Прогалини в телекомунікації

Контакти кожного п’ятого українця містяться в базах даних без його згоди

Попри суттєву кількість законодавчих регуляторів, питання захисту персональних даних у правовій системі України є одним із найбільш недосконалих. Не кажучи вже про сферу цифрових та електронних комунікацій.

Охоронювана законом таємниця

Ще у 1997 році, під час розгляду справи про порушення права людини на доступ до персональних даних, Конституційний Суд установив «наявність у нормативно-правовій базі в частині інформаційних правовідносин нечітко визначених, колізійних положень і прогалин, що негативно впливає на забезпечення конституційних прав і свобод людини і громадянина» (рішення від 30.10.97 №5-зп/97).

На жаль, у контексті правового регулювання сфер, які надзвичайно швидкими темпами рухаються в бік диджиталізації, Україна перебуває досить далеко від країн Європи, США та Азії. Проте окреме нормативне регулювання все ж існує.

Так, чч.1, 3 закону «Про телекомунікації» передбачено, що оператори та провайдери повинні забезпечувати і нести відповідальність за схоронність відомостей щодо споживача, отриманих при укладенні договору, наданих телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо. Інформація про споживача та телекомунікаційні послуги, що він отримав, може надаватись у випадках і в порядку, визначених законом. В інших випадках указана інформація може оприлюднюватися лише за наявності письмової згоди споживача.

Пунктом 7 ч.1 ст.162 Кримінального процесуального кодексу передбачено, що до охоронюваної законом таємниці, яка міститься в речах і документах, належать інформація, яка перебуває в операторів та провайдерів телекомунікацій, про зв’язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо. Частиною 2 ст.15 КПК визначено, що ніхто не може збирати, зберігати, використовувати та поширювати інформацію про приватне життя особи без її згоди, крім випадків, передбачених цим кодексом.

Отже, можна стверджувати, що законодавством України забороняється будь-яке оприлюднення персональних даних, у тому числі електронного формату, включаючи контакти, місцезнаходження особи без її згоди, за винятком наявності рішення суду в передбачених законом випадках за умови дотримання принципу пропорційності та розмірності.

Дані ідентифікації

Проте 30.09.2020 прийнято закон «Про електронні комунікації» (в редакції проекту №3014). Цей акт являє собою імплементацію міжнародних норм Кодексу електронних комунікацій ЄС, ухваленого в грудні 2018 року.

Стаття 1 цього закону вводить в українську законодавчу термінологію чимало нових, досі не закріплених понять і термінів. Зокрема, поняття «інформація про місцезнаходження абонента, що здійснює виклик» (точки його підключення до мережі), а в мережі фіксованого зв’язку — даних про фізичну адресу кінцевого пункту.

Водночас у цьому законі відсутні положення щодо права суб’єкта надання електронних послуг зберігати, бути розпорядником даних абонентів та користувачів послуг для подальшого використання, що в дійсності відповідає вимогам чинного законодавства України та її зобов’язанням, які випливають з міжнародних конвенцій, угод та договорів.

Проте підвищений інтерес викликала ст.12 закону «Про електронні комунікації». Нею законодавець, по суті, уможливив отримання персональних ідентифікаційних даних особи за зверненням до постачальника електронних комунікаційних послуг без згоди самої особи. У подальшому це може призвести до масових зловживань з боку регуляторного органу, що нівелюватиме права людини у частині захисту її персональних даних, включаючи ті, що відображаються в електронному форматі.

Щоправда, днями Президент наклав вето на цей закон та повернув його зі своїми пропозиціями до парламенту.

Базові директиви ЄС

Для порівняння звернімося до законодавчої бази Європейського Союзу, Ради Європи тощо, до моделі регулювання яких тяжіє Україна.

Вважається, що базовим актом, який регулює сферу електронної комунікації в ЄС, є директива (ЄС) 2018/1972 Європейського парламенту і Ради «Про запровадження Європейського кодексу електронних комунікацій» від 11.12.2018. Вона створює правову основу для забезпечення свободи надання електронних комунікаційних мереж та послуг за дотримання умов, викладених у цій директиві, та будь-яких обмежень відповідно до ст.52 Договору про функціонування Європейського Союзу, зокрема заходів, що стосуються публічної політики, громадської безпеки та охорони здоров’я, а також відповідно до ст.52(1) Хартії основних прав ЄС.

Не менш цікавим актом є директива 97/66/ЄС «Стосовно опрацювання персональних даних і захисту права на невтручання в особисте життя в телекомунікаційному секторі» від 15.12.97. Цей акт найбільше охоплює питання захисту прав абонентів та споживачів електронних послуг. Так, відповідно до ст.4 директиви 97/66 постачальник загальнодоступної телекомунікаційної послуги повинен вживати відповідних технічних та організаційних заходів для гарантування безпеки своїх послуг, якщо потрібно, спільно з оператором телекомунікаційної мережі загального користування — в тому, що стосується безпеки мережі. У разі особливого ризику порушення безпеки мережі постачальник повинен повідомити абонентів про такий ризик та будь-які можливі засоби захисту, включаючи пов’язані з цим витрати.

Привертає увагу й положення ст.11 директиви 97/66, яка передбачає, що персональні дані, що містяться в телефонних довідниках, які є загальнодоступними чи надаються через довідкову службу, повинні обмежуватися тим, що необхідно для визначення певного абонента, якщо тільки останній не надав недвозначної згоди на публікацію додаткових даних.

Утім, за останніми статистичними даними, майже кожен п’ятий українець так чи інакше стикається із ситуацією, коли його контактні дані містяться у базах даних різних суб’єктів, установ, організацій без належно отриманої на це згоди володільця. Очевидно, що аналогічна норма в українському законодавстві посилила б захист осіб — споживачів електронних послуг.

Прецеденти судового захисту

Що ж до судової практики, то насамперед звернімося до рішень у справах, які розглядалися Європейським судом з прав людини в контексті порушення ст.8 Конвенції про захист прав людини і основоположних свобод. Так, у рішенні у справі «Бенедік проти Словенії» (від 24.04.2018) ЄСПЛ зазначив, що «ідентифікація користувача Інтернету за IP-адресою порушує ст.8 конвенції». Як стверджував заявник, поліція незаконно отримала інформацію від інтернет-провайдера про розкриття його персони через ідентифікацію за IP-адресою.

В Україні також траплялися не менш цікаві прецеденти порушення прав у контексті поширення персональних даних суб’єктами надання електронних та телекомунікаційних послуг. Так, Господарський суд м.Києва розглядав справу №910/1339/18 (рішення від 11.06.2018) за позовом ПрАТ «Київстар» до Антимонопольного комітету про визнання недійсним рішення останнього щодо накладення штрафу у розмірі 54 тис. грн. за ненадання інформації про абонентські дані клієнта «Київстар», у тому числі про телефонні розмови.

АМК послався на положення закону «Про Антимонопольний комітет України», яким передбачено його право запитувати будь-яку інформацію, в тому числі з обмеженим доступом. Однак позивач стверджував, що «зазначені положення не передбачають, що таке право поширюється на персональні дані абонентів мобільного зв’язку, зокрема інформацію про їхні телефонні розмови, для яких встановлено спеціальний режим охорони».

Вказане рішення переглядали Київський апеляційний господарський суд (постанова від 4.09.2018) та Касаційний господарський суд (постанова від 20.11.2018). Проте суди врешті визнали рішення АМК як таке, що порушує вимоги стст.31, 32 Конституції.

Не менш цікавим є також рішення Касаційного адміністративного суду (постанова від 15.04.2020 у справі №296/5527/16), в якому суд визнав, що інформація від мобільного оператора в сукупності з іншими доказами може бути доказом для підтвердження факту порушення Правил дорожнього руху.

Отже, нині Україна перебуває на шляху встановлення та закріплення базових норм, які гарантують захист даних особи, і це підтверджується позитивною практикою, коли суди стають на бік позивача. Проте законодавча база потребує удосконалення шляхом ратифікації та імплементації міжнародних актів та запозичення практики інших країн.