Силовики не понесуть відповідальність за масовий збір персональних даних
Силовики, які зобов’язали провайдерів та операторів надавати відомості про користувачів Інтернету, котрі за певний період (майже 2 місяці) відвідували окремі веб-сайти (перелік в запиті), не понесуть відповідальність за свої дії.
У Службі безпеки України відповіли, що запитувана слідчим інформація, дійсно пов’язана із розслідуванням слідчими органами СБУ злочинів проти основ національної безпеки країни, і пояснюють, що в Службі діяли відповідно до вимог статті 93 Кримінального процесуального кодексу України.
За іронією долі, такі запити направлялися напередодні Міжнародного Дня захисту персональних даних.
5 лютого IнАУ написала лист Голові Служби безпеки України, в якому висловила своє занепокоєння у зв’язку із прискореним згортанням в Україні прав людини на інформацію, свободу слова та вираження поглядів разом із іншими фундаментальними свободами. Водночас, у СБУ повідомили, що в цьому листі викладено суб’єктивну точку зору окремих представників організацій, що здійснюють свою діяльність на ринку телекомунікацій. Стає зрозуміло, що на цьому все.
У листі ІНАУ наголошено: "Резолюція засуджує подібні дії і окремо підкреслює небезпеку, яку несе масовий збір особистої інформації користувачів, що може призвести до серйозних порушень основоположних прав людини. Подібні запити СБУ - це спроба утиску конституційних прав особи на інформацію, свободу слова та має ознаки боротьби з інакодумством".
Партнер "Khasin & Drozdovskyy", юрист Любомир Дроздовський пояснює, наскільки такі дії силовиків правомірні з точки зору законодавства.
Частина 2 ст.19 Конституції України, визначає, що органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.
Статтею 159 Кримінального процесуального кодексу України передбачено, що тимчасовий доступ до речей і документів полягає у наданні стороні кримінального провадження особою, у володінні якої знаходяться такі речі та документи, можливості ознайомитися з ними, зробити їх копії та, у разі прийняття відповідного рішення слідчим суддею, судом, вилучити їх (здійснити їх виїмку).Тимчасовий доступ до речей і документів здійснюється на підставі ухвали слідчого судді, суду.
Стаття 162 КПК України встановлює перелік речей і документів, які містять охоронювану законом таємницю.
1. До охоронюваної законом таємниці, яка міститься в речах і документах, належать:
1) інформація, що знаходиться у володінні засобу масової інформації або журналіста і надана їм за умови нерозголошення авторства або джерела інформації;
2) відомості, які можуть становити лікарську таємницю;
3) відомості, які можуть становити таємницю вчинення нотаріальних дій;
4) конфіденційна інформація, в тому числі така, що містить комерційну таємницю;
5) відомості, які можуть становити банківську таємницю;
6) особисте листування особи та інші записи особистого характеру;
7) інформація, яка знаходиться в операторів та провайдерів телекомунікацій, про зв'язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо;
8) персональні дані особи, що знаходяться у її особистому володінні або в базі персональних даних, яка знаходиться у володільця персональних даних;
9) державна таємниця.
Згідно ч. 6 ст. 163 КПК України, слідчий суддя, суд постановляє ухвалу про надання тимчасового доступу до речей і документів, які містять охоронювану законом таємницю, якщо сторона кримінального провадження, крім обставин, передбачених частиною п'ятою цієї статті, доведе можливість використання як доказів відомостей, що містяться в цих речах і документах, та неможливість іншими способами довести обставини, які передбачається довести за допомогою цих речей і документів.
Доступ особи до речей і документів, які містять охоронювану законом таємницю, здійснюється в порядку, визначеному законом. Доступ до речей і документів, що містять відомості, які становлять державну таємницю, не може надаватися особі, що не має до неї допуску відповідно до вимог закону.
Згідно ч. 1 та 2 ст. 165 КПК України, особа, яка зазначена в ухвалі слідчого судді, суду про тимчасовий доступ до речей і документів як володілець речей або документів, зобов’язана надати тимчасовий доступ до зазначених в ухвалі речей і документів особі, зазначеній у відповідній ухвалі слідчого судді, суду. Зазначена в ухвалі слідчого судді, суду особа зобов’язана пред’явити особі, яка зазначена в ухвалі як володілець речей і документів, оригінал ухвали про тимчасовий доступ до речей і документів та вручити її копію.
Отже, доступ до персональних даних особи слідичй може отримати тільки в порядку, встановленому законом, тобто на підставі ухвали слідчого судді про тимчасовий доступ до речей і документів, і тільки у виняткових випадках, тобто у разі, коли він доведе судді, що іншим чином підтвердити чи спростувати певні дані неможливо.
Надання слідчому доступу до персональних даних особи в інший спосіб (не на підставі ухвали слідчого судді) є порушенням законодавства про захист персональних даних і тягне за собою відповідальність.
У Державній службі з питань захисту персональних даних повідомили, що вона вже не виконуватиме функції контролю за дотриманням норм у сфері персональних даних. Можливо навіть буде ліквідована. Заступник голови Державної служби з питань захисту персональних даних Володимир Козак пояснює, що вона має бути органом незалежним від уряду, а головну проблему в сфері захисту персональних даних вбачає у відсутності належного законодавства і механізмів реалізації прав. Разом з тим, зауважує, що провайдери навіть не володіли всією тією інформацією, яку в них запитували. Та навіть зважаючи на той факт, що справжнім айсбергом є законодавча проблема, Володимир Козак вважає за необхідне проводити розслідування дій силовиків.
Питання щодо подальшого функціонування Державної служби з питань захисту персональних даних наразі, вирішується. Тому рекомендую звернутися до Уповноваженого Верховної Ради з прав людини, який здійснює нагляд за дотриманням законодавства з питань захисту персональних даних.
Позиція Державної служби з питань захисту персональних даних стосовно доступу правоохоронних органів до персональних даних (станом – до 31.12.2013) викладена в листі, що додається.
Вважаю, що є актуальним питання удосконалення законодавства щодо здійснення правоохоронними органами оперативно-технічних заходів стосовно користувачів Інтернет. Сьогодні це питання практично не врегульовано, що створює як передумови щодо порушення прав користувачів Інтернет на недоторканість приватного життя. Не визначено конкретно, які саме персональні дані користувачів Інтернет повинні зберігатися провайдерами доступу та сервіс-провайдерами, як довго вони повинні зберігатися та згідно з якими процедурами повинен надаватися доступ до таких даних правоохоронним органам, згідно законодавства.
Інша проблема – ігнорування провайдерами вимог законодавства про захист персональних даних.
Що ж стосується збору інформації з електронних скриньок, то складно порадити щось, окрім як вигадування складних паролів. Адже для того, аби зламати вашу поштову скриньку, достатньо бути студентом-хакером. Доступ до скриньок отримується шляхом підбирання паролю.
Позиція Державної служби з питань захисту персональних даних стосовно доступу правоохоронних органів до персональних даних
І дійсно, починаючи від 1 січня 2014 року, згідно з Законом України «Про захист персональних даних» (зі змінами № 383-VII від 03.07.2013), контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини. Однак, Валерія Лутковська поки не відповіла на наші питання.
Юрист компанії «Тарасов і партнери» Павло Кириченко розповідає про зміни в законодавстві.
Законодавство про захист персональних даних було змінене з початку 2014 року. Найістотніша зміна полягає у зміні контролюючого органу. Відтепер контролює дотримання законодавства та притягає до відповідальності Уповноважений Верховної Ради України з прав людини. З точки зору принципів побудови державної влади - це виглядає дивно. Уповноважений повинен захищати від зловживань державних органів нагляду і контролю, а тут фактично він вбирає до себе їх функцію. Це означає, що припиняє своє існування Державна служба з питань захисту персональних даних, а також реєстрація баз даних замінюється повідомлення Уповноваженого про обробку особливої категорії персональних даних. Щодо інших змін, то вони принципово не змінили правове регулювання у даній сфері, їх можна назвати удосконаленням та деяким спрощенням юридичної техніки.
У ситуації із запитом СБУ про надання персональних даних застосуванню підлягає стаття 25 Закону України «Про захист персональних даних», яка передбачає обмеження дії статей 6 (Загальні вимоги до обробки персональних даних), 7 (Особливі вимоги до обробки персональних даних) і 8 (Права суб'єкта персональних даних) цього Закону може здійснюватися у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб.
Фактично, це означає що, забезпечуючи національну безпеку, державні органи вправі відійти від основоположних вимог закону.
Як бачимо, досить непереконливим вважається уточнення, що таке обмеження здійснюється у обсягах «наскільки це необхідно» і лише «в інтересах».
Ще один цікавий момент. Ми всі пам’ятаємо, як Інтернет облетіли фото щоденних «звітів про погрози» користувачів у соціальних мережах, знайдених у Межигір’ї. В СБУ відхрестилися від сприяння такій діяльності, й офіційно визнали, що автор цих звітів керівник особистої охорони екс-президента Костянтин Кобзар, який надавав інформацію безпосередньо Януковичу, і заявили, що жодного стосунку до Служби безпеки він не мав. Нині Кобзар, як повідомляють в деяких джерелах, перебуває в Росії, куди втікав разом з Януковичем.
Тим не менш, 19 грудня 2013 Генеральна Асамблея ООН одноголосно ухвалила резолюцію про захист особистої інформації користувачів Інтернету та інших форм електронних комунікацій від втручання у приватне життя, у тому числі й з боку спецслужб. У декларації відзначається, що шпигунство та масовий збір персональних даних в Інтернеті є порушенням права людини на приватне життя. Резолюція покликана поширити на користувачів Інтернету право на захист приватного життя і особистого листування, яке гарантує кожному Міжнародний пакт про політичні та громадянські права від 1966 року.