Проблему защиты персональных дан­ных оголили недав­ний скандал с пуб­ликацией базы дан­ных журналистов, аккредитованных в «ЛНР» и «ДНР», на сайте «Миротво­рец» (psb4ukr.org) и последующие требования ЕС, адресован­ные министру внутренних дел Украины Арсену Авакову, по принятию мер с целью прекращения свободного доступа к этим данным.

Событие вызвало волну бурных обсуждений среди волонтеров, журналистов и гражданского общества, защищающих важность функ­ционирования такой базы данных, как «Миротворец», и раскрытия информации о лицах, которые сотрудничают с террористами, и правитель­ства, неспособного внятно пояснить, почему нельзя раз­глашать персональные данные, кому они принадлежат и каким образом лица, занимающие высшие руководящие должно­сти в правительстве Украины, связанны с действиями по сбору, распространению и раз­глашению такихданных.

В то же время в ЕС уже давно определились, что пер­сональные данные являются собственностью человека, и в большинстве случаев не могут быть собраны, обрабо­таны или разглашены без его согласия.

Украина тоже вроде бы как определилась с вопросами защиты персональных данных, подписав, кроме прочего, Конвенцию Совета Европы о защите физических лиц при автоматизи­рованной обработке персональных данных от 28 января 1981 года № 108 (Конвен­ция № 108). Но это все формальности: как показывает практика, у нас нет адекватного понимания заимствованных концепций. Истоки данной проблемы найти сложно, возможно, причина их — исторически сложившийся низкий уровень защиты прав собственности и прав человека, но, может быть, причина кроется и в чем-то другом. Так, некоторые проблемы правоприме­нения прямо вызваны несовершенством профильного закона.

 

Сложности перевода

Начать стоит с того, что понять Закон Украины «О защите персональных данных» (Закон) достаточно трудно. Его терми­нология во многих случаях противоречит как подписанной Конвенции № 108 и Директиве Европейского парламента и Совета 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» от 24 октября 1995 года (Директива 95/46/ ЕС), так и простой логике.

Несмотря на явные тенденции копи­рования Директивы 95/46/ЕС, нацио­нальный законодатель кардинально изме­нил терминологию субъектного состава. Субъект, контролирующий цели и методы обработки информации, в Законе опреде­лен как «владелец персональных данных», Конвенция № 108 определяет данное лицо как «контролер файла», а Директива 95/46/

ЕС называет такое лицо просто — «кон­тролер». В данном случае это достаточно серьезная терминологическая неточность, поскольку «владелец персональных дан­ных» не является собственником персо­нальных данных, а скорее — управляющим либо лицом, контролирующим и ответст­венным за их использование.

В свою очередь, субъект, обрабаты­вающий информацию, в Законе опреде­ляется как «распорядитель персональных данных», хотя по своей сути это лицо никакого распоряжения персональными данными не осуществляет и не имеет права осуществлять. Определение данного лица, содержащееся в Директиве 95/46/ЕС, — «оператор обработки данных» — больше соответствует действительности.

Кроме того, функции и обязанности «распорядителя персональных данных» и «владельца персональных данных» не выде­лены в отдельные статьи, а институт совме­стного владения — joint controllership— и вовсе не нашел отображения в Законе.

Но еще большую путаницу вносит определение третьей стороны и полу­чателя персональных данных. Статья 2 Закона не дает определения, способного разграничить получателя персональных данных от третьей стороны. По аналогии с Директивой 95/46/ЕС получатель от третьей стороны отличается отношением к владельцу информации. Так, третья сторона — это обычно работники орга­низации, которая не является владель­цем информации (например, компании, принадлежащие к одной группе). В то же время филиалы банка, обрабатываю­щие персональные данные клиентов, не будут считаться третьей стороной. Разли­чие между данными субъектами крайне важно, так как работнику персональные данные владельца информации или рас­порядителя могут быть раскрыты на осно­вании того, что они вовлечены в процесс обработки информации. Что касается третьей стороны — нужно дополнительно правовое основание для раскрытия таких данных.

 

Трудности согласия

Закон хотя и содержит критерии над­лежащего согласия, но не определяет их. Данный подход к законотворчеству вызывает путаницу в таких вопросах, как: какое именно согласие можно считать добровольным, как должно быть выра­жено согласие для передачи персональной информации, должно ли оно быть явным и данным в письменной форме, а также какой объем информации должен быть предоставлен субъекту персональных данных, чтобы его согласие соответство­вало требованию информированности. Еще одним важным вопросом является отсутствие регулирования согласия на сбор и обработку данных несовершен­нолетних. Рабочая группа 29-й статьи Директивы 95/46/ЕС в своем руководстве по защите персональных данных детей заключила: когда ребенок становится достаточно сознательным, чтобы прини­мать собственные решения относительно обработки его конфиденциальных дан­ных, должно даваться согласие не только представителя ребенка, но и самого ребенка. В противном случае отсутствие механизма, позволяющего учесть интерес ребенка, приведет к нарушению его права на частную жизнь.  К слову, Директива 95/46/ЕС тоже не регулирует процедуру выражения согласия людьми с ограниченной дееспособностью, но новое регулирование, вступающее в силу через два года, должно заполнить существующий пробел. Когда подобные положения будут приняты на Украине, остается только гадать.

 

Проблемы с трансфером

Если данные — это новое золото, то каналы их передачи — новый золото­провод! Часть 3 статьи 29 Закона преду­сматривает возможность трансгранич­ной передачи персональныхданных при условии наличия надлежащего уровня защиты, который автоматически полу­чают государства — участники Евро­пейского экономического простран­ства и государства, которые подписали Конвенцию № 108, а также государства из перечня, утвержденного Кабинетом Министров Украины. Поскольку Каби­нет Министров Украины такого перечня не утвердил, то, соответст­венно, в такие государства, как США, согласно данному положению Закона, пер­сональные данные переда­ваться не могут.

Возможно, проблему с трансфером персональ­ных данных в США можно решить с помощью согла­сия, предусмотренного в пункте 1 части 4 статьи 29 Закона, но данное положе­ние противоречит Дополни­тельному протоколу к Конвенции № 108, которая не содержит подобного осно­вания для передачи персо­нальных данных в страны, не обеспечивающие над­лежащий уровень защиты персональных данных, и мнению, высказанному работниками соответствую­щего департамента Упол­номоченного Верховного Совета Украины по правам человека, правда, в теле­фонном разговоре.

Вишенкой на тортике в ситуации с Законом является практиче­ски полное отсутствие его эффективного применения и судебной практики, с помо­щью которых общество, да и мы, юристы, должны проникнуться более глубоким пониманием прав человека на информа­цию о самом себе.

СТОЛЯРЕНКО Алексей — старший юрист киевского офиса МЮФ Baker& McKenzie, г. Киев

 

---

Мнение

Широкая трактовка

Дмитрий ПЕРНИКОЗА,

юрист ЮФ TrustedAdvisors

Несмотря на то, что Закон Украины «О защите персо­нальных данных» был принят отно­сительно недавно, законодатель смог прописать терминоло­гию таким образом, чтобы максимально гармонизировать ее с аналогичными по своей правовой природе терминами, указанными в Конвенции Совета Европы о защите физических лиц при автома­тизированной обработке персональных данных и Директиве 95/46/ЕС о персо­нальныхданных, которые были приняты значительно раньше.

Основная проблема может заклю­чаться в том, что права, предоставленные Законом Украины «О защите персональ­ных данных», могут трактоваться слиш­ком широко, в том числе ограничивая права третьих лиц. Защита персональных данных, хоть и является важнейшим признаком развитого демократического гражданского общества, все же не может быть абсолютной. К примеру, когда речь идет о публичных, политических фигу­рах, их право на защиту частной жизни должно корреспондироваться с правами третьих лиц на получение объективной и открытой информации об их деятель­ности.

Устранить такие случаи злоупотреб­ления могут законодатель и практика правоприменения, в том числе судами и государственными органами, которые должны не только буквально толковать те или иные нормы и термины, но и учиты­вать их суть, конкретные обстоятельства и цель использования в их системной взаимосвязи с соответствующим специ­альным законодательством в принципе.