На протязі кількох десятків останніх років приватне життя більшості українців обмежувалось лише простирадлами, які ділили кімнату однієї комунальної квартири на частини. Не встигла ідея приватності закріпитися у нашій свідомості, як Верховна Рада вирішила закріпити «приватність» законодавчо. Проте, як у нас водиться, будь-яка гарна ініціатива псується бюрократичними процедурами та політичними розрахунками. І в результаті перетворюється на загрозу. В даному випадку на загрозу свободі слова та невідповідності демократичним європейським стандартам.
Приватність і персональні дані до останнього часу залишалася без належного законодавчого регулювання. У рамках реформування інформаційного законодавства і виконання вимог Ради Європи, лише в березні 2006 року Верховна Рада прийняла закон «Про захист персональних даних». У квітні того ж року Президент Віктор Ющенко ветував цей закон, зокрема, на підставі того, що він не узгоджувався з Конвенцією Ради Європи.
Цього разу, Верховна Рада України зробила чергову спробу і таки прийняла Закон України «Про захист персональних даних», за який проголосували 355 депутатів. А 24 червня 2010 року, його підписав Президент України, незважаючи на активні протести громадськості та представників українського бізнесу.
Таким чином, парламент встановив, що персональні дані є інформацією з обмеженим доступом. Персональними даними, відповідно до закону, є будь-які дані про особу, що дозволяють її ідентифікувати. Тобто, це навіть прізвище, ім’я, по батькові з номером мобільного телефону.
Відповідно, збір, обробка чи поширення цих даних можливе лише зі згоди особи або у випадках, встановлених законом. Виняток з цього правила становлять лише особи, що прирівнюються до державних службовців першої категорії: народні депутати, посади голів державних комітетів, що не є членами Уряду України, голів інших центральних органів державної виконавчої влади, та інших, саме високопосадовців.
Кілька років представники громадськості наполягали на необхідності прийняття закону, який би захищав персональні данні. Проект зазначеного закону з 1997 року обговорювався за участю представників міністерств, відомств, організацій, науковців, громадськості та засобів масової інформації. І коли нарешті такий закон прийнято – маємо хвилю критики.
Загалом закон «Про захист персональних даних» орієнтований на норми європейського права. Звісно, знайти недоліки можна у будь-якому нормативному акті. І зазначений закон не виняток. З одного боку, він покликаний захистити право на приватність. А з іншого – може ускладнити життя кожному з нас, погіршити умови українському бізнесу і значно обмежити свободу слова.
Переможна хода приватності
Перед законодавцями стояло завдання: Україна ратифікувала конвенцію Ради Європи «Про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних», і необхідно було прийняти внутрішній закон, який би пристосував цю конвенцію до наших національних умов. Проте слід зазначити, що від України вимагається прийняти не просто будь-який закон у сфері захисту персональних даних. Такий закон має відповідати критерію якості, тобто узгоджуватися із встановленими європейськими стандартами. Для виконання вимог Ради Європи цілком достатньо було б, зберігши дух і логіку Конвенції, видати компактний закон загального характеру. Проте, народні обранці взялися за роботу з завзяттям і породили справжній шедевр. Законодавець надав закону неймовірну загальність, і тепер його можна докласти абсолютно до всього.
Проект закону встановлює механізми захисту від збирання, обробки та використання персональних даних про особу без її згоди. Проте відсутній будь-який зв’язок із захистом права на повагу до приватного життя, складовою якого є захист персональних даних. За таких обставин, положення закону можуть застосовуватися з іншою метою, ніж захист прав людини. З’являється новий контролюючий орган, що має право надавати обов’язкові до виконання вказівки усіма суб’єктами, а з іншої сторони – правоохоронні органи отримують чергову підставу для перевірки та порушення кримінальних справ.
Більше того, за такі дії вже встановлено кримінальну відповідальність за втручання у приватне життя особи (стаття 182 Кримінального кодексу), оскільки поширення такої інформації вже можна трактувати, як незаконне.
Крім того ціла низка норм просто дивує своєю «інноваційністю». Доводилось зустрічатись з думкою про те, що з набранням чинності законом доведеться реєструвати як базу даних власну візитівницю. Дійсно, наведене в законі визначення терміну «база персональних даних», виходячи з якого вона може існувати, в тому числі, і у формі картотеки. Тобто візитівниця, що містить візитки з даними осіб, формально є базою персональних даних у формі картотеки, і, отже, вимагає державної реєстрації. Відповідно до ст. 1 дія закону не поширюється, зокрема, на «діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою – виключно для непрофесійних особистих чи побутових потреб». Тобто візитівницю з даними своїх улюблених перукарів, сантехників та ветеринарів улюблених котів реєструвати не доведеться, як таку, що використовується для особистих та побутових потреб. Проте, якщо до візитівниці зібрано візитки ділових партнерів, то вона використовується вже для професійних потреб.
Також, згідно з цим нормативним актом матеріали в підручниках історії повинні виглядати приблизно так: «Особа А. провела перемовини з особою Б.», «Прапор над рейхстагом підняли особи І, ІІ та ІІІ». Так як «використання персональних даних в історичних, статистичних та наукових цілях може використовуватися лише в знеособленому вигляді», і в буквальному розумінні норм законопроекту, в наукових роботах не можна робити жодного посилання на інших колег не має можливості, навіть при наявності їх письмової згоди.
Ще один приклад. Шкільні журнали в яких ведеться облік відвідування та успішності учнів тепер також є також базою даних. Тому згідно з законом батьки не можуть ознайомитись з оцінками улюбленого чада без його письмової згоди. Крім того, згідно з законом, за це потрібно брати плату. Журнали потрібно переробити таким чином, щоб унеможливити доступ до даних всіх учнів, тобто повинно бути один учень – одна картка. Адміністрація шкіл повинна реєструвати всі журнали, внесення змін до них (чи то кожну оцінку, чи то кожного разу коли прибувають та вибувають учні).
Це далеко не вичерпний перелік не доопрацювань, які зустрічаються в нормативному акті.
Свобода слова
Свобода слова – природне право будь-якої людини вільно висловлювати свої думки іншим людям, в тому числі, за допомогою засобів масової інформації – в газетах, журналах, книгах, в кіно, по радіо, телебаченню, в інтернеті.
Вимога перетворити приватність в публічність, за певних умов, є однією з гарантій права на свободу слова. Протиріччя між правом кожної людини залишатися час від часу наодинці з самим собою та своїми близькими і правом суспільства знати все про публічну людину вже закріпилося в свідомості і законодавстві країн Європи. Більше того, вимога перетворити приватне на публічне у випадках публічності особи, або суспільної значимості інформації, вважається одним із професійних вимог журналістської професії.
Закон визначає, що він не поширюється на діяльність журналіста щодо створення та обробки баз персональних даних. Проте він повністю поширюється щодо правил поширення персональних даних про особу, котрі не знаходяться в жодних базах даних або знаходяться в базах даних, наприклад, державних.
На практиці це означає, що від дня набуття чинності цим законом в ЗМІ буде заборонено поширювати персональні данні особи без її згоди, якщо вона не займає виборну посаду або посаду державного службовця першої категорії.
Законопроект не містить поняття «публічної особи» (а це одна з, так званих, «аксіом» європейських демократичних стандартів). А як відомо із практики Європейського суду з прав людини, про таких людей без їхньої згоди можна збирати та поширювати дані персонального характеру, якщо вони є важливими для суспільства. Натомість, як вже згадувалось, із загальної заборони щодо поширення персональних даних, в законопроекті існує виняток лише щодо осіб, котрі претендують чи займають виборні посади або посади державного службовця першої категорії.
Тобто, поширення персональних даних журналістом у багатьох випадках може вважатися порушенням цього закону і, як наслідок, тягнути цивільну та кримінальну відповідальність. Крім того, свобода суспільної дискусії повинна надавати право висловлювати й поширювати свою думку через ЗМІ не лише журналістам, а й іншим громадянам, що наразі формально стає проблемою. Наприклад, відповідно до цього закону без письмової згоди особи забороняється навіть згадування усіх посадовців органів місцевого самоврядування, багатьох посадовців органів державної влади, політиків, кіноакторів, письменників, співаків та інших публічний людей. Такі вимоги є явно не пропорційним обмеженням свободи слова, зашкодять розвитку видавничого, рекламного бізнесу, унеможливлять роботу поштових служб тощо.
А як «у людей»?
Сьогодні в Європі приватність, поряд із свободою слова та іншими правами, є однією із основних цінностей, з якою живе кожен європеєць. Ще в 1995 році для гармонізації законодавства Євросоюзу Європейська комісія прийняла Директиву «Про захист даних», яка в даний час має силу закону. Країни Євросоюзу повинні були привести своє законодавство у відповідність з директивою, щоб дозволити транскордонну передачу даних.
На сьогоднішній день основними європейськими документами в галузі захисту персональних даних є Конвенція Ради Європи «Про захист особи у зв’язку з автоматичною обробкою персональних даних» та Директива Європарламенту «Про захист фізичних осіб при обробці персональних даних та про вільне переміщення таких даних», яка є обов’язковою для всіх країн-членів ЄС та яка є предметом для наслідування в галузі законодавства, в тому числі й Україною.
Однією з перших в Європі у 1998 році був прийнятий закон «Про персональні дані» в Швеції. Відповідно до нього, обмеження на використання персональних даних не поширювалися на журналістів і пресу, літературні та артистичні твори. Також дозволялося використання персональних даних за згодою особи. В зв’язку із жорсткими вимогами закону, у 1999 році офіційним доповіддю Єврокомісії було визнано, що закон неможливо повністю виконувати, і в 2000 році парламент змінив закон таким чином, що його положення стали ліберальнішими і «незначні» порушення закону не переслідувалися. Також була дозволена транскордонна передача персональних даних (інформація, розміщена в інтернеті, доступна з різних країн, тому вважається транскордонної передачею).
Багато в чому аналогічна ситуація склалася в інших країнах-членах Євросоюзу. Оскільки визначення персональних даних, як правило, максимально широкі, то відповідне законодавство на практиці громадянами не виконується через зайву обтяжливість. А відповідні органи державної влади, як правило не вживають ніяких дій, окрім як у виняткових випадках. У той же час, за наявності заяви потерпілого, порушник закону може бути засуджений до штрафу і навіть до тюремного ув’язнення.
Важливим залишається питання виникнення колізій між вимогою приватності та інтересами ЗМІ. Тут слід відзначити, що кожна з цих цінностей глибоко вкорінена в традиціях європейського суспільства. З одного боку, у всіх необхідних випадках особи повинні вдаватися до засобів, що дозволяють уникнути опублікування інформації приватного характеру. З іншого боку, інтереси збереження приватності необхідно щоразу зіставляти з зацікавленістю публіки отримувати інформацію про те, що відбувається, а преси – поширювати таку інформацію. І в багатьох випадках право поширювати і отримувати інформацію має пріоритет.
Оскільки свобода преси є надто особливо важливою при демократичному способі правління, то в європейських країнах вона має значні можливості поширення такої інформації. Насамперед це стосується суспільно-важливої інформації та інформації про публічних осіб. Ці тези вже неодноразово були підтверджені рішеннями Європейського суду з прав людини, які, до речі, є також джерелом права в Україні.
Крім того, відповідно до європейських стандартів, персональні дані поділяються на дані загального характеру (прізвище, ім’я та по батькові, дата і місце народження, громадянство, місце проживання тощо) та вразливі персональні дані (дані про стан здоров’я – історія хвороби, діагнози тощо; етнічна належність; ставлення до релігії; ідентифікаційні коди чи номери; персональні символи; підпис; відбитки пальців, записи голосу, фотографії; дані про розмір зарплати або інші законні доходи, про вклади і рахунки в банках, нерухомість, податковий статус; кредитна історія; дані про судимість та інші форми притягнення особи до кримінальної, адміністративної чи дисциплінарної відповідальності; результати іспитів, професійного та іншого тестування тощо). Нинішніми європейськими законами, як правило, забороняється збирання, зберігання, використання та поширення без згоди суб’єкта даних саме вразливих персональних даних, а не взагалі усіх персональних даних, як це зроблено у прийнятому законі N 2297-VI.
Кажуть, час лікує…
Перелік недоліків українського закону можна було би наводити дуже довго. Законопроект створює проблем набагато більше, ніж вирішує. У багатьох положеннях, закон порушує вимоги Конвенції Ради Європи № 108 «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» та низки Рекомендацій Комітету міністрів Ради Європи, стандарти Європейського Союзу, зокрема, Директиву ЄС від 24 жовтня 1995 року № 95/46/ЄС.
Складається таке враження, що закон розроблено в максимально жорсткій редакції з розрахунком, що в процесі правозастосування зайву жорсткість можна буде поступово прибрати, а закон доопрацювати. При цьому, напевне, законодавець виходить з відомої фрази про пом’якшення жорсткості необов’язковістю виконання.
Можна із впевненістю сказати, що закон «Про захист персональних даних» не відповідає європейським стандартам та може мати негативні наслідки для свободі слова в Україні, а, отже, не може вважатися виконанням Україною своїх міжнародних зобов’язань.
Дивує також позиція влади, яка вже вкотре демонструє свою ізольованість від спілкування з суспільством, громадськими організаціями та представниками під час прийняття рішень, повністю ігноруючи їхню позицію.
Вартою уваги обставиною є і те, що Закон набуває чинності з 1 січня наступного року. Тобто, всім надано лише півроку на приведення своєї діяльності у відповідність з вимогами Закону . З огляду на його зміст, є всі підстави вважати, що протягом такого короткого терміну це технічно неможливо. Між іншим, у Російській Федерації, де ситуація з персональними даними була наближена до вітчизняної, термін набуття аналогічним законом чинності був близько чотирьох з половиною років: аналогічний Закон РФ прийнятий 27.07.2006 року, а набуває чинності в повному обсязі 1 січня 2011 року.
Залишається сподіватися лише на те, що набрання чинності законом буде відстрочено, а відповідні його положення все-таки буде узгоджено з європейськими нормами.
Дмитро Чоповський, Інститут масової інформації