Проблему защиты персональных данных оголили недавний скандал с публикацией базы данных журналистов, аккредитованных в «ЛНР» и «ДНР», на сайте «Миротворец» (psb4ukr.org) и последующие требования ЕС, адресованные министру внутренних дел Украины Арсену Авакову, по принятию мер с целью прекращения свободного доступа к этим данным.
Событие вызвало волну бурных обсуждений среди волонтеров, журналистов и гражданского общества, защищающих важность функционирования такой базы данных, как «Миротворец», и раскрытия информации о лицах, которые сотрудничают с террористами, и правительства, неспособного внятно пояснить, почему нельзя разглашать персональные данные, кому они принадлежат и каким образом лица, занимающие высшие руководящие должности в правительстве Украины, связанны с действиями по сбору, распространению и разглашению такихданных.
В то же время в ЕС уже давно определились, что персональные данные являются собственностью человека, и в большинстве случаев не могут быть собраны, обработаны или разглашены без его согласия.
Украина тоже вроде бы как определилась с вопросами защиты персональных данных, подписав, кроме прочего, Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года № 108 (Конвенция № 108). Но это все формальности: как показывает практика, у нас нет адекватного понимания заимствованных концепций. Истоки данной проблемы найти сложно, возможно, причина их — исторически сложившийся низкий уровень защиты прав собственности и прав человека, но, может быть, причина кроется и в чем-то другом. Так, некоторые проблемы правоприменения прямо вызваны несовершенством профильного закона.
Сложности перевода
Начать стоит с того, что понять Закон Украины «О защите персональных данных» (Закон) достаточно трудно. Его терминология во многих случаях противоречит как подписанной Конвенции № 108 и Директиве Европейского парламента и Совета 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» от 24 октября 1995 года (Директива 95/46/ ЕС), так и простой логике.
Несмотря на явные тенденции копирования Директивы 95/46/ЕС, национальный законодатель кардинально изменил терминологию субъектного состава. Субъект, контролирующий цели и методы обработки информации, в Законе определен как «владелец персональных данных», Конвенция № 108 определяет данное лицо как «контролер файла», а Директива 95/46/
ЕС называет такое лицо просто — «контролер». В данном случае это достаточно серьезная терминологическая неточность, поскольку «владелец персональных данных» не является собственником персональных данных, а скорее — управляющим либо лицом, контролирующим и ответственным за их использование.
В свою очередь, субъект, обрабатывающий информацию, в Законе определяется как «распорядитель персональных данных», хотя по своей сути это лицо никакого распоряжения персональными данными не осуществляет и не имеет права осуществлять. Определение данного лица, содержащееся в Директиве 95/46/ЕС, — «оператор обработки данных» — больше соответствует действительности.
Кроме того, функции и обязанности «распорядителя персональных данных» и «владельца персональных данных» не выделены в отдельные статьи, а институт совместного владения — joint controllership— и вовсе не нашел отображения в Законе.
Но еще большую путаницу вносит определение третьей стороны и получателя персональных данных. Статья 2 Закона не дает определения, способного разграничить получателя персональных данных от третьей стороны. По аналогии с Директивой 95/46/ЕС получатель от третьей стороны отличается отношением к владельцу информации. Так, третья сторона — это обычно работники организации, которая не является владельцем информации (например, компании, принадлежащие к одной группе). В то же время филиалы банка, обрабатывающие персональные данные клиентов, не будут считаться третьей стороной. Различие между данными субъектами крайне важно, так как работнику персональные данные владельца информации или распорядителя могут быть раскрыты на основании того, что они вовлечены в процесс обработки информации. Что касается третьей стороны — нужно дополнительно правовое основание для раскрытия таких данных.
Трудности согласия
Закон хотя и содержит критерии надлежащего согласия, но не определяет их. Данный подход к законотворчеству вызывает путаницу в таких вопросах, как: какое именно согласие можно считать добровольным, как должно быть выражено согласие для передачи персональной информации, должно ли оно быть явным и данным в письменной форме, а также какой объем информации должен быть предоставлен субъекту персональных данных, чтобы его согласие соответствовало требованию информированности. Еще одним важным вопросом является отсутствие регулирования согласия на сбор и обработку данных несовершеннолетних. Рабочая группа 29-й статьи Директивы 95/46/ЕС в своем руководстве по защите персональных данных детей заключила: когда ребенок становится достаточно сознательным, чтобы принимать собственные решения относительно обработки его конфиденциальных данных, должно даваться согласие не только представителя ребенка, но и самого ребенка. В противном случае отсутствие механизма, позволяющего учесть интерес ребенка, приведет к нарушению его права на частную жизнь. К слову, Директива 95/46/ЕС тоже не регулирует процедуру выражения согласия людьми с ограниченной дееспособностью, но новое регулирование, вступающее в силу через два года, должно заполнить существующий пробел. Когда подобные положения будут приняты на Украине, остается только гадать.
Проблемы с трансфером
Если данные — это новое золото, то каналы их передачи — новый золотопровод! Часть 3 статьи 29 Закона предусматривает возможность трансграничной передачи персональныхданных при условии наличия надлежащего уровня защиты, который автоматически получают государства — участники Европейского экономического пространства и государства, которые подписали Конвенцию № 108, а также государства из перечня, утвержденного Кабинетом Министров Украины. Поскольку Кабинет Министров Украины такого перечня не утвердил, то, соответственно, в такие государства, как США, согласно данному положению Закона, персональные данные передаваться не могут.
Возможно, проблему с трансфером персональных данных в США можно решить с помощью согласия, предусмотренного в пункте 1 части 4 статьи 29 Закона, но данное положение противоречит Дополнительному протоколу к Конвенции № 108, которая не содержит подобного основания для передачи персональных данных в страны, не обеспечивающие надлежащий уровень защиты персональных данных, и мнению, высказанному работниками соответствующего департамента Уполномоченного Верховного Совета Украины по правам человека, правда, в телефонном разговоре.
Вишенкой на тортике в ситуации с Законом является практически полное отсутствие его эффективного применения и судебной практики, с помощью которых общество, да и мы, юристы, должны проникнуться более глубоким пониманием прав человека на информацию о самом себе.
СТОЛЯРЕНКО Алексей — старший юрист киевского офиса МЮФ Baker& McKenzie, г. Киев
Широкая трактовка
Дмитрий ПЕРНИКОЗА,
юрист ЮФ TrustedAdvisors
Несмотря на то, что Закон Украины «О защите персональных данных» был принят относительно недавно, законодатель смог прописать терминологию таким образом, чтобы максимально гармонизировать ее с аналогичными по своей правовой природе терминами, указанными в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и Директиве 95/46/ЕС о персональныхданных, которые были приняты значительно раньше.
Основная проблема может заключаться в том, что права, предоставленные Законом Украины «О защите персональных данных», могут трактоваться слишком широко, в том числе ограничивая права третьих лиц. Защита персональных данных, хоть и является важнейшим признаком развитого демократического гражданского общества, все же не может быть абсолютной. К примеру, когда речь идет о публичных, политических фигурах, их право на защиту частной жизни должно корреспондироваться с правами третьих лиц на получение объективной и открытой информации об их деятельности.
Устранить такие случаи злоупотребления могут законодатель и практика правоприменения, в том числе судами и государственными органами, которые должны не только буквально толковать те или иные нормы и термины, но и учитывать их суть, конкретные обстоятельства и цель использования в их системной взаимосвязи с соответствующим специальным законодательством в принципе.
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…