У першій половині квітня президент відхилив-таки прийнятий 16 березня Верховною Радою Закон України «Про захист персональних даних». Власне, за пристрастями коаліційного будівництва це мало хто й помітив — вирішується доля країни, а тут такі дрібниці. Хоча стикатися із цими «дрібницями», на жаль, доводиться куди частіше, ніж хотілося б.
Наприклад, кому перед виборами вдалося уникнути розлогих привітань та теплих, задушевних листів від партій, партійок та якихось зовсім незрозумілих організацій із абсолютно незнайомими назвами? Що там «свято мужності» разом зі «святом весни» — особливо спритний блок Литвина навіть із Великоднем встиг привітати. Десь в середині березня... І більшість цих привітань починалися не словами «дорогий виборцю», а конкретним іменем-прізвищем, поряд із надрукованим номером квартири. Хоча автор, як і більшість інших отримувачів подібної кореспонденції, не пригадує, щоб ділився цією інформацією із двома десятками партійних штабів. Судячи з того, що агітували в основному «прописаних», чи то пак «зареєстрованих» співвітчизників, виникає думка, що справа не обійшлася без отих самих органів реєстрації. Цікаво було б довідатися, чи є у графі «Прибутки» їхньої фінансової звітності рядок «Продаж баз даних об’єктам виборчого процесу». Якщо так і за виручені гроші вони підремонтували хоча б кілометр дороги чи тепломагістралі, то вдячне населення все їм вибачить. Хоча, звичайно, не тільки жеки сприяли спілкуванню партій із виборцями. Наприклад, передвиборну агітацію отримували і клієнти «Промінвестбанку», вочевидь, розіслану за клієнтською базою. За що йому, себто банку, окреме велике спасибі.
Врешті, всі ці адресно-іменні маніпуляції — це не так вже й страшно. Ну, відправили в кошик черговий десяток листів — і забули. Проте справа цим явно не обмежується. Досить вийти в Інтернет, і знайдеш не лише базу даних з приватними телефонами (де, на відміну від служби «09» можна не тільки «телефон за адресою», але й «адресу за телефоном»), а й, приміром, базу даних реєстрації автомобілів у ДАІ, і ще чимало речей. Звичайно, не все із того, що є у відкритому доступі, може похвалитися «першою свіжістю», але той факт, що із державних відомств, в тому числі і силових, потихеньку витікає якнайперсональніша інформація, сумніву не викликає. І якщо із реєстрацією автомобілів ще можна змиритися (може, тому що в автора немає автомобіля), то де гарантія, що одного дня із державної податкової адміністрації не потечуть у світ широкий, наприклад, квартальні звіти приватних підприємців? Оті, де «прізвище», «ідентифікаційний код» і «обсяг виручки наростаючим підсумком»? І одна річ, якщо дані «зливатиме» хтось із дівчаток-операторів (хоча тим, кого «зіллють», від того не легше). А якщо за діло візьметься хтось із програмістів, і пустить в широкий обіг всю базу? Безумовно, такі інформаційні ресурси у вільний доступ не потраплять, але придбати їх на дисках, вочевидь, буде можливим. Як, до речі, вже зараз у Росії можна купити базу даних БТІ та більшість міліцейських баз — по судимостях громадян РФ, по особах, які знаходяться у розшуку і т.д. Врешті, зробити подібну «послугу» можуть не тільки державні організації — не менші можливості для цього, приміром, і в банків. До речі, в типових договорах двох банків «першої десятки» автор не знайшов жодного рядка про зобов’язання щодо конфіденційності. Себто зрозуміло, що розголошення клієнтських даних у банківську стратегію не входить, і система внутрішньої безпеки в таких установах достатньо сувора. Проте заморочуватись із «зайвими» обов’язками перед клієнтом вони теж явно не поспішають.
Так чому ж, незважаючи на давно вже перезрілу потребу в нормативному акті, який би регулював сферу обігу персональних даних, президент наклав вето на прийнятий у другому читанні закон, над яким, до речі, депутати працювали аж із 2003 року? Причини знайти просто — досить почитати результат їхньої трирічної напруженої роботи.
Перший момент, який суті закону, звичайно, не стосується, проте настирливо лізе в очі — це мова документа. Від Верховної Ради ніхто не очікує літературних шедеврів, проте визначення «володілець персональних даних — фізична та/або юридична особа, якій власником персональних даних надано право на обробку цих даних», погодьтеся, з точки зору україномовної людини виглядає нетривіально.
А далі законодавці, вочевидь, бажаючи продемонструвати готовність до останньої краплі крові стояти на сторожі приватності, у статті 5 вказують: «Персональні дані можуть оброблятися тільки за умови, що: обробка персональних даних здійснюється за письмовою згодою власника персональних даних». Щоправда, під кінець статті кажуть, що таке правило можна порушити, якщо «цього вимагають інтереси національної безпеки, економічного добробуту та прав людини». Себто, якщо співробітник державної чи комерційної організації таки продав на сторону ваші персональні дані, не варто лякати його законом. Адже, скоріш за все, він діяв в інтересах власного економічного добробуту.
А якщо серйозно, то, вчитуючись у формулювання закону, виникає думка, що депутати уявляють собі оті самі «бази даних» чи «картотеки», де зберігаються персональні дані, як запилюжені архіви, куди інформацію про особу вносять десь після народження, і коригують один раз — після її кончини. А, наприклад, такі речі як електронна комерція, де, власне, і використовуються великі і часто оновлювані бази персональних даних, залишаються для них чимось стороннім і не вартим уваги. Наприклад, уявіть собі картину, коли користувач, скажімо, Amazon’у, перед тим, як замовити книжку «в один клік мишки», дзвонить по сервісному телефону, щоб до нього з найближчого відділення магазину прибіг клерк із юристом. За день-два ті приїжджають, і в присутності адвокатів клієнта всі разом укладають «письмову згоду на обробку персональних даних», а для вірності завіряють її в нотаріуса в присутності двох свідків, після чого радісний користувач до кінця життя може користуватися послугами книжкового магазину, повіряючи йому і своє прізвище, і адресу, і навіть номер кредитної картки. Абсурд? Звичайно, але не далекий від того, що пропонував заветований закон.
Окрім того, складається враження, що закон за три роки розробки так ніхто й не наважився банально відредагувати. Наприклад, у статті 4 (там, де про «володільців») є начебто виключний перелік усіх суб’єктів закону. Але буквально за кілька рядків з’являються «розпорядники» і «користувачі» персональних даних, яких у вичерпному переліку чомусь немає. Або чого, з точки зору здорового глузду, варта сентенція зі статті 5 про те, що «персональні дані повинні бути точними, у разі необхідності — оновлюватися»
Притому у законі цілковито відсутні будь-які санкції за його порушення. Рівно як і будь-які вказівки на внесення відповідних змін і доповнень до адміністративного чи кримінального кодексів, які б дозволили притягнути порушників до відповідальності. Єдине, що може порадити закон особам, чиї права було порушено, це «звертатися до суду для захисту своїх прав». Натомість депутати у статті 25 пропонують створити «Уповноважений орган з питань захисту персональних даних», до чиїх повноважень належала б «реєстрація баз персональних даних, інформаційних (автоматизованих) систем обробки персональних даних». І зрозуміло, що існування цього органу буде забезпечуватися за рахунок «коштів суб’єктів відносин, пов’язаних із персональними даними». Коментарі, здається, зайві.
А загалом заветований закон про захист персональних даних ідеально вписується у контекст політики як законодавчої, так і виконавчої влади у сфері ІТ. Досить згадати минулорічний мінтрансівський «наказ про реєстрацію всіх сайтів» чи цьогорічну «поправку Литвина» про обов’язкову інсталяцію словників одного конкретно взятого виробника на всі без винятку «обчислювальні системи», що продаються на території України. Всі ці документи об’єднує одне — глибоке, просто-таки непробивне нерозуміння галузі, стосунки у якій автори нормативних актів намагаються врегулювати. Намагаючись впровадити тотальний контроль (як у мінтрансівському наказі), облаштувати якісь свої справи (як у поправці до програми інформатизації) чи навіть, здається, чесно щось покращити (як в останньому законі), державні мужі одним розчерком пера замалим не знищують цілі сектори молодої, але перспективної індустрії. Наприклад, вимога письмової згоди власника на обробку його даних просто-таки вбиває ідею інтернет-комерції, ставлячи будь-який електронний магазин під потенційний удар наглядових органів. Себто, ніхто й нікого за використання персональних даних «без письмової згоди» до відповідальності не притягнув би, бо суворість законів у нас, як і в північно-східного сусіда, компенсується необов’язковістю їх виконання, проте потенційний привід для вирішення «проблемного питання» міг би вийти першокласним. Поки що спільними зусиллями зацікавлених комерційних організацій, НДО та преси особливо колоритні «керівні вказівки» вдається нейтралізувати. У випадку із останньою законодавчою ініціативою спрацювало президентське вето. Проте гарантії, що так буде завжди, звісно, ніхто не дасть. Тому хотілося б, щоб державні мужі, збираючись публікувати черговий нормативний акт, проводили не тільки стандартну юридичну експертизу, а хоч трохи порадилися із зацікавленими сторонами, послухали людей, котрі не перший рік працюють у даній сфері. Дивись, менше б випливало на світ перлів про «розмір сайту у байтах» чи «володільців інформації».