CC BY
7JURIDICAL SCIENCES
М1ЖНАРОДНО-ПРАВОВ1 СТАНДАРТИ У СФЕР1 ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
ПРАЦ1ВНИК1В
Михайлик А. С.
астрант кафедри трудового права Нацюнальний юридичний }miверситет iменi Ярослава Мудрого
INTERNATIONAL LEGAL STANDARDS IN THE FIELD OF PROTECTION OF PERSONAL DATA
OF EMPLOYEES
Mykhailyk A.
graduate student of the Department of Labor Law Yaroslav the Wise National University of Law DOI: 10.5281/zenodo.7014227
Анотащя
У робот дослвджено мiжнародно-правовi стандарта у сферi захисту персональних даних пращвнишв та можливосп !х використання в Украшг Зазначено, що головна проблема у сферi захисту персональних даних в Укрэдш полягае у вiдсутностi законодавчих актiв, яш б забезпечували належний рiвень захисту персональних даних в Укрш'ш у вщповщносп до оновлених мiжнародних стандарпв у цiй сферi, що у свою чергу призводить не тшьки до незадовiльного рiвня захисту конституцшного права на повагу до приватного життя в Украш, а й у подальшому призведе до визнання на мiжнародному рiвнi Украши як держави, яка не забезпечуе належний рiвень захисту персональних даних. Тому шщитива укранського законодавця ухвалити новий закон щодо захисту персональних даних, покликаного привести сферу захисту персональних даних до вимог европейського законодавства i практики £СПЛ, е крок у вiрному напрямку. Його прий-няття створить сприятливi умови для роботи вiтчизняних тдприемств на мiжнародному ринку та набли-зить Украшу до отримання статусу держави, яка забезпечуе належний захист персональних даних пращвнишв, що у свою чергу пришвидшить та полегшить входження нашо! держави до Сдиного цифрового ринку Свропейського Союзу.
Abstract
The work examines international legal standards in the field of protection of personal data of employees and the possibilities of their use in Ukraine. It is noted that the main problem in the field of personal data protection in Ukraine is the lack of legislative acts that would ensure an adequate level of protection of personal data in Ukraine in accordance with updated international standards in this field, which in turn leads not only to an unsatisfactory level of protection of constitutional the right to respect for private life in Ukraine, and in the future will lead to recognition at the international level of Ukraine as a state that does not provide an adequate level of personal data protection. Therefore, the initiative of the Ukrainian legislator to adopt a new law on the protection of personal data, designed to bring the sphere of personal data protection to the requirements of European legislation and the practice of the ECHR, is a step in the right direction. Its adoption will create favorable conditions for the work of domestic enterprises on the international market and bring Ukraine closer to obtaining the status of a state that ensures proper protection of personal data of employees, which in turn will speed up and facilitate the entry of our country into the Single Digital Market of the European Union.
Ключовi слова: персональш даш, захист, пращвник, мiжнародно-правовi стандарта, нацюнальне за-конодавство, держава, цифровiзацiя.
Keywords: personal data, protection, employee, international legal standards, national legislation, state, digitization.
Постановка проблеми. Сучасною полггикою «цифровiзацii Украши» аргументуеться необ-хвдшсть вживання заходiв, спрямованих на змщнення довiри користувачiв 1нтернет до дже-рел шформаци, включаючи захист персональних даних. Персональш даш користувачiв стають го-ловним джерелом конкурентоспроможносл шдприемства. Збiр, опис, збертання та обробка персональних даних дозволяе отримувати цiнну iнформацiю для використання в дшових проце-сах, суспшьному життi, роботi держави. Вмiння працювати з такими даними та 1х аналiзувати - це можливiсть першим отримувати цшш ринковi
«шсайти», тобто бути бшьш конкурентоздатним. Водночас, будучи одним iз ключових цифрових трендiв, персональнi данi актуалiзують реальну проблему !х захисту. Забезпечення захисту персональних даних громадян посiдаe зараз одне з провщних мiсць серед актуальних виклишв циф-рово! трансформацп економiки кра!ни. Наразi головна проблема у сферi захисту персональних даних в Укрш'ш полягае у вщсутносп законодавчих актiв, яш б забезпечували належний рiвень захисту персональних даних в Укра1ш у вщповщноеп до оновлених мiжнародних стандарпв у цiй сферi. У свою чергу, брак законодавства, яке б ввдповщало
сучасним мiжнародним стандартам у цш сфер1 та р1вню технолопчного розвитку, не пльки призво-дить до незадовшьного р1вня захисту конститу-цшного права на повагу до приватного життя в Укра!ш, а й у подальшому призведе до визнання на м1жнародному р1вн1 Укра!ни як держави, яка не за-безпечуе належний р1вень захисту персональних даних.
Окрем1 питання захисту персональних даних пращвнишв в Укра!ш дослщжували у сво!х науко-вих працях так1 вчеш, як В. Венеджов, С. Венедж-тов, В. Головченко, М. 1ншин, М. Клемпарський, О. Конопельцева, О. Легка, К. Мельник, Г. Чанишева, О. Ярошенко та ш.
Метою статп е дослщження мгжнародно-пра-вових стандарпв у сфер1 захисту персональних даних пращвнишв та можливосп !х використання в УкраЫ.
Результати дослiдження. Розвиток системи захисту персональних даних е одним 1з найб1льш актуальних завдань, як стоять перед украшським суспшьством на сучасному еташ. Зокрема, вщповвдно до п. 11 Плану заход1в щодо 1мплемен-таци Угоди про асощацш мiж Укра!ною та £С, за-твердженого 25 жовтня 2017 р. [1] Украша мае вдосконалити законодавство про захист персональних даних з метою приведення його у вщповвдшсть до GDPR. Як зазначае О. Легка, одним 1з головних завдань держави на такому еташ розвитку е визна-чення напрям1в правового регулювання та ство-рення правових гарантш, необхщних для саморе-ал1зацИ суб'екпв в шформацшнш сфер1. 1з щею метою, на думку вчено!, необхвдно систематизувати та кодиф1кувати нащональне законодавство вщповвдно до норм европейського законодавства та м1жнародного права; розробити единий норма-тивно-правовий акт, який на законодавчому р1вш врегулював би зб1р, обробку, захист та передачу ш-формаци за прикладом GDPR; привести понятш-ний апарат у вщповщщстъ до м1жнародного законодавства; передбачити обов'язкову сертифжацш на захист шформаци; розробити технологи крипто-графШкодування; посилити вщповвдальшсть за по-рушення захисту шформаци про персональш даш [2, с. 78]. На цьому ж наголошуе у свош публжаци й В. Головченко, а саме: «враховуючи досвщ £вро-пейського Союзу, Укра!на мае привести нацю-нальне законодавство у вщповвдшсть з м1жнарод-ними стандартами, створити систему незалежних адмшстративних, правозастосовних, консультативна та наглядових оргашв, що забезпечувати-муть дотримання права на захист персональних да-них як у приватнш, так 1 в публ1чн1й сферах. Нишшнш стан захисту персональних даних укра!н-ських громадян е незадов1льним 1 загрозливим» [3].
Шдписавши Угоду про асощацш з Свропейсь-ким Союзом, Укра!на погодилась на сшвробгг-ництво з £С з метою забезпечення належного р1вня захисту персональних даних ввдповвдно до найви-щих европейських та мгжнародних стандарпв, зокрема ввдповщних докуменпв Ради Свропи, як це передбачено статтею 15 Угоди. Так, ввдповвдно до ст. 11 Угоди про сшвробггаицтво м1ж Укра!ною та
Свропейською оргашзащею з питань юстици [4] кожна и сторона гарантуе р1вень захисту персональних даних, наданих шшою стороною, при-наймш екв1валентний тому, що випливае 1з застосу-вання принцишв, що мютяться у Конвенци Ради Свропи про захист оаб у зв'язку з автоматизованою обробкою персональних даних в1д 28 ачня 1981 року 1 наступних змш до не!, а також принцишв, за-кладених у Ршенш щодо Свроюсту та у Регламент Свроюсту щодо захисту даних.
До реч1 вперше свое нормативне закршлення норми з правового регулювання захисту персональ-них даних знайшли свое закршлення в положеннях мгжнародних договор1в з прав людини. Так, у ст. 17 М1жнародного Пакту про громадянськ1 та полгтичш права 1966 р. закршлено: «1. Шхто не повинен зазнавати свав1льного чи незаконного втру-чання в його особисте 1 амейне життя, свав1льних чи незаконних посягань на недоторканшсть його житла або таемницю його кореспонденци чи незаконних посягань на його честь 1 репутащю. 2. Кожна людина мае право на захист закону ввд такого втручання чи таких посягань» [5]. Кр1м ушвер-сальних мгжнародних договор1в, ввдповвдт норми мютилися 1 в регюнальних м1жнародних договорах у сфер1 захисту прав людини. Так, положення щодо захисту права на приватшсть мютяться в ст. 11 Американсько! конвенци з прав людини 1969 р., ст. 7 Харти основних прав Свропейського Союзу тощо.
В ст. 8 Конвенци про захист прав людини 1 ос-новоположних свобод 1950 р. [6] зазначено: «Ко-жен мае право на повагу до свого приватного 1 амейного життя, до свого житла 1 кореспонденци». Саме цей документ 1 став джерелом пе! системи захисту персональних даних, якою вона е сьогодш. Так, заснований Конвенщею Свропейський суд з прав людини у своему ршент у справ1 «Леандер проти Швеци» вперше зазначив, що збертання дер-жавними органами шформаци про особу е втручан-ням у !! право на повагу до приватного життя, а ввдтак таке втручання повинне вщповщати вимо-гам, викладеним у частиш 2 статп 8 Конвенци. В подальшому Свропейський суд вказав, що держава повинна також вживати розумних заход1в 1з метою дотримання права особи на повагу до !! приватного життя (а вщтак 1 права на захист персональних даних) 1з боку приватних суб'екпв [7, с. 13].
Ключов1 положення р1шень Свропейського суду з прав людини, яш мають безпосередне ввдно-шення до права особи на захист персональних да-них лягли в основу прийнято! 28 с1чня 1981 р. Конвенци № 108 Ради Свропи «Про захист оаб у зв'язку з автоматизованою обробкою персональних даних» [8], який став першим документом у цш сфер1. Зокрема, у ньому вперше викладено ключов1 принципи обробки персональних даних, права особи у зв'язку з обробкою !! персональних даних, базов1 норми щодо транскордонно! передач! даних, надано визначення поняття «персональш даш»: це iнформацiя, що стосуеться конкретно! особи або та-ко! особи, яка може бути щентифжована.
Згодом 24 жовтня 1995 р. в £вропейському Со-юзi було прийнято Директиву 95/46/GC Свропейсь-кого парламенту i Ради «Про захист фiзичних осiб у зв'язку з обробкою персональних даних i вiльне перемiщення таких даних» [9], яка е найбiльш су-часним документом, який встановлюе достатньо детальш вимоги щодо того, як мае бути оргашзо-вана система захисту персональних даних у дер-жавi. У статт 2 Директиви «персональш данi» визначено як будь-яку iнформацiю, що стосуеться встановлено! фiзичноl особи чи фiзичноl особи, яку можна встановити («суб'ект даних»); особою, яку можна встановити, е така, яка може бути встанов-леною прямо чи непрямо, зокрема, за допомогою iдентифiкацiйного коду або одного чи бшьше фак-торiв, притаманних фiзичним, фiзiологiчним, роз-умовим, економiчним, культурним чи сощальним аспектам li особистостi. Вiдповiдно до ст. 6 Директиви держави-члени передбачають, що персональнi данi повинш(а) оброблятися чесно i законно; (b) збиратися для встановлених, чiтких i законних цiлей i надалi не оброблятися у споаб, несумiсний з цими щлями. Подальша обробка даних в юторич-них, статистичних чи наукових щлях не розгля-даеться як несумюна, якщо держави-члени забезпе-чують вiдповiднi гарант; (с) бути достовiрними, вiдповiдними i не надлишковими вiдносно цiлей, заради яких вони збираються i/або надалi обробля-ються; (d) бути точними i, якщо необхщно, обнов-лятися; слiд вжити всiх розумних заходiв, щоб га-рантувати, що данi, як1 е неточними чи неповними, з урахуванням цшей, заради яких вони були зiбранi чи заради яких вони надалi обробляються, стира-лися чи виправлялися; (e) зберiгатися у форм^ що дозволяе встановлювати особу суб'екпв даних не довше, шж це необхвдно для цiлей, заради яких даш були зiбранi чи заради яких вони надалi обробляються. Держави-члени встановлюють вiдповiднi гарант для персональних даних, що збер^аються протягом бiльш тривалих перiодiв з метою юторич-ного, статистичного чи наукового використання. Хоча цей документ i не е частиною украшського за-конодавства, однак, по-перше, вш е ключовим у си-стемi захисту персональних даних держав-членiв Свропейського Союзу, який е орiентиром розвитку нащонально! економiчноl, полггично! та правово! системи, i, по-друге, Закон Украши «Про захист персональних даних» базуеться фактично повнiстю на положеннях Директиви.
Крiм того, в рамках Свропейського Союзу було прийнято щлу низку iнших документiв, що стосуються питання захисту персональних даних, але найважливiшим документом у напрямi захисту персональних даних слщ назвати прийнятий в £в-ропейському Союзi 27 квiтня 2016 р., який набув чинност 25 травня 2018 р. Загальний регламент iз захисту персональних даних (General Data Protection Regulation - GDPR) [10] (до реч^ Директива 95/46/GC Свропейського Парламенту i Ради «Про захист фiзичних оаб при обробцi персональних даних i про в№не перемiщення таких даних» вiд 24 жовтня 1995 року, на якш грунтувався Закон Украши «Про захист персональних даних», що був
розроблений у 2010 р. наразi скасована i замiнена Регламентом), який не тшьки суттево шдняв планку захисту персональних даних у державах-членах £С, а й передбачив можливiсть застосування встановлених ним санкцiй до бiзнесу поза межами £С, в тому чи^ украшського. Тобто, незважаючи на те, що Укра1на не е державою-учасницею £вропей-ського Союзу, правила, закршлеш в GDPR, можуть стосуватися безпосередньо суб'ектiв, що належать до 11 юрисдикцii. Оск1льки вщповщно до ст. 3 За-гального регламенту «територiальна сфера дii GDPR мае екстратериторiальну дiю, то його норми поширюються не лише на держави-члени £С, а й на фiзичних та юридичних осiб шших кра!н у конкрет-них випадках, передбачених GDPR». Зокрема, ос-новними його положенными е: забезпечення закон-но1, справедливо1 та прозоро1 обробки персональ-них даних; обмеження цiлей обробки даних, !х обсягу та збер^ання; наявнiсть широких прав у суб'екпв персональних даних; встановлення вимог щодо чггкосп згоди на обробку персональних даних; забезпечення оргашзацшних та техшчних ме-ханiзмiв для захисту персональних даних при ро-зробщ нових систем та процесiв; необхщшсть ви-конання процедури оцiнки впливу тих чи шших дш або змш на захист персональних даних; встановлення вщповщальносп контролера персональних даних за забезпечення захисту персональних даних i дотримання вимог GDPR, навггь якщо обробка даних здшснюеться третьою стороною; призначення спiвробiтника з питань захисту даних; шфор-мування працiвникiв про вимоги GDPR. Тобто, зпдно Регламенту збiр шформацп щодо пращвника повинен обмежуватись даними, котрi е необ-хiдними та доречними з огляду на обсяг трудових прав та обов'язк1в особи. Отже, обробку персональних даних пращвнишв як складника 1х приватностi роботодавець може здшснювати лише в разi фактично! необхiдностi та за наявносл достатнiх пра-вових тдстав.
Отже, пiдхiд Свропейського Союзу до забезпе-чення захисту персональних даних базуеться на ро-звитку «цифрових знань» i «цифрово! грамот-ностi», як1 мають шдвищити рiвень безпеки обороту персональних даних в цифровому середовищг Зокрема, сучасний европейський пiдхiд до обробки персональних даних може бути викладений у ви-глядi наступних принципiв: 1) законшсть, справед-ливiсть та прозорють - персональнi данi повиннi оброблятися законно, справедливо та прозоро. Будь-яку шформацш про мету, методи та обсяги обробки персональних даних слщ викладати максимально доступно та просто; 2) обмеження застосування - персональш даш необхщно збирати та ви-користовувати виключно з метою, що була заявлена пiдприемством (або онлайн-сервюом); 3) мiнiмiзацiя даних - забороняеться збирати особистi данi в б№шому обсязi, шж той, що потрiбен для досягнення мети обробки; 4) точшсть - особистi даш, яш являються неточними, повиннi бути вида-ленi або виправленi (за вимогою користувача); 5) обмеження збер^ання - персональш даш мають збертатися у форм^ яка дозволяе щентиф^вати
суб'екти даних на строк не бГльше, шж це необ-хгдно для досягнення мети обробки; 6) цiлiснiсть та конфiденцiйнiсть - при обробщ даних сшвробгг-нишв i клieнтiв пiдприeмство зобов'язане забезпе-чити захист персональних даних вщ несанкщонова-но! або незаконно! обробки, знищення та пошкод-ження.
Слад зазначити, що Укра!ною вже зроблено певш кроки стосовно забезпечення належного рiвень захисту персональних даних вщповщно до оновлених мгжнародних стандартiв у цш сферi. Так, 7 червня 2021 р. було подано до Верховно! Ради Укра!ни проект Закону про захист персональних даних за № 5628 [11], необхщшсть розробки якого обумовлена тим, що стан законодавства не в повнш мiрi забезпечуе захист персональних даних в Укра!ш в свiтлi розвитку мгжнародних стандартiв у цш сферГ. Його метою е виконання Укра!ною сво!х зобов'язань за Угодою про асощацш мГж £С та Укра!ною щодо приведення у вГдповГдшсть укра!нського законодавства до стандартiв £С (у тому числГ GDPR); пiдвищення довГри iнвесторiв та залучення швестицш до укра!нсько! економГки, особливо в сектори 1Т та телекомушкацш. Бшь-шють положень проекту засноваш на положеннях GDPR, а також окремих судових ршеннях та кра-щих практиках £С. Так, позитивними рисами проекту е: деталГзащя визначень та процедур; орГентащя на пгдходи £вропейського суду з прав людини (£СПЛ); запровадження принципу "захист персональних даних за проектуванням i за замовчу-ванням"; права суб'екпв персональних даних та обов'язки контролера й оператора визначеш довод конкретно; добре регламентовано ди контролера у випадку витошв даних (data breach); деталГзовано ознаки згоди, питання цшей обробки даних.
Висновки. Шдводячи тдсумок викладеному слгд констатувати, що захист персональних даних та його вдосконалення е не просто обов'язком дер-жави i предметом державно-правового регулю-вання, але повинш нерозривно розглядатися в поед-нанш зГ захистом прав та свобод людини, в тому числГ захистом права на повагу до приватного життя. КрГм того, створення дГево! системи захисту персональних даних належить до мГжнародних зобов'язань Укра!ни, в тому числ пов'язаних Гз евро-пейською штегращею нашо! держави. Зокрема, саме вГд виконання цього зобов'язання значною мГрою залежать еврошгеграцшш прагнення укра!н-сько! держави. 1шщативу законодавця ухвалити но-вий закон щодо захисту персональних даних, по-кликаного привести сферу захисту персональних даних до вимог европейського законодавства i практики £СПЛ, вважаемо кроком у вГрному напрямку. Осшльки, законодавство буде узгоджено з нормами £вропейського Союзу, й бГзнесу зокрема буде простше тдГгнати сво! стандарти захисту персональних даних пгд ушверсальш вимоги, яш
будуть однаковими i в Укра!ш, i в £вропейському Союзi. Його прийняття створить сприятливi умови для роботи впчизняних шдприемств на мiжнарод-ному ринку та наблизить Украшу до отримання статусу держави, яка забезпечуе належний захист персональних даних пращвнишв, що у свою чергу при-швидшить та полегшить входження нашо! держави до £диного цифрового ринку £вропейського Союзу.
Список л^ератури
1. План заходiв з виконання Угоди про асощацш мiж Укра!ною, з одше! сторони, та £вро-пейським Союзом, £вропейським спiвтовариством з атомно! енергп i !'хшми державами-членами, з ш-шо! сторони: затв. постановою Каб. Мiнiстрiв Укра!ни вiд 25.10.2017 № 1106. URL: https://zakon.rada.gov.ua/laws/show/1106-2017-п#Text
2. Легка О. В. Актуальш питання захисту персональних даних: вичизняний та мiжнародний до-свiд. Правова позицiя. 2021. № 2(31). С. 74-79.
3. Головченко В. Правовi основи захисту персональних даних. Юридична газета. URL: https://yur-
gazeta.com/publications/practice/inshe/pravovi-osnovi-zahistu-personalnih-danih.html
4. Угоди про сшвробггаицтво мiж Укра!ною та £вропейською органiзацiею з питань юстицй' ввд 27.06.2016. URL: https://zakon.rada.gov.ua/laws/show/984_024-16#n2
5. Мiжнародний Пакт про громадянськ1 та полгтичш права 1966 р. URL: https://zakon.rada.gov.ua/laws/show/995_043#Text
6. Конвенцiя про захист прав людини i осново-положних свобод ввд 04.11.1950 р. URL: https://zakon.rada.gov.ua/laws/show/995_004#Text
7. Бем М. В., Городиський I. М., Саттон Г., Родiоненко О. М. Захист персональних даних: пра-вове регулювання та практичнi аспекти: наук.-практ. посiбник. Ки!в: К.1.С., 2015. 220 с.
8. Конвенщя про захист осiб у зв'язку з авто-матизованою обробкою персональних даних ввд 28.01.1981 р. URL: https://zakon.rada.gov.ua/laws/show/994_326
9. Директива 95/46/£С £вропейського парламенту i Ради «Про захист фiзичних осiб у зв'язку з обробкою персональних даних i в№не пе-ремiщення таких даних» ввд 24 жовтня 1995 р. https://zakon.rada.gov.ua/laws/show/994_242#Text
10. Загальний регламент iз захисту персональ-них даних £вропейського Союзу (GDPR) № 2018/1725. URL: http://aphd.ua/gdpr-ofitsiinyi-ukranskyi-pereklad
11. Проект Закону Укра!ни про захист персо-нальних даних ввд 02.06.2021 р. № 5628. URL: http://search.liga-
zakon.ua/l doc2.nsf/link1/JI05379I.html
