Защита персональных данных – украинский вариант

В последнее время довольно большой ажиотаж в Украине наделал прошлогодний Закон от 01.06.2010 № 2297-VI “О защите персональных данных”. Безусловно, что этот ажиотаж, прежде всего вызван довольно большими штрафными санкциями, предусмотренными за нарушение норм этого закона. Давайте попробуем выяснить – что же требует этот закон от граждан Украины?

Согласно определяющей – первой статьи, Закон регулирует отношения, связанные с защитой персональных данных во время их обработки и его действие не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах физическими лицами, если это делается исключительно для непрофессиональных личных или бытовых нужд, а также – журналистом, в связи с выполнением им служебных или профессиональных обязанностей, а также – профессиональным творческим работником для осуществления творческой деятельности.

Сразу возникает вопрос: что такое – персональные данные и что такое – база персональных данных? На эти вопросы дает ответ (считается, что дает) статья вторая закона (“Определение терминов”). В частности, персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Сразу укажу, что закон не дает более детального определения: какие именно данные о лице относятся к персональным. Интернет-Сайт новосозданной Государственной службы Украины по вопросам защиты персональных данных также не дает на этот вопрос конкретного ответа, только рассуждает, что “приведенное в Законе Украины «О защите персональных данных» определение термина «персональные данные» в полной мере отвечает определению указанного термина, предусмотренного в Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных”. Далее этот официальный орган сообщает, что согласно международным стандартам термин «персональные данные» должен охватывать всю информацию о лице, которое идентифицировано или может быть идентифицировано любым способом. “Для определения факта идентификации лица необходимо учитывать все средства, которые используются владельцем или распорядителем баз персональных данных для идентификации указанного лица. Такой широкий подход к определению персональных данных предоставляет возможность достичь достаточной гибкости, позволяющей использовать указанный термин в разнообразных ситуациях и информационных и телекоммуникационных ресурсах, которые не существовали на момент принятия Конвенции, или могут возникнуть в будущем”. Это – достаточно относительно понятное разъяснение видимо означает, что в службе не знают – какие именно сведения они будут относить к персональным данным. Правда, держслужба честно об этом пишет: “Нам не известная практика определения минимальной совокупности сведений, дающая возможность конкретно идентифицировать лицо, с целью применения законодательства о защите персональных данных в странах Европейского Союза”.

Вот уж полюбили у нас ссылаться на Европейское законодательство и тупо перерисовывать их законы (как и этот закон). А мне, проживая в Украине, совершенно безразлично то – каким образом осуществляется контроль в этой сфере в Евросоюзе. Меня, как и всех граждан Украины, больше волнует то – каким образом нормы закона будут применяться в Украине? Но, если уже перерисовали этот закон у Европы и ссылаются на европейские принципы, то попробуем найти в них хотя бы какое-то уточнение.

Согласно Директиве Европейского парламента и Совета Европы 95/46/ЕС от 24 октября 1995 года “О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных”, персональные данные означают любую информацию, касающуюся установленного физического лица или физических лиц, которых можно установить (“субъект данных”). Лицом, которое можно установить, является такое лицо, которое можно установить прямо или косвенно, в частности с помощью идентификационного кода или одного или более факторов, присущих физическим, физиологическим, умственным, экономическим, культурным или социальным особенностям ее личности. Т.е. – ни какой конкретики.

Можно было бы, используя принцип аналогии, попробовать обратиться к Решению Конституционного Суда Украины от 30.10.1997 г. по делу N 5-зп (N 18/ 203-97), относительно официального толкования статей 3, 23, 31, 47, 48 Закона Украины “Об информации” и статьи 12 Закона Украины “О прокуратуре” (дело К.Г.Устименка), согласно которому: “К конфиденциальной информации, в частности, относят сведения о лице (образование, семейное положение, религиозность, состояние здоровья, дата и место рождения, имущественное состояние и другие персональные данные)”. Но, как видите, это Решение КСУ также не дает достаточно конкретного ответа, применяя слово “другие”.

Относительно баз персональных данных, то согласно закону (та самая статья 2), это – “именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных”. Слово “именованная” относительно этих правоотношений более или менее понятно, т.е. то, что имеет название. Если база данных о чем-то, то она априори имеет какое-то официальное или неофициальное название, например: “Список должников”. Относительно упорядочения в электронной форме, то видимо следует понимать, что если список в компьютере упорядочен (“упорядочить” – навести порядок в чем-то), например, по алфавиту, или по месту проживания и т.п., это уже можно толковать, как его упорядоченность. Тем более, если это касается закладки данных о человеке в программную компьютерную базу данных.

Относительно картотек, то снова же возникает вопрос: что считать картотеками? Слово “картотека” происходит от древнегреческих слов χάρ??? («лист папируса») и ???? («место хранения»). Т.е., это – упорядоченное по тем или другим признакам, собрание сведений. И, как следует из прямого перевода греческих слов и, как уже установилось во всех странах в течение последних столетий, в этом собрании каждая карточка – это один лист со сведениями, содержащими индивидуальные признаки. А относительно нашей конкретной проблемы, то это должен быть или один лист на каждого человека с его персональными данными, или один лист с отдельным списком людей, с указанием их персональных данных. В целом это должно быть каталогом, в котором легче найти то или иное лицо и (или) сведения о нем по какой-то системе поиска, по которой упорядочена эта картотека.

К сожалению, законом тоже не дано более четкого определения.

В целом, уже можно предвидеть, что закон изначально дает контролирующим органам возможность на свое усмотрение толковать эти понятия и соответственно, применять штрафные санкции – как им захочется. И я не уверен, что это случайно: государство у нас полицейско-фискальное, а штрафы – один из весомых источников пополнения бюджетов разных уровней.

Идем дальше…

Владельцем базы персональных данных закон определяет физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных, предоставлено право на обработку этих данных. Сразу следует отметить, что субъект персональных данных – это физическое лицо, относительно которого осуществляется обработка его персональных данных, т.е. – тот, кто внесен в базу данных.

Согласием субъекта персональных данных на внесение сведений о нем является любое документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных, при чем, обязательно – согласно сформулированной цели их обработки.

Объектами защиты, по нормам этого закона (статья 5), являются персональные данные, которые обрабатываются в базах персональных данных. Соответственно: персональные данные, которые не находятся в базах персональных данных не являются объектами защиты этого закона. Если эти данные находятся в базах, но они не обрабатываются, то они также не являются объектами защиты этого закона.

При этом, надо знать, что обработка персональных данных это – “любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице”.

Это понятие обработки также следует читать внимательно. Относительно информационных (автоматизированных) систем и картотек персональных данных, то между ними в норме закона проставлено “и/или”. Вместе с тем, в довольно четком перечне конкретных действий, связанных с использованием информационного ресурса, всюду стоят только запятые и одна буква “и”, что следует понимать как то, что для установления факта обработки необходимо наличие всех этих признаков в комплексе (сбор, регистрация, накопление, хранение, адаптация, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличение, уничтожение сведений о физическом лице). Соответственно, если нет одного из этих признаков – нет и обработки в целом. Хотя, скорее всего – это ошибка законодателя.

Цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, которые регулируют деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных. В случае изменения определенной цели обработки персональных данных субъектом персональных данных должно быть предоставлено согласие на обработку его данных, согласно измененной цели. Состав и содержание персональных данных должны быть соответствующими и нечрезмерными, относительно определенной цели их обработки. Объем персональных данных, которые могут быть включены в базы персональных данных, определяется условиями согласия субъекта персональных данных или законом.

Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Если обработка персональных данных является необходимой для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным. Персональные данные обрабатываются в форме, которая допускает идентификацию физического лица, которого они касаются, в срок, не больший чем это необходимо согласно их законному назначению.

Использование персональных данных в исторических, статистических или научных целях может осуществляться только в обезличенном виде. Это положение, мягко говоря, слишком уж закручено. Как это можно использовать персональные данные в обезличенном виде, если персонализация уже сама по себе предусматривает сведения о лице? И в каких-таких это случаях для исторических (например) целей, могут быть интересными обезличенные “персональные” данные?

При этом, в контексте исторических исследований возникают, в частности, такие вопросы: как быть, например, с книгами памяти, с базами данных участников военных действий, в частности – погибших? Как быть, к примеру, с базами данных и другими списками узников фашистских концлагерей? Да хотя бы и просто – со списками похороненных на каком-то кладбище? Ведь в этих базах, списках содержатся персональные данные, а у кого спрашивать разрешение на хранение и распространение этой информации? Даже у живых это не реально, не всех возможно найти, а относительно мертвых?.. Но закон не указывает, что для тех, кого нет в живых, есть какие-то исключения. Правда, в данном случае можно и наверное будет правильным считать, что тот, кого нет среди живых, уже не является лицом, поскольку уже утратил свою личность. Н, к сожалению, это конкретно законом не определено.

Типовой порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по вопросам защиты персональных данных (Государственная служба Украины по вопросам защиты персональных данных). Порядок обработки персональных данных, которые относятся к банковской тайне, утверждается Национальным банком Украины.

Запрещается обработка персональных данных (опять же напоминаю, что речь идет о целях, касающихся данного закона, т.е. – базы и каталоги…) о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни, за исключением случаев, когда такая обработка:

1) осуществляется при условии предоставления субъектом персональных данных однозначного согласия на обработку таких данных;

2) необходима для осуществления прав и исполнения обязанностей в сфере трудовых правоотношений, согласно закону;

3) необходима для защиты интересов субъекта персональных данных или другого лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;

4) осуществляется религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, которые созданы согласно закону, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, поддерживающих постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьим лицам без согласия субъектов персональных данных;

5) необходима для обоснования, удовлетворения или защиты правового требования;

6) необходима в целях здравоохранения, для обеспечения попечительства или лечения при условии, что такие данные обрабатываются медицинским работником или иным лицом учреждения здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных;

7) касается обвинений в совершении преступлений, приговоров суда, осуществления государственным органом полномочий, определенных законом, по исполнению задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом;

8) касается данных, которые были обнародованы субъектом персональных данных.

Субъект персональных данных, в частности, имеет право знать о местонахождении базы персональных данных, которая содержит его персональные данные, о ее назначении и наименовании, местонахождении и/или месте жительства (пребывания) владельца или распорядителя этой базы, или дать соответствующую доверенность на получение этой информации уполномоченным им лицам, кроме случаев, установленных законом; имеет право на доступ к своим персональным данным, содержащимся в базе персональных данных; имеет право предъявлять мотивированные требования с возражениями против обработки своих персональных данных органами государственной власти, органами местного самоуправления, требования об изменении или уничтожении своих персональных данных и т.п. права.

Распоряжение персональными данными физического лица, ограниченного в гражданской дееспособности или признанного недееспособным, осуществляет его законный представитель.

Все базы персональных данных подлежат государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных (Государственная служба Украины по вопросам защиты персональных данных) в Государственный реестр баз персональных данных. Положение о Государственном реестре баз персональных данных и порядок его ведения утверждено Постановлением Кабмина от 25.05.2011 № 616. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления. Заявление о регистрации базы персональных данных, согласно Порядку, который утвержден Приказом Минюста Украины от 08.07.2011 № 1824/5, подается владельцем базы персональных данных в указанный уполномоченный госорган. Владельцу базы персональных данных после регистрации выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных. Владелец базы персональных данных обязан сообщать уполномоченному госоргану о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения.

Использование персональных данных предусматривает любые действия владельца базы (именно – владельца базы, а не любого лица, у которого имеются персональные данные иного лица или лиц) относительно обработки этих данных, действий по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными, которые осуществляются по согласию субъекта персональных данных или согласно закону. Использование персональных данных владельцем базы осуществляется в случае создания им условий для защиты этих данных. Владельцу базы запрещается разглашать сведения о субъектах персональных данных, доступ к персональным данным которым предоставляется другим субъектам отношений, связанных с такими данными. Сведения о личной жизни физического лица не могут использоваться как фактор, подтверждающий или опровергающий его деловые качества.

Основания возникновения права на использование персональных данных:

1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предостережения об ограничении права на обработку своих персональных данных;

2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных, согласно закону, исключительно для осуществления его полномочий.

Распорядитель базы персональных данных может обрабатывать персональные данные только с целью и в объеме, определенных в договоре (видимо, имеется в виду договор с субъектом персональных данных).

Сбор персональных данных является составляющей процесса их обработки, что предусматривает действия по подбору или упорядочению сведений о физическом лице и внесении их в базу персональных данных. Опять же: не имеет значения – осуществили Вы подбор или упорядочение сведений о физическом лице, но обязательной составной является внесения их в базу персональных данных.

Субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о его правах, определенных этим Законом, цель сбора данных и о лицах, которым передаются его персональные данные, исключительно в письменной форме. Но такое сообщение не требуется, если персональные данные собираются из общедоступных источников. Собранные сведения о субъекте персональных данных, а также информация об их источниках предоставляются этому субъекту персональных данных по его требованию, кроме случаев, установленных законом.

Накопление персональных данных предусматривает действия по объединению и систематизации сведений о физических лицах, или о группе физических лиц или внесение этих данных в базу персональных данных.

Хранение персональных данных предусматривает действия по обеспечению их целостности и соответствующего режима доступа к ним.

Распространение персональных данных предусматривает действия по передаче сведений о физическом лице из баз персональных данных по согласию субъекта персональных данных. Т.е., согласно этому закону, распространение – это передача исключительно тех сведений, которые находятся в базах персональных данных. Распространение таких персональных данных без согласия субъекта персональных данных или уполномоченного им лица разрешается в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Сторона, которой передаются персональные данные, должна предварительно принять меры по обеспечению требований этого Закона.

Персональные данные в базах персональных данных уничтожаются в порядке, установленном законом в случаях:

1) истечения срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом;

2) прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если иное не предусмотрено законом;

3) вступления в законную силу решением суда об изъятии данных о физическом лице из базы персональных данных.

Персональные данные, собранные с нарушением требований этого Закона, подлежат уничтожению в базах персональных данных в установленном законодательством порядке. Персональные данные, собранные при выполнении задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом, уничтожаются в базах персональных данных согласно требованиям закона.

Порядок доступа к персональным данным третим лицам определяется условиями согласия субъекта персональных данных, предоставленными владельцу базы персональных данных на обработку этих данных, или согласно требованиям закона, по запросу. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению исполнения требований этого Закона или не в состоянии их обеспечить.

Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных доводит до сведения лица, подавшего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом. Отсрочка доступа субъекта персональных данных к своим персональным данным не допускается. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен законом. Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно. Доступ других субъектов отношений, связанных с персональными данными, к персональным данным определенного физического лица или группы физических лиц может быть платным в случае соблюдения условий, определенных этим Законом. Оплате подлежит работа, связанная с обработкой персональных данных, а также работа по консультированию и организации доступа к соответствующим данным. Размер платы за услуги по предоставлению доступа к персональным данным органами государственной власти определяется Кабинетом Министров Украины. Органы государственной власти и органы местного самоуправления имеют право на беспрепятственный и безвозмездный доступ к персональным данным, согласно их полномочиям.

О передаче персональных данных третьему лицу владелец базы персональных данных в течение десяти рабочих дней уведомляет субъекта персональных данных, если этого требуют условия его согласия или другое не предусмотрено законом. Об изменении или уничтожении персональных данных или ограничении доступа к ним владелец базы персональных данных в течение десяти рабочих дней сообщает субъекту персональных данных, а также субъектам отношений, связанных с персональными данными, которым эти данные были переданы.

Передача персональных данных иностранным субъектам отношений, связанных с персональными данными, осуществляется только при условиях обеспечения надлежащей защиты персональных данных, при наличии соответствующего разрешения и в случаях, установленных законом или международным договором Украины, в порядке, установленном законодательством. Персональные данные не могут распространяться с иной целью, кроме той, с которой они были собраны.

Обеспечение защиты персональных данных в базе персональных данных возлагается на владельца этой базы. Владелец базы персональных данных в электронной форме обеспечивает ее защиту в соответствии с законом.

Нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом. Но это – отдельная тема…

Закон вступил в силу с 1 января 2011 года, санкции за его нарушение вступают в силу с 1 января 2012 года.