1 января 2011 года вступает в силу Закон Украины «О защите персональных данных». Целью принятия данного Закона, как указано в пояснительной записке к его проекту, является приведение нормативно-правового обеспечения защиты персональных данных на Украине в соответствие с международным правом и законодательством Европейского Союза. Согласно разделу 3 Общегосударственной программы адаптации законодательства Украины к законодательству Европейского Союза (ЕС), государственная политика Украины в сфере адаптации законодательства формируется как составляющая часть правовой реформы в государстве и направляется, в частности, на обеспечение единого подхода к нормопроектированию и обязательному соблюдению требований законодательства ЕС при этом. Соответственно, Закон Украины «О защите персональных данных» (Закон) должен учитывать нормы законодательства ЕС. В настоящей статье предпринята попытка проанализировать, достигнута ли законодателем поставленная цель.
Современные технологии автоматизированной обработки информации позволяют эффективно собирать, сохранять, структурировать и передавать информацию в недостижимых ранее объемах. Так, летом 2010 года количество пользователей социальной сети Facebook достигло 500 млн человек, vkontakte — 80 миллионов человек. При регистрации в сети человек сообщает не только имя, фамилию, дату рождения, но и информацию о политических предпочтениях и религиозных убеждениях, интересах и профессиональной деятельности. Естественно, возникает угроза утечки или несанкционированного использования персональных данных человека.
Многие европейские страны подписали Конвенцию о защите лиц при автоматизированной обработке персональных данных. Принципы, содержащиеся в Конвенции, уточняются и развиваются в Директиве 95/46/ЕС Европейского парламента и совета о защите лиц применительно к обработке персональных данных и о свободном перемещении таких данных от 24 октября 1995 года (Директива 95/46/EC) и в Директиве 97/66/ЕС Европейского парламента и совета относительно обработки персональных данных и защиты права на невмешательство в частную жизнь в телекоммуникационном секторе от 15 декабря 1997 года (Директива 95/46/ЕС). Согласно статье 7 Хартии основоположных прав Европейского Союза, каждый имеет право на уважение своей личной и семейной жизни, жилья и переговоров. Право человека на защиту персональных данных о нем закреплено в статье 8 Хартии. Такие данные должны обрабатываться исключительно с определенной целью на основании согласия лица — субъекта персональных данных или на другом правовом основании, предусмотренном законом. Каждый имеет право доступа к данным, собранным о нем, и право на их изменение. Контроль за соблюдением этих правил должен осуществляться независимым органом.
Директива 95/46/EC стала основой Закона Украины «О защите персональных данных». Однако между Директивой и Законом в некоторых аспектах правового регулирования имеются серьезные различия.
Во-первых, несоответствием Директивы и Закона является область применения. В Директиве речь идет о защите основоположных прав и свобод человека, в частности, права на частную жизнь, при полностью или частично автоматизированной обработке персональных данных, а также при обработке персональных данных другими способами, предусматривающими создание картотек, структурированных по определенным критериям, что позволяет облегчить доступ к персональным данным физических лиц; но Директива не применяется к неструктурированным файлам (пункты 15, 27 преамбулы, статьи 1, 3 Директивы). В то же время Законом (статья 1) регулируются отношения, связанные с защитой персональных данных во время их обработки.
Таким образом, область применения Закона Украины значительно шире, чем Директивы, поскольку включает не только автоматизированную обработку и каталогизацию, но и все возможные случаи и способы обработки персональных данных. Следует заметить, что аналогичную позицию Украина заняла и при ратификации Конвенции о защите лиц при автоматизированной обработке персональных данных. Согласно заявлению к подпункту «c» пункта 2 статьи 3 Конвенции, Украина будет применять эту Конвенцию и к тем файлам персональных данных, которые не обрабатываются автоматизированно.
Во-вторых, определение основного объекта регулирования — персональных данных — в Законе дано очень широко, не указаны критерии, по которым данные могут быть отнесены к персональным. Это может привести к неоднозначному толкованию при практическом применении норм Закона государственными органами и субъектами частного права. В соответствии со статьей 2 Закона персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. Такое законодательное определение соответствует закрепленному в пункте »а» статьи 2 Директивы.
Однако в Директиве разъяснено, что лицо, которое может быть идентифицировано, является таковым, если идентификация, прямая или опосредованная, возможна, в частности, путем ссылки на идентификационный номер или один либо несколько факторов, касающихся его физической, психологической, умственной, экономической, культурной или социальной идентичности. Необходимо принимать во внимание все способы, которые разумно предпринять контроллеру или любому другому лицу для идентификации субъекта данных; принципы защиты данных не должны применяться к анонимным данным, не позволяющим идентифицировать субъекта данных (пункт 26 преамбулы Директивы).
Закон предполагает обязательную государственную регистрацию баз персональных данных (статья 9), получение согласия субъекта персональных данных на обработку его персональных данных (статья 11), письменное уведомление субъекта персональных данных о его правах и объеме собранной информации (статья 12), получение согласия на распространение персональных данных (статья 14), уведомление субъекта персональных данных о передаче персональных данных третьим лицам, их изменении или удалении (статья 21). Исходя из проанализированного выше, теоретически эти нормы Закона должны применяться и к таким базам персональных данных, как, например, стопка визиток, список контактов в почтовой программе Mozilla Thunderbird или Microsoft Outlook, телефонные и адресные книги мобильных устройств и др.
В-третьих, Директива выделяет определенные типы персональных данных в отдельную группу, называемую «чувствительными» данными (sensitive data). К таким персональным данным относятся сведения о расовом или этническом происхождении, религиозных или философских убеждениях, членстве в профессиональных союзах, а также данные о здоровье или сексуальной жизни. Обработка «чувствительных» персональных данных запрещена, кроме случаев, прямо предусмотренных статьей 8 Директивы, в частности, когда субъект персональных данных дал однозначное согласие на их обработку. Аналогичное положение закреплено в статье 7 Закона. Однако, учитывая вышесказанное, такое разделение де-факто не имеет смысла, поскольку Законом Украины предусмотрены такие же высокие требования и к обработке персональной информации, не являющейся «чувствительной».
В-четвертых, часть 3 статьи 9 Закона предусматривает такой элемент заявления о регистрации базы персональных данных, как информация о наименовании и местонахождении базы персональных данных. Но это требование не выполнимо при автоматизированной обработке баз персональных данных, хостинг по которым предоставляется не на территории Украины. Например, даже в случае использования юридическим лицом Gmail почты для хранения контактов сотрудников или потребителей, пользователь не знает, где территориально находится сервер с данными.
В-пятых, Закон не содержит прямого запрета на объединение нескольких баз персональных данных, собранных для различных целей, в одну, что может привести к нарушению прав человека. Но при этом стоит принять во внимание и то, что при существующей редакции Закона объединением баз персональных данных будет считаться, например, синхронизация телефонной книги мобильного телефона компании с аккаунтом на Facebook.
В-шестых, в Законе Украины применяются термины и понятия, не соответствующие терминам, использованным в Директиве, а также в некоторых действующих актах законодательства Украины. В Директиве употребляются термины «контроллер» (controller — физическое или юридическое лицо, орган государственной власти, агентство или другой орган, самостоятельно или совместно с другими органами определяющий цели и способы обработки персональных данных), и «процессор» (processor — физическое или юридическое лицо, орган государственной власти, агентство или другой орган, обрабатывающий персональные данные от имени контроллера). В Законе таким определениям соответствуют термины «владелец базы персональных данных» и «распорядитель базы персональных данных». Кроме того, Законом не установлено, как соотносятся эти правовые категории с понятиями «администратор» и «держатель», применяемыми в действующем законодательстве Украины.
В-седьмых, важным вопросом является контроль за исполнением законодательства о персональных данных. Согласно статье 28 Директивы, каждое государство ЕС должно создать один или несколько органов, ответственных за применение норм национального законодательства, принятого во исполнение этой Директивы. Такие органы должны быть полностью независимыми при выполнении вверенных им функций. В соответствии со статьями 22, 23 Закона контроль за соблюдением законодательства о защите персональных данных в рамках установленных Законом полномочий осуществляют:
— уполномоченный государственный орган по вопросам защиты персональных данных (центральный орган исполнительной власти, к полномочиям которого относится защита персональных данных, созданный в соответствии с законодательством);
— другие органы государственной власти и органы местного самоуправления;
— уполномоченный Верховного Совета по правам человека при осуществлении парламентского контроля за соблюдением прав человека.
Однако, исходя из норм статьи 6 Конституции Украины, государственная власть на Украине осуществляется на основе ее разделения на законодательную, исполнительную и судебную. Кабинет Министров Украины — высший орган в системе органов исполнительной власти (статья 113 Конституции Украины). Полагаю, что, исходя из приведенных конституционных норм, уполномоченный государственный орган по вопросам защиты персональных данных, созданный как центральный орган исполнительной власти, априори не может быть независимым по своей сути.
Кроме того, полномочия такого органа в части 2 статьи 23 Закона определены лишь в общих чертах, что не соответствует нормам статьи 19 Конституции Украины, согласно которым органы государственной власти обязаны действовать исключительно на основании, в пределах полномочий и в порядке, установленном законом.
Закон также не содержит такого важного механизма обеспечения прозрачности работы контролирующего органа, как обязанность регулярно публиковать для публичного ознакомления отчеты о проделанной работе (пункт 5 статьи 28 Директивы).
В-восьмых, в Законе не предусмотрены меры ответственности за нарушение его норм, а лишь содержится бланкетная норма: «нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом» (статья 28 Закона).
В то же время, поскольку Закон является рамочным нормативно-правовым актом в сфере защиты персональных данных, логично было бы во исполнение статьи 90 Регламента Верховного Совета Украины дополнить его Заключительные положения изменениями в Уголовный кодекс Украины и Кодекс Украины об административных правонарушения, которые предусматривали бы санкции за нарушение норм Закона.
Чтобы исправить это упущение, законодатель в статье 3 Закона Украины «О ратификации Конвенции о защите лиц в отношении автоматизированной обработки персональных данных и Дополнительного протокола к Конвенции о защите лиц в отношении автоматизированной обработки персональных данных, согласно органам надзора и трансграничным потокам данных», дал поручение Кабинету Министров Украины внести на рассмотрение Верховного Совета Украины законопроект о внесении изменений в некоторые законодательные акты об ответственности за нарушение законодательства о персональных данных. 11 ноября этого года соответствующий законопроект № 7355 был внесен Кабинетом Министров Украины на рассмотрение парламента.
Таким образом, на основании проведенного исследования можно утверждать, что Закон Украины «О защите персональных данных» хотя и отражает основные положения Директивы 95/46/EC, но отдельные его нормы нуждаются в совершенствовании и доработке. Так, предмет правового регулирования и правовое определение понятия «персональные данные» в Законе гораздо шире, чем в Директиве, которая по своей природе является актом минимальной гармонизации законодательства ЕС. Также целесообразно было бы уточнить законодательные нормы о правовом статусе уполномоченного государственного органа, деятельность которого, исходя из рассмотренной редакции Закона, может быть неэффективной и непрозрачной из-за создания его в системе органов исполнительной власти и отсутствия необходимых требований относительно ведения публичной отчетности.
Кроме того, целесообразно было бы уточнить пункт 2 статьи 30 «Заключительные положения» Закона и обязать Кабинет Министров Украины обеспечить принятие нормативно-правовых актов, предусмотренных Законом, до вступления его в законную силу, а не в шестимесячный срок со дня вступления Закона в силу, как определено в действующей редакции. Это обеспечило бы успешное применение законодательных норм о защите персональных данных в оптимальные сроки. Речь идет об утверждении Кабинетом Министров Украины положения о Государственном реестре баз персональных данных и порядке его ведения (часть 1 статьи 9 Закона), порядка регистрации уполномоченным государственным органом баз персональных данных (часть 4 статьи 9), определении размера платы за услуги по предоставлению доступа к персональным данным органами государственной власти (часть 3 статьи 19).
Будем надеяться, что изменения, устраняющие эти недостатки, будут внесены в Закон еще до даты его вступления в силу — до 1 января 2011 года.
ГАЛАГАН Дмитрий — младший юрист юридической фирмы «Довгань и Партнеры», г. Киев
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…