"Экономические известия" by Dan Petrov

Право:

Экономические известия Четверг 28 октября 2010 года

ЗАЩИТА ДАННЫХ

Продажам досье объявлена война Рисунок Евгения Мусиенко

Украина решилась на законодательную защиту персональных данных С 1 января следующего года вступает в силу закон «О защите персональных данных», принятый 1 июня этого года. Украина наконец-то приобщается к цивилизованной практике обращения с персональными данными, хотя до сих пор являлась островом относительной неопределенности в этой сфере в Европе Юрий Гудзь специально для «i»

акон предназначен для защиты персональных данных в базах данных. Соответственно, простое упоминание имени и фамилии человека не подпадает под действие данного закона. Обсуждение человека, упоминание его в письмах, статьях, например, не ограничивается. Закон, в первую очередь, предназначен для упорядочивания движения информации больших объемов и защиты их от несанкционированного использования. Не секрет, что коммерческие организации обеспокоены защитой данных, которые у них обрабатываются в силу прямого коммерческого ущерба, который может понести компания, если произойдет утечка или кража информации. Сотрудники же государственных органов слабо мотивированы для охраны и защиты данных, которые обрабатываются в информационных системах госорганов. Данный закон должен способствовать наведению порядка, в том числе, и в государственных учреждениях — ГАИ, милиции, Налоговой администрации, судах и т. п. В законе прямо сказано, что не ограничивается деятельность журналистов. Они могут создавать и обрабатывать базы персональных данных в рамках своей профессиональной деятельности. Также четко отмечено, что персональные данные человека, который претендует занять или занимает выборную должность или должность государственного чиновника 1-й категории, не являются информацией с ограниченным доступом. Соответственно, персональные данные кандидатов в депутаты и госчиновников могут собираться и обрабатываться в базах данных без их персонального уведомления. В законе отдельно отмечено, что запрещается обработка персональных данных о расовом или этническом происхождении, о политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах; а также запрещается обработка данных, которые касаются здоровья и половой жизни человека. Эти данные могут собираться и обрабатываться в базах данных, если они были обнародованы человеком самостоятельно. Принятие данного закона в Украине уже вызвало ряд замечаний от различных общественных организаций, но следует отметить, что принятым законом предполагается разработка ряда регулирующих документов Кабинетом министров и создание отдельного уполномоченного органа, который будет выполнять функции надзора в области персональных данных. Без принятия данных нормативно-правовых актов и начала работы уполномоченного органа говорить о полноценной работоспособности закона еще рано, но проанализировать его соответствие аналогичным законам, принятым в Европе и прилегающих государствах, уже возможно.

Основные положения Директивы Европейского союза Согласно Директиве ЕС 95/46/ EC, к персональным данным относится любая информация, по которой можно идентифицировать человека, в том числе — и идентификационный код гражданина. Директивой явно запрещается обработка данных относительно расового или этнического происхождения, политических взглядов, религиозных и философских убеждений, участия в профсоюзах, данных относительно здоровья человека и его личной жизни. Обработка и использование персональных данных в общих случаях возможна с разрешения владельца персональных данных или если персональные данные явно обнародованы. Накладываются ограничения на применение Директивы при исполнении служебных обязанностей государственными учреждениями, силовыми службами, судами, медицинскими работниками, при воз-

никновении угрозы человеческой жизни. Разрешается обработка персональной информации физическим лицом в личных целях. Положения Директивы распространяются как на действия с персональными данными при автоматической обработке, так и при ручной обработке таких данных. В Директиве четко отмечено, что ее положения распространяются только на картотеки данных. На неструктурированные массивы данных положения Директивы не распространяются. Примером неструктурированного массива данных, в которых также могут находиться персональные данные, может быть обычная книга. Положения Директивы не распространяются на творческую, научную и журналистскую деятельность. Прямо запрещается передача персональных данных третьим странам, в которых не обеспечивается адекватный уровень защиты персональных данных. Допускается обработка персональных данных, если это необходимо для исполнения контрактных обязательств. Директивой ЕС предполагается создание независимого органа для надзора за соблюдением требований в области защиты персональных данных. Неотъемлемым правом такого органа должна быть возможность проведения расследований и вмешательства в деятельность государственных и частных организаций. Кроме того, на данный орган возлагается функция учета существующих

твует трактовке Директивы ЕС, основные правила использования и обработки персональных данных также соответствуют европейской практике. Как и рекомендовано европейской Директивой, в России явно запрещается обработка данных расового, этнического происхождения, политических, религиозных убеждений, данных относительно здоровья человека и его личной жизни. Не подпадает под действие закона информация, обнародованная всенародно. Накладываются ограничения на защиту персональной информации для государственных учреждений, силовых структур, судов, медицинских учреждений. Разрешается обработка персональной информации в личных, бытовых целях. Не подпадают под действие закона персональные данные, обрабатываемые в целях творческой, научной и журналисткой деятельности. Обработка персональных данных разрешается в рамках договорных отношений. Но есть в российском законе и отличия от положений Директивы Европы. Например, вводится отдельное понятие биометрических персональных данных. Прямо запрещено использовать персональные данные в целях продвижения товаров и услуг. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контро-

Украинские законодатели не решились на создание независимого уполномоченного органа в области защиты персональных данных от исполнительной власти баз персональных данных в стране. Особенно стоит отметить, что регистрация баз персональных данных производится путем уведомления. То есть достаточно просто официально уведомить уполномоченный орган о существовании базы персональных данных. Нет необходимости получать предварительное разрешение на создание такой базы данных, ходить по кабинетам, как это часто практикуется в наших реалиях.

Опыт Польши В Польше Директива ЕС реализована в полном объеме. Закон, регламентирующий обработку персональных данных, был принят еще в 1997 г. По тексту он повторяет большинство положений Директивы ЕС. Уполномоченный орган в Польше называется Генеральной инспекцией защиты персональных данных (Generalny Inspektor Ochrony Danych Osobowych). Генеральный инспектор назначается на должность Парламентом и является ему подотчетным. Но имеется также ряд отличий польского закона от положений Директивы ЕС. Закон Польши распространяется не только на картотеки данных, но и на индексы, книги, списки и другие реестры данных. У Инспекции нет функций расследований, которые предполагаются Директивой ЕС. Кроме прочего, в законе прямо прописана административная и уголовная ответственность за нарушение порядка обработки и использования персональных данных. Наказания предусмотрены не только в виде материальной ответственности, но также и лишения свободы на срок до трех лет.

Опыт России В российском законе понятие персональных данных соответс-

лю и надзору в сфере информационных технологий. На данный момент таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Согласно российскому закону, уведомление уполномоченного органа должно производиться до начала обработки персональных данных, что идет вразрез с европейской практикой. Директивой ЕС регистрация баз персональных данных предполагается путем уведомления, уже по факту работы с персональными данными. В мае этого года Государственная дума России приняла в первом чтении поправки к федеральному закону «О персональных данных». Планируется урегулировать обработку персональных данных при договорных отношениях, при удовлетворении компаниями собственных потребностей без нарушения прав субъектов персональных данных; а также ограничить возможность установления требований к обеспечению безопасности персональных данных правительством.

Планы Украины Анализируя украинский закон «О защите персональных данных», можно отметить, что он в целом повторяет положения европейской Директивы. Определение персональных данных, порядок их использования, ограничения на использование персональных данных аналогичны европейским. Так, согласно закону, ограничения в обработке персональных данных не распространяются на работу государственных и силовых структур, медицинских работников, на работу творческих, научных деятелей, на работу журналистов. Прямо запрещается обработка любой информации об эт-

нической и расовой принадлежности; о религиозных, философских и политических взглядах отдельных людей. Так же, как и в Директиве ЕС, оговорено, что допускается обработка персональной информации в личных целях. Но при всем этом имеются также существенные отличия от положений Директивы ЕС. Например, отсутствует положение о контрактных обязательствах. Согласно положениям Директивы ЕС, обработка и использование персональных данных разрешаются в рамках договорных отношений. В украинском законе такая норма отсутствует. Ряд общественных организаций Украины уже высказали опасения в том, что из-за отсутствия подобной нормы возможно возникновение различных проблем, например,

в отношениях банков и заемщиков. Недобросовестные заемщики, прикрываясь положениями закона «О защите персональных данных», теоретически могут попробовать препятствовать возвращению кредитов в банковские учреждения. Кроме того, в украинском законе уполномоченный орган декларирован как «центральный орган исполнительной власти», аналогично СБУ, ГНАУ и т. п. Как уже упоминалось, Директивой ЕС отмечается, что создание независимого уполномоченного органа является ключевым фактором успеха в обеспечении функционирования системы безопасности в области персональных данных. Кроме этого, положениями Директивы предусматривается, что у такого органа будут иметься возможности проведения

следственных действий и возможность вмешательства в деятельность государственных и частных организаций. Украинский закон не предоставляет уполномоченному органу возможности проведения следственных действий, но его предписания будут обязательны к исполнению.

Шаг на пути к цивилизованному обществу Как видно из анализа, украинские законодатели относительно свободы ведения бизнеса приняли практику российских коллег, не решившись на создание независимого уполномоченного органа в области защиты персональных данных от исполнительной власти, по аналогии, например, с коллегами из Польши, и не прописали условия обработки персональных данных при договорных отношениях. Также прямо не оговорено использование персональных данных при продвижении товаров и услуг. Хотя, опираясь на тот же опыт Российской Федерации, возможно, есть смысл учесть необходимость урегулирования обработки персональной информации в рамках договорных отношений. Ведь пришли же наши соседи к необходимости урегулирования данного вопроса после трех лет действия закона о персональных данных в России. До вступления в силу закона еще есть время. Кабинет министров еще имеет возможность разработать и утвердить необходимые нормативно-правовые акты для урегулирования возникающих опасений в данной сфере. Правительству еще необходимо создать уполномоченный орган в области защиты информации. Таким образом, еще имеется возможность доработать законодательную базу в данной области для создания благотворной среды для ведения бизнеса в Украине и защиты персональных данных граждан наиболее эффективными методами и средствами.