«Володільці» персональных данных

21 апреля, 2006, 00:00 Распечатать Выпуск №15, 21 апреля-28 апреля

В первой половине апреля президент все-таки отклонил принятый 16 марта Верховной Радой Закон Украины «О защите персональных данных»...

В первой половине апреля президент все-таки отклонил принятый 16 марта Верховной Радой Закон Украины «О защите персональных данных». Собственно говоря, за страстями о коалиционном строительстве это мало кто и заметил — решается судьба страны, а тут такие мелочи. Хотя сталкиваться с этими «мелочами», к сожалению, приходится значительно чаще, нежели хотелось бы.

Например, кому перед выборами удалось избежать пространных приветствий и теплых, задушевных писем от партий, партиек и каких-то совершенно непонятных организаций с абсолютно незнакомыми названиями? Что там «праздник мужества» вместе с «праздником весны» — блок Литвина даже с Пасхой успел поздравить. Где-то в середине марта... И большинство этих поздравлений начинались не словами «дорогой избиратель», а конкретными именемами-фамилиями, с напечатанной рядом номером квартиры. Хотя автор, как и большинство прочих получателей подобной корреспонденции, не припоминает, чтобы делился этой информацией с двумя десятками партийных штабов. Судя по тому, что агитировали в основном «прописанных», т.е. «зарегистрированных» соотечественников, возникает мысль, что дело не обошлось без тех самых органов регистрации. Любопытно было бы узнать, имеется ли в графе «Доходы» их финансовой отчетности строка «Продажа баз данных объектам избирательного процесса». Если да, и за вырученные деньги они починили хотя бы километр дороги или тепломагистрали, то благодарное население все им простит. Хотя, конечно, не только жэки способствовали общению партий с избирателями. Например, предвыборную агитацию получали и клиенты «Проминвестбанка», видимо, разосланную по клиентской базе. За что ему, т.е. банку, отдельная большая благодарность.

В конце концов, все эти адресно-именные манипуляции — не так уж и страшны. Ну, отправили в корзину очередной десяток писем — и забыли. Однако этим дело явно не ограничивается. Достаточно выйти в Интернет, и найдешь не только базу данных с частными телефонами (где, в отличие от службы «09», можно не только «телефон по адресу», но и «адрес по телефону»), но и, например, базу данных регистрации автомобилей в ГАИ и еще немало вещей. Конечно, не все из того, что имеется в открытом доступе, может похвастать «первой свежестью», но тот факт, что из государственных ведомств, в том числе и силовых, потихоньку утекает конфиденциальная информация, сомнения не вызывает. И если с регистрацией автомобилей еще можно смириться (можно, потому что у автора нет автомобиля), то где гарантия, что однажды из государственной налоговой администрации не потекут в свет широкий, например, квартальные отчеты частных предпринимателей? Те, где «фамилия», «идентификационный код» и «объем выручки нарастающим итогом»? И одно дело, если данные будет «сливать» кто-то из девочек-операторов (хотя тем, кого «сольют», от того не легче). А если за дело возьмется кто-то из программистов и пустит в широкий оборот всю базу? Безусловно, такие информационные ресурсы в свободный доступ не попадут, но приобрести их на дисках, видимо, будет возможно. Как, кстати, уже сейчас в России можно купить базу данных БТИ и большинство милицейских баз — по судимостям граждан РФ, по лицам, находящимся в розыске, и т.д. В конце концов, оказать подобную «услугу» могут не только государственные организации — не меньше возможностей для этого, например, и у банков. Кстати, в типовых договорах двух банков «первой десятки» автор не нашел ни строчки об обязательствах, касающихся конфиденциальности. Понятно, что разглашение клиентских данных в банковскую стратегию не входит, и система внутренней безопасности в таких учреждениях достаточно надежная. Однако усложнять себе жизнь «лишними» обязанностями перед клиентом они тоже явно не спешат.

Так почему же, несмотря на давно уже перезревшую потребность в нормативном акте, который бы регулировал сферу оборота персональных данных, президент наложил вето на принятый во втором чтении закон, над которым, кстати, депутаты работали аж с 2003 года? Причины найти просто — достаточно почитать результат их трехлетней напряженной работы.

Первый момент, который сути закона, конечно, не касается, но, тем не менее, бросается в глаза — это язык документа. От Верховной Рады никто не ожидает литературных шедевров, но определение «володілець персональних даних — фізична та/або юридична особа, якій власником персональних даних надано право на обробку цих даних», согласитесь, с точки зрения украиноязычного человека выглядит нетривиально.

А далее законодатели, видимо, желая продемонстрировать готовность до последней капли крови стоять на страже приватности, в статье 5 указывают: «Персональные данные могут обрабатываться только при условии, что: обработка персональных данных осуществляется по письменному согласию владельца персональных данных». Впрочем, в конце статьи указывают, что подобное правило можно нарушить, если «того требуют интересы национальной безопасности, экономического благополучия и прав человека». Т.е., если сотрудник государственной или коммерческой организации все-таки продал на сторону ваши персональные данные, не стоит пугать его законом. Ведь, скорее всего, он действовал в интересах собственного экономического благополучия.

А если серьезно, когда вчитываешься в формулировки закона, возникает мысль, что депутаты представляют себе эти самые «базы данных» или «картотеки», где хранятся персональные данные, как запылившиеся архивы, куда информацию о лице вносят после рождения и корректируют один раз — после его смерти. А, например, такие вещи, как электронная коммерция, где собственно и используются крупные и часто обновляемые базы персональных данных, остаются для них чем-то посторонним и не стоящим внимания. Например, представьте себе картину, когда пользователь, скажем, Amazon’а, перед тем, как заказать книжку «в один клик мышки», звонит по сервисному телефону, чтобы к нему из ближайшего отделения магазина прибежал клерк с юристом. Через пару дней те приезжают, и в присутствии адвокатов клиента все вместе заключают «письменное соглашение на обработку персональных данных», а для верности заверяют его у нотариуса в присутствии двух свидетелей, после чего радостный клиент до конца жизни может пользоваться услугами книжного магазина, доверяя ему и свою фамилию, и адрес, и даже номер кредитной карточки. Абсурд? Конечно, но не далекий от того, что предлагал заветированный закон.

Кроме того, создается впечатление, что закон за три года разработки так никто и не решился банально отредактировать. Например, в статье 4 (там, где о «володільцях») имеется вроде бы полный перечень всех субъектов закона. Но буквально через несколько строк появляются «распорядители» и «пользователи» персональных данных, которых в перечне почему-то нет. Или чего, с точки зрения здравого смысла, стоит сентенция из статьи 5 о том, что «персональные данные должны быть точными, в случае необходимости — обновляться».

При этом в законе полностью отсутствуют какие-либо санкции за его нарушение. Равно как и любые указания о внесении соответствующих изменений и дополнений в Административный или Уголовный кодекс, которые бы позволили привлечь нарушителей к ответственности. Единственное, что может посоветовать закон лицам, чьи права были нарушены, это «обращаться в суд для защиты своих прав». Зато депутаты в статье 25 предлагают создать «Уполномоченный орган по вопросам защиты персональных данных», к полномочиям которого относилась бы «регистрация баз персональных данных, информационных (автоматизированных) систем обработки персональных данных». И понятно, что существование этого органа будет обеспечиваться за счет «средств субъектов отношений, связанных с персональными данными». Комментарии, кажется, излишни.

А в общем, заветированный закон о защите персональных данных идеально вписывается в контекст политики как законодательной, так и исполнительной власти в сфере ИТ. Достаточно вспомнить прошлогодний минтрансовский «приказ о регистрации всех сайтов» или «поправку Литвина» об обязательной инсталляции словарей одного конкретно взятого производителя на все без исключения «вычислительные системы», продаваемые на территории Украины. Все эти документы объединяет одно — глубокое, просто-таки непробиваемое непонимание отрасли, отношения в которой авторы нормативных актов стремятся урегулировать. Стремясь внедрить тотальный контроль (как в минтрансовском приказе), решить какие-то свои дела (как в поправке к программе информатизации) или даже, кажется, честно что-то улучшить (как в последнем законе), государственные мужи одним росчерком пера едва не уничтожают целые сектора молодой, но перспективной индустрии. Например, требование письменного согласия владельца на обработку его данных фактически убивает идею интернет-коммерции, ставя любой электронный магазин под потенциальный удар надзорных органов. Т.е. никто и никого за использование персональных данных «без письменного согласия» к ответственности не привлек бы, ведь строгость законов у нас, как и у северо-восточного соседа, компенсируется необязательностью их выполнения, однако потенциальный повод для решения «проблемного вопроса» мог бы получиться первоклассным. Пока что совместными усилиями заинтересованных коммерческих организаций, государственных структур и прессы особо колоритные цэу удается нейтрализовать. В случае с последней законодательной инициативой сработало президентское вето. Однако гарантии, что так будет всегда, конечно, никто не даст. Поэтому хотелось бы, чтобы государственные мужи, собираясь публиковать очередной нормативный акт, проводили не только стандартную юридическую экспертизу, но хотя бы немного посоветовались с заинтересованными сторонами, послушали людей, не первый год работающих в данной сфере. Глядишь, меньше бы появлялось на свет перлов о «размере сайта в байтах» или «володільцях» информации».

Оставайтесь в курсе последних событий! Подписывайтесь на наш канал в Telegram
Заметили ошибку?
Пожалуйста, выделите ее мышкой и нажмите Ctrl+Enter
Добавить комментарий
Осталось символов: 2000
Авторизуйтесь, чтобы иметь возможность комментировать материалы
Всего комментариев: 0
Выпуск №34, 14 сентября-20 сентября Архив номеров | Содержание номера < >
Вам также будет интересно