1151
Продажу досьє оголошено війну
— Казна та Політика
З 1 січня наступного року набуває чинності закон "Про захист персональних даних", прийнятий 1 червня цього року. Україна нарешті долучається до цивілізованої практики поводження із персональними даними, хоча до цих пір була островом відносної невизначеності в цій сфері в Європі.
Закон призначений для захисту персональних даних в базах даних. Відповідно, просте згадування імені та прізвища людини не підпадає під дію цього закону. Обговорення людини, згадування її в листах, статтях, наприклад, не обмежується. Закон, в першу чергу, призначений для впорядкування руху інформації великих обсягів і захисту її від несанкціонованого використання.
Не секрет, що комерційні організації стурбовані захистом даних, які у них обробляються через прямий комерційний збиток, якого може зазнати компанія, якщо відбудеться виток або крадіжка інформації. Співробітники державних органів слабко мотивовані для охорони та захисту даних, які обробляються в інформаційних системах держорганів. Цей закон повинен сприяти наведенню порядку, в тому числі, і в державних установах - ДАІ, міліції, Податковій адміністрації, судах тощо
У законі прямо сказано, що не обмежується діяльність журналістів. Вони можуть створювати і обробляти бази персональних даних в рамках своєї професійної діяльності. Також чітко зазначено, що персональні дані людини, яка претендує зайняти чи займає виборну посаду або посаду державного чиновника 1-ї категорії, не є інформацією з обмеженим доступом. Відповідно, персональні дані кандидатів в депутати і держчиновників можуть збиратися й оброблятися в базах даних без їх персонального повідомлення.
У законі окремо зазначено, що забороняється обробка персональних даних про расове або етнічне походження, про політичні, релігійні чи світоглядні переконання, членство в політичних партіях і профспілках, а також забороняється обробка даних, які стосуються здоров'я та статевого життя людини. Ці дані можуть збиратися й оброблятися в базах даних, якщо вони були оприлюднені людиною самостійно.
Прийняття цього закону в Україну вже викликало зауваження від різних громадських організацій, але слід зазначити, що прийнятим законом передбачається розробка низки регулюючих документів Кабінетом міністрів та створення окремого уповноваженого органу, який буде виконувати функції нагляду у сферіперсональних даних. Без прийняття даних нормативно-правових актів та початку роботи уповноваженого органу говорити про дієвість закону ще рано, але проаналізувати його відповідність аналогічним законом, прийнятим в Європі і прилеглих державах, вже можливо.
Основні положення Директиви Європейського союзу
Згідно із Директивлю ЄС 95/46/ЄC, до персональних даних відноситься будь-яка інформація, за якою можна ідентифікувати особу, в тому числі - й ідентифікаційний код громадянина. Директивою явно забороняється обробка даних щодо расового або етнічного походження, політичних поглядів, релігійних і філософських переконань, участі в профспілках, даних щодо здоров'я людини та її особистого життя. Обробка та використання персональних даних у загальних випадках можлива з дозволу власника персональних даних або якщо персональні дані явно оприлюднені.
Накладаються обмеження на застосування Директиви при виконанні службових обов'язків державними установами, силовими службами, судами, медичними працівниками, при виникненні загрози людському життю. Дозволяється обробка персональної інформації фізичною особою в особистих цілях. Положення Директиви поширюються як на дії з персональними даними при автоматичній обробці, так і при ручній обробці таких даних. У Директиві чітко зазначено, що її положення поширюються лише на картотеки даних.
На неструктуровані масиви даних положення Директиви не поширюються. Прикладом неструктурованого масиву даних, в яких також можуть перебувати персональні дані, може бути звичайна книга. Положення Директиви не поширюються на творчу, наукову і журналістську діяльність. Прямо забороняється передача персональних даних третім країнам, у яких не забезпечується адекватний рівень захисту персональних даних. Допускається обробка персональних даних, якщо це необхідно для виконання контрактних зобов'язань.
Директивою ЄС передбачається створення незалежного органу для нагляду за дотриманням вимог у сфері захисту персональних даних. Невід'ємним правом такого органу повинна бути можливість проведення розслідувань і втручання в діяльність державних і приватних організацій. Крім того, на даний орган покладається функція обліку існуючих баз персональних даних в країні. Особливо варто зазначити, що реєстрація баз персональних даних здійснюється шляхом повідомлення. Тобто досить просто офіційно повідомити уповноважений орган про існування бази персональних даних. Немає необхідності отримувати попередній дозвіл на створення такої бази даних, ходити по кабінетах, як це часто практикується в наших реаліях.
Досвід Польщі
У Польщі Директива ЄС реалізована в повному обсязі. Закон, який регламентує обробку персональних даних, був прийнятий ще в 1997 р. За текстом він повторює більшість положень Директиви ЄС. Уповноважений орган у Польщі називається Генеральною інспекцією захисту персональних даних (Generalny Inspektor Ochrony Danych Osobowych). Генеральний інспектор призначається на посаду Парламентом і є йому підзвітним. Але є також кілька відмінностей польського закону від положень Директиви ЄС. Закон Польщі поширюється не тільки на картотеки даних, але і на індекси, книги, списки та інші реєстри даних. У Інспекції немає функцій розслідувань, які передбачаються Директивою ЄС.
Крім іншого, в законі прямо прописана адміністративна і кримінальна відповідальність за порушення порядку обробки та використання персональних даних. Покарання передбачено не лише у вигляді матеріальної відповідальності, але також і позбавлення волі на строк до трьох років.
Досвід Росії
У російському законі поняття персональних даних відповідає трактуванню Директиви ЄС, основні правила використання та обробки персональних даних також відповідають європейській практиці. Як і рекомендовано європейською Директивою, в Росії явно забороняється обробка даних расового, етнічного походження, політичних, релігійних переконань, даних щодо здоров'я людини та її особистого життя. Не підпадає під дію закону інформація, оприлюднена публічно. Накладаються обмеження на захист персональної інформації для державних установ, силових структур, судів, медичних установ. Дозволяється обробка персональної інформації в особистих, побутових цілях. Не підпадають під дію закону персональні дані, що обробляються з метою творчої, наукової і журналісткої діяльності. Обробка персональних даних дозволяється в рамках договірних відносин.
Але є в російському законі і відмінності від положень Директиви Європи. Наприклад, вводиться окреме поняття біометричних персональних даних. Прямо заборонено використовувати персональні дані з метою просування товарів і послуг. Уповноваженим органом із захисту прав суб'єктів персональних даних є федеральний орган виконавчої влади, що здійснює функції із контролю і нагляду у сфері інформаційних технологій. На даний момент таким органом є Федеральна служба із нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнагляд). За російським законом, повідомлення уповноваженого органу повинно проводитися до початку обробки персональних даних, що йде врозріз із європейською практикою. Директивою ЄС реєстрація баз персональних даних передбачається шляхом повідомлення, вже за фактом роботи із персональними даними.
У травні цього року Державна дума Росії прийняла в першому читанні поправки до федерального закону "Про персональні дані". Планується врегулювати обробку персональних даних при договірних відносинах, при задоволенні компаніями власних потреб без порушення прав суб'єктів персональних даних; а також обмежити можливість встановлення вимог до забезпечення безпеки персональних даних урядом.
Плани України
Аналізуючи український закон "Про захист персональних даних", можна відзначити, що він у цілому повторює положення європейської Директиви. Визначення персональних даних, порядок їх використання, обмеження на використання персональних даних аналогічні європейським. Так, згідно із законом, обмеження в обробці персональних даних не поширюється на роботу державних і силових структур, медичних працівників, на роботу творчих, наукових діячів, на роботу журналістів. Прямо забороняється обробка будь-якої інформації про етнічну і расової приналежності; про релігійні, філософські і політичні погляди окремих людей. Так само, як і в Директиві ЄС, обумовлено, що допускається обробка персональної інформації в особистих цілях.
Але при всьому цьому є також суттєві відмінності від положень Директиви ЄС. Наприклад, відсутнє положення про контрактні зобов'язання. Згідно з положеннями Директиви ЄС, обробка та використання персональних даних дозволяється в рамках договірних відносин. В українському законі така норма відсутня.
Кілька громадських організацій України вже висловили побоювання відносно того, що через відсутність подібної норми можливе виникнення різних проблем, наприклад, у відносинах банків і позичальників. Недобросовісні позичальники, прикриваючись положеннями закону "Про захист персональних даних", теоретично можуть спробувати перешкоджати поверненню кредитів у банківські установи.
Крім того, в українському законі уповноважений орган задекларовано як "центральний орган виконавчої влади", аналогічно СБУ, ДПАУ і т. ін. Як вже згадувалося, Директивою ЄС наголошується, що створення незалежного уповноваженого органу є ключовим фактором успіху в забезпеченні функціонування системи безпеки у сфері персональних даних. Крім цього, положеннями Директиви передбачається, що у такого органу будуть можливості проведення слідчих дій і можливість втручання в діяльність державних і приватних організацій.
Український закон не надає уповноваженому органу можливості проведення слідчих дій, але його приписи будуть обов'язковими до виконання.
Крок на шляху до цивілізованого суспільства
Як видно з аналізу, українські законодавці щодо свободи ведення бізнесу взяли практику російських колег, не зважившись на створення незалежного уповноваженого органу у сфері захисту персональних даних від виконавчої влади, за аналогією, наприклад, з колегами з Польщі, і не прописали умови обробки персональних даних при договірних відносинах. Також прямо не зазначено використання персональних даних при просуванні товарів і послуг. Хоча, спираючись на той самий досвід Російської Федерації, можливо, є сенс врахувати необхідність врегулювання обробки персональної інформації в рамках договірних відносин. Адже прийшли ж наші сусіди до необхідності врегулювання даного питання після трьох років дії закону про персональні дані в Росії.
До набуття чинності закону ще є час. Кабінет міністрів ще має можливість розробити і затвердити необхідні нормативно-правові акти для врегулювання побоювань у цій сфері. Уряду ще необхідно створити уповноважений орган у сфері захисту інформації. Таким чином, ще є можливість доопрацювати законодавчу базу в цій галузі для створення позитивного середовища для ведення бізнесу в Україні та захист персональних даних громадян найбільш ефективними методами і засобами.
Юрій Гудзь
За матеріалами: Экономические Известия
Поділитися новиною
