Правовий статус державного органу з захисту персональних даних: досвід країн ЄС
Захист персональних даних має бути всебічним, і включати захист від посягань не тільки з боку пересічних фізичних і юридичних осіб, а й з боку владних посадовців. Ефективний захист може забезпечити лише по-справжньому незалежний орган влади, позбавлений усіх форм впливу на нього (як прямих, так і непрямих)…
Сьогодні, 28 січня – Міжнародний день захисту персональних даних. Саме у цей день у 1981 році була підписана т.зв. “Конвенція 108” – щодо захисту особи під час автоматичної обробки персональних даних.
Міжнародний день захисту персональних даних запровадила Рада Європи у 2006 році. Його відзначають, щоб звернути увагу на необхідність захисту персональних даних та права на приватність.
З нагоди свята пропонуємо вам ознайомитися із матеріалом про правовий статус державного органу з захисту персональних даних та досвід країн ЄС (зокрема, Австрії), який підготували експерти Центру політико-правових реформ Грехем Тейлор та Євген Школьний.
У ході виконання вимог з лібералізації Європейським Союзом візового режиму для України, було ратифіковано “Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних“, прийнято Закон України “Про захист персональних даних”, а також і деякі підзаконні акти на його виконання.
Проте, успішним цей крок навряд чи можна назвати. Даний Закон викликав ряд критичних зауважень серед експертного середовища. Зокрема, вони стосуються відсутності чіткого визначення таких понять, як «персональні дані», «база персональних даних», що спричиняє значні труднощі у ході його реалізації, невідокремленості так званих «вразливих» персональних даних (дані про стан здоров’я, майновий стан, релігійні переконання, ідентифікаційний код, біометричні дані тощо), які і потребують ефективного захисту й згоди особи на їх обробку і використання, а також відсутності незалежного статусу в органу державної влади з захисту персональних даних, що не гарантує незалежний контроль за їх збиранням, обробкою та використанням.
Питання незалежності державного органу з захисту персональних даних в нашій державі дійсно проігноровано. В той же час, для кожної країни Європейського Союзу, куди направлено наш зовнішньополітичний вектор, це є обов’язковою вимогою. Тому необхідно розібратись, яка роль відводиться захисту персональних даних у ЄС, та яким чином забезпечуються його вимоги, зокрема щодо незалежності статусу вищезазначеного органу.
Насправді багатьом державам-членам ЄС доводиться докладати серйозних зусиль для захисту персональних даних своїх громадян. Право особи на захист персональних даних є невід’ємною складовою основоположних засад функціонування Європейського Союзу, що знайшло своє відображення у статті 8 Хартії основоположних прав Європейського Союзу, а також у статті 16 Угоди про функціонування ЄС. Євросоюз було наділено компетенцією з забезпечення захисту персональних даних.
Основні положення щодо захисту Європейським Союзом персональних даних громадян містить Директива 95/46 від 24 жовтня 1995 року. Слід уточнити, що директиви напрацьовуються і приймаються відповідними органами ЄС, та є обов’язковими до виконання у кожній країні, що є членом Союзу, з моменту набуття ними чинності. Національні нормативно-правові акти, що розробляються на виконання тієї чи іншої директиви у кожній країні-члені – мають відповідати її змісту та узгоджуватись між собою. Наявність у національному законодавстві положень, що суперечать директивам є порушенням Угоди щодо ЄС.
У рамках Угоди щодо функціонування Європейського Союзу наявний механізм, який дозволяє Європейській комісії позиватися до Суду ЄС на державу-члена, якщо її національне законодавство суперечить директиві, або ж якщо держава-член неналежно здійснює імплементацію її положень (стаття 258 [2]).
Проте, не можна сказати, що Європейська комісія досить часто вдається до такого заходу (минулого року кількість таких судових справ налічувала лише до 50 з загальної кількості справ понад 600). Європейська комісія надає перевагу дипломатичним методам, намагаючись вирішити неузгодженості з «проблемною державою» шляхом прямих переговорів. Надсилання листа з офіційним повідомленням є більш прийнятним для Єврокомісії, ніж звернення до Суду. Та й, власне, держави-члени, не надто бажаючи вступати у суперечку, намагаються виправити свої помилки, з метою уникнення непотрібного їм судового процесу.
Але все ж, такі судові провадження трапляються, і одне з них, повертаючись до питання незалежності спеціального органу з захисту персональних даних, доцільно розглянути.
Нещодавно (16 жовтня 2012 року) Судом ЄС було ухвалено рішення у справі, що стосувалась імплементації Австрією Директиви ЄС 95/46 щодо захисту персональних даних, зокрема, щодо забезпечення нею незалежності органу, відповідального за захист персональних даних.
Предметом позову Європейської комісії стало те, що Австрія не здійснила потрібний крок на шляху до впровадження Директиви, не забезпечивши вищезазначеному органу потрібний ступінь незалежності, який би дозволяв йому вільно здійснювати свої повноваження, без «зовнішнього втручання».
У якості доводів цього порушення Єврокомісія наводила те, що керівник органу з захисту персональних даних (the managing member) водночас є членом Федерального уряду, що стосується і персоналу цього органу; робочий офіс даного органу інтегровано до приміщення Федерального уряду; Федеральний канцлер наділений правом на інформацію щодо роботи органу.
Австрія мала свої аргументи з цих питань. Зокрема, з її сторони було зауважено, що керівник органу з захисту персональних даних не обов’язково має бути членом Федерального уряду (хоча не заперечувала, що наразі він ним є), а те, що його просування, як і будь-якого службовця, залежить від вищестоящого органу – не впливає на його незалежність; інтегрованість офісу органу до приміщення Федерального уряду, а також зв’язок персоналу з Урядом – не має впливу на його незалежність, оскільки персонал виконує лише інструкції, видані керівництвом органу; право Федерального канцлера на інформацію про діяльність цього органу не дає йому жодних можливостей для впливу на нього, до того ж право на інформацію не суперечить вимогам незалежності щодо судів та трибуналів.
За підсумками даного судового розгляду, Суд повністю став на бік Єврокомісії.
У його рішенні зазначено, що:
по-перше, наявність прямого зв’язку керівника органу з Урядом свідчить про можливість здійснення контролю останнім над органом. Оцінка роботи керівника органу вищестоящою посадовою особою в цілях його заохочення може призвести до піддатливості у його діяльності;
по-друге, інтеграція офісу органу з приміщенням Уряду, а також наявність у персоналу органу статусу службовців Федерального уряду – дає йому можливість контролю, що суперечить вимогам Директиви щодо незалежності;
по-третє, право Федерального канцлера бути поінформованим про діяльність даного органу також несе в собі загрозу непрямого впливу, адже в даному випадку, право на інформацію є далекосяжним, бо охоплює всі аспекти діяльності органу, а також і безумовним.
Отже, в країнах Європейського Союзу такому органові мають бути створені всі умови для того, щоб він діяв незалежно та неупереджено. Не допускаються як прямі, так і непрямі форми впливу на його діяльність.
Такий підхід видається логічним, оскільки ефективно запобігати корупційним проявам та різного роду зловживанням у сфері захисту персональних даних з боку посадовців різних гілок та рівнів влади може лише по-справжньому незалежний орган.
Вітчизняний орган влади – Державна служба України з питань захисту персональних даних має статус центрального органу виконавчої влади, діяльність якої спрямовується і координується Кабінетом Міністрів України через Міністра юстиції України. Голова даної служби, а також і його заступники, призначаються та звільняються Президентом України за поданням Прем’єр-міністра України. Окрім виконання актів чинного законодавства, даний орган зобов’язаний виконувати доручення Президента та Міністра юстиції. Тож про його незалежність годі і говорити. Саме тому, нині розглядається можливість ліквідації цієї Держслужби та передачі її функцій Уповноваженому Верховної Ради України з прав людини.
Отже, захист персональних даних має бути всебічним, і включати захист від посягань не тільки з боку пересічних фізичних і юридичних осіб, а й з боку владних посадовців. Ефективний захист може забезпечити лише по-справжньому незалежний орган влади, позбавлений усіх форм впливу на нього (як прямих, так і непрямих).
Україні, з огляду на вимоги Плану дій з лібералізації Європейським Союзом візового режиму для України та задекларований курс на євроінтеграцію, слід якнайшвидше запровадити дієвий механізм з захисту персональних даних громадян, в тому числі в частині забезпечення незалежності відповідного органу.
Грехем Тейлор, Євген Школьний, Центр політико-правових реформ