Правовий статус інформації

Так, п. 2.2. Положення визначає, що "Національний банк вживає заходів щодо притягнення до адміністративної відповідальності за допущення порушень:

...у разі незаконного розголошення або використання інформації, що становить банківську таємницю".

Пунктом 2.3. Положення передбачено, що "штраф накладається:

...на осіб, які незаконно розголосили або використали інформацію, що становить банківську таємницю, яким ця інформація стала відома у зв'язку з виконанням професійних чи службових обов'язків.

Штрафи на осіб, зазначених у цьому пункті, накладаються, якщо виявлене порушення є наслідком їх особистих дій або бездіяльності".

Загалом, суб'єктом адміністративно-правових проступків в галузі застосування режимів банківської таємниці може бути лише фізична особа, якій інформація, що становить банківську таємницю стала відома у зв'язку з виконанням нею своїх професійних чи службових обов'язків.

Об'єктом проступку є встановлений порядок здійснення господарської діяльності в частині забезпечення чесної конкуренції між її суб'єктами, а також реалізація конституційного права на захист особистої таємниці. Неправомірне розголошення і використання в своїй діяльності інформації, що належить іншим суб'єктам та відноситься до банківської таємниці, має наслідки отримання безпідставних переваг певними юридичними або фізичними особами, які отримали цю інформацію, веде до знищення стимулів для розвитку і вдосконалення форм і способів економічної діяльності, завдає прямої шкоди власникам банківської таємниці.

Об'єктивна сторона проступку характеризується незаконним розголошенням або використанням інформації, що становить банківську таємницю. Суб'єктивна сторона проступку характеризується умислом.

Разом з тим, чинне законодавство не передбачає накладення будь-яких фінансово-правових санкцій за порушення банківської таємниці. Не передбачена в законі і можливість позбавлення ліцензії банку за вчинення подібного правопорушення.

Банківська таємниця є одним із видів інформації з обмеженим доступом. її правовий статус визначений як на законодавчому рівні, так і на рівні підзаконних нормативно-правових актів.

На сьогодні правовий режим захисту такої інформації у значній мірі визначається відомчим нормотворенням Національного банку України щодо регулювання банківської діяльності в Україні. Окремі положення щодо обігу інформації, що становить банківську таємницю, містяться зокрема у таких нормативних документах Національного банку України:

Правила організації захисту електронних банківських документів в установах, включених до інформаційно-обчислювальної мережі Національного банку України, затверджені Постановою Правління Національного банку України 10.06.99 № 280;

Положення про філії (територіальні управління) Національного банку України, затверджене Постановою Правління Національного банку України 27.06.2001 № 245, зареєстроване в Міністерстві юстиції України 26 січня 2001 р. за № 81/5272;

Положення про єдину інформаційну систему "Реєстр позичальників", затверджене Постановою Правління Національного банку України 17.07.2001 № 276, зареєстроване в Міністерстві юстиції України 18 липня 2001 р. за № 604/5795;

- - Положення про планування та порядок проведення інспекційних перевірок, затверджене Постановою Правління Національного банку України 28.08.2001 № 369, зареєстроване в Міністерстві юстиції України 15 серпня 2001 р. за № 703/5894;

Положення про застосування Національним банком України заходів впливу за порушення банківського законодавства, затверджене Постановою Правління Національного банку України 20.09.2002 № 352, зареєстроване в Міністерстві юстиції України 27 вересня 2001 р. за № 845/6036;

Положення про порядок проведення виїзних перевірок щодо дотримання банками та фінансовими установами вимог валютного законодавства України, затверджене Постановою Правління Національного банку України 14.05.2003 № 189, зареєстроване в Міністерстві юстиції України 9 жовтня 2002 р. за № 818/7106;

Положення про здійснення банками фінансового моніторингу, затверджене Постановою Правління Національного банку України 19.04.2005 № 137, зареєстроване в Міністерстві юстиції України 19 травня 2005 р. за № 543/10823;

- Положення про порядок емісії платіжних карток і здійснення операцій з їх застосуванням, затверджене Постановою Правління Національного банку України 19.04.2005 № 137, зареєстроване в Міністерстві юстиції України 20 травня 2003 р. за № 381/ 7702.

6. Правовий статус та зміст інформації з обмеженим доступом про особу

Питання лекції:

Зміст поняття "інформація з обмеженим доступом про особу".

Правова охорона персональних даних.

3. Перспективи розвитку чинного законодавства України щодо правового регулювання захисту інформації з обмеженим доступом про особу.

На сучасному етапі демократичних перетворень Україна визнає людину, її життя і здоров'я, честь і гідність, недоторканність і безпеку найвищою соціальною цінністю.

При цьому стаття 21 Конституції визначає, що "усі люди є вільні і рівні у своїй гідності та правах. Права і свободи людини є невідчужуваними та непорушними".

Кожна людина має право на вільний розвиток своєї особистості, якщо при цьому не порушуються права і свободи інших людей, та має обов'язки перед суспільством, в якому забезпечується вільний і всебічний розвиток її особистості (стаття 23 Конституції України).

До конституційних основ правового статусу людини як учасника інформаційних відносин належить і стаття 34 Конституції України: "Кожному гарантується право на свободу думки і слова, на вільне вираження своїх поглядів і переконань. Кожен має право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб -- на свій вибір. Здійснення цих прав може бути обмежене законом в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров'я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя".

1. Зміст поняття "інформація з обмеженим доступом про особу"

Стаття 23 Закону України "Про інформацію" дає визначення поняття "інформація про особу".

Інформація про особу -- це сукупність документованих або публічно оголошених відомостей про особу.

Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження.

Джерелами документованої інформації про особу є видані на її ім'я документи, підписані нею документи, а також відомості про особу, зібрані державними органами влади та органами місцевого і регіонального самоврядування в межах своїх повноважень.

Обмеження доступу до інформації про особу здійснюється на підставі такої норми ст. 23 Закону України "Про інформацію": "забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом".

Кожна особа має право на ознайомлення з інформацією, зібраною про неї.

Закон України "Про інформацію" містить бланкетну норму, що відсилає нас до окремого законодавчого акту з питань існування даного виду інформації з обмеженим доступом: "Інформація про особу охороняється Законом" (ст. 23 Закону України "Про інформацію").

Конфіденційна інформація про особу є одним із специфічних видів інформації з обмеженим доступом. її правовий статус визначається Законом України "Про інформацію", а офіційне тлумачення викладене у Рішенні Конституційного Суду України № 5-зп від ЗО жовтня 1997 року (справа К. Г. Устименка). Зокрема, зазначається, що частину четверту статті 23 Закону України "Про інформацію" треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини.

До конфіденційної інформації про особу, зокрема, належать такі свідчення про особу:

освіта,

сімейний стан,,

релігійність,

стан здоров'я,

дата і місце народження,

майновий стан

інші персональні дані.

На визначення змісту конфіденційної інформації про особу спрямовані й інші нормативно-правові акти органів судової влади.

Зокрема Постанова Пленуму Верховного Суду України визначає: відомості, що ганьблять потерпілого або близьких йому осіб - це такі дійсні чи вигадані дані про них, їх дії і дії, вчинені щодо них, які потерпілий бажає зберегти в таємниці і розголошення яких, на його думку, скомпрометує або принизить честь і гідність його чи близьких йому осіб.

До таких відомостей, зокрема, можуть відноситися дані про:

інтимні сторони життя,

захворювання,

- неблаговидні вчинки,

-- злочинну діяльність тощо.

Погроза розголосити такі відомості - це погроза повідомити про них особам (або особі), яким вони невідомі, і чиє ознайомлення з ними небажане для потерпілого.

Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації. Більше того, незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації визнано ст. 182 Кримінального кодексу України злочином.

Конституцією України встановлено головні засади механізму захисту особи від втручання в її особисте і сімейне життя, зокрема гарантовано таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції. Для іноземців та осіб без громадянства в Україні встановлено національний режим захисту цих прав. Законодавством України встановлена також кримінально-правова заборона порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер.

Цивільним Кодексом України це право віднесено до особистих немайнових прав та передбачено судовий порядок його захисту від протиправних посягань Цим кодексом також визначено право власності адресата на надіслані на його адресу листи, телеграми тощо. Проте на їх публікацію повинна дати згоду і особа, яка їх надіслала. Якщо кореспонденція стосується особистого життя іншої фізичної особи, для її використання, зокрема шляхом опублікування, потрібна згода цієї особи. Визначено також, що кореспонденція, яка стосується фізичної особи, може бути долучена до судової справи лише у разі, якщо в ній містяться докази, що мають значення для вирішення справи. Інформація, яка міститься в такій кореспонденції, не підлягає розголошенню.

Право на таємницю листування, телефонних розмов, телеграфної та іншої кореспонденції може бути обмежено рішенням суду за наявності підстав, передбачених ст. 6 Закону України "Про оперативно-розшукову діяльність" з метою запобігти злочинові чи з'ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо. За забезпеченням законності цих обмежень здійснюється прокурорський нагляд . Законодавство зобов'язує операторів, провайдерів телекомунікацій вживати відповідно до законодавства технічних та організаційних заходів із захисту поштових відправлень, телекомунікаційних мереж, засобів телекомунікацій, інформації з обмеженим доступом про організацію телекомунікаційних мереж та інформації, що передається цими мережами

Стан здоров'я особи також включено до переліку, персональних даних, які підлягають захисту Механізми правового захисту такої інформації встановлено ст. 286 Цивільного кодексу України основами законодавства України про охорону здоров'я від 19.11.1992 р. Фізична особа має право на таємницю про стан свого здоров'я, факт звернення за медичною допомогою, діагноз, а також про відомості, одержані при її медичному обстеженні. Чинним законодавством заборонено вимагати та подавати за місцем роботи або навчання інформацію про діагноз та методи лікування фізичної особи. Фізична особа зобов'язана утримуватися від поширення цієї інформації, яка стала їй відома у зв'язку з виконанням службових обов'язків або з інших джерел.

Медичні працівники та інші особи, яким у зв'язку з виконанням професійних або службових обов'язків стало відомо про хворобу, медичне обстеження, огляд та їх результати, інтимну і сімейну сторони життя громадянина, не мають права розголошувати ці відомості, крім передбачених законодавчими актами випадків. Проте саму особу зобов'язують під час медичного обстеження, що проводиться перед даванням крові повідомити відповідну посадову особу установи чи закладу охорони здоров'я відомі їй дані про перенесені та наявні в неї захворювання, а також про вживання нею наркотичних речовин та властиві їй інші форми ризикованої поведінки, що можуть сприяти зараженню донора інфекційними хворобами, які передаються через кров, і за наявності яких виконання донорської функції може бути обмежено. Зазначена інформація засвідчується особистими підписами особи, яка виявила бажання здати кров або її компоненти, та посадової особи установи чи закладу охорони здоров'я і становить лікарську таємницю . Захисту підлягають також дані про реципієнтів донорських органів, а також про осіб, які заявили про свою згоду або незгоду стати донорами у разі смерті. Такі дані віднесені чинним законодавством до лікарської таємниці.

Офіційним тлумаченням окремих статей закону України "Про інформацію" до основних персональних даних віднесено майновий стан особи.

Не підлягає також розголошенню конфіденційна інформація щодо діяльності та фінансового стану страхувальника -- клієнта страховика, яка стала Відомою йому під час взаємовідносин з клієнтом чи з третіми особами при провадженні діяльності у сфері страхування, розголошення якої може завдати матеріальної чи моральної шкоди клієнту. Таку інформацію законом визнано таємницею страхування і вона надається страховиком лише на письмовий запит або з письмового дозволу власника такої інформації, за рішенням суду чи на запит органів досудового слідства у разі порушення кримінальної справи щодо клієнта страхувальника.

Таємність інформації про майновий стан особи та факти розпорядження нею своїм майном захищені також інститутом таємниці вчинення нотаріальних дій. Так ст. 8 Закону України "Про нотаріат" нотаріуси, інші посадові особи, які вчиняють нотаріальні дії, та особи, яким про вчинені нотаріальні дії стало відомо у зв'язку з виконанням ними службових обов'язків, зобов'язані додержувати таємниці цих дій у зв'язку із чим довідки про вчинені нотаріальні дії та документи видаються тільки громадянам та юридичним особам, за дорученням яких або щодо яких вчинялися нотаріальні дії.

Закон допускає видачу довідок про вчинювані нотаріальні дії на письмову вимогу компетентних державних органів у зв'язку з кримінальними, цивільними або господарськими справами, що знаходяться у їх провадженні чи у зв'язку із необхідністю визначення правильності стягнення державного мита та цілей оподаткування.

До інформації персонального характеру захистом якої уповноважені займатися державні органи відносять і дані щодо всиновлення. Так відповідно до ст. 228 Сімейного кодексу України особи, яким у зв'язку з виконанням службових обов'язків доступна інформація щодо усиновлення (перебування осіб, які бажають усиновити дитину, на обліку, пошук ними дитини для усиновлення, подання заяви про усиновлення, розгляд справи про усиновлення, здійснення нагляду за дотриманням прав усиновленої дитини тощо), зобов'язані не розголошувати її, зокрема і тоді, коли усиновлення для самої дитини не є таємним. Відомості про усиновлення видаються судом лише за згодою усиновлювача, крім випадків, коли такі відомості потрібні правоохоронним органам, суду у зв'язку з цивільною чи кримінальною справою, яка є у їх провадженні. За розголошення таємниці усиновлення (удочеріння) всупереч волі усиновителя (удочерителя) передбачена кримінальна відповідальність . Задля забезпечення таємниці усиновлення ст. ст. 10, 265-4 ЦПК України дозволено закритий судовий розгляд цивільних справ за мотивованою ухвалою суду.

2. Правова охорона персональних даних

В Україні продовжується нормотворча робота у сфері правового регулювання конфіденційної інформації про особу. Так підготовлено проект Закону України про захист персональних даних, який прийнятий Верховною Радою України у другому читанні.

Початок розробки проекту базового (рамкового) Закону України "Про захист персональних даних" було покладено у 1996 р. Практична необхідність розробки закону обґрунтовується наступним:

стан нормативно-правової бази України не в повній мірі забезпечує захист прав людини у сфері персональних даних. Нормативна база має слабку кореляцію з вимогами статей 3, 23, 31, 32, 34 Конституції України та міжнародних стандартів;

діючі у цей час більш як 20 законів України, пов'язані зі збором, використанням і передачею інформації про фізичних осіб, не мають однозначного визначення персональних даних.

Перша версія законопроекту була підготовлена у 1998 році. На той час законопроект 4 рази розглядався у міністерствах і комітетах: Мінекономіки України, Мінфіні України, Мін'юсті України, в МВС України, СБ України, Державній податковій адміністрації України, у Раді національної безпеки і оборони України, Уповноваженим ВР України з прав людини. Було враховано понад 160 зауважень і пропозицій.

На кінець 1999 р. законопроект погодили всі міністерства та відомства і 27 грудня 1999 р. він був направлений до Кабінету Міністрів України.

У червні 2002 року авторами законопроекту був здійснений переклад з англійської на українську мову Конвенції №108 Ради Європи "Про захист осіб у зв'язку з автоматизованою обробкою персональних даних" та Додаткового протоколу до зазначеної Конвенції щодо органів нагляду та транскордонних потоків від 08.11.2001 р., які були затверджені МЗС України як офіційні переклади (лист МЗС України від 02.07.2002 р. № 72/15-077-1412).

У травні 2003 року законопроект розглянутий у першому читанні та прийнятий за основу (Постанова Верховної Ради України від 15.05.2003 р. №784-Г7). У березні 2006 року законопроект розглянутий у другому читанні і прийнятий 16.03.2006 р. в цілому.¹

3. Перспективи розвитку чинного законодавства України щодо правового регулювання захисту інформації з обмеженим доступом про особу

Передбачається, що Закон України "Про захист персональних даних" набере чинності з 1 січня 2007 року. Він,регулюватиме відносини, пов'язані з обробкою персональних даних.

Дія цього Закону не поширюватиметься на діяльність зі створення баз персональних даних фізичною особою виключно для особистих чи побутових потреб.

У цьому Законі терміни матимуть такі значення: база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

власник персональних даних -- фізична особа, яка має право власності на персональні дані про себе;

володілець персональних даних - фізична та/або юридична особа, якій власником персональних даних надано право на обробку цих даних;

ідентифікація персональних даних -- встановлення тотожності певної фізичної особи відомостям про неї, які визначають її особистість;

обробка персональних даних (обробка) -- будь-яка дія або сукупність дій, здійснених в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані із збиранням (придбанням), реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знищенням відомостей про фізичну особу;

персональні дані -- окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифіковані;

право власності на персональні дані -- встановлене законом право фізичної особи на володіння, користування, розпорядження відомостями про себе, а також право забороняти іншим суб'єктам їх використання, крім випадків, встановлених законом.

Суб'єктами відносин, пов'язаних із персональними даними, є:

власник персональних даних;

володілець персональних даних;

користувач персональних даних;

уповноважений орган з питань захисту персональних даних.

За договором або дорученням власник персональних даних зможе надати право розпоряджатися цими даними іншій фізичній або юридичній особі - розпоряднику персональних даних.

Суб'єкти відносин, пов'язані із персональними даними, зобов'язані:

- не допускати розголошення персональних даних;

- виконувати вимоги встановленого відповідно до законодавства режиму доступу до персональних даних та захисту персональних даних.

Суб'єктами відносин, пов'язаних із персональними даними відповідно до зазначеного Закону, зможуть бути фізичні та/або юридичні особи інших держав та міжнародні організації.

Об'єктами захисту є персональні дані, які обробляються за допомогою інформаційних (автоматизованих) систем та/або картотек персональних даних.

Персональні дані за режимом доступу є інформацією з обмеженим доступом.

Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюються відповідно до закону.

Персональні дані фізичної особи, яка претендує чи займає виборну посаду (в представницьких органах) або посаду державного службовця першої категорії, не відноситиметься до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

Персональні дані зможуть оброблятися тільки за умови, що:

обробка персональних даних здійснюється за письмовою згодою власника персональних даних або відповідно до законів України;

персональні дані обробляються відповідно до свого прямого призначення, яке визначається повноваженнями суб'єкта відносин, пов'язаних із персональними даними, і не використовуються для інших цілей, не сумісних із цим призначенням;

персональні дані повинні бути точними, у разі необхідності -- оновлюватися;

персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший, ніж це необхідно відповідно до їх законного призначення.

Не допускатиметься обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Обробка персональних даних в інформаційних ^автоматизова-них) системах здійснюватиметься відповідно до вимог, встановлених зазначеним Законом та Законом України "Про захист інформації в інформаційно-телекомунікаційних системах".

Первинними джерелами відомостей про фізичну особу є видані на її ім'я документи; підписані нею документи; відомості про фізичну особу на матеріальних носіях інформації, що обробляються суб'єктами відносин, пов'язаними з персональними даними, які діють відповідно до законодавства України та в межах своїх повноважень.

Джерелами відомостей про фізичну особу є бази персональних даних, які зареєстровані в установленому законодавством порядку.

Право власності на персональні дані є невід'ємне, непорушне і невідчужуване. Право власності на свої персональні дані має кожна фізична особа. Розпорядження персональними даними особи, яка повністю або частково обмежена в дієздатності, здійснює її повноважний представник.

Право власності на персональні дані фізичної особи, яка померла, належить особам, які визначені її спадкоємцями в частині персональних даних. Кожна фізична особа має право ознайомитися у суб'єкта відносин, пов'язаних із персональними даними, зі своїми персональними даними, що обробляються цим суб'єктом, чи дати доручення ознайомитися з ними уповноваженим ним особам, крім випадків, встановлених законом.

Користування персональними даними передбачає будь-які дії їх власника щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншими суб'єктами відносин, пов'язаних із персональними даними.

Використання персональних даних передбачає дії їх власника щодо користування ними або дії володільця персональних даних, якому їх власником чи законом надано часткове або повне право обробки персональних даних, а також покладені обов'язки щодо їх захисту. Використання персональних даних передбачає також право володільця персональних даних на надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, за згодою власника персональних даних чи відповідно до закону.

Використання персональних даних їх володільцем передбачає створення ним умов для захисту цих даних. Володільцю персональних даних забороняється розголошувати відомості стосовно власників персональних даних, доступ до персональних даних яких здійснюється іншими суб'єктами відносин, пов'язаних із такими даними.

Використання персональних даних працівниками суб'єктів відносин, пов'язаних із персональними даними, повинне здійснюватися тільки відповідно до їх службових або трудових обов'язків.

Особи, яким було надано доступ до персональних даних у порядку, встановленому законодавством, зобов'язані не допускати розголошення будь-яким способом персональних даних, які їм довірені або стали відомі у зв'язку з виконанням службових або трудових обов'язків. Таке зобов'язання зберігає чинність після припинення їх діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

Відомості щодо особистого життя фізичної особи не можуть використовуватися як обумовлювання, яке підтверджує чи не підтверджує її ділові здібності.

Підставами виникнення права на використання персональних даних буде:

- письмова згода фізичної особи на обробку її персональних даних, надана у довільній формі;

письмовий договір про введення відомостей про фізичну особу до бази персональних даних. Власник персональних даних матиме право робити в договорі застереження щодо обмеження обробки його персональних даних;

дозвіл на обробку персональних даних, наданий відповідно до закону суб'єкту відносин, пов'язаних із персональними даними, виключно для виконання його повноважень.

Збирання персональних даних передбачає будь-які дії щодо зосередження певних відомостей про фізичну особу з будь-яких джерел та розміщення їх у базі персональних даних.

При первісному розміщенні відомостей про фізичну особу до складу бази персональних даних їх власник повідомляється протягом одного місяця про мету розміщення даних.

Повідомлення не здійснюється, якщо персональні дані збираються:

для забезпечення захисту персональних даних;

у випадках, визначених законом в інтересах національної безпеки, економічного добробуту та прав людини;

для тимчасового, на строк не більше трьох місяців, їх зберігання у базі персональних даних. У разі подальшої обробки персональних даних понад зазначеного тримісячного строку їх введення до бази персональних даних їх власник повідомляється протягом одного місяця про мету обробки цих даних;

із загальнодоступних джерел.

Відомості про фізичну особу, що зібрані з будь-яких джерел, а також інформація про їх джерела надаються власнику персональних даних за його вимогою.

Накопичення персональних даних передбачає будь-які дії щодо поєднання та систематизацію відомостей про фізичну особу чи групу фізичних осіб або введення цих даних до бази персональних даних. Забороняється накопичення персональних даних, якщо мета їх збирання не відповідає законам.

Зберігання персональних даних передбачає будь-які дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

У разі зберігання персональних даних з метою їх поширення в знеособленій формі необхідно зберігати окремі відмінності, за якими конкретні відомості про фізичну особу можуть бути поставлені у відповідність з певним суб'єктом відносин, пов'язаних із персональними даними.

Поширення персональних даних передбачає будь-які дії щодо

передачі відомостей про фізичну особу між суб'єктами відносин, пов'язаних із персональними даними, для їх обробки.

Поширення персональних даних здійснюватиметься безпосередньо власником персональних даних або уповноваженим ним суб'єктом, крім випадків здійснення органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом.

Поширення персональних даних без згоди власника персональних даних або уповноваженого ним суб'єкта дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Відповідальність за виконання вимог встановленого режиму захисту даних про фізичну особу несе сторона, що поширює персональні дані.

Будь-який суб'єкт відносин, пов'язаних із персональними даними, матиме право звернутися до будь-якого іншого суб'єкта таких відносин стосовно персональних даних певної фізичної особи. Доступ до персональних даних здійснюється згідно з режимом доступу, встановленим згідно з законодавством. Доступ до персональних даних не надаватиметься, якщо суб'єкт відносин пов'язаних із персональними даними, відмовляється взяти на себе зобов'язання щодо забезпечення умов захисту персональних даних.

Держава здійснює контроль за додержанням режиму доступу до персональних даних. Контроль за додержанням режиму доступу до персональних даних здійснюється уповноваженим органом з питань захисту персональних даних. Завдання контролю за додержанням режиму доступу полягає у забезпеченні виконання вимог законодавства про персональні дані всіма суб'єктами відносин, пов'язаних із персональними даними, недопущення ними несанкціонованого доступу до персональних даних.

Суб'єкт відносин, пов'язаних із персональними даними, подає запит щодо доступу (надалі - запит) до персональних даних іншому суб'єкту відносин, пов'язаних із персональними даними.

Запит повинен містити такі відомості:

прізвище, ім'я та по батькові, місце проживання та реквізити документа, що посвідчує фізичну особу, яка подає запит;

найменування, місцезнаходження та адреса юридичної особи, якою подається запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи;

- прізвище, ім'я та по батькові та інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

- відомості про інформаційну (автоматизовану) систему обробки персональних даних, стосовно яких подається запит, чи відомості про розпорядника цієї системи;

перелік персональних даних, що запитуються;

мета запиту.

Строк вивчення запиту на предмет його задоволення не повинен перевищувати десяти днів. Протягом цього строку будь-який суб'єкт відносин, пов'язаних із персональними даними, сповіщає особу, яка подає запит, про те, що запит буде задоволено, або про те, що відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної в нормативно-правовому акті. Запит задовольняється протягом одного місяця.

Власник персональних даних матиме право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних із персональними даними, згідно із законом.

Віднесення персональних даних до категорії відомостей, які становлять державну або іншу визначену законом таємницю, і доступ до них здійснюються відповідно до закону.

Порядок обробки персональних даних, які становлять державну або іншу визначену законом таємницю, та захисту цих даних визначається законодавством.

Порядок і строк засекречування персональних даних, які становлять державну або іншу визначену законом таємницю, визначаються відповідно до закону.

Відстрочення у доступі до персональних даних допускатиметься в тому разі, коли необхідні дані не можуть бути надані протягом місяця. Повідомлення про відстрочення доводитиметься до відома фізичної або юридичної особи, яка зробила запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

У повідомленні про відстрочення зазначається:

- прізвище, ім'я та по батькові посадової особи, яка відмовляє у задоволенні доступу в місячний строк;

дата відправлення повідомлення;

причина відстрочення;

строк, протягом якого буде задоволено запит.

Відмова в доступі до персональних даних допускається в разі, якщо їх віднесено до категорії відомостей, які становлять державну або іншу визначену законом таємницю, або якщо доступ до персональних даних заборонено згідно із законом. У повідомленні про відмову зазначається:

прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

дата відправлення повідомлення;

причина відмови.

Рішення про відстрочення або відмову в доступі до персональних даних може бути оскаржено до уповноваженого органу з питань захисту персональних даних або до суду.

Якщо запит зроблено власником персональних даних, обов'язок щодо доведення в суді законності відстрочення чи відмови у його доступі до персональних даних покладається на суб'єкта відносин, пов'язаних із персональними даними, до якого подано запит на доступ.

Кожний власник персональних даних матиме право:

знати про місцезнаходження інформаційної (автоматизованої) системи, що обробляє його персональні дані, її призначення та найменування, місцезнаходження та адресу володільця або розпорядника цієї системи;

на доступ до своїх персональних даних, які обробляються в архівних установах;

отримати в місячний строк відповідь про те, чи зберігаються його персональні дані у відповідній інформаційній (автоматизованій) системі;

пред'являти вмотивовану вимогу щодо зміни або знищення даних будь-яким володільцем персональних даних щодо обробки персональних даних про нього, якщо ці дані обробляються незаконно чи є недостовірними;

звертатися до суду для захисту своїх прав.

Доступ власника персональних даних до даних про себе здійснюватиметься безоплатно.

Доступ інших суб'єктів відносин, пов'язаних із персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним. Оплаті підлягає робота, пов'язана із обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних. Розмір плати за послуги з надання персональних даних органами державної влади визначатиметься Кабінетом Міністрів України.

Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до покладених на них повноважень.

Зміни чи доповнення до персональних даних вносяться на підставі вмотивованої письмової вимоги власника персональних даних. Дозволяється внесення зміни до персональних даних за зверненням інших суб'єктів відносин, пов'язаних із персональними даними, якщо на це є згода власника персональних даних чи відповідна зміна здійснюється за рішенням суду, що набрало законної сили. Зміна персональних даних, які не відповідають дійсності, проводиться протягом чотирнадцяти робочих днів з дня звернення власника персональних даних.

Про зміну, доповнення, знищення персональних даних або обмеження до них доступу володільці персональних даних повідомляють власника персональних даних, а також суб'єктів відносин, пов'язаних із персональними даними, яким ці дані передаються, якщо це необхідно для захисту інтересів власника персональних даних.

Держава гарантує фізичній особі право на захист персональних даних. Суб'єкти відносин, пов'язаних із персональними даними, повинні забезпечити захист прав власності на персональні дані.

Власник персональних даних має право на захист цих даних від несанкціонованої обробки та випадкової втрати, знищення, завдання шкоди у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.

Основними повноваженнями уповноваженого органу з питань захисту персональних даних будуть:

підготовка пропозицій щодо формування державної політики у сфері захисту персональних даних;

реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних;

контроль за виконанням законодавства з питань захисту персональних даних з безперешкодним доступом до приміщень, в яких здійснюється обробка персональних даних;

надання приписів щодо припинення роботи баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних у разі виявлення порушень;

розгляд пропозицій, запитів, звернень, вимог та скарг фізичних і юридичних осіб;

забезпечення взаємодії з іноземними суб'єктами відносин, пов'язаних із персональними даними;

участь у роботі міжнародних організацій з питань захисту персональних даних.

Реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних здійснюється за заявами володільців персональних даних.

В органах державної влади та органах місцевого самоврядування, організаціях, установах і підприємствах усіх форм власності визначається відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці в інформаційних (автоматизованих) системах та картотеках персональних даних, і несе персональну відповідальність за забезпечення захисту.

Фізичні особи-підприємці, адвокати, приватні нотаріуси несуть персональну відповідальність за організацію захисту персональних даних згідно з вимогами закону.

Обмеження прав, передбачених законом здійснюватиметься лише в інтересах:

національної безпеки, економічного добробуту та прав людини;

захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби з адміністративними порушеннями та злочинністю;

забезпечення зведеною знеособленою інформацією щодо персональних даних органів державної влади, органів місцевого самоврядування, юридичних та фізичних осіб відповідно до законодавства.

Суб'єкти відносин, пов'язаних із персональними даними, здійснюють свої повноваження в установлених Конституцією України, законами України межах.

Фінансування заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб'єктів відносин, пов'язаних із персональними даними.

Порушення законодавства України про захист персональних даних тягне за собою відповідальність, встановлену законом.

Несанкціоновані дії або бездіяльність володільців персональних даних, що завдали шкоду фізичним чи юридичним особам.

можуть бути оскаржені до суду в порядку, встановленому законом. Шкода, завдана фізичним чи юридичним особам володільцем персональних даних під час виконання ним своїх обов'язків, підлягає відшкодуванню в порядку, встановленому законом.

Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення права власності на персональні дані і за наявності дозволу уповноваженого органу з питань захисту персональних даних у випадках, встановлених законом або міжнародним договором України. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.

7. Захист конфіденційної інформації, що є власністю держави

Питання лекції:

Зміст поняття "конфіденційна інформація, що є власністю держави".

Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави.

Система захисту конфіденційної інформації, що є власністю держави.

Центральний орган державної влади, функції якого пов'язані із захистом конфіденційної інформації, що є власністю держави.

Національне законодавство передбачає низку правових норм, якими встановлюються обмеження щодо поширення інформації. На відміну від питань захисту секретної інформації, в якій було застосовано правові напрацювання ще радянських часів, законодавче регулювання захисту конфіденційної інформації в Україні розвинуте слабко і перебуває ще на початкових стадіях формування.

Зі здобуттям незалежності Україна починає самостійно створювати і розвивати власну систему державних органів та національне законодавство. Одним з перших законодавчих актів, який закріпив право громадян України на інформацію, заклав правові основи інформаційної діяльності був прийнятий 2 жовтня 1992 р. Закон України "Про інформацію". Саме цим законом вперше було введено в обіг термін "конфіденціальна інформація", а згодом "конфіденційна інформація".

1. Зміст поняття "конфіденційна інформація, що є власністю держави"

Термін "конфіденційна інформація, що є власністю держави" вперше на законодавчому рівні було застосовано в Концепції (Основах державної політики) національної безпеки України, схваленої Постановою Верховної Ради України від 16 січня 1997 року № 3/97. Витік такої інформації визнавався однією з загроз національній безпеці в інформаційній сфері. На той час чинне законодавство не давало визначення даного терміну.

Другим законодавчим актом, у якому прямо застосовувався термін "конфіденційна інформація, що є власністю держави" став прийнятий 5 квітня 2001 року Кримінальний Кодекс України. Кримінальна відповідальність встановлювалась за передачу іноземній стороні конфіденційної інформації, що є власністю держави, особою, якій ці відомості були довірені у зв'язку з виконанням службових обов'язків (стаття 330). Ця кримінально-правова норма майже повністю відтворювала аналогічну норму, яка була закріплена у КК УРСР (1960). Зміст статті 330 практично залишився без змін (законодавець продублював колишню статтю 68-1 КК). Було змінено лише предмет злочину (термін "службова таємниця" було замінено на "конфіденційна, що є власністю держави) і таким чином криміналізовано діяння, пов'язані з передачею або збиранням з метою передачі іноземним підприємствам, установам, організаціям або їх представникам інформації з грифом "Для службового користування" (далі - "ДСК").

Лише 11 травня 2004 року до Закону України "Про інформацію" було внесено зміни, завдяки яким в законодавче поле вписуються основи правового регулювання конфіденційної інформації, а саме - доповнено статтю 30, згідно з якою інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, з метою її збереження може бути відповідно до закону встановлено обмежений доступ -- надано статус конфіденційної.

До конфіденційної інформації, що є власністю держави і знаходиться в користуванні органів державної влади чи органів місцевого самоврядування, підприємств, установ та організацій усіх форм власності, не можуть бути віднесені відомості:

про стан довкілля, якість харчових продуктів і предметів побуту;

про аварії, катастрофи, небезпечні природні явища та інші надзвичайні

про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

стосовно стану справ із правами і свободами людини і громадянина, а також фактів їх порушень;

про незаконні дії органів державної влади, місцевого самоврядування, їх посадових та службових осіб;

- інша інформація, доступ до якої відповідно до законів України та міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, не може бути обмеженим.

2. Порядок надання відомостям статусу конфіденційної інформації, що є власністю держави

Відповідно до Закону України "Про інформацію" порядок обліку, зберігання і використання документів та інших носіїв інформації, що містять зазначену інформацію, визначається Кабінетом Міністрів України. З цією метою було затверджено Інструкцію про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави (Постанова КМ України від 27 листопада 1998 р. № 1893).

Переліки відомостей, які містять конфіденційну інформацію, що є власністю держави, і яким надається гриф обмеження доступу "ДСК", розробляються експертними комісіями згідно з орієнтовними критеріями віднесення інформації до конфіденційної і затверджуються міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими держадміністраціями, в яких утворюються або у володінні, користуванні чи розпорядженні яких перебувають ці відомості. На підставі рішення експертної комісії інформація включається до переліку відомостей, які містять конфіденційну інформацію, що є власністю держави

Інформація, що включається до переліків відомостей, які містять конфіденційну інформацію, що є власністю держави, повинна відповідати таким вимогам:

створюватися за кошти державного бюджету або перебувати у володінні, користуванні чи розпорядженні організації;

використовуватися з метою забезпечення національних інтересів держави;

не належати до державної таємниці;

унаслідок розголошення такої інформації можливе:

порушення конституційних прав і свобод людини та громадянина;

настання негативних наслідків у внутрішньополітичній, зовнішньополітичній, економічній, військовій, соціальній, гуманітарній, науково-технологічній, екологічній, інформаційній сферах та у сферах державної безпеки і безпеки державного кордону;

- створення перешкод у роботі державних органів.

Експертні комісії утворюються міністерствами, іншими центральними органами виконавчої влади, Радою міністрів Автономної Республіки Крим, обласними, Київською та Севастопольською міськими держадміністраціями. До їх складу включаються представники режимно-секретного та інших структурних підрозділів з числа найбільш кваліфікованих фахівців. У разі потреби для участі в роботі експертної комісії можуть залучатися фахівці заінтересованих підприємств, установ та організацій (за погодженням з їх керівниками) з метою розгляду питань, що належать до їх компетенції. Рішення комісії оформляється протоколом, який затверджується міністерством, іншим центральним органом виконавчої влади, Радою міністрів Автономної Республіки Крим, обласною, Київською та Севастопольською міською держадміністрацією.

У разі потреби на державних підприємствах, в установах і організаціях з урахуванням особливостей їхньої діяльності розробляються та за погодженням з міністерством, іншим центральним органом виконавчої влади, до сфери управління якого вони належать, вводяться в дію переліки конкретних видів документів у відповідній сфері діяльності.

На документах у правому верхньому кутку першої сторінки, а для видань -- на обкладинці та на титулі проставляються гриф "ДСК" і номер примірника. Якщо гриф обмеження доступу неможливо нанести безпосередньо на магнітний носій інформації, він має бути зазначений у супровідному документі.

Необхідність проставляння грифа "ДСК" на документі визначається виконавцем та особою, що підписує документ, а на виданні -- автором (укладачем) і керівником, який підписав видання до друку на підставі переліків, затверджених відповідними експертними комісіями.

Керівники центральних органів виконавчої влади, Ради міністрів Автономної Республіки Крим, місцевих органів виконавчої влади та їхніх структурних підрозділів, державних підприємств, установ і організацій у разі потреби мають право зняти гриф "ДСК" з документів, підготовлених цим органом чи його структурним підрозділом, підприємством, установою, організацією, якщо відомості, що містяться у цих документах, не відповідають перелікам, затвердженим відповідними експертними комісіями.

Керівники міністерств, інших центральних органів виконавчої влади, Ради міністрів Автономної Республіки Крим, обласних,

Київської та Севастопольської міських держадміністрацій, які затвердили переліки відомостей, які містять конфіденційну інформацію, що є власністю держави, мають право зняти гриф "ДСК" з відповідних документів.

З введенням у дію названої вище Інструкції тиражовані документи, видані з грифом "ДСК" до 1991 року, а також тиражовані документи, випущені у світ у різний час з іншими обмежувальними грифами, крім грифів "Службова таємниця", "Таємно", "Цілком таємно" та "Особливої важливості", можуть розглядатися як відкриті документи за наявності письмової згоди організацій, що їх підготували, або правонаступників цих організацій. Тиражовані документи, що вийшли у світ у 1991 році та пізніше з грифом "ДСК" або з нумерацією кожного примірника тиражу, а також всі документи органу законодавчої влади, вищого органу виконавчої влади та вищих судових органів без грифів обмеження доступу, але не опубліковані в офіційних виданнях, з яких знято грифи секретності, розглядаються як матеріали, що містять відомості обмеженого поширення з грифом "ДСК".

3. Система захисту конфіденційної інформації, що є власністю держави

Відповідальність за забезпечення правильного ведення обліку, зберігання та використання документів з грифом "ДСК" несуть керівники організацій. Ведення обліку, зберігання, розмноження та використання документів з грифом "ДСК", а також контроль за дотриманням вимог цієї Інструкції покладається на управління справами, загальні відділи, канцелярії організацій (далі -- канцелярії).

На режимно-секретні підрозділи організацій покладається завдання з запобігання розголошенню відомостей, що містяться в документах з грифом "ДСК", та випадкам втрат таких документів.

Співробітники організацій, які працюють з документами з грифом "ДСК", в обов'язковому порядку підлягають ознайомленню під розписку із відповідними інструкціями, в яких регламентовано правила поводження з інформацією "ДСК". Ознайомлення здійснюють канцелярії організацій.

Співробітникам (виконавцям), допущеним до роботи з документами з грифом "ДСК", забороняється повідомляти усно або письмово будь-кому відомості, що містяться у цих документах, якщо це не викликано службовою потребою.

Інструкцією про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави визначаються основні правила:

прийняття і обліку документів;

розмноження і розсилання (відправлення) документів;

формування виконаних документів у справи;

використання документів;

зняття грифа "ДСК";

відбору документів для зберігання і знищення;

- забезпечення схоронності документів та перевірка їх наявності;

- обліку, зберігання і використання печаток, штампів і бланків. Приймання і облік (реєстрація) документів з грифом "ДСК"

здійснюється канцелярією організації, яка веде облік несекретної документації. На документи з грифом "ДСК", як правило, поширюється вимога одноразовості реєстрації. Кореспонденція з грифом "ДСК", що надходить до організації, у тому числі документи, створені за допомогою персональних комп'ютерів (ПК), приймається і розкривається централізовано у канцелярії співробітниками, яким доручена робота з такими документами. При цьому перевіряються номери, кількість сторінок та примірників документів, а також наявність додатків, зазначених у супровідному листі. У разі відсутності у конвертах (пакетах) документів або додатків до них складається акт про відсутність вкладень у конверті (пакеті) у двох примірниках, один з яких надсилається відправнику.