Закон Украины «О защите персональных данных» (Закон) можно без сомнений назвать требованием времени, поскольку права граждан и интересы государства в связи с широким развитием компьютерных технологий и внедрением разнообразных баз данных в публичном секторе и в сфере потребления товаров и услуг требуют дополнительной защиты.

Вместе с тем не прекращаются разговоры о недостатках этого Закона. Одной из главных причин таких дискуссий является возможность довольно широкой интерпретации отдельных его положений, что способно оказать влияние, а возможно, и навредить другим лицам, в частности, тем, кто пытается защитить свои нарушенные права через суд. А орган, уполномоченный Законом осуществлять контроль за соблюдением требований законодательства о защите персональных данных, пока не приступил к исполнению своих непосредственных обязанностей.

Как понимаю, так и применяю, — приблизительно так вынуждены поступать юридические и физические лица — владельцы баз персональных данных, ознакомившись с положениями Закона и не имея ответов на возникающие вопросы. Одна из таких вариаций проявилась в виде запрета одним из владельцев баз персональных данных — техническим администратором домена. UA ООО «Хостмастер» — на публичный доступ к информации о физических лицах, зарегистрировавших доменное имя (так называемый сервис whois). Хотя в большинстве стран, отметим, такая информация является для общественности открытой. Решение было принято в связи со вступлением в силу вышеупомянутого Закона, запрещающего передавать третьим лицам персональные данные физических лиц без согласия последних. По информации «Хостмастера», в соответствии с требованиями Закона, форма ответа на запрос сервиса whois не будет содержать персональных данных физических лиц. И эта норма касается всех поступающих запросов, в том числе от судебных инстанций.

Чтобы получить информацию, к примеру, о том же регистраторе доменного имени, необходимую для установления всех обстоятельств дела и правильного разрешения спора, следует направить запрос в соответствии со статьей 16 Закона. В запросе, в частности, нужно указать ФИО и другие сведения, которые дают возможность идентифицировать физическое лицо, относительно которого делается запрос, сведения о базе персональных данных или о владельце (распорядителе) этой базы, перечень запрашиваемых персональных данных и цель запроса. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных сообщает, подлежит такой запрос удовлетворению или нет. Если да, то ответа нужно ждать до тридцати календарных дней со дня поступления запроса.

Однако в данном случае при распоряжении персональными данными лица важна не обработка, а распространение. С одной стороны, порядок доступа к персональным данным третьих лиц определяется согласием субъекта персональных данных на обработку этих данных (часть 1 статьи 16). С другой стороны, часть 2 статьи 14 Закона гласит, что распространение персональных данных предусматривает действия относительно передачи сведений о физлице из баз данных с согласия субъекта персональных данных. Без согласия распространение сведений позволяется в случаях, предусмотренных законом, и только в интересах национальной безопасности, экономического благополучия и прав человека.

Таким образом, Закон не дает четкого ответа, достаточно ли одного согласия физлица на обработку его персональных данных, чтобы передать запрашиваемые сведения о нем суду. Соответственно, такая коллизия создает почву для разного понимания и применения норм Закона. Вот и получается, что право одних лиц истребовать определенные сведения с помощью суда будет зависеть от разрешения других лиц. Тем более, что ситуация усложняется отсутствием каких-либо разъяснений со стороны уполномоченных органов. Кроме того, пока не будет налажена работа во всех электронных системах или картотеках персональных данных хотя бы в части получения согласия физического лица на обработку своих данных, можно поставить под сомнение легитимность работы любой базы персональных данных. А соответственно, и достоверность полученной от ее владельца информации. Следовательно, основания для обжалования принятого решения налицо. Возникает вопрос: а как суд может проверить наличие согласия на обработку или распространение персональных данных? И как быть, если само физическое лицо не желает предоставлять разрешение на обработку или распространение его персональных данных?

Есть еще один нюанс, принцип действия которого покажет только практика. Так, согласно Закону, физическое лицо предоставляет согласие на обработку своих персональных данных только в соответствии со сформулированной целью такой обработки. Цель обработки персональных данных должна быть сформулирована в законах, положениях, уставных и других документах, регулирующих деятельность владельца базы персональных данных. Так, «Хостмастер» должен вести базу с целью учета регистрантов доменных имен. В запросах третьи лица также должны указывать цель, к примеру, установление источника распространения определенной информации на веб-портале в споре о защите чести, достоинства и репутации. Цели, как видим, не совпадают. А смена установленной цели обработки персональных данных влечет необходимость получения согласия физлица на обработку его персональных данных в соответствии с новой целью. Поэтому в данном случае каждый владелец базы персональных данных может принять решение в меру своего понимания Закона.

Уполномоченный орган

Контролирующий информацию

Как известно, полномочия контролировать соблюдение требований законодательства о защите персональных данных и регистрировать базы персональных данных возложены на Государственную службу Украины по вопросам защиты персональных данных, созданную в рамках реформирования системы центральных органов исполнительной власти в соответствии с Указом Президента Украины «Об оптимизации системы центральных органов исполнительной власти» от 9 декабря 2010 года № 1085.

Указанному вновь созданному органу Кабинетом Министров Украины выделено помещение в здании по ул. Марины Расковой, 15 в г. Киеве, а также назначено руководство. Председателем Госслужбы по вопросам защиты персональных данных указом Президента назначен Алексей Мервинский. Ранее г-н Мервинский исполнял обязанности начальника департа­мента специальных телекоммуникационных систем и защиты информации Службы безопасности Украины и работал в ООО International Telecommunication Company (ТМ «CDMA Укра­ина»). Его первым заместителем стал Олег Фролов, ранее занимавший должность заместителя председателя Государственной службы специальной связи и защиты информации Украины, а должность заместителя занял Владимир Козак — ранее директор Государственного предприятия «Государственный центр испытаний средств технической защиты информации».

Вместе с тем на сегодня орган не работает. Его руководство занято разработкой основополагающих документов, преду­смотренных Законом, — Положения о Государственном реестре баз персональных данных и порядка его ведения, подлежащего утверждению Кабинетом Министров, и Типового порядка обработки персональных данных в базах персональных данных, который будет утверждаться самой Госслужбой. По словам заместителя председателя Владимира Козака, на разработку и утверждение этих документов отведено время до конца июня текущего года. Собственно, это и является причиной отсутствия органа как такового в здании по адресу Марины Расковой, 15.

На первых этапах существования органа предполагается урегулировать основные принципы его деятельности в сфере защиты персональных данных, а в дальнейшем он будет работать над дополнением и уточнением положений Закона. Кроме того, по словам г-на Козака, предполагается установить порядок обработки персональных данных в банковской, страховой, телекоммуникационной и других сферах. Согласно Закону, Государственная служба по вопросам защиты персональных данных обязана вести Государственный реестр баз персональных данных. В то же время создание отдельного реестра держателей таких баз не предполагается. Информация о них будет содержаться только в заявлениях о регистрации базы персональных данных.