Новогоднюю и Рождественскую политическую скуку развеяло сообщение о вступлении в силу с 1 января Закона Украины «О защите персональных данных» (далее - Закон). Несколько нервных комментариев, появившихся в СМИ, заставляют постараться более основательно подойти к изучению текста Закона и последствий его принятия.
Документ был принят, когда Украина осталась в списке немногих демократических стран, где такого закона нет. Нас обогнали не только Германия с Великобританией и Словения с Польшей, но и уже в 2010 году Мексика, Малайзия и Тайвань. Есть, однако, страны, где отдельный закон не принят (например, США), но нормы, регулирующие защиту персональных данных, содержатся в ряде других профильных законов.
Европейский опыт. Интересно, что в США и Европейском Союзе существуют принципиальные различия в терминологическом подходе. В ЕС в законодательстве используется термин data protection - защита информации - и термин personal data, которые в первую очередь относятся к сбору и обработке персональных данных в целом. В США привычным является термин privacy - личная жизнь, и privacy data - информация о личной жизни. В Европе более узко и четко трактуют содержание персональных данных, понимая под ними конкретную идентифицирующую информацию, как это принято в США, где в термин privacy включены еще и элементы правового статуса граждан, такие, как их права и свободы.
Широкое развитие компьютерных технологий и внедрение баз данных в публичном секторе, в сфере потребления товаров и услуг расширили категорию персональных данных. Это послужило толчком интереса законодателей демократических государств к дополнительной защите прав граждан и обеспечению интересов государства в этой сфере.
Внимание к защите персональных данных и права на личную жизнь уделено в целом ряде международно-правовых документов, в том числе во Всеобщей декларации прав человека 10 декабря 1948 г., Европейской конвенции о защите прав человека и основных свобод, Международном пакте о гражданских и политических правах (1966 г.), руководстве ООН относительно компьютерных файлов персональных данных (1990 г.), ряде конвенций и рекомендаций международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 г.).
С 28 января 1981 г. была открыта для подписания Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Конвенция защищает неприкосновенность т.н. личной сферы от избыточного и недобросовестного вмешательства в связи с обработкой персональных данных, совершаемой как в государственном, так и в негосударственном секторах.
Наконец, 24 октября 1995 г. приняты Директивы Европейского парламента и Совета Европейского Союза № 95/46/ЕС «О защите физических лиц в условиях автоматизированной обработки персональных данных и о свободном обращении этих данных», а 11 марта 1996 г. - «О юридической защите баз данных».
Украина. Необходимость принятия Закона в Украине перезрела. В самом деле, в стране существуют, возможно, миллионы баз данных, в которых накапливается информация о гражданах. Во многих случаях граждане никак не защищены. Во-первых, от появления их имен и информации о них в таких базах, во-вторых, от использования без их ведома третьими лицами такой информации. Как ни странно, можно с большой натяжкой утверждать, что только государственные базы данных (как правило, различные реестры) действуют по каким-то (хотя и часто несовершенным) правилам. Несмотря на это, среднестатистический гражданин даже не догадывается, насколько он опутан негосударственной слежкой. Администратор всякого сайта практически всегда учитывает и запоминает визит любого посетителя. Делая покупки в супермаркетах, посетители часто и не догадываются о том, что их перемещения тщательно отслеживаются камерами видеонаблюдения, а затем остаются в памяти компьютера неопределенно долгое время. Не догадываются они и о том, как и кем эти записи могут быть использованы. Студенты, сдавая зачеты и экзамены, не подозревают о том, что они таким образом пополняют персональную базу данных успеваемости, которая накапливается, хранится и используется в соответствии с неизвестными им правилами. СМИ пестрят сообщениями о том, что базы данных о номерах телефонов и адресах места жительства можно легко купить на рынке. Конечно, без разрешения граждан, информация о которых содержится в таких базах данных. Сотни тысяч абонентов сотовой связи страдают от рекламного спама, приходящего на их телефоны без их согласия. Тысячи киевлян отбиваются от агрессивно-назойливых звонков театральных агентов, пытающихся продавать билеты на представления заезжих как бы знаменитостей. Вот это и есть обработка и использование баз персональных данных (БПД) без согласия гражданина.
Закон. Сразу успокоим журналистов. Прямо в Преамбуле Закона утверждается, что его действие не распространяется на деятельность по созданию и обработке персональных баз данных в этих базах журналистом - в связи с исполнением им служебных и профессиональных обязанностей. Работайте спокойно, господа журналисты. Однако, если модератор электронной версии вашей газеты накапливает и учитывает посетителей сайта, то в этом случае он обязан выполнить ряд довольно жестких требований Закона. Например, зарегистрировать базу персональных данных в уполномоченном государственном органе. А в части отношений с посетителями сайта необходимо сделать так, как сделали тысячи модераторов зарубежных сайтов: на первой же странице, на которую заходит посетитель, должна быть ссылка, кликнув на которую посетитель может прочесть условия учета информации о нем и согласиться с ними. Интернет сегодня пестрит текстами документов «Политика защиты баз данных», публикуемых сайтами, компаниями, госорганами. Мы нашли в Интернете сотни таких документов, опубликованных не только сайтами, но и, например, университетами Оксфорда, Манчестера, Ливерпуля, Кентукки и других.
На самом деле каждое юридическое лицо или гражданин (не журналист, не писатель и не творческий работник) должны для себя же немедленно ответить на следующие вопросы: нуждаются ли они в БПД; как это согласуется с Законом; какие последствия наступят для дальнейшей работы в случае содержания такой базы и не регистрации в госоргане.
Закон содержит вполне пристойно написанные и понятные базовые положения. Основные требования к обработке БПД сводятся к следующим восьми принципам. (1) Цель обработки должна быть сформулирована в законах, других нормативно-правовых актах, уставных документах, регулирующих деятельность владельца БПД. (2) Персональные данные должны быть точными, достоверными и, в случае необходимости, обновляться.
(3) Состав и содержание ПД должны быть соответствующими и не чрезмерными относительно определенной цели их обработки. (4) Объем ПД, которые могут быть включены в БПД, определяется условиями согласия субъекта ПД или в соответствии с законом. (5) Обработка ПД осуществляется для конкретных и законных целей, определенных по согласию субъекта ПД или Законом. (6) Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом и только в интересах национальной безопасности, экономического благосостояния и прав человека.
(7) ПД обрабатываются в форме, допускающей идентификацию юридического лица в срок, не больше, чем это необходимо для их законного назначения. (8) Использование ПД в исторических, статистических или научных интересах может осуществляться только в обезличенном виде. И в этом Закон в целом немногим отличается от принятых в Европе и мире.
К сожалению, не можем утверждать, что Закон является безупречным. На наш взгляд, многие вещи, учитывая, что он регулирует чувствительные вопросы прав человека, можно было бы сделать основательнее. Например, Закон предусматривает необходимость регистрации БПД в Государственном реестре баз персональных данных уполномоченным госорганом. При этом сегодня такого госоргана не существует. А Положение о Госреестре еще только должен принять Кабмин. На наш взгляд, положение об этом необходимо было бы выписать прямо в тексте Закона. Практика включения таких норм давно стала традиционной в нормотворческой деятельности большинства стран мира. Например, закон Словении даже по объему больше украинского в три раза именно за счет норм прямого действия.
За пределами внимания законодателя остались очень важные моменты. Например, в законе «О защите персональных данных» Словении есть отдельная статья, регулирующая возможные нарушения при осуществлении прямого маркетинга. Пять статей посвящены регулированию порядка выполнения видеонаблюдения (ВН) при осуществлении доступа в офисные, деловые, жилые и рабочие помещения. Отдельные статьи посвящены фиксации входа и выхода в помещения. Правда, есть о чем подумать? Вот только некоторые требования для осуществления ВН в рабочих помещениях: ВН устанавливается только в исключительных случаях, когда это необходимо для обеспечения, например, безопасности людей и собственности. ВН запрещено в таких помещениях, как туалеты и душевые. Работники должны быть проинформированы загодя и в письменной форме о внедрении ВН. При этом работодатель до внедрения ВН должен проконсультироваться с представителем профсоюза! Отдельная глава (даже не статья) посвящена использованию биометрических данных в общественном секторе.
Было бы полезно дополнить Закон положениями, например, о базах данных, создаваемых семьей исключительно в личных целях, например, для обычного ведения домашнего хозяйства. Или, например, о хранении данных в процессе обычной деловой деятельности в неперсонифицированной форме для коммуникаций.
Несмотря на внешне строгую статью Закона, касающуюся возможной передачи БПД в третью страну, следует отметить, что процедуры принятия решения и собственно передачи Закон не предусматривает.
Потенциальный держатель БПД, предполагающий, что он нарушает Закон, может задать вопрос: а что мне за это будет? В Уголовном кодексе Украины можно отыскать с десяток статей по наказанию нарушителей Закона. Уголовное наказание предусмотрено, например, в соответствии со статьей 182 «Нарушение неприкосновенности частной жизни». Есть полезные нормы и в Гражданском кодексе Украины. В законодательстве же других стран ответственность за конкретные нарушения часто выписана прямо в тексте самого закона о БПД. За рубежом накоплен опыт наказаний за нарушение законодательства о БПД. Недавно перенервничали топ-менеджеры компании Google. Уполномоченный орган по защите персональных данных Великобритании 22 октября 2010 года решил начать разбирательство по поводу использования StreetView системы для получения объемных картинок улиц мира. Аналогичное расследование начато в Италии, и там было принято решение о необходимости обозначения мест наблюдения. В Германии больше 244000 граждан пожелали, чтобы изображения их домов были полностью убраны со StreetView. В результате хакерской атаки на сайт английской юридической фирмы была спровоцирована утечка информации с внутренней почты. Это привело к подаче против нее жалоб со стороны граждан. Ведется расследование о надежности электронных средств защиты, о качестве подготовки персонала фирмы и также поиск причин доступности такой информации, которая содержит персональные данные клиентов.