Інтегрована база персональних даних: європейський досвід

Наприкінці 2012 року в Україні набув чинності Закон «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус». Його прийняття обумовлювалось, в першу чергу, необхідністю виконання Україною однієї з умов Плану дій щодо лібералізації Європейським Союзом візового режиму для України, а саме – прийняття законодавчих актів щодо запровадження документів України для виїзду кордон з електронним носієм біометричної інформації.

Незважаючи на те, що Європейський Союз очікував від України впровадити електронний чіп з біометричними даними лише для закордонних паспортів, автор законопроекту вирішив піти значно далі. Так, цей чіп в Україні передбачений не лише у паспорті для виїзду за кордон, а й у всіх інших документах, навіть у посвідченні водія та документах для біженців, що зробить їх значно дорожчими. Це не могло залишитись поза увагою громадськості. Широке коло юристів та правозахисників висловили ряд критичних зауважень щодо положень даного акта.

Але слід зазначити, що головним об’єктом критики виступило навіть не це. Річ у тім, що Закон передбачає введення єдиної централізованої бази даних під назвою «Єдиний державний демографічний реєстр», де передбачається накопичення і зберігання практично необмеженого обсягу персональної (в тому числі біометричної) інформації про кожного громадянина України, а також інших осіб, яким може знадобитись одержати певні документи в Україні (оскільки без винесення своїх даних до цього Реєстру отримати документ неможливо).

На думку багатьох правозахисників, це є прямим порушенням прав людини на приватність, та уможливлює використання владними суб’єктами персональних даних у своїх особистих (або вузьковідомчих) інтересах, в порушення принципів демократії. Крім того, мало хто вірить у спроможність нашої держави належно захистити від стороннього доступу цю мега-базу даних. Тому, виникає питання: чи варто витрачати значні кошти та зусилля на створення цього Реєстру, якщо він несе потенційні ризики порушення прав людини? І чи впроваджуються подібні бази даних у демократичних країнах?

Як виявилось, така дискусія, як в Україні, була не єдиною на теренах Європи. Подібні обговорення відносно потенційних переваг та можливих загроз збирання й зберігання персональних та біометричних даних у межах однієї централізованої бази даних відбуваються у багатьох європейських країнах. Питання утворення єдиних національних баз даних обговорювалось і на рівні ЄС. Однак пошук варіантів з його вирішення було покладено на кожну з країн ЄС, де погляд на це виявився різним.

Уряди тих країн ЄС, які представили, або робили спроби представити на розгляд питання щодо впровадження централізованої бази даних зіштовхнулися із значним спротивом з боку громадськості та звинувачувались у порушенні статті 8 Європейської конвенції з прав людини, якою захищається приватне та сімейне життя особи від втручання з боку владних органів.

У червні 2009 року Палатою представників Нідерландів (нижня палата парламенту) було ухвалено Закон, яким передбачалося введення нового типу біометричних паспортів відповідно до вимог Європейського Союзу. Крім впровадження нового зразка паспорту, даним Законом також передбачалось зберігання інформації про громадян, включно із відцифрованим образом обличчя та відбитками пальців, у централізованій базі даних. Таке рішення зазнало суттєвої критики з боку громадськості. Ряд неурядових громадських організацій, таких, як «Приватність передусім» (PrivacyFirst) розкритикували обидві новели законопроекту, а саме – необхідність здачі біометричних даних як передумову отримання паспорту, а також впровадження системи їх зберігання в межах єдиної бази даних. Крім того, доступ до такої бази обумовлювався не лише в адміністративних цілях, а й у випадках кримінального розслідування, та за деяких інших обставин, визначених Законом. Він передбачався необмеженим для Генеральної служби розвідки та безпеки Нідерландів у випадках загрози національній безпеці.

Противники введення централізованої бази даних у Нідерландах стверджували, що її створення призведе до порушення прав особи, зокрема, права на приватність, що захищається Європейською конвенцією з прав людини. Також вони заявили, що створення такої бази даних виходить за межі вимог Європейського Союзу щодо безпеки паспортів та інших документів для виїзду за кордон.

Громадськість почала все більше непокоїтись через можливі зловживання правами особи у разі створення єдиної бази даних, а також піддавати сумнівам безпеку і надійність такої системи. Крім того, ця ідея втратила підтримку серед більшості членів Парламенту. У 2011 році уряд Нідерландів вирішив зупинити практику накопичення біометричної інформації громадян у централізованій базі даних, залишивши, водночас, в силі вимогу щодо необхідності її здачі у якості обов’язкової передумови отримання документів.

В той час, як у Нідерландах тимчасово призупинено зберігання біометричних даних та продовжуються дискусії з чутливих питань, у Франції ідею зі створення централізованої бази даних повністю відхилено.

У березні 2012 року до Національної Асамблеї Франції (нижня палата парламенту) надійшов до розгляду новий законопроект щодо національних ідентифікаційних карток з біометричними даними. Ним, серед іншого, передбачалось створення централізованої бази даних, у якій би зберігалась інформація щодо приблизно 45 мільйонів громадян Франції, та до якої могли б отримувати доступ, за певних обставин, урядові агенти, поліція, публічні службовці, та навіть суб’єкти підприємницької діяльності. Відповідно до статті 5 даного акту, доступ до бази даних міг бути можливим не лише для цілей видачі ідентифікаційних карток та паспортів, але і у ході розслідування при крадіжці та використанні персональних даних та встановлення ідентифікації невідомої особи, яка померла, або жертви стихійного лиха чи іншого нещасного випадку.

Ініціатива уряду Франції накопичувати такий великий обсяг чутливої інформації щодо французьких громадян у єдиній базі даних не увінчалась успіхом. Одразу ж після ухвалення скандального закону, 200 парламентарів з Національної Асамблеї та Сенату вимагали розгляду його положень Конституційною радою Франції (Сonseil Constitutionnel) на предмет їх конституційності, аргументуючи це тим, що даний Закон не відповідає як французькому, так і європейському законодавству у частині захисту прав осіб на приватність та презумпції невинуватості.

Конституційна рада Франції зреагувала дуже оперативно, і вже 22 березня 2012 року винесла рішення щодо неконституційності окремих положень даного Закону. Так, не заперечуючи проти впровадження нового типу ідентифікаційних карток (як і біометричних паспортів), Рада категорично виступила проти ініціативи Уряду щодо накопичення наявної у них інформації у централізованій базі даних.

У своєму рішенні Конституційна рада визнала неконституційними статті цього Закону, якими регламентувались питання створення та функціонування централізованої бази даних, а також ті, які визначали хто та за яких обставин може мати до неї доступ (статті 5, 6, 7, 8, 10). Конституційною радою було встановлено, що вищезазначені статті суперечать статті 34 Конституції Франції. Згідно її змісту, парламент Франції має забезпечувати відповідність законів потребі балансування між правами і свободами громадян з одного боку, та публічним порядком з іншого. На думку Ради, парламент не передбачив правових гарантій проти довільного доступу до централізованої бази даних, що несе ризик порушення права на приватність. Крім того, відповідно до статті 2 Декларації прав людини і громадянина Франції 1789 року, збирання та використання великого обсягу персональних даних є обґрунтованим лише тоді, коли це відповідає загальному інтересу. В свою чергу, аргументація на користь створення централізованої бази даних полягала у тому, що необхідно зменшити випадки крадіжки та використання чужих персональних даних шляхом створення більш безпечного, швидкого та надійного способу ідентифікації особи. Проте, на думку Конституційної ради, загроза використання персональних даних сторонніми особами не є достатньою підставою порушувати права французьких громадян шляхом збільшення втручання держави у їх особисте життя.

Після рішення Конституційної ради, Закон було змінено і він набрав чинності 28 березня 2012 року. У новій редакції було встановлено, що громадяни Франції отримуватимуть ідентифікаційні картки, які міститимуть біометричну інформацію, але вона не буде зберігатися у централізованій базі даних. Крім того, даним Законом було внесено зміни до Кримінального кодексу Франції, якими передбачались фінансові штрафи та строк ув’язнення до п’яти років за несанкціонований доступ до персональних даних.

Закон зазнав критики і з боку Національної комісії з інформатизації та свобод (CommissionNationaledel’InformatiqueetdesLibertés), яка є органом з захисту персональних даних, а також з боку численних неурядових організацій, які захищають права людини у світлі тенденцій зростання використання інформаційних технологій публічною адміністрацією. У своєму звіті Національна комісія наголосила на необхідності існування жорстких законів, які б регулювали зберігання і використання персональних даних з огляду на їх чутливість.

Отже, як бачимо, в країнах сталої демократії громадськість прискіпливо ставляться до збору державою особистих даних особи. Не терплячи втручання з її боку у приватне життя, громадянам все ж вдалося зупинити утворення таких централізованих баз.

В Україні, на жаль, зовсім інша ситуація. В порушення положень Конституції України та ратифікованої Верховною Радою України Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, така мега-база планується до створення. У зв’язку з цим, вбачається за доцільне переглянути державну політику щодо цього чутливого для громадян питання. Бази даних мають бути різні, а не об’єднані в одну. Вони мають створюватися лише для конкретних цілей, не пов’язаних з порушенням прав людини, та містити лише ту інформацію, яка необхідна для таких цілей.

Євген Школьний, експерт Центру  політико-правових реформ

Катаріна Муше, інтерн Центру політико-правових реформ

Опубліковано: Юридичний Вісник України №31 (944)