«Великий Брат» з Європи

MicrosoftInternetExplorer4

Кілька роківправозахисники різних рівнів наполягали на необхідності прийняття закону, який бизахищав персональні данні. Проект зазначеногозакону з 1997 року обговорювався за участюпредставників міністерств, відомств, організацій, науковців, громадськості тазасобів масової інформації. І, коли нарешті такий закон прийнято, маємо хвилюкритики. Бажання деяких правників представити себе в ролі «голосу народу» інколивикликає подив. Пошук недоліків у всіх діях влади лише через те, що її представники неналежать до улюбленої політичної сили – це непрофесійно. Більше того,невдоволення зазначений закон викликав у єврофілів. Адже вінбувприйнятий самезавдякибажанню України влитися в цивілізовану Європу, привести національнезаконодавство у відповідність до європейського уявлення про права і свободилюдини в сфері персональних даних.

Поверненняв Союз

Будь-який союз, навітьЄвропейський, це все одно союз. Ознайомлення з директивою№ 2002/58/ЕС "Про обробку персональних даних ізахисту недоторканності приватного життя в секторі електроннихкомунікацій"може шокувати громадянкраїни, яка лише недавно звільнилися «з-під ярма КДБ». Однак мало хтобезпосередньо знайомий із нормативними актами ЄС у сфері обігу персональнихданих, яке розробленов дусі орвеллівського "Великого Брата". Саме намагання отриматибезвізовий режим поїздок до країн Євросоюзу повертає нас у часи КДБ.

Закон «Про захистперсональних даних» від 1 червня 2010року N 2297-VI (далі – Закон) орієнтований саме на норми європейського права. Звісно, знайти недоліки можна убудь-якому нормативному акті. І зазначений Закон не виключення. З однієїсторони, він покликаний захистити право на приватність. А з іншого - може дещоускладнити життя українському бізнесу. Важко уявити собі компанію, яка б існувала на ринку, не збираючи інформації про покупців, конкурентів, абонентів... Перш за все, занепокоєння викликав припис для всіх підприємств таорганізацій усіх форм власності проводити державну реєстрацію баз персональнихданих. При цьому під персональними даними розуміється досить широка інформація.

Широта розуміння

У вітчизняному Законі "персональні дані - відомості чисукупність відомостей про фізичну особу, яка ідентифікована або може бутиконкретно ідентифікована". У російському Законі "Про персональнідані" від 27.07.2006 року "персональні дані - це будь-яка інформація,що відноситься до певної або визначеній особі (суб'єкту персональних даних), утому числі її прізвище, ім'я, по батькові, рік, місяць, дата імісце народження, адреса, сімейне, соціальне, майнове положення, освіта,професія, доходи, інша інформація. У Законі Польщі від1997 року ("Ustawazdnia 29 sierpnia 1997 r. o ochroniedanychosobowych") "даніособистогохарактеру означають будь-яку інформацію, щостосується ідентифікованої або такої, що може бути ідентифікованоюособи. Інформація не вважається ідентифікуючою особу, якщо така ідентифікація буде пов'язана знадмірними витратами часу і зусиль". У європейській Конвенції про захист осіб узв'язку з автоматизованою обробкою персональних даних, підписаної в м.Страсбурзі 28.01.1981 року «персональні дані - це інформація, яка стосуєтьсяконкретної або такої, що може бути ідентифікованою особи». Тобто українськийзаконодавець розуміє поняття «персональні дані» не ширше, ніж європейський.

Проблема візитних карток

В самому визначенні персональних даних, взятому зазразком європейської конвенції, криється неоднозначність. Згідно з Законом під поняття бази персональних даних підпадаєбудь-який файл в будь-якому вигляді з персональною інформацією, наприклад, база контактів в мобільномутелефоні або створена програмою "Outlook".

Доводилось зустрічатись здумкою про те, що з набранням чинності Законом доведеться реєструвати як базуданих власну візитницю. Дійсно, наведенев Законі визначення терміну "база персональних даних", виходячи зякого вона може існувати, в тому числі, і у формі картотеки (ст.2). Тобто візитниця, що містить візитки з даними осіб формально є базою персональних даниху формі картотеки,і, отже, вимагає державної реєстрації. Відповідно до ст. 1 дія Закону не поширюється, зокрема, на "діяльність зістворення баз персональних даних та обробки персональних даних у цих базах фізичною особою - виключно для непрофесійних особистих чи побутовихпотреб".Тобто візитницю з даними своїх улюблених перукарів, сантехників та ветеринарівулюблених котів реєструвати не доведеться, як таку, що використовується дляособистих та побутових потреб. Проте, якщо до візитниці зібрано візитки діловихпартнерів, то вона використовується вже для професійних потреб. Таким чином,проблема полягає лише в одному слові – «непрофесійних».

Доречи, в ст. 3апольського закону, яка окреслює сферу його дії, зазначено, закон не поширюється на осіб, які обробляють данітільки для особистого або домашнього використання. Тобто використання бази даних, у томучислі у формі картотеки візиток, не пов’язується з професійною діяльністю. Крімтого, тим, хто готується до реєстрації своєї візитниці як бази даних, варто врахувати,що Закон «Про інформацію» вказує, що статус конфіденційної інформаціїприсвоюється її власником. Тобто фактичнобудь-яка особиста інформація може бути визнана конфіденційною. Але при цьомуконфіденційними за визначенням не можуть бути дані, які сама особа добровільнопоширює, втому числі за допомогою візитних карток.

Уникнути невизначеностейв розумінні та застосуванні терміну "база персональних даних"допоможе ратифікація Конвенції Ради Європи "Про захист фізичних осіб приавтоматизованій обробці персональних даних" від 28 січня 1981 року(Україноюпідписано ще у 2005 році), атакож внесення змін до закону або розробка нормативно-правових актів,передбачених цим Законом, з врахуванням всієї нормативної бази ЄС (а незкопійованого терміну без врахування контексту) та іноземного досвіду, зокрема,згадуваного польського закону, оскільки він відповідає вимогам усіх директив ЄСв цій сфері. Так, відповідно до нормативних актів ЄС або закону Польщі (ст. 27)персональні дані поділяються на дані загального характеру (ПІБ, дата і місценародження, громадянство, місце проживання) та вразливі персональні дані (даніпро стан здоров’я; етнічна належність; ідентифікаційні коди; підпис; відбиткипальців, фотографії; дані про розмір доходів, про вклади і рахунки в банках,нерухомість, податковий статус; кредитна історія; дані про судимість та іншіформи притягнення особи до відповідальності; результати іспитів тощо).Вітчизняний Закон мав би заборонити збирання,зберігання, використання та поширення без згоди суб’єкта даних саме вразливихперсональних даних, а не взагалі усіх персональних даних. Саме такий поділ персональних даних вирішив би «проблему візитнихкарток».

Бракує повноважень…

Законом передбачено створення уповноваженогодержавного органу з питань захисту персональних даних. Уповноважений орган,серед іншого, буде наділений контрольно-наглядовими повноваженнями (ст. 23). Тобтоколл-центри, банки, страхові компанії, маркетингові агенції і практичнобудь-які компанії, що мають базу даних свої клієнтів, отримають нову категорію державних перевіряючих змайже необмеженими повноваженнями.

З іншої сторони, наразіневідомо чи буде створено окрему інституцію, або відповідні повноваження будепокладено на вже існуюче міністерство чи відомство (це може бути і Національнакомісія з питань зв'язку, і Міністерство транспорту та зв'язку, і Міністерствоюстиції). Додатковий протокол до Конвенції Ради Європи № 108 вимагає, щоб цейорган мав гарантії незалежності. Адже він має надавати обов"язкові до виконання приписи будь-яким суб’єктам (в тому числі Президенту,Кабінету Міністрів, судам, парламенту, прокуратурі) в разі порушення закону про захист персональних даних.

Враховуючи зазначене, атакож можливі зловживання з боку представників Уповноваженого органу донедоліків Закону можна віднести те, що питання створення і діяльності цьогооргану мають регулюватися підзаконними нормативними актами. Органвиконавчоївлади за своєю суттю не може давати обов’язкові вказівки Президенту, парламенту, суддям чи правоохоронним органам. Отже, контрольза дотримання закону щодо захисту персональних даних в органах влади будепрактично відсутнім. Доречи, ці питання в Польщі детально врегульовані саме згадуваним законом,який передбачає існування окремої незалежної інституції – Генеральногоінспектора з охорони персональних даних.

…та відповідальності

В умовах беззахисностіприватної інформації і постійних витоків з баз даних позитивним фактом є саманаявність Закону. Нарешті можна сподіватися на те, що Закон обмежить набридливіспамерські розсилки та можливості для торгівлі чужими даними - сьогодні купитинелегальну або напівлегальну базу даних можна на більшості розкладок. Та чи буде Закон працювати напрактиці?

Закон у ст. 28 містить загальне положення про те, що порушеннязаконодавствапро захист персональних даних тягне за собою відповідальність, встановленузаконом. Але Закон не передбачає внесення змін ні в КК України, ні в КУпАП. Тобто в протиріччявимогам Директиви ЄС від 24 жовтня 1995 року N 95/46/ЕС Законом не встановленовідповідальності за порушення законодавства про захист персональних даних.До врегулюванняпитання про відповідальність втрачається сенс існування всього Закону.

Час на підготовку

Як зазначалося, виходячи з наведеного в Законі визначення поняття"персональні дані" (ст. 2), практично всі підприємства і підприємціведуть в якомусь вигляді бази персональних даних. У деяких компаній (рекламнийбізнес, колл-центри) кількість баз вимірюється сотнями. Складно уявити обсяг роботи Уповноваженого органу, а також фінансові таорганізаційні ресурси на обслуговування Державного реєструбазперсональних даних. Мабуть томуЗакономпередбачено, що фінансування робіт із забезпечення захисту персональних данихбудездійснюватися, в тому числі, і за рахунок коштів господарюючих суб'єктів,пов'язаних з персональними даними (ст. 26). Наврядчи цяможливість зробити процедуру платною буде проігнорована.Слід очікувати або на введення збору за внесення відомостей до реєстру, або на отримання технічнихрегламентів за плату (про платний доступ до ДСТУ та ДБН тутhttp://www.v-home.com.ua/news/show/353-normativnyie-dokumentyi-platnyiy-dostup).

Вартоюувагиобставиною є і те, що Закон набуває чинності з 1січня наступного року (ч. 1 ст. 31). Тобто, суб'єктам господарювання надано лише півроку на приведення своєї діяльності увідповідність з вимогами Закону. З огляду найого зміст, є всі підстави вважати, що протягом такого короткоготерміну це технічно неможливо. В РосійськійФедерації, деумови ведення бізнесу наближені до вітчизняних, цей термін складає близько чотирьох з половиною років і аналогічний Закон РФ прийнятий 27.07.2006 року набуваєчинності в повному обсязі 1 січня 2011 р.

Можна сподіватись на те,що набрання чинності Законом буде відстрочено. Проте, щоб не ставити підзагрозу нормальне функціонування компаніївжечас запланувати витрати на впровадженнянових технологій,які дозволять досягти відповідності зположеннями Закону.