1 июня 2010 года был принят Закон Украины «О защите персональных данных». За активными законодательными изменениями и новогодними приготовлениями принятие этого Закона и вступление его в силу может пройти почти незамеченным. Тем не менее осталось совсем немного времени до того дня, когда этот нормативный акт будет применяться на практике. Напомним, он вступает в силу с 1 января 2011 года.
Принятие этого Закона отражает тенденцию гармонизации украинского законодательства с законодательством ЕС и международным правом (во всяком случае будем надеяться, что такая тенденция действительно имеет место в законотворчестве сегодня). Так, ЕС развивает законодательство в этой сфере на основании Хартии основополагающих прав ЕС, статья 8 которой предусматривает право лица на защиту персональных данных. В соответствии с этой статьей было принято несколько Директив ЕС, а именно: № 95/46/ЕС и № 97/66/ЕС. Однако в законодательстве Украины и раньше существовали общие нормы, которые касаются защиты персональных данных. Несмотря на то, что такие нормы являются общими, они содержатся в Основном Законе Украины. Например, статья 32 Конституции гарантирует невмешательство в личную жизнь и запрещает хранение, использование и распространение конфиденциальной информации о лице без его согласия. Аналогичное положение содержится в статье 302 Гражданского кодекса Украины.
Недавно принятый Закон Украины «О защите персональных данных» реализует два международных правовых акта, которые недавно ратифицировала Украина, а именно: Конвенцию о защите лиц в связи с автоматизированной обработкой данных личного характера № 108 от 28.01.81 и Дополнительный протокол к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных от 08.11.2001.
Названные международные правовые акты можно расценивать как намерение установить законодательный компромисс между потребностями государства (в частности, правоохранительных органов) и бизнеса (речь идет о банках, телефонных компаниях, медицинских учреждениях и пр.) в систематизации и сборе информации о физических лицах, с одной стороны, и правом физических лиц не предоставлять такую информацию и требовать от тех, кто ею владеет, не собирать ее без нужды и уничтожить ее в случае, если предусмотренная законом цель ее сбора исчезла.
Ввиду стойкой традиции формализировать применение норм права имеет значение то, как определены понятия «персональные данные», «база персональных данных» в законодательстве Украины, а также вопросы доступа, распространения персональных данных, их уничтожения и т. д.
Хотелось бы остановиться на нескольких нормах этого Закона и оценить перспективы их применения на практике.
Прежде всего следует обратиться к понятию персональных данных – это данные или совокупность данных о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (статья 2 Закона Украины «О защите персональных данных»). Однако следует учитывать, что Конвенция, в соответствии с которой был принят названный Закон, использует термин «данные личного характера», который означает любую информацию, касающуюся конкретно определенного лица. Это же определение включает лицо, которое может быть конкретно определено. Приведенное определение также подлежит применению, поскольку Конвенция после ратификации стала частью законодательства Украины.
Следует также учитывать и другое законодательство Украины, которое касается этого же вопроса, а именно: Закон Украины «Об информации», в котором содержится статья 23 «Информация о лице». Эта норма прямо определяет, какая информация касается физического лица. По этой причине ее следует использовать при применении указанного выше Закона.
Реализуя на практике положения Закона «О защите персональных данных», нужно также ориентироваться на требования законодательства Украины об информации
Вместе с тем Конвенция, как и Закон, содержит оговорки, которые позволяют собирать информацию, в частности, с целью обеспечения государственной и общественной безопасности, валютно-кредитных интересов государства и пр. при условии, что обеспечивается гарантия несанкционированного доступа, изменения или распространения информации. В связи с этим следует также вспомнить о недавно принятом Законе Украины «О внесении изменений в Закон Украины «О предупреждении и противодействии легализации (отмыванию) доходов, полученных преступным путем», который предусматривает сбор информации о финансовой деятельности.
Закон «О защите персональных данных» использует в определении термина «персональные данные» признак «физические лица», из чего следует, что этот нормативный акт не распространяется на юридические лица. Следовательно, информация о юридическом лице не относится к сфере регулирования этого Закона.
Формат персональных данных
Конвенция устанавливает основополагающие принципы защиты данных в связи с их автоматизированной обработкой. Однако при ратификации Конвенции Украина приняла оговорку, что будет использовать Конвенцию также и для файлов персональных данных, которые не обрабатываются автоматически. В связи с этим, по нашему мнению, существует риск того, что под действие этого Закона могут попасть те базы данных, которые не содержатся в электронном формате.
Под действие Закона «О защите персональных данных» могут попасть все базы данных о физлицах, включая те, которые не содержатся в электронном виде
Так, у каждого предпринимателя есть как минимум несколько десятков визиток, которые содержат информацию об определенных физических лицах. Есть ли основания в связи с этим утверждать о наличии у них баз персональных данных? Аналогично возникает вопрос о предприятиях торговых сетей или банков, которые предоставляют скидки своим покупателям? Таких примеров можно привести немало. Вместе с тем Закон не дает четкого ответа на поставленные вопросы, что может привести к неоднозначному применению его в будущем. Однако следует также признать, что он не применяется к тем базам данных, которые используются для личных или бытовых потребностей, для творческой деятельности и пр.
Регистрация баз персональных данных
С принятием Закона вводится режим правовой защиты информации или совокупности информации о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (статья 2 Закона Украины «О защите персональных данных»). Защита информации происходит, в частности, путем регистрации таких баз в соответствующем государственном органе.
Регистрация баз персональных данных обеспечивает их учет и позволяет информировать граждан о возможности доступа к их персональным данным. Вместе с тем следует обратить внимание, что такая регистрация не предусматривает предоставления таких данных органу, который проводит регистрацию.
В соответствии с этим Законом создается Государственный реестр баз персональных данных. Этот реестр является единой государственной информационной системой сбора, накопления и обработки данных о зарегистрированных персональных данных. Регистрация баз персональных данных совершается по заявительному принципу. Порядок создания и ведения такого реестра утверждается Кабинетом Министров Украины. На сегодняшний день такой порядок еще не утвержден.
Права физических лиц относительно защиты персональных данных
В соответствии со статей 8 Закона Украины «О защите персональных данных», личные неимущественные права на персональные данные, которые имеет каждый гражданин, являются неотъемлемыми и нерушимыми. Субъект персональных данных имеет право:
• знать о местонахождении баз персональных данных;
• получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;
• иметь возможность доступа к своим персональным данным;
• получать ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать свои персональные данные, которые хранятся;
• предъявлять требование с возражением против обработки своих персональных данных;
• требовать изменения или уничтожения своих персональных данных и пр.
Приведенные права предоставляют широкие возможности для обращения в суд за защитой своих прав
Обязательства владельца баз данных
Из Закона следует, что лица, которые содержат и ведут базы данных и совершают обработку персональных данных, обязаны:
• обеспечить ограниченный доступ к такой информации;
• вести базу корректно, точно, достоверно, в случае необходимости – обновлять ее;
• не допускать обработки данных без согласия физического лица;
• уничтожить собранную информацию в случае, если необходимость в такой информации отпала;
• зарегистрировать базу данных в установленном порядке и пр.
В соответствии с принятым Законом, владелец базы персональных данных обязан уведомить уполномоченный государственный орган о каждом изменении сведений.
Ответственность за нарушение законодательства о защите персональных данных
Ответственность за нарушение законодательства о защите персональных данных на уровне национального законодательства не урегулирована. В соответствии со статьей 28 Закона Украины «О защите персональных данных» «нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом».
Однако на сегодняшний день специальная ответственность не установлена. Также не определены виды и мера ответственности, которая может применяться к нарушителям.
ВЫВОДЫ:
Закон Украины «О защите персональных данных» не применяется к информации о юридических лицах.
Торговым предприятиям, банкам, компаниям, предприятиям, которые работают с физическими лицами, следует рассмотреть свою деятельность под углом принятого Закона и оценить возможные юридические риски.
Компаниям и организациям, которые собирают персональные данные физических лиц, следует быть готовыми к искам от физических лиц, которые могут требовать выполнения обязанностей, предусмотренных этим Законом.
Предприятиям и организациям следует уделить внимание надлежащему оформлению без данных, в частности провести инструктаж для своих сотрудников относительно необходимости выполнения положений Закона.
Александр Поливодский,
адвокат,
юридическая фирма «София»