1 января 2011 года вступил в силу Закон «О защите персональных данных», главной задачей которого является создание правовой базы госрегулирования общественных отношений при условии действенной защиты гражданских прав в сфере персональных данных (в том числе конституционных прав и свобод); установление прав и гарантий, обязанностей и ответственности всех субъектов деятельности, связанной с защитой персональных данных.
С одной стороны, этот Закон служит последовательному внедрению в украинских реалиях европейских ценностей и опыта по скрупулезной защите «частного пространства» гражданина: информации, касающейся его непосредственно, его семьи, его здоровья etc. Персональные данные — личное дело каждого, и на решение об аккумуляции таких данных сторонней организацией или компанией теперь будет в большинстве случаев влиять человек, жизнь которого они непосредственно описывают.
Итак, Закон вступил в силу. Что изменилось? Ничего! Нет подзаконных нормативно-правовых актов, регламентирующих порядок выполнения Закона и разъясняющих его отдельные положения. Уполномоченный орган в сфере защиты персональных данных создан пока только «на бумаге» (на сегодняшний день лишь формируется его персональный состав), не установлено ответственности за нарушения (проект закона «Об ответственности» находится на рассмотрении в Верховной Раде Украины, и в ближайшее время, вероятнее всего, будет принят в первом чтении). И главный момент — ряд норм Закона являются невыполнимыми даже с учетом предполагаемых подзаконных актов. Ведь подзаконными актами можно лишь конкретизировать положения Закона, но не менять его смысл.
Есть основания полагать, что внедренная государством система по защите персональных данных полноценно заработает в Украине в лучшем случае к концу текущего года. К тому времени останется больше вопросов, чем ответов, как у предпринимателей, правозащитников, так и у самих граждан.
1. Все ли персональные данные подлежат регистрации?
Закон вводит толкование определения «персональные данные», в соответствии с которым под действие Закона подпадает любая общественная или коммерческая деятельность. «Базой персональных данных» признается любой массив информации, который содержит элементы персональных данных. В частности, базой персональных данных признается картотека в виде бумажных документов. Вместе с тем в Законе не содержится определения термина «картотека». Можно предположить, что под регулирование Закона подпадают даже такие повседневные операции, как заключение и выполнения любых гражданско-правовых договоров, которые в той или иной мере содержат персональные данные.
По Закону все владельцы базы персональных данных должны зарегистрировать все имеющиеся в них базы персональных данных в специальном государственном реестре. Сегодня база персональных данных есть у каждого предпринимателя Украины (а в некоторых организациях их количество будет измеряться сотнями единиц – почтовые службы, операторы телекоммуникаций, дата-центры, банки, страховые компании и тому подобное). Это значит, что должна быть создана очень разветвленная система с офисом в каждом городе. По расчетам специалистов, в этом реестре должно быть зарегистрировано больше 3 млн записей. По объему этот реестр быстро превысит объем ЕГРПОУ. Финансирование проведения работ, связанных с регистрацией и контролем, предусматривается в том числе за счет предпринимателей, при этом пользу от существования такого реестра не получит ни государство, ни его граждане.
2. Критерии персональных данных очень широки
Определенные трудности создает отсутствие разграничения персональных данных на «идентифицирующие» и «уязвимые». Так, согласно Закону к персональным данным может относиться любая информация о лице (см. определение «персональные данные» в Законе). Следовательно, не понятно, что должно являться предметом защиты. Считается ли персональными данными база мобильных номеров? Является ли персональными данными отдельно взятый идентификационный номер физического лица (без указания фамилии и имени его владельца)? Считаем, что ответы на эти вопросы можно получить путем установления в Законе минимальной совокупности сведений (либо несколько вариантов таких совокупностей сведений), которые могут считаться персональными данными.
Кроме того, в соответствии с европейскими стандартами персональные данные разделяются на данные общего характера (фамилия, имя, отчество, дата и место рождения, гражданство, местожительство) и уязвимые персональные данные (данные о состоянии здоровья – история болезни и диагнозы, этническая принадлежность, отношение к религии; кредитная история, идентификационные коды). В соответствии с европейскими стандартами именно к уязвимым данным относится запрет сбора, хранения, использования и распространения их без согласия субъекта данных. В Законе это относится ко всем без исключения персональным данным, что фактически парализует развитие бизнеса во многих направлениях. Считаем, что нужно установить упрощенный порядок использования идентифицирующих персональных данных человека (к примеру, в маркетинговых целях). Кроме того, из-под действия Закона должны быть выведены адресные данные лиц, которые относятся к их служебной деятельности (например, служебные номер телефона, почтовый и электронный адрес, местонахождение офиса и т. д.)
3. Полномочия контролирующего органа ничем не оправданы
По Закону представители Государственной службы по вопросам защиты персональных данных имеют право беспрепятственно входить в любое помещение, где обрабатываются персональные данные (в условиях современного распространения компьютеров базы персональных данных есть в каждом офисе), что является равнозначным праву на проведение обыска, которое до сих пор имели лишь правоохранительные органы.
Уполномоченному органу дано право проверять состояние защиты персональных данных и накладывать предписания и наказания на владельцев баз персональных данных. Также Указом Президента Украины от 09.12.2010 утверждена «Схема организации и взаимодействия центральных органов исполнительной власти». Согласно Схеме Государственная служба Украины по вопросам защиты персональных данных получила статус центрального органа исполнительной власти, деятельность которого направляется и координируется Камбином через соответствующих членов Кабмина, через министра юстиции Украины.
Стоит заметить, что такие положения Закона не соответствуют европейской законотворческой практике, которая настаивает на независимости органов, осуществляющих защиту персональных данных. Если говорить о ЗУ «О защите персональных данных», то о независимости уполномоченного государственного органа в нем не говорится вообще, ведь, исходя из текста Закона и Указа Президента, уполномоченный орган является составляющей частью исполнительной власти, что фактически лишает его независимости как таковой.
4. Проблемы привлечения к ответственности за нарушение Закона
Важно отметить, что в ВР уже зарегистрирован проект закона, которым предлагается внести изменения в УК Украины, КУоАП, УПК Украины и ЗУ «Об информации» с целью установления жестких санкций за нарушение законодательства в сфере защиты персональных данных (?7355 от 11.11.2010). Самым проблемным моментом законопроекта есть то, что возможность наказания в большинстве случаев не связывается с фактом нарушения прав конкретного гражданина – субъекта персональных данных. Это значит, что наказание может быть наложено при формальном поводе, например, невыполнение владельцем базы ПД любых технических или организационных требований, установленных уполномоченным органом. Во многих европейских странах соответствующий орган не имеет права беспрепятственного доступа к помещениям, где обрабатываются персональные данные. В украинских реалиях такие права контролирующего органа станут питательной средой для коррупции, но не приведут к защите прав граждан.
5. Двойное получение согласия от субъектов персональных данных
Забюрократизированным и чрезвычайно расходным для владельца базы персональных данных является требование сообщать гражданам субъектам персональных данных «исключительно в письменной форме» об их правах, целях сбора персональных данных, лицах, которым персональные данные будут передаваться. Сообщить нужно в течение десяти рабочих дней со дня включения персональных данных в базу. Такое требование является нелогичным, поскольку внесение в базу персональных данных и так становится возможным только по получении документируемого согласия субъектов персональных данных. Считаем, что требование об уведомлении лица о включении его данных в базу персональных данных должно осуществляться только в случае, если от такого лица не было получено согласие на использование персональных данных при их сборе, либо в случае, если база персональных данных будет использована с целью, которая отличается от ранее заявленной субъектом персональных данны.
Как видно из описанного выше, на данный момент Закон еще не адаптирован к реальным условиям и порождает много вопросов. По нашему мнению, разработке подзаконных нормативно-правовых актов должно предшествовать принятие изменений в сам Закон. Без этого Украине очень сложно будет создать реально функционирующий институт защиты персональных данных граждан.