Защита персональных данных и ЕС — PRAVO.UA
прапор_України
2024

Генеральний партнер 2024 року

Видавництво ЮРИДИЧНА ПРАКТИКА
Головна » Выпуск №49 (676) » Защита персональных данных и ЕС

Защита персональных данных и ЕС

Рубрика Тема номера

1 января 2011 года вступает в силу Закон Украины «О защите персональных данных». Целью принятия данного Закона, как указано в пояснительной записке к его проекту, является приведение нормативно-правового обеспечения защиты персональных данных на Украине в соответствие с международным правом и законодательством Европейского Союза. Согласно разделу 3 Общегосударственной программы адаптации законодательства Украины к законодательству Европейского Союза (ЕС), государственная политика Украины в сфере адаптации законодательства формируется как составляющая часть правовой реформы в государстве и направляется, в частности, на обеспечение единого подхода к нормопроектированию и обязательному соблюдению требований законодательства ЕС при этом. Соответственно, Закон Украины «О защите персональных данных» (Закон) должен учитывать нормы законодательства ЕС. В настоящей статье предпринята попытка проанализировать, достигнута ли законодателем поставленная цель.

Современные технологии автоматизированной обработки информации позволяют эффективно собирать, сохранять, структурировать и передавать информацию в недостижимых ранее объемах. Так, летом 2010 года количество пользователей социальной сети Facebook достигло 500 млн человек, vkontakte — 80 миллионов человек. При регистрации в сети человек сообщает не только имя, фамилию, дату рождения, но и информацию о политических предпочтениях и религиозных убеждениях, интересах и профессиональной деятельности. Естественно, возникает угроза утечки или несанкционированного использования персональных данных человека.

Многие европейские страны подписали Конвенцию о защите лиц при автоматизированной обработке персональных данных. Принципы, содержащиеся в Конвенции, уточняются и развиваются в Директиве 95/46/ЕС Европейского парламента и совета о защите лиц применительно к обработке персональных данных и о свободном перемещении таких данных от 24 октября 1995 года (Директива 95/46/EC) и в Директиве 97/66/ЕС Европейского парламента и совета относительно обработки персональных данных и защиты права на невмешательство в частную жизнь в телекоммуникационном секторе от 15 декабря 1997 года (Директива 95/46/ЕС). Согласно статье 7 Хартии основоположных прав Европейского Союза, каждый имеет право на уважение своей личной и семейной жизни, жилья и переговоров. Право человека на защиту персональных данных о нем закреплено в статье 8 Хартии. Такие данные должны обрабатываться исключительно с определенной целью на основании согласия лица — субъекта персональных данных или на другом правовом основании, предусмотренном законом. Каждый имеет право доступа к данным, собранным о нем, и право на их изменение. Контроль за соблюдением этих правил должен осуществляться независимым органом.

Директива 95/46/EC стала основой Закона Украины «О защите персональных данных». Однако между Директивой и Законом в некоторых аспектах правового регулирования имеются серьезные различия.

Во-первых, несоответствием Дирек­тивы и Закона является область применения. В Директиве речь идет о защите основоположных прав и свобод человека, в частности, права на частную жизнь, при полностью или частично автоматизированной обработке персональных данных, а также при обработке персональных данных другими способами, предусмат­ривающими создание картотек, структурированных по определенным критериям, что позволяет облегчить доступ к персональным данным физических лиц; но Директива не применяется к неструктурированным файлам (пункты 15, 27 преамбулы, статьи 1, 3 Директивы). В то же время Законом (статья 1) регулируются ­отношения, связанные с защитой персональных данных во время их обработки.

Таким образом, область применения Закона Украины значительно шире, чем Директивы, поскольку включает не только автоматизированную обработку и каталогизацию, но и все возможные случаи и способы обработки персональных данных. Следует заметить, что аналогичную позицию Украина заняла и при ратификации Конвенции о защите лиц при автоматизированной обработке персональных данных. Согласно заявлению к подпункту «c» пункта 2 статьи 3 Конвенции, Украина будет применять эту Конвенцию и к тем файлам персональных данных, которые не обрабатываются автоматизированно.

Во-вторых, определение основного объекта регулирования — ­персональных данных — в Законе дано очень широко, не указаны критерии, по которым данные могут быть отнесены к персональным. Это может привести к неоднозначному толкованию при практическом применении норм Закона государственными органами и субъектами частного права. В соответствии со статьей 2 Закона персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. Такое законодательное определение соответствует закрепленному в пункте »а» статьи 2 Директивы.

Однако в Директиве разъяснено, что лицо, которое может быть идентифицировано, является таковым, если идентификация, прямая или опосредованная, возможна, в частности, путем ссылки на идентификационный номер или один либо несколько факторов, касающихся его физической, психологической, умственной, экономической, культурной или социальной идентичности. Необходимо принимать во внимание все способы, которые разумно предпринять контроллеру или любому другому лицу для идентификации субъекта данных; принципы защиты данных не должны применяться к анонимным данным, не позволяющим идентифицировать субъекта данных (пункт 26 преамбулы Директивы).

Закон предполагает обязательную государственную регистрацию баз персональных данных (статья 9), получение согласия субъекта персональных данных на обработку его персональных данных (статья 11), письменное уведомление субъекта персональных данных о его правах и объеме собранной информации (статья 12), получение согласия на распространение персональных данных (статья 14), уведомление субъекта персональных данных о передаче персональных данных третьим лицам, их изменении или удалении (статья 21). Исходя из проанализированного выше, теоретически эти нормы Закона должны применяться и к таким базам персональных данных, как, например, стопка визиток, список контактов в почтовой программе Mozilla Thunderbird или Microsoft Outlook, телефонные и адресные книги мобильных устройств и др.

В-третьих, Директива выделяет определенные типы персональных данных в отдельную группу, называемую «чувствительными» данными (sensitive data). К таким персональным данным относятся сведения о расовом или этническом происхождении, религиозных или философских убеждениях, членстве в профессиональных союзах, а также данные о здоровье или сексуальной жизни. Обработка «чувствительных» персональных данных запрещена, кроме случаев, прямо преду­смотренных статьей 8 Директивы, в частности, когда субъект персональных данных дал однозначное согласие на их обработку. Аналогичное положение закреплено в статье 7 Закона. Однако, учитывая вышесказанное, такое разделение де-факто не имеет смысла, поскольку Законом Украины предусмотрены такие же высокие требования и к обработке персональной информации, не являющейся «чувствительной».

В-четвертых, часть 3 статьи 9 Закона предусматривает такой элемент заявления о регистрации базы персональных данных, как информация о наименовании и местонахождении базы персональных данных. Но это требование не выполнимо при автоматизированной обработке баз персональных данных, хостинг по которым предоставляется не на территории Украины. Например, даже в случае использования юридическим лицом Gmail почты для ­хранения контактов сотрудников или потребителей, пользователь не знает, где территориально находится сервер с данными.

В-пятых, Закон не содержит прямого запрета на объединение нескольких баз персональных данных, собранных для различных целей, в одну, что может привести к нарушению прав человека. Но при этом стоит принять во внимание и то, что при существующей редакции Закона объединением баз персональных данных будет считаться, например, синхронизация телефонной книги мобильного телефона компании с аккаунтом на Facebook.

В-шестых, в Законе Украины применяются термины и понятия, не соответствующие терминам, использованным в Директиве, а также в некоторых действующих актах законодательства Украины. В Директиве употребляются термины «контроллер» (controller — физическое или юридическое ­лицо, орган государственной власти, ­агентство или другой орган, самостоятельно или совместно с другими органами определяющий цели и способы обработки персональных данных), и «процессор» (processor — физическое или юридическое лицо, орган государственной власти, агентство или другой орган, обрабатывающий персональные данные от имени контроллера). В Законе таким определениям соответствуют термины «владелец базы персональных данных» и «распорядитель базы персональных данных». Кроме того, Законом не установлено, как соотносятся эти правовые категории с понятиями «администратор» и «держатель», применяемыми в действующем законодательстве Украины.

В-седьмых, важным вопросом является контроль за исполнением законодательства о персональных данных. Согласно статье 28 Директивы, каждое государство ЕС должно создать один или несколько органов, ответственных за применение норм национального законодательства, принятого во исполнение этой Директивы. Такие органы должны быть полностью независимыми при выполнении вверенных им функций. В соответствии со статьями 22, 23 Закона конт­роль за соблюдением законодательства о защите персональных данных в рамках установленных Законом полномочий осуществляют:

— уполномоченный государственный орган по вопросам защиты персональных данных (центральный орган исполнительной власти, к полномочиям которого относится защита персональных данных, созданный в соответствии с законодательством);

— другие органы государственной влас­ти и органы местного самоуправления;

— уполномоченный Верховного Со­вета по правам человека при осуществлении парламентского контроля за соблюдением прав человека.

Однако, исходя из норм статьи 6 Конституции Украины, государственная власть на Украине осуществляется на основе ее разделения на законодательную, исполнительную и судебную. Кабинет Министров Украины — высший орган в системе органов исполнительной власти (статья 113 Конституции Украины). Полагаю, что, исходя из приведенных конституционных норм, уполномоченный государственный орган по вопросам защиты персональных данных, созданный как центральный орган исполнительной власти, априори не может быть независимым по своей сути.

Кроме того, полномочия такого органа в части 2 статьи 23 Закона определены лишь в общих чертах, что не соответствует нормам статьи 19 Конституции Украины, согласно которым органы государственной власти обязаны действовать исключительно на основании, в пределах полномочий и в порядке, установленном законом.

Закон также не содержит такого важного механизма обеспечения прозрачности работы контролирующего органа, как обязанность регулярно публиковать для публичного ознакомления отчеты о проделанной работе (пункт 5 статьи 28 Директивы).

В-восьмых, в Законе не предусмотрены меры ответственности за нарушение его норм, а лишь содержится бланкетная норма: «нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом» (статья 28 Закона).

В то же время, поскольку Закон является рамочным нормативно-правовым актом в сфере защиты персональных данных, логично было бы во исполнение статьи 90 Регламента Верховного Совета Украины дополнить его Заключительные положения изменениями в Уголовный кодекс Украины и Кодекс Украины об административных правонарушения, которые предусматривали бы санкции за нарушение норм Закона.

Чтобы исправить это упущение, законодатель в статье 3 Закона Украины «О ратификации Конвенции о защите лиц в отношении автоматизированной обработки персональных данных и Дополнительного протокола к Конвенции о защите лиц в отношении автоматизированной обработки персональных данных, согласно органам надзора и трансграничным потокам данных», дал поручение Кабинету Министров Украины внести на рассмот­рение Верховного Совета Украины законопроект о внесении изменений в некоторые законодательные акты об ответственности за нарушение законодательства о персональных данных. 11 ноября этого года соответствующий законопроект № 7355 был внесен Кабинетом Министров Украины на рассмотрение парламента.

Таким образом, на основании проведенного исследования можно утверждать, что Закон Украины «О защите персональных данных» хотя и отражает основные положения Директивы 95/46/EC, но отдельные его нормы нуждаются в совершенствовании и доработке. Так, предмет правового регулирования и правовое определение понятия «персональные данные» в Законе гораздо шире, чем в Директиве, которая по своей природе является актом минимальной гармонизации законодательства ЕС. Также целесообразно было бы уточнить законодательные нормы о правовом статусе уполномоченного государственного органа, деятельность которого, исходя из рассмотренной редакции Закона, может быть неэффективной и непрозрачной из-за создания его в системе органов исполнительной власти и отсутствия необходимых требований относительно ведения публичной отчетности.

Кроме того, целесообразно было бы уточнить пункт 2 статьи 30 «Зак­лючительные положения» Закона и обязать Кабинет Министров Украины обеспечить принятие нормативно-правовых актов, предусмотренных Законом, до вступления его в законную силу, а не в шестимесячный срок со дня вступления Закона в силу, как определено в действующей редакции. Это обеспечило бы успешное применение законодательных норм о защите персональных данных в оптимальные сроки. Речь идет об утверждении Кабинетом Министров Украины положения о Государственном реестре баз персональных данных и порядке его ведения (часть 1 статьи 9 Закона), порядка регистрации уполномоченным государственным органом баз персональных данных (часть 4 статьи 9), определении размера платы за услуги по предоставлению доступа к персональным данным органами государственной власти (часть 3 статьи 19).

Будем надеяться, что изменения, устраняющие эти недостатки, будут внесены в Закон еще до даты его вступления в силу — до 1 января 2011 года.

ГАЛАГАН Дмитрий — младший юрист юридической фирмы «Довгань и Партнеры», г. Киев

Поділитися

Підписуйтесь на «Юридичну практику» в Facebook, Telegram, Linkedin та YouTube.

Баннер_на_сайт_тип_1
YPpicnic600x900
баннер_600_90px_2
2024
tg-10
Legal High School

Зміст

VOX POPULI

Юридический форум

Итоги трудового года

Актуальный документ

Документы и аналитика

Если приказ издан ошибочно

Акцент

Карты, деньги, два суда

Государство и юристы

Новости законотворчества

Следственные подразделения будут выведены из структуры подразделений по борьбе с оргпреступностью

Государство и юристы

Отношения на бумаге

Трудности обжалования

Судьи уходят в отставку

Государство и юристы

Новости законотворчества

КСУ признал неконституционным ряд положений Госбюджета-2010

Авиаперевозчики будут проверять наличие визы

Налоговый кодекс принят и подписан Президентом

Документы и аналитика

Обобщение ВСУ в пользу кредиторов

Обучение в декрете оплатит работа

Увольнение нерадивого работника

Историческая практика

Судебный процесс XIX столетия

Книжная полка

С точки зрения налоговой

Неделя права

Новости из-за рубежа

Суд США вынес приговор сомалийскому пирату

Еврокомиссия начала расследование против Google

В РФ названы лауреаты премии «Юрист года»

Неделя права

Проблемы современной семьи обсуждали в Анталии

Национальный метод

Социальная подведомственность

Украину защитит Минюст

Выбор меры пресечения

Новости из зала суда

Судебная практика

«ОЛ & PУСТ» защитила интересы компании «Алкопак»

«Павленко и Побережнюк» отстояла интересы импортеров

Ипотечный договор «Пузатой хаты» и «Укрсоцбанка» признан недействительным

МЮФ Integrites представила интересы немецкой компании

Новости юридических фирм

Частная практика

DLA Piper консультировала Leroy Merlin

АФ «Династия» представила интересы клиента в споре на 38 млн грн

Новая система партнерства в ЮК Arzinger

Рабочий график

Скажи дискриминации — нет!

СТРАНИЦА ИЗ ЕЖЕНЕДЕЛЬНИКА ЮРИСТА

КАЛЕНДАРЬ на неделю

Решения недели

Судебная практика

О налоговых поступлениях в бюджет

Совершение расчетных операций

Об обжаловании действий органов исполнительной службы

Самое важное

Остановились на кадрах

Судебная практика

Где взять разрешение?

Искусство боевого веера

Всесторонне и оперативно

Судебная практика

Судебные решения

Об ответственности оператора телекоммуникационных услуг за убытки, причиненные потребителю вследствие неисполнения своих обязанностей

О недопустимости доказывания вины лица его же показаниями в качестве свидетеля

Тема номера

Защита персональных данных и ЕС

Частная практика

Реформе — концепция

Юрфирма: тенденции и перспективы

Юридический форум

Ударим «ухвалой» по бюрократизму

Голос Ассоциации юристов

Інші новини

PRAVO.UA