КПД закону про ПД

February 3, 2011

28 січня 2011 року Європа відсвяткувала Всесвітній день захисту персональних даних і 30-ту річницю ухвалення Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних. У цей час в Україні почав діяти один із найбільш одіозних і тривожних законів – Закон України «Про захист персональних даних».

 Як трапляється в законоухвальній практиці, закон проскочив усі читання і навіть президента Януковича, незважаючи ані на те, що президент Ющенко свого часу неодноразово ветував цей законопроект, ані на протести з боку правозахисників і бізнесу.

 

Навіщо?

 Мотиви появи цього закону до міри очевидні і зрозумілі, хоча з цільовою аудиторією автори дещо пробуксували. Всі пам’ятають часи, коли на Петрівці чи в інтернеті можна було придбати бази даних ДАІ, податкової, телефонну базу 09 і т. ін. Апогеєм цього дикого обігу інформації, яку ми, платники податків, доручили державі на зберігання, став скандальний російський сайт Radarix, який міг розказати вам не лише про народження, місце проживання, ідентифікаційний код особи, але й коли вона сплатила адмінштраф за прострочений паспорт, які юридичні особи нею засновано і навіть який ідентифікаційний код мали особи, що відмовилися від користування ним із релігійних мотивів. Сайт проіснував достатньо часу, щоб потрібна інформація опинилася в потрібних руках, але потім його таки прикрили (чи надовго?).

Як зазначалося в описі сайту, бази збиралися з «різних джерел», і в мене ще тоді виникало природне запитання: чому бази, які, взагалі-то, ще до закону про захист персональних даних (далі – закон про 3ПД) держава була зобов’язана охороняти, дісталися іноземним особам?

Як відомо, право на приватність забезпечено Конституцією, а держава має охороняти ввірені їй дані (відомості, інформацію) на підставі багатьох нормативно-правових актів. Ще 1994 року було ухвалено Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», у статті 8 якого, зокрема, сказано: інформацію з обмеженим доступом, вимогу щодо захисту якої встановлено законом, слід обробляти в системі із застосуванням комплексного захисту інформації з підтвердженою відповідністю. Це ще називається ТЗІ – технічним захистом інформації. В державних органах є складні безперервні системи технічного захисту інформації, які починаються від аналізу ризиків і закінчуються створенням систем програмного, апаратного, хімічного і т. п. захисту. Зрозуміло, такі заходи досить недешеві й оплачують їх платники податків. Тому коли на Петрівці з’являється база ДАІ чи ДПА, мали б летіти голови не одного чиновника цих структур, у т. ч. й Миколи Яновича, тодішнього керівника Податкової. Благо, Кримінальний кодекс містить багато статей для захисту від втручання у приватність:

  • Стаття132. Розголошення відомостей про проведення медичного огляду на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби.
  • Стаття157. Перешкоджання здійсненню виборчого права або права брати участь у референдумі, роботі виборчої комісії або комісії з референдуму чи діяльності офіційного спостерігача (в частині умисного внесення неправдивих відомостей до бази даних Державного реєстру виборців, несанкціоновані дії з інформацією, що міститься в базі даних Державного реєстру виборців, чи інше несанкціоноване втручання в роботу Державного реєстру виборців, вчинене службовою особою, яка має право доступу до цієї інформації, або іншою особою шляхом несанкціонованого доступу до бази даних Державного реєстру виборців).
  • Стаття163. Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв’язку або через комп’ютер.
  • Стаття182. Порушення недоторканності приватного життя (незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації).
  • Стаття232. Розголошення комерційної або банківської таємниці без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю.
  • Стаття232-1. Незаконне використання інсайдерської інформації.
  • Стаття328. Розголошення державної таємниці.
  • Стаття329. Втрата документів, що містять державну таємницю.
  • Стаття330. Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави.
  • Стаття361. Несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, що призвело до витоку, втрати, підробки, блокування інформації, спотворення процесу обробки інформації або до порушення встановленого порядку її маршрутизації.
  • Стаття361-2. Несанкціоновані збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації.
  • Стаття362. Несанкціоновані дії з інформацією, яка оброблюється в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або зберігається на носіях такої інформації, вчинені особою, яка має право доступу до неї.
  • Стаття363. Порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку або порядку чи правил захисту інформації, яка в них оброблюється.

Досить пристойний перелік, щоб захистити порушене право на приватність, еге ж?

Але не Кримінальним кодексом єдиним. Вже згадана Конституція України декларує і захист таємниці листування й телефонних розмов, телеграфної та іншої кореспонденції (ст. 31), і заборону на втручання в особисте і сімейне життя, в т. ч. заборону на збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (ст. 32), а в ст. 34 ще й гарантує право на свободу думки і слова, на вільне вираження своїх поглядів і переконань, а також обмежує це право в інтересах нацбезпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету й неупередженості правосуддя.

Ще один чудовий документ – Цивільний кодекс України: тут можна знайти і право на псевдонім, себто анонімність (ч. 2 ст. 28), і захист від поширення недостовірної інформації, в т. ч. в документах (ст. 277), і право на використання імені (ст. 296), на особисте життя та його таємницю (ст. 301), і право на інформацію (ст. 302), на таємницю кореспонденції (ст. 306), захист інтересів фізичної особи при проведенні фото-, кіно-, теле- та відеозйомок та охорона інтересів фізичної особи, зображеної на фотографіях та в інших художніх творах (ст. 307-308).

Сімейний кодекс також піклується про захист приватності, зокрема встановлює право на таємницю всиновлення та її забезпечення (ст. 226-228).

Зрештою, не слід забувати й Закону про інформацію, який чітко встановлює, що всі громадяни України, юридичні особи і державні органи мають право на інформацію, що передбачає можливість вільного одержання, використання, поширення та зберігання відомостей, необхідних їм для реалізації ними своїх прав, свобод і законних інтересів, здійснення завдань і функцій. Водночас, реалізація такого права не повинна порушувати громадські, політичні, економічні, соціальні, духовні, екологічні та інші права, свободи і законні інтереси інших громадян, права та інтереси юридичних осіб. Ця стаття гарантує громадянину вільний доступ до інформації, яка стосується його особисто, за винятком випадків, установлених законом.

Також цей закон встановлює, що гарантія права на інформацію реалізується вільним доступом суб’єктів інформаційних відносин до статистичних даних, архівних, бібліотечних і музейних фондів; обмеження цього доступу зумовлюються лише специфікою цінностей та особливими умовами їх схоронності, що визначаються законодавством. Запам’ятаймо це, адже в закону про 3ПД інша думка стосовно цього.

Доходячи, власне, до персональних даних, звернімося до ст. 23 Закону про інформацію, яка визначає, що таке інформація про особу, тобто що є персональними даними: «Персональні дані про особу є документовані чи публічно оголошені відомості, які містять дані про освіту, сімейний стан, приналежність до релігії, стан здоров’я, адресу, дату і місце народження». Зауважмо, що в новій редакції закону (яку, будемо сподіватися, президент підпише разом із Законом про доступ до публічної інформації протягом двох найближчих тижнів) сказано: не допускається збирання інформації про фізичну особу без її згоди та в інших випадках, визначених законодавством. При цьому під інформацією про фізичну особу розуміються персональні дані (вочевидь, натякаючи, що це поняття має бути десь розкрито), а також інші відомості чи їхня сукупність.

Чи був потрібен іще один додатковий закон у цій сфері і чи не можна було внести потрібні зміни до наявного законодавства і, головне, забезпечити неухильне дотримання того, що є, передусім державними органами, – питання риторичне. Відтепер закон є, і маємо навчитися з ним жити…

 Трохи історії

16 березня 2006 року депутати 287-ма голосами ухвалили Закон України«Про захист персональних даних» (законопроект М. Родіонова, С. Ніколаєнко І. Юхновського та ін. №2618). Дія закону поширювалася на обробку персональних даних в інформаційних (автоматизованих) системах та/або картотек персональних даних, окрім тих, що призначені виключно для особистих чи побутових потреб. Тобто, в першу чергу, це стосується баз даних: міліції, ЖЕКів, лікарень, бібліотек, телефонних компаній тощо. Складним залишається питання, наскільки цей закон поширюється на бази даних журналістів та засобів масової інформації. 7-го квітня того ж року президент ветував зазначений закон. Аргументація вето полягала в тому, що концептуальні засади закону і норми не узгоджуються з Конституцією України та вимогами міжнародно-правових актів. Окрім того, закон містив низку внутрішніх суперечностей. На думку президента, введення в дію цього закону могло призвести до порушення конституційних прав людини, невиконання міжнародних зобов’язань України.

Після ветування законопроект повернувся до парламенту, а після переобрання останнього отримав №0808. На черговому розгляді закон було ухвалено в цілому і знову направлено президенту, який 30 січня 2007 року знову скористався правом вето. За чотири місяці, 18 травня 2007-го, при спробі подолати президентське вето закон було відхилено.

Остання спроба протягнути Закон про персональні дані виявилася успішнішою – 25 березня 2008 року закон було зареєстровано, 25 червня 2009 року ухвалено в першому читанні, а 1 червня 2010 року – в цілому. Законної сили закон набув 7 липня 2010 року, а чинності – з 1 січня 2011 року.

Цікаво, що перед другим читанням Головне юридичне управління надало висновок щодо законопроекту, зауваживши, що «текст законопроекту містить значну кількість оціночних понять і суб’єктивних критеріїв». Окрім того, «не встановлено співвідношення термінів “володілець” та “розпорядник”, що вживаються у законопроекті, з термінами “держатель” та “адміністратор”, що вживаються в чинних законах України».

Також юридичне управління звертало увагу на неврегульованість правового режиму персональних даних, що містяться в базах даних після смерті особи, а також на неоднозначне тлумачення положень щодо порушення права фізичної особи на конфіденційність її персональних даних та заборону обробки її даних без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Суттєвою вадою законопроекту, вказувало ГЮУ, є те, що ним не визначено змісту персональних даних та порядку їх оновлення. В цілому законопроект пропонувалося направити на повторне друге читання, та цю рекомендацію було проігноровано і з 1 січня закон вступив у дію.

Що таке персональні дані

 

Стаття 23-тя чинної (станом на січень 2011-го) редакції Закону про інформацію є першим наріжним каменем у розумінні суті об’єкту регулювання. Поки що стаття 23 більш точно відображує сутність персональних даних як певних характеристик фізичної особи – національність, релігія, здоров’я, освіта, сімейний стан, місце і дата народження, місце проживання. При цьому лише перші три ознаки є достатньо чутливими, адже вони можуть стати причиною загрози життю чи здоров’ю фізичної особи через вияви ксенофобії, релігійну ворожнечу або навіть у ситуації полювання за людськими органами чи приниження людей із певними вадами.

Утім, як ми бачимо, в цьому переліку немає прізвища, імені, по батькові особи та інших реквізитів, як-от домашнього чи мобільного телефонів, електронної пошти тощо.

Іншої думки закон про персональні дані:

«Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована».

Тобто, будь-яка інформація про особу, достатня для її ідентифікації, є персональними даними. Наприклад, у відношенні до автора цих рядків ім’я, прізвище і по батькові – достатній набір даних, щоб його ідентифікувати, натомість щоб ідентифікувати якогось абстрактного Петренка, лише прізвища, ім’я й по батькові буде недостатньо (крім рідкісних імен на зразок Сервер, Шрек і так далі :)). Для ідентифікації такої особи знадобляться додаткові відомості, наприклад, адреса проживання, професія, вік тощо.

З одного боку, таке визначення дозволяє, у випадку необхідності, захистити особу, а з іншого – надає широкі можливості для зловживання з боку чиновників.

Стаття 6 польського закону «Про охорону персональних даних» 1997 року (Ustawa o ochronie danych osobowych ) дає аналогічне визначення:

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczą-

ce zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

(В цьому законі під персональними даними розуміється будь-яка інформація, що надає можливість ідентифікувати фізичну особу.)

Щоправда, польський закон уточнює: особу може бути ідентифіковано, коли її особистість може бути визначено прямо або побічно, зокрема, з посиланням на номер ідентифікації, або за наявності однієї чи більшої кількості чинників, що характеризують її фізичні, фізіологічні, психічні, економічні, культурні чи соціальні риси. Як я писав раніше, в певних випадках достатньо ПІБ, в інших – потрібно зібрати більше інформації. Закон Польщі тут додає важливу річ: інформація не вважатиметься персональними даними, якщо для ідентифікації особи (тотожності) потрібно витратити надмірні кошти, час або зусилля.

Російський федеральний закон «О персональных данных» 2006 року дає подібне визначення, однак додаючи конкретний перелік:

«персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Таким чином, зазначені закони тією чи іншою мірою відповідають ратифікованій парламентом у липні 2010 року Конвенції «Про захист осіб стосовно автоматизованої обробки даних особистого характеру», яка стала в України обов’язковою з 1 січня 2011 року:

«персональні дані» – означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною (далі – суб’єкт даних).

У випадку конфліктних ситуацій юридичну гру щодо визначення, чи є дані, що міститимуться в базі даних, достатніми для ідентифікації фізичної особи, гарантовано.

До чи після? 

Перш ніж повернутися до нашого закону, звернімося до слушного зауваження юридичного управління ВРУ щодо статусу персональних даних після смерті особи і, відповідно, їхнього режиму.

Відповідно до ст. 24 Цивільного кодексу України, людина як учасник відносин вважається фізичною особою. При цьому здатність мати цивільні права та обов’язки (цивільна правоздатність) виникають у момент народження і припиняються в момент смерті. Щоправда, з цього правила є винятки (і джерело для суперечок у наукових колах), як-от строк чинності майнових авторських прав на твір, який починається з моменту смерті і триває 70 років.

Щодо персональних даних режим охорони після смерті ще до набуття чинності законом було встановлено лише для органів РАЦС. Так, відповідно до абзацу 3 ч. 3 ст. 9 Закону України «Про державну реєстрацію актів цивільного стану», «інформація, що міститься в актовому записі цивільного стану, є конфіденційною і не підлягає розголошенню», а відповідно доч. 4 ст. 25 цього ж Закону – «порядок, умови і строки зберігання книг державної реєстрації актів цивільного стану і метричних книг в архівах відділів державної реєстрації актів цивільного стану та порядок передачі цих книг до державного архіву встановлюються центральним органом виконавчої влади у сфері державної реєстрації актів цивільного стану (Мін’юст – прим.) за погодженням із центральним органом виконавчої влади у сфері архівної справи і діловодства (Державна архівна служба України. – Прим.)». Таким документом є Наказ Мін’юсту «Про затвердження Умов зберігання книг реєстрації актів цивільного стану і метричних книг у відділах реєстрації актів цивільного стану та порядку передачі цих книг на зберігання до державних архівів, Переліку документів відділів реєстрації актів цивільного стану зі строками їх зберігання» №94/5 від 04.11.2002. Ним встановлено, що Книги реєстрації актів цивільного стану і метричні книги зберігаються у відділах реєстрації актів цивільного стану впродовж 75 років з часу їх складання.

Отже, інформація (а за нашим законом це і є персональні дані) про народження або смерть фізичної особи, що зберігаються в органах РАЦС, має режим обмеженого доступу як прижиттєво, так і протягом 75 років після смерті людини.

Щодо решти випадків закон каже, що обробка (в тому числі зберігання) персональних даних має відбуватися у строк, не більший, ніж це необхідно для їхнього законного призначення. Власне, до закону ця норма перекочувала зі ст. 5 Конвенції:

«Персональні дані, що піддаються автоматизованій обробці, повинні (…) зберігатись у формі, яка дозволяє ідентифікацію суб’єктів даних, не довше, ніж це необхідно для мети, для якої такі дані зберігаються».

Режим обмеженого доступу після смерті фізичної особи також міг стосуватися і працівників та агентів служби безпеки і органів внутрішніх справ.

Dura lex

 Тепер звернімося до самого закону і спробуймо зрозуміти, про що він і для кого.

Стаття 1 каже: сфера дії цього закону – відносини, пов’язані з захистом персональних даних під час обробки, тобто дій щодо збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання і поширення (в будь-який спосіб), знеособлення і знищення відомостей про фізичну особу.

Якщо ви входите до кола суб’єктів відносин (детальніше про це – далі), достатньо вчиняти одну з перелічених вище дій, щоби потрапити під дію цього закону. При цьому зауважмо, що обробка персональних даних може відбуватися:

  • виключно в картотеках (наприклад, шафки, перфоровані картки- зокрема, це стосується паспортних столів або поліклінік);
  • виключно в автоматизованих системах (база даних абонентів мобільного оператора, або база даних платників податків);
  • в гібридних системах (трохи карток і старенький ПК з базою :)).

Україна і під час ратифікації конвенції зробила застереження: її застосовуватимуть не лише до автоматизованих систем.

Однак, ще раз наголошую, це стосується саме тих суб’єктів, які підпадають під дію закону. Закон нам вказує на дві групи суб’єктів. Перші, відповідно до ст. 1 Закону, – ті, на кого закон не поширюється, а саме:

  • фізичні особи, якщо вони обробляють персональні дані виключно для непрофесійних особистих чи побутових потреб;
  • журналісти – у зв’язку з виконанням ним службових чи професійних обов’язків;
  • професійні творчі працівники – для здійснення творчої діяльності.

Друга група – це суб’єкти, на яких ляже тягар закону (ст. 4):

  • підприємства, установи й організації усіх форм власності,
  • органи державної влади чи органи місцевого самоврядування,
  • фізичні особи- підприємці.

Причому органи державної влади та місцевого самоврядування мають бути першими «жертвами».

Логіка закону вочевидь базується на водорозділі комерційності – некомерційності з деяким урахуванням потреб комерційної журналістики. Бо якщо ти фізична особа і не займаєшся комерційною діяльністю, то обробка тобою персональних даних вважається побутовою чи особистою потребою. Останнє, спираючись на тлумачні словники, можна тлумачити досить широко. Якщо ж фізична особа має на меті комерційну діяльність, то закон її зобов’яже зареєструватися як СПД чи юрособа, і тоді вона підпадає під закон.

Журналісти і творчі працівники – цікава і дещо неоднозначна позиція закону. Якщо ми відкриємо закон про пресу, чи інформаційні агентства, чи про телебачення і радіомовлення, побачимо, що журналіст трактується як творчий працівник, що професійно збирає, одержує, обробляє інформацію.

Втім, у законі про професійних творчих працівників і в законі про культуру сказано: професійний творчий працівник – особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури та мистецтва.

Де-факто ми маємо два види творчих працівників, тож законотворцю варто було б уточнити, про кого мова.

У будь-якім разі зазначений перелік не покриває журналістів інтернет-ЗМІ, якщо таке ЗМІ не має статусу інформаційного агентства або журналіст не перебуває в професійному об’єднанні журналістів.

Перелік не покриває і блогерів, у т. ч. тих, яких називають тисячниками. Щоправда, в цій ситуації працює правило фізосіб «для особистих потреб», за винятком, звісно, випадків, коли блогер є СПД.

Щодо журналістів слід зауважити: засоби масової інформації як юридичні особи не захищені ст. 1 закону і їх розглядатимуть як юридичну особу. Якщо в редакції присутня база даних, то її доведеться або зареєструвати, з усіма бюрократичними наслідками, або сховати в нетрях інтернету. Інший спосіб уникнення бюрократії в цьому випадку – клонування бази даних для кожного журналіста з подальшою синхронізацією. Утім, не слід забувати, що навіть якщо ви обійдете приписи закону про ЗПД, то загальних правил захисту приватного життя вам не обійти, якщо це тільки не становитиме суспільного інтересу.

Росія та Польща 

Польський закон про охорону персональних даних встановлює, що його сфера поширюється перш за все на органи влади, органи місцевого самоврядування, а також муніципальні установи. Крім того, в законі зазначено: його дія поширюється на осіб приватного права, що реалізують певні публічні завдання (і, відповідно, фінансуються з бюджетів територіальних громад), на фізичних і юридичних осіб й відокремлені підрозділи, що не є юридичними особами, якщо ті обробляють персональні дані узв’язку з підприємницькою діяльністю, професійною діяльністю або для реалізації статутних цілей і які мають власність або перебувають на території Республіки Польща, або їхні технічні ресурси, за допомогою яких провадиться обробка персональних даних, розташовані на території Польщі.

Закон РП не поширюється на фізичних осіб для особистих чи побутових потреб, а також на осіб, які використовують вищезгадане технічне обладнання виключно для передачі даних. Також закон не поширюється (за винятком певних вимог) на діяльність журналістів друкованих ЗМІ, так само як і на літературну чи художню творчість (за винятком ситуації, коли свобода вираження поглядів і поширення інформації суттєво порушуватиме права і свободи осіб, яких ці дані стосуються).

Федеральний закон Росії поширюється на відносини, пов’язані з обробкою персональних даних федеральними органами державної влади чи органами державної влади суб’єктів РФ, іншими державними органами, органами місцевого самоврядування, муніципальними органами, юридичними особами, фізичними особами із застосуванням засобів автоматизації або без такого, якщо обробка таких засобів за характером дій відповідає діям із застосуванням засобів автоматизації.

Дія Закону РФ не поширюється на:

1) обробку персональних даних фізичними особами виключно для особистих чи сімейних потреб, якщо при цьому не порушено прав суб’єктів ПД;

2) організацію укомплектування, зберігання, обліку та використання документів, що містять персональні дані і входять до Архівного фонду РФ та інших архівних документів, відповідно до законодавства РФ;

3) обробку відомостей про фізичних осіб-підприємців, у зв’язку з обов’язковим включенням цих відомостей до єдиного державного реєстру;

4) обробку відомостей, що становлять держтаємницю.

Як бачимо, український закон у відношенні до журналістів є ліберальнішим за закони наших сусідів, та застереження щодо комерційно орієнтованої діяльності суб’єктів, виключення архівної справи та зауваження щодо використання серверного обладнання були б доречними. Окрім того, така суто формальна дія, як зміна місцями суб’єктів відносин у сфері захисту ПД, дала б можливість чіткіше зрозуміти мету і місію нашого закону.

 

Іще про інтернет

 

Одна з найбільших проблем закону є його дія у всесвітній мережі. Це стосується проблеми екстериторіальності, коли сайти можуть хоститися (фізично розташовуватися) десь у Сполучених Штатах чи в інформаційно офшорній Ісландії. Це також стосується баз, які накопичуються у зв’язку з діяльністю сайтів. Зокрема бази даних підписантів на розсилки, бази коментаторів, бази учасників форумів та соцмережників, та баз відкритих ресурсів, присвячених генеалогії та історії персоналій. В цій ситуації захистити своє право можна буде хіба що блокуванням провайдерами IP-адреси цього сайту, але ж ніхто не скасовує open-proxy, маскарадинг та інші можливості обходу цих заборон.

Де-факто в більшості випадків особа самостійно і добровільно або добровільно-примусово (наприклад, реєструючись для отримання можливості коментування), але, тим не менш самостійно, надає відомості про себе, а також вирішує, які дані будуть доступні, а які слід обмежити. Та в цьому випадку Закон не дає нам чітких інструкцій до дії, ба більше – він заважатиме.

Перша проблема, яку створює закон, – наявність згоди, під якою розуміється будь-яке документоване, в т. ч. письмове добровільне волевиявлення фізичної особи, щодо надання дозволу на обробку персональних даних про неї відповідно до сформульованої мети.

З відомостями, які ми надаємо для органів держвлади, самоврядування, немає проблем – у документах зазначається примітка, що особа надає згоду на певні дії з її персональними даними. Гірша ситуація з електронною формою.

Відповідно до ст. 6 Закону про електронні документи та електронний документообіг, обов’язковим реквізитом електронного документа, який використовується для ідентифікації автора та/або підписувача електронного документа іншими суб’єктами електронного документообігу, є електронний підпис. У свою чергу, відповідно до ст. 5 Закону про електронний цифровий підпис:

  • органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності для засвідчення чинності відкритого ключа використовують лише посилений сертифікат ключа;
  • інші юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом ключа, сформованим центром сертифікації ключів, атакож використовувати електронний цифровий підпис без сертифіката ключа.

Тут треба пояснити. Електронний підпис формується парою цифрових ключів – закритий, той який ви маєте зберігати за сімома замками, адже це ваша рука з ручкою, що вимальовує підпис, і відкритий – це той паспорт, де ваш підпис зафіксовано і з яким його можна звірити. За бажання пару ключів можна згенерувати й самому. Щонайменше, на Unix-подібних оперативних системах утилітки для цього завжди були. А публічний ключ розіслати партнерам чи викласти в інтернеті. Утім, це може бути корисним для приватних відносин.

Якщо ж вам потрібно легалізуватися, доведеться звернутися або до звичайних центрів сертифікації, у випадку виникнення відносин між приватно-правовими суб’єктами, або до авторизованого центру сертифікації, у випадку, якщо ви маєте, не дай бог, справу з державними органами.

Перелік таких центрів можна побачити тут.

Ті, що стосуються нашої сфери, проліцензовано по третій категорії.

Але такі органи, як ДПА, визнають лише деяких з таких центрів, тож на їхніх сайтах є свій перелік.

Отримання і обслуговування ключів, зрозуміло, небезкоштовне. Так, ключі, що створюються для звітності лише в ДПА і ПФ, коштують від 46 грн. А повні ключі коштують понад півтисячі гривень (за рік обслуговування).

Та використання ключів можливе при роботі з документами або у використанні спеціалізованого програмного забезпечення. Для роботи з базами даних, що утворюються у зв’язку з функціонуванням форумів або ж новинних сайтів, використання цифрових ключів буде здебільшого неприйнятним, адже в кожного користувача має бути свій цифровий ключ, а на сайті має бути можливість взаємодії з цим ключем. Така система придатна хіба що для клієнт-банкінгу або систем інтернет-платежів, натомість більшість авторизованих платежів в інтернеті проводиться за допомогою коду CCV або авторизації через мобільні телефони. Утім, це вже фінансова сфера…

Щодо реєстрації на сайтах і форумах у певних випадках можна буде сказати, що наявні дані недостатні для ідентифікації особи (наприклад, нікнейм чи ім’я й адреса електронної пошти), а відтак не є персональними, щоправда це залежить від того, який обсяг збирається чи заповнюється. Але й тут є проблема, адже зазвичай сайти збирають інформацію про айпі користувача, а це вже дає можливість для отого самого «потенційно ідентифікувати». Хоча без цієї функції неможливо заблокувати користувача, який порушує правила певного ресурсу.

Другий варіант – сайт оформлюється на журналіста, а бази журналістів, як ми пам’ятаємо, під дію закону не потрапляють. Третій варіант – виводити сайт і хостинг за кордон. Четвертий – закрити, принаймні публічно, можливість реєстрації на сайтах. Так чи інакше – це є тимчасовим рішенням і закон потрібно змінювати в напрямку добропорядного використання наданої через інтернет інформації.

 

Польща і Росія 

Згода на обробку даних була проблемним питанням і в Польщі, адже в законі вказано, що згода особи – це вираження волі на обробку даних з певною метою. При цьому дозвіл на обробку ПД з іншою метою не може бути «додумано». По факту адміністратори, що обробляють дані, вдаються до різних засобів, хоча така згода може бути навіть усною, були б свідки. Утім, в одній зі статей на цю тему польська авторка Ганна Гофман зауважує: жодна інтернет-форма не є достатнім фактом засвідчення згоди, за винятком підписаної цифровим підписом. Щоправда, це не заважає існувати найбільшому в Польщі порталу «Nasza Klasa» («Наша кляса» – аналог російських «Одноклассников»), який навіть отримав реєстрацію у Генерального інспектора з охорони персональних даних: тут для підтвердження згоди з правилами, в т. ч. і приватності, достатньо зайти в профіль і натиснути «згоден»…

У федеральному законі (ст. 9) йдеться про те, що рішення про надання своїх ПД суб’єкт приймає відповідно до своєї волі і свого інтересу, за винятком випадків, коли таку інформацію, відповідно до цього ж закону, може бути розкрито без його згоди. При цьому зазначено, що в певних випадках письмова форма згоди обов’язкова. Вона повинна містити прізвище, ім’я, по батькові, адресу, номер паспорта або іншого основного документу з усіма реквізитами, назву оператора, якому надається право на обробку, мету обробки, перелік даних, які оброблятимуться, перелік можливих дій із ПД, строк дії і порядок відкликання згоди.

Натомість у польському законі (ст. 24) сказано, що адміністратор персональних даних повинен поінформувати особу про свої назву/ ім’я й прізвище, місце розташування / помешкання, мету збирання ПД, режим доступу третіх осіб до цієї бази, про добровільність або примусовість внесення ПД в базу. В останньому випадку має бути посилання на законодавство. Повідомлення не є обов’язковим, якщо це передбачено іншим законом та коли дані збираються з науковою, дидактичною, історичною, статистичною метою або в рамках опитування громадської думки і їхня обробка не порушує прав чи волі особи, якої ці відомості стосуються, а процедура отримання-затвердження дозволу потребувала би значних витрат або загрожувала б меті дослідження.

Російський закон встановлює: таке повідомлення має бути лише у випадку отримання даних не від особи, якої ці дані стосуються (ст. 18).

В українському законі йдеться про те, що особа надає згоду й оговорює межі обробки, а володілець бази має протягом 10 днів письмово повідомити особу про її права та мету збирання даних, а також про осіб, яким ці дані передаються. Також володілець на вимогу особи має надати інформацію про обсяг і джерела походження ПД.

Повідомлення не є обов’язковим, якщо ПД збираються з загальнодоступних джерел. Але правило вимоги і в цьому випадку є чинним.

До речі…

Загальнодоступні джерела – одне з проблемних місць закону: це поняття просто не розписано, а відтак можливе поле для обходу. Наразі закон лише містить інформацію про «первинне походження» – видані на ім’я особи документи, підписані нею документи, відомості, надані особою про себе.

Якщо керуватися логікою закону, то загальнодоступним джерелом вважаються дані, що мають публічно розголошуватися, наприклад, дані деяких держреєстрів, вихідні дані видань і т. п., або інформація, яку особа сама виставила на публічний огляд. Це може бути той же незахищений профіль у фейсбуку чи на особистій домашній сторінці, стаття в глянці. Тобто загальнодоступне джерело – це місце, де особа свідомо – самостійно або на вимогу закону – себе розкрила. (Тут може бути проблема з публікаціями у жовтій пресі, яка любить втручатися в приватне життя без належного дозволу. Формально публікація в такій газеті – відкрите джерело, та захист приватності і персональних даних тут явно не буде забезпечено. Вочевидь у разі порушення особа має право вимагати усунення ПД, а от чи відповідатиме особа, яка внесла такі дані в базу, має визначати суд, виходячи з принципів добропорядності. В цьому плані може стати в нагоді і практика Європейського суду, де розглядаються межі права на свободу і захисту приватного життя. Щоправда, в цій ситуації ми зіткнемося ще зі статтею 14 закону, яка передбачає, що поширення персональних даних має відбуватися загалом за згодою особи, а без згоди поширення можливе у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Це означає, що поширювати дані, зібрані з відкритих джерел, буде непросто: доведеться обґрунтовувати «інтерес прав людини» на отримання такої інформації.)

Російський закон передбачає, що з метою «інформаційного забезпечення» може бути створено загальнодоступні джерела персональних даних (у т. ч. довідники і довідкові книги). В такі книги може бути включено прізвище, ім’я, по батькові, рік і місце народження, адреса, абонентський номер, відомості про професію та інші персональні дані, надані суб’єктом. Такі відомості може бути вилучено на вимогу особи, за рішенням суду або інших уповноважених органів.

Однак, у Росії це вочевидь не стосується інтернету. Адже 19 січня 2011 року розпочався суд проти засновників найбільшого на пострадянському просторі ресурсу vgd.ru: Роскомнадзор вимагає закрити сайт на тій підставі, що він порушує «права невизначеного кола осіб на недоторканність приватного життя». Наразі власники сайту наполягають на тому, що користувачі добровільно розкривають персональні дані і погоджуються з правилами ресурсу, та дочекаймося рішення суду…

Трішки про органи

Раз уже було згадано Роскомнадзор, який є уповноваженим органом із захисту персональних даних, варто поговорити про органи, що опікуються охороною ПД.

Відповідно до статті 23 закону РФ про захист персональних даних, Роскомнадзор здійснює нагляд і контроль за обробкою ПД. Цей орган має, зокрема, безоплатно запитувати необхідну інформацію у фізичних та юридичних осіб, вимагати уточнення або знищення ПД, звертатися в суд, а також стягувати адміністративні штрафи і звертатися до прокуратури щодо порушення карних справ.

Типовий каральний орган, чи не так? Порівняно з ним наш орган виглядає менш жахливо. Державна служба захисту інформації реєструє бази ПД, веде відповідний реєстр, здійснює контроль за дотриманням законодавства та має право доступу до інформації, пов’язаної з обробкою, та до приміщень, де вона здійснюється, а також видає обов’язкові до виконання приписи.

Звісно, український і російський закони зобов’язують розглядати скарги громадян та їхні пропозиції.

Польський закон підійшов до регуляторного органу цікавіше і ґрунтовніше. На відміну від нашого закону, де органу присвячено аж одну статтю, польський законодавець присвятив йому цілий розділ, що складається з 15 статей (ст. 8 – ст. 22а). Більш того, цей «орган» представлено в одній особі – Генерального інспектора охорони особових даних, який по суті нагадує омбудсмена, але тільки в царині персональних даних. Генерального інспектора призначає Сейм, кандидат на цю посаду має відповідати низці вимог, зокрема бути громадянином Польщі і постійно проживати на її території, відрізнятися високим моральним авторитетом (!), мати вищу юридичну (!) освіту, відповідний досвід і не мати судимостей. Генерального інспектора обирають на 4 роки, обіймати цю посаду він може не більше двох строків. Генеральний інспектор не може обіймати жодних інших посад, окрім професорського викладання, не може перебувати в політичних партіях, а його публічна діяльність має бути погоджена з урядом! Інспектор складає присягу перед урядом, має недоторканість (крім випадків, якщо його не спіймано «на гарячому»).

За дозволом голови Сейму Генеральний інспектор може мати заступника. Крім цього при інспекторові створюється Бюро Генерального інспектора, статут якого затверджується Президентом Польщі.

В цілому права та обов’язки відповідають нашому закону. Щоправда, в польському законі детально прописано всі процедури, зокрема проведення перевірок, складання актів тощо. (Чого варте лише положення ст. 14, у якому зазначено, що інспектор може провадити перевірку з 6-ї до 22-ї години!)

Зауважу, що Державна служба – це орган другого ешелону після міністерств. Це свідчить або про ставлення влади до цієї служби як до не дуже значущої, або, скоріше, про те, що вона не буде непідконтрольною й неупередженою, як це б мало би бути, а це, в свою чергу, може призвести до зловживань. Тим паче, що і самі розробники законопроекту визнають, що ця служба забезпечена мінімальним рівнем незалежності.

Та повернімося до нашого законодавства.

Деякі «цікавинки» українського закону 

Ще одним складним для розуміння пунктом закону є ч. 9 ст. 6, у якій сказано: персональні дані в історичних, статистичних чи наукових цілях може бути використано в знеособленому (!) вигляді.

Щодо статистики ні в кого не виникне питань – статистика завжди знеособлена. Решта ж змушує задуматися. Автору довелося опитати знайомих істориків, які підтвердили, що в історичній науці доводиться працювати з відомостями, які мають ознаки персональності – це відомості щодо побутових умов, роботи, біографічні довідки тощо. Однак щоб не вводити чесний народ в оману, законодавцю варто було або чіткіше прописати режими роботи з інформацією історичного характеру, в т. ч. й оговорити умови і строки зберігання ПД в РАЦСах, про що, власне, і йшлося раніше, або скористатися формулюваннями польського закону – «обробка не має порушувати права осіб, дані яких обробляються».

Другим неоднозначним місцем закону є стаття сьома. Вона встановлює заборону (окрім наявності однозначної згоди особи) на обробку даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.

І наш, і польський закони встановлюють певні винятки, як-от розкриття інформації за рішенням суду, для захисту здоров’я й життя особи, а також у межах діяльності організацій релігійного чи громадсько-світоглядного напряму (церква, партії, громадські організації) тощо. Проте п. 2 ч. 2 ст. 7 нашого закону не поширює ці вимоги на обробку даних, якщо вона необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону. Вочевидь автори не мали на увазі расове й етнічне походження, і навіть переконання. Мова перш за все про стан здоров’я та наявність відповідної освіти/кваліфікації – ці чинники є якщо не визначальними, то дуже важливими під час прийняття на роботу. Сюди відносяться й дані про склад родини. Проте законотворцю також варто було подати чіткий перелік даних, які можна і які не можна обробляти у сфері трудових відносин. (Утім, бухгалтери і кадровики, які збирають інформацію про своїх працівників, можуть спати спокійно.)

Стаття 10 закону також викликає запитання. Так, у ч. 2 статті наголошено: використання персональних даних можливе за умови створення умов для захисту цих даних. З цього формулювання не зрозуміло, чи має цей захист відбуватися відповідно до закону про захист інформації в автоматизованих системах, чи достатньо вжити заходів, прийнятних для обох сторін. Питання відкрите і лише правозастосовча практика покаже, що переважить.

Частина 4 цієї ж статті виглядає взагалі незугарно: «Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості». Таке формулювання було би доречним стосовно релігійних чи політичних переконань, тобто до ст. 7 щодо особливих вимог під час обробки ПД, тут же це положення виглядає як виправдання депутатів за маєтки й весілля на Канарах.

Подальші статті закону стосуються порядку обробки ПД – збирання, накопичення і зберігання, знищення та доступу до ПД, і є процедурними. Тут слід звернути увагу хіба що на збирання ПД органами досудового слідства – ч. 4 ст. 15 зобов’язує знищити ПД, зібрані під час оперативно-розшукової роботи, боротьби з тероризмом і контррозвідкою. Це важливе положення, і якщо доведеться стикнутися з його застосуванням, варто звернутися до справи Євросуду S. AND MARPER v. THE UNITED KINGDOM 2008 року. Заявник у цій справі звертався до органів внутрішніх справ Великобританії щодо вилучення з бази даних відбитків пальців та зразків ДНК. Відмову Євросуд сприйняв як порушення ст. 8 Європейської конвенції прав людини.

Свої й чужі дані 

Безоплатне отримання фізичною особою даних про себе від будь-якого суб’єкта забезпечено законом, без зазначення мети отримання такої іфнормації(ч. 6 ст. 16). Особа також має право знати, де розташована база даних із її ПД, та реквізити суб’єкта, що її обробляє, знати про умови доступу до цих ПД та вимагати їх виправлення та знищення (ст. 8).

Доступ третьої сторони відбувається за наявності згоди особи (ст. 16), персональні дані якої може бути надано. При цьому «третя сторона» має подати запит зі своїми реквізитами та реквізитами володільця бази даних, інформацію про особу, дані якої вона хоче отримати, їхній обсяг, а також указати мету запиту. Термін розгляду запиту такий самий, що й у чинному порядку розгляду інформаційних запитів – 10 днів на прийнятність розгляду і 30 днів з дня надходження на його задоволення. Зважаючи на те, що Закон про доступ до публічної інформації вдвічі зменшив строки розгляду, до цього теж закону може бути внесено відповідні зміни. Доступ третіх осіб передбачає оплату за консультування та організацію доступу до ПД. Розмір оплати має встановити Кабінет Міністрів України.

Чого в законі немає

Основна і серйозна вада закону – це робота з інформацією про публічних осіб. У законі зазначено, що до інформації з обмеженим доступом не належать дані про фізичну особу, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії.

Відповідно до ст. 25 Закону України «Про державну службу», до першої категорії належать:

  • посади перших заступників міністрів, керівників центральних органів виконавчої влади, які не є членами уряду України, їхніх перших заступників,
  • Постійного Представника Президента України в Автономній Республіці Крим,
  • голів обласних, Київської та Севастопольської міських державних адміністрацій,
  • керівників Адміністрації Президента України, Апарату Верховної Ради України,
  • заступників керівників Адміністрації Президента України, Апарату Верховної Ради України, інші прирівняні до них посади.

Утім, законодавець скромно випустив другу категорію (а може і 3,4,5…) до якої входять посади :

  • керівників секретаріатів комітетів Верховної Ради України, структурних підрозділів Адміністрації Президента України, Апарату Верховної Ради України, Секретаріату Кабінету Міністрів України,
  • радників та помічників Президента України, Голови Верховної Ради України, Прем’єр-міністра України,
  • заступників міністрів, заступників інших керівників центральних органів виконавчої влади,
  • першого заступника Постійного Представника Президента України в Автономній Республіці Крим,
  • перших заступників голів обласних, Київської та Севастопольської міських державних адміністрацій та інші прирівняні до них посади.

Так само законодавець забув про випадки, коли захист інтересів суспільства переважає над правом особи. Щоправда, примату міжнародних угод ніхто не скасовував, тож цю статтю в будь-якому разі буде змінено – добровільно чи за наслідком пари-трійки виграних справ у Європейському суді. Це питання правозастосовчої практики.

Закон не містить чітких положень і про біометричні дані й транскордонну передачу даних. Останнє навіть чітко зафіксовано в конвенції про обробку ПД. Біометричні ж дані в польському законі поставлено в ряд із даними про релігію, расу, стан здоров’я. У російському федеральному законі (в якому цьому питанню присвячено окрему статтю) зазначено, що такі дані можна збирати лише за згодою особи, окрім випадків, пов’язаних зі здійсненням кримінального переслідування і покарання, судочинства та в’їзду-виїзду за кордон.

Окрім викладених недоліків закон не містить жодної згадки про бази даних, що формуються необмеженим колом осіб та/або не мають володільця чи конкретно визначеної мети. Тут можна лише сподіватися, що це розглядатиметься як «для ведення в особистих цілях». У цьому ж колі питань і інтернет-розсилки, які формуються самими користувачами.

І головне: до закону, як це часто буває, забули чи не встигли прикріпити відповідальність.

Проте, 11 листопада 2010 року Кабінет Міністрів України вніс до Верховної Ради України проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних», №7355. Проект пропонує доповнити законодавство кількома адміністративними і кримінальним статтями, якими буде встановлено відповідальність від 200-300 до 400-500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб – до 1000 н.м.д.г. за ухиляння від реєстрації, порушення порядку доступу, неповідомлення про зміну відомостей органу та суб’єкта.

За порушення встановлених законодавством вимог щодо захисту інформації про особу фізична особа може сплатити 800-1000 н.м.д.г., а посадова особа – 1000-2000 н.м.д.г. Якщо спотворення призвело до значної шкоди, санкція може становити 800-2000 н.м.д.г., або виправні роботи від 2 до 4 років, або арешт на 6 міс, або обмеженням волі на строк до двох років. За умисне порушення вищезгаданих вимог особа сплатить штраф у розмірі 500-1000 н.м.д.г., або її буде засуджено до 2 років виправних робіт, або її буде покарано тримісячним арештом.

 Крім того, проект передбачає зміни до ст. 23 Закону про інформацію, в яку переноситься визначення поняття «інформації про особу» з закону про захист персональних даних.

  Замість післямови

 Загальне враження від закону – суперечливе. З одного боку, є намагання захистити права осіб, а з іншого – текст закону (який, утім є не найгіршим) потребує суттєвого доопрацювання. Закон із нечітко прописаними правилами – це палиця з двома кінцями: або правники і громадяни відіб’ють права журналістів та фізичних і юридичних осіб і встановлять чіткі правила гри, або Державна служба перетвориться на каральну машину і стане черговою податковою чи іншим «їдоком», що дуже любить накладати штрафи, збирати звіти і здійснювати перевірки. Зрештою, все залежить від нас самих.

 

1 лютого відбувся круглий стіл з приводу цього закону, організований у т.ч. за участі Державної служби України з захисту персональних даних. На ньому пролунало чимало критики і заклики до співпраці з метою вдосконалити закон. У свою чергу голова Держслужби повідомив, що незабаром з’явиться положення про цей орган. Утім, приміщення для органу ще немає, а 10 мільйонів у державному бюджеті призначено на розробку і впровадження державного реєстру. Так що час щось змінити ще є.

 

Вже за два тижні планується проведення заходу на тему захисту персональних даних про те, як захищають дані «у них», тож, можливо, «далі буде…».