joomla
ІДЕНТИФІКАЦІЙНИЙ НОМЕР ТА ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Юридичний часопис Національної академії внутрішніх справ

УДК 342.721:681.302

Валерій Брижко

Кандидат юридичних наук, стар­ший науковий співробітник, заслу­жений винахідник республіки

Щодо питань впровадження ідентифікаційного номера у контексті державного управління та захисту персональних даних.

Относительно вопросов внедрения идентификационного номе­ра в контексте государственного управления и защиты персональных данных.

The question of introduction of identity number in the context of state administration and the defense of personal base is viewed.

Ключові слова: ідентифікаційний номер, багатоцільовий та вузько - спеціалізований ідентифікатор, е-картка, приватні реєстри, автомати­зовані системи.

Ключевые слова: идентификационный номер, многоцелевой и узкоспециализированный идентификатор, е-карточка, частные реестры, автоматизированные системы.

Keywords: identification number, multi-purpose and strictly specialized identification, e-card, private roll, automatic systems.

Проблема підвищення ефективності державного управління, зменшення фінансових витрат, ресурсів часу за допомогою персо­нальних ідентифікаційних номерів (далі - ідентифікаційний номер) та, водночас, забезпечення захисту персональних даних потребує досить ретельної уваги передусім з точки зору змісту таких понять, як ідентифікація даних та персональні дані, ідентифікаційний номер та його застосування.

За допомогою ідентифікаційних номерів відбувається процес ре­гулювання відносин з боку держави, збираються податки, здійснюється виплата пенсій, забезпечується законотворча, правозастосовна та судочинна діяльність, освіта, охорона здоров’я, підтримується механізм державного управління тощо. Хоча ідентифікаційні но­мери виникли задовго до початку автоматизованої обробки даних (реєстри населення), побудова ринкових умов життя потребує раці­оналізації різноманітних адміністративних картотек, реєстрів і баз даних. У час розвитку інформатизації, що підвищує інтелектуаль­ний зміст праці та спрощує все складніші умови життя, присвоєння ідентифікаційного номера кожному громадянину надає переваги та економить ресурси.

У світовій практиці відомі два основних види ідентифікаційних номерів: універсальний (багатоцільовий) та неуніверсальний (вузь - коспеціалізований) ідентифікатори.

Універсальний ідентифікатор призначений для використання в адміністративних цілях і в інтересах приватного сектора. Один і той же номер може бути податковим номером соціального забезпечення, паспорта, посвідчення водія автотранспортного засобу і водночас номером доступу до товарів та послуг у приватному секторі. Такий ідентифікаційний номер базується на принципі адміністративного поєднання.

Неуніверсальний ідентифікаційний номер має обмежене викорис­тання. Він застосовується лише для однієї адміністративної мети: управління реєстром платників податків, визначення права на соці­альну допомогу, встановлення особи власника паспорта або іншого посвідчення тощо. У такому разі персональні дані розміщуються в окремих базах даних для їх наступного використання тільки у зазна­чених законом цілях.

Проте практичне застосування ідентифікаційних номерів не є беззастережним ні в країнах, що вже мають досвід запровадження багатоцільових (універсальних) ідентифікаторів, ні в країнах, які не вважають за потрібне їх введення.

У міжнародно-правових документах відсутні положення, які безпосередньо стосуються регулювання інформаційних відносин щодо ідентифікаційних номерів. Європейська Конвенція “Про пра­ва людини та основні свободи” 1950 р. та Конвенція Ради Європи “Про захист осіб у зв’язку із автоматизованою обробкою персо­нальних даних” 1981 р. № 108 не зумовлюють означене [3, 4]. Що­до документів Євросоюзу, то у Директиві 95/46/ЄС є тільки зга­дування про “ідентифікаційний код ”, а Директива 97/66/ЄС щодо телекомунікацій та Директива 96/9/ЄС щодо баз даних не зверта­ються до цього [5, 6, 7].

Утім, положення Конвенції “Про права людини та основні свобо­ди” 1950 р. безпосередньо стосуються використання ідентифікацій­них номерів. Це пояснюється тим, що несанкціоноване застосування ідентифікаційних номерів органами державної влади, організація­ми, установами, підприємствами та іншими суб’єктами інформацій­них відносин з певною метою може порушити права будь-якої особи в контексті п. 1 ст. 8 Європейської Конвенції 1950 р., яка визначає: “Кожен має право на повагу його приватного і сімейного життя, до житла і до таємниці кореспонденції”. Європейський Суд та Євро­пейська Комісія розглядають цю Конвенцію як документ, поклика­ний розв’язувати зазначені проблеми. Отже, захист персональних даних за умов використання ідентифікаційних номерів вважається обома органами як право, що підпадає під дію ст. 8 Європейської Конвенції 1950 р.

Щодо Конвенції РЄ № 108 та зазначених директив Євросоюзу, то не викликає сумнівів, що основні принципи, встановлені ними, діють як засоби контролю за можливим використанням ідентифіка­ційних номерів. Такий підхід базується на зв’язку ідентифікаційних номерів з доступом до баз даних та обробки, зокрема, персональ­них даних. Навіть звичайний серійний номер-ідентифікатор надає можливість доступу до баз даних різного цільового призначення та забезпечує збирання, ознайомлення, відбір та узагальнення персо­нальних даних. При цьому можливе несанкціоноване створення та розповсюдження викривленого портрета особи або його викорис­тання у не визначених законодавством цілях.

Таким чином, можна дійти наступних висновків:

> ідентифікаційні номери підпадають під визначення персональ­них даних; користувачі даних дізнаються про ідентифікаційний номер від його власника чесним і законним шляхом;

> ідентифікаційний номер не може бути використаний іншим шляхом чи для інших цілей, окрім тих, що заздалегідь обумов­лені. Щодо вузькоспеціалізованого ідентифікаційного номера, то його запровадження та можливості використання для зби­рання персональних даних також має визначатися правовим актом;

^ персональні дані щодо відповідного ідентифікаційного номера складаються так, щоб не містити у собі занадто багато відо­мостей про людину;

> зміни у персональних даних щодо відповідного ідентифікацій­ного номера мають бути точними;

^ необхідно ідентифікаційний номер застосовувати обмежено до окремих категорій даних;

> ідентифікаційний номер зберігається в таємниці, щоб уникну­ти несанкціонованого доступу до персональних даних;

^ власник ідентифікаційного номера має право доступу, виправ­лення та знищення даних, закодованих у його числовому на­борі, а також право доступу до бази персональних даних, що пов’язані з ідентифікаційним номером.

У розвиток положень Конвенції РЄ № 108 Комітет міністрів Ра­ди Європи прийняв Рекомендації № Я (86)1 щодо соціального за­безпечення, які передбачають, що запровадження та використання номера ідентифікації людини має супроводжуватися адекватними засобами захисту. У пояснювальному меморандумі до Рекомендацій звертається увага на те, що, незважаючи на попередні задуми про використання номера у сфері соціального забезпечення, він швид­ко може перетворитися на універсальний номер. Тому універсальні ідентифікатори вводяться відкрито та потребують правових гарантій їх захисту.

Те, що запровадження та використання ідентифікаційних номерів пов’язано із питанням захисту персональних даних, підтверджуєть­ся посиланнями на них, що містяться в певних національних законах про захист даних. Наприклад, у французькому та норвезькому зако­нодавстві є спеціальні норми, що стосуються ідентифікаторів. Розділ

18 французького Закону “Про інформатику, картотеки та свободи” від 6 січня 1978 року передбачає, що використання ідентифікацій­ного номера для обробки номінативної (особистої) інформації може здійснюватися лише з дозволу та за наявності відповідних висновків Національної комісії з інформатики.

У Данії законодавством про захист даних, яке регламентує ви­користання приватних реєстрів, передбачено, що ідентифікаційні номери можуть зберігатися приватними органами, якщо це безпо­середньо передбачено законом або якщо сама особа дала свою згоду, і за умови, що такі дані необхідні для задоволення законних потреб.

Зв’язок між питанням захисту персональних даних та ідентифіка­ційними номерами існує навіть за умови відсутності спеціальних по­силань на те, що спеціальні органи мають втручатися у справи, коли ідентифікатори спричинюють виникнення проблем, що стосуються захисту даних. Так, у Швеції відсутність нормативних положень, що забороняють чи обмежують застосування ідентифікаційних номерів, не створює перешкод для реалізації Управлінням інформаційного ін - спекторату своїх повноважень у разі, якщо посадові особи проводять звірку інформації баз даних за допомогою ідентифікаційних номе­рів. Закон Швеції “Про захист даних” передбачає, що для проведен­ня таких дій необхідно попередньо отримати дозвіл Управління на порядок застосування ідентифікаційних номерів при роботі з базами даних. Проте у Австрії, Ісландії та Люксембурзі посадові особи, від­повідальні за захист даних, висловили свою готовність надати полі­ції можливості для використання ідентифікаційних номерів.

Ідентифікаційна пластикова картка (е-картка). У тому або ін­шому вигляді е-картки для грошових розрахунків існують у багатьох країнах світу, зокрема у Бельгії, Греції, Гонконгу, Єгипті, Малайзії, Південній Африці, США, Франції, Німеччині тощо. Різняться вони за призначенням, зовнішнім виглядом, кількістю даних, що утриму­ються на них, варіантами застосування.

Розвиток технологій дозволив поставити питання про створення Національної бази даних, яка передбачає об’єднання будь-яких відо­мостей про особу з державним механізмом. Ідентифікаційний номер (зокрема і на е-картці) слугує “сполучною ланкою” між різними ба­зами даних. Зараз технічно нескладно виготовити мікрочіп розмі­ром менше поштової марки і розмістити його на картці. Одна картка може виконувати будь-які функції - бути придатною для доступу до фінансів, бібліотечного каталогу, медичних даних, виконувати роль прав водія, а також зберігати іншу інформацію щодо посвідчення особи (зокрема біометричного ідентифікатора завдяки скануванню райдужної оболонки чи відбитків пальців).

У липні 2002 р. лейбористський уряд Великої Британії оголосив про початок піврічних слухань з питання про необхідність такої сис­теми для громадян Сполученого Королівства. Критики стверджува­ли, що картки - особливо якщо бази даних зв’язуються одна з од­ною - уможливлюють створення досьє на будь-яку людину, і кожна людина при цьому залежатиме від одного документа - національної е-картки. Після обговорення концепції стало зрозуміло, що ставлен­ня до запровадження цієї е-картки, у кращому разі, є неоднознач­ним. Навіть Асоціація керівників поліції (Assoiation of Chpef Роїісе Officers) визначила, що картка матиме невеликий вплив на злочин­ність і може зашкодити стосункам між поліцією і громадськістю. За обчисленням, повна вартість виробництва і управління карткою становитиме 20 фунтів стерлінгів на особу. Нині вартість картки з біометричною інформацією - 45 фунтів, а загалом витрати для Ве­ликої Британії становлять більш 2 млрд фунтів стерлінгів. Це число потроїться, якщо врахувати вартість інфраструктури системи під­тримки однакової цілісності, взаємопов’язаних кодів і методів, які гарантують цілісність даних, створення умов їх порівняння, а також

- модифікацій комп’ ютерних систем і мереж, практичну реєстрацію даних (проблема інформаційного перевантаження, кількості чинов­ників, навчання, архівів) та вирішення питань із приватним сектором і окремими особами щодо їх прав та свобод на персональні дані.

У 1998 р. Верховний суд Філіппін ухвалив, що національна сис­тема ідентифікації порушує конституційне право на недоторканність приватного життя.

У 1991 р. Конституційний суд Угорщини прийняв рішення, згідно з яким введення у дію багатоцільової (універсальної) системи іден­тифікації особи порушує конституційне право [8].

У 1997 р. в новій Конституції Португалії було зазначено: “Для громадян країни не може бути введений багатоцільовий ідентифіка­ційний номер” [9].

У деяких країнах система е-карток взагалі не сприймається на­селенням, тому що існує думка про порушення конституційних прав людини. Хвиля протестів у зв’язку з впровадженням в Австралії у 1987 р. карткової системи ледь не призвела до відставки уряду. Ана­логічні проекти в Південній Кореї і Тайвані зупинили після протес­тів у суспільстві. У Сполучених Штатах планувалося перетворити права водія в е-картку, але проект загальмувався, наштовхнувшись на опір широкої коаліції правозахисних організацій. Уряди Фінлян­дії, Малайзії та Сінгапуру запроваджували такі картки тільки в по­рядку експерименту.

Майже кожна національна е-картка, впроваджена впродовж останніх п’ятнадцяти років, містила три компоненти, що виклика­ють занепокоєння:

> спочатку кожного громадянина можуть зобов’язати здати від­битки пальців чи візерунок сітківки до національної бази да­них;

^ ця інформація об’єднується з іншими персональними даними. Фотографія завершує досьє. Захищена е-картка спрямована за­мінити внутрішній паспорт, необхідний у будь-яких ситуаціях; ^ для надання картці необхідного юридичного значення, її впро­вадження має супроводжуватися суттєвим зростанням повно­важень правоохоронних органів.

Найбільш істотним є факт, що картка і її кодова система згодом формуватимуть адміністративне підґрунтя для зв’язку інформації між усіма відомствами, а також іншими організаціями. Для такої системи звичайною справою є проблеми підробки карток, ухилення від сплати податків, несанкціоноване використання даних злочинця­ми тощо.

Проте Європейська Комісія ухвалила проект Положення Ради, який з метою безпеки передбачає введення біометричних показників у паспорти ЄС. Комісія обрала зображення обличчя як біометричний показник. Кожна країна-член ЄС може додати інші біопоказники та­кі, як відбитки пальців. Європейська комісія планує створити цен­тралізований “Європейський паспортний реєстр” [10, 29; 11].

В Україні за роки незалежності ухвалено понад 140 тис. нормативно-правових актів, 300 із яких стосуються сфери інформа­тизації. Чимало актів безпосередньо стосуються реєстрації фізичних осіб та ідентифікаційних номерів. Зокрема до них належать:

Постанова Кабінету Міністрів України від 2 серпня 1996 року № 898 “Про створення Єдиної державної автоматизованої паспорт­ної системи”;

Постанова Кабінету Міністрів України від 20 січня 1997 року № 40 “Про затвердження Концепції створення Єдиної державної ав­томатизованої паспортної системи”;

Розпорядження Кабінету Міністрів України від 18 лютого 1998 року № 96-р “Про розміщення обчислювального центру Єдиної дер­жавної автоматизованої паспортної системи”;

Постанова Кабінету Міністрів України від 4 червня 1998 року № 794 “Про затвердження Положення про організацію персоніфіко­ваного обліку відомостей у системі загальнообов’язкового держав­ного пенсійного страхування” ;

Указ Президента України від 11 січня 2002 року № 12/2002 “Про заходи щодо реєстрації фізичних осіб”;

Постанова Кабінету Міністрів України від 25 грудня 2002 року № 1968 “Про внесення змін до Положення про Департамент у спра­вах громадянства, імміграції та реєстрації фізичних осіб”;

Указ Президента України від 30 квітня 2004 року № 500/2004 “Про створення Єдиного державного реєстру фізичних осіб” тощо.

Слід відмитими, всі ці акти є підзаконними та дають розрізнене уявлення про реєстрацію фізичних осіб, а інколи навіть суперечать один одному.

Базовим документом щодо ідентифікації осіб можна вважати За­кон України від 22 грудня 1994 року “Про Державний реєстр фі­зичних осіб-платників податків та інших обов’язкових платежів”. Проте після протестів частини населення України, було ухвалено Закон України від 16 липня 1999 року “Про внесення змін до Закону України “Про Державний реєстр фізичних осіб-платників податків та інших обов’язкових платежів”, у якому зроблено виняток для ві­руючих, що за своїми релігійними переконаннями відмовляються отримувати ідентифікаційний номер. Від набрання чинності цього акта ідентифікаційний номер фактично із примусового стає добро­вільним.

У липні 2003 року у Верховної Раді зареєстрований за № 4002 законопроект “Про Єдиний реєстр персональних даних” (ініціатори подання народні депутати України Л. Кириченко, В. Хара, В. Оно - пенко, М. Злочевський, М. Лисін). Цей проект визначає поняття та правові підставі створення Єдиного реєстру персональних даних фізичних осіб, що мають постійне місце проживання. Реєстр розгля­дається як єдина державна автоматизована система обліку та іден­тифікації громадян України, іноземних громадян та осіб без грома­дянства.

Передбачається, що ідентифікаційний номер буде зберігати усю інформацію про особу у Єдиному реєстрі. За основу пропонується взяти систему, що діє відповідно до Закону України “Про Державний реєстр фізичних осіб-платників податків та інших обов’язкових пла­тежів”. Згідно з Указом Президента України від 30 квітня 2004 року № 500/2004 “Про створення Єдиного державного реєстру фізичних осіб” створення Єдиного реєстру покладається на Міністерство вну­трішніх справ України, яке зобов’язали до 1 липня 2004 року ство­рити зазначений реєстр на базі Єдиної державної автоматизованої паспортної системи. Кабінет Міністрів мав вирішити питання щодо утворення Міжвідомчої комісії Єдиного державного реєстру фізич­них осіб.

Згадаємо, що у рамках впровадження цієї системи ще у 1996 р. (Постанова КМ України від 28 вересня 1996 року № 1182) перед­бачалось виготовлення е-картки, з тими самими реквізитами, що у паперовому паспорті. Крім того, на чіп-модулі е-картки мають бути дані для зчитування їх за допомогою автоматизованої системи (гру­па крові, відношення до військової служби, дані про дітей, родичів тощо). Конструкція е-картки має відповідати ДСТУ 3389-96 “Іден­тифікаційна картка особи - носій біометричної інформації”.

Утім, проекті відсутні чітко визначені права і обов’язки органів реєстрації персональних даних та адміністратора Єдиного реєстру, механізм взаємодії цих органів між собою, порядок оновлення да­них та здійснення контролю за доступом до єдиного інформаційного фонду.

Пояснювальні записки як цього, так й інших проектів не мають аналізу відповідних міжнародних стандартів та практики застосу­вання універсальних або вузькоспеціалізованих ідентифікаційних номерів в окремих країнах світу. Як вважаємо, це не дозволяє одно­значно визначитися - який же ідентифікаційний номер або номери слід запроваджувати в Україні?

Таким чином, ми дійшли висновків:

> світова практика свідчить, що потреба в автоматизованій об­робці персональних даних залишається поза сумнівом, що посилить діяльність, пов’язану із захистом персональних да­них;

> запровадження Єдиного реєстру (тобто єдиної бази даних) та збирання до нього персональних даних усіх громадян Украї­ни веде до масової реєстрації населення України. Це не спри­яє процесу розвитку захисту прав і свобод людини, так як не виключає можливі зловживання окремих осіб, що працюють у органах реєстрації щодо автоматизованого отримання будь - яких персональних даних, та несанкціонованого використання їх не за призначенням;

^ збирання персональних даних здійснюється на основі іденти­фікаційного номера. Отримання персональних даних із різних джерел значно спрощується за його допомогою. Тому законо­давство України щодо Єдиного реєстру має передбачити чітку сферу функціонального призначення та правил використання універсального ідентифікаційного номера або запровадження не універсальних ідентифікаційних номерів з їх використан­ням відповідно до визначених цілей (тобто ідентифікатори щодо податків, медичного, соціального забезпечення, військо­вого обов’язку тощо);

^ оскільки ідентифікаційні номери передбачені для ідентифіка­ції осіб, то будь-які ідентифікатори є персональними даними, що підпадають під дію міжнародних стандартів щодо захисту персональних даних;

> проблема впровадження ідентифікаційного номера - складова частина загальної проблеми захисту персональних даних лю­дини від зловживання інформаційною владою.

Розв’язання питання щодо вибору виду чи видів ідентифікатора досить непросте, потребує більш глибокого та змістовного аналізу положень запропонованих законопроектів із нормами чинних світо­вих стандартів та з практикою застосування їх у окремих країнах - членах Ради Європи та Євросоюзу, а також широкого громадського обговорення.

Список використаних джерел

1. Про захист персональних даних: Закон України (розгляну­тий у першому читанні та прийнятий за основу: Постанова Вер­ховної Ради України від 15.05.2003 № 784-IV; прийнятий в цілому 16.03.2006.).

2. Романов Р. Громадянин і держава: сучасні проблеми ідентифі­кації особи в Україні // Свобода висловлювань і приватність. - Х., 1999. - № 3-4.

3. Про захист прав людини та основних свобод: Конвенція Ради Європи (Рим, 04.XI.1950 р.) та Протокол № 11 // Голос України. - 2001. - № 3 (2503).

4. Про захист осіб у зв’язку з автоматизованою обробкою персо­нальних даних: Конвенція Ради Європи від 28.01.1981 № 108 - Ел. ре - сур.: <Http://www. convention. coe. int/treaty/en/Treaties/Html/108.htm>.

5. Про захист осіб у зв’язку з обробкою персональних даних та вільним обігом цих даних: Директива 95/46/ЄС Європейського пар­ламенту та Ради від 24.10.1995. - Ел. ресур.: <http://www. evropa. eu. int/ISPO/legal/en/dataprot /directiv/directiv. html>.

6. Про обробку персональних даних і захист прав осіб у телекому­нікаційному секторі: Директива 97/66/ЄС Європейського парламенту та Ради від 15.12.1997. - Ел. ресур.: <Http://www. evropa. eu. int/ISPO/ legal/en/ dataprot/protection. html>.

7. Про правовий захист баз даних: Директива 96/9/ЄС Європей­ського парламенту та Ради від 11.03.1996. - Ел. ресур.: <http://www. evropa. eu. int/ISPO>.

8. Рішення Конституційного Суду № 15-AB від 13.04.1991. - Ел. ресур.: <Http://www. privacy. org/ pi/coun tries/hungary/hungarian_id_ decision_1991.html>.

9. Конституція Республіки Португалія 1976 року. - Ст. 35 (5). - Ел. ресур.: <http ://Www. parlamento .pt/leis/constituicao_ingles/crp_uk. htm. article 35>.

10. Національні ідентифікаційні картки (посвідчення особи). За­ява Privacy international для Комітету Парламенту Канади з питань громадянства та імміграції від 04.10.2003 // Свобода висловлювань та приватність. - 2003. - № 1.

11. Введення біометричних показників у паспорт в країнах ЄС. - Ел. ресур.: <Http://www. evropa. eu. int/eur-lex/en/com/pdf/2004/ com2004_0116en01.pdf>.

Стаття надійшла 25.09.2008.