Государство

Продажам досье объявлена война

Украина решилась на законодательную защиту персональных данных

С 1 января следующего года вступает в силу закон «О защите персональных данных», принятый 1 июня этого года. Украина наконец-то приобщается к цивилизованной практике обращения с персональными данными, хотя до сих пор являлась островом относительной неопределенности в этой сфере в Европе.

Закон предназначен для защиты персональных данных в базах данных. Соответственно, простое упоминание имени и фамилии человека не подпадает под действие данного закона. Обсуждение человека, упоминание его в письмах, статьях, например, не ограничивается. Закон, в первую очередь, предназначен для упорядочивания движения информации больших объемов и защиты их от несанкционированного использования.

Не секрет, что коммерческие организации обеспокоены защитой данных, которые у них обрабатываются в силу прямого коммерческого ущерба, который может понести компания, если произойдет утечка или кража информации. Сотрудники же государственных органов слабо мотивированы для охраны и защиты данных, которые обрабатываются в информационных системах госорганов. Данный закон должен способствовать наведению порядка, в том числе, и в государственных учреждениях — ГАИ, милиции, Налоговой администрации, судах и т.п.

В законе прямо сказано, что не ограничивается деятельность журналистов. Они могут создавать и обрабатывать базы персональных данных в рамках своей профессиональной деятельности. Также четко отмечено, что персональные данные человека, который претендует занять или занимает выборную должность или должность государственного чиновника 1-й категории, не являются информацией с ограниченным доступом. Соответственно, персональные данные кандидатов в депутаты и госчиновников могут собираться и обрабатываться в базах данных без их персонального уведомления.

В законе отдельно отмечено, что запрещается обработка персональных данных о расовом или этническом происхождении, о политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах; а также запрещается обработка данных, которые касаются здоровья и половой жизни человека. Эти данные могут собираться и обрабатываться в базах данных, если они были обнародованы человеком самостоятельно.

Принятие данного закона в Украине уже вызвало ряд замечаний от различных общественных организаций, но следует отметить, что принятым законом предполагается разработка ряда регулирующих документов Кабинетом министров и создание отдельного уполномоченного органа, который будет выполнять функции надзора в области персональных данных. Без принятия данных нормативно-правовых актов и начала работы уполномоченного органа говорить о полноценной работоспособности закона еще рано, но проанализировать его соответствие аналогичным законам, принятым в Европе и прилегающих государствах, уже возможно.

Основные положения Директивы Европейского союза

Согласно Директиве ЕС 95/46/EC, к персональным данным относится любая информация, по которой можно идентифицировать человека, в том числе — и идентификационный код гражданина. Директивой явно запрещается обработка данных относительно расового или этнического происхождения, политических взглядов, религиозных и философских убеждений, участия в профсоюзах, данных относительно здоровья человека и его личной жизни. Обработка и использование персональных данных в общих случаях возможна с разрешения владельца персональных данных или если персональные данные явно обнародованы.

Накладываются ограничения на применение Директивы при исполнении служебных обязанностей государственными учреждениями, силовыми службами, судами, медицинскими работниками, при возникновении угрозы человеческой жизни. Разрешается обработка персональной информации физическим лицом в личных целях. Положения Директивы распространяются как на действия с персональными данными при автоматической обработке, так и при ручной обработке таких данных. В Директиве четко отмечено, что ее положения распространяются только на картотеки данных.

На неструктурированные массивы данных положения Директивы не распространяются. Примером неструктурированного массива данных, в которых также могут находиться персональные данные, может быть обычная книга. Положения Директивы не распространяются на творческую, научную и журналистскую деятельность. Прямо запрещается передача персональных данных третьим странам, в которых не обеспечивается адекватный уровень защиты персональных данных. Допускается обработка персональных данных, если это необходимо для исполнения контрактных обязательств.

Директивой ЕС предполагается создание независимого органа для надзора за соблюдением требований в области защиты персональных данных. Неотъемлемым правом такого органа должна быть возможность проведения расследований и вмешательства в деятельность государственных и частных организаций. Кроме того, на данный орган возлагается функция учета существующих баз персональных данных в стране. Особенно стоит отметить, что регистрация баз персональных данных производится путем уведомления. То есть достаточно просто официально уведомить уполномоченный орган о существовании базы персональных данных. Нет необходимости получать предварительное разрешение на создание такой базы данных, ходить по кабинетам, как это часто практикуется в наших реалиях.

Опыт Польши

В Польше Директива ЕС реализована в полном объеме. Закон, регламентирующий обработку персональных данных, был принят еще в 1997 г. По тексту он повторяет большинство положений Директивы ЕС. Уполномоченный орган в Польше называется Генеральной инспекцией защиты персональных данных (Generalny Inspektor Ochrony Danych Osobowych). Генеральный инспектор назначается на должность Парламентом и является ему подотчетным. Но имеется также ряд отличий польского закона от положений Директивы ЕС. Закон Польши распространяется не только на картотеки данных, но и на индексы, книги, списки и другие реестры данных. У Инспекции нет функций расследований, которые предполагаются Директивой ЕС.

Кроме прочего, в законе прямо прописана административная и уголовная ответственность за нарушение порядка обработки и использования персональных данных. Наказания предусмотрены не только в виде материальной ответственности, но также и лишения свободы на срок до трех лет.

Опыт России

В российском законе понятие персональных данных соответствует трактовке Директивы ЕС, основные правила использования и обработки персональных данных также соответствуют европейской практике. Как и рекомендовано европейской Директивой, в России явно запрещается обработка данных расового, этнического происхождения, политических, религиозных убеждений, данных относительно здоровья человека и его личной жизни. Не подпадает под действие закона информация, обнародованная всенародно. Накладываются ограничения на защиту персональной информации для государственных учреждений, силовых структур, судов, медицинских учреждений. Разрешается обработка персональной информации в личных, бытовых целях. Не подпадают под действие закона персональные данные, обрабатываемые в целях творческой, научной и журналисткой деятельности. Обработка персональных данных разрешается в рамках договорных отношений.

Но есть в российском законе и отличия от положений Директивы Европы. Например, вводится отдельное понятие биометрических персональных данных. Прямо запрещено использовать персональные данные в целях продвижения товаров и услуг. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий. На данный момент таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Согласно российскому закону, уведомление уполномоченного органа должно производиться до начала обработки персональных данных, что идет вразрез с европейской практикой. Директивой ЕС регистрация баз персональных данных предполагается путем уведомления, уже по факту работы с персональными данными.

В мае этого года Государственная дума России приняла в первом чтении поправки к федеральному закону «О персональных данных». Планируется урегулировать обработку персональных данных при договорных отношениях, при удовлетворении компаниями собственных потребностей без нарушения прав субъектов персональных данных; а также ограничить возможность установления требований к обеспечению безопасности персональных данных правительством.

Планы Украины

Анализируя украинский закон «О защите персональных данных», можно отметить, что он в целом повторяет положения европейской Директивы. Определение персональных данных, порядок их использования, ограничения на использование персональных данных аналогичны европейским. Так, согласно закону, ограничения в обработке персональных данных не распространяются на работу государственных и силовых структур, медицинских работников, на работу творческих, научных деятелей, на работу журналистов. Прямо запрещается обработка любой информации об этнической и расовой принадлежности; о религиозных, философских и политических взглядах отдельных людей. Так же, как и в Директиве ЕС, оговорено, что допускается обработка персональной информации в личных целях.

Но при всем этом имеются также существенные отличия от положений Директивы ЕС. Например, отсутствует положение о контрактных обязательствах. Согласно положениям Директивы ЕС, обработка и использование персональных данных разрешаются в рамках договорных отношений. В украинском законе такая норма отсутствует.

Ряд общественных организаций Украины уже высказали опасения в том, что из-за отсутствия подобной нормы возможно возникновение различных проблем, например, в отношениях банков и заемщиков. Недобросовестные заемщики, прикрываясь положениями закона «О защите персональных данных», теоретически могут попробовать препятствовать возвращению кредитов в банковские учреждения.

Кроме того, в украинском законе уполномоченный орган декларирован как «центральный орган исполнительной власти», аналогично СБУ, ГНАУ и т. п. Как уже упоминалось, Директивой ЕС отмечается, что создание независимого уполномоченного органа является ключевым фактором успеха в обеспечении функционирования системы безопасности в области персональных данных. Кроме этого, положениями Директивы предусматривается, что у такого органа будут иметься возможности проведения следственных действий и возможность вмешательства в деятельность государственных и частных организаций.

Украинский закон не предоставляет уполномоченному органу возможности проведения следственных действий, но его предписания будут обязательны к исполнению.

Шаг на пути к цивилизованному обществу

Как видно из анализа, украинские законодатели относительно свободы ведения бизнеса приняли практику российских коллег, не решившись на создание независимого уполномоченного органа в области защиты персональных данных от исполнительной власти, по аналогии, например, с коллегами из Польши, и не прописали условия обработки персональных данных при договорных отношениях. Также прямо не оговорено использование персональных данных при продвижении товаров и услуг. Хотя, опираясь на тот же опыт Российской Федерации, возможно, есть смысл учесть необходимость урегулирования обработки персональной информации в рамках договорных отношений. Ведь пришли же наши соседи к необходимости урегулирования данного вопроса после трех лет действия закона о персональных данных в России.

До вступления в силу закона еще есть время. Кабинет министров еще имеет возможность разработать и утвердить необходимые нормативно-правовые акты для урегулирования возникающих опасений в данной сфере. Правительству еще необходимо создать уполномоченный орган в области защиты информации. Таким образом, еще имеется возможность доработать законодательную базу в данной области для создания благотворной среды для ведения бизнеса в Украине и защиты персональных данных граждан наиболее эффективными методами и средствами.

gudz
Share
Published by
gudz