Право на невтручання в особисте життя особи (право на приватність), у тому числі у зв’язку із збиранням, зберіганням, використанням та поширенням конфіденційної інформації про особу, гарантується статтею 32 Конституції України. Згідно з частиною першою цієї статті, “ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України”. Відповідно до частини другої цієї статті: “Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини”.
Із зазначеного права особи випливає, що держава зобов’язана забезпечити її захист від втручання в особисте життя, у тому числі під час обробки інформації про особу (якою є, зокрема, персональні дані фізичної особи, вимоги щодо захисту яких передбачено Законом України “Про захист персональних даних”). Захист персональних даних є одним з елементів забезпечення права особи на невтручання в її особисте життя.
Право на приватність особи, у тому числі у зв’язку з обробкою її персональних даних, передбачено також міжнародними договорами України, а саме статтею 17 Міжнародного пакту про громадянські і політичні права та статтею 8 Конвенції про захист прав людини і основоположних свобод (Європейська конвенція про права людини, ЄКПЛ). Тлумачення положень останньої міститься у рішеннях Європейського суду з прав людини (ЄСПЛ). Вимоги щодо захисту права особи на повагу до приватного (особистого) життя під час обробки персональних даних визначені в Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних. Зазначені міжнародні договори, згідно із статтею 9 Конституції України, є частиною національного законодавства України.
Закон про демреєстр визначає, зокрема, правові та організаційні засади створення та функціонування Єдиного державного демографічного реєстру. Єдиний державний демографічний реєстр (далі - Реєстр) у частині першій статті 4 Закону визначений як “електронна інформаційно-телекомунікаційна система, призначена для зберігання, захисту, обробки, використання і поширення визначеної цим Законом інформації про особу та про документи, що оформлюються із застосуванням засобів Реєстру…”. Таким чином, у Законі про демреєстр регулюється порядок збирання, зберігання, використання та іншої обробки персональних даних, тобто відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована на підставі цих відомостей.
Таке збирання та зберігання відомостей про особу, навіть безвідносно до їх подальшого використання, є втручанням у право особи на приватність. Про це чітко вказано у рішеннях ЄСПЛ за статтею 8 Європейської конвенції про права людини, наприклад, у справі S. and Marper v. UK.
Як будь-яке інше втручання у право на приватність для того, щоб відповідати ЄКПЛ, воно повинно ґрунтуватися на законі, що відповідає вимогам якості, переслідувати правомірну мету, бути необхідним у демократичному суспільстві, зокрема, бути ненадмірним стосовно мети, яка переслідується. Аналіз Закону про демреєстр дозволяє стверджувати, що він порушує усі із зазначених вимог.
НЕВІДПОВІДНІСТЬ ВИМОГАМ ЯКОСТІ ЗАКОНУ
Будь-яке втручання у право на приватність, зокрема у зв’язку з обробкою персональних даних, повинно мати основу в законі, а сам закон повинен відповідати вимогам якості. Останнє означає, що законодавчі положення, на підставі яких здійснюється збирання та інша обробка персональних даних, повинні бути доступними (бути оприлюдненими) та передбачуваними, тобто сформульованими з достатньою чіткістю з тим, щоб особа могла регулювати свою поведінку. Крім того, закон повинен передбачати адекватний юридичний захист проти свавільності, що означає наявність чітких меж дискреційних повноважень, які надаються органам влади, визначення способу їх реалізації та встановлення запобіжників проти зловживань, у тому числі у вигляді дієвого нагляду та можливості оскарження.
Вимоги до якості закону, зокрема щодо юридичної (правової) визначеності, є складовими принципу верховенства права, який, відповідно до статті 8 Конституції України, визнається і діє в Україні. Згідно з Рішенням Конституційного Суду України від 22 грудня 2010 року №23-рп/2010, елементами верховенства права є принципи рівності і справедливості, правової визначеності, ясності і недвозначності правової норми, оскільки інше не може забезпечити її однакове застосування, не виключає необмеженості трактування у правозастосовній практиці і неминуче призводить до сваволі.
Принцип юридичної визначеності передбачає, що обмеження прав людини та громадянина і втілення цих обмежень на практиці допустиме лише за умови забезпечення передбачуваності застосування правових норм, встановлюваних такими обмеженнями. Тобто обмеження будь-якого права повинне базуватися на критеріях, які дадуть змогу особі відокремлювати правомірну поведінку від протиправної, передбачати юридичні наслідки своєї поведінки (Рішення Конституційного Суду України від 29 червня 2010 року №17-рп/2010).
Аналіз тексту Закону про демреєстр свідчить про те, що він містить безліч нечітких формулювань термінів і норм, які регулюють втручання у право на захист приватного життя. Ці недоліки роблять цей Закон непередбачуваним, таким, що позбавляє осіб можливості захисту своїх прав та допускає свавільне втручання у право на захист особистого життя. Розглянемо деякі з таких прикладів.
У пункті 12 частини першої статті 7 та в частині другій статті 19 Закону вживається термін “додаткові (факультативні) біометричні дані, параметри”. Однак визначення цього терміна у ньому відсутнє. Лише пунктом 2 частини першої статті 3 цього Закону до «додаткових біометричних даних, параметрів» віднесено відцифровані відбитки пальців рук, але не визначено, чи обмежуються такі “дані, параметри” лише відбитками пальців. Окреме визначення “біометричних параметрів” є досить широким (“вимірювальні фізичні характеристики або особистісні поведінкові риси, що використовуються для ідентифікації (впізнання) особи або верифікації наданої ідентифікаційної інформації про особу”).
Слід також враховувати, що поняття “біометричні дані” та “біометричні параметри” мають різний зміст і окремо визнаються у статті 3 Закону про демреєстр (відповідно у пунктах 2 та 3). Не є зрозумілим співвідношення понять “біометричні дані” та “біометричні параметри”, і чому види біометричних параметрів наведено у визначенні “біометричних даних”. Поняття факультативних біометричних даних чи параметрів взагалі не розкривається Законом.
Отже, ці розбіжності та невизначеність несуть загрозу неоднозначного розуміння поняття “додаткові біометричні дані, параметри”. Це може призвести до проблем під час практичної реалізації Закону про демреєстр та прийнятті підзаконних нормативно-правових актів на його виконання. Крім того, це може спричинити до порушень прав людини, особливо враховуючи те, що згідно зі статтею 19 Закону дані вносяться до безконтактного електронного носія, який є складовою майже усіх документів, передбачених цим Законом.
У пункті 2 частини першої статті 3 Закону про демреєстр вжито термін “відцифровані відбитки пальців рук”. Проте, ні цей пункт, ні жодне інше положення Закону не уточнює, скільки і які саме пальці рук підлягають відцифруванню. Попередні законопроекти на цю тему містили таке уточнення, а також передбачали випадки, за яких особа не має пальців, що підлягають відцифруванню, та відповідні альтернативні варіанти дій. Врегулювання ж цих аспектів у підзаконному акті суперечитиме вимозі законності втручання, яке передбачено статтею 32 Конституції України.
Незрозумілим є зміст частини п’ятої статті 8 Закону про демреєстр, де зазначено, що особам, які працюють з базами даних Реєстру, заборонено вимагати, обробляти та використовувати будь-яку інформацію, не передбачену цим Законом. В Законі не конкретизовано, які саме особи уповноважені працювати з базами даних Реєстру, та, власне, що розуміється під поняттям “бази даних Реєстру”, скільки існує таких баз даних тощо. Це означає, що Закон не обмежує список осіб, уповноважених на доступ до даних Реєстру, не містить адекватних запобіжників від несанкціонованого доступу, “витоку” інформації з Реєстру тощо і, таким чином, не передбачає належний захист осіб, персональні дані яких обробляються в Реєстрі.
Відповідно до частини третьої статті 21 Закону паспорт громадянина України оформляється всім особам, починаючи від народження та незалежно від віку, на кожні 10 років. У частині сьомій цієї статті перелічено весь обсяг інформації, що вноситься у документ, де у пункті 13 передбачено відцифрований образ обличчя особи. Проте, виникає запитання щодо доцільності внесення відцифрованого образу обличчя (обов’язкова інформація згідно п. 11 ч. 1 ст. 7) у документ новонародженої дитини, адже через деякий (досить незначний) час його буде неможливо використовувати для ідентифікації.
У Законі про демреєстр не визначено також, яка інформація про особу з відомчих інформаційних систем включається до Реєстру, що призводить до невизначеності та необмежених повноважень розпорядника Реєстру в частині включення інформації до Реєстру.
Не визначено і те, які суб’єкти (крім самої фізичної особи, дані якої обробляються, та розпорядника Реєстру), за яких обставин, на якій підставі та за якою процедурою можуть мати доступ до інформації, яка зберігається в Реєстрі.
У своїх багатьох важливих положеннях Закон містить прогалини і натомість відсилає до інших нормативно-правових актів, у тому числі до “законодавства”, що включає і підзаконні нормативно-правові акти. Крім принципу юридичної невизначеності, посилання на законодавство, що включає і підзаконні нормативно-правові акти, суперечить також частині другій статті 32 Конституції України, адже йдеться про врегулювання різних питань щодо збирання, зберігання, використання та поширення конфіденційної інформації про особу.
Закон не відповідає вимогам наявності адекватних гарантій захисту проти свавілля, які є складовою вимоги про допустимість втручання “згідно із законом” та елементом верховенства права. При оцінці таких гарантій слід враховувати, що Закон передбачає обробку “чутливих” даних про особу, зокрема, біометричних даних, втрата, несанкціонований доступ чи інше незаконне використання яких може призвести до непоправних наслідків – це вимагає посилених запобіжних механізмів.
На відсутність належних гарантій захисту від свавільного втручання у право на повагу до особистого життя під час обробки персональних даних особи в Реєстрі вказує таке:
1) широкі, необмежені і нечітко визначені дискреційні повноваження органів влади у зв'язку з функціонуванням Реєстру.
Наприклад, у статті 6 Закону передбачено, що функціонування Реєстру забезпечується розпорядником Реєстру через уповноважений орган (частина перша), а також що розпорядник Реєстру виконує покладені на нього функції “через уповноважений орган” (частина четверта). При цьому в Законі не визначено, що означає виконання певних функцій, повноважень “через уповноважений орган”. Слід також врахувати, що під “розпорядником Реєстру” розуміється Державна міграційна служба, а під “уповноваженим органом” – Міністерство внутрішніх справ. Тобто Державна міграційна служба як орган виконавчої влади, що спрямовується і координується Міністром внутрішніх справ, виконуватиме свої функції “через” Міністерство. Це означає, що Закон не містить чітких положень щодо виконання функцій з ведення Реєстру і, відповідно, обробки персональних даних в ньому, що може призвести до свавільного тлумачення зазначеними органами своїх повноважень і порушення прав особи.
Закон не визначає, яка інформація про особу з відомчих інформаційних систем включається до Реєстру, що призводить до невизначеності та необмежених повноважень розпорядника Реєстру в частині включення інформації до Реєстру;
2) згідно зі статтею 8 Закону, взаємодія між уповноваженими суб'єктами щодо захисту інформації, яка вноситься та зберігається в Реєстрі та відомчих інформаційних системах (ВІС), забезпечується центральним органом виконавчої влади з питань захисту персональних даних. Також на центральний орган виконавчої влади з питань захисту персональних даних відповідно до закону покладається здійснення заходів щодо захисту цілісності баз даних Реєстру, їх технологічного і програмного забезпечення, захисту інформації Реєстру від випадкового чи незаконного знищення, спотворення, втрати, несанкціонованого надання чи доступу.
При цьому слід враховувати, що згідно із Законом України “Про захист персональних даних” уповноваженим державним органом з питань захисту персональних даних є центральний орган виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних. На цей орган згідно із Законом України “Про захист персональних даних” (стаття 23) покладено, зокрема: контроль за додержанням вимог законодавства про захист персональних даних; видання обов'язкових для виконання законних вимог (приписів) про усунення порушень законодавства про захист персональних даних.
Звідси випливає, що на один і той же орган державної влади покладається, з одного боку, захист інформації в Реєстрі, захист цілісності баз даних Реєстр, які містять персональні дані, а, з іншого боку, контроль за додержанням вимог законодавства про захист персональних даних при роботі з Реєстром. Іншими словами, центральний орган виконавчої влади з питань захисту персональних даних, по суті, здійснюватиме контроль сам за собою. Це веде до очевидного конфлікту інтересів, поєднання в одному органі несумісних функцій і, як наслідок, порушення принципу, що ніхто не може бути суддею у своїй справі. Це робить недієвим і неадекватним державний контроль за дотриманням законодавства про захист персональних даних, порушує вимоги щодо існування адекватних гарантій захисту від свавільного втручання у право на повагу до особистого життя;
3) однією з гарантій захисту від свавільного втручання є повідомлення особи про обробку її персональних даних, зокрема про передачу її даних третім особам, установлення порядку надання особі її персональних даних для ознайомлення тощо. Ці права є важливими передумовами для звернення особи за захистом своїх прав у випадку порушення.
Закон не передбачає адекватних механізмів доступу особи до інформації про неї, яка міститься в Реєстрі. У статті 9 Закону передбачено права особи, персональні дані якої внесені до Реєстру, на: отримання інформації про наявність запису в Реєстрі стосовно неї; безоплатне отримання довідки про внесення інформації до Реєстру або витягу з Реєстру; отримання від уповноважених суб'єктів на безоплатній основі повідомлення про кожен випадок звернення щодо передачі інформації про неї з Реєстру. Водночас ці права передбачають необхідність вчинення активних дій з боку відповідної особи – звернення до розпорядника Реєстру. Таким чином, особа повинна знати або здогадуватися, що певні операції з обробки її даних були здійснені в Реєстрі, або надсилати відповідні звернення до розпорядника з певною регулярністю.
Порядок отримання довідки про внесення інформації до Реєстру, визначений в статті 12 Закону, містить суперечливі положення. Так, згідно з частиною першою цієї статті вказана довідка видається “розпорядником Реєстру”. Водночас відповідно до частини третьої цієї ж статті, інформація про дату видачі довідки та її реквізити фіксується у ВІС “уповноваженого суб’єкта, що видав довідку”. Таким чином, не зрозуміло, хто видає довідку і до кого повинен звертатися заявник для її отримання.
Стаття 12 Закону також не визначає, яким чином повинна оформлятися вказана довідка з тим, щоб внести до неї персональні дані особи, які зберігаються в Реєстрі, а саме основні біометричні дані, параметри - відцифрований підпис особи, відцифрований образ обличчя особи та додаткові біометричні дані, параметри - відцифровані відбитки пальців рук. За таких обставин, відсутній механізм реальної реалізації права особи на ознайомлення з відомостями про себе, перевірку достовірності цих відомостей, їх виправлення і так далі.
Закон у пункті 4 частини першої статті 9 згадує право особи отримати витяг з Реєстру, але далі не визначає порядок, строки та інші умови звернення за таким витягом та його отримання, зміст витягу, осіб, які уповноважені його видавати, відмінність між витягом та довідкою тощо. Це також вказує на відсутність механізму реалізації права особи на отримання інформації про себе.
Право на отримання від уповноважених суб'єктів на безоплатній основі повідомлення про кожен випадок звернення щодо передачі інформації про неї з Реєстру не деталізується в Законі. Зокрема, не встановлено кореспондуючого обов’язку уповноважених суб’єктів інформувати особу про такі випадки звернення. Не визначено чітко, що особа повинна автоматично інформуватися про такі випадки без необхідності цій особі звертатися до уповноваженого суб’єкта. Також повідомлення обмежено випадками “звернення щодо передачі інформації” і не зрозуміло, чи буде таке повідомлення містити інформацію про фактичну передачу даних з Реєстру третім особам;
4) у разі пошкодження чи знищення даних в Реєстрі або зміни біометричних параметрів особи вона може бути позбавлена можливості реалізації своїх прав, оскільки ідентифікація особи здійснюється на підставі даних Реєстру, а не її фізичних характеристик. Так відповідно до статті 16 Закону, яка регулює, зокрема, порядок переоформлення документа у разі його втрати або викрадення, рішення про таке переоформлення приймається на підставі ідентифікації заявника за Реєстром. При цьому уповноважений суб'єкт має право відмовити у видачі нового документа, якщо дані Реєстру не підтверджують інформацію, надану заявником (пункт 4 частини восьмої статті 16 Закону);
5) у Законі не визначено, які суб’єкти (крім самої фізичної особи, дані якої обробляються, та розпорядника Реєстру), за яких обставин, на якій підставі та за якою процедурою можуть мати доступ до інформації, яка зберігається в Реєстрі.
Наведені вище недоліки Закону дозволяють стверджувати, що він не відповідає вимогам якості, які ставляться до законодавчих положень, що дозволяють і регулюють втручання у право на приватність. Отже, збирання та інша обробка персональних даних в Реєстрі не може вважатися такою, що здійснюється “згідно із законом” (ст. 8 ЄКПЛ) або “у випадках, визначених законом” (ст. 32 Конституції). Лише цього висновку достатньо для того, щоб стверджувати про неправомірність функціонування Реєстру та визнання порушення права людини на невтручання в її особисте життя.
НЕВИЗНАЧЕНІСТЬ МЕТИ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Основні вимоги до автоматизованої обробки персональних даних визначаються статтею 5 Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, що є ратифікованою в Україні. У даній статті, серед іншого, передбачено, що персональні дані, які піддаються автоматизованій обробці, повинні: зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями; бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються; зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються.
Вимога щодо наявності правомірної мети втручання у право особи на повагу до приватного життя випливає також зі статті 8 Європейської конвенції про права людини. Така мета повинна відповідати одному з перелічених у пункті 2 статті 8 даної Конвенції інтересів: інтереси національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб. Вужче коло інтересів визначено в частині другій статті 32 Конституції України - інтереси національної безпеки, економічного добробуту та прав людини.
Таким чином, чітке визначення мети збирання, зберігання, використання чи іншої обробки персональних даних є необхідною умовою правомірності обробки таких даних. Відсутність чітко артикульованої мети втручання в особисте життя особи не дозволяє забезпечити переважну більшість інших гарантій захисту особи у зв’язку з обробкою її персональних даних, а саме сумісність способу використання даних із законною метою, адекватність, відповідність та ненадмірність стосовно мети зберігання, тривалість зберігання не довше, ніж це необхідно для законної мети тощо.
Всупереч вищезазначеним вимогам, Закон про демреєстр не визначає мету збирання та обробки персональних даних. У частині першій статті 4 Закону передбачено, що Реєстр – “це ... система, призначена для зберігання, захисту, обробки, використання і поширення ... інформації про особу та про документи, що оформлюються із застосуванням засобів Реєстру...”. Вказане “призначення” не можна вважати метою обробки даних у Реєстрі, оскільки це лише перелік операцій з обробки, яких зазнають дані, що у ньому містяться. У жодному іншому положенні Закону про демреєстр мету (цілей) обробки персональних даних Реєстру не вказано.
В той же час, у частині третій статті 7 Закону передбачено, що інформація в Реєстрі “зберігається для визначених цим Законом цілей та не використовується у спосіб, несумісний з цими цілями”. Відсутність таких визначених цілей робить зазначену гарантію (сумісність використання інформації з цілями обробки) беззмістовною і недієвою. Це також означає, що в органів влади, які причетні до ведення Реєстру, забезпечення його функціонування, наявні необмежені повноваження щодо “зберігання” даних у Реєстрі.
Крім того, у Законі про демреєстр передбачено, що до Реєстру вноситься інформація з відомчих інформаційних систем. Зазначені відомчі інформаційні системи теж чітко не визначені в цьому Законі. З переліку суб’єктів, які ведуть такі системи, випливає, що йдеться про дуже широке коло інформаційних систем, а точніше – фактично про всі інформаційні системи, що існують в органах влади і містять інформацію про особу. Адже, згідно з частиною другою статті 4 Закону такі ВІС ведуть визначені Законом уповноважені суб’єкти. Останніми, відповідно до статті 2 Закону, є “розпорядник Реєстру” (в існуючій системі органів виконавчої влади йдеться про Державну міграційну службу України), “уповноважений орган” (Міністерство внутрішніх справ України), закордонні дипломатичні установи України, органи виконавчої влади, інші державні органи, органи влади Автономної Республіки Крим, органи місцевого самоврядування. Закон про демреєстр передбачає, що інформація з усіх зазначених ВІС підлягає внесенню в Реєстр. При цьому не береться до уваги, що кожна із зазначених інформаційних систем, у якій обробляються персональні дані, повинна мати свою чітко визначену мету обробки таких даних для забезпечення згаданих вище гарантій права особи на невтручання в її приватне життя. Об’єднання відомостей про особу з усіх цих інформаційних систем в єдиній базі даних (Реєстрі) означає порушення одного з центральних принципів режиму захисту персональних даних – вимоги обробки даних виключно у цілях, у яких такі дані збиралися і оброблялися.
Отже, положення Закону про демреєстр не відповідають статті 32 Конституції України та статті 8 ЄКПЛ, оскільки: 1) не визначають цілі обробки персональних даних, що збираються та зберігаються в Реєстрі; 2) передбачають обробку персональних даних, які містяться у відомчих інформаційних системах, у цілях, що не відповідають цілям, у яких відповідні дані збиралися та зберігалися.
НЕПРОПОРЦІЙНІСТЬ ВТРУЧАННЯ У ПРАВО НА ПРИВАТНІСТЬ
Іншою необхідною умовою допустимості втручання у право на повагу до особистого життя, у тому числі під час обробки персональних даних, є його пропорційність, тобто домірність до мети, яка переслідується. Зазначимо, що принцип пропорційності є також складовою верховенства права, яке визнано і діє в Україні відповідно до статті 8 Конституції України. Згідно з Рішенням Конституційного Суду України від 25 січня 2012 року № 3-рп/2012, цей принцип означає, що заходи, передбачені в нормативно-правових актах, повинні спрямовуватися на досягнення легітимної мети та мають бути співмірними з нею.
Аналіз Закону про демреєстр свідчить про протилежне. Передбачене цим актом втручання у право особи на повагу до її особистого життя, шляхом обробки її персональних даних в Реєстрі, є надмірним, не виправдовується жодною правомірною метою і, відповідно, не є необхідним.
Так, Законом про демреєстр передбачається зосередити в Реєстрі найрізноманітнішу інформацію з відомчих інформаційних систем без наявності обґрунтованої потреби в цьому та без отримання згоди особи. Крім того, статтею 10 Закону передбачається, що внесення інформації до Реєстру здійснюється у разі: 1) оформлення документів, передбачених Законом; 2) реєстрації місця проживання чи місця перебування. Ці два випадки не пов’язані між собою і відсутня необхідність об’єднання обробки персональних даних у цих випадках в єдиній базі даних – Реєстрі.
Перелік інформації, що може бути включена до Реєстру, є відкритим і, по суті, необмеженим. Це випливає із статті 7 Закону про демреєстр, яка передбачає включення до Реєстру надмірного обсягу інформації (наприклад, інформації про сімейний стан особи, про видачу приватизаційних паперів, інформації з усіх ВІС тощо).
Ще одним суттєвим недоліком цього Закону є те, що у ньому не визначено строків зберігання та обробки інформації в Реєстрі. У частині п’ятій статті 19 Закону про демреєстр передбачено, що інформація, яка зазначається у документах і підлягає автоматизованій обробці, зберігається у форматі, що дає змогу ідентифікувати особу, якій видані ці документи в порядку, встановленому законодавством, не довше, ніж це необхідно для цілі, з якою такі дані зберігаються. Водночас з огляду на невизначеність у Законі цих цілей, про що йшлося вище, та зосередження в Реєстрі інформації з різних інформаційних систем, додержання цієї гарантії є практично неможливим. На практиці це означатиме неможливість визначення необхідного строку зберігання зазначених даних і їх необмежене в часі зберігання.
У Законі про демреєстр, серед інших недоліків, відсутня процедура знищення персональних даних, необхідність зберігання яких у Реєстрі більше не існує.
Про необґрунтоване та надмірне втручання у право особи на повагу до особистого життя у зв’язку з обробкою її персональних даних в Реєстрі вказує також введення вимоги щодо наявності біометричних даних майже у всіх документах, які передбачені Законом про демреєстр.
Усі документи, які видаються відповідно до цього Закону (крім посвідчення особи на повернення в Україну), обов’язково мають містити безконтактний електронний носій (безконтактна інтегральна схема), до якого вноситься, зокрема, “інформація, що знаходиться на сторінці даних документа, біометричні параметри особи, додаткові (факультативні) біометричні дані” (ч. 2 ст. 19 Закону про демреєстр). Такий широкий перелік даних, які зберігатимуться на електронному носії, є невиправданим і може призвести до отримання доступу сторонніх осіб до персональних даних особи внаслідок різноманітних обставин (викрадення, втрата, заволодіння шахрайським способом тощо). Це, у свою чергу, сприятиме вчиненню злочинів з використанням комп’ютерних систем та завдання особі значної моральної чи матеріальної шкоди.
Викликає сумніви також обґрунтованість та наявність реальної необхідності використання безконтактних електронних носіїв у всіх документах, які повинні видаватися на підставі Закону. Адже йдеться не лише про документи, які використовуються для в’їзду чи виїзду з України, але й про документи, що використовуються виключно всередині України (наприклад, паспорт громадянина України). Виготовлення документів з безконтактними електронними носіями (до того ж на бланках з полімерних матеріалів, які виконуються багатокомпонентним захисним друком, як це передбачено Законом) потребує значних витрат, які покладатимуться, у тому числі, і на фізичних осіб, які отримують ці документи. У свою чергу наступне здійснення ідентифікації особи на підставі використання безконтактного електронного носія вимагає наявності відповідної інфраструктури, яка наразі відсутня. Нерозвиненість зазначеної інфраструктури зчитування та розпізнавання документів з безконтактними електронними носіями призведе на практиці до неможливості ідентифікації особи на підставі виданого їй документа, що становитиме собою значне обмеження її прав і свобод.
Отже, положення Закону щодо функціонування Реєстру суперечать вимогам статей 8 та 32 Конституції України, а також статті 8 ЄКПЛ і Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних через надмірність та необґрунтованість втручання у право особи на приватність під час ведення та використання Реєстру, обробки персональних даних в Реєстрі. Втручання у це право, як воно передбачено Законом, не може вважатися необхідним у демократичному суспільстві.
Проведений аналіз Закону України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» відносно впровадження та функціонування Єдиного державного демографічного реєстру в Україні свідчить про його суттєві недоліки та порушення основополоних принципів і вимог, які ставляться до правомірного втручання держави у право на приватність особи. Цей Закон створює значні та необґрунтовані ризики для реалізації гарантованих Конституцією України та міжнародними угодами прав людини. Упровадження Закону може призвести до порушення прав людини, у зв’язку з чим слід очікувати визнання порушення Україною її міжнародних обов’язків відповідними судовими установами, насамперед, Європейським судом з прав людини.
У зв’язку з вищевикладеним, необхідно переглянути державну політику щодо порядку збирання, зберігання, використання та іншої обробки персональних даних осіб, що вносяться до їх паспортних (ідентифікаційних) документів, та, відповідно, скасувати або кардинально змінити Закон про демреєстр. Для кожного типу ідентифікаційних документів доцільно проводити окрему обробку даних у самостійних реєстрах, до яких має вноситись лише та інформація, що потрібна для виготовлення та видання певного типу документів. Крім того, нормативно-правові акти, що регулюють цю сферу правовідносин, повинні відповідати вимогам якості, зокрема бути чіткими та передбачити дієві гарантії від зловживань, чітко встановлювати мету обробки даних, надавати особі чітко визначені права щодо ознайомлення внесеної у базу даних інформації про неї та її надання третім особам, а також передбачати реальну можливість оскарження і відновлення порушених прав у випадку порушення прав особи.
Дмитро Котляр – незалежний експерт
Євген Школьний – експерт Центру політико-правових реформ
Опубліковано у Юридичному віснику України
No comments:
Post a Comment