UA / RU
Підтримати ZN.ua

Захистимо дані про свою персону

Новорічну і різдвяну політичну нудьгу розвіяло повідомлення про набрання чинності з 1 січня Законом України «Про захист персональних даних» (далі — Закон)...

Автори: Сергій Козьяков, Іван Іванець

Новорічну і різдвяну політичну нудьгу розвіяло повідомлення про набрання чинності з 1 січня Законом України «Про захист персональних даних» (далі - Закон). Кілька нервових коментарів, що з’явилися у ЗМІ, примушують постаратися грунтовніше підійти до вивчення тексту Закону та наслідків його прийняття.

Документ прийняли, коли Україна залишилася в переліку небагатьох демократичних країн без такого закону. Нас випередили не тільки Німеччина з Великобританією та Словенія з Польщею, а й уже в 2010 році Мексика, Малайзія і Тайвань. Однак є країни, в яких окремого закону не прийняли (наприклад, США), але норми, котрі регулюють захист персональних даних, містяться у низці інших профільних законів.

Європейський досвід. Цікаво, що у США і Європейському Союзі є принципові розбіжності в термінологічному підході. В ЄС у законодавстві використовується термін data protection - захист інформації - і термін personal data, які насамперед стосуються збору та опрацювання персональних даних у цілому. У США звичні термін privacy - особисте життя - і privacy data - інформація про особисте життя. В Європі вужче й чіткіше трактують зміст персональних даних, розуміючи під ними конкретну ідентифікуючу інформацію, як це заведено у США, де до терміну privacy включено ще й елементи правового статусу громадян, такі, як їхні права та свободи.

Широкий розвиток комп’ютерних технологій і впровадження баз даних у публічному секторі, у сфері споживання товарів та послуг розширили категорію персональних даних. Це примусило законодавців демократичних держав потурбуватися про додатковий захист прав громадян і забезпечення інтересів держави у цій сфері.

Увагу до захисту персональних даних і права на особисте життя виявлено в цілій низці міжнародно-правових документів, зокрема в Загальній декларації прав людини 10 грудня 1948 р., Європейській конвенції про захист прав людини та основних свобод, Міжнародному пакті про громадянські та політичні права (1966 р.), керівництві ООН щодо комп’ютерних файлів персональних даних (1990 р.), низці конвенцій та рекомендацій міжнародних організацій (наприклад, в Основних положеннях Організації з економічного співробітництва та розвитку (ОЕСР) про захист недоторканності приватного життя і міжнародних обмінів персональними даними (1980 р.).

З 28 січня 1981 р. відкрита для підписання Конвенція Ради Європи «Про захист фізичних осіб при автоматизованому опрацюванні персональних даних». Конвенція захищає недоторканність т.зв.особистої сфери від надмірного й недобросовісного втручання у зв’язку з опрацюванням персональних даних як у державному, так і в недержавному секторах.

Нарешті, 24 жовтня 1995 р. прийнято Директиви Європейського парламенту і Ради Європейського Союзу № 95/46/ЄС «Про захист фізичних осіб в умовах автоматизованого опрацювання персональних даних і про вільне переміщення цих даних», а 11 березня 1996 р. - «Про юридичний захист баз даних».

Україна. Необхідність прийняття Закону в Україні перезріла. Справді, у країні існують, можливо, мільйони баз даних, у яких накопичується інформація про громадян. Часто громадяни аж ніяк не захищені. По-перше, від появи їхніх імен та інформації про неї в таких базах, по-друге, від використання без їхнього відома третіми особами такої інформації. Хоч як дивно, можна з великими застереженнями стверджувати, що тільки державні бази даних (як правило, різноманітні реєстри) діють за якимись (хоча й часто недосконалими) правилами. Попри це, середньостатистичний громадянин навіть не здогадується, наскільки він обплутаний недержавним стеженням. Адміністратор будь-якого сайта практично завжди враховує й запам’ятовує візит будь-якого відвідувача. Роблячи покупки в супермаркетах, відвідувачі часто й не здогадуються про те, що їхні переміщення ретельно відстежуються камерами відеоспостереження, а потім залишаються в пам’яті комп’ютера на невизначено тривалий час. Не здогадуються вони й про те, як і ким ці записи можуть бути використані. Студенти, складаючи заліки та іспити, і гадки не мають, що в такий спосіб поповнюють персональну базу даних успішності, яка накопичується, зберігається і використовується згідно з не відомими їм правилами. ЗМІ рясніють повідомленнями, що бази даних про номери телефонів і адреси місць проживання можна легко купити на ринку. Звісно, без дозволу громадян, інформація про яких міститься в таких базах даних. Сотні тисяч абонентів стільникового зв’язку потерпають від рекламного спаму, який приходить на їхні телефони без їхньої згоди. Тисячі киян відбиваються від агресивно-настирливих дзвінків театральних агентів, які намагаються продавати квитки на виступи заїжджих буцімто знаменитостей. Ось це і є опрацювання та використання баз персональних даних (БПД) без згоди громадянина.

Закон. Відразу заспокоїмо журналістів. Уже в преамбулі Закону стверджується, що його дія не поширюється на діяльність зі створення та обробки персональних баз даних у цих базах журналістом - у зв’язку з виконанням ним службових та професійних обов’язків. Працюйте спокійно, панове журналісти. Однак якщо модератор електронної версії вашої газети накопичує і враховує відвідувачів сайта, то в такому разі він зобов’язаний виконати низку досить жорстких вимог Закону. Наприклад, зареєструвати базу персональних даних в уповноваженому державному органі. А в частині стосунків із відвідувачами сайта необхідно зробити так, як зробили тисячі модераторів закордонних сайтів: на першій же сторінці, на яку заходить відвідувач, має бути посилання, клацнувши на яке відвідувач може прочитати умови обліку інформації про нього та погодитися з ними. Інтернет сьогодні рясніє текстами документів «Політика захисту баз даних», публікованих сайтами, компаніями, держорганами. Ми знайшли в Інтернеті сотні таких документів, опублікованих не тільки сайтами, а й, наприклад, університетами Оксфорда, Манчестера, Ліверпуля, Кентуккі та інших.

Насправді кожна юридична особа чи громадянин (не журналіст, не письменник і не творчий працівник) мають для себе ж негайно відповісти на такі запитання: чи потрібні їм БПД; як це узгоджується з Законом; якими будуть наслідки для подальшої роботи у разі тримання такої бази і не реєстрації в держоргані.

Закон містить цілком пристойно написані і зрозумілі базові положення. Основні вимоги до обробки БПД зводяться до таких восьми принципів. 1. Мета обробки має бути сформульована в законах, інших нормативно-правових актах, статутних документах, які регулюють діяльність власника БПД. 2. Персональні дані мають бути точними, достовірними та, у разі потреби, оновлюватися. 3. Склад і зміст ПД мають бути відповідними та не надмірними відносно визначеної мети їх обробки. 4. Обсяг ПД, які можуть бути включені в БПД, визначається умовами згоди суб’єкта ПД або відповідно до закону. 5. Обробка ПД здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта ПД чи законом. 6. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом і тільки в інтересах національної безпеки, економічного добробуту та прав людини. 7. ПД обробляються у формі, яка допускає ідентифікацію юридичної особи в термін, не більший, ніж це необхідно для їх законного призначення. 8. Використовувати ПД в історичних, статистичних чи наукових інтересах можна тільки у знеособленому вигляді. І в цьому Закон загалом мало чим відрізняється від прийнятих у Європі та світі.

На жаль, не можемо стверджувати, що Закон - бездоганний. На наш погляд, багато речей, зважаючи на те, що він регулює чутливі питання прав людини, можна було б зробити грунтовніше. Наприклад, Закон передбачає необхідність реєстрації БПД у Державному реєстрі баз персональних даних уповноваженим держорганом. Тим часом сьогодні такого держоргану немає. А Положення про Держреєстр ще тільки належить прийняти Кабмінові. На наш погляд, положення про це слід було б виписати прямо в тексті Закону. Практика включення таких норм давно стала традиційною в нормотворчій діяльності більшості країн світу. Наприклад, Закон Словенії навіть за обсягом більший за український втричі саме за рахунок норм прямої дії.

Поза увагою законодавця залишилися дуже важливі моменти. Наприклад, у законі «Про захист персональних даних» Словенії є окрема стаття, яка регулює можливі порушення при здійснення прямого маркетингу. П’ять статей присвячені регулюванню порядку виконання відеоспостереження (ВС) при здійсненні доступу в офісні, ділові, житлові та робочі приміщення. Окремі статті присвячені фіксації входу і виходу з приміщення. Правда, є над чим поміркувати? Ось тільки деякі вимоги для здійснення ВС у робочих приміщеннях: ВС встановлюється тільки у виняткових випадках, коли це необхідно для забезпечення, наприклад, безпеки людей та власності. ВС заборонене в таких приміщеннях, як туалети і душові. Працівники мають бути поінформовані наперед та у письмовій формі про впровадження ВС. При цьому роботодавець до впровадження ВС має проконсультуватися з представником профспілки! Окремий розділ (навіть не статтю) присвячено використанню біометричних даних у громадському секторі.

Було б корисно доповнити закон положеннями, наприклад, про бази даних, які створює сім’я виключно в особистих цілях, наприклад для звичайного ведення домашнього господарства. Чи, наприклад, про збереження даних у процесі звичайної ділової діяльності в неперсоніфікованій формі для комунікацій.

Попри зовні сувору статтю Закону, що стосується можливої передачі БПД у третю країну, слід відзначити, що процедури ухвалення рішення і власне передачі Закон не передбачає.

Потенційний тримач БПД, який припускає, що він порушує Закон, може запитати себе: а що мені за це буде? У Кримінальному кодексі України є з десяток статей, котрі стосуються покарання порушників Закону. Кримінальне покарання передбачено, наприклад, у відповідності зі статтею 182 «Порушення недоторканності приватного життя». Є корисні норми і в Цивільному кодексі України. У законодавстві ж інших країн відповідальність за конкретні порушення часто виписана прямо в тексті самого закону про БПД. За кордоном нагромаджено досвід покарань за порушення законодавства про БПД. Нещодавно перенервували топ-менеджери компанії Google. Уповноважений орган із захисту персональних даних Великобританії 22 жовтня 2010 року вирішив розпочати розгляд щодо використання StreetView системи для отримання об’ємних зображень вулиць світу. Аналогічне розслідування розпочате в Італії, і там було прийнято рішення про необхідність позначення місць спостереження. У Німеччині понад 244 тис. громадян побажали, аби зображення їхніх будинків були повністю зняті зі StreetView. Внаслідок хакерської атаки на сайт англійської юридичної фірми було спровоковано витікання інформації з внутрішньої пошти. Це призвело до скарг проти неї з боку громадян. Ведеться розслідування про надійність електронних засобів захисту, про якість підготовки персоналу фірми і пошук причин доступності такої інформації, яка містить персональні дані клієнтів.