Вступ
Найважливішою з цих звітів є Рекомендація № R (87) 15, яка регулює використання персональних даних у роботі поліції (17 вересня 1987 р.). На цей час вона була тричі оцінена: вперше (1994), вдруге (1998) і втретє (2002). Рекомендація № R (87) збалансовує інтереси суспільства щодо запобігання й стримування кримінальних злочинів і підтримання громадського порядку, з одного боку, та, інтересів особи та її права на недоторканність приватного життя, з іншого. Рекомендація окреслює положення Конвенції 108 щодо захисту осіб стосовно автоматичної обробки персональних даних від 28 січня 1981 р. та, зокрема, винятків, дозволених згідно зі ст. 9, а також положень ст. 8 Конвенції щодо захисту прав людини та основних свобод. Рекомендація покликана визначити низку принципів щодо захисту даних у звичайних і вкрай важливих справах поліції та, водночас адаптуючи принципи, врахувати особливі вимоги, переважно щодо "запобігання кримінальних правопорушень" . Персональні дані зібрані та оброблені для завдань, які не є звичайною діяльністю поліції, наприклад, для адміністративних цілей, підпадають під дію загальних норм захисту даних. Принципи регулюють усі стадії захисту даних, включаючи збір, зберігання, використання та передачу персональних даних, оскільки вони пов'язані з кінцевою природою "поліцейських цілей". У принципах по-різному оцінюватимуться завдання, які поліція має виконувати стосовно стримування кримінальних правопорушень та завдання, які вона має виконувати на рівні запобігання та підтримки публічного правопорядку. Навіть, якщо в принципах йдеться просто про "органи поліції", вони застосовуються до всіх сил поліції, які, в залежності від наявної правової системи, можуть співіснувати та які іноді важко розрізнити з точки зору розподілу праці. Рекомендація переважно стосується автоматизованих персональних даних. Можливість ідентифікації особи має бути об'єктивно визначеною, зважаючи на різні наявні у поліції методи ідентифікації, наприклад, технологію відбитків пальців, систему розпізнавання голосу, бази даних спостереження тощо. "Відповідальний орган" згідно Рекомендації № Н(87) 15 насправді, використовуючи термінологію Конвенції, є контролером файлу. Відповідно, цей орган матиме повну відповідальність за цей файл. Назва відповідального органу за певний файл має бути повідомлена наглядовому органу. Також існує можливість застосування цих принципів до юридичних осіб. Насамкінець, заходи щодо охорони державної безпеки (захист національного суверенітету від внутрішньої та зовнішньої небезпеки, включаючи захист міжнародних стосунків держави) можуть бути розширені, якщо їх застосування видається виправданим та доречним. Мінімальними гарантіями вважаються спеціальні умови державної безпеки та безпеки юридичних осіб і той факт, що держави-члени зберігають за собою право вживати для захисту більш жорстких заходів.
Щодо збору даних
Збір персональних даних для реалізації завдань поліції обмежується тими даними, які є необхідними для попередження реальної небезпеки або запобігання конкретному кримінальному правопорушенню. Будь-які винятки з цієї норми визначаються в рамках відповідного національного законодавства.
Якщо дані про особу були зібрані та зберігалися без її відома та якщо вони не знищені, тоді при можливості цій особі повідомляється про те, що про неї зберігається інформація, тільки-но зникне небезпека перешкоджання діяльності поліції.
Збір даних засобами технічного спостереження чи іншими автоматизованими засобами передбачається в особливих положеннях.
Заборонено збір даних про особу виключно на підставі певного расового походження, певних релігійних вірувань, сексуальної поведінки чи політичних переконань, або приналежності до певних рухів чи організацій, які не заборонені законом. Збір даних по цих характеристиках може здійснюватися за умови, якщо тільки це вкрай необхідне для певного розслідування.
Важливо знати про те, що персональні дані, що зібрані та зберігаються поліцією для виконання своїх завдань, мають використовуватися виключно для цих завдань.
Стосовно міжнародного обміну інформацією.
Для органів поліції передавання даних зарубіжним установам заборонена. Вона може дозволятися лише:
а) якщо це чітко передбачено національним чи міжнародним законодавством;
б) за умови відсутності такої норми, якщо передача інформації є необхідною для запобігання серйозній та неминучій небезпеці або необхідна для запобігання серйозному кримінальному правопорушенню згідно норм загального права та якщо тільки не порушується національне законодавство щодо захисту особи. Особливо хотілось би звернути увагу на Принцип 6 Гласність, право доступу до файлів поліції, право на виправлення та право на їх апеляцію
6.1. Наглядова установа сама вживає заходи для забезпечення поінформованості громадян з приводу тих файлів, про існування яких обов'язково інформувати, та щодо прав громадян у зв'язку з існуванням таких файлів. Реалізація цього принципу враховує специфічний характер ad hoc файлів, зокрема, потребу уникання серйозного перешкоджання органам поліції у виконанні ними своїх правових обов'язків.
6.2. Суб'єкти даних повинні мати доступ до файлів поліції у доцільні інтервали та без надмірної затримки згідно норм національного законодавства.
6.3. Суб'єкти даних повинні мати право за потреби на корекцію даних про них, що зберігаються у файлі.
Якщо внаслідок реалізації права доступу персональні дані визнані як надмірні, неточні чи такі, що не відповідають будь-якому з принципів даних Рекомендації, то такі дані знищуються або виправляються, або ж до файлу додаються коригуючі свідчення.
Такі дії щодо знищення чи виправлення даних охоплюють по можливості усі документи, що супроводжують поліцейські файли та, якщо не здійснюються негайно, найпізніше застосовуються під час наступної обробки даних або під час їх наступної передачі.
6.4. Реалізація права доступу, виправлення та знищення даних обмежується виключно у випадку, якщо таке обмеження необхідне для виконання правових обов'язків поліції або для захисту суб'єктів даних або прав та свобод інших осіб. В особливих випадках згідно закону в інтересах суб'єктів даних письмові свідчення можуть не допускатися.
6.5. Відмова або обмеження в цих правах обґрунтовується письмово. Відмова у інформуванні щодо причин можлива виключно тоді, коли це заважатиме виконанню правових обов'язків поліції або є необхідним для захисту суб'єктів даних або прав та свобод інших осіб.
6.6. В разі" якщо у доступі відмовлено, суб'єкт даних може оскаржувати таке рішення до наглядової установи або до іншого незалежного органу, який сам доводить, що відмова є обґрунтованою.
Говорячи про поліцію, можуть буті взяті до уваги деякі наступні звіти щодо захисту даних та діяльності поліції, як-от:
Звіт, що містить керівні принципи щодо захисту осіб відносно збору та обробки даних засобами відеоспостереження (2003), (див. далі 2.1.5.1 Звіт відеоспостереження 2003).
Звіт щодо впливу принципів захисту даних на судові дані у кримінальних справах, включаючи умови судової співпраці в кримінальних справах (2002) (див. далі 2.1.6.2 Конвенція щодо взаємодопомоги у кримінальних справах)
Керівництво щодо підготовки статей договору, що визначають захист даних під час передачі третім сторонам персональних даних, непов'язаних адекватним ступенем захисту даних (2002)
Звіт щодо захисту персональних даних стосовно використання смарт --карток з мікропроцесорами, підготовлений п. Карелом Ньювертом (Чеська республіка)
Дослідницькі контракти, що включають передачу персональних даних між сторонами Конвенції 108 та третім країнам, які не забезпечують адекватного ступеню захисту (2001), підготовлених п. Жеромом Уйє, доктором права, позаштатним викладачем на факультеті права, професором Паризького університету II (Пантеон-Аса), Директором ЦМПУС (Центру мультіме-дійних правових та економічних досліджень)
Захист персональних даних відносно спостереження (2000) та Керівні принципи захисту осіб стосовно збору та обробки даних засобами відеоспостереження, підготовлених п. Джованні Буттареллі, Генеральним секретарем Наглядового органу Італії з питань захисту даних (див. далі - 2.1.5.1 Звіт щодо відеоспостереження)
Повторний огляд засекречених даних (1999), підготовлений п. Спіросом Сімітісом, професором Йоганом Вольфгангом Ґете університету Франкфурте-на-Майні, Директором Дослідницького центру захисту даних (Німеччина) (див. далі - 2.1.5.3 Засекречені дані)
Перша оцінка відповідності Рекомендацій № Я (87) 15, що регулює використання персональних даних у поліції, здійснена у 1994 р. (див. далі - Рекомендація 1181 (1992) щодо співробітництва поліції)
Друга оцінка відповідності Рекомендації № К (87) 15, що регулює використання персональних даних у поліції, здійснена у 1998 р. (див. далі - 2.1.5.4 Кримінальна розвідка)
Третя оцінка відповідності Рекомендацій № К (87) 15, що регулює використання персональних даних у поліції, здійснена у 2002 р. (див. далі - 2.1.5.5 Систематизація файлів, суб'єктів даних, тривалість зберігання, а також 2.1.6.7 Принципи захисту даних та кримінальні процедури)
Хотілося б звернути особливу увагу на Рекомендацію 1181 (1992) стосовно співпраці поліції.
Перша оцінка значення Рекомендації № Я (87) 15 стосовно використання персональних даних у секторі поліції, проведена у 1994 р., посилається на Рекомендацію 1181 (1992) щодо співробітництва поліції і захисту персональних даних у секторі поліції (текст, прийнятий Постійним Комітетом, який діє від імені Асамблеї, 11 березня 1992 р., див. док. 6557, звіт Комітету з Юридичних справ та Людських Прав, доповідач - п. Стоффелен). Рекомендація 1181 (1992) вносить пропозицію, що Комітет міністрів розробляє конвенцію, що містить принципи, викладені у його Рекомендації № К (87) 15 та сприяє застосуванню цих принципів під час обміну даними у секторі поліції між держа-вами-членами та між державами-членами та третіми країнами через Інтерпол:
а) дані мають бути точними, відповідними, не виходити за межі цілей, задля яких вони зберігаються, і за потреби обновлюватись;
б) вони повинні бути захищеними, перш ніж їх передадуть для зберігання;
в) особа повинна мати право знати, чи існують персональні дані, що стосуються її (його);
г) він (вона) має відповідне право доступу до таких даних;
д) він (вона) має мати право вносити зміни до таких даних та, за необхідності, змінювати їх або вимагати їх знищення;
е) особи, яким відмовлено у доступі до файлів, що їх стосуються, мають мати право звертатись до незалежного органу, який має повний доступ до всіх відповідних файлів та який може й повинен зважити задіяні конфліктуючі інтереси;
є) за межами сектору поліції має існувати незалежний орган, відповідальний за забезпечення виконання принципів, викладених у цій Конвенції.
Більш того, держави-члени мають забезпечити обмін даними у секторі поліції тільки з іншими державами-членами та з Інтерполом згідно з принципами, викладеними у запропонованому проекті конвенції.
Вкрай важливим є те, що експерт звернув особливу увагу на проблеми кримінальної розвідки.
Друга оцінка значення Рекомендації № И (87) 15 стосовно використання персональних даних у сфері поліцейської діяльності, проведена 1998 р. Групою Проекту з питань захисту інформації (0-РО) також посилається на Рекомендацію 1181 (1992) стосовно співпраці поліції та захисту персональних даних у секторі поліції (див. вище пункт 2.1.5.2). У ній наголошується на тому, що дієва система боротьби зі злочинністю передбачає обмін даними у секторі поліції та рекомендує прийняти до уваги для подальшої роботи наступні пункти:
o визначення цілей кримінального розслідування правовим шляхом, тобто визначаючи критерії в законі, або процесуальним шляхом, визначаючи органи та обставини, що можуть ініціювати збір даних кримінальної розвідки;
o термін зберігання даних кримінальної розвідки, після якого дані необхідно переглянути або знищити;
o використання даних стосовно особи, що не є підозрюваною, та зібраних під час розслідування певного злочину, для розслідування інших злочинів, не пов'язаних між собою;
o узгодженість даних з відкритих джерел, як-от Інтернет або загальнодоступні файли, з даними поліції з метою пошуку даних про осіб, що раніше не були підозрюваними;
o повідомлення осіб, про яких у поліції зберігаються дані;
o зберігання та використання генетичних даних з огляду на встановлення осіб злочинців;
o створення наглядового органу для захисту даних про особу, що зберігаються поліцією;
o розробка інструментів моніторингу використання методів розслідування, включаючи збір, зберігання та використання особистої інформації.
У своєму звіті пан А. Патійн, експерт СУ-РР (Нідерланди), вимагає урівноваження повноважень, необхідних для поліції, та обмежень, необхідних для захисту приватного життя, що постійно змінюються за причини розвитку інформаційних технологій. <<3 одного боку, ця технологія сприяє більш ефективному досягненні своєї мети злочинцями; з іншого боку, вона сприяє більш ефективному виконанню своїх обов'язків поліцією". Оскільки дані, що грунтуються на підозрах, можуть вплинути на положення будь-кого у суспільстві навіть більше, ніж дані, що ґрунтуються на визнанні винним, зокрема, коли інформація стає відомою поза межами сектору поліції, кримінальні дані у більш широкому розумінні, на його думку, сприймаються як такі, що потребують захисту. Після аналізування європейських правових положень він приділяє окрему увагу так званій кримінальній розвідці. Він вважає, що дані не відносяться до розряду таких, що були отримані через здійснення кримінальної розвідки, якщо вони збираються підчас кримінального розслідування, коли існує достатнє підґрунтя для підозри особи у скоєнні певного кримінального злочину незалежно від того:
(1) чи ці дані використовуються тільки у кримінальній справі, під час розслідування якої її було зібрано, чи після цього вони також будуть використовуватися для розслідування злочинів у майбутньому;
(2) чи були зібрані ці дані, використовуючи або не використовуючи повноваження, гарантовані Кримінальним кодексом
А. Патійн пропонує:
1. Національні законодавці мають точно відповісти на ряд питань стосовно захисту даних у національному Законі про захист даних, національному Кримінальному кодексі або у поліцейському праві.
2. Держави-члени мають у їхньому національному законодавстві визначити чіткі цілі, що можуть бути предметом кримінальної розвідки. Звідси можна висловити припущення щодо серйозної організованої злочинності та злочинів що потенційно загрожують суспільству. Закон має чітко визначати часові рамки періодичного переглядання даних, що зберігаються протягом довгого періоду.
3. Будь-яке повноваження контролювати використання загальних даних або узгодженість з метою попередження злочину на основі даних поліції, зібраних під час кримінальних розслідувань на основі величезної кількості осіб, можливо, абсолютно непричетних до будь-якого злочину, має обмежуватись окремими серйозними випадками, визначеними у Кримінальному кодексі, та ґарантуватись на основі певних повноважень судової системи.
4. У Кримінальному кодексі має чітко визначатись, у яких випадках файли поліції можуть узгоджуватись з загальнодоступними файлами, фінансовими даними стосовно незвичних фінансових операцій або зі скачаними зІнтернету.
5. Закон має бути чітким стосовно обставин, за яких має бути проінформований суб'єкт даних, чи за ініціативою поліції, чи на прохання суб'єкта даних. Позиція приватних осіб, що співпрацюють з поліцією у сфері подання персональних даних про третіх осіб, має бути чітко визначеною.
6. Держави-члени у своєму національному законодавстві мають створити систему незалежного нагляду над файлами поліції у країні, що буде мати дієві повноваження застосовувати правила захисту даних у випадку невідповідності.
7. Рекомендовано, щоби будь-яке повноваження контролювати використання загальних даних або узгодження з метою попередження злочину на основі даних поліції, зібраних під час кримінальних розслідувань на основі величезної кількості осіб, що, можливо, абсолютно непричетні до будь-якого злочину, було обмежене окремими випадками, описаними у Кримінальному кодексі, та було гарантовано на основі певних повноважень судової системи.
8. Рекомендується, щоби Кримінальний кодекс у окремих випадках включав до повноважень судової системи узгодження з загальнодоступними файлами, даними про незвичні фінансові операції або отриманими з Інтернету файлами поліції, якщо це вважається необхідним для розслідування або завершення певного кримінального злочину.
9. Багатогалузева група у Раді Європи буде розглядати певні проблеми у відношенні до/що стосуються генетичних даних. Група може взяти вищезазначені питання до уваги.
10. Національні законодавці мають розглянути можливість нормативних засобів контролю за використанням методів розслідування поліції, що включають в себе збір, зберігання та використання особистих даних. Важливим є також те, що експерт у своєму аналізі матеріалу спирається на Шенгенську конвенцію - перший законодавчий акт у сфері захисту даних, який обов'язково діє у сфері поліцейського та митного контролю. До неї зокрема включені важливі права суб'єкта даних, наприклад суб'єкт даних має право доступу до інформації стосовно неї, що місця у Шенгенській інформаційній системі. Суб'єкт даних також має право на виправлення фактично неточних даних та на знищення юридично неточних даних стосовно нього/неї. Серед принципів стосовно захисту даних відносяться:
o принципи безпеки даних;
o період протягом якого дані можуть зберігатися у ШІС;
o вірність, оновленість та законність даних;
o принцип збору даних з певною метою.
Важливим є і те, що Шенгенська Конвенція передбачає заснування спільного наглядового органу для здійснення нагляду за технічною підтримкою Шенгенської інформаційної системи.
Щодо судових даних у кримінальних справах.
Згідно з кримінальною процедурою, одні й ті ж самі персональні дані можуть одночасно оброблятися, навіть в ідентичних документах, поліцейськими та судовими відомствами. Наприклад, прослуховування телефонних розмов відображує змішане походження деяких даних: суддя може надати дозвіл на прослуховування телефонних розмов, але потім дані збираються поліцією до того, як вони знов передаються до судового відомства. В таких випадках існує великий ризик певної "сірої зони", коли якісь поліцейські дані відправляються до судового сектору, а якісь судові дані залишаються в поліцейському секторі. Це може призвести до плутанини при групуванні даних як судових, так і поліцейських. Не можна користуватися такою ситуацією з метою нехтування принципами захисту даних в цих секторах, або з метою уникнення з'ясування хто є контролером файлу, або ступеню відповідальності за кожну операцію з обробки даних. Однак зрозуміло, що кожне з відомств повинне дотримуватись своїх власних правил. Беручи ці та інші міркування до уваги, Європейський Комітет з правової взаємодії (CDCJ) дійшов до наступних висновків:
* Для того, щоб розрізняти судові та поліцейські дані, слід чітко визначити контролера файлу в тому значення, що застосовується с у ст. 2, § 2, літера г. Конвенції 108 щодо судових та поліцейських даних. Контролер файлу в цьому значенні не обов'язково повинен підпорядковуватись тому відомству, яке згідно кримінально - процесуальному кодексу приймає рішення або проводить кримінальне розслідування. Особливу увагу слід приділити уникненні лазівок у розподілі відповідальності, зокрема, у випадках коли персональні дані збираються та використовуються поліцією після отримання дозволу від судового відомства на застосування методів спостереження через втручання, таких як перехоплення телекомунікаційних повідомлень.
* Обмін даними судовою системою в рамках співпраці суду в кримінальних справах шляхом надання взаємної допомоги є одним з аспектів опрацювання інформації, і таким чином, не охоплює усіх видів діяльності, що мають відношення до опрацювання персональних даних в сфері судової діяльності. Отже, принцип захисту даних та кримінальної процедури (див. 2.1.6.2.7 нижче) також застосовуються по відношенню до інших видів діяльності, які передбачають опрацювання персональних даних судовими органами.
Шенгенська угода передбачає також взаємна допомога та захист персональних даних
Держава-член, яка отримала персональні дані згідно цієї Конвенції, може використовувати їх лише з метою:
* дотримання судових та адміністративних процедур, передбачених цією Конвенцією;
* запобігання безпосередній або серйозній погрозі громадській безпеці;
* з будь-якою іншою метою, за попередньою згодою держави-члена, що надсилає інформацію, або суб'єкту даних.
Держава-член, що надсилає інформацію, може звернутися до держави-члена, до якої були направлені персональні дані, із проханням надати інформацію щодо використання таких даних. У Конвенції про взаємну допомогу у кримінальних справах між державами-членами Європейського Союзу від 29 травня 2000 р. визначені перші чіткі положення щодо захисту даних. Ст. 23 цієї Угоди містить загальні положення щодо захисту даних:
Стаття 23 - Захист персональних даних
1. Персональні дані, що передаються згідно з цією Конвенцією, можуть використовуватися тією державою - членом, до якої вони були передані з метою:
o дотримання процедур, до яких ця Конвенція застосовується;
o дотримання інших судових чи адміністративних процедур, що безпосередньо пов'язані з процедурами, зазначеними в пункті (а);
o запобігання безпосередній або серйозній погрозі громадській безпеці;
o з будь-якою іншою метою, якщо відповідна держава-член не отримала згоду суб'єкту даних, але лише за попередньою згодою держави-чле-ну, що надсилає інформацію.
2. Положення цієї статті також розповсюджуються на персональні дані, що не передаються, але отримані в іншій спосіб згідно з цією Конвенцією.
3. В особливих випадках держава-член, що надсилає інформацію, може вимагати від держави-члена, якій були передані персональні дані, інформацію про використання цих даних.
4. У разі застосування обмежень щодо використання персональних даних у відповідності до положень ст. 7 (2), 18 (5) (б), 18 (6) або 20 (4), ці обмеження матимуть переважне значення. В іншому випадку застосовуються положення цієї статті.
Щодо принципів захисту даних та кримінальної процедури
Стосовно європолу
10.2. Право на приватне життя у національному законодавстві
10.3. Міжнародно-правові документи ООН та Ради Європи
10.4. Інтерпол. Право на невтручання в особисте життя
10.5. Право на особисте і сімейне життя та його забезпечення в Україні
Розділ 11. Рамки діяльності поліції із застосуванням персональних даних (Європейські стандарти)
11.1. Дані за межами класичної діяльності поліції
11.2. Дані у класичній діяльності поліції