є партнерами країн – членів Євросоюзу та у більшості з яких рівень захисту
129
персональних даних не завжди відповідає правовим стандартам ЄС.
Об’єктивна потреба в удосконаленні захисту прав людини у цій сфері
визначається поширенням неправомірних і несанкціонованих дій із
персональними даними на міжнародному і національному рівнях.
Ураховуючи сучасні реалії впровадження новітніх інформаційно-
обчислювальних технологій (технології типу Інтернету речей, Хмарних
технологій, Великих Даних та їх конвергенції), вирішення проблеми захисту
персональних даних значно ускладнилося [100, С. 44].
Варто погодитися з тим, що ефективне виконання правових норм ЄС у
сфері захисту персональних даних було б неможливим без створення
національних механізмів із нагляду та захисту прав і законних інтересів
фізичних осіб в державах-членах ЄС [65, с. 63] (про такі національні
механізми піде мова в підрозділі 2.4 дисертації).
Крім загального регулювання міжнародне співтовариство звертає увагу
на необхідність створення спеціалізованих стандартів захисту персональних
даних в Інтернеті. У цьому комплексі варто навести Гранадську міністерську
декларацію про цифровий порядок денний для Європи, Рекомендацію «Про
захист прав людини у сфері соціальних мережевих сервісів», Рекомендацію
«Основні напрямки захисту прав фізичних осіб у зв’язку з обробкою
персональних даних у інформаційних супермагістралях», посібник з прав
людини для користувачів Інтернету, затверджений Рекомендацією Комітету
Міністрів Ради Європи 2014 р [42, С. 110].
Отже, із зазначеного можна зробити такі висновки:
1. Захист персональних даних, або інформації про особу є широким
поняттям, що охоплює всі галузі правового регулювання (адміністративне,
кримінальне, цивільне право тощо). Якщо поглянути на захист інформації
про особу з позицій конституційного права, то такий аспект буде вужчим,
ніж весь захист в цілому. Розглядаючи захист інформації про особу в
конституційно-правовому аспекті ми маємо звернутися як до суті
130
спеціальних конституційно-правових норм і інститутів захисту інформації
щодо захисту про особу, так і проаналізувати питання конституційності
(пропорційності, збалансованості) втручання в інформаційну приватність
осіб у різних сферах. Під конституційно-правовим захистом інформації про
особу ми розуміємо передусім сукупність нормативних та інституційних
правових механізмів, спрямованих на забезпечення інформаційної
приватності в формі реагування конституційно-правовими засобами на
неправомірне втручання з боку держави і приватних осіб.
2. Можна виокремити дві основні моделі захисту інформації про особу:
американську і європейську. Американський підхід будується на
секторальному, галузевому підході, що означає ухвалення різних актів щодо
захисту інформації залежно від конкретної сфери суспільних відносин.
Згідно з європейським підходом – має існувати єдиний комплексний закон
щодо захисту персональних даних. Виділяють також змішаний підхід
(існування одночасно загального закону і окремих галузевих актів).
Вважаємо, що саме такий підхід до побудови вітчизняного законодавства в
сфері захисту інформації про особу є найбільш прийнятним, наголошуємо на
обов’язковій необхідності існування загального закону щодо захисту
інформаційної приватності за умов відповідного детального галузевого
регулювання в різноманітних сферах.
3. Переважно західні та ряд інших країн, що мають розвинену економіку
і інтегровані в глобальні процеси, демонструють відповідний рівень
зацікавленості у правовому регулюванні захисту інформації про особу та
мають якісне законодавство. З іншого боку, очевидним є і зворотній вплив –
більш ліберальне американське законодавство (порівняно з європейським) в
сфері прайвесі сприяє розвитку і процвітанню великих компаній на ринку.
Очевидно, що необхідність балансування захисту приватних інтересів з
позицій прав людини, що в цілому стає вже публічним інтересом, і
131
економічного розвитку є ключовим у сучасних дискусіях про найбільш
ефективні правові моделі у цій сфері.
4. Необхідність спеціалізованого регулювання інформаційної
приватності на міжнародному рівні почали усвідомлювати у 60-ті рр. ХХ ст.
Разом з тим процес розробки такого документа в Європі завершився лише у
1981 р. підписанням Конвенції Ради Європи про захист фізичних осіб при
автоматизованій обробці персональних даних ETS № 108, до якої 8 листопада
2001 р. було прийнято Додатковий протокол. Крім того, ухвалено ряд
рекомендаційних актів, зокрема Комітетом Міністрів державам-членам Ради
Європи. У Європейському Союзі ключовим документом до цього часу була
Директива 95/46/ЄС 1995 р. Європейського Парламенту і Ради про захист
осіб у зв’язку з обробкою персональних даних і вільним обігом цих даних.
Проте 27 квітня 2016 р. був ухвалений Загальний регламент щодо захисту
даних 2016/679 (General Data Protection Regulation) (GDPR), який набув
чинності 25 травня 2018 р., а Директива 95/46/ЄС відповідно скасовується.
5. Ключовими особливостями Регламенту GDPR є, зокрема, те, що він:
1) безпосередньо чинний на всій території держав-членів ЄС і не потребує
додаткової імплементації в національне законодавство; 2) містить
пропозицію створити посади службовців із захисту персональних даних
(вимагає – якщо кількість персоналу перевищує 250 осіб, а також у
державних установах); 3) зобов’язує мати корпоративні кодекси поведінки в
сфері персональних даних; 4) запроваджує “право бути забутим” (right to be
forgotten); 5) застосовується не тільки до організацій, які засновані на
території ЄС, а й до інших організацій, які безпосередньо працюють на
європейському ринку; 6) запроваджує серйозні штрафи за порушення його
вимог; 7) встановлює вимогу щодо існування незалежного національного
уповноваженого органу в сфері захисту персональних даних; 8) створює Раду
Європи із захисту даних замість попередньої робочої групи статті 29 (WP29)
тощо.
132
2.2. Конституційно-правові межі захисту інформації про особу
Варто погодитися із думкою Ю.М. Тодики та О.Ю. Тодики, що
встановлення меж основних прав – найбільш складна і спірна юридична
проблема. Враховуючи місце людини в державному співтоваристві виникає
головне питання при визнання прав, які має людина, і компетенції, яку має
держава. Мова йде про індивідуальна права особистості і їх обмеження, що
зумовлені як природою людини, так і суспільства. Не можна забувати, що всі
основні права, навіть якщо вони виходять з природних прав людини, мають
передумовою свого існування, з одного боку, наявність держави, яка їх
гарантує і захищає, з іншого боку, – протистояння держави основним правам
[157, С. 215].
З огляду на це важливим видається положення Регламенту “GDPR”, де
захист фізичних осіб у зв’язку з обробкою персональних даних віднесено до
фундаментальних прав людини. При цьому таке право, за слушним
зауваженням В.М. Брижка, не є абсолютним [8, C. 48].
Основною дилемою організаційно-правового упорядкування суспільних
відносин у сфері захисту персональних даних є протиріччя між прагненням
максимального використання персональних даних у суспільних і державних
інтересах та одночасним, бажанням максимально захистити права на
недоторканність приватного життя людини. За конфлікту приватного і
публічного інтересу виникає потреба пошуку точки балансу. Правова
конкуренція права на персональні дані та їх захист з правом на свободу
інформації та інтересами суспільства у боротьбі зі злочинністю вимагає від
держави створення механізму узгодження задіяних інтересів шляхом
встановлення справедливого балансу, а також оцінки застосованих обмежень
на відповідність принципу пропорційності [18, С. 309].
Розглядаючи питання захисту персональних даних з позиції конкуренції
цінностей, І.М. Сопілко робить висновок, що такий захист – це вміння
133
балансувати між інформаційною відкритістю та закритістю. Це баланс між
прагненнями максимально розширити доступ громадян до публічної
інформації (державної, наукової, освітньої, персональної тощо) і водночас
максимально захистити інформацію приватного характеру [150, С. 69].
Доцільно проаналізувати норми щодо обмеження інформаційної
приватності в зарубіжних країнах.
У праві Франції виділяють декілька підстав, які за дотримання
відповідних умов визначають правомірність втручання в особисте життя
фізичної особи. По-перше, правомірним слід вважати втручання, спрямоване
на забезпечення публічного порядку, в тому числі національної та
громадської безпеки, інтересів правосуддя, таких як публікація зображення
фізичної особи, яка розшукується правоохоронними органами, обшук житла
особи, яка підозрюється у вчиненні злочину, прослуховування телефонних
розмов тощо [178, P. 173]. У цьому контексті слід згадати і про заходи,
закріплені антитерористичним законодавством [200].
По-друге, втручання в інтересах захисту прав і свобод інших осіб.
Зокрема, за наявності виправданого суспільного інтересу правомірність
оприлюднення відомостей про особисте життя публічної особи буде
ґрунтуватися на реалізації свободи вираження поглядів.
По-третє, правомірність втручання в особисте життя фізичної особи
може аргументуватися згодою останньої19
.
Відповідно до ст.10 Конституції ФРН обмеження прав можуть бути
встановлені лише на підставі закону. Якщо конкретне обмеження слугує
захисту основ демократичного устрою чи існування Федерації або однієї із
земель, а також забезпеченню їх безпеки, то закон може передбачати, що
факт обмеження не повідомляється заінтересованій особі та що разом із
судовим захистом здійснюється контроль з боку спеціальних та допоміжних
органів, які формуються народним представництвом.
19
Детальніше див.: [105, С. 110-111].
134
Таке положення було дещо конкретизоване із введенням Федеральним
Конституційним Судом у 1983 р. «права на інформаційне самовизначення»,
яке могло бути обмежене у разі наявності «домінуючого публічного
інтересу», під яким слід розуміти конкретні передбачені законом випадки, за
наявності яких отримання та використання персональних даних фізичної
особи може здійснюватися державою чи третіми особами без повідомлення
про фізичних осіб, персональні дані яких використовувалися. Проте таке
втручання не повинно порушувати принципу пропорційності, тобто бути за
тривалістю не довше, ніж визначено законодавцем для досягнення мети, а
також не використовуватися з іншою, ніж передбачено законом, метою [139,
С. 138].
Станом на сьогодні ФРН – єдина країна, чиї норми про прослуховування
телефонних розмов при здійсненні оперативно-розшукової діяльності були
схвалені Європейським судом з прав людини. Так, ЄСПЛ, розглянувши
справу Класса, визнав, що німецький закон відповідає вимогам ст. 8 (2)
Конвенції «Про захист прав людини і основних свобод» [139, С. 139].
Не відповідає характеру втручання і ситуація, за якої зібрані дані
безпосередньо після збору видаляються безслідно і не існує можливості
ідентифікації суб'єкта цих даних. Такого висновку ФКС Німеччини дійшов,
розглядаючи справу про автоматичний збір автомобільних номерів
(automatisierte Kennzeichenerfassung) у постанові від 11 березня 2008 р. [120,
С. 48].
Питання обмеження інформаційної приватності постало у ФРН у зв’язку
з порушенням права на забезпечення конфіденційності і цілісності
інформаційно-технологічних систем (скорочено – IT-право), яке
сформулював ФКС Німеччині (окремо від права на інформаційне
самовизначення). IT-право було вперше сформульовано ФКС Німеччини в
постанові у справі про онлайн-обшуки 2008 року (Urteil zu Online-
Durchsuchung), де предметом розгляду стало положення закону землі
135
Північний Рейн-Вестфалія про захист конституції. Відповідне положення
закріплювало за відомством з захисту конституції повноваження по
здійсненню таємного проникнення з використанням технічних засобів в
інформаційно-технологічні системи з метою збору даних. Таке проникнення
отримало назву «он-лайн обшуку» («Online-Durchsuchung»). Оспорюване
законодавче положення було визнано ФКС Німеччини несумісним з
Основним законом і нікчемним, оскільки, передбачаючи втручання в основне
право, воно не задовольняло вимогу ясності норм, принципу пропорційності і
не містило достатніх заходів для захисту ядра (основного змісту) приватного
способу життя [120, С. 56].
На відповідність праву на таємницю телекомунікацій перевірялися
законодавчі норми в справі про збереження даних «про запас»
(Vorratsdatenspeicherung) 2010 р., яка набула широкого суспільного
резонансу. У Постанові у справі про збереження даних «про запас» (Urteil zur
Vorratsdatenspeicherung) ФКС Німеччини визнав такими, що порушують
абзац 1 статті 10 Основного закону і нікчемними норми Закону «Про
телекомунікації» та Кримінально-процесуального кодексу, в яких
перераховувалися дані, що підлягають збереженню, і вказувалися цілі, для
досягнення яких збережені дані могли запитуватися компетентними
державними органами [120, С. 68].
Що стосується США, то, як ми вже зазначали в попередньому
підрозділі, модель правового регулювання побудована на принциповій
допустимості обробки персональних даних ( по суті – меншому обсязі
захисту інформаційної приватності). Відповідно, обмеження (втручання) у
приватність, як це не парадоксально, є більшим з боку приватних осіб.
Загалом такий підхід є більш ліберальним, ніж європейський. Це
пояснюється меншим втручанням держави у сфері інформаційної
приватності шляхом регулювання діяльності приватних компаній щодо
захисту персональних даних. Натомість відповідні механізми передусім
136
спрямовані на захист у приватно-правовій площині, ніж у публічно-правовій,
а також передбачають значну роль саморегулювання.
У США закони про захист персональних даних накладають обмеження
лише у тих випадках, коли суб’єкти даних мають так звані «розумні
очікування конфіденційності» (reasonable expectation of privacy), тобто
фактично існуюче очікування, яке при цьому вважається розумним з точки
зору суспільства (об’єктивний критерій), а не особи, що має відповідне
очікування (суб’єктивний критерій). В більшості випадків компанії можуть
відносно легко обійти дане очікування шляхом направлення повідомлення
або іншого інформування суб’єктів даних про практики обробки даних, що
використовуються. Разом з тим, в окремих випадках обмеження і
відповідальність, введені законодавчо на рівні федерації або штатів, можуть
бути достатньо жорсткими і суворими20
. Натомість ключовий законодавчий
принцип у більшості європейських країн, а також документах ЄС, полягає в
тому, що обробка персональних даних заборонена, за виключенням випадків,
коли була отримана згода суб’єкта даних на таку обробку або коли
застосовуються інші передбачені законом виключення [21, с. 56-57].
Стосовно України, то ст. 32 Конституції України вказує на інтереси
національної безпеки, економічного добробуту та прав людини як можливу
підставу для обмеження суб'єктивних прав особи. Ці ж критерії містяться у
ч.1 ст.25 Закону «Про захист персональних даних».
Підхід, запроваджений в українському законодавстві, відповідає
положенням відповідних міжнародних актів. Так, ст. 9 Конвенції №108
передбачає, що відступ від положень, що гарантують права суб'єкта даних,
дозволяється в інтересах державної безпеки та громадського спокою,
грошових інтересів держави або для боротьби із кримінальними злочинами
та для захисту прав і свобод інших осіб. Стаття 13 Директиви 95/46 ЄС
20
Див. детальніше: [21, с. 58-60].
137
встановлювала, що обмеження можуть застосовуватися, якщо це є
необхідним заходом для забезпечення: державної безпеки, оборони,
громадського порядку, в інтересах слідства, важливого економічного або
фінансового інтересу, захисту суб'єкта даних або прав і свобод інших осіб.
ЄКПЛ (ст. 8 (2)) передбачає, що «органи державної влади не можуть
втручатись у здійснення цього права, за винятком випадків, коли втручання
здійснюється згідно із законом і є необхідним у демократичному суспільстві
в інтересах національної та громадської безпеки чи економічного добробуту
країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи
моралі або для захисту прав і свобод інших осіб». На думку ЄСПЛ, такі
обмеження повинні: запроваджуватися на підставі закону («in accordance
with the law»); мати легітимну ціль («legitimate aim»); бути необхідними у
демократичному суспільстві («necessary in a democratic society»).
Загальноприйнятим критерієм для встановлення балансу між
конкуруючими інтересами є дотримання принципу принципу
пропорційності. Цей принцип був сформульований ЄСПЛ у такому вигляді:
«… фраза "бути необхідним у демократичному суспільстві" означає, що
втручання повинно, серед іншого, відповідати "нагальній соціальній потребі"
і бути "пропорційним до законної мети, що ставиться"; і далі "…закон, що
надає свободу вибору під час здійснення повноважень, повинен передбачати
їх обсяги» [139, С, 153; 140, С. 104].
Щодо виправданості втручання держави на підставі закону, показовими
вбачаються справи «Ротару проти Румунії», «Тейлор-Себорі проти
Сполученого Королівства», «L.H. v. Latvia», «P.G. and J.H. v. The United
Kingdom», «Мелоун проти Сполученого Королівства», «Perry v. the United
Kingdom» (зважаючи на обмежений обсяг не маємо змоги прокоментувати їх
детально).
Стосовно порушення вимоги щодо переслідування легітимної мети, то
показовою є справа «Пек проти Сполученого Королівства» (Peck v. the United
138
Kingdom), № 44647/98 від 28 січня 2003 р.). [108, С. 71]. Йшлося про
оприлюднення відеозапису, зробленого з камери відеоспрстереження, на
якому заявник намагався вичинити самогубство. Суд виходив, зокрема, з
того, що навіть у «публічному контексті» існує зона взаємодії людини з
іншими, яка може охоплюватися поняттям особистої сфери. Європейський
Суд погодився, що фіксація подій у громадських місцях за допомогою камер
спостереження може бути суспільно корисною і, як така, не порушує право
на конфіденційність інформації про особисте життя. Разом із тим Суд
визначив, що рівень реального поширення цієї інформації завдяки
збереженню плівки, на якій вона була зафіксована, та публікації відповідної
інформації у ЗМІ значно перевищив рівень поширення, який міг би мати
місце при звичайному людському спостереженні, і за таких умов національне
право повинно було містити гарантії обмеження доступу до такої інформації
[24, С. 42].
Стосовно необхідності у демократичному суспільстві, то ЄСПЛ
зазначає, що «поняття необхідності означає, що втручання відповідає
нагальній суспільній потребі і, зокрема, є пропорційним переслідуваній
законній меті» ((Leander v. Sweden), № 9248/81 від 26 березня 1987 р.).
Так, у справі «Хелілі проти Швейцарії» ((Khelili v. Switzerland), №
16188/07 від 18 жовтня 2011р.) під час поліцейського рейду поліція виявила
заявницю, у якої були візитівки з номером телефону і текстом такого змісту:
«Симпатична, гарна жінка, за тридцять, хотіла б зустріти чоловіка, щоб
іноді разом випити або провести час. Номер тел. [...]». Заявниця
стверджувала, що поліцейські внесли в базу її ім’я як повії, якою вона
ніколи не була. Заявниця вимагала видалити з комп’ютерної бази слово
«повія». ЄСПЛ визнав, що збереження персональних даних особи на тій
підставі, що ця особа могла вчинити інший злочин, може за певних умов
бути пропорційним. Водночас збереження слова «повія» у файлах поліції
139
протягом багатьох років не було необхідним у демократичному суспільстві
[108, c. 72].
Щодо дотримання вимоги стосовно необхідності у демократичному
суспільстві, то також варті уваги справи «М.К. v. France», «С. і Марпер проти
Об’єднаного Королівства», «Авілкіна проти Росії», «Гардель проти Франції».
Якщо звернутися до Хартії основних прав ЄС, то побачимо, що
структура Хартії і її формулювання відрізняються від ЄКПЛ. У Хартії не
йдеться про втручання у гарантовані нею права, але є положення про
обмеження щодо здійснення визнаних у ній прав і свобод.
Відповідно до ст. 52 (1) Хартії обмеження щодо здійснення
гарантованих у ній прав і свобод і, відповідно, щодо здійснення права на
захист персональних даних, як-то: обробку, допускаються тільки якщо вони:
1) передбачені законом;
2) дотримуються основного змісту права на захист персональних
даних;
3)є необхідними, відповідають принципу пропорційності;
4) відповідають загальній меті, яка визнана Європейським Союзом,
або є необхідними для захисту прав і свобод інших осіб [108, С. 73].
Основне право на захист персональних даних за ст. 8 Хартії «не є
абсолютним правом і повинно розглядатися у зв’язку з його функцією у
суспільстві» (об’єднані справи СЄС C-92/09 та C-93/09) [108, с. 23-24].
Зазначимо, що практика Суду ЄС, що в аспекті захисту інформаційної
приватності ґрунтується на застосуванні Хартії основних прав ЄС і
європейських директив, хоч і не є безпосереднім джерелом права в Україні,
водночас має важливе доктринальне значення. Зважаючи на обмеженість
обсягу дослідження зазначимо, що питання меж права на персональні дані і
його збалансованість я з іншими правами (зокрема, свободою вираження
поглядів, доступу до документів, свободою художньої творчості і науково-
140
дослідницької діяльності, захистом власності) детально розглянуті в
літературі21
.
До речі, український Закон «Про захист персональних даних» (якщо ми
говоримо про балансування з іншими правами) прямо називає винятки щодо
обробки персональних даних. Так, відповідно до ч. 2 ст. 25 дозволяється
обробка персональних даних без застосування положень цього Закону, якщо
така обробка здійснюється:
1) фізичною особою виключно для особистих чи побутових потреб;
2) виключно для журналістських та творчих цілей, за умови забезпечення
балансу між правом на повагу до особистого життя та правом на свободу
вираження поглядів.
Питання легітимної мети, а також пропорційності і необхідності
втручання виникають у зв’язку з багатьма іншими прикладами, які наразі є
актуальними для України. Передусім, питання втручання в сферу приватного
життя пов’язані із біометричними даними.
Біометрія – перевірка (звичайно з метою ідентифікації особи) на основі
фізіологічних і поведінкових особливостей людини. У біометрії якийсь
раніше узятий зразок порівнюється із «свіжим» зразком. За результатами
цього тесту можна сказати, чи дійсно людина є тим, ким вона себе називає.
Найбільш популярні методи біометричної ідентифікації: зняття відбитків
пальців, сканування райдужної оболонки ока, розпізнавання голосу і цифрові
( що зберігаються в електронному вигляді) зображення.
Варто погодитися, що ключовою проблемою є «обмежена точність
біометричних систем в умовах неймовірно великого числа людей, що
підлягають ідентифікації. Найоптимістичніші оцінки систем розпізнавання
по роговиці ока дають 99 відсотків точності. Таким чином, на кожні 100
сканувань буде один неправильний збіг. … Це припустимо при порівняно 21
Більш детально щодо кейсів, розглянутих Судом ЄС, де можна простежити таке балансування –
див.: [108, с 25-35].
141
невеликих базах даних, однак пропонована база буде містити близько 60
мільйонів записів. Це означає, що сканування однієї людини буде збігатися з
600 тисячами записів у базі даних» [6, C. 50].
У зв’язку з наведеним важко беззастережно погодитися із К.С.
Мельником, який вважає, що біометрична інформація може дати абсолютно
точну картину ідентифікації фізичної особи через унікальність біологічних
параметрів: не існує двох людей із тотожними біометричними ознаками [65,
с. 34, 35]. Остання теза буде справедливою лише за умови порівняння певної
сукупності біометричних ознак.
Однією з новітніх загроз праву на персональні дані особи стало
запровадження електронних, або біометричних паспортів. Біометричні
паспорти – це електронні ID-документи, які читаються машинами і в які
імплантований RFID-чип (RFID – радіочастотна ідентифікація). На чип
записуються біометричні характеристики власника закордонного паспорта –
оцифровані дані відбитків пальців, райдужної оболонки ока, геометрії руки
та ін. [139, С. 145].
Щодо біометричних паспортів, то в Україні вони запроваджені Законом
«Про Єдиний державний демографічний реєстр та документи, що
підтверджують громадянство України, посвідчують особу чи її спеціальний
статус» і з 1 січня 2015 р. здійснюється оформлення біометричних паспортів
громадянина України для виїзду за кордон.
Даний Закон передбачає наявність мікрочипа в усіх документах, що
посвідчують особу. Відповідно до ст. 19 Закону, до безконтактного
електронного носія вноситься інформація, що знаходиться на сторінці даних
документа, біометричні дані, параметри особи, а також дані щодо
забезпечення захисту інформації, що знаходиться на безконтактному
електронному носії, відповідно до документів ІСАО.
Позитивною є норма Закону про те, що відцифровані відбитки пальців
рук вносяться до безконтактного електронного носія за згодою особи у разі
142
оформлення паспорта громадянина України для виїзду за кордон,
дипломатичного паспорта України, службового паспорта України,
посвідчення особи моряка, посвідчення члена екіпажу, посвідчення особи без
громадянства для виїзду за кордон, проїзного документа біженця.
Варто звернути увагу на те, що з електронного носія інформації – чипа
радіочастотної ідентифікації інформація може бути зчитана не лише
картрідером (засобом зчитування інформації з чипа), але і дистанційно – з
літака чи супутника. Такі технічні можливості є в державах Європейського
Союзу, є вони і в України. Відповідно до постанови Кабінету Міністрів
України від 17 вересня 2008 р. № 834 в Україні створюється Державна
інтегрована інформаційна система забезпечення управління рухомими
об’єктами, складовою частиною якої є інтегрована радіолокаційна система
контролю повітряного простору України. Відповідно, з використанням цих
систем можливий безконтактний доступ до інформації, яка зберігається на
електронному чипі, та фіксація пересування документа разом з його
власником у часі та просторі. Слід зазначити, що Велика Британія, яка мала
надійну систему захисту інформації у своїх базах даних, на даний час
відмовилася від безконтактного способу доступу і перейшла лише на
контактний спосіб доступу до інформації за допомогою картрідера [139, С,
147-148].
Від 1 січня 2016 р. в Україні почали видавати внутрішні паспорти
нового зразка у вигляді пластикової ID-картки. ID-картка містить
безконтактний електронний носій – чип, на якому, крім даних про власника
документа, записані біометричні дані [10]. 21 березня 2018 р. Кабінет
Міністрів України змінив постанову №302 [116] і остаточно скасував
можливість оформлення паспорта громадянина України у формі «книжечки»
[10].
Запровадження біометрії торкнулося й іноземців та осіб без
громадянства. У квітні 2009 р. Верховна Рада України прийняла закон про
143
внесення змін до ст.25 Закону „Про правовий статус іноземців та осіб без
громадянства”, якими передбачалося зобов’язати ці категорії осіб надавати
свої біометричні дані для їхньої фіксації під час оформлення в’їзної візи в
дипломатичних представництвах і консульських установах України за
кордоном, а також під час проходження прикордонного контролю в пунктах
пропуску через державний кордон (якщо інше не передбачено законом і
міжнародними договорами України, згода на обов’язковість яких надана
Верховною Радою України)
[144, С. 261]. Спроба запровадити взяття
біометричних даних при оформленні віз, з одного боку, була викликана
необхідністю забезпечення відповідного рівня ідентифікації візових
аплікантів із метою припинення використання підроблених паспортних
документів, а з іншого – мала стати адекватною відповіддю на аналогічні дії
щодо громадян України з боку США та країн ЄС. Адже оформлення віз
громадянам України з фіксацією біометричних даних уже здійснюється
посольствами США (з жовтня 2004 р.) і Великій Британії (з серпня 2007 р.), а
в березні 2009 р. нові біометричні параметри, що будуть використовуватися у
візах до країн ЄС, затвердив Європарламент. Проте у травні 2009 р.
Президент України повернув Закон до парламенту зі своїми пропозиціями
для повторного розгляду, обґрунтовуючи свою позицію тим, що набуття ним
чинності у схваленій редакції робить вірогідним несанкціонований доступ,
зміну чи поширення біометричних даних іноземців та осіб без громадянства
через відсутність в Україні законодавчих гарантій захисту персональних
даних у зв’язку з їхньою автоматичною обробкою. Подолати вето глави
держави Верховна Рада України не змогла [144, С. 262].
Обов’язок подання біометричних даних для фіксації іноземцями та
особами без громадянства закріплено у чинному законі (ч. 2 ст. 9, ч. 3 ст. 14
Закону «Про правовий статус іноземців та осіб без громадянства» від 22
вересня 2011 р). 1 вересня 2017 р. Президент України ввів у дію Рішення
Ради нацбезпеки і оборони «Про посилення контролю за в'їздом в Україну,
144
виїздом з України іноземців та осіб без громадянства, дотриманням ними
правил перебування на території України». На виконання цього документа,
Кабінет Міністрів України забезпечив функціонування з 1 січня 2018 р.
національної системи біометричної верифікації та ідентифікації громадян
України, іноземців та осіб без громадянства шляхом вирішення питання
необхідного ресурсного забезпечення фіксації біометричних даних іноземців,
у тому числі громадян Російської Федерації, та осіб без громадянства під час
здійснення прикордонного контролю в пунктах пропуску через державний
кордон України та у контрольних пунктах в'їзду-виїзд.
З 1 січня 2018 р. почала функціонувати національна система
біометричної верифікації та ідентифікації громадян України, іноземців та
осіб без громадянства (див. постанову Кабінету Міністрів України від 27
грудня 2017 р. № 1073). Вже з 1 січня 2018 р. на пропускних пунктах на
кордоні з Росією запрацювала система біометричного контролю перетину. В
Україні станом на 26 квітня з початку 2018 року біометричний контроль на
кордоні пройшли понад 193 тисячі осіб, з них – понад 140 тисяч громадян
Росії [9].
На сьогоднішній день ID-ідентифікація досить часто піддається критиці
з релігійних позицій. Проте питання навіть не в суті цих аргументів, а в
балансуванні відповідних норм зі свободою совісті і віросповідання.
Обмежуючи інформаційну приватність у відповідний спосіб, пов'язаний зі
збором біометричних даних, держава втручається також і в релігійні права
громадян. Як відомо, через релігійні переконання особа може відмовитися
від присвоєння індивідуального податкового номера або має право на
проходження альтернативної (невійськової) служби замість вйськової. Тут же
відповідних винятків не передбачено. Вважаємо, що право щодо відмови від
надання біометричних даних має бути врегульовано законодавчо.
Показовою є справа за позовом жительки Коростеня Житомирської
області Наталії Дігтяр, яка просила зобов'язати Державну міграційну службу
145
оформити їй не ID-картку, а документ у формі паспортної книжечки.
Звернення було обґрунтовано тим, що позивачка через свої релігійні
вірування та переконання не хоче, щоб паспорт громадянина України їй
робили у формі картки з безконтактним електронним носієм, що містить її
персональні дані [13]. 26 березня 2018 р. Касаційний адміністративний суд
Верховного Суду ухвалив рішення і заборонив громадянам відмовлятися від
отримання карток посвідчення особи (ID-карток) з релігійних переконань
[132]. На думку суду, такий підхід суперечитиме положенням статей 24 і 35
Основного Закону, а також він може призвести до зловживань з боку
окремих осіб та/або їх груп з метою уникнення виконання покладених на них
законом обов'язків» [131].
Натомість 19 вересня 2018 р. у справі № 806/3265/17 (провадження №
11-460заі18) Велика палата Верховного Суду скасувала відповідне рішення
Касаційного адміністративного суду, частково задовольнивши позовні
вимоги. Як зазначив Верховний Суд, реалізація державних функцій має
здійснюватися без примушення людини до надання згоди на обробку
персональних даних. Їх обробка має здійснюватися, як і раніше, в межах та
на підставі тих законів України, на підставі яких виникають правовідносини
між громадянами та державою. Впровадження новітніх технологій не
повинно бути безальтернативним і примусовим. Ті, хто відмовляються
приймати ці технології, повинні мати альтернативу – використання
традиційних методів ідентифікації особи.
Цікавим є досвід Киргизстану, де в квітні 2015 р. депутати схвалили
поправки до виборчого законодавства, згідно з якими мешканці Киргизстану
не зможуть взяти участь у парламентських і президентських виборах, якщо
не здали свої біометричні дані [141]. Закон Киргизстану про обов'язкову
біометричну реєстрацію громадян визнаний конституційним на засіданні
Конституційної палати 14 вересня 2015 р.
146
Питання щодо біометричних даних в Україні виникало не лише у зв’язку
із введенням ID-карток. Уповноважений Верховної Ради України з прав
людини звернувся до Конституційного Суду України з клопотанням визнати
таким, що не відповідає Конституції України (є неконституційним),
положення ч. 2 ст. 26 Закону України «Про Національну поліцію» від 2 липня
2015 р. № 580-VIII стосовно дозволу Національній поліції України під час
наповнення баз (банків) даних, визначених у п. 7 частини першої цієї статті,
забезпечувати збирання, накопичення біометричних даних у вигляді зразків
ДНК [49]. Згодом це подання було відкликане з приходом на посаду
Уповноваженого Верховної Ради України з прав людини Л. Денисової (лист
від 13 червня 2018 р.) і таке відкликання навряд чи слід вітати. 13 вересня
2018 р. КСУ не підтримав проект Ухвали про закриття справи за відповідним
конституційним поданням [50]. Згодом 6 грудня 2018 р. Велика палата КСУ
все ж таки закрила конституційне провадження у цій справі своєю ухвалою
№ 10-уп/2018 (що супроводжувалася окремою думкою судді С.В. Шевчука).
Положення Закону України «Про Національну поліцію» дозволяє поліції
забезпечувати збирання та накопичення, зокрема, біометричних даних
(дактилокартки, зразки ДНК) під час наповнення відповідних баз (банків)
даних. При цьому законодавцем абсолютно не диференційовано випадки
необхідності збору зразків ДНК залежно від ступеня тяжкості та характеру
правопорушення, не визначено, за яких саме обставин можуть відбиратися в
особи зразки ДНК, порядок відбирання, період і порядок їх зберігання,
порядок знищення та доступу до такої інформації самої особи або її родичів.
Належне регулювання цих питань і має бути тим захисним механізмом, який
би унеможливив свавільне втручання у право особи на особисте життя
шляхом відбирання та зберігання зразків ДНК [12]. Аргументація, наведена в
конституційному поданні, безумовно, варта підтримки і є досить
переконливою.
147
Варто також згадати одне з останніх рішень КСУ стосовно захисту
інформаційної приватності, а саме – рішення від 11 жовтня 2018 року № 7-
р/2018. Незважаючи на відповідну спрямованість (конституційне право особи
на приватне життя), мотивація рішення стосувалася передусім критерію
якості закону, таким елементам принципу верховенства права, як юридична
визначеність і заборона свавілля, отже, відповідно, сутність права на
недоторканність приватного життя КСУ детально не аналізував.
Окремо слід розглянути питання щодо конституційності
ідентифікаційного номера особи. Як відомо, в Україні ідентифікаційний
податковий номер побудовано не як випадковий набір цифр. Знаючи порядок
його формування, можна отримати конкретну інформацію про особу [6, C.
41].
Як зазначає В.О. Серьогін, на сьогодні Державний реєстр фізичних осіб
платників податків, у якому кожному громадянину присвоюється
індивідуальний податковий номер, є основним електронним класифікатором,
на основі якого відбувається збір та обробка персональних даних громадян
України. Сфера використання ідентифікаційного коду, що надається
Державною податковою адміністрацією, постійно розширюється і виходить
далеко за межі тієї мети, з якою він був запроваджений – податковий облік
[144, С. 265].
Те, що введення та використання ідентифікаційних номерів пов'язано із
питанням захисту персональних даних, підтверджується, зокрема,
посиланням на них, що містяться в певних національних законах про захист
даних22
. З огляду на це видається симптоматичним, що ще у 1998 р.
Верховний суд Філіппін визнав національну систему ідентифікації такою, що
порушує конституційне право на недоторканність приватного життя [112].
На цій же позиції стоїть і Конституційний суд Угорщини, який в 1991 р.
22
Щодо ситуації в окремих європейських країнах стосовно застосування ідентифікаційних номерів
та захисту персональних даних докладніше див: [6, C. 42-48].
148
ухвалив, що закон, який вводить у дію багатоцільову систему ідентифікації
особи, порушує конституційне право на недоторканність приватного життя
[93]. У Конституції Португалії 1976 р. [186] прямо зазначено: “Для громадян
країни не може бути введений багатоцільовий ідентифікаційний номер”.
Заслуговує на увагу рішення Федерального Конституційного Суду
Німеччини про те, що введення універсальних ідентифікаційних номерів
може створити загрозу для людської гідності [6, C. 53]. Однозначно
стверджувати про неконституційність українських індивідуальних
податкових номерів, мабуть, передчасно. Проте, на нашу думку, практика їх
застосування має бути переглянута в бік використання виключно в сфері
податкового обліку і податкових відносин, оскільки застосування
зазначеного номера як універсального ідентифікатора суперечить
конституційним вимогам.
Отже, із вищезазначеного можна зробити такі висновки:
1. Конституційно-правові межі захисту інформації про особу пов’язані з
відповідним закріпленням обмежень реалізації відповідного права на
інформаційну приватність у національному конституційно-правовому
законодавстві, а також практикою у цій сфері органів конституційного
контролю. Вимоги щодо додержання трискладового тесту при здійсненні
втручання в інформаційну приватність, балансування з іншими правами є
ключовими при розгляді справ ЄСПЛ щодо порушення державами ст. 8
ЄКПЛ.
2. У США модель правового регулювання побудована на принциповій
допустимості обробки персональних даних ( по суті – меншому обсязі
захисту інформаційної приватності). Відповідно, обмеження (втручання) у
приватність, як це не парадоксально, є більшим з боку приватних осіб.
Загалом такий підхід є більш ліберальним, ніж європейський. Це
пояснюється меншим втручанням держави у сфері інформаційної
приватності шляхом регулювання діяльності приватних компаній щодо
149
захисту персональних даних. Натомість відповідні механізми передусім
спрямовані на захист у приватно-правовій площині, ніж у публічно-правовій,
а також передбачають значну роль саморегулювання.
3. Питання легітимної мети, а також пропорційності і необхідності
втручання виникають у зв’язку з деякими законодавчими нормами, які наразі
є чинними в Україні. Передусім, це питання втручання в різні сектори
приватного життя, пов’язані із біометричними даними. Мова йде, зокрема,
про використання ID-карток як внутрішніх паспортів, що містять
біометричну інформацію. Питання виникають у зв’язку з балансуванням
відповідних норм зі свободою совісті і віросповідання. Обмежуючи
інформаційну приватність у відповідний спосіб, пов'язаний зі збором
біометричних даних, держава втручається також і в релігійні права громадян.
Як відомо, через релігійні переконання особа може відмовитися від
присвоєння індивідуального податкового номера або має право на
проходження альтернативної (невійськової) служби замість служби в ЗСУ.
Тут же відповідних винятків не передбачено. Вважаємо, що право на
обґрунтовану відмову від надання біометричних даних має бути
врегульовано законодавчо.
4. Передбачений Законом «Про Національну поліцію» дозвіл
забезпечувати збирання, накопичення біометричних даних у вигляді зразків
ДНК викликає сумніви щодо відповідності Конституції України. Про це
свідчить, зокрема, конституційне подання Уповноваженого Верховної Ради
України з прав людини щодо відповідності Конституції України
(конституційності) положень ч. 2 ст. 26 Закону України «Про національну
поліцію» від 13 лютого 2017 р., аргументи якого є вагомими щоб визнати
відповідну норму неконституційною.
5. Однозначно стверджувати про неконституційність українських
індивідуальних податкових номерів, мабуть, передчасно. Проте, на наше
переконання, практика їх застосування має бути переглянута в бік
150
використання виключно в сфері податкового обліку і податкових відносин,
оскільки застосування зазначеного номера як універсального ідентифікатора
суперечить конституційним вимогам.
2.3. Статус публічних осіб та його вплив на обсяг захисту інформації
про особу
Характеризуючи обсяг та межі втручання в сферу недоторканності
приватного життя і захисту інформації про особу, виділяють осіб приватних і
публічних. Публічною є особа, відома широкому загалу та займає посаду,
пов’язану з виконанням функцій держави або органів місцевого
самоврядування, посадових чи службових повноважень, особа, що
користується державними ресурсами, а також особу, котра відома у певних
соціальних спільнотах своїми поглядами і діяльністю [142, С. 103, 108].
При цьому в літературі іноді зазначається, що на інформацію про
публічну особу режим приватності не поширюється. Поширення режиму
приватності, тобто режиму обмеженого доступу, можливо на інформацію про
приватну особу [142, С. 100-101]. Ми не були би так занадто категоричні, як
О.О. Серебряник, адже право на приватність і захист інформації про особу
поширюється все ж таки як на приватних, так і на публічних осіб. Питання ж
натомість постає в обсязі захисту інформації про останніх.
Варто погодитися із тим, що виділення правового статусу публічних
осіб полягає у звуженні меж захисту їх особистого життя порівняно із
іншими особами [106, с. 11]. Запровадження спеціального правового модусу
фізичної особи публічного права, суть якого полягає в тому, що в окремих
фізичних осіб внаслідок зазначеного статусу межі захисту права на
персональні дані стають вужчими [139, С. 148]. Отже, нині
загальноприйнятим вважається, що межі втручання в сферу прайвесі
(приватного, особистого, сімейного життя) публічних осіб є ширшими, ніж
151
межі щодо приватних (звичайних) осіб. Водночас саме по собі право на
недоторканність приватного життя, а також захист інформації про особу
щодо публічних осіб нікуди не зникає.
З огляду на це закономірно постає питання: яким чином зазначені
положення узгоджуються із принципом рівності, адже так звана «публічна
особа» у такому разі зазнає більшого обмеження права на персональні дані,
ніж пересічний громадянин? Зауважимо, однак, що легітимне обмежування
права не свідчить про дискримінацію. До того ж, обираючи для себе життя
публічної особи, пересічний громадянин свідомо йде на те, що стає
предметом уваги громадськості. Остання, у свою чергу, хоче одержати
якомога більше інформації про особу, якій вона довіряє публічну владу [139,
c. 149; 140, С. 105].
Зрозуміло, що збирання, зберігання, поширення інформації про таких
публічних осіб має свої особливості. То хто ж саме є публічними особами і
якими мають бути межі захисту інформації про них? Спробуємо дати
відповідь на це питання.
На відміну від інформації про приватну особу, інформація про публічну
особу є однією з проблемних категорій у юридичній науці, оскільки
законодавством не визначено поняття «публічна особи» та не надано чіткого
переліку видів інформації, що співвідносяться з такою особою [142, С. 103-
104]. Розвиваючи цю думку, І.І. Романюк виділяє дві основні взаємопов’язані
проблеми: перша – визначення підстави виникнення такого правового
модусу; друга – встановлення категорій осіб, які зазначеним модусом
володіють [139. С. 148].
Загальновідомо, що поняття «публічна особа» не є чимось новим для
романської, германської та англо-американської правових систем, та,
незважаючи на це, в юридичній науці воно залишається таким, що потребує
детального аналізу зважаючи на його багатоаспектність і специфіку
інтерпретації в різних країнах.
152
Вважається, що всі публічні особи та обставини їх життєдіяльності
викликають суспільний інтерес. У різних правових системах запроваджено
диференційований підхід щодо різних категорій публічних осіб. Відповідний
поділ здійснюється з врахуванням об’єктивного (роль, місце особи у
суспільстві) чи суб’єктивного (наявність чи відсутність волі на набуття
публічного статусу) критеріїв. Цей поділ впливає на визначення меж
втручання в приватне життя різних категорій публічних осіб [105, с. 11].
Правовий статус публічної особи є підставою для правомірного
втручання в її приватне життя в межах, що визначаються підставами набуття
такого правового статусу. В цілому, публічні особи не позбавлені захисту
своїх особистих немайнових прав, хоча його межі якого в романській та
германській правових системах є ширшими за ті, що характерні для англо-
американської системи [106, с. 13]. Досить детально регулювання статусу
публічних осіб в ФРН, Франції, Великій Британії і США проаналізував у
своєму дослідженні О.О. Посикалюк [105].
Європейське законодавство не містить терміна «публічна особа». Лише
у п. 7 Резолюції 1165 (1998 р.) Парламентської Асамблеї Ради Європи про
право на недоторканність особистого життя встановлено поняття «публічна
фігура». Публічними фігурами є особи, які займають державну посаду і (або)
користуються державними ресурсами, а також усі ті, хто відіграє певну роль
у суспільному житті, будь-то в сфері політики, економіки, мистецтва,
соціальній сфері, спорті чи в будь-якій іншій сфері. Можна припустити, що
категорії «публічна фігура» і «публічна особа» є тотожними. Тому до
публічних осіб віднесено такі категорії осіб: 1) особи, що займають державні
посади; 2) особи, що користуються державними ресурсами (тобто їх праця
оплачується за рахунок державного бюджету); 3) особи, що відіграють
значну роль у сфері політики, економіки, мистецтва, спорту та інших сферах
[142, С. 104].
153
У Декларації про свободу політичних дебатів у засобах масової
інформації, схваленої 12 лютого 2004 р. на 872-му засіданні Комітету
Міністрів Ради Європи (статті 3, 4, 6), зазначено, що оскільки політичні діячі
та посадові особи, які обіймають публічні посади або здійснюють публічну
владу на місцевому, регіональному, національному чи міжнародному рівнях,
вирішили апелювати до довіри громадськості та погодилися «виставити»
себе на публічне політичне обговорення, то вони підлягають ретельному
громадському контролю і потенційно можуть зазнати гострої та сильної
громадської критики у засобах масової інформації з приводу того, як вони
виконували або виконують свої функції. До того ж зазначені діячі та особи не
повинні мати більшого захисту своєї репутації та інших прав порівняно з
іншими особами.
Статус публічних осіб прямо виокремлює ЄСПЛ. Європейський суд з
прав людини (наприклад, у справі «Лінгенс проти Австрії») зазначив, що
людина, стаючи публічним політиком, свідомо обмежує своє право на повагу
до приватного, сімейного життя і повинна бути терпимою навіть до жорсткої
критики. Посадові чи публічні особи мають право на захист свого приватного
життя, але межа захисту їх репутації повинна бути такою, щоб забезпечити й
вільне обговорення політичних та інших питань, пов’язаних з їх діяльністю
[61].
Звичайно, деякі напрями діяльності обов’язково передбачають
підвищену увагу з боку суспільства до публічних діячів: політика, естрада,
кінематограф, професійний спорт, пастирська діяльність, журналістика тощо.
Успішність таких осіб напряму залежить від суспільної думки про них, тому
вони свідомо, а інколи й на вимогу закону, розкривають перед громадськістю
частину приватної інформації про своє життя (наприклад, про розмір та
джерела своїх доходів, сімейний стан, рівень освіти, наявність судимості
тощо) [74, С. 179].
154
У рішенні Європейського суду з прав людини у справі «Українська
Прес-Група проти України» від 29 травня 2005 р. акцентується увага на тому,
що, обираючи професію, яка має публічний характер (політичний діяч),
особа залишає себе відкритою до суворої критики та пильного нагляду з боку
суспільства, у тому числі засобів масової інформації [11, С. 5].
Європейський суд з прав людини у своїх рішеннях наголошує, що у
громадськості є право бути поінформованим про аспекти приватного життя
публічних осіб («Karhuvaara and Iltalehti v. Finland» [199]). При цьому у
справах, що стосуються рішень державних органів обмежити поширення
інформації, що втручається у право на приватність публічних осіб, Суд
досліджує кілька аспектів, зокрема: наслідки оприлюднення інформації; чи є
інформація вже відомою громадськості; ступінь шкоди, що буде завдана
почуттям особи або її родини [195, p. 480]. Публічні особи, а надто
професійні політики, добровільно і свідомо “відкривають” кожне своє слово
та кожен вчинок для прискіпливого аналізу з боку журналістів та суспільства
загалом («Porubova v. Russia»23
). Проте публічні особи не позбавляються
повністю права на недоторканність їхнього приватного життя [78, с. 140]. У
цьому зв’язку Суд розрізняє повідомлення про факти, навіть контраверсійні,
які можуть зробити внесок, наприклад, у дискусію в демократичному
суспільстві щодо належного виконання політиками своїх функцій, та
повідомлення деталей приватного життя особи. Якщо у першому випадку
йдеться про забезпечення суспільного контролю за публічною владою та
поширення суспільно важливої інформації, то в другому – ні. Якщо
інформація стосується суто приватного життя особи і не може впливати на
суспільні інтереси, то втручання у право на приватність не буде необхідним
та допустимим («Von Hannover v. Germany»). Наприклад, отримання і
поширення приватної інформації про публічну особу виключно з метою
задовольнити цікавість публіки не може вважатися таким, що є необхідним
23
«Porubova v. Russia», заява № 8237/03, рішення від 08.10.2009, параграф 45
155
для дискусії з питань будь-якого загального суспільного інтересу (див., серед
інших, «Aleksey Ovchinnikov v. Russia») [78, с. 141].
На думку ЄСПЛ, свобода політичних дебатів перебуває в самому серці
побудови демократичного суспільства, що наскрізь пронизує Конвенцію.
Межа допустимої критики щодо такої публічної особи як політик є ширшою,
ніж щодо приватної особи. На відміну від останнього, перший неминуче та
свідомо йде на те, щоб усі його слова та вчинки були об’єктом пильної уваги
з боку журналістів та широкого загалу, тому має виявляти більшу
толерантність24
.
Так, у справі «Видавничий дім «Аксель Шпрінгер» проти Німеччини25
щодо порушення ст. 10 Конвенції про захист прав і основоположних свобод
(Свобода вираження поглядів), оприлюднене 07 лютого 2012 року. У цій
справі заявник «Видавничий дім «Аксель Шпрінгер», власник газети «BILD»,
оскаржив до суду рішення німецьких судів, відповідно до яких заявнику
заборонено публікувати статті щодо висвітлення фактів, пов’язаних з ім’ям
відомого німецького діяча культури щодо притягнення його до
відповідальності у зв’язку з незаконним обігом наркотичних засобів.
Німецькі суди таку заборону обґрунтовували тим, що публікації склали
серйозне втручання у право на захист прав особистості, в результаті
розкриття злочинної поведінки суб’єкта публікацій, у зв’язку з чим останній
був дискредитований в очах громадськості. Європейський суд з прав людини,
дослідивши обставини справи та положення Конвенції про захист прав і
основоположних свобод, дійшов висновків, протилежних тим, які зробила
німецька Феміда. Європейський Суд, досліджуючи баланс прав, визначених
ст. 8 та ст. 10 Конвенції, вказав: в той час як приватна особа, невідома для
громадськості, може вимагати особливого захисту свого права на приватне
життя, то публічних осіб така норма не стосується [142, С. 108-109].
24
Lingens v. Austria, № 9815/82, від 08.07.1986, Incal v. Turkey, № 22678/93, від 09.06.1998 25
ЄСПЛ, рішення у справі «Аксель Шпрінгер проти Німеччини» (Axel Springer AG v. Germany), №
39954/08 від 7 лютого 2012 р., пункти 90 та 91
156
Вартими уваги є й деякі інші рішення ЄСПЛ, у яких він аналізує межі
захисту приватного життя публічних осіб, зокрема, «Кроне Ферлаг ГмбХ і Ко
КГ” проти Австрії», «Фон Ганновер проти Німеччини», «Егеланд і Гансейд
проти Норвегії», «Асоціація візуальних художників проти Австрії», «Таммер
проти Естонії», «Штандард Ферлагс проти Австрії» «Видавництво “Плон”
проти Франції», «Фрессоз і Руар проти Франції», «Угорська спілка
громадянських свобод проти Угорщини». Європейський Суд з прав людини
наголошує на тому, що у громадськості є право бути поінформованою про
аспекти приватного життя публічних осіб (справа «Karhuvaara and Iltalehti v.
Finland») [19].
Варто погодитися також із тим, що звичайно, як публічні особи не
можуть розглядатися юридичні особи, оскільки за своєю суттю юридичним
особам не властива приватність (більше детально про це йшла мова в
першому розділі дисертації). І ще один важливий аспект – публічність
дитини, підлітка. Публічна особа повинна цілковито усвідомлювати свій
публічний статус та з розумінням ставитися до підвищеного інтересу з боку
суспільства до своєї діяльності, її результатів, чого навряд чи можна чекати
від дитини. Таким чином, коли справа стосується поширення інформації про
неповнолітню або малолітню особу, межа допустимої критики та засоби
такої критики повинні оцінюватися судом із урахуванням віку та психічного
розвитку дитини, можливості заподіяння шкоди психіці дитини поширенням
про неї відповідної інформації тощо [73, С. 15].
Водночас деякі особи стають відомими, навіть не бажаючи цього, просто
досягаючи значних успіхів у своїй справі (успішний бізнесмен, який відомий
тим, що набув значних статків, науковець, який отримав нобелевську премію
за свій винахід тощо). Виникає питання: чи зобов’язані такі особи нести тягар
публічності, пов’язаний з необхідністю відкривати суспільству частину свого
приватного життя? Відповідаючи на це питання, необхідно виходити з
наявності чи відсутності свідомого вибору особи бути публічною. Особи,
157
суспільна діяльність яких за своїми ознаками не є публічною, якщо
результати їх роботи отримали широкий суспільний розголос, мають право
претендувати на захист приватного життя нарівні зі звичайними особами і не
можуть повністю вважатися публічними особами в контексті ст. 10
Конвенції. Публічному обговоренню може бути піддана лише та інформація,
що безпосередньо стосується їх досягнень, які набули широкого суспільного
розголосу, та не може стосуватися інших сторін їх приватного життя, якщо
вони цього не бажають. З іншої сторони, якщо така особа всіляко афішує,
публічно рекламує свою діяльність, тобто свідомо виставляє своє життя
напоказ, то вона тим самим власноруч обмежує своє право на приватне життя
та може вважатися публічною особою в контексті ст. 10 Конвенції [74, С.
179].
Що стосується США, то можна згадати рішення Верховного Суду США
по справі «Hustler Magazine v. Falwell» (1988 р.). На думку Верховного Суду,
надмірна й перебільшена увага преси до життя публічних фігур не може бути
покладена в основу позовів щодо відшкодування моральних збитків (крім
випадків, коли така інформація містила б в собі очевидно брехливі свідчення
про факти, а її публікація була вчинена із прямим «злим умислом»). В.В.
Речицький стверджує, що американський захист приватного життя публічних
осіб здійснюється з суттєвими застереженнями. Сучасні американські закони
не звільняють журналістів від відповідальності за вторгнення в приватне
володіння публічної особи. Водночас вважається, що покарання за дії
подібного роду не повинні підривати існуючу в країні атмосферу свободи
слова й преси [126].
В українському законодавстві в контексті прав на інформацію, свободи
слова, недоторканності приватного життя чи захисту інформації про особу
згадки про публічних осіб немає. Термін «публічна особа» в українському
законодавстві не встановлений, натомість використовуються терміни
«службова особа», «посадова особа», «офіційна особа» тощо [174].
158
Водночас концепт «публічної особи» міцно вкорінений в зарубіжному
законодавстві і судовій практиці країн Заходу в сфері захисту права на
приватність. У цьому плані досить важливо проаналізувати його втілення в
українську правову дійсність, порівнюючи із західними підходами.
В українському інформаційному законодавстві натяк на публічних осіб з
певним акцентом на ту їх частину, яка пов’язана із державною владою,
міститься у ч. 2 і 3 ст. 5 Закону «Про захист персональних даних.
Окрім того, відкритість персональних даних кандидатів на вищі
державні посади гарантується низкою норм виборчого законодавства [139, С.
150]. Перелік осіб, які обіймають державні посади або користуються
державними ресурсами, за загальним правилом, визначається національним
антикорупційним законодавством. У ст. 3 Закону України «Про запобігання
корупції» встановлено перелік осіб, котрі займають посади, що вимагають
певної відповідальності перед суспільством, та які зобов’язані надавати
інформацію суспільству, зокрема інформацію щодо свого майнового стану.
О.О. Серебряник, аналізуючи цю норму, зазначає, що не всі наведені
категорії фізичних осіб можуть співвідноситися з публічною особою.
Наприклад, не кожний нотаріус може бути публічною особою. Тому з цього
переліку не всі особи будуть відноситися до публічних осіб, а лише відомі
широкому загалу, до яких існує суспільний інтерес та які користуються
державними ресурсами [142, С. 104-105].
Відповідно пропонується до осіб, що відіграють значну роль в
суспільному житті, відносити: кандидатів на виборні державні посади, осіб
шоу-бізнесу, відомих спортсменів, політиків та економістів, котрі
коментують життя суспільства у засобах масової інформації, письменників та
ін. Отже, публічними особами можна вважати фізичних осіб, які відомі
суспільству у зв’язку зі своєю діяльністю, поглядами, посадою. Їх відмінною
ознакою є публічність, тобто наявність особи на публіці. Публічна особа – це
особа, яка відома широкому загалу та обіймає посаду, пов’язану з
159
виконанням функцій держави або органів місцевого самоврядування,
посадових або службових повноважень; особа, котра користується
державними ресурсами; особа, яка відома у певних соціальних спільнотах
своїми поглядами, діяльністю [146< С. 106].
Оскільки до особистого життя публічних осіб спостерігається більш
високий рівень уваги та інтересу, ніж до життя пересічних українців, І.І.
Романюк пропонує на законодавчому рівні чітко визначити перелік таких
осіб, до якого необхідно включити, перш за все, осіб, що обіймають посади,
пов’язані з виконанням функцій держави або органів місцевого
самоврядування, посадових або службових повноважень, а також
пропонується встановити на рівні закону обсяг тих персональних даних,
ознайомлення з якими є допустимим у зв’язку зі здійсненням публічної
діяльності [139, С. 153; 140, С. 105].
На наш погляд, навряд чи таку ідею можна послідовно втілити в життя
шляхом надання виключного закритого переліку публічних осіб. Так чи
інакше, це поняття є оціночним. Критерії цього поняття виробляються
доктриною і судовою практикою з огляду, звичайно, також і на законодавчий
статус тих чи інших осіб.
Слід зазначити, що, не визначаючи і не згадуючи прямо термін
«публічна особа», законодавство України, однак, містить поняття
«інформація, що становить суспільний інтерес». Інформація про приватну
особу не може бути предметом суспільного інтересу [142, С. 103], а от про
публічну особу, – навпаки, – може. Отже, по суті обґрунтовувати нижчий
ступінь захисту інформації про публічних осіб можна не лише зверненням до
міжнародних договорів та практики ЄСПЛ, а й безпосередньо користуючись
вітчизняним законодавством. Термін «суспільно необхідна інформація»
міститься в Законі України «Про доступ до публічної інформації», а також у
Законі «Про інформацію». Відповідно до останнього суспільно необхідною
вважається інформація, яка є предметом суспільного інтересу, і право
160
громадськості знати цю інформацію переважає потенційну шкоду від її
поширення. (ч. 1 ст. 29).
Чи не вперше це поняття з’явилося ще в Законі України «Про
телебачення і радіомовлення» в редакції від 21 грудня 1993 р. (п. «з» ч. 1 ст.
37) та зберегло свою прописку в чинній редакції вказаного закону (п. «и» ч. 1
ст. 59). Ця норма стосується обов’язку телеорганізації не розголошувати
інформацію про приватне життя громадянина без його згоди, якщо ця
інформація не є суспільно необхідною. Також попередня редакція Закону
України «Про інформацію», починаючи від змін, внесених Законом від 3
квітня 2003 р. містила синонімічний термін – «суспільно значима
інформація» [105, С. 146].
Отже, як справедливо зазначає О.В. Нестеренко, потрібні критерії, за
якими інформацію про діяльність приватноправових юридичних осіб та про
інших осіб можна буде визнати такою, що є суспільно значущою [80, С. 126].
Ключовим для розуміння поняття «суспільно необхідна інформація» є
категорія суспільного інтересу. Ні вітчизняне законодавство, ні судова
практика не дає загального визначення поняття «суспільний інтерес».
Натомість Закон України «Про інформацію» закріплює перелік тем
інформації, яка вважається предметом суспільного інтересу, а саме
інформація, яка свідчить про загрозу державному суверенітету,
територіальній цілісності України; забезпечує реалізацію конституційних
прав, свобод і обов’язків, свідчить про можливі порушення прав людини,
введення громадськості в оману, шкідливі екологічні та інші негативні
наслідки діяльності (бездіяльності) фізичних або юридичних осіб (ч. 2 ст. 29)
[107, C. 146].
Варто погодитися із тим, що відсутність єдиного загального визначення
поняття «суспільний інтерес» і передбачення замість цього примірного
переліку тем інформації, яка є предметом суспільного інтересу, є
виправданим. Категорія «суспільний інтерес» є настільки багатогранною та
161
всеохоплюючою, що навряд чи може бути охоплена в межах єдиної загальної
дефініції [107, 147]. Суспільний інтерес своїм змістом може охоплювати
відомості про особисте життя фізичної особи, що, в свою чергу, призводить
до конфлікту двох інтересів: приватного – опосередкованого правом на
приватність; публічного – права суспільства знати інформацію (іншими
словами, право на свободу думки і слова, на вільне вираження своїх поглядів
і переконань) [107, С. 148].
Зокрема, за наявності виправданого суспільного інтересу правомірність
оприлюднення відомостей про особисте життя публічної особи буде
ґрунтуватися на реалізації свободи вираження поглядів [105, С. 110]. О.В.
Нестеренко пропонує використовувати як критерій трискладовий тест, що
працює, власне, не лише на закриття інформації, а й на її розкриття; саме він
фактично передбачений не лише у ч. 2 ст. 6 Закону України “Про доступ до
публічної інформації”, а й у ст. 29 Закону України “Про інформацію”, й саме
він надає певні орієнтири при вирішенні питання чи є інформація з
обмеженим доступом суспільно необхідною, тобто такою, яку громадськість
має право знати, незважаючи на те, що за своїм статусом ця інформація вже
має статус інформації з обмеженим доступом [81].
Водночас, як зазначає Д.Д. Луспеник, на жаль, судова практика дуже
рідко застосовує таке визначальне для цієї категорії справ законодавче
положення [60, С. 94]. Якщо ж проаналізувати українську судову практику,
то варто згадати постанову Пленуму Верховного Суду України від 27 лютого
2009 р. № 1 «Про судову практику у справах про захист гідності та честі
фізичної особи, а також ділової репутації фізичної та юридичної особи» (п.
21), де цитуються європейські рекомендації про ширший обсяг критики і
прискіпливе висвітлення їх слів та вчинків [2, С. 59-60; 109].
Т.М. Слінько, розглядаючи питання впливу практики ЄСПЛ на
інтерпретаційну діяльність КСУ, справедливо звертає увагу на рішення від 10
квітня 2003 р. (справа про поширення відомостей) [135], де зазначається:
162
«…Суд підкреслює, що межі допустимої інформації щодо посадових та
службових осіб можуть бути ширшими порівняно з межами такої ж
інформації щодо звичайних громадян. Тому, якщо посадові чи службові
особи діють без правових підстав, то мають бути готовими до критичного
реагування з боку суспільства» [147, С. 600].
Проте найбільш резонансним стало Рішення Конституційного Суду
України від 20 січня 2012 р. № 2-рп/2012. КСУ дав роз’яснення, що саме
слід розуміти під інформацією про особисте і сімейне життя посадової особи.
Щодо конфіденційності інформації про особу, яка займає посаду, пов’язану зі
здійсненням функцій держави або органів місцевого самоврядування, та
членів її сім’ї, КСУ вважає, що належність інформації про особу до
конфіденційної визначається у кожному конкретному випадку.
Позитивом цього рішення стало те, що КСУ визнав наявність такої
категорії, згадавши її у цьому рішенні і спробувавши її розтлумачити. КСУ
вважає, що реалізація права на недоторканність особистого та сімейного
життя гарантується кожній особі незалежно від різних обставин і ознак, у
тому числі «статусу публічної особи», під якими КСУ, зокрема, розуміє
статус державного службовця, державного чи громадського діяча, який
відіграє певну роль у політичній, економічній, соціальній, культурній або
іншій сфері державного та суспільного життя.
Отже, в даному Рішенні є орієнтовний перелік ознак, за якими можна
віднести ту чи іншу особу до публічної. І це є позитив. Водночас КСУ у
резолютивній частині, без жодних винятків (зокрема, щодо публічних осіб),
визначив, що збирання, зберігання, використання та поширення державою,
органами місцевого самоврядування, юридичними або фізичними особами
конфіденційної інформації про особу без її згоди є втручанням в її особисте
життя. Причому таке втручання допускається «винятково у визначених
законом випадках і лише в інтересах національної безпеки, економічного
добробуту та прав людини» [136].
163
Великим недоліком, і в цьому варто погодитися із О.О. Серебряник, що,
виходячи з такої позиції КСУ, право на особисте життя (в термінології
вченої) є більш пріоритетним порівняно з правом на свободу вираження
поглядів, і необхідного балансування цих прав національна правова система
та практика не забезпечує, що суперечить практиці Європейського суду з
прав людини. Рішення КСУ не визначає, у яких випадках інформація про
публічну особу підлягає оприлюдненню при збереженні балансу між правом
на повагу до особистого і сімейного життя та суспільним інтересом [142, С.
108-109]. Можемо стверджувати, що, на жаль, рішення КСУ не зробило
жодного прориву в розумінні природи публічних осіб, меж втручання в їх
особисте і сімейне життя.
Вкрай влучно згадане Рішення прокоментував В.В. Речицький. На
Заході посадові та службові особи мають відмінний від пересічних громадян
рівень захисту від зовнішнього інформаційного втручання. Водночас
високоповажний Конституційний Суд схиляє нас до думки, що такі публічні
особи «просто люди»[126]. Віповідно, за логікою КСУ, жодних
особливостей немає (або КСУ про них просто змовчав).
Що стосується практики судів загальної юрисдикції у сфері
застосування концепції публічних осіб, то аналіз судової практики дозволяє
стверджувати, що ця концепція активно застосовується. Переважна більшість
справ стосується висловлення оціночних суджень щодо публічних осіб і як
такого втручання в особисте і сімейне життя не стосується, оскільки не
пов’язане із судженнями про факти щодо такого особистого і сімейного
життя (див., напр., ухвалу Вищого спеціалізованого суду із розгляду
цивільних і кримінальних справ від 19 червня 2017 р. [163], ухвалу від 16
серпня 2017 р. [164]). Є також справи з приводу звернень до органів влади
щодо порушень публічними особами (ухвала Вищого спеціалізованого суду
із розгляду цивільних і кримінальних справ 28 серпня 2017 р. [165]).
164
Слід, разом із тим, констатувати, що суди разом із концепцією
публічних осіб водночас використовують концепцію «оціночних суджень»
ніби як доповнення одна одної. Проте, як правило, модус публічної особи
практично не впливає на рішення суду по суті, адже все одно спростування
оціночних суджень, відшкодування моральної і моральної шкоди були б
неможливими. Суди переважно формально цитують позицію ЄСПЛ щодо
більшої критики публічних осіб.
А от у випадку, коли особа звертається до відповідних органів із
заявою, в якій міститься та чи інша інформація, і в разі, якщо цей орган
компетентний перевіряти таку інформацію та надавати відповідь, проте в
ході перевірки інформація не знайшла свого підтвердження, вказана
обставина не може сама по собі бути підставою для задоволення позову,
оскільки у такому випадку має місце реалізація особою конституційного
права, а не поширення недостовірної інформації (п. 16 постанови Пленуму
Верховного Суду України від 27 лютого 2009 року № 1 «Про судову
практику у справах про захист гідності та честі фізичної особи, а також
ділової репутації фізичної та юридичної особи», рішення КСУ від 10 квітня
2003 р. (справа про поширення відомостей)).
Чи не найбільш резонансною справою, у якій йшлося про втручання в
особисте і сімейне життя публічної особи, оприлюднення інформації про
таку публічну особу, була справа колишнього голови Окружного
адміністративного суду м. Києва О.В. Бачуна. Про нього була видана
брошура, де містилася інформація про його житло, нерухомість, особистий
транспорт, наявність предметів розкоші, відпочинок та поїздки за кордон,
офіційні доходи тощо. В ухвалі від 13 квітня 2011 р. Вищий спеціалізований
суду із розгляду цивільних і кримінальних справ з цього приводу цілком
обґрунтовано зазначив таке:
«Позивач не навів доказів того, що поширена інформація, не мала
значного суспільного інтересу і стосувалася не лише його особистих
165
громадянських прав, але, у першу чергу, його діяльності на посаді голови
Окружного адміністративного суду м. Києва. У той же час він не
спростував твердження відповідачів про те, що позивач є публічною особою,
інформація про яку є суспільно значимою, а поширена інформація була
спрямованою на подолання негативних явищ у правосудді та обговорення
тих проблем, що пов’язані у тому числі із законодавчим забезпеченням
організаційного керівництва судами, контролю суспільства за діяльністю
суддів» [162].
Симптоматичним з огляду втручання в особисте і сімейне життя в
рамках кримінального судочинства. Так, Ковпаківський районний суд м.
Суми розглядав справу громадянина А. за обвинуваченням у злочинах,
передбачених статтями 182, 190, ч. 4 ст. 205, ч. 2 ст. 209, ч. 2 ст. 222 та ще
низкою статей КК України [14]. Суд визнав, що суб’єкт не винний у вчиненні
збирання, зберігання, використання чи поширення конфіденційної
інформації. Підсудний власноручно сфотографував власний автомобіль
прокурора фотографії додав до заяви-скарги, яку скерував до комітету з
питань боротьби з організованою злочинністю і корупцією при Верховній
Раді України для проведення перевірки на предмет придбання цього
автомобіля. Ніякої іншої інформації про прокурора, окрім фотографій його
автомобіля громадянин А. не направляв. Суд вирішив, що прокурор є
публічною особою правоохоронних органів, тому заява щодо проведення
перевірки на предмет законності придбання ним дорогого автомобіля не є
кримінально караним діянням. Ця інформація не може вважатися
конфіденційною, адже особа користується своїм автомобілем не таємно, і про
це може бути відомо широкому загалу. Прокурор за родом своєї діяльності
повинен бути готовий до надходження щодо нього аналогічних заяв.
З точки зору статусу публічних осіб становить певний інтерес
конституційне подання від 30 грудня 2015 р. щодо відповідності Основному
Закону низки положень Закону «Про запобігання корупції» щодо
166
електронного декларування, з яким звернулися 48 народних депутатів [48].
Парламентарі вважають, що статті цього нормативного акту порушують
конституційні принципи верховенства права, заборони втручання в особисте
життя і непоширення конфіденційної інформації [27]. Дійсно, український
закон, якщо його порівнювати із зарубіжними аналогами, встановлює досить
високі стандарти відкритості та прозорості інформації про окремі категорії
публічних осіб. Не беремося однозначно стверджувати про конституційність
всіх його положень, проте принципово заперечувати проти відповідного
законодавчого механізму важко26
.
Крім цього, звернімо увагу на ініціативу громадських організацій щодо
оскарження в Конституційному Суді України електронного декларування
для антикорупційних активістів. Відповідна заява, підписана 86
громадськими організаціями, 29 березня 2018 р. опублікувана організацією
"Реанімаційний пакет реформ" [17]. Як відомо, 27 березня 2017 р. Президент
України підписав зміни до Закону «Про запобігання корупції», згідно з якими
члени антикорупційних громадських організацій зобов'язані подавати
електронні декларації. Закон набув чинності 1 січня 2018 р. Причому є
досить вагомі сумніви щодо пропорційності відповідного втручання в сферу
приватності, навіть якщо в певних випадках такі активісти і мають статус
публічних осіб. Передусім, якщо враховувати трискладовий тест, тут
відсутня легітимна мета і необхідність у демократичному суспільстві. Так, у
США та країнах ЄС вимоги щодо декларування доходів поширюються на
юридичних осіб (неприбуткові організації), а не на фізичних осіб.
Отже, із зазначеного можна зробити такі висновки:
1. Публічними особами традиційно вважаються фігури в сфері
політики, публічної влади, громадського життя, спорту, мистецтва тощо, які є
широко відомими і діяльність яких становить суспільний інтерес.
Публічними можуть також бути особи в силу резонансності певних подій 26
Див. з цього приводу також: [19].
167
(вчинення ДТП тощо), що привертають суспільну увагу. Практика західних
країн йде шляхом меншого захисту приватності публічних осіб порівняно з
особами приватними. Разом із тим у кожному конкретному випадку має
застосовуватися трискладовий тест. На практиці ЄСПЛ аналізує корисність
втручання з позицій «сприяння публічним дебатам з питань загальної
важливості»;
2. Концепт «публічної особи» міцно вкорінений в зарубіжному
законодавстві і судовій практиці країн Заходу в сфері захисту права на
приватність. Водночас українське законодавство статус публічних осіб при
регулюванні питання захисту інформації про особу не виокремлює, натомість
воно містить лише поняття «суспільно необхідна інформація», яке можна
розуміти, в тому числі, і з позицій можливості легітимного втручання в
приватне життя публічних осіб. Концепція публічних осіб активно
застосовується в українській судовій практиці, яка орієнтується на
міжнародні стандарти, а також практику ЄСПЛ;
3. На наш погляд, на законодавчому рівні чітко визначити вичерпний
закритий перелік публічних осіб або ж встановити персональні дані таких
публічних осіб, ознайомлення з якими є допустимим у зв’язку з їх
публічною діяльністю навряд чи є можливим, а також доцільним. Так чи
інакше поняття публічної особи є оціночним. Критерії цього поняття
виробляються доктриною і судовою практикою з огляду, звичайно, і на
законодавчий статус тих чи інших осіб, Європейську конвенцію з прав
людини, практику ЄСПЛ, національну традицію в кожній державі;
4. Український закон «Про запобігання корупції», якщо його
порівнювати із зарубіжними аналогами, встановлює досить високі стандарти
відкритості та прозорості інформації про окремі категорії публічних осіб. Не
беремося однозначно стверджувати про конституційність всіх його
положень, проте принципово заперечувати проти відповідного законодавчого
механізму важко;
168
5. Електронне декларування для антикорупційних активістів,
передбачене Законом «Про запобігання корупції», згідно з якими члени
антикорупційних громадських організацій зобов'язані подавати електронні
декларації, викликає сумніви в своїй конституційності. Є досить вагомі
сумніви щодо пропорційності відповідного втручання в сферу приватності,
навіть якщо в певних випадках такі активісти і мають статус публічних осіб.
Передусім, якщо враховувати трискладовий тест, тут відсутня легітимна мета
і необхідність у демократичному суспільстві.
2.4. Спеціалізовані механізми захисту інформації про особу: досвід
зарубіжних країн і України
Світова практика, що так чи інакше стосується захисту інформаційної
приватності, демонструє тенденцію щодо створення спеціалізованих
уповноважених органів, які опікувалися би цими питаннями. Якщо говорити
про національні підходи зарубіжних і передусім, європейських держав до
інституціоналізації уповноважених органів щодо захисту інформації про
особу (персональних даних), то вони доволі різноманітні.
Варто також наголосити, що сфера захисту інформації про особу тісно
пов’язана з інформаційною сферою, а також приватним життям загалом
(прайвесі). Тому саме уповноважений орган, що спеціалізується на захисті
інформації про особу, може бути наділений більш широкою компетенцією –
здійснювати захист права на приватність в цілому, або ж мати додаткову
компетенцію (окрім власне захисту інформаційної приватності) в сфері
захисту права на доступ до публічної інформації.
Наразі інститут уповноважених із захисту персональних даних
(наглядових органів) ґрунтується на принципах інституту омбудсмана і являє
собою розвинену самостійну незалежну структуру, яка доповнює традиційні
169
інститути державної влади [155, С. 127]. Започаткування інституту
уповноваженого із захисту персональних даних (Bundesbeauftragter fur den
Datenschutz) відбулося в Німеччині, коли в 1970 році Землі Гессен вперше у
світі був прийнятий цільовий Закон “Про захист даних” [6, С. 29]. Сьогодні в
ФРН діє Федеральний комісар із захисту даних та свободи інформації на
підставі Закону «Про захист даних» 2009 р. [65, с. 60], а до цього існувала
Федеральна комісія із захисту персональних даних (Virtuelles
Datenschutzburo), яка відповідала за виконання Федерального закону про
захист даних 2001 року (Bundesdatenschutzgesetz).
Проблеми захисту інформації, що особливо актуалізувалася у 1980-х рр.
в інших європейських країнах, безумовно, потребувала свого вирішення, тож
створюються нові для того часу інституції. Так, У Франції з’являється в 1978
р. Національна комісія інформатики і свободи (Commission National de
Informatique et des Libertes), у 1979 р. – у Данії – Данське Агентство із
захисту даних (Danish Data Protection Agency (Datatilsynet)), а в 1980 р. в
Австрії – Агенство з інформатики та індивідуальних свобод
(Datenschutzkommission).
Сьогодні практично в усіх державах-членах Ради Європи та Євросоюзу
створені національні органи: Уповноважені з питань приватності (права на
недоторканність приватного життя) або спеціальні комісії (агентства) із
захисту персональних даних, які здійснюють моніторинг застосування та
забезпечення дотримання законодавства про захист персональних даних У
межах своїх територій.
Кілька держав-членів (наприклад, Австрія, Нідерланди) створили орган
із захисту даних із загальною компетенцією і кілька наглядових органів в
інших галузях (наприклад, у галузі охорони здоров'я або телекомунікацій). У
країнах, що мають федеративний устрій або суттєві повноваження на
регіональному рівні (наприклад, Німеччина, Іспанія), існують поряд із
національним наглядовим органом субрегіональні органи, на які покладено ті
170
самі функції, що й на регіональному або федеральному рівнях. Нагадаємо,
що в деяких країнах, наприклад, Румунії, до створення національних органів
із захисту персональних даних обов'язок контролювати дотримання права на
недоторканність приватного життя було покладено на інститут омбудсмана, а
в деяких державах-членах, наприклад, Фінляндія, омбудсман, як і раніше,
підтримує відповідну функцію щодо захисту особистих даних [155, С. 134-
135].
Цим органам і омбудсману у відповідних країнах надано суттєві
повноваження: уряд має консультуватися з ними при розробці законодавства,
пов’язаного з обробкою інформації персонального характеру, вони також
мають право проводити розслідування і отримувати доступ до інформації, що
стосується їхнього розслідування, вимагати знищення інформації або
забороняти її обробку, звертатися до суду з позовами, розглядати скарги і
вимагати звіти від посадових осіб. На них покладено функції щодо правової
освіти населення та підтримання міжнародних зв’язків у галузі захисту і
передачі даних. Органи влади, що є операторами баз даних, отримують
відповідні ліцензії у уповноважених з питань прайвесі та захисту даних [144,
С. 282].
У Великій Британії діє інститут Уповноваженого з питань захисту
персональних даних, який функціонує відповідно до Закону «Про захист
даних» від 12 липня 1984 р. Цей Закон визначив посади Міністра із захисту
даних, Реєстратора із захисту даних і створив Суд із захисту даних. Будь-яка
особа вправі звернутися з апеляцією до Суду із захисту даних у разі
відмовлення Реєстратора розглянути скаргу про порушення законодавства
[65, с. 61]. Паралельно у 2005 р. з набранням чинності Закону «Про свободу
інформації» у Великій Британії з’явився Комісар з питань інформації [80, С.
218].
Канадський Уповноважений із захисту даних (Комісар з
конфіденційності (PIPEDA) несе відповідальність за дотримання
171
інформаційних прав людини, закріплених у законодавстві, а також за
дотримання своїх обов’язків операторами даних. Цей Уповноважений
призначається урядом і є незалежним у здійсненні його функцій. Особи, які
вважають, що їхні права ущемлені, можуть подати скаргу до комісара, який
розслідує це питання і може здійснювати будь-які заходи, необхідні для його
врегулювання. Уповноважений забезпечує недоторканність приватного
життя канадців. До його повноважень належить: а) розслідування скарг,
проведення перевірок та подача судових позовів у рамках двох федеральних
законів; а) інформування громадськості про практику поводження державних
і приватних організацій з персональними даними; в) підтримка, проведення
та публікація результатів досліджень з питань прайвесі; г) підвищення
обізнаності громадськості та розуміння існуючих проблем щодо
інформаційного прайвесі; проведення освітніх семінарів та практикумів [144,
С. 283-286].
На рівні канадських провінцій є незалежні Комісаріати з питань
конфіденційності, які в першу чергу відповідають за дотримання законів про
захист персональних даних, але їх штат і бюджет різноманітні [155, С. 145].
Вивчення й аналіз такого проблемного аспекту, як додержання певного
розумного збалансування приватного і публічного інтересів у інформаційній
сфері, дозволило А. Пазюку зробити висновок, що саме «необхідність
встановлення справедливого балансу між такими конкуруючими правами, як
право на приватність і право на свободу інформації, зокрема, є однією з
причин, яка обумовила покладання на Уповноваженого із захисту даних
Канади і Угорщини, функції нагляду за дотриманням права на вільний
доступ до інформації, що становить суспільний інтерес» [90, С. 26].
У Франції інститут Уповноваженого із питань захисту персональних
(“номінативних”) даних запроваджений на підставі Закону “Про
інформатику, картотеки та свободи” від 06 січня 1978 р. Закон поширюється
172
на процеси автоматизованого збирання, обробки, зберігання і поширення
персональних даних [6, С. 30-31].
Інститут Уповноваженого із питань захисту персональних даних в
Угорщині функціонує на підставі Закону “Про захист інформації про особу і
доступ до інформації, що становить суспільний інтерес” від 10 листопада
1992 р. Закон визначив виборну посаду Парламентського Комісара із захисту
інформації (Омбудсмен), що діє згідно з положеннями Закону «Про
Парламентського Комісара по правах громадян» [6, С. 32].
В Естонії як установа державного нагляду дії Інспекція з захисту даних,
основним призначенням якої є, з одного боку,, захист особистих даних
(недоторканність особистого життя), з другого – забезпечення дотримання
положень Закону «Про публічну інформацію». За офіційними даними,
Інспекція почала свою діяльність у лютому 1999 р. Вона була створена при
Міністерстві внутрішніх справ (з 1 січня 1997 р. до лютого 1999 р. цим
займався відділ захисту даних Міністерства внутрішніх справ). З лютого 2007
р. Інспекція та законодавство із захисту даних входять у сферу
відповідальності Міністерства юстиції. Правовий статус Інспекції
визначається Законами Естонії «Про захист персональних даних» та «Про
публічну інформацію» [41]. Очолює цю інституцію голова, якого призначає
уряд за поданням міністра юстиції після схвалення цієї кандидатури
Конституційною комісією Парламенту Естонії (Рійгікогу) строком на п’ять
років p[80, С. 197-198].
Також у багатьох державах-членах Ради Європи та ЄС створені
колегіальні органи нагляду (контролю) за діяльністю Уповноваженого
органу, що мають назву – комісія, колегія чи рада із захисту даних [99, С. 16].
Це спеціальна інстанція для розгляду певних категорії справ у сфері
персональних даних. За Законом Швейцарії, на Федерального
Уповноваженого із захисту даних покладаються функції з ведення реєстру
баз даних, нагляду за дотриманням правил поводження з даними, захисту
173
прав суб’єктів даних. У разі встановлення порушень він ухвалює відповідні
рекомендації. Однак у разі їх невиконання, Уповноважений може звернутися
до Федеральної комісії з захисту персональних даних, яка виносить рішення,
що має силу судового. Крім того, Федеральна комісія розглядає апеляції на
рішення органів влади федерації і кантонів у галузі захисту персональних
даних. Уповноважений із захисту даних Фінляндії здійснює контроль за
дотриманнями правил поводження з персональними даними і розслідування
за заявами осіб. А колегія з захисту даних Фінляндії вирішує суперечки і має
право визначати, коли персональні дані можуть передаватися за кордон
країни [90, С. 24]. У Великій Британії діє, як вже було зазначено, Суд із
захисту даних.
В окремих країнах існують унікальні (нетипові) інституційні форми.
Так, в Ізраїлі у структурі Міністерства юстиції діє Реєстраційне бюро баз
даних, а в Південній Кореї повноваження щодо контролю за виконанням
Закону «Про захист персональної інформації, що перебуває у віданні органів
влади, надано Міністерству урядової адміністрації та внутрішніх справ. В
Італії питаннями захисту персональних даних займається спеціальний
наглядовий орган – Garante. У Росії уповноваженим органом із захисту прав
суб’єктів персональних даних є Федеральна служба з нагляду у сфері зв’язку,
інформаційних технологій і масових комунікацій (Роскомнагляд27
), а саме
одне з її управлінь – Управління із захисту прав суб’єктів персональних
даних. Однак незважаючи на специфіку таких інституційних форм, майже всі
вони позиціонуються в законодавстві як незалежні органи [144, С. 288].
Подібні національні органи існують в Австралії, Аргентині, Гонконгу
(спеціальний адміністративний район КНР), Канаді, Новій Зеландії. В
окремих країнах функції щодо захисту інформації про приватне життя особи
покладено на один або кілька державних органів, зокрема, на Міністерство
27
Діяльність цього органу, до речі, викликає багато питань з позиції необґрунтованого
втручання в сферу свободи слова.
174
юстиції (Перу), Міністерство зв'язку та комунікацій (В'єтнам) або Агентство
з розвитку інформації та комунікацій (Сінгапур), Федеральну торгову
комісію (США), Комісію з питань захисту громадян (Чилі) та ін. А,
наприклад, в Аргентині існують переважно два механізми для забезпечення
дотримання права на приватне життя і захист персональних даних: в
адміністративному порядку через Національну дирекцію із захисту
персональних даних (NDDP); в судовому порядку шляхом видачі судового
наказу Habeas Data чи інших дій [155, С. 143].
Не завжди ці специфічні (нетипові) механізмі в чистому вигляді можна
віднести до спеціалізованих уповноважених органів по захисту
інформаційної приватності. Дуже часто йдеться лише про те, що відповідні
повноваження покладаються на певний орган, поряд з цим він здійснює
багато повноважень в інших сферах. Так, наприклад, окремо слід згадати в
цьому контексті про США. Варто відзначити, що Федеральна торгова комісія
США і Генеральні прокурори окремих штатів проводять розслідування і
висувають звинувачення про порушення законодавства про захист прав
споживачів і про недобросовісну конкуренцію, проте лише в окремих,
широко відомих справах і лише після звернення окремих суб’єктів даних.
Приватні судові позови, як індивідуальні, так і колективні, навпаки, дуже
поширені і становлять значно більшу загрозу. Ця обставина пояснюється
тим, що присуджені компенсації можуть бути досить значними [21, с. 60,
280].
Якщо ж йдеться про власне загальноєвропейські стандарти щодо
уповноважених органів у сфері захисту інформації, то слід звернути уваги на
те, що Конвенція Ради Європи про захист фізичних осіб при автоматизованій
обробці персональних даних ETS № 108, хоча й вказала на необхідність
призначення (або створення) одного або декількох органів, що здійснюють
функції з реалізації її принципів (ст. 13), проте не передбачила чіткої
регламентації питань, пов'язаних з правовим статусом і обсягом повноважень
175
національних органів, що здійснюють захист прав суб'єктів персональних
даних, і реалізації положень прийнятого внутрішнього законодавства.
Щоб унормувати зазначені питання, 8 листопада 2001 р. прийнято
Додатковий протокол ETS № 181183 до Конвенції, яким визначено
необхідність кожній державі-учасниці передбачити у своєму національному
законодавстві один (або більше) наглядовий орган, з покладанням на нього
відповідальності за забезпечення виконання заходів на основі застосування
принципів, закріплених у главах II і III Конвенції та Додаткового протоколу.
При цьому ст. 1 Додаткового протоколу до національних наглядових органів
покладаються три основні групи повноважень:
1) проведення розслідувань та втручань, з правом висувати судові
справи або залучити компетентні судові органи при порушенні положень
внутрішнього права, що забезпечує виконання вищезазначених міжнародних
принципів;
2) розглядання заяв з боку будь-якої особи щодо захисту його / її прав та
свобод у зв'язку із обробкою персональних даних у межах своєї компетенції;
3) здійснення співробітництва з іншими наглядовими органами в тій
мірі, в якій це необхідно для виконання своїх обов'язків, зокрема, шляхом
обміну необхідною інформацією [155, С. 124, 126].
Десятиріччя, що минули з часу прийняття Конвенції РЄ № 108,
показали, що інститут Уповноваженого з питань захисту персональних даних
не лише зберігся, а й дістав поширення у всіх західноєвропейських країнах
[5, С. 35]. Одночасно Додатковим протоколом закріплений важливий, але
такий, що викликає найбільшу кількість суперечок принцип, згідно з яким
наглядові органи повинні виконувати свої функції в умовах повної
незалежності [155, С. 126-127].
Про «повну» незалежність наглядової органу йдеться в ст. 28 Директиви
№ 95/46 / ЄС Європейського Парламенту та Ради Європейського Союзу «Про
захист фізичних осіб при обробці персональних даних і про вільний рух
176
таких даних» [191]. Незалежність органів влади з питань захисту
персональних даних гарантується також ст. 8 (3) Хартії основних прав ЄС.
Це останнє положення конкретно розглядає контроль з боку незалежного
органу, як суттєвий елемент основного права на захист персональних даних
[108, С. 126].
У цілому, аналізуючи повноваження різних національних органів із
захисту даних, науковці виділяють дві загальні тенденції, що відображають
підходи зарубіжних країн щодо захисту персональних даних. Так, у деяких з
них (наприклад, у Великій Британії, Ірландії, Фінляндії, Швеції) роль
наглядових органів у сфері забезпечення персональних даних виключно
превентивна, запобіжна. В інших державах (наприклад, у Греції, Латвії,
Чехії) першочергове значення має реагування правоохоронних органів на вже
виявлений факт порушень і функція контролю органу захисту персональних
даних за додержанням законодавства про захист персональних даних. У
зв'язку з цим і характер повноважень, покладених на органи контролю, є
різнобічним, з перевагою «м'яких» профілактичних інструментів у першому
випадку та більш «жорстких» заходів у другому випадку [155, С. 151]. З
огляду на це слід погодитися і визнати слушним зауваження про те, що
аналізуючи ефективність засобів правового захисту, доступних в рамках
якоїсь юрисдикції, інструменти правового захисту повинні оцінюватися в їх
контексті [108, С. 128].
Загалом в Європі органи по захисту прав суб’єктів персональних даних
грають відносно активну роль в нагляді за виконанням законодавства про
захист персональних даних, вимагаючи надання попередніх повідомлень і
отримання згоди суб’єктів даних, а також проводячи відповідні перевірки
[21, с. 278-279].
На важливу тенденцію в діяльності таких органів звертає увагу А.Пазюк,
вказуючи, що в деяких країнах, наприклад, у Нідерландах, наглядовий орган
поряд з іншими функціями виконує в певному сенсі і регулятивну роль, яка
177
полягає в тому, що він затверджує т. зв. Кодекси «чесної інформаційної
практики» із сертифікуванням запропонованих ними правил на їх
відповідність вимогам національного права, яким регулюється сфера захисту
персональних даних. Вчений наголошує, що зазначена тенденція є
характерною і для неєвропейських країн і наводить приклад Гонконгу, де
відповідно до національного Закону «Про захист даних» 1995 р. ухвалено два
Кодекси: «Про практику у відношенні до номерів посвідчення особи» (1997
р.) і «Про дані стосовно кредитоспроможності споживачів» (1998 р.). Він
робить важливе узагальнення про те, що більшість країн у своєму
законодавстві містять положення про надання наглядовому органу право у
той чи інший спосіб впливати на процес підготовки регулятивних актів
шляхом подання пропозиції або зауважень стосовно проектів нормативних
актів, що спрямовані на сферу, в якій можуть розглядатися інтереси громадян
щодо захисту приватного життя [90, С. 23-24].
Таким чином, американська і європейська модель захисту персональних
даних яскраво відбивається і на відповідних спеціалізованих механізмах. В
США такі спеціалізовані механізми повністю відсутні (частково до цього
процесу залучена Федеральна торгова комісія з досить обмеженими
повноваженнями і незначною реальною роллю у відповідному захисті
інформаційної приватності). Це пояснюється значною роллю приватно-
правових механізмів (подання позовів і відшкодування шкоди). Натомість
для Європи характерною є велика роль публічно-правових механізмів,
повсюдність таких спеціалізованих органів по захисту інформації про особу,
а також наявність у таких органів досить широких регламентарних,
наглядових та контрольних повноважень. Ця тенденція проявляється як на
національному рівні, так і останніми роками знайшла своє відображення на
рівні європейських нормативних документів і договорів.
Останньою знаковою подією стосовно регулювання діяльності
спеціалізованих уповноважених органів із захисту персональних даних в
178
європейському праві стало прийняття ЄС у 2016 р. «Пакета захисту даних»,
згідно з яким у всіх країна-членах ЄС та країнах, пов’язаних економічними
відносинами з державами – членами ЄС, мають бути утворені спеціальні
державні інститути (один або декілька) із контролю за дотриманням прав у
сфері захисту персональних даних [100, С. 42].
Організаційно-правове та методологічне забезпечення мають
здійснювати національні Уповноважені органи контролю захисту
персональних даних, мають бути незалежними, підпорядкованими закону та
підзвітними парламенту. Національні Уповноважені органи призначають
контролерів, які визначають цілі й засоби обробки персональних даних, що
здійснюється фізичною або юридичною особою, державним органом,
установою або іншим органом («процесором»), що обробляє персональні
дані за його дорученням. Кожен контролер («процесор») на підприємствах та
в організаціях з чисельністю працівників понад 250 чоловік повинен вести
облік діяльності з обробки персональних даних.
У корпораціях, підприємствах, організаціях тощо або їх об’єднаннях
усіх форм власності має бути призначений спеціаліст із захисту даних.
Держави – члени ЄС, національні наглядові органи також мають заохочувати
розробку кодексів поведінки у сфері захисту персональних даних, створення
механізмів сертифікації захисту даних, а також здійснювати моніторинг їх
виконання [100, с. 45].
Відповідно до правил нового порядку захисту персональних даних у
державах – членах ЄС (Глава VI Регламенту (ЄС) 2016/679 від 27 квітня 2016
р.), кожна держава-член повинна мати незалежний контролюючий орган (SA)
для розслідування скарг, застосування санкцій з правопорушень,
співробітництва з іншими SA, забезпечення взаємної допомоги та організації
спільних операцій щодо захисту персональних даних [8, C. 55]. Таким чином,
новий Регламент повторює тезу про незалежність національного
контролюючого органу, який має бути в кожній країні.
179
Слід наголосити, що не лише закон, згідно з яким створено наглядовий
орган має містити положення про гарантії забезпечення незалежності, але й
організаційна структура органу такого має насправді демонструвати
незалежність. Відповідні норми законодавства ЄС щодо незалежності
уповноваженого органу були неодноразово застосовані Судом ЄС
(«Європейська комісія проти Федеративної Республіки Німеччина», C-
518/07, 9 березня 2010 р., «Європейська комісія проти Республіки Австрія»,
16 жовтня 2012 р., C-614/10, «Європейська комісія проти Угорщини», 8
квітня 2014 р., C-288/12) 28
. Ця практика Суду є досить корисною для
розуміння оптимальної моделі незалежності українського уповноваженого
органу в сфері захисту персональних даних. Передусім йдеться про кадрові
призначення, «вмотованість» органу в урядову вертикаль тощо.
Зрозуміло, що незалежність і, за великим рахунком, ефективність роботи
органів із захисту персональних даних залежить, зокрема, й від їх
фінансування. Відомо, що в країнах-членах ЄС такі органи функціонують за
рахунок державного бюджету (наприклад, Італія, Нідерланди, Франція,
Естонія). У деяких державах-членах наглядові органи можуть значно
збільшити свої фінансові ресурси за рахунок доходів, отриманих від
грошових санкцій у вигляді пені за виявлені порушення законодавства про
захист персональних даних (наприклад, Люксембург, Мальта). В ряді держав
(наприклад, Австрії, Італії, Португалії, Румунії, Франції) на підставі
національних досліджень визначено як проблему відсутність достатнього
фінансування наглядового органу. В інших країнах (наприклад, Данія,
Ірландія) орган захисту даних на даний час отримує достатнє фінансування і
скорочення бюджету не встановлено [155, С. 137-138]. Проте навряд чи
фінансування цього органу за рахунок грошових санкцій є оптимальним
варіантом.
28
Більш детально див.: [65, с. 66-67; 108, С. 126-128]
180
Окрім національних органів, у самій Раді Європи (www.coe.fr) діють
Уповноважений з прав людини, який призначається та звітує перед
Європейською Комісією з прав людини, та Комісар із захисту персональних
даних (Уповноважений з питань захисту персональних даних), який
призначається та звітує перед Парламентською Асамблеєю Ради Європи.
Комісар із захисту персональних даних, з відповідною організаційною
структурою (органом контролю), має вирішувати всі питання щодо захисту
персональних даних. Керівники вказаних інститутів РЄ підпорядковуються
Генеральному секретарю Ради Європи [100, с. 43].
Звертаючись до українських реалій, зазначимо, що вітчизняний досвід
створення спеціальної інституційної структури, на яку покладено обов’язок
контролю над законністю операцій з персональними даними та здійснення
захисту прав їх суб’єктів, багато в чому схожий з європейським. Одразу ж
після набрання чинності Законом «Про захист персональних даних» було
створено Державну службу України з питань захисту персональних даних.
Проте основною критичною характеристикою статусу Уповноваженого
органу, що виділялася, є його «залежність» від інших владних структур у
силу його входження в систему виконавчої влади України [129, С. 624].
Водночас цей механізм був вкрай неефективним, та й взагалі
невиправданим. Так, за час існування процедури реєстрації баз персональних
даних до ДСЗПД з кінця 2011 року надійшло близько 1 412 000 заяв про
реєстрацію баз персональних даних. З них службою з кінця 2011 до середини
2013 року було зареєстровано близько 70 000. Відтак, процедура реєстрації
не виправдала свого існування [65, с. 82].
Враховуючи досвід функціонування системи захисту персональних
даних в Україні, 3 липня 2013 р. Верховна Рада України прийняла Закон
України «Про внесення змін до деяких законодавчих актів України щодо
удосконалення системи захисту персональних даних», який набув чинності 1
січня 2014 року. Цим Законом скасовувалася процедура реєстрації баз даних,
181
замість неї вводилася процедура повідомлення про такі бази, і лише в якщо
вони охоплюють чутливі персональні дані, а функції із контролю за
дотримання законодавства у цій сфері покладено на Уповноваженого
Верховної Ради України з прав людини. З метою забезпечення виконання
функцій контролю за виконанням законодавства в сфері захисту
персональних даних у Секретаріаті Уповноваженого Верхової Ради України з
прав людини створено Департамент з питань захисту персональних даних.
Слід вказати на те, що заміна процедури реєстрації баз персональних
даних на повідомлення Уповноваженого Верховної Ради України з прав
людини про обробку персональних даних, яка становить особливий ризик
для прав і свобод суб’єктів персональних даних, визначена ст. 9 Закону,
досить критично оцінюється фахівцями.
Взагалі необхідність такого повідомлення саме щодо баз персональних
даних, які становлять особливий ризик, випливає з ст. 6 “Особливі категорії
даних” Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою
обробкою персональних даних, у якій передбачається, що персональні дані,
які свідчать про расову належність, політичні, релігійні чи інші переконання,
а також дані, що стосуються здоров’я або статевого життя, дані щодо
судимості особи не можуть піддаватися автоматизованій обробці, якщо
внутрішнє законодавство не забезпечує відповідних гарантій. Такою
гарантією і мало б стати відповідне повідомлення.
Як слушно зазначає К.С. Мельник, є сумнів щодо доцільності заміни
однієї процедури на іншу процедуру фактично з однією ж суттю, проте
різними назвами. З прийняттям Закону України “Про захист персональних
даних” була запроваджена процедура реєстрації баз персональних даних, яка
з роками виявила свою низьку ефективність. Натомість процедура,
запропонована у новій редакції ст. 9, містить низку суперечливих моментів.
Незрозуміло з якою метою запроваджується процедура повідомлення про
обробку персональних даних, яка становить особливий ризик для прав і
182
свобод суб’єктів персональних даних. Тому в літературі висловлюється
сумнів щодо доцільності запровадження відповідної процедури, а також є
пропозиція виключити положення статті 9 Закону [68, С. 39].
Процедуру повідомлення в такому вигляді, як вона існує станом на
сьогодні, вважають абсолютно неефективною і самі представники
Уповноваженого Верховної Ради України з прав людини [4, С. 129-130].
Причиною такої ситуації є хибне розуміння авторами цього Закону
сутності процедури повідомлення, яка в дуже спотвореному вигляді була
запозичена з Директиви ЄС. У цьому зв’язку варто зазначити, що процедура
повідомлення контролюючого органу (або, якщо точніше, попередніх
консультацій володільця з контролюючим органом) уже стала звичним
явищем серед європейських держав. Так, відповідно до ст. 20 Директиви
держава повинна визначити операції з обробки даних, які можуть становити
певний ризик для прав і свобод суб’єктів персональних даних. Перед
початком таких операцій контролюючий орган повинен перевірити їх
відповідність законодавству про захист персональних даних. Для цього
володілець повинен самостійно повідомити контролюючий орган про те, що
він планує здійснювати такі операції та узгодити їх порядок. Звідси логічно
випливає, що результатом такої перевірки може бути або заборона таких
операцій, або видання розпорядження щодо їх модифікації/зміни.
Окремо слід наголосити, що, відповідно до частини третьої вказаної
статті Директиви, аналогічні зобов’язання можуть покладатися на «заходи
національного парламенту та заходи, які базуються на таких законодавчих
заходах». Відтак, як парламент перед прийняттям законів, так і уряд та
міністерства перед прийняттям на цій підставі законів, інших нормативно-
правових актів зобов’язані забезпечувати їх перевірку контролюючим
органом на предмет відповідності Закону та Конвенції. Метою таких
положень є недопущення та запобігання можливим порушенням
законодавства про захист персональних даних [4, С. 130].
183
У європейських країнах створено систему державного захисту
недоторканності особистого життя в умовах автоматичної обробки
персональних даних. Так, у законодавстві Франції, Швеції, Угорщини,
Польщі, Німеччини основним способом правового захисту персональних
даних є облік операторів, що здійснюють обробку таких даних. Причому у
Франції та Швеції як особливий захід державного захисту недоторканності
особистого життя введено обов’язкове ліцензування діяльності з обробки
персональних даних. Завдяки тому, що законодавство Польщі й Німеччини
передбачає порядок реєстрації баз даних значно спрощується легалізація
операторів обробки персональних даних [30, С. 203].
Варто зазначити, що Уповноважений Верховної Ради України з прав
людини має чотирнадцять блоків повноважень у сфері захисту персональних
даних. Основні повноваження спрямовані на проведення планових і
позапланових перевірок, розроблення рекомендацій щодо практичного
застосування законодавства у сфері захисту персональних даних, взаємодії з
органами структурними підрозділами та відповідальними особами й іншими
органами державної влади, складення протоколів щодо порушення
законодавства у сфері захисту персональних даних, взаємодію з іноземними
суб’єктами щодо виконання конвенцій і міжнародних договорів.
У свою чергу, під час унесення змін до Закону України «Про захист
персональних даних» блок повноважень щодо реєстрації баз персональних
даних і ведення Державного реєстру баз персональних даних від Державної
служби у сфері захисту персональних даних до Уповноваженого Верховної
Ради України переданий не був, що свідчить про те, що станом на сьогодні
питання реєстрації баз персональних даних і ведення відповідного реєстру
залишаються недостатньо не врегульованими чинним вітчизняним
законодавством [82, С. 179].
Цілком очевидною є потреба усунення такої прогалини шляхом якомога
скорішого закріплення у Законі «Про захист персональних даних» вказаного
184
блоку повноважень стосовно ведення реєстру баз даних і здійснення
відповідної реєстрації суб’єктам господарювання, які будуть діяти на підставі
відповідного свідоцтва про право на зайняття діяльністю у сфері реєстрації
баз персональних даних, що оптимізувало б роботу в цій сфері [82, С. 180].
Для поліпшення діяльності Уповноваженого в сфері нагляду за
дотриманням інформаційної приватності науковці, наприклад, А.Л.
Петрицький, пропонують у чинному Порядку контролю за додержанням
законодавства про захист персональних даних (затвердженому наказом
Уповноваженого від 8 січня 2014 р. № 1/02-14) передбачити можливість
винесення Уповноваженим приписів, спрямованих на попередження
порушень інформаційного законодавства, а також оптимізувати строки
складання, надіслання та виконання припису Уповноваженого щодо
усунення порушень у сфері захисту персональних даних. Сьогодні на
виконання такого припису відводиться не менше 30 календарних днів.
Натомість у чинному законодавстві має йтися не про 30-денний «зазор» для
виконання припису щодо припинення протиправних дій, а про обов’язок
суб’єкта обробки персональних даних усунути правопорушення в розумний
строк – тобто в найкоротший строк, достатній для своєчасного (без
невиправданих зволікань) припинення порушення та відновлення порушених
прав, свобод та інтересів [96, С.12, 15-16].
Висуваються пропозиції стосовно посилення спроможності наглядового
органу щодо захисту персональних даних у світовій мережі Інтернет.
Незаконне поширення персональних даних у мережі Інтернет залишається
практично безкарним, оскільки особу, яка поширила персональні дані, як
правило, просто неможливо встановити, оскільки доменне ім’я сайта, на
якому незаконно поширені персональні дані, зареєстроване зазвичай в іншій
державі. Більше того, інформація, надана хостинг-провайдером щодо особи,
яка зареєструвала доменне ім’я, також не завжди відповідає дійсності. Проте
185
в зарубіжних країнах у таких випадках є можливість заблокувати доступ до
веб-сторінки чи видалити її.
Сьогодні в Україні не існує спеціальних юридичних механізмів такого
характеру. Як наслідок, ні встановити особу, яка причетна до незаконного
поширення інформації, ні заблокувати доступ до такої інформації немає
можливості29
. Разом з тим, запроваджуючи відповідні норми варто пам’ятати
про досвід сусідньої РФ, де діє сумнозвісний Роскомнадзор, який відомий
блокуванням опозиційних Інтернет-ресурсів, у тому числі під формальним
приводом порушення права на інформаційну приватність. Один з останніх
прикладів пов'язаний із блокуванням месенджера Telegram, який відмовився
надавати ФСБ ключі для дешифрування повідомлень користувачів,
пояснивши, що зробити це технічно неможливо. Після цього в середині
квітня 2018 р. Роскомнадзор через суд домігся блокування Telegram в Росії.
Відомство зазначало, що дії керівництва месенджера загрожують інтересам
держави і допомагають терористам, які активно користуються Telegram.
До речі, в Україні є відповідний прецедент із блокуванням сайтів. Так,
15 травня 2017 р. президент України Петро Порошенко указом №133/2017
ввів в дію рішення РНБОУ «Про застосування персональних спеціальних
економічних та інших обмежувальних заходів (санкцій)» [159], яке РНБОУ
ухвалила відповідно до ст. 5 Закону України "Про санкції". Зокрема,
блокується доступ до соцмереж "ВКонтакте" і «Однокласники». Крім цього,
доступ заблокували до всіх сервісів «Яндекса» [173]. З одного боку, такі дії
були застосовані, в тому числі, і з метою захисту інформаційної приватності
громадян (хоча ключовий аргумент скоріше економічний). З іншого боку,
відповідна опіка держави не була сприйнята як самоочевидна, навпаки,
йшлося про надмірне втручання у відповідну сферу приватного життя
громадян.
29
Див. детальніше: [4, C. 158-160].
186
Варто згадати також законопроект № 6688 «Про внесення змін до деяких
законодавчих актів України щодо протидії загрозам національній безпеці в
інформаційній сфері», зареєстрований 12 липня 2018 року народними
депутатами України, який пекредбчає механізм блокування доступу до
інформаційних ресурсів в інтернеті за рішенням не лише суду, а й прокурора,
слідчого та РНБОУ. Водночас Уповноважений Верховної Ради з прав
людини, керівники Української Гельсінської спілки з прав людини та
Харківської правозахисної групи вважають, що у такому вигляді
законопроект № 6688 щодо досудового блокування в інтернеті зазіхає на
права людини та підриває саму суть права на свободу вираження поглядів
[34]. Отже відповідні механізми блокування мають впроваджуватися досить
обережно і балансувати зі свободою слова і вриаження поглядів і переконань.
Водночас лунають пропозиції щодо усунення Уповноваженого від
функцій незалежного спеціалізованого органу із захисту інформаційної
приватності взагалі. У літературі з цього приводу зазначається, що з 01 січня
2014 р. фактичне здійснення функцій органу виконавчої влади було
покладено на Уповноваженого Верховної Ради України з прав людини, що не
відповідає положенням ст. 6 Конституції України в частині поділу влади в
Україні на законодавчу, виконавчу і судову та розподілу функцій відповідних
державних органів [100, С. 40]. На думку К.С. Мельника, запропонована
сьогодні державна модель покладення повноважень у сфері захисту
персональних даних на Уповноваженого Верховної Ради України з прав
людини (Омбудсмана) та закріплення за ним функцій контролю за
додержанням вимог законодавства у сфері захисту персональних даних не
відповідає існуючій в ЄС моделі діяльності національного уповноваженого
органу в цій сфері [63, с. 12].
До того ж сьогодні оскарження рішень Омбудсмана та посадових осіб
його секретаріату відповідно до чинного законодавства є фактично
неможливим [65, с. 90-91]. Окрім цього, відсутній порядок доведення до
187
відома населення нормативно-правових актів Омбудсмана, встановленого
законом [65, с. 92]. Такий порядок мав би бути – виходячи з вимог
Конституції, оскільки Уповноважений наділений правотворчою функцією.
Стосовно самої доцільності покладення обов’язків щодо контролю у
сфері захисту персональних даних на Уповноваженого Верховної Ради
України з прав людини зазначимо таке. Останніми роками для таких цілей
активно обговорюється створення окремого інформаційного уповноваженого
на кшталт тих, що існують в зарубіжних країнах. Так, О.В. Нестеренко,
аналізуючи питання забезпечення доступу до публічної інформації, робить
висновок, що кардинально змінити ситуацію з правом на доступ до
інформації в Україні неможливо без запровадження інституту
інформаційного уповноваженого, який повинен бути наділений тими ж
правами, що й уповноважений з прав людини, але, на відміну від
омбудсмана, рішення інформаційного уповноваженого повинні мати
обов’язковий характер [79, С. 15].
Спеціалізований уповноважений з питань інформації має обиратися
парламентом із рекомендованих громадськими організаціями кандидатів
строком на п’ять років. Уповноваженим з питань інформації може бути
обраний громадянин України з вищою освітою, досвідом роботи в сфері
захисту та утвердження прав людини. Інформаційним уповноваженим не
може бути обраний громадянин, який має судимість за вчинення умисного
злочину, якщо ця судимість не погашена і не знята у встановленому законом
порядку, а також особа, що працювала в органах МВС, СБУ, Прокуратури,
посадова та службова особа органів державної влади і місцевого
самоврядування, член політичної партії. О.В. Нестеренко пропонує
закріплення в Конституції положення про запровадження інформаційного
уповноваженого, для чого утворити посаду представника Уповноваженого з
прав людини, який буде займатися охороною та захистом права на доступ до
інформації та особистих даних [79, С. 16]. З метою захисту права на
188
інформацію, до майбутнього інформаційного кодексу пропонується
включити положення про інформаційного омбудсмана, після внесення
відповідних змін до Конституції, оскільки чинна не передбачає можливість
створення спеціалізованих омбудсманів [169].
О.В. Нестеренко у зв’язку з цим пропонує скористатися прикладом
Словенії (ч. 2 ст. 159 Конституції) та внести до проекту нової конституції
положення такого змісту: «Для захисту окремих конституційних прав
Верховна Рада України може обирати спеціалізованих уповноважених» [80,
С. 208].
На противагу створенню спеціалізованих уповноважених Ю.Г. Барабаш
пропонує законодавчо закріпити посади заступників Уповноваженого
Верховної Ради України з прав людини, визначити їх функції і
повноваження, а також передбачити порядок призначення цих посадових
осіб за процедурою, аналогічною до самого Уповноваженого. Заступники
омбудсмана можуть виконувати спеціалізовану діяльність, проте вона буде
координуватися самим Уповноваженим. При цьому такі зміни не призведуть
до необхідності створення додаткових апаратів допоміжного персоналу, як у
випадку зі спеціалізованими омбудсманами [3, С. 155].
Варто погодитися і з В.О. Серьогіним у тому, що вимоги додаткового
протоколу (2001 р.) до Конвенції Ради Європи від 28 січня 1981 р. про захист
фізичних осіб при автоматичній обробці персональних даних змушують
Україну також йти шляхом створення спеціалізованого органу з питань
прайвесі, якщо вона дійсно прагне долучитися до європейської інтеграції та
зміцнити захист приватності своїх громадян [144, С. 289].
Через те, що законодавство відстає від розвитку технологій та
можливостей Інтернету, а корпоративні засоби захисту персональних даних
не завжди відповідають принципам європейських правових стандартів,
захист прав людини у сфері персональних даних вимагає визначення
особливих повноважень та можливостей із контролю та регуляції
189
інформаційних відносин різних суб’єктів незалежним від владних структур
Уповноваженим із захисту персональних даних в Україні (можливо, на
прикладі Німеччини – подвійне підпорядкування: Бундестагу (щорічний звіт
та отримання завдань) та Міністру внутрішніх справ (нагляд за діяльністю та
допомога у перевірках) [5, С. 46]. Тому В.М. Брижко пропонує створити
інститут Уповноваженого з питань захисту персональних даних, підзвітний
Верховній Раді України, основними функціями якого можуть бути
забезпечення нагляду і контролю та удосконалення нормативно-правової
бази з питань захисту персональних даних, а також взаємодія з
уповноваженими органами ЄС та країн – членів ЄС у цій сфері. Є й інші
пропозиції щодо додаткових механізмів захисту персональних даних:
– покладання на центральні органи виконавчої влади згідно з їх
компетенцією виконавських функцій з питань захисту персональних даних.
Зокрема, вивчення питання щодо створення окремого функціонального
підрозділу у складі апарату Міністерства юстиції України і його
територіальних органів або відновлення Державної служби (агентства) з
питань захисту персональних даних, діяльність якої скеровуватиметься через
Мін’юст України;
– опрацювання питання (з урахуванням п. 20 Преамбули Регламенту
(ЄС) 2016/679, що його правила застосовуються у діяльності судів та інших
судових органів, а також досвіду Суду із захисту даних Великій Британії) про
створення окремих судових палат у складі апеляційних судів і Верховного
Суду України або створення спеціалізованого суду з питань захисту
інформації (даних) з можливим покладанням на вказані органи розгляду
справ щодо порушення права приватності життя людини і захисту
персональних даних, правопорушень у сфері обігу інформації, надання
доступу до публічної інформації, діяльності засобів масової інформації та
використання інформаційно-комунікаційних систем і мереж, єдиних
190
державних реєстрів та інформаційних ресурсів, роботи з інформацією, що
становить державну таємницю або містить відомості з обмеженим доступом;
– запровадження в органах, установах, закладах, підприємствах та
організаціях (згідно з нормами ЄС) посад фахівців з питань захисту
персональних даних або покладання цих функцій на окремих працівників цих
організацій;
– розроблення і запровадження (для фахівців із захисту даних)
організаційно-розпорядчих документів, механізмів сертифікації
автоматизованих засобів захисту персональних даних (згідно з Розділом 5
Регламенту (ЄС) 2016/679), а також Кодексів поведінки у сфері захисту
персональних даних та поширення їх принципів в органах, закладах,
установах, організаціях та підприємствах усіх форм власності [100, С. 46-47].
А.Л. Петрицький пропонує створити в структурі Міністерства юстиції
спеціальний підрозділ з питань управління та координації у сфері захисту
персональних даних; збільшити штатну чисельність Департаменту з питань
захисту персональних даних Секретаріату Уповноваженого Верховної Ради
України з питань захисту прав людини до показників, зумовлених
об’єктивними потребами практики; здійснити чітке розмежування функцій,
повноважень і меж компетенції суб’єктів, задіяних у формуванні та реалізації
державної політики в сфері захисту персональних даних [96, с. 5-6].
З усіх цих пропозицій варто підтримати ідею щодо створення окремого
спеціалізованого уповноваженого в сфері інформаційної приватності,
передавши йому відповідні функції Уповноваженого Верховної Ради України
з прав людини. Окрім проведення перевірок і накладення штрафів, такий
уповноважений має володіти більш ефективним арсеналом правових засобів
щодо нагляду у відповідній сфері (право вимагати від порушника, а також
звертатися до суду з вимогою в найкоротший строк припинити порушення
права на недоторканність приватного життя в сфері персональних даних,
можливості блокування Інтернет-ресурсів в судовому порядку,
191
вдосконалення процедури повідомлення про обробку бази персональних
даних – повідомлення має здійснювати перед початком відповідних операцій
тощо).
Що стосується пропозицій стосовно створення посад відповідних
фахівців у сфері захисту персональних даних, а також створення кодексів у
сфері захисту персональних даних, то вони також варті уваги, тим більше
враховуючи набрання чинності Загальним регламентом GDPR. Стосовно ж
ідеї щодо відповідних спеціалізованих палат у судах, то навряд чи це є
сьогодні доцільним30
.
Таким чином, із зазначеного можна зробити такі висновки:
1. Американська і європейська модель захисту персональних даних
яскраво відбивається і на відповідних спеціалізованих механізмах. В США
такі спеціалізовані механізми повністю відсутні (частково до цього процесу
залучена Федеральна торгова комісія з досить обмеженими повноваженнями
і незначною реальною роллю у відповідному захисті інформаційної
приватності). Це пояснюється значною роллю приватно-правових механізмів
(подання позовів і відшкодування шкоди). Натомість для Європи
характерною є велика роль публічно-правових механізмів, повсюдність таких
спеціалізованих органів по захисту інформації про особу, а також наявність у
таких органів досить широких регламентарних, наглядових та контрольних
повноважень. Ця тенденція проявляється як на національному рівні, так і
останніми роками знайшла своє відображення на рівні європейських
нормативних документів і договорів. 30
Так, за весь час дії Закону «Про захист персональних даних» Верховним Судом
України, а також вже новоствореним Верховним Судом винесено всього 24 постанови і
рішення, де є посилання на відповідний Закон. З них левова частка – питання, пов’язані із
застосуванням Закону «Про доступ до публічної інформації» (див.: Єдиний державний
реєстр судових рішень http://reyestr.court.gov.ua/). Навряд чи така практика свідчить про
необхідність відповідних організаційних перетворень у самій судовій системі. Скоріш за
все, достатньо існуючих судових механізмів, водночас більшу роль має відігравати
уповноважений орган із захисту інформаційної приватності.
192
2. Досвід західних країн (Європи і Канади) свідчить про поширеність
практики існування уповноваженого органу в сфері захисту інформації про
особу. При цьому йдеться як про діяльність уповноважених органів за
моделлю омбудсмана, так і інших незалежних органів. Обсяг повноважень
може бути пов'язаний з усією інформаційною сферою в цілому, захистом
права на приватність, а також права на доступ до інформації. Саме тому
такий уповноважений орган, спеціалізуючись на захисті інформації про
особу, може мати більш широку компетенцію, здійснювати захист прайвесі в
цілому або ж мати також компетенцію в сфері захисту права на доступ до
публічної інформації. Існує різниця і в повноваженнях з акцентом на
превентивній ролі або ж на застосуванні примусових заходів;
3. Чинна модель захисту інформації про особу в Україні потребує
вдосконалення. Перш з все, йдеться про повноваження спеціалізованого
органу, які мають бути переглянуті. В інституційному плані варто йти
шляхом створення спеціалізованого інформаційного уповноваженого
(окремо від Уповноваженого Верховної Ради України з прав людини), який
би мав відповідну незалежність. Для цього потрібно внести відповідні зміни
до Конституції України;
4. Окремому спеціалізованому уповноваженому в сфері інформаційної
приватності слід передати відповідні функції Уповноваженого Верховної
Ради України з прав людини. Окрім проведення перевірок і накладення
штрафів такий уповноважений має володіти більш ефективним арсеналом
правових засобів щодо нагляду у відповідній сфері. Для цього необхідно
наділити його правом вимагати від порушника, а також звертатися до суду з
вимогою в найкоротший строк припинити порушення права на
недоторканність приватного життя в сфері персональних даних. Потрібно
також вдосконалити процедуру повідомлення про обробку бази
персональних даних – повідомлення має здійснювати перед початком
відповідних операцій тощо;
193
5. Варті уваги пропозиції стосовно створення посад відповідних фахівців
у сфері захисту персональних даних, а також розробки кодексів у сфері
захисту персональних даних, особливо з оглядну на те, що вже набрав
чинності Загальний регламент ЄС «GDPR». Стосовно ж ідеї щодо
відповідних спеціалізованих палат у судах, то навряд чи сьогодні є це
доцільним.
Висновки до розділу 2
1. Захист персональних даних, або інформації про особу є широким
поняттям, що охоплює всі галузі правового регулювання (адміністративне,
кримінальне, цивільне право тощо). Якщо поглянути на захист інформації
про особу з позицій конституційного права, то такий аспект буде вужчим,
ніж весь захист в цілому. Розглядаючи захист інформації про особу в
конституційно-правовому аспекті ми маємо звернутися як до суті
спеціальних конституційно-правових норм і інститутів захисту інформації
щодо захисту про особу, так і проаналізувати питання конституційності
(пропорційності, збалансованості) втручання в інформаційну приватність
осіб у різних сферах. Під конституційно-правовим захистом інформації про
особу ми розуміємо передусім сукупність нормативних та інституційних
правових механізмів, спрямованих на забезпечення інформаційної
приватності в формі реагування конституційно-правовими засобами на
неправомірне втручання з боку держави і приватних осіб.
2. Можна виокремити дві основні моделі захисту інформації про особу:
американську і європейську. Американський підхід будується на
секторальному, галузевому підході, що означає ухвалення різних актів щодо
захисту інформації залежно від конкретної сфери суспільних відносин.
Згідно з європейським підходом – має існувати єдиний комплексний закон
щодо захисту персональних даних. Виділяють також змішаний підхід
(існування одночасно загального закону і окремих галузевих актів).
194
Вважаємо, що саме такий підхід до побудови вітчизняного законодавства в
сфері захисту інформації про особу є найбільш прийнятним, наголошуємо на
обов’язковій необхідності існування загального закону щодо захисту
інформаційної приватності за умов відповідного детального галузевого
регулювання в різноманітних сферах.
3. Ключовими особливостями Регламенту GDPR є, зокрема, те, що він:
1) безпосередньо чинний на всій території держав-членів ЄС і не потребує
додаткової імплементації в національне законодавство; 2) містить
пропозицію створити посади службовців із захисту персональних даних
(вимагає – якщо кількість персоналу перевищує 250 осіб, а також у
державних установах); 3) зобов’язує мати корпоративні кодекси поведінки в
сфері персональних даних; 4) запроваджує “право бути забутим” (right to be
forgotten; 5) застосовується не тільки до організацій, які засновані на
території ЄС, а й до інших організацій, які безпосередньо працюють на
європейському ринку; 6) запроваджує серйозні штрафи за порушення його
вимог; 7) встановлює вимогу щодо існування незалежного національного
уповноваженого органу в сфері захисту персональних даних; 8) створює Раду
Європи із захисту даних замість попередньої робочої групи статті 29 (WP29)
тощо.
4. У США модель правового регулювання побудована на принциповій
допустимості обробки персональних даних ( по суті – меншому обсязі
захисту інформаційної приватності). Відповідно, обмеження (втручання) у
приватність, як це не парадоксально, є більшим з боку приватних осіб.
Загалом такий підхід є більш ліберальним, ніж європейський. Це
пояснюється меншим втручанням держави у сфері інформаційної
приватності шляхом регулювання діяльності приватних компаній щодо
захисту персональних даних. Натомість відповідні механізми передусім
спрямовані на захист у приватно-правовій площині, ніж у публічно-правовій,
а також передбачають значну роль саморегулювання.
195
5. Питання легітимної мети, а також пропорційності і необхідності
втручання виникають у зв’язку з деякими законодавчими нормами, які наразі
є чинними в Україні. Передусім, питання втручання в різні сектори
приватного життя, пов’язані із біометричними даними. Мова йде, зокрема,
про використання ID-карток як внутрішніх паспортів, що містять
біометричну інформацію. Питання виникають у зв’язку з балансуванням
відповідних норм зі свободою совісті і віросповідання. Обмежуючи
інформаційну приватність у відповідний спосіб, пов'язаний зі збором
біометричних даних, держава втручається також і в релігійні права громадян.
Як відомо, через релігійні переконання особа може відмовитися від
присвоєння індивідуального податкового номера або має право на
проходження альтернативної (невійськової) служби замість служби в ЗСУ.
Тут же відповідних винятків не передбачено. Вважаємо, що право на
обґрунтовану відмову від надання біометричних даних має бути
врегульовано законодавчо.
6. Практика застосування українських індивідуальних податкових
номерів має бути переглянута в бік використання виключно в сфері
податкового обліку і податкових відносин, оскільки застосування
зазначеного номера як універсального ідентифікатора суперечить
конституційним вимогам.
7. Публічними особами традиційно вважаються фігури в сфері
політики, публічної влади, громадського життя, спорту, мистецтва тощо, які є
широко відомими і діяльність яких становить суспільний інтерес.
Публічними можуть також бути особи в силу резонансності певних подій
(вчинення ДТП тощо), що привертають суспільну увагу. Практика західних
країн йде шляхом меншого захисту приватності публічних осіб порівняно з
особами приватними. Разом із тим у кожному конкретному випадку має
застосовуватися трискладовий тест. На практиці ЄСПЛ аналізує корисність
196
втручання з позицій «сприяння публічним дебатам з питань загальної
важливості».
8. Концепт «публічної особи» міцно вкорінений в зарубіжному
законодавстві і судовій практиці країн Заходу в сфері захисту права на
приватність. Водночас українське законодавство статус публічних осіб при
регулюванні питання захисту інформації про особу не виокремлює, натомість
воно містить лише поняття «суспільно необхідна інформація», яке можна
розуміти, в тому числі, і з позицій можливості легітимного втручання в
приватне життя публічних осіб. Концепція публічних осіб активно
застосовується в українській судовій практиці, яка орієнтується на
міжнародні стандарти, а також практику ЄСПЛ.
9. Електронне декларування для антикорупційних активістів,
передбачене Законом «Про запобігання корупції», згідно з якими члени
антикорупційних громадських організацій зобов'язані подавати електронні
декларації, викликає сумніви в своїй конституційності. Є досить вагомі
сумніви щодо пропорційності відповідного втручання в сферу приватності,
навіть якщо в певних випадках такі активісти і мають статус публічних осіб.
Передусім, якщо враховувати трискладовий тест, тут відсутня легітимна мета
і необхідність у демократичному суспільстві.
10. Американська і європейська модель захисту персональних даних
яскраво відбивається і на відповідних спеціалізованих механізмах. В США
такі спеціалізовані механізми повністю відсутні (частково до цього процесу
залучена Федеральна торгова комісія з досить обмеженими повноваженнями
і незначною реальною роллю у відповідному захисті інформаційної
приватності). Це пояснюється значною роллю приватно-правових механізмів
(подання позовів і відшкодування шкоди). Натомість для Європи
характерною є велика роль публічно-правових механізмів, повсюдність таких
спеціалізованих органів по захисту інформації про особу, а також наявність у
таких органів досить широких регламентарних, наглядових та контрольних
197
повноважень. Ця тенденція проявляється як на національному рівні, так і
останніми роками знайшла своє відображення на рівні європейських
нормативних документів і договорів.
11. Досвід західних країн (Європи і Канади) свідчить про поширеність
практики існування уповноваженого органу в сфері захисту інформації про
особу. При цьому йдеться як про діяльність уповноважених органів за
моделлю омбудсмана, так і інших незалежних органів. Обсяг повноважень
може бути пов'язаний з усією інформаційною сферою в цілому, захистом
права на приватність, а також права на доступ до інформації. Саме тому
такий уповноважений орган, спеціалізуючись на захисті інформації про
особу, може мати більш широку компетенцію, здійснювати захист прайвесі в
цілому або ж мати також компетенцію в сфері захисту права на доступ до
публічної інформації. Існує різниця і в повноваженнях з акцентом на
превентивній ролі або ж на застосуванні примусових заходів.
12. Чинна модель захисту інформації про особу в Україні потребує
вдосконалення. Перш з все, йдеться про повноваження спеціалізованого
органу, які мають бути переглянуті. В інституційному плані варто йти
шляхом створення спеціалізованого інформаційного уповноваженого
(окремо від Уповноваженого Верховної Ради України з прав людини), який
би мав відповідну незалежність. Для цього потрібно внести відповідні зміни
до Конституції України. Окрім проведення перевірок і накладення штрафів
такий уповноважений має володіти більш ефективним арсеналом правових
засобів щодо нагляду у відповідній сфері. Для цього необхідно наділити його
правом вимагати від порушника, а також звертатися до суду з вимогою в
найкоротший строк припинити порушення права на недоторканність
приватного життя в сфері персональних даних, можливістю блокування
Інтернет-ресурсів у судовому порядку. Потрібно також вдосконалити
процедуру повідомлення про обробку бази персональних даних –
повідомлення має здійснювати перед початком відповідних операцій тощо.
198
199
ВИСНОВКИ
У дисертації здійснено теоретичне узагальнення і запропоновано
вирішення наукового завдання, яке полягає здійсненні комплексної науково-
практичної розробки конституційного-правового захисту інформації про
особу, його еволюції, а також особливостей на сучасному етапі в зарубіжних
країнах і Україні в порівняльно-правовому аспекті. За результатами
проведеного дослідження зроблено такі основні висновки.
1. Право на персональні дані (інформаційна приватність), зазвичай,
охоплюється захистом права на недоторканність приватного життя, іноді
становить окреме право (Хартія основних прав ЄС 2000 р.), або ж
ґрунтується на праві на інформаційне самовизначення (ФРН).
2. Право на приватність стосується не лише інформаційної приватності
і, крім ст. 32 Конституції України, закріплено у ст. 30, яка гарантує
недоторканність житла, ст. 31, – безпосередньо регулює таємницю
листування, телефонних розмов, телеграфної та іншої кореспонденції, ч.3 ст.
28 – забороняє піддавати особу без її вільної згоди медичним, науковим та
іншим дослідам. Отже, найважливіші аспекти захисту приватного життя
знайшли своє відображення в різних статтях Конституції України.
3. Поняття «інформація про особу» та «персональні дані», по суті, як
правило за змістом є тотожними і означають одне й те саме – об’єкт захисту
інформаційної приватності. Проте аналіз відповідної літератури показав, що
різниця ж між персональними даними і інформацією про особу, найчастіше
розглядається в двох аспектах.
По-перше, розмежування ґрунтується на точці зору, згідно з якою
розмежовуються терміни «дані» і «інформація». Тобто, власне кажучи, за
цією логікою інформація є матеріальним поняттям, тоді як дані – формою
вираження інформації. Розмежування персональних даних і інформації про
особу носить також історичний характер. Справа в тому, що поява термінів
«персональні дані», «захист персональних даних» пов’язана з комп’ютерною
200
епохою, появою технічних можливостей обробки великої кількості
інформації, саме комп’ютерна інформація і називалася «даними». Така
історична відмінність не впливає на обсяг відповідного поняття, яке воно має
на сьогодні в юридичній сфері. Таким чином, перший аспект, що
характеризує відмінність між інформацією про особу і персональним даними,
ми не вважаємо достатньо юридично значущим. Інформація і дані цілком
можуть бути ототожнені.
По-друге, відмінність між даними і інформацією часто розглядають
полягає в тому, що персональні дані як поняття містить чітку прив’язку до
ідентифікації за допомогою цієї інформації певної особи. Персональні дані –
це не будь-яка інформація про фізичну особу, а лише інформація про
ідентифіковану або таку, що може бути ідентифікована, фізичну особу.
Таким чином, якщо фізична особа не ідентифікована (конкретно не
визначена) і не може бути ідентифікована (конкретно визначена), то
інформація, що стосується такої фізичної особи, не є персональними даними.
4. Незважаючи на різноманітні підходи в національному законодавстві
щодо визначення персональних даних, ключовим в їх розумінні є те, що за
допомогою них особа є ідентифікованою (визначеною) або може бути
ідентифікованою (визначеною). У доктрині виділяють два підходи до
ідентифікації: об’єктивну (абсолютну) і суб’єктивну (відносну) можливості
ідентифікації суб’єкта даних. Перший підхід (об’єктивна, або абсолютна
ідентифікація) передбачає ідентифікацію виключно на підставі існуючої
інформації. Другий (суб’єктивна, або відносна ідентифікація) пов’язується з
можливістю для відповідної ідентифікації збір іншої інформації, що потребує
розумних зусиль. На користь відносної ідентифікації свідчать нормативні
документи і судова практика. Суб’єктивна (відносна) ідентифікація видається
нам більш обґрунтованою;
5. Найбільш важливою з юридичної точки зору класифікацією
персональних даних є їх поділ на чутливі (вразливі) і звичайні персональні
201
дані. До чутливих даних відповідно до європейських документів належать
дані про расове або етнічне походження; політичні, релігійні або світоглядні
переконання; членство в політичних партіях та професійних спілках;
засудження до кримінального покарання; дані, що стосуються здоров’я,
статевого життя, а також біометричні або генетичні дані. Правила здійснення
обробки звичайних персональних даних на чутливі дані не поширюються;
здійснення обробки таких даних потребує спеціальної згоди суб’єкта
персональних даних, а також додаткових гарантій щодо їх захисту.
6. Зі ст. 11 Закону «Про захист персональних даних» мають бути
встановлені винятки щодо обробки відкритої інформації. Законодавство
спростовує твердження про апріорний характер конфіденційності будь-якої
інформації про особу і відсутність відкритої інформації, яка є такою за
законом (прямо встановлюючи режим відкритості/загальнодоступності або ж
забороняючи обмежувати доступ до тієї чи іншої інформації). Наразі
законодавець, визначаючи інформацію про особу в Законі України «Про
інформацію», чомусь ігнорує поняття відкритості і загальнодоступності.
7. Інформацію про особу за режимом доступу можна поділити на:
- відкриту апріорі (загальнодоступну). Водночас особа має право за
певних умов обмежувати доступ до такої відкритої інформації за власним
бажанням (право на забуття). Ця інформація, незважаючи на її існування,
формально не вписується у термінологію на рівні визначень у відповідних
профільних інформаційних законах. Саме тому вона має бути офіційно
вказана. Для цього потрібно змінити формулювання законів «Про
інформацію» та «Про доступ до публічної інформації», а також
переформулювати норму Закону «Про захист персональних даних» щодо
обробки будь-яких персональних даних на підставі закону або згоди особи.
Такі підстави мають стосуватися лише конфіденційної інформації, а не будь-
яких персональних даних (зокрема, відкритої інформації);
- обмежену в доступі, яка може бути:
202
а) таємною або службовою (відповідно до спеціальних законодавчих
актів, що встановлюють правовий режим таємниці і службової
інформації);
б) конфіденційною, яка, у свою чергу, поділяється на:
інформацію, що визначається конфіденційною самою особою
(яка не віднесена законом ані до відкритої, ані до чутливої/вразливої).
Обробка такої інформації можлива за згоди особи;
вразливу (чутливу) інформацію, щодо якої законодавець може
встановлювати обмеження або пряму заборону на її обробку (що не
забороняє самій особі добровільно її поширювати) або дозволяти за
умови прямої згоди на обробку з боку особи, проте за таких умов
визначається особливий підвищений порядок її обробки. Законодавство
може встановлювати спеціальні правила на обробку чутливої інформації,
спрямовані на гарантування конфіденційності або на заборону збирання
/обробки певних видів особливо чутливої інформації.
8. Існують дві основні моделі захисту інформації про особу:
американська і європейська. Американський підхід будується на
секторальному, галузевому підході, що означає ухвалення різних актів щодо
захисту інформації залежно від конкретної сфери суспільних відносин.
Згідно з європейським підходом – має існувати єдиний комплексний закон
щодо захисту персональних даних. Виділяють також змішаний підхід
(існування одночасно загального закону і окремих галузевих актів).
Вважаємо, що саме такий підхід до побудови вітчизняного законодавства в
сфері захисту інформації про особу є найбільш прийнятним, наголошуємо на
обов’язковій необхідності існування загального закону щодо захисту
інформаційної приватності за умов відповідного детального галузевого
регулювання в різноманітних сферах.
9. У США модель правового регулювання побудована на принциповій
допустимості обробки персональних даних ( по суті – меншому обсязі
203
захисту інформаційної приватності). Відповідно, обмеження (втручання) у
приватність є більшим з боку саме приватних осіб. Загалом такий підхід є
більш ліберальним, ніж європейський. Це пояснюється меншим втручанням
держави у сфері інформаційної приватності шляхом регулювання діяльності
приватних компаній щодо захисту персональних даних. Натомість відповідні
механізми передусім спрямовані на захист у приватно-правовій площині, ніж
у публічно-правовій, а також передбачають значну роль саморегулювання.
10. Концепт «публічної особи» міцно вкорінений в зарубіжному
законодавстві і судовій практиці країн Заходу в сфері захисту права на
приватність. Водночас українське законодавство статус публічних осіб при
регулюванні питання захисту інформації про особу не виокремлює, натомість
воно містить лише поняття «суспільно необхідна інформація», яке можна
розуміти, в тому числі, і з позицій можливості легітимного втручання в
приватне життя публічних осіб. Концепція публічних осіб активно
застосовується в українській судовій практиці, яка орієнтується на
міжнародні стандарти, а також практику ЄСПЛ.
11. Американська і європейська модель захисту персональних даних
яскраво відбивається і на відповідних спеціалізованих механізмах. В США
такі спеціалізовані механізми повністю відсутні (частково до цього процесу
залучена Федеральна торгова комісія з досить обмеженими повноваженнями
і незначною реальною роллю у відповідному захисті інформаційної
приватності). Це пояснюється значною роллю приватно-правових механізмів
(подання позовів і відшкодування шкоди). Натомість для Європи
характерною є велика роль публічно-правових механізмів, повсюдність таких
спеціалізованих органів по захисту інформації про особу, а також наявність у
таких органів досить широких регламентарних, наглядових та контрольних
повноважень. Ця тенденція проявляється як на національному рівні, так і
останніми роками знайшла своє відображення на рівні європейських
нормативних документів і договорів.
204
12. Чинна модель захисту інформації про особу в Україні потребує
вдосконалення. Перш з все, йдеться про повноваження спеціалізованого
органу, які мають бути переглянуті. В інституційному плані варто йти
шляхом створення спеціалізованого інформаційного уповноваженого
(окремо від Уповноваженого Верховної Ради України з прав людини), який
би мав відповідну незалежність. Для цього потрібно внести відповідні зміни
до Конституції України. Окрім проведення перевірок і накладення штрафів
такий уповноважений має володіти більш ефективним арсеналом правових
засобів щодо нагляду у відповідній сфері. Для цього необхідно наділити його
правом вимагати від порушника, а також звертатися до суду з вимогою в
найкоротший строк припинити порушення права на недоторканність
приватного життя в сфері персональних даних, можливістю блокування
Інтернет-ресурсів у судовому порядку. Потрібно також вдосконалити
процедуру повідомлення про обробку бази персональних даних –
повідомлення має здійснювати перед початком відповідних операцій тощо.
205
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. База жителей Украины URL: http://nomer-org.one/allukraina/
2. Барабаш Ю. Г. Нариси з конституційного права : зб. наук. пр. Х.
: Право, 2012. 160 с.
3. Барабаш Ю.Г. Парламентський контроль в Україні
(конституційно-правовий аспект). Х.: Легас, 2004. 192 с.
4. Бем М. В., Городиський І. М., Саттон Г., Родіоненко О. М. Захист
персональних даних: Правове регулювання та практичні аспекти: науково-
практичний посібник. К.: К.І.С., 2015. 220 с.
5. Брижко В. М. Захист персональних даних: реалії та практика
сучасності Інформація і право. 2013. № 3. С. 31-48.
6. Брижко В., Гуцалюк М., Цимбалюк В. та ін. Інформаційне право
та правова інформатика у сфері захисту персональних даних. К.: НДЦПІ
АПрН України, 2006 р. 450 с.
7. Брижко В.М. Приватність даних у хмарних технологіях
Інформація і право 2016 № 4(19). С. 47-59
8. Брижко В.М. Сучасні основи захисту персональних даних в
європейських правових актах Інформація і право. 2016. № 3(18). C. 45-57
9. В Україні біометричний контроль на кордоні пройшли вже 140
тисяч росіян URL: https://dt.ua/UKRAINE/v-ukrayini-biometrichniy-kontrol-
na-kordoni-proyshli-vzhe-140-tisyach-rosiyan-276314_.html
10. В Україні розпочалася видача нових паспортів у вигляді ID-
карток (правила, документи) URL: https://www.unian.ua/politics/1232424-v-
ukrajini-rozpochalasya-vidacha-novih-pasportiv-u-viglyadi-id-kartok-pravila-
dokumenti.html
11. Вавженчук С.Я., Довгопол В.Т. Оціночні судження та фактичні
твердження як цивільно-правові категорії у сфері захисту честі, гідності та
ділової репутації Підприємництво, господарство і право. 2011. № 7. С. 3–6.
206
12. Валерія Лутковська оскаржує законодавчі норми, що дозволяють
поліції забезпечувати збирання та накопичення зразків ДНК URL:
http://www.ombudsman.gov.ua/ua/all-news/pr/201217-nz-valeriya-lutkovska-
oskarzhuye-zakonodavchi-normi-scho-dozvolyayut-poli/
13. Верховний Суд України заборонив відмовлятися від ID-карток з
релігійних переконань URL:
https://zaxid.net/verhovniy_sud_zaboroniv_vidmovlyatisya_vid_id_kartok_cherez
_religiyni_perekonannya_n1452534.
14. Вирок Ковпаківського районного суду м. Суми від 24 грудня
2012 року. Справа № 1806/1-290/11 (1/1806/38/12) URL: reyestr.court.gov.ua.
15. Головатий С.П. Про людські права . К.: Дух і літера, 2016. 760 с.
16. Гом’єн, Д. Короткий путівник Європейською конвенцією з прав
людини / пер. з англ. Т. Іваненко, О. Павличенка. Л.: Кальварія, 2000.
17. Громадськість буде захищати активістів від дискримінаційних
норм щодо е-декларування в Конституційному Суді України URL:
http://rpr.org.ua/news/hromadskist-bude-zahyschaty-aktyvistiv-vid-
dyskryminatsijnyh-norm-schodo-e-deklaruvannya-v-konstytutsijnomu-sudi-
ukrajiny/
18. Давидова Н. О. Право на персональні дані як складова права на
приватність Вісник Харківського національного університету ім. В.Н.
Каразіна. Серія: Право. 2010. № 929 С. 306-310
19. Дахова І. І., Чуб О. О. Право на доступ до інформації vs право на
приватність в контексті законодавства України про запобігання корупції
Вісник Харківськ. нац. ун-ту імені В. Н. Каразіна. Серія: Право. 2016. Вип.
22. С. 65–70.
20. Денькович, О. І. Зміст ознак складу злочину, передбаченого ст.
182 КК України ("порушення недоторканності приватного життя") у світлі
рішень Конституційного Суду України Наука кримінального права в системі
міждисциплінарних зв'язків : матеріали міжнар. наук.-практ. конф., 9-10 жовт.
207
2014 р. / НЮУ ім. Я. Мудрого, НДІ вивчення проблем злочинності ім.
академіка В. В. Сташиса НАПрН України, Всеукр. громад. організація
"Асоціація кримін. права". Харків : Право, 2014. С. 480-484
21. Детерманн Л. Путеводитель в правовом регулировании
персональних данных Лотара Детермана. Междануродный корпоративный
комплаенс. 3-е издание. М.: Инфотропик медиа, 2018. 340 c.
22. Деякі питання практичного застосування Закону України "Про
захист персональних даних": роз'яснення Міністерства юстиції України від
21.12.2011 URL: http://zakon0.rada.gov.ua/laws/show/n0076323-11
23. Директива 95/46/ЄС Європейського Парламенту і Ради "Про
захист фізичних осіб при обробці персональних даних і про вільне
переміщення таких даних" URL:
http://zakon3.rada.gov.ua/laws/show/994_242
24. Дмитренко О. А. До проблеми поширення режиму відкритої
інформації на персональні дані у світлі практики Європейського Суду з прав
людини Підприємництво, господарство і право. 2008. № 4. С. 41–43.
25. Дмитренко О. А. Право фізичної особи на власні персональні дані
в цивільному праві України : автореф. дис. ... канд. юрид. наук. К., 2010. 19 с.
26. Дмитренко О.А. Право фізичної особи на власні персональні дані
в цивільному праві України: дис. … канд. юр. наук. Київ, 2010. 210 с.
27. До КСУ надійшло подання від 48 нардепів щодо визнання
неконституційними норм законодавства про електронне декларування URL:
https://ua.interfax.com.ua/news/political/316671.html
28. Дюби Ж. (ред) История частной жизни. Т. 3: От Ренессанса до
эпохи Просвещения. М.: Новое литературное обозрение, 2018. 717 с.
29. Дюби Ж. (ред) История частной жизни. Т. 4: От Великой
французской революции до І Мировой войны; пер. с фр. О. Панайотти. М.:
Новое литературное обозрение, 2018. 672 с.
208
30. Єсімов С. С. Захист персональних даних у контексті розвитку
динамічних інформаційних систем Науковий вісник Львівського державного
університету внутрішніх справ. Серія юридична. 2013. Вип. 3. С. 198-208.
31. Загальна декларація прав людини URL:
http://zakon2.rada.gov.ua/laws/show/995_015
32. Загальний регламент ЄС щодо захисту даних: наступні кроки
організацій для забезпечення відповідності URL:
http://www.moris.com.ua/zagalnij-reglament-yes-shhodo-zahistu-danih-nastupni-
kroki-organizatsij-dlya-zabezpechennya-vidpovidnosti/
33. Закон Чехии 101 от 01.04.2000 года о защите персональных
данных URL:
http://lib.rada.gov.ua/static/LIBRARY/catalog/law/czech_pers_dan.html.
34. Законопроект №6688 підриває суть права на свободу вираження
поглядів – заява омбудсмена і правозахисників URL:
https://detector.media/infospace/article/127923/2017-07-13-zakonoproekt-6688-
pidrivae-sut-prava-na-svobodu-virazhennya-poglyadiv-zayava-ombudsmena-i-
pravozakhisnikiv/
35. Запит від ФОП Ях Володимир Борисович URL:
http://www.me.gov.ua/InfoRez/Details?id=5bd9f1bd-31c5-4890-98ce-
25e44a2a9905&lang=uk-UA
36. Захист осіб у зв’язку з автоматизованою обробкою персональних
даних в контексті їх профілювання : Рекомендації Комітету міністрів Ради
Європи державам-членам № CM/Rec (2010) Захист персональних даних :
міжнародні стандарти : збірник нормативно-правових документів). К. :
Видавництво Подоліна І.В., 2013. С. 42-51
37. Захист персональних даних : міжнародні стандарти : збірник
нормативно-правових документів). К. : Видавництво Подоліна І.В., 2013.
812 с.
209
38. Захист персональних даних у ЄС: настав час змін URL:
http://pravo.org.ua/ua/news/4709-
39. Защита персональных данных. Опыт правового регулирования.
М., 2001. 221 с.
40. Зеркаль О. В. Деякі питання захисту персональних даних
Бюлетень Міністерства юстиції України. 2012. № 1. С. 5-14
41. Инспекция по защите данных Эстонии URL: www.aki.ee/ru
42. Камінська Н. В. Захист персональних даних: проблеми
внутрішньодержавного, наднаціонального і міжнародно-правового
регулювання Науковий вісник Національної академії внутрішніх справ. 2015.
№ 3. С. 106-114.
43. Каретник О. Види інформації про фізичну особу (персональні
дані): питання правової класифікації Підприємництво, госп-во і право. 2013.
№ 11. С. 51-54
44. Каретник О. С. Поняття інформації про фізичну особу
(персональні дані) в цивільному праві України Часопис Київського
університету права. 2013. № 2. С. 228-231.
45. Конвенція про захист осіб у зв'язку з автоматизованою обробкою
персональних даних від 28 січня 1981 року URL:
http://zakon3.rada.gov.ua/laws/show/994_326
46. Конвенція про захист прав людини і основоположних свобод
URL: http://zakon3.rada.gov.ua/laws/ show/995_004
47. Конгрес США скасував закон про захист персональних даних
інтернет-користувачів URL: https://www.unian.ua/science/1848996-kongres-
ssha-skasuvav-zakon-pro-zahist-personalnih-danih-internet-koristuvachiv.html
48. Конституційне подання 48 народних депутатів від 30 грудня
2015 р. URL: http://www.ccu.gov.ua/sites/default/files/35.pdf
49. Конституційне подання щодо відповідності Конституції України
(конституційності) положень частини другої статті 26 Закону України «Про
210
національну поліцію» від 13 лютого 2017 р.
http://www.ccu.gov.ua/sites/default/files/ccu/5_422.pdf
50. Конституційний Суд України оголосив перерву в розгляді справи
щодо конституційності окремих положень Закону України «Про Національну
поліцію» URL: http://ccu.gov.ua/novyna/ksu-ogolosyv-perervu-v-rozglyadi-
spravy-shchodo-konstytuciynosti-okremyh-polozhen-zakonu
51. Конституційний Суд України оголосив перерву у розгляді справи
щодо відповідності Конституції України положень частини другої статті 26
Закону України „Про Національну поліцію“ URL:
http://ccu.gov.ua/novyna/konstytuciynyy-sud-ukrayiny-ogolosyv-perervu-u-
rozglyadi-spravy-shchodo-vidpovidnosti
52. Конституція (Основний Закон) України від 20 квітня 1978 року
URL: http://zakon0.rada.gov.ua/laws/show/888-09
53. Конституція Швейцарської конфедерації 1999 р.
(Bundesverfassung der Schweizerischen Eidgenossenschaft v. 18. April 1999)
URL: https://www.admin.ch/opc/de/classified-compilation/19995395/
54. Концевой Р. С. До питання визначення поняття "персональні
дані” Інформація і право. 2012. № 2. С. 23-28.
55. Король, І. Б.. Охорона недоторканності приватного життя:
кримінально-правові та кримінологічні аспекти: автореф. дис. ... канд. юрид.
наук : Львів, 2015. 19 с.
56. Кохановська О.В. До питання про захист персональних даних в
Україні Вісник Верховного Суду України. 2011. № 6. С. 28-33.
57. Кушакова Н. В. Конституційне право на інформацію в Україні
(порівняльний аналіз) : дис. … канд. юрид. наук. К. : Київ. нац. ун-т ім.
Тараса Шевченка, 2003. 243 с.
58. Кушніренко О.Г., Слінько Т.М. Конституційне право України у
запитаннях і відповідях: навч. посібник. Х.: Майдан, 2012. 330 с.
211
59. Лихова С.Я. Злочини у сфері реалізації громадянських,
політичних та соціальних прав і свобод людини і громадянина (розділ V
Особливої частини КК України). К.: ВПЦ "Київський університет", 2006.
573 с.
60. Луспеник Д. Д. Право на недоторканість приватного життя
публічних осіб у контексті дифамаційного спору: практичні рекомендації
Часопис цивільного і кримінального судочинства. 2011. № 2. С. 92-105
61. Луспеник Д. Застосування статті 10 Конвенції про захист прав і
основних свобод людини при розгляді судами справ за позовами про захист
честі, гідності і ділової репутації Вісник Академії правових наук України.
2002. №4 (31). С. 106-111.
62. Мавринская Т.В., Лошкарёв А.В., Чуракова Е.Н. Обезличивание
персональных данных и технологии «больших данных» (bigdata)
Интерактивная наука. 2017. № 6 (16). С. 78-80.
63. Мельник К. С. Правові та організаційні засади захисту
персональних даних в умовах євроінтеграції України: автореф. дис. ... канд.
юрид. наук. Київ, 2016. 20 с.
64. Мельник К. С. Теоретико-правовий зміст терміна “персональні
дані” Інформація і право. 2013. № 3(9). С. 49-57
65. Мельник К. С. Теоретичні та організаційно-правові засади
захисту персональних даних в контексті євроінтеграції України. К. : ТОВ
"ПанТот", 2016. 126 с.
66. Мельник К.С. Обробка та захист персональних даних в
соціальних мережах Інформація і право, 2014. № 3(12).
67. Мельник К.С. Правові механізми захисту персональних даних в
європейському союзі Правова інформатика. 2013. № 4(40). С. 55-61
68. Мельник К.С. Удосконалення нормативно-правового
регулювання захисту персональних даних в Україні Правова інформатика.
2014. № 1(41) С. 30-43.
212
69. Михайленко І. В. Поняття і зміст права на недоторканність
приватного життя Проблеми законності. 2011. Вип. 113. С. 183-190.
70. Михайленко І. В. Право людини на недоторканість приватного
життя: поняття, аспекти, механізм реалізації : автореф. дис. ... канд. юрид.
наук. Харків, 2014. 20 с.
71. Міжнародний пакт про громадянські і політичні права (прийнято
16 грудня 1966 року Генеральною Асамблеєю ООН) URL:
http://zakon3.rada.gov.ua/laws/show/995_043
72. Модельный закон «О персональных данных» URL:
http://www.russianlaw.net/law/civil_rights/pd/t20/
73. Можаровська К.В. Процесуальні особливості розгляду справ про
захист гідності, честі та ділової репутації публічних осіб : автореф. дис. …
канд. юрид. наук. Одеса, 2014. 20 с.
74. Можаровська, К. В. Зміст категорії "публічна особа" в контексті її
права на захист честі, гідності та ділової репутації Науковий вісник
Ужгородського національного університету : Серія: Право. 2013. Вип. 22.
Т.1. Ч.1. С. 178-182.
75. Молчанов С.В., Нехайчик В.К. Обеспечение конфиденциальности
информации в России и некоторых зарубежных странах: сравнительно-
правовоеисследование Право и политика. 2008. № 6. С. 14-97.
76. Мучник А. Право на неприкосновенность личной и семейной
жизни, жилища и коммуникаций человека URL:
http://vybor.ua/article/prava_cheloveka/pravo-na-neprikosnovennost-lichnoy-i-
semeynoy-jizni-jilishcha-i-kommunikaciy-cheloveka.html
77. Нагнійчук О.І. Співвідношення права на свободу вираження
щодо публічних осіб та права на повагу до приватного та сімейного життя
публічних осіб у практиці Європейського cуду з прав людини С. 76
78. Науково-практичний коментар до Закону України «Про доступ до
публічної інформації». К. : Центр суспільних медіа, 2012. 335 c.
213
79. Нестеренко О. В. Право на доступ до інформації в Україні:
конституційно-правовий аспект: автореферат дис. ... канд. юрид. наук.
Харків, 2008. 20 с.
80. Нестеренко О. Інформація в Україні: право на доступ. Х. : Акта,
2012. 306 с.
81. Нестеренко О.В. Суспільно необхідна інформація (Що це означає
в контексті теорії та практики застосування?) URL: http://stop-x-files-
ua.org/suspilno-neobhidna-informatsiya/
82. Новицький А., Дяковський О. Правове регулювання
інформаційних баз даних, що містять персональні дані Підприємництво,
господарство і право. 2017. № 10. С. 177-181.
83. Новый европейский регламент по защите данных – последствия
для российских организаций URL: http://www.buzko.legal/content-ru/general-
data-protection-regulation
84. Об информатике, картотеках и свободах: Закон № 78-17 от 6
января 1978 г. Французская республика : Конституция и законодательные
акты. Москва : Прогресс, 1989. С. 348-361.
85. Обуховська Т. Класифікація персональних даних та режиму
доступу до них Вісник Національної академії державного управління при
Президентові України. 2013. № 1. С. 97-104.
86. Общий регламент ЕС по защите персональных данных URL:
http://internetinside.ru/obshhiy-reglament-es-po-zashhite-personal/
87. Олексін С. Big Data – чи є загроза персональним даним?
Юридична газета. 2017. № 42. С. 20
88. Омбудсмен просит заблокировать доступ к сайту "Миротворец",
который "слил" данные о журналистах URL:
https://www.unian.net/politics/1343151-obmbudsmen-prosit-zablokirovat-dostup-
k-saytu-mirotvorets-kotoryiy-slil-dannyie-o-jurnalistah.html
214
89. Пазюк A.В. Міжнародно-правовий захист права людини на
приватність персоніфікованої інформації: автореф. дис... канд. юрид. наук.
К., 2004. 19 с.
90. Пазюк А. Захист персональних даних: європейський досвід та
перспективи впровадження в Україні Економіка. Фінанси. Право. 2000. № 10.
С. 22-25.
91. Пазюк А.В. Міжнародно-правовий захист права людини на
приватність персоніфікованої інформації : дис. ... канд. юрид. наук. Київ,
2004. 205 с.
92. Панкевич О.З. Право на приватність: царина незалежності особи
Науковий вісник Львівського державного університету внутрішніх справ.
2017. № 2. С. 47-56
93. Первые судебные решения о личном идентификационном коде в
Венгрии URL: http://library.khpg.org/index.php?id=1084718376
94. Перевірка ІПН Україна URL: http://inn-baza-
ukraina.net/uk/servis/перевірка-іпн-україна (дата звернення: 11.12.2018).
95. Петрицький А. Л. Актуальні проблеми правового забезпечення
захисту персональних даних в Україні Вісник Маріупольського державного
університету. Сер. : Право. 2013. Вип. 6. С. 111-119.
96. Петрицький А. Л. Правові та організаційні засади захисту
персональних даних: автореф. дис. ... канд. юрид. наук. Київ, 2015. 21 с.
97. Петрыкина Н.И. Правовое регулирование оборота персональных
данных: теория и практика. М., 2011. 134 с.
98. Петрыкина Н.И. Правовое регулирования оборота персональных
данных в России и странах ЕС: сравнительно-правовое исследование: дис.
канд. юр. наук. – Москва, 2007. 26 с.
99. Пилипчук В.Г., Брижко В.М. Реформування і розвиток системи
захисту персональних даних в Україні Інформація і право 2017. № 3(22). С.
5-21.
215
100. Пилипчук В.Г., Брижко В.М. Трансформація системи захисту
персональних даних та приватності в контексті євроінтеграції України Вісник
Національної академії правових наук України 2017 № 3 (90) с. 36-50
101. Поліція завела справу проти сайту Миротворець URL:
https://ua.korrespondent.net/ukraine/3866954-politsiia-zavela-spravu-proty-saitu-
myrotvorets
102. Полное Собрание Сочинений В.И.Ленина. 5-е изд. М.:
Издательство политической литературы, 1970. т. 44. 726 с.
103. Положення про технічний захист інформації в Україні
(затверджено Указом Президента України від 27 вересня 1999 року №
1229/99). URL: http://zakon3.rada.gov.ua/laws/show/1229/99
104. Популярное приложение GetСontact запретили в Казахстане URL:
http://today.kz/news/gadzhetyi/2018-02-09/759696-populyarnoe-prilozhenie-
getsontact-zapretili-v-kazahstane/
105. Посикалюк О. О. Особисті немайнові права фізичних осіб в
романській, германській, англо-американській системах приватного права.
К. : Науково-дослідний інститут приватного права і підприємництва НАПрН
України, 2011. 204 с.
106. Посикалюк О.О. Особисті немайнові права фізичних осіб в
романській, германській, англо-американській системах приватного права:
автореферат дис. ... канд. юрид. наук. Київ 2012. 20 с
107. Посикалюк О.О. Суспільно необхідна інформація як межа
здійснення та захисту особистих немайнових прав фізичних осіб
Унверситетські наукові записки 2012. № 4. С. 145-152.
108. Посібник з європейського права у сфері захисту персональних
даних / [Агенція Європ. Союзу з питань основополож. прав (FRA), Рада
Європи, Європ. суд з прав людини]. Київ : К.І.С, 2015. 215 с.
109. Постанова Пленуму Верховного Суду України від 27.02.2009 № 1
Про судову практику у справах про захист гідності та честі фізичної особи, а
216
також ділової репутації фізичної та юридичної особи URL:
http://zakon5.rada.gov.ua/laws/show/v_001700-09
110. Права людини в Україні – 2016. Доповідь правозахисних
організацій / За ред.: А. П. Бущенка, О. А. Мартиненка / Українська
Гельсінська спілка з прав людини. К: КВІЦ, 2017. 315 с.
111. Право на забуття — що це таке й чому про нього варто знати?
URL:
http://ms.detector.media/trends/1411978127/pravo_na_zabuttya_scho_tse_take_y_
chomu_pro_nogo_varto_znati/
112. Приватність і права людини URL:
http://khpg.org/index.php?id=928437562
113. Про Державний реєстр виборців: Закон України від 22 лютого
2007 року № 698-V URL: http://zakon2.rada.gov.ua/laws/show/698-16
114. Про дослідження біологічних матеріалів людського походження :
Рекомендація Комітету міністрів Ради Європи державам-членам № Rec
(2006) 4 URL: www.wcd.coe.int/ViewDoc.jsp?id=977859
115. Про Єдиний державний демографічний реєстр та документи, що
підтверджують громадянство України, посвідчують особу чи її спеціальний
статус: Закон України від 20 листопада 2012 року № 5492-VI URL:
http://zakon5.rada.gov.ua/laws/show/5492-17
116. Про затвердження зразка бланка, технічного опису та Порядку
оформлення, видачі, обміну, пересилання, вилучення, повернення державі,
визнання недійсним та знищення паспорта громадянина України: постанова
Кабінету Міністрів України від 25 березня 2015 р. № 302 URL:
http://zakon5.rada.gov.ua/laws/show/302-2015-%D0%BF
117. Про затвердження Положення про набори даних, які підлягають
оприлюдненню у формі відкритих даних: постанова Кабінету Міністрів
України від 21 жовтня 2015 р. № 835 URL:
http://zakon0.rada.gov.ua/laws/show/835-2015-%D0%BF
217
118. Про захист персональних даних: Закон України від 1 червня 2010
року № 2297-V URL: http://zakon5.rada.gov.ua/laws/show/2297-17
119. Про концепції персональних даних : Висновок Робочої групи із
захисту даних, утвореної відповідно до статті 29 Директиви 95/46/ЄС (WP
136) від 20.06.07 р. Захист персональних даних : міжнародні стандарти :
збірник нормативно-правових документів. К. : Видавництво Подоліна І.В.,
2013. С. 515-541
120. Проскурякова М.И. Защита персональных данных в праве России
и Германии: конституционно-правовой аспект: дис. ... канд. юрид. наук. С-
Пб, 2017. 193 с.
121. Проценко В. А. Особливості механізмів захисту персональних
даних в законодавстві ЄС Правова інформатика. 2012. № 2. С. 45-50.
122. Радкевич О.П. До розуміння персональної інформації та
персональних даних Інформаційні технології в глобальному управлінні:
Матеріали наук.-практ. конф. м. Київ, 29 жовтня 2011 р. – К., 2011. С. 122-
124.
123. Радкевич О.П. Забезпечення охорони і захисту персональної
інформації у Сполучених Штатах Америки та Великій Британії Вісник Вищої
ради юстиції. 2012. № 1 (9). С. 141-153.
124. Размєтаєва Ю. Залиште мене у спокої або право бути забутим
Права людини філософські, теоретико-юридичні та політологічні виміри:
Статті учасників І Міжнародного круглого столу (м. Львів, 28-29 жовтня
2016 року). Львів: Видавництво ЛОБФ «Медицина і право», 2017. С. 221-
234
125. Резолюція № 1165 (1998) Право на приватність URL:
http://cedem.org.ua/library/rezolyutsiya-1165-1998-pravo-na-pryvatnist/
126. Речицький В. Політико-правовий коментар до Рішення
Конституційного Суду України у справі за конституційним поданням
Жашківської районної ради Черкаської області щодо офіційного тлумачення
218
положень частини першої, другої статті 32, частини другої, третьої статті 34
Конституції України Свобода висловлювань і приватність. 2012. № 1. С.
26-29.
127. Речицький В.В. Проект Конституції України — 2009.
Перспектива прав людини. / Харківська правозахисна група. Харків: Права
людини, 2009. 144 с.
128. Різак М. Проблеми забезпечення захисту прав і свобод людини
при впровадженні Єдиного реєстру фізичних осіб України та документів
посвідчення особи з електронним носієм інформації Віче. 2011. № 24. С. 17-
20
129. Різак М.В. Правовий статус Уповноваженого органу з питань
захисту персональних даних: досвід зарубіжних країн Форумс права. 2012.
№ 3. С. 619–625
130. Рішення Конституційного Суду України у справі щодо
офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України "Про
інформацію" та статті 12 Закону України "Про прокуратуру" (справа
К.Г.Устименка) від 30 жовтня 1997 року URL:
http://zakon3.rada.gov.ua/laws/show/v005p710-97
131. Рішення Верховного Суду від 26.03.2018 № 806/3265/17
(№Пз/9901/2/18) - про оформлення паспорта громадянина України URL:
https://supreme.court.gov.ua/supreme/inshe/zrazkovi_sprav
u/zr_rish_806_3265_17
132. Рішення Верховного Суду від 26.03.2018 р. N 806/3265/17 URL:
http://www.cct.com.ua/2018/26.03.2018_806_3265_17.htm
133. Рішення ЄСПЛ у справі «K.U. проти Фінляндії» (K.U. v. Finland),
№ 2872/02 від 2 грудня 2008 р. URL:
https://hudoc.echr.coe.int/app/conversion/pdf/?library=ECHR&id=001-
117605&filename=001-117605.pdf&TID=ihgdqbxnfi
219
134. Рішення Конституційного Суду України у справі за
конституційним зверненням Національного банку України щодо офіційного
тлумачення положення частини першої статті 58 Конституції України
(справа про зворотну дію в часі законів та інших нормативно-правових
актів) від 9 лютого 1999 року N 1-рп/99 URL:
http://zakon3.rada.gov.ua/laws/show/en/v001p710-99
135. Рішення Конституційного Суду України у справі за
конституційним зверненням громадянина Сердюка Валерія Анатолійовича
про офіційне тлумачення положення частини першої статті 7 Цивільного
кодексу Української РСР (справа про поширення відомостей) від 10 квітня
2003 року N 8-рп/2003 URL: http://zakon5.rada.gov.ua/laws/show/v008p710-
03
136. Рішення Конституційного Суду України від 20 січня 2012 року №
2-рп/2012 у справі за конституційним поданням Жашківської районної ради
Черкаської області щодо офіційного тлумачення положень частин першої,
другої статті 32, частин другої, третьої статті 34 Конституції України URL:
http://zakon2.rada.gov.ua/laws/show/v002p710-12
137. Рішення у справі «Аксель Шпрінгер проти Німеччини» (Axel
Springer AG v. Germany), № 39954/08 від 7 лютого 2012 р. URL:
http://hudoc.echr.coe.int/eng?i=001-109034
138. Рішення у справі «Аманн проти Швейцарії» (Amann v. Switzer-
land), №. 27798/95 від 16 лютого 2000 р. URL:
http://hudoc.echr.coe.int/eng?i=001-58497
139. Романюк І. І. Охорона права на персональні дані в Україні
(цивільно-правовий аспект) : Дис. ... канд. юрид. наук. Київ, 2015. 267 c.
140. Романюк І. Особливості змісту та реалізації права на персональні
дані в Україні та зарубіжних країнах Вісник Київського національного
університету імені Тараса Шевченка. Юридичні науки. 2013. Вип. 2. С. 102-
106.
220
141. Сбор биометрических данных признали конституционным URL:
https://kloop.kg/blog/2015/09/15/sbor-biometricheskih-dannyh-priznali-
konstitutsionnym/
142. Серебряник О. О. Інформація про особу як об’єкт цивільних
справ : дис. ... канд. юрид. наук : 12.00.03. Івано-Франківськ, 2016.
143. Серёгин, В. А. "Big data": новая угроза для прайвеси в условиях
информационного общества Науковий вісник Ужгородського Національного
університету : Серія: Право. Ужгород : Видавничий дім "Гельветика", 2015.
Вип. 35. Ч. 1. Т. 1. С. 93-97.
144. Серьогін В. О. Конституційне право особи на недоторканість
приватного життя (прайвесі): проблеми теорії та практики: Дис. ... д-ра юрид.
наук. Х., 2011. 415 с.
145. Серьогін В.О. Право на недоторканність приватного життя
(прайвесі) у конституційно-правовій теорії та практиці. Харків : ФІНН, 2010.
608 с.
146. Слінько Т. М. Сучасні означення інформації Право.UA: наук.-
практич. журн. 2016. № 2. С. 23–29
147. Слінько Т.М. Свобода вираження поглядів у рішеннях
Європейського суду з прав людини та загальні критерії її обмеження Форм
права. 2009. № 3. С. 596-601.
148. Словник української мови: в 11 томах. Т. 4 : І-М; ред. тому: А. А.
Бурячок, П. П. Доценко. К.: Наук. думка, 1973. 840 c.
149. Сопілко І. М. Генезис змісту категорії "персональні дані"
Юридичний вісник. Повітряне і космічне право. 2013. № 4. С. 62-66
150. Сопілко І.М. Механізм захисту персональних даних: проблеми та
перспективи Юридичний вісник. 2013. № 2(27). С. 66-70
151. Сосніа О.В. Кримінальна відповідальність за порушення
недоторканності приватного життя (ст. 182 КК України) : дис. ... канд. юрид.
наук. Львів, 2007. 256 с.
221
152. Справа Лінгенса (12/1984/84/131), Страсбург, 8 липня 1986 року
URL: http://zakon.rada.gov.ua/laws/show/980_066
153. Сухорольський П. Право бути забутим у правовій системі
Європейського Союзу: реалії, проблеми та перспективи Наука міжнародного
права на рубежі століть. Тенденції розвитку та трансформації : спеціальне
видання наукових статей. Львів : ЛНУ імені Івана Франка, 2016. С. 90–101
154. Тацій В.Я., Петришин О.В., Барабаш Ю.Г. та ін. Конституція
України. Науково-практичний коментар; Нац.акад.прав.наук України. 2-ге
вид., переробл. і допов. Х.: Право, 2012. 1128 с.
155. Телина Ю. С. Конституционное право гражданина на
неприкосновенность частной жизни, личную и семейную тайну при
обработке персональных данных в России и зарубежных странах : дис. ...
канд. юрид. наук. М., 2016. 266 с.
156. Теремецький В. І., Цвірюк Д. В. Застосування зарубіжного
досвіду правового захисту персональних даних в Україні Часопис Академії
адвокатури України. 2014. Т. 7, № 2. С. 73-82.
157. Тодика Ю.М, Тодика О.Ю. Конституційно-правовий статус
людини і громадянина в Україні. Київ: Ін Юре, 2004. 368 с.
158. Тунік А. Персональні дані, інформація про особу, конфіденційна
інформація про особу: аспекти співвідношення Підприємництво,
господарство і право. 2012. № 5. С. 50–54.
159. Указ Президента України №133/2017 «Про рішення Ради
національної безпеки і оборони України від 28 квітня 2017 року "Про
застосування персональних спеціальних економічних та інших
обмежувальних заходів (санкцій)"» URL:
http://www.president.gov.ua/documents/1332017-21850
160. Україна увійшла в ТОП-30 країн за ступенем відкритості даних
URL: https://www.kmu.gov.ua/ua/news/249957852
222
161. Усенко І. Коментар до Закону України «Про захист персональних
даних» URL: http://khpg.org/index.php?id=1330343937
162. Ухвала колегії суддів Судової палати у цивільних справах
Вищого спеціалізованого суду України з розгляду цивільних і кримінальних
справ від 13 квітня 2011 року URL:
http://reyestr.court.gov.ua/Review/15134805
163. Ухвала колегії суддів Судової палати у цивільних справах
Вищого спеціалізованого суду України з розгляду цивільних і кримінальних
справ від 19 червня 2017 року URL:
http://reyestr.court.gov.ua/Review/67329784
164. Ухвала колегії суддів Судової палати у цивільних справах
Вищого спеціалізованого суду України з розгляду цивільних і кримінальних
справ від 16 серпня 2017 року URL:
http://reyestr.court.gov.ua/Review/68325758
165. Ухвала колегії суддів Судової палати у цивільних справах
Вищого спеціалізованого суду України з розгляду цивільних і кримінальних
справ від 28 серпня 2017 року URL:
http://reyestr.court.gov.ua/Review/68752705
166. Федеральний закон Швейцарії “Про захист даних” від 19 червня
1992 р. URL: http://library.khpg.org/index.php?id=1139410737
167. Харебава Т. Використання публічних та персональних даних:
закордонний досвід Юридична газета. 2017. № 42. С. 22-23
168. Хартия основных прав Европейского Союза 7 декабря 2000 года
URL: http://zakon0.rada.gov.ua/laws/show/994_524
169. Хоббі Ю.С. Основні проблеми забезпечення інформаційних прав
людини в контексті євроінтеграції України Вісник Маріупольського
державного університету. Серія : Право. 2015. Вип. 9-10. С. 62-71.
223
170. Чуприна О. Співвідношення понять "персональні дані",
"інформація про особу", "конфіденційна інформація про особу"
Підприємництво, господарство і право. 2013. № 1. С. 104–105.
171. Шахраї втягнули ProZorro в скандал URL:
https://www.epravda.com.ua/news/2018/10/23/641895/
172. Шевчук С. Судовий захист прав людини: Практика
Європейського Суду з прав людини у контексті західної правової традиції.
К.: Реферат, 2006. 848 с.
173. Юридичні особи, до яких застосовуються обмежувальні заходи
(санкції): Додаток 2 до рішення Ради національної безпеки і оборони України
від «28» квітня 2017 року «Про застосування персональних спеціальних
економічних та інших обмежувальних заходів (санкцій)» URL:
http://www.president.gov.ua/storage/j-files-
storage/00/40/30/6f76b8df9d0716da74bb4ae6a900d483_1494864914.pdf
174. Як критикувати публічних осіб? URL:
http://zib.com.ua/ua/print/116795-yak_kritikuvati_publichnih_osib.html
175. Act on Processing of Personal Data (Act No. 429 of 31 May 2000)
URL: http://www.datatilsynet.dk/english
176. Act on the Protection of Privacy as regards the Processing of Personal
Data, No. 77/2000 URL: http://www.personuvernd.is/information-in-
english/greinar/nr/438
177. Alan S. Reid The European Court of Justice case of Breyer URL:
https://journals.winchesteruniversitypress.org/index.php/jirpp/article/view/32.
178. Beverley-Smith H., Ohly A., Lucas-Schloetter A. Privacy, Property
and Personality: Civil Law perspectives on Commercial Appropriation. New York
: Cambridge University Press, 2005. 246 p.
179. Big Data - основні ризики в контексті захисту персональних
даних Юридична газета 2017 р. № 42. С. 9
224
180. Brandais L., Warren S. The Right to Privacy Harvard Law Review.
1890. Vol. IV. № 5. December 15. P. 193–220.
181. Bundesdatenschutzgesetz (BDSG) URL: https://www.gesetze-im-
internet.de/bdsg_2018/BJNR209710017.html
182. Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für
Datenschutzgesetz, Fassung vom 10.11.2018 URL:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetz
esnummer=10001597
183. Canada, Privacy Act of 1983 (R.S., 1985, c. P-21) URL: https://laws-
lois.justice.gc.ca/eng/acts/P-21/index.html
184. Charter of Fundamental Rights of the European Union URL:
http://www.europarl.europa.eu/charter/pdf/text_en.pdf
185. Commission Communication COM (92) 422 : Amended Proposal for
a Council Directive on the Protection of Individuals with Regard to the Processing
of Personal Data and on the Free Movement of Such Data. URL: www.eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:1992:311:0030:0061:EN:PDF
186. Constitution of the Portuguese republic (seventh revision [2005])
URL:
http://www.tribunalconstitucional.pt/tc/conteudo/files/constituicaoingles.pdf
187. Convention for the Protection of Individuals with regard to Automatic
Processing of Personal Data : Amendment to Cоnvention ETS No. 108 allowing
the European Communities to accede. Strasbourg, 28.1.1981. – URL:
http://www.convention.coe.int/treaty/en/Treaties/Html/ 108.htm
188. Copyright, Designs and Patents Act, 1988 URL:
http://www.legislation.gov.uk/ ukpga/1988/48/contents.
189. Coulibaly I. La protection des données à caractère personnel dans le
domaine de la recherche scientifique. Droit. Université de Grenoble, 2011.
Français URL: https://tel.archives-ouvertes.fr/tel-00798112/document
225
190. Data Protection Act, 1998 URL:
http://www.legislation.gov.uk/ukpga/1998/29.
191. Directive 95/46/EC of the European Parliament and of the Council of
24 October 1995 on the protection of individuals with regard to the processing of
personal data and the free movement of such data URL:
http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-
46_part1_en.pdf.
192. Facebook moves 1.5bn users out of reach of new European privacy
law URL: https://www.theguardian.com/technology/2018/apr/19/facebook-
moves-15bn-users-out-of-reach-of-new-european-privacy-law
193. Global open data index URL: https://index.okfn.org/place/
194. Groups claim YouTube illegally collects data from kids URL:
http://money.cnn.com/2018/04/09/technology/youtube-ftc-kids/index.html
195. Harris D. J., O’Boyle M., Bates E. and other. Law of the European
Convention on Human Rights. 2nd ed.. Oxford University Press, 2009. 480
196. Incal v. Turkey, № 22678/93 URL:
https://www.tandfonline.com/doi/abs/10.1080/13642989808406781
197. International Covenant on Civil and Political Rights URL:
http://www.ohchr.org/en/professionalinterest/pages/ccpr.aspx
198. Judgment of the Court (Second Chamber) 19 October 2016 URL:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageInd
ex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=919906
199. Karhuvaara and Iltalehti v. Finland, № 53678/00 URL:
https://lovdata.no/static/EMDN/emd-2006-006372.pdf
200. Loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le
terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles
frontaliers URL: http://www.legifrance.gouv.fr/
affichTexte.do?cidTexte=LEGITEXT000006053177.
226
201. Loi n°78-17 du 6 janvier 1978, Loi relative à l'informatique, aux
fichiers et aux libertés URL:
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT00000606862
4&dateTexte=vig
202. Personal Data Act (523/1999) (Henkilotietolain taustaa) URL:
http://www.tietosuoja.fi/en/index/rekisterinpitajalle.html
203. Personal Data Protection Act 25/326. October 4th, 2000 (Argentina)
URL: http://www.protecciondedatos.com.ar/law25326.htm
204. Registered Designs Act, 1949 URL:
http://legislation.data.gov.uk/ukpga/Geo6/12-13-14/88/data.htm?wrap=true.
205. Regulation (eu) 2016 of the European Parliament and of the Council
of on the protection of natural persons with regard to the processing of personal da-
ta and on the free movement of such data, and repealing Directive 95/46/EC (Gen-
eral Data Protection Regulation) URL:
http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf
206. The Data Protection Act: Act on the Protection of Privacy as regards
the Processing of Personal Data, No. 77/2000 URL:
https://www.personuvernd.is/information-in-english/greinar/nr/438
207. Trade Marks Act, 1994 URL:
http://www.legislation.gov.uk/ukpga/1994/26/ contents.
208. Оn the use of passenger name record (PNR) data for the prevention,
detection, investigation and prosecution of terrorist offences and serious crime :
Directive (EU) 2016/681 of the European Parliament and of the Council, of 27
April 2016. URL: https://consilium.europa.eu/en/ press/press-
releases/2016/04/21-council-adopts-eu-pnr-directive/&prev=search
227
ДОДАТКИ
Додаток А
Список публікацій здобувача за темою дисертації
Наукові праці, в яких відображені основні результати дослідження:
1. Кардаш А. В. Захист інформації про публічних осіб в Україні Публічне
право. 2017. № 4. С. 84-90
2. Кардаш А. В. Уповноважений орган у сфері захисту інформації про
особу в Україні: проблеми правового регулювання Науковий вісник
Херсонського державного університету. Серія «Юридичні науки». 2017. №
5. С. 64-67
3. Кардаш А.В. Уповноважений орган у сфері захисту інформації про
особу: зарубіжний досвід Право і суспільство. 2017. № 6. С. 7-13
4. Кардаш А.В. Право на приватність як основоположне право людини
Науковий вісник Ужгородського національного університету. 2017. Серія
Право. Вип. 47. С. 76-80.
5. Кардаш А. В. Інформація про особу та персональні дані: окремі аспекти
співвідношення Форум права: електрон. наук. фахове вид. 2017. № 4. С. 87–
92. URL: http://nbuv.gov.ua/j-pdf/FP_index.htm_2017_4_15.pdf
Наукові праці, в яких засвідчено апробацію результатів дослідження:
1. Кардаш А. В. До питання про розмежування категорії "інформація про
особу" та "персональні дані" Принципи сучасного конституціоналізму та
Основний Закон України. IХ Тодиківські читання : зб. тез наук. доп. і
повідомлень Міжнар. наук. конф. (4-5 лист. 2016 р.) / гол. редкол. А. П.
Гетьман ; редкол. Ю. Г. Барабаш [та ін.] . Харків : Права людини, 2016. С.
59-61.
228
2. Кардаш А. В. Правова регламентація особистих прав в Конституції
УНР ("Круглий стіл" "Історія українського парламентаризму (до 100-річчя
утворення Української Центральної Ради)") Вісник Національної академії
правових наук України. 2017. № 2. С. 230.
3. Кардаш А. В. Уповноважений орган в сфері захисту інформації про
особу в Україні Юридична осінь 2017 року : зб. тез доп. та наук. повідомл.
учасників всеукр. наук. конф. молодих учених : 15 листоп. 2017 р. м. Харків /
М-во освіти і науки України, Нац. юрид. ун-т ім. Ярослава Мудрого, Рада
молодих учених, Студент. наук. т-во. Харків : НЮУ ім. Ярослава Мудрого,
2017. С. 48-50
4. Кардаш А. В. Захист інформації про публічних осіб в Україні
Конституція України в контексті сучасних конституційних парадигм. Х
Тодиківські читання : зб. тез наук. доп. і повідомлень Міжнар. наук. конф.
(27-28 жовт. 2017 р.) / гол. редкол. А. П. Гетьман ; редкол. Ю. Г. Барабаш [та
ін.] . Харків : Права людини, 2017. С. 121-122 .
5. Кардаш А. В. Конституційно-правовий захист інформації про особу:
порівняльний аспект Юридична осінь 2018 року : зб. тез доп. та наук.
повідомл. учасників всеукр. наук. конф. молодих учених : 14 листоп. 2018 р.
м. Харків / М-во освіти і науки України, Нац. юрид. ун-т ім. Ярослава
Мудрого, Рада молодих учених, Студент. наук. т-во. Харків : НЮУ ім.
Ярослава Мудрого, 2018. С. 189-191.