Факти. Відповідне національне законодавство та практика

Рішення від 26 січня 2017

Завантажте повний текст рішення «Суріков проти України»

II. ВІДПОВІДНЕ НАЦІОНАЛЬНЕ ЗАКОНОДАВСТВО ТА МІЖНАРОДНІ АКТИ A. Відповідна правові положення та судова практика стосовно захисту персональних даних та конфіденційності медичної інформації

(a) Конституція України 1996 року

1. Стаття 32 Конституції України у відповідних положенням проголошує таке:

   Стаття 32

   “ Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.

   Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

   ...

   Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.”

(b) Цивільний кодекс України 1963 (змінений 1 січня 2004 року)

1. Текст статті 7 Цивільного кодексу України 1963 року, чинний та відповідний на час подій, міститься в рішенні «Українська Медіа-Група проти України» (№ 72713/01, параграф 23, 29 березня 2005 року).

(c) Закон України «Про інформацію» № 2657-XII від 2 жовтня 1992

1. Відповідні положення Закону про інформацію, чинні на час подій, передбачали таке:

   Стаття 23. Інформація про особу

   “ Інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу.

   Основними даними про особу (персональними даними) є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження.

   ...

   Забороняється збирання відомостей про особу без її попередньої згоди, за винятком випадків, передбачених законом.»

   Стаття 31. Доступ громадян до інформації про них

   “ Громадяни мають право:

   знати у період збирання інформації, які відомості про них і з якою метою збираються, як, ким і з якою метою вони використовуються;

   доступу до інформації про них, заперечувати її правильність, повноту, доречність тощо.

   Державні органи та організації, … інформаційні системи яких вміщують інформацію про громадян, зобов'язані… вживати заходів щодо запобігання несанкціонованому доступу до неї …

   Забороняється доступ сторонніх осіб до відомостей про іншу особу, зібраних відповідно до чинного законодавства державними органами, організаціями і посадовими особами.

   Зберігання інформації про громадян не повинно тривати довше, ніж це необхідно для законно встановленої мети

   ...

   Необхідна кількість даних про громадян, яку можна одержати законним шляхом, має бути максимально обмеженою і може використовуватися лише для законно встановленої мети.

   Відмова в доступі до такої інформації, або приховування її, або незаконні збирання, використання, зберігання чи поширення можуть бути оскаржені до суду.

   Стаття 46 Неприпустимість зловживання правом на інформацію

   “...

   Не підлягають розголошенню відомості, що стосуються лікарської таємниці …, крім випадків, передбачених законом

(d) Закон України «Основи законодавства України про охорону здоров'я» №2801-XII від 19 листопада 1992

1. Стаття 40 вказаного закону передбачає таке:

   Стаття 40. Лікарська таємниця

   “ Медичні працівники та інші особи, яким у зв'язку з виконанням професійних або службових обов'язків стало відомо про хворобу, медичне обстеження, огляд та їх результати, інтимну і сімейну сторони життя громадянина, не мають права розголошувати ці відомості, крім передбачених законодавчими актами випадків.»

(e) Закон України «Про психіатричну допомогу» №1489-III від 22 лютого 2000

1. Відповідні положення цього Закону передбачають таке:

   Стаття 3. Презумпція психічного здоров'я

   «Кожна особа вважається такою, яка не має психічного розладу, доки наявність такого розладу не буде встановлено на підставах та в порядку, передбачених цим Законом та іншими законами України.»

   Стаття 6. Конфіденційність відомостей про стан психічного здоров'я особи та надання психіатричної допомоги

   Медичні працівники, … та особи, яким у зв'язку з навчанням або виконанням професійних, службових, громадських чи інших обов'язків стало відомо про наявність у особи психічного розладу, … а також інші відомості про стан психічного здоров'я особи, її приватне життя, не можуть розголошувати ці відомості, крім випадків, передбачених … цієї статті.

   …

   Документи, що містять відомості про стан психічного здоров'я особи та надання їй психіатричної допомоги, повинні зберігатися з додержанням умов, що гарантують конфіденційність цих відомостей. Вилучення оригіналів цих документів та їх копіювання може здійснюватися лише у випадках, встановлених законом.

(f) Рішення Конституційного Суду України від 30 жовтня 1997 року в справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України "Про інформацію" та статті 12 Закону України "Про прокуратуру" (справа К.Г.Устименка, 3 18/203-97)

1. Відповідні частини вищезгаданого Рішення передбачають таке:

   “...

   2. … аналіз правозастосовної практики, матеріалів конституційного звернення дає підстави констатувати наявність у нормативно-правовій базі в частині інформаційних правовідносин нечітко визначених, колізійних положень і прогалин, що негативно впливає на забезпечення конституційних прав і свобод людини і громадянина.

   …,частина друга статті 32 Конституції України не допускає збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Але вітчизняним законодавством не повністю визначено [відповідні процедури], зокрема щодо психічного стану людини…

   Законодавство України поки що не приведено у відповідність з європейськими стандартами у галузі захисту персональних даних у зв'язку із прийняттям України до Ради Європи…

   Виходячи з викладеного, …Конституційний Суд України в и р і ш и в:

   1. Частину четверту статті 23 Закону України "Про інформацію" ( 2657-12 ) треба розуміти так, що забороняється не лише збирання, а й зберігання, використання та поширення конфіденційної інформації про особу без її попередньої згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту, прав та свобод людини. До конфіденційної інформації, зокрема, належать свідчення про особу (освіта, сімейний стан, релігійність, стан здоров'я, дата і місце народження, майновий стан та інші персональні дані)...»

   2. Відповідне національне законодавство стосовно обов’язку роботодавця створити безпечне трудове середовище для своїх співробітників та вести Реєстр військовозобов’язаних

(a) Кодекс законів про працю від 1971 року

1. Відповідні положення Кодексу законів про працю, актуальні на час подій, передбачають таке:

   Стаття 2. Основні трудові права працівників

   “...

   Працівники мають право на … здорові і безпечні умови праці…”

   Стаття 153. Створення безпечних і нешкідливих умов праці

   “...

   Забезпечення безпечних та нешкідливих умов праці покладається на власника або уповноважений ним орган...”

(b) Закон України «Про військовий обов’язок і військову службу» №2232-XII від 25 березня 1992

1. Відповідно до статті 35 вказаного Закону, прийнятого в 1992 році, публічні та приватні підприємства, на яких працюють військовозобов’язані або призовники, вести персональний облік таких осіб. Керівники таких підприємств несуть персональну відповідальність за належний стан організації обліку. Внаслідок змін до вказаного Закону від 18 червня 1999 року такий самий обов’язок був передбачений в новій статті 34.

(c) Інструкція з військового обліку військовозобов'язаних і призовників на підприємствах, в установах, організаціях і навчальних закладах, затверджена Наказом Міністра оборони України № 165 від 27 червня 1995 року

1. Відповідно до пункту 10 вказаної Інструкції (зміненої Наказом Міністра оборони України № 660 від 15 грудня 2010 року) роботодавці були зобов’язані вести реєстр військовозобов’язаних і призовників з метою «…забезпечення контролю за виконанням громадянами України військового обов'язку …»

2. Відповідно до пунктів 13 і 19 цей реєстр був створений як структурована система, яка складається з стандартних персональних карток робітників, розподілених за категоріями з точки зору їх належності до військового обов’язку. Стандартний текст таких карток був наведений в додатку.

3. Згідно пункту 14 основна інформація вносилась до персональної картки з індивідуальних військових ідентифікаційних та реєстраційних документів, таких, як «військовий квиток», виданий органами влади громадянам для виконання військового обов’язку.

4. Відповідно до пункту 15 роботодавці мали вносити в персональну картку своїх робітників, крім інших даних, інформацію стосовно придатності до військової служби. Якщо робітник був визнаний непридатним до військової служби в мирний час, відповідний запис мав містити посилання на пункт Розкладу захворювань та фізичних недоліків, затверджений Міністром оборони, на підставі якого робітник був списаний з військової служби.

5. Згідно пункту 19 реєстр військовозобов’язаних має зберігатись в порядку, передбаченому для секретних документів.

6. Відповідно до пункту 20 і державні, і приватні роботодавці були зобов’язані перевіряти наявність військово-облікових документів при прийнятті на роботу та і не приймати на роботу осіб, чий відповідний статус чи документи не визначені.

7. Різні положення Інструкції встановлювали обов’язок роботодавців регулярно звіряти їх записи з записами військкоматів, а обов’язком громадянина, придатного до військової служби, було інформувати компетентні органи про будь-які зміни в їх статусі, включаючи стан здоровя.

(d) Наказ Міністра оборони СРСР № 185 від 3 вересня 1973 року

1. У відповідності з пунктом 5 б Розкладу хвороб та фізичних вад, який є додатком до вказаного Наказу, прийнятого в 1973 році, особа, визнана спеціалізованою лікарською комісією такою, що страждає на «психози та психічні порушення при органічних ураженнях головного мозку при наявності залишкових помірно виражених порушень з боку психічної сфери», мала визнаватись непридатною до військової служби в мирний час та придатною до нестройової служби у військовий час.

2. 9 вересня 1987 року вказаний Наказ був замінений Наказом Міністра обороні СРСР 3260, який містив новий Розклад хвороб та фізичних вад. Після отримання Україною незалежності в різні дати видавались іші Розклади, які затверджувались наказами Міністра оборони України.

3. Відповідні матеріали Ради Європи

4. Конвенція Ради Європи № 108 про захист осіб в зв’язку з автоматизованою обробкою персональних даних (Конвенція про захист персональних даних) була прийнята 28 січня 1981 року та ратифікована всіма державами-членами Ради Європи.

5. Ця Конвенція була підписана Україною 29 серпня 2005 року та ратифікована 30 вересня 2010 року.

6. Відповідні положення передбачають таке:

   Стаття 3. Сфера застосування

   “1. Сторони зобов'язуються застосовувати цю Конвенцію до файлів персональних даних для автоматизованої обробки та до автоматизованої обробки персональних даних у державному та приватному секторах

   2. Будь-яка Держава… може повідомити за допомогою заяви на ім'я Генерального секретаря Ради Європи про те, що вона:

   ... також буде застосовувати цю Конвенцію до файлів персональних даних, які не обробляються автоматизовано.

   ...”

   Стаття 5. Якість даних

   “Персональні дані, що піддаються автоматизованій обробці, повинні:отримуватися та оброблятися сумлінно та законно;зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями;бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються;d) бути точними та в разі необхідності оновлюватися; ...”

   Стаття 6. Особливі категорії даних

   “Персональні дані… що стосуються здоров’я… не можуть піддаватися автоматизованій обробці, якщо внутрішнє законодавство не забезпечує відповідних гарантій…”

   Стаття 7. Безпека даних

   “Для захисту персональних даних, що зберігаються у файлах даних для автоматизованої обробки, уживають відповідних заходів безпеки, спрямованих на запобігання випадковому чи несанкціонованому знищенню або випадковій утраті, а також на запобігання несанкціонованим доступу, зміні або поширенню.”

   Стаття 10. Санкції та заходи правового захисту

   “Кожна Сторона зобов'язується встановити відповідні санкції та засоби правового захисту стосовно порушень положень внутрішнього права, що запроваджують основоположні принципи захисту персональних даних, визначені в цій главі.”

C. Інші відповідні міжнародні матеріали 1. Законодавство Європейського Союзу

1. Хартія основних прав Європейського Союзу (2000/C 364/01), проголошена 7 грудня 2000 року, яка вступила в силу 1 грудня 2009 року, містить серед інших основоположних прав право на захист персональних даних. Саття 8 Хартії передбачає, зокрема, таке:

   Стаття 8 Захист персональних даних

   “1. Кожен має право на захист персональних даних відносно нього чи неї.

   2. Такі дані мають оброблятися виключно для специфічних цілей і на підставі згоди особи, якої вони стосуються, або для інших законних підстав, передбачених законом. Кожен має право доступу до даних, які були зібрані відносно нього або неї, та право змінювати їх. ...”

2. Директива 95/46/EC Європейського Парламенту та Ради ЄС Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних

   (Директива ЄС щодо захисту персональних даних”) від 24 жовтня 1995 року встановлює, що об’єктом національного законодавства в цій сфері є головне – захистити право на приватність, як це передбачено в статті 8 Конвенції та в загальних принципах законодавства ЄС. Директива визначає персональні дані як «будь-яку інформацію стосовно ідентифікованої або такої, що може бути ідентифікована, фізичної особи» (пункт (а) статті 2) та вимагає від держав-членів заборонити, серед іншого, обробку персональних даних стосовно «здоров’я» (пункт (1)статті 8).

3. 25 травня 2018 року ця Директива була замінена Регламентом (EU) 2016/679 Європейського Парламенту та Ради про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних. Цей Регламент був прийнятий 27 квітня 2016 року для подальшої гармонізації правової системи держав – членів ЄС в сфері захисту персональних даних. Відповідно до пункту 1 статті 9 Регламенту обробка персональних даних стосовно здоров’я має бути заборонена, якщо тільки така обробка не стосується одного з виключень, наведених у пункті 2. Примітно, що обробка персональних даних стосовно здоров’я для оцінки працездатності працівника може бути дозволена, якщо ці дані опрацьовуються фахівцем або їх опрацьовують за його відповідальністю з урахуванням обов’язку збереження професійної таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами чи іншою особою також з урахуванням обов’язку збереження таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами (див. підпункт (h) пункт 2 та пункт 3 статті 9).

   2. Керівні принципи ОЕСР щодо захисту приватності та транскордонного руху персональних даних (Керівні принципи ОЕСР щодо персональних даних)

4. 23 вересня 1980 року Організація економічного співробітництва та розвитку (ОЕСР) прийняла Рекомендацію Ради стосовно Керівних принципів щодо захисту приватності та транскордонного руху персональних даних (C(80)58/FINAL), що відображає консенсус її держав-членів в тому, що базові принципи оробки персональної інформації в публічному та приватному секторах мають бути гарантовані національною правовою системою. В 2013 році було прийнято переглянуті Керівні принципи.

5. Відповідно до частини 1 статті 2 Керівних принципів, вони мали на меті застосовуватись до персональних даних як у державному, так і в приватному секторах "які, завдяки способу їх обробки або в силу їх характеру або контексту, в якому вони використовуються, створюють небезпеку для приватності та свободи особистості».

   Керівні принципи містять такі базові принципи, серед інших:

   Принцип обмеження збору

   “7. Мають існувати обмеження збору персональних даних та такі дані мають отримуватись в законний та справедливий спосіб та, де це можливо, за інформування або за згодою суб’єкта даних. ”

   Принцип якості даних

   “8. Персональні дані мають бути відповідними меті, з якими вони використовуватимуться, та в межах, необхідних для таких цілей, мають бути відповідними, повними та актуальними ”

   Принцип специфікації мети

   “9. Цілі, з якими персональні дані збираються, мають бути специфіковані не пізніше, ніж час збору даних, та подальше використання має бути обмеженим виконанням цих цілей або інших, що не є несумісними з такими цілями, і визначається при кожному випадку зміни цілі. ”

   Принцип обмеження використання

   “10. Персональні дані на можуть бути розкриті, стати доступними або іншим чином використані для інших цілей, ніж були специфіковані у відповідності до пункту 9, крім випадків:

   1. наявності згоди суб’єкта даних, або

   2. при уповноваженні законом”

   Принцип гарантій безпеки

   “11. Персональні дані мають бути захищені відповідними гарантями безпеки проти таких ризиків, як втрата чи неавторизований доступ, знищення, використаття, зміна чи поширення даних.”