Право на информационное самоопределение?

Гражданин современного информационного общества - физическое лицо, персональные данные (ПД) которого подвергаются автоматизированной обработке. Согласовы­вается ли это с конституционным принципом невмешательства в личную жизнь?

Из ежедневного. Вы - физическое лицо, участник правоотношений, например, трудовых. При устройстве на работу предоставляете работодателю необходимую информацию о себе, то есть ПД, - «сведения о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Работо­датель заносит их в свою базу персональных данных (БПД) работников - и, поздравляем, вы получили статус субъекта персональных данных (СуПД). Рабо­тодатель в данном случае является владельцем БПД. А это означает, что данные о вас начинают собирать, накапливать, сохранять, адаптировать, изменять, возобновлять, использовать и распространять, обезличивать и даже уничтожать! Словом, ваши данные обрабатываются в БПД. Обработкой ПД занимается отдельное лицо, назначенное владельцем, - распорядитель БПД.

Внимание! Обработку ваших ПД владелец может осуществлять исключительно по вашему задокументированному добровольному согласию (с определением объема данных) на это в соответствии со сформулированной целью. В этом случае цель обработки данных - трудоуст­ройство.

На основании чего?

Конституционное право на невмешательство в личную жизнь лежит в основе защиты ПД и предусматривает особый правовой режим информации о физическом лице, поскольку, согласно законодательству Украи­ны, информация о физическом лице является конфиденциальной, а следовательно, дос­туп к ней ограничен самим лицом.

Только с разрешения?

Все ПД о вас как о физическом лице обрабатываются (автоматизировано или в форме картотек) исключительно при наличии вашего письменного согласия. Такое решение Украина приняла на пути к безвизовому режиму. Но об этом позже. Мировая правовая практика защиты ПД пошла двумя путями: или отождествив ПД с какой-либо информацией, касающейся конкретного лица, или дифференцировав ПД. Принцип дифференциации ПД также закреплен в нашем законодательстве. Закреплен, но, к сожалению, не положен в основу режима доступа к ПД.

В чем же состоит дифференциация? В распределении информации о физическом лице на следующие составляющие:

- так называемый оперативный минимум ПД - общие данные - ФИО физического лица, идентификационный номер, сведения об образовании, трудовом стаже, семейном положении, контактные данные;

- категорию «чувствительных» данных - о расовом или этничес­ком происхождении, поли­тичес­ких, религиозных или мировоззренческих убеждениях, членст­­ве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или половой жизни. Закон запрещает обработку таких сведений, но дает перечень исключений из запрета. Условно их можно поделить на две категории: по однозначному согласию СуПД и по объективной необходимости.

Заметим: когда в основе дос­тупа к ПД лежит принцип дифференциации данных, то разрешительный порядок обработки предполагается исключительно относительно «чувствительных» данных. В нашем случае обязанность получения согласия СуПД распространяется на все его ПД. Именно таким способом украинский законодатель решил организовать защиту ПД в Законе Ук­раины «О защите персональных данных» №2297 от 01.06.2010 года (далее - Закон).

Итак, мы рассмотрели ситуацию с позиции СуПД.

Закон появился в ответ на очередной вызов евроинтеграции. С целью активизации безвизового диалога с ЕС защита ПД попала в список реформ безотлагательного введения в 2010 го­ду: через «Мат­рицу сотрудничества» Украины с ЕС и План первоочередных мер по интеграции Украины в ЕС - до Закона. Кроме этого, были внесены изменения в некоторые законодательные акты Ук­раины относительно усиления ответст­веннос­ти за нарушения законо­дательст­ва о защите персональных данных (вступают в силу с 01.01.2012 года) и ратифицированы Конвен­ция о защите лиц в связи с автоматизированной обработкой персональных данных 1981 года (далее - Конвенция) и Дополни­тель­ный протокол к ней относительно органов надзора и трансграничных потоков данных 2001 го­да. Но «успев» не разочаровать ЕС, Украина не успела разобраться в правовых последствиях «реформы» для себя.

Теперь рассмотрим ситуацию с позиции владельца БПД. Га­рантией защиты ПД Закон определил обязательную государственную регистрацию всех БПД. Хотя Конвенция формулирует только общую обязанность создания сис­темы защиты ПД, то есть не требует от государств-участниц введения какого-то конкретного механизма, например, обязательной регистрации всех БПД. Мало того, европейские государства - участницы Конвенции ввели так называемую необходимую регистрацию - то есть регистрацию, во-пер­вых, владельцев БПД, а не самих БПД, во-вторых, - владельцев баз «чувствительных» ПД и, в-третьих, - с целью контроля за обработкой данных и обеспечения открытости информации об обработке.

Кстати, вы можете даже не догадываться, что на вашем счету уже сейчас есть несколько БПД, подлежащих регистрации. Но с нового года ваше незнание само даст о себе знать.

Вступив в действие с 01.01.2011 года, Закон запустил новый механизм. К чему же привели сверхусилия государства? Субъект предпринимательской деятельности: физическое лицо-частный предприниматель (далее - ЧП), оформив на работу двух наемных работников, автоматически стал владельцем БПД. Следовательно, БПД работников - первая база. Занимаясь своим любимым делом, получаем в подарок еще одну - БПД клиентов.

Субъект предпринимательской деятельности-юридическое лицо, если статус обязует, будет иметь как минимум еще и третью базу - БПД поставщиков услуг.

Таким образом, вашему вниманию регистрационный минимум: если вы - физическое лицо-ЧП, готовьтесь к регистрации двух БПД, если же юридическое лицо - вам светит зарегистрировать их аж три!

Как же государство предлагает жить со статусом владельца БПД?

Государство создало специализированный правовой и инс­титуционный механизм обеспечения защиты ПД. Госу­дарствен­ная служба по защите персо­наль­­ных данных Украины (ГСЗПД) - регулятор, держатель реестра и конт­ролер. В специализированную правовую базу, кроме Закона и внесенных изменений в другие правовые акты, входят подзаконные правовые акты, рег­ламен­тирующие порядок создания и дея­тельности ГСЗПД, ведение реестра и предос­тавления документов для регист­рации.

Владельцам к регистрации БПД надо подготовиться. И не только морально, в частности:

- установить цель обработки ПД и количество БПД, необходимых для осуществления собст­венной деятельности;

- утвердить внутренним приказом порядок обработки и защиты персональных данных, ознакомить сотрудников с этим документом;

- утвердить текст согласия лица на обработку его персональных данных;

- получить письменное согласие субъектов персональных данных;

- определить структурное подразделение или лицо, ответст­венное за организацию работы по защите персональных данных во время обработки.

Выяснив эти вопросы на частном уровне, владелец подает заявление о регистрации БПД, которая находится в его владении (по каждой БПД отдельно!). Заявление должно содержать сведения, необходимые для регистрации, а именно: обращение о внесении БПД в реестр, информацию о владельце БПД, информацию о наименовании и местонахождении БПД, информацию о распорядителе ПБД, информацию о цели обработки данных, документ, подтверждающий обязательство выполнять требования законодательства по защите ПД.

Образец заявления Минюст утвердил еще в августе с.г. Ре­гист­рация БПД осуществляется путем внесения соответствующей записи и выдачи свидетельства в течение десяти дней со дня поступления заявления.

И вот свидетельство на руках! Можно ли после факта регистрации забыть об еще одном бюрократическом механизме? Нет. С этим придется жить.

В соответствии с Законом: «…о каждом изменении сведений, необходимых для регистрации, владелец БПД должен сообщить ГСЗПД Украины не позднее чем в течение десяти рабочих дней с нас­тупления такого изменения».

Какой же алгоритм действий законопослушного владельца? Например, распорядитель БПД Геннадий Павлович изменил адрес.

Владелец БПД:

1) обращается к Геннадию Павлови­чу для получения согласия на обработку его персональных данных (поскольку статус распорядителя не освобождает его от статуса СуПД);

2) получив согласие, вносит изменения в БПД;

3) сообщает ГСЗПД о внесении изменений в ведомости.

Изменив адрес фактического размещения или хранения носителей БПД, сообщаем ГСЗПД.

Кроме того, правила ведения документооборота и порядок осуществления самой дея­тель­нос­ти работодателя требуют от него пос­тоянной внутренней обработки ПД. И хотя изменения в данных СуПД не нуждаются в сообщении ГСЗПД, за счет процедуры получения согласия обработка данных добавляет работодателю много документарной нагрузки. Даже за пополнение в семье работника иск­ренне не порадуешься…

По такому сценарию физичес­кое лицо-ЧП или небольшое юридическое лицо, столкнувшись с трудностями, обойдется расширением штата работников на одного человека, а вот более крупным - как для внутренней «переписки» с СуПД относительно обработки их данных, так и для «переписки» с ГСЗПД - придется обратиться к созданию отдельного структурного подразделения. Не путь ли это в Абсурдистан?

Согласно Закону: «…персональные данные в БПД подлежат уничтожению в случае прекращения правоотношения между субъектом персональных данных и владельцем БПД, если иное не предус­мотрено законом». А вот Главное архивное управление еще в 1998 году переобязало работодателя сохранять персональные данные в течение 75 лет. Норма не новая, а унаследованная. А по иерархии законодательства, закон выше приказа, поэтому практику документооборота и архивации перечеркиваем?

И не забудьте, об уничтожении ПД вам тоже придется сообщить и СуПД, и всем лицам, которым эти данные были переданы.

Статья 1 - ошибка первая

Исключением из общего правила обязательной регистрации, в силу исключения из сферы дейст­вия закона, является деятельность по созданию БПД и обработке персональных данных в этих базах, которая осуществ­ляется:

• физическими лицами - иск­лючительно для непрофессиональных личных или бытовых нужд;

• журналистами - в связи с исполнением ими служебных или профессио­нальных обязанностей;

• профессиональными творческими работниками - для осуществления творческой деятельности.

Поскольку Закон Украины «О государственной поддержке средств массовой информации и социальной защите журналистов» определяет журналиста в качестве «творческого работника, который профессионально собирает, получает, создает и занимается подготовкой информации для СМИ…», вторая категория субъектов освобождения входит в третью. Ос­тается только сделать ударение на незаурядном внимании, которое уделяется исключениям из сферы действия какого-либо реформаторского закона.

В Великобритании защита персональных данных осуществляется на основании Акта о защите персональных данных 1998 года (далее - Акт), в основу которого положен принцип дифференциации ПД. В этом государстве - участнике Конвенции внедрена «необходимая обязательная ре­гист­рация», предус­мат­ривающая исключения для:

1) владельцев, осуществляющих обработку персональной информации для:

- управления персоналом (включая платежные сведения);

- рекламы, маркетинга, связей с общественностью (в связи с коммерческой деятельностью компании);

- ведения бухгалтерской отчетности;

2) некоторых неприбыльных организаций;

3) обработки персональных данных для личных, семейных или бытовых целей (включая проведение досуга);

4) владельцев, выполняющих обработку персональных данных с целью ведения публичного реестра;

5) владельцев, не реализовывающих компьютерную обработку персональных данных.

Реестр владельцев ведет комиссар по вопросам информационного регулирования, который также уполномочен накладывать денежные штрафы за нарушение регистрации. Контроль за ведением реестра осуществляет ведомст­во по вопросам информационной политики. Институ­ционную сис­тему дополняет трибунал по воп­росам информационной политики, который входит в системы административного судопроиз­водства.

Исключения в британской системе не являются исключе­ния­ми ради исключений, а дейст­вительно направлены на устранение бюрократизации деятельности владельцев БПД, которые имеют дело с обработкой «оперативного минимума ПД», и защиту «чувствительных» ПД.

Почему это важно именно сегодня? По состоянию на 10.11. 2011 г. ГСЗПД получила, об­работала и внесла в Госу­дарст­венный реестр БПД 1203 заявления о регистрации БПД. По результатам рассмотрения этих заявлений Временная комиссия ГСЗПД по рассмотрению документов о регистрации БПД в Госу­дарственный реестр баз персональных данных внесла 861. Это что, нарушение закона?

На первый взгляд, статистические данные свидетельствуют о несоблюдении владельцами БПД действующего законодательства в сфере защиты ПД путем уклонения от обязанности регистрации БПД. Однако на самом деле для работы системы защиты ПД необходимо запустить ключевой механизм - механизм ответственности за нарушения законодательства по защите ПД. Соответствующие изменения вступают в силу с 01.01.2012 года и предусматривают административную и уголовную ответственность в соответствии с Кодексом об административных правонарушениях (КАСУ) и Уголовным кодексом Украины (УКУ).

В частности, предполагается административная ответственность в виде штрафных санкций за уклонение от государственной регистрации БПД:

- для граждан - в размере от 300 до 500 необлагаемых налогом доходов граждан (н. н. д. г.), то есть от 5100 до 8500 грн. и

- для должностных лиц, граждан-субъектов предпринимательской деятельности - в размере от 500 до 1000 н. н. д. г., то есть от 8500 до 17000 грн.

Поскольку основной массив регистрации будут составлять именно базы, которые содержат «оперативный минимум ПД», то «непонимание» концепции обязательной регистрации может дорого обойтись владельцам БПД.

Публичность информации

С 1 января 2012 года станут общедоступными сведения Реестра на веб-сайте администратора Реестра (ГП «Информа­ционный центр» Минис­терства юстиции Украины) путем поиска и просмотра информации о БПД (наименование базы, сведения о владельце. Для физических лиц - при наличии ФИО, цель обработки данных, регистрационный номер записи о базе персональных данных в Реестре). При этом поиск может осуществляться по трем последним сведениям.

Украина снова пошла путем «письменного антинародного законотворчества», возложив дополнительную бюрократическую и финансово-административную нагрузку на субъектов предпринимательской деятельности, - регистрация ради регистрации, а не с целью защиты необходимой категории «чувствительных» ПД.

Как видим, трудно недооценить институт защиты ПД в сов­ременных условиях несанкционированного их использования. Но Украина должна основывать свое внутреннее требование регистрировать БПД на принципе дифференцирования персональных данных, что, с одной стороны, обеспечит достижение цели защиты тех ПД, которые в этом нуждаются, и, с другой - не будет создавать дополнительных препятствий для деятельности владельцев БПД - представителей малого и среднего бизнеса.

Непродуманное реформирование законодательства вместо того, чтобы лечить правовую систему Украины, приносит ей только болячки, поскольку нужно было сначала проконсультироваться у врача, получить рецепт и даже купить лекарства. Нужно правильно и систематически их принимать, а не гнаться за призрачным здоровьем, перепиваясь антибиотиками и транквилизаторами, особенно когда это здоровье необходимо миллионам людей.