Право на личную тайну и правовую защиту персональной информации

24 июня Президент Украины  подписал  Закон «О защите персональных данных» (далее Закон). Данный Закон регулирует отношения, связанные с защитой персональных данных при их обработке.  Появление Закона обусловлено евроинтеграционными процессами Украины, в частности, необходимостью выполнения требований Евросоюза, содержащихся в совместном Соглашении под названием «Матрица сотрудничества». Одним из условий данного документа является обязательство Украины ратифицировать и имплементировать конвенцию о защите персональных данных. 

Защита персональных данных давно стала насущной проблемой на  Украине. Случаи мошенничества с использованием чужих личных данных с целью незаконного получения кредитов, приобретения недвижимости, фальсификация результатов голосований и выборов - сегодняшним аферистам полное раздолье. В современном мире право физического лица на личную тайну закреплено конституциями всех развитых государств, в том числе и украинской.   Суть этого права заключается в следующем: только сам человек, владеющий некими сведениями о себе, вправе решать, подлежат они разглашению или нет. Законодательством большинства стран мира установлен также перечень субъектов, которые вправе требовать от лица разглашения персональных данных.

Исключения из Закона,  или на кого не распространяется его действие

Действие  Закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах:
-физическим лицом - исключительно для непрофессиональных личных или бытовых нужд; 

-журналистом - в связи с исполнением им служебных или профессиональных обязанностей;
-профессиональным творческим работником - для осуществления творческой деятельности.

Основные понятия, используемые в Законе

База персональных данных  -  это совокупности персональных данных в электронной форме или в виде картотеки. Обработку данных осуществляет владелец базы или специально уполномоченное им лицо — распорядитель базы.

Персональные  данные - сведения или часть сведений о физическом лице, которое идентифицировано или может быть идентифицировано. Соответственно, Закон защищает такие сведения при их обработке.

Государственный реестр баз персональных данных - единственная государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базы персональных данных; 

Согласие субъекта персональных данных - любое документированная, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки; 

Обезличивание персональных данных - изъятие сведений, позволяющих идентифицировать личность.

Заметим, что в Закон не включен перечень информации, относящейся к персональной. Очевидно, подразумевается, что такой перечень будет определен для каждой базы персональных данных отдельно. Но в то же время определен перечень информации, которая может обрабатываться при соблюдении определенных условий. Так, не допускается обработка персональных данных о расовом или этничес ком происхождении лица, политических взглядах, религиозных или философских убеждениях, членстве в политических партиях или профсоюзных объединениях, а также информации, касающейся здоровья или половой жизни. Такая информация может обрабатываться при однозначном согласии субъекта персональных данных, если она была им обнародована, а также, если ее предоставление преду смотрено законом. Кроме того, обрабатывать персональные данные о своих членах и лицах, поддерживающих с ними постоянные контакты, имеют право общественные организации религиозного и философского направления, политичес кие партии, профсоюзные организации при условии непередачи таких сведений третьим лицам.

Достаточно необычно определено понятие «обработка персональных данных». Таковая начинается при сборе указанных данных, включает несколько стадий — регистрация, накопление, хранение, адаптация, изменение, обновление, использование и распространение (распространение, реализация, передача) информации — и заканчивается уничтожением этих сведений.

Сфера действия Закона  

Под сферу действия Закона попадает только та информация, которая обрабатывается в базах персональных данных, созданных специально уполномоченными органами. Те же базы, которые создаются физическим лицом исключительно для непрофессионального личного или бытового использования (без последующего определения), не попадают под действие анализируемого Закона.

Для персональных данных устанавливается режим ограниченного доступа, кроме обезличенной информации, а также информации о лицах, занимающих выборные должности, и государственных служащих первой категории.

Права человека

В соответствии с Конституцией Украины и основными международными соглашениями, ратифицированными Украиной, Законом признается неотъемлемое и нерушимое личное нематериальное право на персональные данные. Субъект персональных данных (физическое лицо) имеет право на доступ к своим персональным данным, хранящимся в соответствующей базе. Он может истребовать информацию о том, хранятся ли его персональные данные в базе, а также,  какие именно, и в случае необходимости требовать их изменения или уничтожения при их недостоверности либо несанкционированном использовании. Одним из важнейших является право на защиту персональных данных от несанкционированной обработки, утери, искажения, а также от предоставления информации, порочащей честь, достоинство и деловую репутацию физического лица. В случае выявления таких нарушений физическое лицо имеет право обратиться за защитой в специально уполномоченный орган (который пока что не определен) или органы местного самоуправления.

Обработка персональных данных

Как уже отмечалось, под термином «обработка персональных данных» подразумевается вся совокупность действий с информацией, содержащей персональные сведения о лице. Первичным источником такой информации являются документы, выданные на имя физического лица, подписанные им документы, а также сведения, предоставленные лицом о себе. Причем физическое лицо должно быть проинформировано о том, что сведения о нем включены в базу персональной информации, за исключением создания такой базы из открытых источников информации, временного (до трех месяцев) использования, а также в интересах национальной безопасности, экономического благосостояния и прав человека. Дальнейшая обработка информации осуществляется путем объединения и систематизации сведений о лице или группе лиц, введении информации в соответствующие базы.

Использование персональных данных возможно только с согласия субъекта персональных данных, который может при заключении договора оговорить ограничения обработки его персональных данных. Использование баз персональных данных допускается только при создании условий защиты таких данных, в частности,  нераспространения персональных данных лицами, осуществляющими обслуживание баз персональных данных. Распространение информации из баз персональных данных возможно только с согласия субъекта персональных данных, причем соблюдение режима секретности должно обеспечиваться стороной, распространяющей такие данные. Доступ к базе не предоставляется, если субъект отношений, связанных с персональными данными, отказывается взять на себя обязательства по обеспечению соблюдения требований Закона.

Как можно будет получить информацию из базы данных

Для получения информации субъект правоотношений направляет владельцу или распорядителю базы запрос, в котором указывается информация о лице, подающем запрос, сведения, позволяющие идентифицировать лицо, информацию о котором необходимо предоставить, перечень необходимых данных и цель запроса (последний пункт не обязателен при получении информации о себе). Запрос должен быть рассмотрен в течение 10 дней, на протяжении которых принимается решение об удовлетворении или отказе в удовлетворении запроса, о чем информируется запрашивающее лицо. Сама информация предоставляется в месячный срок, который может быть продлен, если указанные сведения не могут быть предоставлены вовремя  о чем запрашивающее лицо также письменно информируется. Постановление об отказе предоставить сведения из базы персональных данных или об отсрочке может быть опротестовано в органах государственной власти или местного самоуправления, к полномочиям которых относится защита персональных данных, либо в судебном порядке.

Персональные данные: споры вокруг Закона

Закон вступает в действие с 1 января 2011 года. Однако данный факт вызывает сомнения. По мнению специалистов различных сфер бизнеса и общественности,  в  этом законе много противоречий и двусмысленных трактовок и, соответственно, пониманий закона. По их мнению,  Украина не готова к этому закону и в нем содержится много ограничений как прав общественности,  так и бизнеса.  Субъектам хозяйствования, осуществляющим обработку персональных данных, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырех с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года). Скорее всего, споры вокруг закона о персональных данных  будут продолжаться не один год.

Почему правозащитники  против

Украинский Хельсинский союз   по правам человека   убежден, что Закон не отвечает европейским стандартам и несет существенную угрозу свободе слова  на  Украине, а, следовательно, не может считаться выполнением Украиной своих международных обязательств. Так,  в своем открытом письме Президенту Украины они отмечают, что законопроект не содержит возможности распространения персональных данных, если эта информация является общественно важной, что является существенным ограничением свободы слова. Например, Закон не содержит понятия «публичного лица». А, как известно из практики Европейского суда по правам человека, о таких людях без их согласия можно собирать и распространять данные персонального характера, если они являются важными для общества. Зато из общего запрета относительно распространения персональных данных в Законе существует исключение только в отношении лиц, претендующих или занимающих выборные должности или должности государственного служащего первой категории. То есть, распространение персональных данных других лиц может считаться нарушением этого Закона и, как следствие, влечь за собой  гражданскую и уголовную ответственность. Например, согласно этому Закону,  без письменного согласия лица запрещается даже упоминание всех должностных лиц органов местного самоуправления, многих должностных лиц органов государственной власти, политиков, киноактеров, писателей, певцов и других публичных людей. Такие требования являются явно не пропорциональным ограничением свободы слова, повредят развитию издательского и рекламного бизнеса

Почему против бизнес
Юристы и  руководители крупных предприятий в своих комментариях к данному закону отмечают, что многие нормы закона для профильного бизнеса просто невыполнимы. Так,

Законом предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган. На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных. Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые  компании  получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая  практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников компаний.

Законом также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз персональных данных  по регистрации всех баз в данном реестре. Более того, владельцы баз персональных данных должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы персональных данных , целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр).

К тому же, исходя из приведённого в Законе определения понятия «персональные данные», можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз персональных данных  измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз персональных данных  и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты персональных данных будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными. То есть государство, вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр.

Как видно из описанного выше, Закон Украины «О защите персональных данных» содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще поставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится.