Захист персональних даних в діяльності поліції
06.02.2017
Одним із напрямків розвитку України є підвищення захисту персональних даних та забезпечення прав осіб на недоторканність приватного життя. У зв’язку з тим, що захист основних прав і свобод людини щодо обробки персональних даних безпосередньо впливає на авторитет держави, зокрема, її здатності реалізовувати ефективну внутрішню і зовнішню політики в галузі прав людини, в липні 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковий протокол до неї. Цим Україна взяла на себе зобов’язання забезпечити дотримання прав і свобод людини, зокрема, права на недоторканність приватного життя, передбаченого статтею 8 Конвенції про захист прав людини і основних свобод та гарантованого статтею 32 Конституції України. Для реалізації взятого на себе зобов’язання Верховною Радою України прийнято Закон України «Про захист персональних даних», який набув чинності 1 січня 2011 року.
Як показує практика, процес гармонізації національного законодавства у сфері захисту персональних даних є складним, тому повинен бути безперервним і слідувати постійним змінам, які відбуваються в цій області. В даний час кожен володілець та розпорядник персональних даних визначає власну політику безпеки щодо обробки даних, яка має відповідати вимогам законодавства.
У 2015 році був прийнятий Закон України «Про Національну поліцію», який передбачає повноваження поліції в безпрецедентному масштабі формувати і використовувати інформаційні ресурси (бази даних), зокрема, що входять до єдиної інформаційної системи Міністерства внутрішніх справ України. Також поліція може створювати власні бази даних і має безпосередній оперативний доступ до інформації та інформаційних ресурсів інших органів державної влади. Сучасні інформаційні технології та законодавство відкривають можливості для правоохоронних органів обробляти величезний обсяг персональних даних. Проте, з огляду на численні переваги цих технологій, слід визнати, що при несанкціонованому їх використанні (без дотримання вимог закону), це може призвести до серйозних наслідків.
Повна відсутність прозорого управління у сфері захисту персональних даних в діяльності Національної поліції (забезпечення максимального інформування суб‘єктів персональних даних про правові підстави, способи, мету обробки, строки зберігання та знищення персональних даних поліцейськими службами) привертає все більше уваги до проблем у даній сфері.
У чому проблема?
Однією з причин, яка призводить до порушення вимог законодавства у сфері захисту персональних даних є те, що співробітники поліції не знають положень правової бази, яка регулює цю сферу, а також зобов’язань щодо забезпечення конфіденційності і заходів безпеки під час обробки даних. У зв’язку з цим, суб’єкти персональних даних (фізична особа, персональні дані якої обробляються) стають жертвами зловживань з боку правоохоронців, які збирають та обробляють їх персональні дані з грубими порушеннями Закону «Про захист персональних даних». Особливим випадком є обробка «чутливої» категорії персональних даних (про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних), як показує практика, здебільшого суб’єктами таких даних є вразливі групи населення.
Серед поширених порушень можна виділити:
– доступ до персональних даних за відсутності повноважень, законної підстави і обгрунтованої мети такого доступу.
– незаконна обробка «чутливої» категорії персональних даних, шляхом надання необмеженого до них доступу, розкриття для широкого загалу, а також збір таких даних за відсутності законної підстави і обгрунтованої мети збирати таку інформацію. (Наприклад, ст. 26 Закону України «Про Національну поліцію» визначає перелік баз (банків) даних, які поліція має право формувати і підтримувати шляхом наповнення. Згідно цього переліку поліція, зокрема, має право формувати бази осіб, які стоять на обліку за наркозлочини. Однак, на практиці поширеними є випадки, коли працівники підрозділів з протидії наркозлочинності масово витребовують з медичних закладів дані щодо осіб, які стоять на обліку як такі, що допускають немедичне вживання наркозасобів для фомування баз даних про цих осіб. Суспільство так і не отримало відповідь, яка мета і законна підстава збирати інформацію про здоров‘я людини, яка не вчининила правопорушення. Пояснення «потенційний злочинець» є неприятним).
– розкриття персональних даних для широкого загалу, а також збір надлишкового обсягу даних щодо цілей, для яких вони обробляються в подальшому. (Ще залишається відкритим питання щодо обробки відеозаписів з нагрудних камер поліцейських, а також систем відеоспостереження (збір, доступ, формування баз, порядок та термін зберігання такої інформації). Зокрема, як відеозаписи з камер з‘являються в мережі Інтернет, без дотримання вимог законодавства про захист персональних даних. Хочу звернути увагу на роз’яснення та рекомендації Уповноваженого з питань захисту персональних даних Ірландії щодо обробки відеозаписів з нагрудних камер поліцейських. Серед рекомендацій є те, що з метою дотримання законодавства про захист персональних даних, у будь-якому випадку, система повинна мати можливості записувати окремо відео і аудіо).
– недотримання прав суб’єктів даних на інформування і доступ до інформації про операції щодо обробки персональних даних, які їх стосуються (Суб’єкти персональних даних мають особисті немайнові права, які є невід’ємними і непорушними. Перелік цих прав визначений в статті 8 Закону України «Про захист персональних даних», тому звертаю Вашу увагу на ці положення).
– обробка персональних даних в цілях, несумісних з тими, з якими вони були зібрані спочатку;
– відсутність належної політики безпеки персональних даних, затвердженої володільцем та розпорядником таких даних, шляхом розробки та прийняття відповідної внутрівідомчої нормативно-правовї бази;
– відсутність відповідальних осіб з питань захисту даних;
– відсутність прозорого управління у сфері захисту даних. (Доступ поліції до великої кількості інформації з метою забезпечення національної безпеки та громадського порядку є виправданим лише за умови дотримання законодавства про захист персональних даних. Міжародними стандартами визначено, що суспільство має право знати, яку інфорацію збирають, які умови безпеки, зберігання та знищення персональних даних).
Цей перелік можна продовжувати.
Можна припустити, що у більшості випадків інформація, яка збирається і використовується в поліції не архівується в формати, які забезпечують певний рівень безпеки та конфіденційності, а також не ведеться належний її облік. Або взагалі така інформація є надлишковою, тобто не зрозуміло, з якою метою збирається і накопичується така її кількість (вид).
Серед причин порушень безпеки обробки персональних даних, можна виділити:
– відсутність розроблених і затверджених положень (внутрішньовідомчої нормативно – правової бази та практик застосування) щодо безпеки персональних даних, які б відповідали потребам даного відомства/структурного підрозділу, а також національним і міжнародним стандартам у сфері захисту персональних даних;
– низький кваліфікаційний рівень свівробітників у сфері захисту персональних даних
– передача персональних даних по незахищених каналах зв’язку;
– відсутність осіб, відповідальних за захист персональних даних;
– не ведеться належний облік зібраної або переглянутої інформації, а також того, з якою метою і на яких законних підставах збираються і проглядаються дані (як всередині відомства, так і інформаційних ресурсів інших органів державної влади).
Суб’єкти персональних даних
Відповідно до Закону України «Про захист персональних даних», суб’єкт персональних даних – фізична особа, персональні дані якого обробляються. Основна проблема порушення режиму конфіденційності та безпеки обробки персональних даних – низький рівень обізнаності суб’єктів персональних даних щодо їхніх прав, ризиків несанкціонованого використання та способів контролю щодо даних, які обробляють правоохоронні органи.
Отже, ми прагнемо до суспільства, в якому гарантоване право на повагу до приватного і сімейного життя. З метою усунення наявних проблем і забезпечення належного рівня захисту персональних даних в діяльності Національної поліції України, необхідно прийняти ряд заходів, які спочатку приведуть до поліпшення загальної ситуації з дотриманням прав людини на захист персональних даних, а в довгостроковій перспективі забезпечать становлення суспільства, в якому захист даних гарантований. І наостанок, важливо згадати, що Україна підписала Угоду про асоціацію між Україною, з одного боку, та Європейським Союзом, Європейським співтовариством з атомної енергії та їх державами-членами, з іншого боку (Угоду ратифіковано із заявою Законом № 1678-VII від 16.09.2014 року), де у статті 15 «Захист персональних даних» визначено: «Сторони домовилися співпрацювати з метою забезпечення належного рівня захисту персональних даних у відповідності до найвищих європейських і міжнародних стандартів, зокрема відповідних документів Ради Європи».