Zakonoproekt.Org.UA

 


Парламент розгляне законопроект про захист персональних даних 

Сторінка англійською мовою Сторінка російською мовою Сторінка французькою мовою Сторінка німецькою мовою Сторінка  іспанською мовою Версія для друку
14.12.2010

Верховна Рада України включила до порядку денного законопроект щодо порушення законодавства про захист персональних даних .

За висновком Головного науково-експертного управління Апарату Верховної Ради України за результатами розгляду в першому читанні проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних» (реєстр. № 7355 від 11.11.2010 р.)доцільно повернути суб’єкту права законодавчої ініціативи на доопрацювання.

Законопроектом пропонується внести зміни до Кримінально-процесуального кодексу України (далі – КПК України), Кодексу України про адміністративні правопорушення (далі – КУпАП), Кримінального кодексу України (далі – КК України) та Закону України «Про інформацію». Суть зазначених змін полягає у наступному: 1) уточнюється поняття «інформація про особу», що міститься у статті 23 Закону України «Про інформацію»; 2) встановлюється адміністративна відповідальність за порушення законодавства у сфері захисту персональних даних та порушення встановлених законодавством вимог щодо захисту інформації про особу у статтях 188-37 та 188-38 КУпАП, обов’язок щодо розгляду справ про вказані правопорушення покладається на уповноважений державний орган з питань захисту персональних даних (стаття 244-19 КУпАП); 3) викладається у новій редакції диспозиція статті 182-1 КК України, зазначений Кодекс доповнюється новими статтями (182-1, 182-2), якими передбачається кримінальна відповідальність за порушення вимог щодо захисту інформації про особу та окремо за умисне порушення таких вимог; 4) у справах про злочини, передбачені статтями 182-1, 182-2 КК України, досудове слідство має проводитись тим органом, до підслідності якого відноситься злочин, у зв’язку з яким порушено дану справу (частина шоста статті 112 КПК України), зазначається на сайті www.zakonoproekt.org.ua

Проаналізувавши законопроект, Головне науково-експертне управління вважає, що значна кількість його положень є проблематичними та суперечливими. З огляду на це вважаємо за необхідне висловити до проекту такі зауваження і пропозиції.

Щодо змін до Закону України «Про інформацію»

1. Законопроектом пропонується викласти статтю 23 Закону України «Про інформацію» у новій редакції. Однак пояснювальна записка не містить достатнього обґрунтування необхідності внесення такої зміни.

Оцінюючи доцільність цієї новели, Головне управління вважає за необхідне відзначити, що чинна редакція статті 23 виглядає більш вдалою у порівнянні з редакцією, пропонованою проектом. Так, положеннями зазначеної статті чітко розкривається значення поняття «інформація про особу» – «сукупність документованих або публічно оголошених відомостей про особу» (частина перша статті 23); визначаються основні дані про особу (персональні дані) – національність, освіта, сімейний стан, релігійність, стан здоров'я, адреса, дата і місце народження (частина друга статті 23); джерела документованої інформації про особу – видані на її ім’я документи, підписані нею документи, відомості про особу, зібрані державними органами влади та органами місцевого самоврядування в межах своїх повноважень (частина третя статті 23); передбачається право кожної особи на ознайомлення із зібраною про неї інформацією (частина п’ята статті 23).

На відміну від чинної норми пропонована новела містить лише нове визначення терміну «інформація про особу», а саме – «відомості чи сукупність відомостей про особу, яка ідентифікована або може бути конкретно ідентифікована», яке, на нашу думку, недостатньо повно розкриває усі основні його ознаки, та запозичені із чинної статті 23 положення частин четвертої та шостої, в яких йдеться про заборону збирання відомостей про особу без її попередньої згоди за винятком випадків, передбачених законом (частина четверта статті 23), та зазначається, що інформація про особу охороняється законом (частина шоста статті 23).

Ще більш незрозумілим є фактичне ототожнення у законопроекті поняття «інформація про особу» із визначенням поняття «персональні дані», що міститься у абзаці п’ятому частини другої статті 2 Закону України «Про захист персональних даних». Згідно з чинною редакцією статті 23 Закону України «Про інформацію» поняття «інформація про особу» є набагато ширшим від поняття «персональні дані», про які йдеться у частині другій зазначеної статті і до яких відносяться лише основні дані про особу (національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження). Саме такі дані згідно з рішенням Конституційного Суду України від 30 жовтня 1997 року № 5-зп відносяться до такого виду інформації з обмеженим доступом, як конфіденційна інформація. Проте, наприклад, місце роботи конкретної особи є інформацією про особу, однак не відноситься до її персональних даних. Отже, по суті законопроектом пропонується звузити поняття «інформація про особу», що навряд чи можна вважати виправданим для цілей Закону України «Про інформацію». Адже у такому випадку неясно, яку інформацію про особу можна буде розголошувати без ризику бути притягнутим за це до адміністративної чи кримінальної відповідальності, як це пропонується у законопроекті.

Таким чином, зміна чинної редакції статті 23 Закону України «Про інформацію» на редакцію, запропоновану у проекті, виглядає недоцільною.

Щодо змін до Кримінального кодексу України

1. Проектом пропонується нова редакція диспозиції статті 182 КК України, згідно з якою кримінально караними, крім незаконного збирання, зберігання, використання або поширення конфіденційної інформації про особу, запропоновано визнавати незаконну реєстрацію, накопичення, адаптування, зміну, поновлення та знищення такої інформації.

Перш за все слід відзначити, що реєстрація, накопичення, адаптування, зміна, поновлення відповідної інформації є елементами її збирання та зберігання. Відтак відповідальність за ці незаконні дії фактично уже передбачена чинною статтею 182 КК і потреби в окремій згадці про такі дії у тексті цієї статті немає.

Окрім цього, пропоноване проектом розширення опису заборонених дій створить передумови для невиправданої конкуренції з низкою чинних кримінально-правових норм. Так, незаконна реєстрація, адаптування, зміна та поновлення службовою особою інформації, що відноситься до категорії конфіденційної (наприклад, щодо місця проживання конкретної особи, сімейного стану, стану здоров'я) підпадає під ознаки складів злочинів, передбачених окремими статтями розділу ХVІІ цього Кодексу, якими встановлюється відповідальність за службові злочини (зловживання владою або службовим становищем (стаття 364), перевищення влади або службових повноважень (стаття 365), службове підроблення (стаття 366) тощо). У свою чергу якщо завідомо неправдиві відомості про особу були внесені в документи, які подаються для реєстрації випуску цінних паперів, такі дії слід кваліфікувати за статтею 223-1 цього Кодексу. Відповідні склади злочинів містять також й інші статті КК України, які передбачають відповідальність за підроблення тих чи інших документів (виборчих (стаття 158), на переказ, платіжних карток чи інших засобів доступу до банківських рахунків (стаття 200), на отримання наркотичних засобів, психотропних речовин або прекурсорів (стаття 318)) тощо.

Що стосується незаконного знищення конфіденційної інформації про особу, то у випадку, коли воно вчинено з необережності, воно не є настільки небезпечним діянням, щоб варто було визнавати його злочином. За своєю правовою природою (якщо це не спричинило значної шкоди) воно є нічим іншим, як дисциплінарним проступком, за який відповідно до чинного законодавства України передбачено стягнення у виді догани, а в окремих випадках – звільнення з роботи (служби). Якщо ж таке діяння було вчинено службовою особою умисно та потягло за собою відповідні негативні наслідки, то його слід кваліфікувати за відповідними статтями розділу ХІІ «Злочини у сфері службової діяльності» КК України (зловживання владою або службовим становищем (стаття 364), перевищення влади або службових повноважень (стаття 365) тощо).

Крім того, несанкціоновані зміна, знищення зазначеної вище інформації, яка оброблюється в електронно-обчислювальних машинах (комп'ютерах), автоматизованих системах чи комп'ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї, тягнуть за собою відповідальність, передбачену статтею 362 КК України.

2. Законопроектом пропонується визнати кримінально караними порушення вимог щодо захисту інформації про особу у двох нових статтях КК – 182-1 та 182-2. Дослівне тлумачення пропонованих законопроектом норм свідчить про те, що стаття 182-1 є загальною щодо статті 182-2. Зокрема, статтею 182-1 КК України встановлюється відповідальність за будь-яке порушення вимог щодо захисту інформації про особу незалежно від форми вини (умисно чи з необережності), незалежно від виду носія такої інформації (паперовий, електронний тощо), а також незалежно від того, яким чином порушуються вимоги до захисту цієї інформації.

У свою чергу, у статті 182-2 КК України запропоновано передбачити відповідальність лише за умисне порушення таких вимог. При цьому чомусь виділяються лише такі форми порушень, як надання володільцем, розпорядником бази персональних даних чи уповноваженою особою доступу до інформації про особу та її умисна передача третім особам з порушенням закону. Крім того, зазначена кримінально-правова заборона має поширюватися лише на бази персональних даних (згідно з абзацом другим частини першої статті 2 Закону України «Про захист персональних даних» вони можуть існувати в електронній формі та у формі картотек). Проте, наслідки у формі несанкціонованого поширення або спотворення цієї інформації та заподіяння значної шкоди особі (вид та розмір якої чомусь не конкретизується), є обов’язковими для об’єктивної сторони обох складів злочинів, передбачених статтями 182-1 та 182-2 КК України.

Не зовсім зрозуміло виглядають пропоновані санкції зазначених статей, зокрема те, що загальна норма, за якою діяння може вчинюватися й з необережності, передбачає більш суворе покарання, ніж спеціальна, за якою діяння вчинюється лише умисно. Так, за умисне порушення вимог щодо захисту інформації про особу найсуворішим покаранням буде арешт на строк до трьох місяців (частина перша статті 182-2), тоді як за аналогічне діяння, вчинене з необережності, суд зможе призначити покарання у виді обмеження волі на строк до двох років (стаття 182-1).

Крім того неясно, як зазначені вище діяння мають співвідноситися із запропонованими положеннями статті 182 КК України. Так, наприклад, незаконне поширення інформації щодо особи в одному випадку законопроектом визнається самостійним кримінально караним діянням (стаття 182), в іншому – одним із обов’язкових наслідків порушення вимог щодо захисту такої інформації (статті 182-1, 182-2) (такий висновок випливає із того, що ініціатором законопроекту звужується поняття «інформація про особу» та фактично прирівнюється до конфіденційної інформації).

Загалом, порушення вимог щодо захисту інформації про особу, яка є конфіденційною, вчинене з необережності (як до діяння, так і до наслідків), не є суспільно небезпечним діянням, а отже не може визнаватися злочином. Умисне ж порушення таких вимог (за винятком особистого перегляду інформації без подальшого зберігання, використання, поширення тощо) уже саме по собі означає несанкціоноване поводження з конфіденційною інформацією про особу, за яке чинною статтею 182 КК України уже передбачена відповідальність. Спеціальною нормою, яка встановлює кримінальну відповідальність за порушення правил захисту електронної інформації (у тому числі й конфіденційної інформації про особу), є стаття 363 КК України «Порушення правил експлуатації електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку або порядку чи правил захисту інформації, яка в них оброблюється».

На підставі викладеного запропоновані зміни до КК України Головне управління вважає недосконалими та суперечливими, а тому приймати їх у пропонованому вигляді недоцільно.

Щодо змін до Кримінально-процесуального кодексу України

Згідно з положеннями законопроекту обов’язок щодо провадження досудового слідства у справах про злочини, якими пропонується доповнити КК України (нові статті 182-1 та 182-2), покладається на той орган, до підслідності якого відноситься злочин, у зв’язку з яким порушено дану справу (підслідність за зв’язком справ) (частина шоста статті 112 КПК України).

Така пропозиція, на наш погляд, є дещо нелогічною. По-перше, справи про злочини, передбачені чинною статтею 182 КК України, наразі розслідуються слідчими прокуратури (частина перша статті 112 КПК України). По-друге, відповідно до приписів частини шостої статті 112 КПК України підслідність за зв’язком справ має місце лише у тих випадках, коли новий злочин тісно пов'язаний з іншим, раніше вчиненим злочином (наприклад, злочин, передбачений статтею 384 КК України – завідомо неправдиве показання).

Щодо змін до Кодексу України про адміністративні

правопорушення

1. Пропозиція передбачити адміністративну відповідальність за «створення … баз персональних даних до проведення державної реєстрації таких баз даних у встановленому законодавством порядку» у статті 188-37 КУпАП є неприйнятною, оскільки в даному разі фактично вимагається реєстрація бази персональних даних, якої ще не існує, що є нелогічним.

2. Диспозиція частини другої статті 188-37 КУпАП, яка пропонується законопроектом, створює конкуренцію з положеннями статті 188-38 КУпАП.

Крім того, відповідно до ч. 2 ст. 9 КУпАП, частини друга і третя статті 188-37 та стаття 188-38 КУпАП в редакції законопроекту взагалі не будуть застосовуватись, оскільки передбачені ними порушення стосовно конфіденційної інформації про особу, яка розміщується (зберігається) в електронно-обчислювальних системах (комп’ютерах), автоматизованих системах, комп’ютерних мережах, або зберігається на носіях такої інформації, тягнуть за собою кримінальну відповідальність, передбачену частиною першою статті 361-2 та частинами першою та другою статті 362 КК. На думку Головного управління вказані положення частин другої і третьої статті 188-37 та статтю 188-38 КУпАП доцільно вилучити із законопроекту.

3. Санкції, запропоновані в статях 188-37 та 188-38 КУпАП, на наш погляд, є неадекватними передбаченим у них порушенням. Варто взяти до уваги, що визначальним у цих правовідносинах є захист даних про особу. Всі інші вимоги закону, а саме вимоги щодо реєстрації баз персональних даних та відповідальність за ухилення від такої реєстрації, відповідальність за порушення порядку доступу до персональних даних, незабезпечення захисту особистих даних від доступу до них сторонніх осіб є похідними, а тому і відповідальність за ці дії не повинна бути більш жорстокою, ніж за незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації (ст. 182 КК). Законопроектом же передбачається визначити розмір штрафу за адміністративний проступок у вигляді незабезпечення захисту персональних даних від доступу до них сторонніх осіб щонайменше в 10 разів більше, ніж розмір штрафу за вчинення злочину у вигляді розголошення саме цих даних. Таким чином за скоєння адміністративних проступків встановлюються стягнення, які є більш жорсткими, аніж відповідні кримінальні покарання за скоєння злочину, хоча суспільна небезпека останнього є значно вищою. Такий підхід є неприйнятним.

4. Доповнення КУпАП окремою статтею 244-19 потребує також внесення відповідних змін до частини другої статті 255 КУпАП.

Для даного повідомлення коментарі заборонені.
Передрук матеріалів сайту вітається , при наявності прямого гіперпосилання (hyperlink) без редіректа на http://www.zakonoproekt.org.ua .
Система Orphus Якщо ви знайшли помилку, видiлiть її мишкою та натисніть Ctrl+Enter

Теми