3057
Приватна територія
— Казна та Політика
Першого січня набув чинності новий закон про захист персональних даних, який не на жарт налякав багатьох правозахисників та журналістів, - окремі його норми виглядають як серйозні обмеження свободи слова. "Главред" розбирався, чи це так.
У кожного громадянина Україна є ім'я, прізвище і рік народження, у більшості - місце роботи та номери телефону, у багатьох - номер банківської картки або нік у Skype. Новий закон "Про захист персональних даних", що набув чинності з першого січня цього року, мав навести лад у сфері використання і категоризації таких даних.
Однак цей закон відразу ж викликав активну критику правозахисників. Українська Гельсінська спілка побачила у ньому спробу утиску свободи слова. На думку Союзу, частина його положень помітно обмежувує права громадян на оперування чужими персональними даними при написанні своїх матеріалів. З іншого боку, юристи заспокоюють: багато з норм нового закону, що здаються особливо небезпечними, насправді такими не є.
Закон із родоводом
Перша спроба прийняти законопроект з такою назвою була зроблена ще при Леоніді Кучмі - 15 березня 2003 р. текст законопроекту був прийнятий за основу. Тоді керівництво України готувалося до приєднання до Європейської конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних (сама Конвенція була прийнята Радою Європи ще в 1981 році). Однак як ратифікація самого тексту Конвенції, так і підписання закону затягнулись на сім років. Законопроекти кілька разів ветувалися президентами і прямували на доопрацювання. У 2009 році був прийнятий за основу новий текст - вже з іншим списком авторів. Він був прийнятий 1 червня 2010 року, а 6 липня була ратифікована і Конвенція.
Це позиціонувалось командою влади як крок вперед на шляху до безвізового режиму з Євросоюзом. Однією з умов безвізового режиму було налагодження співпраці між Мін'юстом України та Євроюстом, а також уніфікація законодавства про захист персональних даних. Місяць тому Мін'юст сформував і направив до Гааги команду парламентерів, яка відзвітувала про виконану роботу перед європейськими колегами.
На цих переговорах українська делегація, очолювана заступником міністра юстиції Валерією Лутковською, розповіла європейцям про новий закон і ратифікацію Конвенції як про виконання двох з трьох обов'язкових умов для підписання угоди. Третя умова - власне створення Державної служби з питань захисту персональних даних, яка буде займатися практичним запровадженням нових норм. Євроюст у відповідь пообіцяв направити до України делегацію, яка перевірить ситуацію на місцях. Прибуття "ревізорів" очікується навесні.
Безліч "але"
Як вже згадувалося, першими проти нового закону повстали правозахисники та журналісти. За словами керівника Української Гельсінської спілки прав людини Володимира Яворського, новий законопроект зв'яже руки працівникам преси. Оскільки в законі до "персональних даних" віднесена будь-яка інформація, яка може дозволити впізнати людину. Тобто фактично будь-які дані про неї. За версією правозахисників, за новим законом журналісти не мають права поширювати такі дані без згоди на те самого особи - суб'єкта персональних даних.
Іншими словами, за версією правозахисників, перед написанням статті журналіст зобов'язаний заручитися письмовою згодою усіх осіб, в ній згаданих, на вживання їх персональних даних, включаючи ім'я і прізвище. Однак окремий дозвіл особи потрібен якщо буде згадуватись її расове або етнічне походження, політичні або релігійні переконання, світогляд, членство в партії і профспілках, а також дані про стан здоров'я та статеве життя.
З цього правила є великий і приємний для преси виняток: можна обробляти і поширювати інформацію про осіб, що займають будь-яку посаду у представницьких органах чи балотуються туди. А також про держслужбовців першої категорії. Простіше кажучи, Президент, міністри, всі депутати і кандидати законом не захищені.
Є в законі й інші спірні норми, які складно побачити при першому прочитанні. Просимо вибачення за жахливу за структурою фразу, але, відповідно до Закону, Держслужба "здійснює в межах своїх повноважень контроль за додержанням вимог законодавства з питань захисту персональних даних із забезпеченням відповідно до закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка". З цього пункту може випливати, що Держслужба покликана в рамках своїх (поки ще не прописаних) повноважень забезпечувати доступ до приміщень, де відбувається обробка баз даних. Тобто вимагати допуску будь-яких уповноважених осіб до серверних кімнат комерційних структур. Поки що на таке здатна лише прокуратура.
Проблема - у неправильному прочитанні
Директор Інституту Медіа Права Тарас Шевченко розвіює підозри правозахисників вказівкою на обмеження сфери дії і об'єктів захисту закону.
Цитуючи статтю 1: "Дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах: фізичною особою - виключно для непрофесійних особистих чи побутових потреб; журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків; професійним творчим працівником - для здійснення творчої діяльності". Тобто закон не вимагає реєструвати особисті списки контактів, як, наприклад, бази даних в мобільному телефоні. Не потребує він і реєструвати бази контактів журналістів ... Інша справа - якщо у виданні існує окрема редакційна база контактів. Оскільки редакція - не приватна особа, а комерційна структура, їй, можливо, доведеться зареєструвати свої бази.
Особливу увагу, на думку експерта, слід приділити 5 статті документа, згідно з якою "об’єктами захисту є персональні дані, які обробляються в базах персональних даних". Саме тому, вважає він, Гельсінська спілка дарма хвилюється. Адже якщо журналіст отримує інформацію не з зареєстрованої бази персональних даних, а з будь-якого іншого джерела - вищезгадані обмеження на нього не поширюються. І він може спокійно писати матеріал, не питаючи дозволу у кожного його фігуранта.
Тарас Шевченко, директор Інституту Медіа Права
Наприклад, ми ведемо мову про директора заводу. Якщо журналіст цікавиться інформацією про цього директора і бере її саме із зареєстрованої бази даних - так, закон виставляє відповідні обмеження. Якщо журналіст бере інформацію з будь-якого іншого джерела, - закон до цього взагалі відношення не має. Адже він регламентує не поширення персональних даних взагалі і в цілому, а лише те, як вони потрапляють в певні бази даних і як з них виходять. У цьому й відмінність нового закону від попередніх його версій. Попередні, які постійно ветував Віктор Ющенко, не мали такого розмежування і поширювалися на всі персональні дані взагалі, незалежно від джерела. А не виключно в контексті їх обробки в базах даних, як того вимагають норми ЄС. Правозахисники, протестуючі проти цього закону, на наш погляд, дещо перебільшують його небезпеку. З іншого боку - ми ж всі прекрасно знаємо, як у нас за бажання можна викрутити будь-який закон під конкретну людину. Ось зараз у Вінниці намагаються засудити відомого правозахисника (йдеться про справу Дмитра Гройсмана, - ред.) за звинуваченням у зберіганні порнографії. Не треба зайвий раз підказувати владі способи перекрутити і цей закон. Він дійсно може створити деякі проблеми - наприклад, організації "Who is who в Україні", що створює відкриту структуровану базу даних впливових людей. При цьому ми не знайшли в законі згадування того, як повинні діяти власники баз даних, які існували до прийняття закону. Припустимо, в базі десять тисяч осіб - що, після реєстрації бази слати всім письмові повідомлення? Технічні проблеми можуть виникнути у комерційних структур, що ведуть свою базу даних. Першочерговою метою закону якраз і були подібні структури - Укртелеком, наприклад, провайдери, мобільні оператори, ЖЕКи. У принципі, більшість норм закону корисні - громадянин має право знати, як його особисту інформацію використовує ЖЕК, і якось на це впливати. А держава має право обмежувати нецільове використання цієї інформації - наприклад, забороняти банкам закидати вас рекламними листами, використовуючи реєстраційну інформацію.
Надія на уточнення
Багато аспектів нового закону викликають явно зайве хвилювання. Однак разом з тим окремі пункти, як, наприклад, широкі повноваження Держслужби захисту персональних даних, дійсно залишають певний простір для зловживань. Наскільки широкий - стане зрозуміло лише після остаточного створення цієї Держслужби, підписання відповідних підзаконних актів та затвердження нею типового порядку обробки даних. Також слід внести зміни у вже існуючі правові акти - наприклад, прописати відповідальність за незаконні операції з персональними даними. За законом, на все це відведено шість місяців, рахуючи від 1 січня. Проте на практиці уряд, швидше за все, спробує доробити все до весняного візиту представників Євроюсту.
Таким чином, у авторів та ініціаторів закону ще є шанс виправити якщо не всі, то кілька спірних норм. Але є також шанс створити ще одну контролюючу держструктуру з великими можливостями в організації проблем громадянам.
Що є в новому законі
Закон регулює створення, використання та державну реєстрацію баз персональних даних громадян. Приклади - бази даних по клієнтам комерційних установ, банків, Інтернет-провайдерів і мобільних операторів. Тобто всі бази державних і комерційних структур, де є вказівки на особисті дані (імена, прізвища, адреси, номери кредитних карток) реально існуючих осіб. Закон також регулює будь-які маніпуляції з цією інформацією, але тільки всередині самих цих баз і пов'язаних з ними установ. Як окремий приклад - закон забороняє вилучати особисту інформацію про інших людей з подібних баз даних без їх письмового дозволу.
Також закон передбачає створення окремої Держслужби для регулювання всієї галузі захисту персональних даних.
Чого немає у новому законі
Закон не зобов'язує реєструвати особисті бази даних - візитки, контакт-листи інтернет-пейджерів, списки друзів у соціальних мережах, особисті телефонні книги.
Закон не вимагає від журналістів та професійних творчих працівників (наприклад, письменників) реєструвати власні бази контактів (як окремо прописаний виняток).
Закон не накладає ніяких обмежень на використання особистої інформації, якщо вона була отримана не із зареєстрованих баз даних. Так, наприклад, журналіст може сміливо використовувати у своєму матеріалі інформацію про відомого бізнесмена, якщо вона взята із Вікіпедії, з архіву публікацій друкованого видання або з одкровень його колишньої дружини. Однак він повинен повідомити цього бізнесмена, якщо бере його особисті дані, наприклад, з архіву вузу, де той навчався.
Що в новому законі не прописано чи прописано недостатньо чітко:
Немає повного переліку повноважень Держслужби захисту персональних даних. Вкрай нечітко і заплутано сформульований пункт, за яким та отримує можливість (і навіть обов'язок) забезпечувати фізичний доступ уповноважених громадян до місць зберігання та обробки інформації.
Не прописано відповідальність за порушення закону.
Віктор Трегубов
За матеріалами: Главред
Поділитися новиною
