ИМП поддержал обращение общественности относительно закона о персональных данных

В заявлении,обнародованном партнерством «Новый Гражданин», эксперты выделили такиесложности: на практике доступ граждан к публичной информации ограничивается соссылкой на конфиденциальность персональных данных; действуют чрезмерныеадминистративные требования к обработке персональных данных, а переченьоснований для их правомерной обработки ограничен. Эксперты Совета Европы иМеждународной организации «Артикль 19» также отметили проблемность отдельныхположений Закона и их несоответствие европейским стандартам, в своих выводах от19 января 2012 г. и от 26 июля 2012 г. соответственно.

Эти проблемыобусловливают необходимость внесения комплексных изменений в Закон «О защитеперсональных данных» и согласование его с законодательными актами о доступе кпубличной информации. Соответственно, 28 августа представители Партнерства«Новый гражданин» и общественные эксперты обратились к Верховной Раде Украины,в частности в профильный Комитет по вопросам науки и образования, а также вОфис Совета Европы в Украине с предложениями по доработке правительственногопроекта Закона Украины «О внесении изменений в Закона Украины «О защитеперсональных данных» «(№ 10472-1).

В частности, экспертыпредлагают:

1) лишить действияЗакон «О защите персональных данных», обработку персональных данныхне только журналистами, но и другими лицами, если это осуществляется вжурналистских целях;

2) согласовать Закон»О защите персональных данных» с Законом  «О доступе к публичной информации» в частидоступа третьих лиц к конфиденциальной информации о лице, а также уточнитьопределение конфиденциальной информации в Законе об информации;

3) отменитьобязательную регистрацию баз персональных данных и исключить соответствующиеположения из Закона Украины о «О защите персональных данных», из-занеготовности уполномоченного государственного органа по вопросам защитыперсональных данных к осуществлению соответствующей регистрации и отсутствиекакой-либо реальной пользы от нее для защиты персональных данных;

4) расширитьоснования для правомерной обработки персональных данных, в том числе, когда этонеобходимо для защиты законного интереса их владельца  или третьего лица, в частности относительнодоступа к публичной информации, кроме случая, когда потребность защитыперсональных данных преобладают над таким интересом;

5) обеспечитьинституциональную независимость государственного органа по контролю за защитойперсональных данных, путем создания государственного коллегиального органа соспециальным статусом и порядком формирования, подобным национальных комиссий,осуществляющих государственное регулирование в отдельных сферах; путемвозложения соответствующих функций на Уполномоченного Верховной Рады по правамчеловека .

Ниже приведен полныйтекст Обращения по пересмотру Закона Украины «О защите персональныхданных» и Предложения к проекту Закона Украины «О внесении измененийв Закон Украины« О защите персональных данных»» (№ 10472-1)

 

Комитету ВерховнойРады Украины по вопросам науки и образования

 

Офису Совета Европы вУкраине

 

Обращение о  пересмотре Закона Украины «О защитеперсональных данных»

Практическоеприменение Закона Украины «О защите персональных данных» (далее -Закон), который действует с начала 2011 года, показало наличие ряда проблем, вчастности, связанных с ограничением доступа к публичной информации со ссылкойна конфиденциальность персональных данных, чрезмерными административнымитребованиями к обработке персональных данных(регистрация баз данных), ограниченным перечнем оснований для правомерной обработки таких данных.

На проблемностьотдельных положений Закона, а также на их несоответствие европейским стандартамуказывают также  заключение экспертовСовета Европы от 19 января 2012 и юридический анализ,подготовленній международной организацией «Артикль19», от 26 июля 2012 г.

Указанные проблемыосложняются вступлением в силу 1 июля 2012 изменений в законодательных актах,которыми была усилена ответственность за нарушения в сфере обработкиперсональных данных.

Это обуславливаетнеобходимость внесения комплексных изменений в Закон и, в частности,согласование его с законодательными актами о доступе к публичной информации.

На рассмотренииВерховной Рады Украины находится несколько законопроектов о внесении измененийв Закон «О защите персональных данных» (рег. № № 9790, 10472,10472-1).

На наш взгляд,законопроект № 10472-1, поданный Кабинетом Министров 28 мая 2012, может бытьпринят в первом чтении при условии его обязательного доработки доокончательного принятия.

В связи с этим, мы,эксперты и представители общественных организаций, обращаемся к Верховной РадеУкраины, в частности к Комитету по вопросам науки и образования, а также кэкспертам Совета Европы, которые могут проводить анализ указанныхзаконопроектов, с просьбой учесть предложения, содержащиеся в приложении кэтому обращению.

 

23 августа 2012

Подписали:

Дмитрий Котляр, независимый эксперт

Роман Головенко, Институт массовой информации

Александр Павличенко, Украинский фонд правовойпомощи

ТарасШевченко, Институт Медиа Права

Виктор Таран, Центр политических студий и аналитики

Светлана Залищук, Центр UA

Алексей Хмара, Творческое объединение «ТОРО» — TransparencyInternational Украина

Анатолий Пинчук, ВОО «Украинскаястратегия»

Леся Шевченко, Фонд «Открытое общество»

Ирина Бекешкина, Фонд «Демократические инициативы» им. ИлькаКучерива

Тарас Петрив, Фонд «Общественность»

Александр Сушко, Институт Евро-Атлантического сотрудничества

Роман Романов, член Консультативного совета при УполномоченномВерховной Рады Украина по правам человека

Аркадий Бущенко, Украинский Хельсинский союз по правам человека

 

Приложение кобращению

Предложения к проектуЗакона Украины «О внесении изменений в Закон Украины «О защите персональныхданных» «(№ 10472-1)

1. Законопроектомпредлагается изложить в новой редакции формулировки относительно сферы действияЗакона «О защите персональных данных» (далее — Закон) в его статье 1,а именно установить, что: «Этот Закон защищает основополагающие права исвободы физических лиц, в том числе право на невмешательство в личную жизни приобработке персональных данных».

Это, по нашемумнению, не совсем корректная формулировка, поскольку защита других прав исвобод физических лиц, безотносительно к защите персональных данных, не входитв сферу действия Закона. Хотя предложенное в законопроекте формулировкиявляется буквальным переводом соответствующего положения Директивы ЕС 95/463,более корректным представляется положения Конвенции Совета Европы № 108 озащите лиц в связи с автоматизированной обработкой персональных данных. К томуже, указанные положения Директивы и Конвенции определены как «цели»соответствующих документов, а не как сфера их действия. Такой же подход следуетвыбрать и в украинском законе.

В связи с этимпредлагается:

1) дополнить Законпреамбулой следующего содержания:

«Настоящий Законнаправлен на защиту основных прав и свобод физических лиц, в частности права наневмешательство в личную жизнь, в связи с обработкой персональных данных»;

2) исключить частьпервую статьи 1 Закона.

2. Законопроектом №10472-1 предлагается изложить в новой редакции положения о исключений из сферыдействия Закона (статья 1). При этом сохраняется ошибка действующей редакции,согласно которой Закон не распространяется на обработку персональных данных,проводимой журналистом для своих профессиональных целей. Это не соответствуетДирективе ЕС 95/46 о защите лиц в связи с обработкой персональных данных,согласно статье 9 которой государства обеспечивают исключение из требованийДирективы для обработки персональных данных, осуществляемой, в частности,»в журналистских целях». В Директиве отсутствует привязка к профессииили должности журналиста. В одном из решений Суда отмечается, что этоисключение касается не только средств массовой информации, но «любоголица, занимающегося журналистикой»; что не имеет значения средство,используемое для распространения информации; что исключение применяется, если»целью является донесение до общества информации, мыслей или идей».Такие формулировки также предлагается закрепить в новом Постановлении ЕС позащите лиц относительно обработки персональных данных (далее — проектПостановления ЕС) 6, которая должна заменить Директиву ЕС 95/46 (см. пункт 121вступительной части проекта Постановления ЕС).

В связи с этимпредлагается изложить соответствующий исключение в статье 1 Закона следующимобразом:

«Настоящий Законне распространяется на обработку персональных данных:

что осуществляется вжурналистских целях».

3. Законопроектом изстатьи 5 Закона предлагается исключить часть третью

(«Законом можетбыть запрещено отнесение персональных данных определенных категорий граждан илиих исчерпывающего перечня к информации с ограниченным доступом») ичетвертую («Персональные данные физического лица, которое претендуетзанять или занимает выборную должность (в представительских органах) илидолжность государственного служащего первой категории, не относятся кинформации с ограниченным доступом, за исключением информации, которая определенатакой в соответствии с законом»).

При этом остается безизменений часть вторая этой статьи: «Персональные данные, кромеобезличенных персональных данных, по режиму доступа являются информацией сограниченным доступом».

Это приведет к потересвязи между положениями Закона «О защите персональных данных» изаконодательством о доступе к публичной информации. Последнее содержит нормы,прямо запрещающие относить определенные сведения к информации с ограниченнымдоступом (например, чч. 5-6 ст. 6 Закона «О доступе к публичнойинформации»). Эти нормы прямо корреспондируют с ч. 3 ст. 5 Закона «Озащите персональных данных». Изъятие указанной части из Закона, наряду ссохранением нормы об автоматическом отнесении всехперсональных данных к информации с ограниченным доступом, влечет дальнейшееухудшение ситуации с доступом к публичной информации. Ведь на практике ссылкина Закон «О защите персональных данных» часто используется для отказав доступе к информации, с изъятием указанных положений это будет делать ещелегче.

Рассмотрениезаконопроекта о внесении изменений в Закон о защите персональных данных даетвозможность исправить заложенный в нем неправильный подход, согласно которомулюбые персональные данные автоматически признаются конфиденциальными, иустановить надлежащий баланс между правом на доступ к информации и право назащиту приватности.

Прежде всего, следуетисправить норму, что все персональные данные являются информацией сограниченным доступом. Это противоречит Конституции Украины (ст. 32), согласнокоторой запрещается сбор, хранение, использование и распространение»конфиденциальной информации о лице». Из этого следует, что не всяинформация о лице является конфиденциальной. Это подтверждается РешениемКонституционного Суда Украины от 20.01.2012, согласно которому не всяинформация о лице является конфиденциальной.

Конфиденциальной неявляется предусмотренная законами информация, касающаяся осуществления лицом,занимающим должность, связанную с выполнением функций государства или органовместного самоуправления, должностных или служебных полномочий.

Такой подход также несоответствует европейским стандартам, в частности практике Европейского суда поправам человека (ЕСПЧ). Так, во многих своих решениях ЕСПЧ установил, что правона приватность публичных деятелей может быть ограничено в силу должности,которую они занимают или их публичный статус, а также исходя из важностиопределенной информации для общественной дискуссии и т.д.

Это такжепротиворечит определению конфиденциальной информации, содержащейся в Законе»О доступе к публичной информации» (ст. 7: «Конфиденциальнаяинформация — информация, доступ к которой ограничен физическим или юридическимлицом, кроме субъектов властных полномочий, и которая может распространяться вопределенном ими порядке по их желанию в соответствии с предусмотренными имиусловиями»).

Одновременно ошибкаотождествление информации о личности и конфиденциальной информации повторяетсяв ч. 2 ст. 21 Закона «Об информации» («Конфиденциальной являетсяинформация о физическом лице …»). Хотя в другом положении этого жеЗакона (ч. 2 ст. 11) повторяется конституционная норма о запретераспространения без согласия только конфиденциальной информации о ней иопределен перечень информации, относящейся к конфиденциальной (из чего такжеследует, что вся информация о лице является конфиденциальной). Поэтому этоположение также следует исправить.

В связи с указаннымпредлагается:

1) изложить статью 5Закона «О защите персональных данных» в следующей редакции:

«Статья 5. Объектызащиты

1. Объектами защитыявляются персональные данные, которые обрабатываются в базах персональныхданных.

2. Персональныеданные могут быть отнесены к конфиденциальной информации о лице законом илисоответствующим лицом. Не является конфиденциальной информацией персональныеданные, касающиеся осуществления лицом, занимающим должность, связанную свыполнением функций государства или органов местного самоуправления,должностных или служебных полномочий. Законом может быть запрещено отнесениедругих сведений, являющихся персональными данными, к информации с ограниченнымдоступом».

2)  изложить первое предложение части второйстатьи 21 Закона «Об информации» в следующей редакции:

2. Конфиденциальнойявляется информация, доступ к которой ограничен физическим или юридическимлицом, кроме субъектов властных полномочий».

4. Законопроектомпредлагается сохранить обязательную регистрацию баз персональных данных. Приэтом предполагается установить только два исключения из указанного долга (ч. 2ст. 9). Не подлежат регистрации только базы данных, ведение которых связано собеспечением и реализацией трудовых отношений, а также базы данных членовобщественных, религиозных организаций, профессиональных союзов, а такжеполитических партий.

Требование обобязательной регистрации баз персональных данных, введенное Законом, привело кчрезмерной и необоснованнойнагрузке на субъекты хозяйствования и других лиц,осуществляющих в своей деятельности обработку персональных данных. Опытприменения этого требования Закона показал неготовность уполномоченногогосударственного органа по вопросам защиты персональных данных к осуществлениюсоответствующей регистрации и отсутствие какой-либо реальной пользы от такойрегистрации для защиты персональных данных. Таким образом, требование обязательнойрегистрации баз персональных данных оказалась неэффективной и нецелесообразной.

Следует отметить, чторегистрация баз персональных данных не требуется Конвенцией Совета Европы №108. Директива ЕС 95/46, которая содержит требование об уведомленииуполномоченногооргана перед началом осуществления обработки персональных данных (свозможностью для государств-членов установить целый ряд исключений из этоготребования), сейчас пересматривается. При этом проект нового юридическогоинструмента ЕС по этому вопросу (проект Постановления ЕС), который былпредставлен Европейской Комиссией, вообще не содержит требования обобязательной нотификации.

Учитывая этопредлагается отказаться от обязательной регистрации баз персональных данных иисключить соответствующие положения из Закона Украины «О защитеперсональных данных».

5. Законопроектомпредлагается значительно расширить перечень оснований для правомерногообработки персональных данных, содержащейся в статье 11 Закона. Это впозитивное изменение, которое следует приветствовать, поскольку она направлена​​на приведение Закона в соответствие с европейскими стандартами и отказ отнеобоснованного сужения оснований для обработки персональных данных. В настоящее время предлагаемая редакция не в полной мересоответствует указанным стандартам, а именно статьи 7 Директивы ЕС 95/46(статья 6проекта Постановления ЕС), а именно:

— Отсутствует такоеоснование для обработки персональных данных как «обработка, котораянеобходима для выполнения юридической обязанности владельца персональныхданных»;

— В пункте 5 новойредакции статьи 11 Закона содержится упоминание о случае, «когда субъект персональных данных требуетпрекратить обработку его персональных данных»,

который отсутствует вуказанных документах ЕС. Это может привести к тому, что даже при наличиизаконного интереса,который является основанием дляправомерного обработки данных, такая обработка может быть запрещена потребованию субъекта персональных данных.

Кроме того, по нашемумнению, последнее основание для обработки персональных данных (наличиезаконного интереса владельца или третьих лиц) следует дополнить примером такойситуации, а именно – когда обработка соответствует законному интересу в доступек публичной информации. Это поможет конкретизировать данное положение иупростит его применение на практике.

В связи с этимпредлагается заменить пункт 5 статьи 11 Закона в редакции законопроектаследующими двумя пунктами:

5) необходимостьвыполнения юридической обязанности владельца персональных данных;

6) необходимостьзащиты законного интереса владельца персональных данных или третьего лица, вчастности относительно доступа к публичной информации, кроме случая, когдапотребности защиты персональных данных преобладают такой интерес».

6. Законопроектоставляет без изменений положения Закона о доступе третьих лиц к персональнымданным (статьи 16-20), которые не согласуются с Законом «О доступе кпубличной информации».

В связи с этимпредлагается дополнить часть первую статьи 16 Закона предложением вторымследующего содержания:

«1. … Порядокдоступа третьих лиц к персональным данным, которые находятся во владениираспорядителя публичной информации, определяется Законом Украины «О доступе кпубличной информации».

7. Законопроектом нерешается проблема обеспечения институциональной независимости уполномоченногогосударственного органа по защите персональных данных является одним из главныхнедостатков действующего Закона «О защите персональных данных».

Проектом лишьпредлагается добавить, что этот орган «является независимым в реализацииполномочий, предусмотренных настоящим Законом». Это вряд ли являетсядостаточным для изменения существующей ситуации, когда органом, осуществляющимгосударственную защиту персональных данных, является орган исполнительнойвласти, который подчиняется Министерству юстиции. Анализ несоответствиясуществующей модели уполномоченного органа европейским стандартам изложен взаключении экспертов Совета Европы от 12.01.20129 и юридическом анализемеждународной организации «Артикль 19» от 26.07.201210.

Учитывая существующиеконституционные ограничения и административную систему Украины, по нашемумнению, такой моделью независимого государственного органа по защитеперсональных данных в Украине могли бы быть:

1) созданиегосударственного коллегиального органа со специальным статусом и порядкомформирования, подобным национальным комиссиям, осуществляющим государственноерегулирование в отдельных сферах;

2) возложениесоответствующих функций на Уполномоченного Верховной Рады по правам человека.

 

Ми надаємо безоплатні консультації із юридичних питань у сфері інформаційного та медійного права. Будемо раді поділитися з вами своїм досвідом.

Докладніше про консультації

 

Задайте Ваше питання через форму:

Ваше ім'я (обов'язково)

Ваш email (обов'язково)

Ваше повідомлення


Також ви можете звернутися до нас іншими способами: