У наші дні використання інформаційних технологій не має меж. Віртуальний простір переймає від реального все підряд, у тому числі й злочинність у її нових формах і проявах. Поняття кіберпростору, введеного письменником Вільямом Гібсоном у п'єсі «Le Neuromancer», описує віртуальний простір як такий, в якому циркулюють електронні дані всіх комп'ютерів світу.
Однак, в Україні говорити серйозно про захист персональних даних – це означає, що говорити ні про що, адже кожен, кому нєлєнь, і навіть невігласи можуть всунути свого носа в приватне життя, при чому, як з метою пограбування коштів з банківських рахунків, так і просто «пожити» хоч на відстані чужим життям (як правило це роблять ті, в кого не склалося своє). Також з метою вивудити потрібну інформацію, щоб підлаштувати свої мєрзкіє шизофренічні плани. В Україні, на жаль, це робиться від найвищих чинів, які зловживають службовим становищем, до недалекого невігласа. І про відповідальність в даній сфері різні злочинці хіба що посміються собі глузуючи в рукав.
Практично кожен чув про кіберзлочинність і, можливо, навіть особисто з нею зіштовхувався. Кіберзлочинність включає в себе різні види злочинів, що здійснюються за допомогою комп’ютера і в мережі Інтернет. Об’єктом кіберзлочинів є персональні дані, банківські рахунки, паролі та інша особиста інформація як фізичних осіб, так і бізнесу та державного сектору. Кіберзлочинність є загрозою не тільки на національному, а й на глобальному рівні.
Піратство та кіберзлочинність в Україні
Нормативне регулювання цієї сфери в Україні не встигає за розвитком технологій, що загострює проблему кіберзлочинності. На рівні фізичних осіб кіберзлочинність пов’язана з використанням піратського програмного забезпечення: зловмисники можуть отримати доступ до персональних даних користувача. Згідно з дослідженням Асоціації виробників програмного забезпечення (BSA) за 2011, рівень піратства в Україні становив 84%. За оцінками Міжнародного альянсу інтелектуальної власності (IIPA), Україну визнано «піратом №1» у світі.
Піратство створює сприятливі умови для розвитку кіберзлочинності. За словами начальника кіберполіції України Сергій Демедюка, збитки від кіберзлочинів в Україні за перші 8 місяців 2016 року становлять близько 27 млн гривень. Для прикладу: в 2014 році наслідки кіберзлочинів коштували українцям 39 млн гривень.
В Україні до кіберзлочинів відносять порушення авторського права і суміжних прав, шахрайство, незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, обладнанням для їх виготовлення; ухилення від сплати податків, зборів (обов'язкових платежів), ввезення, виготовлення, збут і розповсюдження порнографічних предметів, незаконне збирання з метою використання або використання відомостей, що становлять комерційну або банківську таємницю.
У ст. 32 Конституції України передбачено ряд гарантій у сфері захисту персональних даних:
- ніхто не може зазнавати втручання в його особисте і сімей не життя, крім випадків, передбачених Конституцією України;
- не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
- кожний громадянин має право знайомитися в органах державної влади, місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею;
- кожному гарантується судовий захист права спростувати недостовірну інформацію про себе і членів своєї сім'ї та вимагати вилучення такої інформації, а також право на відшкодування матеріальної і моральної шкоди, зав даної збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.
З метою захисту права на невтручання в особисте життя у зв'язку з обробкою персональних даних та для врегулювання правових відносин, пов'язаних із захистом та обробкою таких даних, законодавець свого часу прийняв Закон України «Про захист персональних даних».
Що таке персональні дані
Для початку спробуємо визначитися з терміном «персональні дані» та тим, яка інформація може належати до них. Дефініцію цього терміну містять відразу 2 нормативно-правових акта: Закони України «Про захист персональних даних» (далі — Закон) та «Про інформацію» (далі — Законпро інформацію). Проаналізувавши їх, робимо висновок, що персональні дані (інформація про фізичну особу) — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відповідно до ст. 5 Закону, персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Згідно ст. 11 Закону про інформацію, до конфіденційної інформації про фізичну особу належать, зокрема, дані про національність особи, її освіту, сімей ний стан, релігій ні переконання, стан здоров'я, а також адреса, дата і місце народження.
Разом з тим, Конституційний Суд України у своєму рішенні від 20.01.2012 р. №2-рп/2012 надав офіційне тлумачення ч. 1 та 2 ст. 32 Конституції України: «Інформація про особисте та сімейне життя особи (персональні дані про неї) — це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігій ні переконання, стан здоров'я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті май нові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».
Контроль та відповідальність
Відповідно до ч. 1 ст. 24 Закону, володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у т. ч. незаконного знищення чи доступу до них. Відповідно до ст. 22 Закону, контроль за дотриманням законодавства про захист персональних даних здійснюють уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних (далі — Уповноважений) та/або суди.
Згідно з роз'ясненнями до Порядку здійснення Уповноваженим контролю за дотриманням законодавства про захист персональних даних від 08.01.2014 р. (далі — роз'яснення), Уповноважений, окрім інших функцій, здійснює контроль за дотриманням законодавства про захист персональних даних. З цією метою за скаргами юридичних та фізичних осіб, а також за власною ініціативою він проводить перевірки дотримання вимог відповідних законів. Суб'єктами таких перевірок є володільці та розпорядники персональних даних, якими, відповідно до ст. 4 Закону, можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи місцевого самоврядування, фізичні особи-підприємці, які обробляють персональні дані відповідно до закону.
Відповідно до п. 5 та 10 ст. 23 Закону, Уповноважений за підсумками перевірки, розгляду звернення може видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у т. ч. щодо зміни, видалення або знищення таких даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних; складати протоколи про притягнення до адміністративної відповідальності та у встановлених законом випадках направляти їх до суду.
Водночас законодавцем впроваджений ще один механізм врегулювання питань, що стосуються порушення обробки персональних даних. Згідно п. 5, 6 та 11 ст. 8 Закону, суб'єкт персональних даних має право:
- пред'являти володільцю персональних даних вмотивовану вимогу з запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- відкликати згоду на обробку персональних даних.
А відповідно до п. 6 ст. 16 Закону, суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, за умови надання інформації, визначеної у п. 1 ч. 4 цієї статті, крім випадків, установлених законом. Абз. 3 п. 5 ст. 16 Закону передбачено, що такий запит задовольняється протягом 30 календарних днів з дня його надходження, якщо інше не передбачено законом.
Отже, перед зверненням до Уповноваженого зі скаргою або подачею позову до суду бажано звернутися з відповідним зверненням/скаргою/заявою, тобто запитом в порядку та у спосіб, передбачений Законом, безпосередньо до володільця чи розпорядника, дії або бездіяльність якого призвели, на думку суб'єкта персональних даних, до порушення його права на їх захист. Як показує практика, більшість володільців та розпорядників персональних даних охоче йдуть назустріч суб'єктам таких персональних даних та оперативно задовольняють їх звернення/запити в повному обсязі, оскільки це може запобігти майбутньому візиту до них Уповноваженого або метушні з судовими процесами.
Таким чином, дуже дієвим способом захисту порушених прав, пов'язаних із захистом персональних даних, є звернення суб'єкта персональних даних у формі письмової скарги (запиту) до володільців та розпорядників таких персональних даних.
Варто звернути увагу і на те, що згідно з чинним законодавством України, звернення до Уповноваженого не позбавляє особу права звернутися до суду, але в такому випадку слід пам'ятати, що Уповноважений зупиняє вже розпочатий розгляд звернення у випадку, якщо стає відомо, що зацікавлена особа подала позов, заяву або скаргу до суду.
У судовому порядку притягнення володільця або розпорядника персональних даних до адміністративної відповідальності можливе за ст. 188-39 Кодексу України про адміністративні правопорушення (далі — КупАП). До того ж, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації (крім випадків, передбачених іншими статтями Кримінального кодексу України) особу може бути притягнуто до кримінальної відповідальності за ст. 182 Кримінального кодексу України.
З огляду на викладене можна зробити висновок, що законодавство України містить чітке визначення терміну «персональні дані», а Конституційний Суд України, даючи офіційне тлумачення ст. 32 Конституції у своєму рішенні, наводить конкретний перелік інформації, що може складати персональні дані. Водночас законодавством впроваджено діє вий механізм захисту порушених прав у сфері захисту персональних даних. Це, зокрема, звернення/запит особи, права якої порушені, безпосередньо до володільця чи розпорядника її персональних даних, оскільки такий володілець чи розпорядник охоче піде назустріч суб'єкту персональних даних та оперативно задовольнить його звернення/запит у повному обсязі. А у випадку незадоволення такого звернення/запиту володільцем чи розпорядником у суб'єкта завжди залишається право на звернення до Уповноваженого або до суду.
Тож протидія кіберзлочинності та рівень кібербезпеки на сьогодні повинен бути одним із пріоритетних напрямків в політиці країни. Але для комплексної боротьби з цією проблемою потрібні спільні зусилля держави, громадян та міжнародної спільноти.
Світлана Коток.
