Экспертное заключение по проекту закона РК «О персональных данных» (Лоскутов И.Ю.)

Корреспонденты на фрагмент
Поставить закладку
Посмотреть закладки
Добавить комментарий

Экспертное заключение по проекту закона РК «О персональных данных»

Лоскутов И.Ю.

Генеральный директор

ТОО «Компания «ЮрИнфо»

I. Введение

Предметом настоящего исследования является проект Закона Республики Казахстан «О персональных данных» (далее - Проект), разработанный в соответствии с пунктом 30 Плана законопроектных работ Правительства РК на 2011 год, утвержденного постановлением Правительства Республики Казахстан от 30 декабря 2010 года № 1467, и внесенный 27 сентября 2011 года в Правительство Республики Казахстан.

Разработка Проекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными. Проектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Так, Проектом вводятся понятия персональных данных и определяются порядок их обработки, основы организационно-правового обеспечения деятельности юридических лиц и государственных органов, организующих и осуществляющих обработку данных физических лиц.

Проектом регулируются общественные отношения, связанные с обработкой персональных данных физических лиц, осуществляемой государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без них.

В ходе исследования Проекта ставились задачи проведения:

1) оценки качества, обоснованности, своевременности, правомерности проекта, соблюдения в проекте закрепленных Конституцией Республики Казахстан прав человека и гражданина;

2) определения возможной эффективности нормативного правового акта;

3) выявления возможных отрицательных последствий принятия проекта в качестве нормативного правового акта.

II. Обзор основных международных стандартов, регулирующих вопросы защиты персональных данных, а также передового опыта других стран

Необходимость защиты персональных данных базируется на одном из фундаментальных прав человека: защите от вмешательства в личную жизнь. В статье 12 Всеобщей декларации прав человека (принята и провозглашена резолюцией 217 А (III) Генеральной Ассамблеи от 10 декабря 1948 года) указывается: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

Неспособность гарантировать право на защиту личных данных ставит под удар другие смежные права и свободы, включая свободу выражения, свободу мирных собраний, свободу доступа к информации, принцип недискриминации, а, в конечном счете, стабильность конституционных демократий. Поэтому в статье 17 Международного Пакта о гражданских и политических правах (далее - МПГПП) (Нью-Йорк, 19 декабря 1966 г.) эта формулировка была расширена в части незаконных вмешательств и посягательств и звучит так: «Никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

МПГПП был ратифицирован Законом Республики Казахстан от 28 ноября 2005 года № 91-III и вступил в силу для РК 24 апреля 2006 года. А, как известно, международные договоры, заключенные Республикой Казахстан в соответствии с Конституцией Республики в установленном порядке и ратифицированные Парламентом Республики Казахстан, имеют приоритет перед ее законами (пункт 3 статьи 4 Конституции Республики Казахстан). Также в пункте 11 Нормативного постановления Верховного Суда Республики Казахстан от 10 июля 2008 года № 1 «О применении норм международных договоров Республики Казахстан» (с изменениями от 21.04.2011 г.) прямо говорится о том, что в необходимых случаях суды должны руководствоваться нормами Международного пакта о гражданских и политических правах, ратифицированного Парламентом 28 ноября 2005 года, для обеспечения выполнения обязательств Республики Казахстан как участника указанного международного пакта.

В 1988 году Комитет ООН по правам человека принял Замечание общего порядка № 16 к статье 17 МПГПП. Согласно этому документу, обязательства Республики Казахстан, вытекающие из данной статьи, требуют от государства принятия законодательных и других мер для действенного запрещения произвольного или незаконного вмешательства в личную и семейную жизнь человека, а также защиты этого права.

Комитет определил термины: «незаконного вмешательства», означающего, что вмешательство вообще не может иметь место за исключением случаев, предусмотренных законом, соответствующим положениям, целям и задачам Пакта; «произвольного вмешательства», допускаемого законом, соответствующего положениям, целям и задачам Пакта и не являющегося обоснованным в конкретных обстоятельствах; «семьи», охватывающей всех тех, кто входит в состав семьи, как она понимается в обществе соответствующего государства-участника; «жилища», указывающего на то место, в котором человек проживает или занимается своими обычными делами. То, что в статье 17 МПГПП речь идёт о защите как от незаконного, так и от произвольного вмешательства, означает, что именно в законодательстве государства должна быть прежде всего предусмотрена защита права, закреплённого в этой статье.

В течение достаточно долгого времени, ни в международных актах, ни в национальном законодательстве никаких специальных правил о порядке получения, хранения, обработки и передачи персональных данных не было. Но, с появлением информационных технологий в 60 - 70 годах значительно увеличился интерес к персональным данным и частной жизни. Изобретение мощных компьютеров и, соответственно, появление возможности их использования в качестве средства слежки и контроля частной жизни повлекло за собой необходимость принятия нормативных актов, регулирующих сбор и обработку персональных данных. Поэтому, начиная с 1970-х гг. в промышленно развитых странах стало появляться соответствующее законодательство. Таким образом, история формирования законодательной базы защиты персональных данных насчитывает более чем тридцатилетнюю историю. В 1973 и 1974 гг. Комитет министров Совета Европы принял две резолюции о защите неприкосновенности частной жизни в связи с созданием электронных банков данных — одну для частного, другую для государственного сектора. Обе резолюции рекомендуют правительствам стран — членов Совета Европы принять меры к обеспечению соблюдения базовых принципов защиты, относящихся к получению данных, качеству данных и праву частного лица на получение информации о своих персональных данных и способах их использования.

На национальном уровне, первый закон о защите персональных данных был принят в Германии, в земле Гессен в 1970 году. До принятия этого закона в мире не было подобных актов. В целом, по состоянию на сентябрь 2011 года насчитывается уже 76 стран, в которых действуют законы, регулирующие порядок защиты неприкосновенности частной жизни и персональной информации. Перечень некоторых из них приводится в Приложении 1. Недавно они впервые были приняты в таких странах, как Ангола, Украина и Индия. В законодательных органах Бразилии, Грузии, Филиппин, Таиланда, Ганы и Южной Африки рассматриваются проекты таких законов. Всего в настоящее время, за пределами Европы есть 27 законов о неприкосновенности частной жизни.

Первое поколение законов о защите личных данных зародилось в период, когда вычислительные системы использовались немногочисленными, и прежде всего, государственными контролерами данных (термин является аналогом определения «держатель»). Основная угроза, по мнению авторов законов первого поколения, заключалась в том, что некое государство, получив доступ ко всем информационным банкам данных, превратится в информационную супердержаву. Поэтому, формулируя требования законодательства, авторы старались особое внимание уделить новым технологиям обработки информации и сделать их применение управляемым и прозрачным.

Главным фактором, благодаря которому родилось второе поколение законодательства о защите персональных данных, стало решение Федерального конституционного суда Германии, объявившего в декабре 1983 года некоторые изменения, внесенные в этом же году в Закон о защите данных, не соответствующими Конституции Германии.

Общий смысл этого решения сводился к тому, что, согласно Конституции, каждому человеку гарантируется право самоопределения в использовании, передаче и раскрытии его личных данных. Суд также постановил, что право самоопределения должно быть надлежащим образом обеспечено и при электронной обработке личных данных, поскольку «нет никакой необходимости отказываться от современных технологий и переходить на бумажные картотеки». Тем не менее, в случае электронной обработки возникают существенные угрозы для права самоопределения, так как обладатель этого права не может с достаточной достоверностью знать, что в конкретный момент происходит с его данными, и поэтому личные данные, обрабатываемые в электронной форме, должны быть защищены более надежно, чем бумажные картотеки. Это решение оказало огромное влияние на законы целого ряда европейских государств: принципы, заложенные в нем, появляются в законодательстве о защите личных данных ряда европейских стран.

Характеризуя второе поколение законодательства о защите личных данных (1990-е годы), можно отметить один наиважнейший фактор: законодательство этого поколения гарантирует человеку соблюдение его прав в отношении личных данных в процессе всего цикла их обработки, и не ограничивается отдельными его элементами. Законодатели поняли, что решение гражданина не может быть ограничено его согласием или несогласием в отношении автоматизированной обработки данных, так как технологии обработки информации с использованием ЭВМ проникли в общество до такой степени, что несогласие повлечет за собой существенное увеличение стоимости обработки данных, прежде всего для их владельца.

Нормативные акты в отношении защиты личных данных, принимавшиеся в тот период, становились все более абстрактными и отвязанными от конкретных технологических решений: технический прогресс, массовое использование ЭВМ и популяризация компьютерных сетей в скором времени сделали бы прежние методы регулирования невозможными. Именно поэтому законодатели старались максимально обеспечить право человека на самоопределение в отношение своих личных данных, которое, по крайней мере, теоретически, наделяет человека способностью отстоять свои права на защиту его данных при любой форме их обработки. Требования к технической защите автоматизированных систем были понижены, и благодаря этому был достигнут оптимальный баланс между эффективностью и безопасностью обработки данных.

Потребность в разработке межгосударственных нормативных актов возникла сразу же после принятия национальных законов о защите личных данных в США и Европе, дабы не создавать препятствий для их трансграничной передачи.

Первым документом такого уровня стали Рекомендации о защите личных данных при их трансграничной передаче, разработанные Организацией экономического сотрудничества и развития в 1980 году. Первичная цель этого документа — избежать препятствий для полноценного экономического сотрудничества, связанных с необоснованными требованиями к защите личных данных.

Следующим шагом стало принятие в 1981 году Советом Европы Конвенции о защите личности в связи с автоматической обработкой персональных данных (Страсбург, 28 января 1981 г.), к которой приняты дополнения от 15 июня 1999 г., позволяющие вступление европейских сообществ в Конвенцию. Данная Конвенция - первый обязывающий международный инструмент, защищающий физических лиц от злоупотреблений, которые могут иметь место при сборе и обработке данных, и ставящий в то же время задачу регулировать трансграничный поток персональных данных. Конвенция не только дает гарантии применительно к сбору и обработке персональных данных, но и запрещает, если национальное право не обеспечивает надлежащих гарантий, обработку «чувствительных» данных относительно расовой принадлежности лица, его политических взглядов, здоровья, религии, сексуальной жизни, уголовного прошлого и т.п. Конвенция также дает лицу право знать, что данные о нем собраны, и в случае необходимости иметь возможность их исправить. Ограничения изложенных в Конвенции прав возможны только в случае, когда под угрозой оказываются высшие интересы (т.е. безопасность государства, интересы обороны и т.д.). Конвенция также предписывает определенные ограничения применительно к трансграничным потокам личных данных в те государства, где правовое регулирование не обеспечивает их должной защиты. Основным мотивом разработки Конвенции являлась необходимость гармонизации законодательства европейских стран, поэтому в 1981 году Еврокомиссия публикует рекомендации для государств-членов ЕС принимать соответствующие соглашения об использовании Конвенции. По состоянию на 13 апреля 2011 года общее число ратификаций/вступлений в силу Конвенции составляет 43.

В 1995 году была принята Директива Европейского парламента и Совета Европейского Союза от 24 октября 1995 года № 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (в редакции Регламента Европейского парламента и Совета ЕС 1882/2003 от 29 сентября 2003 года). Основная цель, дважды продекларированная в Директиве, является производной от статьи 100а Соглашения о создании Европейского Экономического Сообщества, а именно — создание единого внутреннего рынка.

Третье поколение законодательства о персональных данных представлено в Европе Директивой Европейского Парламента и Совета Европейского Союза от 12 июля 2002 года № 2002/58/ЕС «В отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи» (Директива о конфиденциальности и электронных средствах связи) (в редакции Директивы 2006/24/ЕС Европейского парламента и Совета ЕС от 15 марта 2006 г., Директивы 2009/136/ЕС Европейского парламента и Совета ЕС от 25 ноября 2009 г.). Директива обеспечивает гармонизацию национальных положений, необходимых для гарантии соответствующего уровня защиты основных прав и свобод, и, в частности, права на частную жизнь и конфиденциальность информации о частной жизни в связи с обработкой персональных данных в сфере электронных коммуникаций, и для обеспечения свободного движения таких данных, передвижения оборудования для электронной связи и услуг электронной связи в Сообществе. Основной тренд этого поколения документов направлен на обеспечение права самоопределения человека при автоматизированной обработке его персональных данных в условиях глобализации современного мира, когда все границы стерты: в Директиве 2002/58/ЕС говорится о минимизации персональных данных в пользовательских сетях и их анонимности везде, где это возможно.

В Декларацим Комитета министров о правах человека и верховенстве права в Информационном Обществе от 13 мая 2005 года CM (2005) 56 final подчеркуивается, что Государства-члены должны поддерживать условия для саморегулирования и совместного регулирования со стороны частного сектора в целях защиты права на частную жизнь и тайну переписки. Ключевым принципом поддержки такого регулирования должно быть то, что любая обработка персональных данных госорганами или частным сектором должна быть совместимой с правом на частную жизнь; исключения ограничены рамками параграфа 2 Статьи 8 Конвенция о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) и параграфа 2 Статьи 9 Конвенции о защите граждан при автоматической обработке персональных данных.

Таким образом, на сегодняшний день, Европейское право в области защиты персональных данных, прошедшее через долгий путь становления и модернизации, не прекращающийся и по сей день, является весьма прагматичным: оно дает защиту тем объектам и субъектам, которым эта защита необходима, и ровно настолько, насколько эта защита экономически оправдана. Такой подход оказался крайне эффективным: меры по защите систем обработки персональных данных не кажутся избыточными и, что самое главное, являются весьма действенными: согласно социологическим исследованиям, 80% европейских операторов и субъектов персональных данных считают себя защищенными.

В рамках СНГ был разработан Модельный закон «О персональных данных» (принят на четырнадцатом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, постановлением от 16 октября 1999 года № 14-19), в основу которого положен европейский подход к персональным данным. Кроме того, в Москве 28 октября 2010 года был подписан Меморандум о сотрудничестве уполномоченных органов по защите прав субъектов персональных данных, правда, без участия представителей РК.

Что касается, биометрических данных, то следует отметить, что в 2002 году 118 стран мира подписали под эгидой ICAO Новоорлеанское соглашение «Doc 9303. Машиносчитываемые проездные документы. Часть 1 Машиносчитываемые паспорта. Том 2. Спецификации на электронные паспорта со средствами биометрической идентификации», которое признает биометрику лица (на остальные параметры большинство стран пока не согласились из-за дороговизны мероприятия) основой идентификации для загранпаспортов и въездных виз следующего поколения.

Вопросы защиты персональных данных находятся в призме внимания мирового сообщества и в последнее время. Так, в Довильской декларации «Группы восьми» «Неизменная приверженность свободе и демократии» (27 мая 2011 года) говорится: «Мы призываем разработать общие подходы, с учетом национальных законодательств и на основе соблюдения основных прав, которые защищали бы персональные данные, в то же время позволяя осуществлять законную передачу данных».

На пятом совещании Форума по управлению использованием Интернета «Сотворение будущего совместными усилиями» (Вильнюс, 14-17 сентября 2010 года) было отмечено, что разработка законов о неприкосновенности частной жизни в действительности является вкладом в усиление безопасности. Как отмечалось, это особенно касается случаев хищения персональных данных, которые приобретают самые большие масштабы в странах с наиболее слабой защитой неприкосновенности частной жизни.

В Мадридской декларации о защите личных данных «Глобальные стандарты по защите личных данных для глобального мира» (3 ноября 2009 года) предупреждается, что законодательство в области защиты личных данных и институты, работающие в этом направлении, не могут в полной мере учитывать новые методы наблюдения, применяемые на практике, включая «поведенческий таргетинг», базы данных ДНК и других биометрических показателей, объединение данных государственного и частных секторов, а также особые факторы риска, которым подвержены уязвимые группы населения (дети, мигранты, представители меньшинств).

Подводя итоги, следует отметить, что при рассмотрении зарубежного опыта правового регулирования использования персональных данных обращает на себя внимание унифицированность, которая выражается в обеспечении безопасности собранных персональных данных; обеспечении механизмов, которые позволяют субъекту персональных данных узнавать о наличии и о содержании его персональных данных, а также требовать их исправления; ограничение объема и использования персональных данных перечнем целей, для которых они предназначены, которые не могут быть изменены без согласия субъекта персональных данных; указание лиц и их реквизитов, несущих ответственность за соблюдение решений и правил, касающихся защиты персональных данных и неприкосновенности частной жизни, а также создание специального органа, обеспечивающего контроль за соблюдением прав субъекта персональных данных (например, Комиссии, Управления и пр.), усиленный режим охраны особых категорий персональных данных (о национальной принадлежности, взглядах и убеждениях, здоровье и сексуальной жизни, судимостях). Различия в национальных подходах, проявляющиеся в настоящее время в законах, законопроектах и законодательных предложениях, касаются таких аспектов, как масштаб действия законодательного акта, акцентирование в нем различных элементов системы защиты, детальное соблюдение вышеперечисленных принципов, а также система контроля за исполнением законодательства. Кроме того, в качестве примеров можно указать на различия в категоризации данных, не подлежащих разглашению, и в методах обеспечения открытости и индивидуального участия. Разумеется, традиционные различия между юридическими системами разных стран также служат источником несоответствий - как с точки зрения подходов к законотворчеству, так и в смысле детальной разработки регулятивных рамок для защиты персональных данных. Некоторые страны считают, что механизмы защиты данных, относящихся к частным лицам, могут быть аналогичны тем, что необходимы для защиты данных, касающихся деловых предприятий, ассоциаций и групп, обладающих или не обладающих статусом юридического лица. Опыт ряда стран также свидетельствует о том, что четко разграничить персональные и неперсональные данные достаточно сложно. Например, данные, относящиеся к небольшой компании, могут одновременно затрагивать ее владельца или владельцев и содержать более или менее секретную персональную информацию. В подобных случаях ОЭСР рекомендуется распространять действие механизмов защиты, применяемых главным образом к персональным данным, и на корпоративные структуры.

Законодательной базой любой национальной системы защиты персональных данных служит закон типа Data Protection Act (Закон о защите данных). В некоторых национальных системах защиты данных системообразующее законодательное ядро состоит не из одного, а из двух взаимодополняющих законов - закона типа Data Protecton Act и закона типа Information Freedom Act (Закон о свободе информации, принятие которого в РК постоянно откладывается), которые нередко даже разрабатываются и принимаются одновременно. В других системах принцип свободы доступа к информации непосредственно закладывается в положениях закона как Data Protecton Act.

Обобщенную структуру закона типа Data Protection Act составляют:

1) признаки персональных данных;

2) права субъекта данных в связи с обработкой и использованием данных о нем;

3) установленные законом правила доступа к чужим персональным данным, их раскрытия и передачи;

4) изъятие из правового регулирования данных в интересах государственной и общественной безопасности, в связи с расследованием преступлений и т. п.;

5) установленные законом меры правового регулирования сбора, хранения, обработки, передачи и использования персональных данных:

- учреждение национального органа власти (или системы органов власти) по защите персональных данных,

- регистрация (или лицензирование) обработки персональных данных; создание и ведение национальных регистров держателей и пользователей персональных данных,

- лицензирование передачи персональных данных за пределы национальной территории;

6) требования к организационно-техническим мерам по обеспечению безопасности данных при их сборе, обработке, использовании, передаче и хранении;

7) нормы, устанавливающие ответственность за нарушения принципов защиты данных и иных положений закона о защите данных.

Унифицированный международный подход также исходит из того, что обработка персональных данных в государственном и частном секторе должна осуществляться:

1) справедливо, законно и на пропорциональной основе для достижения конкретных, четко сформулированных и законных целей;

2) на основании прозрачной политики, адекватного информирования субъектов данных, и без какой-либо произвольной дискриминации в отношении них;

3) с соблюдением точности, приватности и безопасности данных, законности обработки, а также прав субъектов данных на доступ, исправление, уничтожение данных, а также на возражение против их обработки;

4) с соблюдением принципов подотчетности и ответственности, даже если обработка производится поставщиками услуг от имени государственных органов;

5) с обеспечением соответствующих гарантий, если данные являются уязвимыми (уязвимыми считаются следующие персональные данные: Данные, которые затрагивают наиболее интимные сферы жизни субъекта данных, или Данные, которые, в случае злоупотреблений, могут: Привести к незаконной или произвольной дискриминации, или Повлечь серьезный риск для субъекта данных);

6) с обеспечением того, чтобы персональные данные, передаваемые за границу, пользовались защитой, предусмотренной вышеупомянутыми стандартами;

7) при условии контроля со стороны независимых и беспристрастных надзорных органов, наделенных соответствующими полномочиями и ресурсами, а также обязанных сотрудничать между собой;

8) с применением современных профилактических мер, направленных, в частности, на предупреждение и выявление нарушений, основанных на назначении должностных лиц, ответственных за приватность, а также на эффективных проверках и оценках влияния на приватность.

Таким образом, законы о защите неприкосновенности частной жизни и индивидуальных свобод в сфере персональных данных стараются охватить все последовательные этапы цикла, начиная со сбора данных и заканчивая их уничтожением, и обеспечить при этом максимально полное информирование, участие и контроль со стороны индивидуума.

III. Текстуальный и существенный анализ законопроекта и рекомендации по его совершенствованию

Согласно пункту 3 статьи 19 Закона Республики Казахстан от 24 марта 1998 года № 213-I «О нормативных правовых актах» (с изменениями и дополнениями по состоянию на 05.07.2011 г.), текст нормативного правового акта излагается с соблюдением норм литературного языка, юридической терминологии и юридической техники, его положения должны быть предельно краткими, содержать четкий и не подлежащий различному толкованию смысл. В соответствии с Нормативным постановлением Конституционного Совета от 27 февраля 2008 года № 2, закон должен соответствовать требованиям юридической точности и предсказуемости последствий, то есть его нормы должны быть сформулированы с достаточной степенью четкости и основаны на понятных критериях, позволяющих со всей определенностью отличать правомерное поведение от противоправного, исключая возможность произвольной интерпретации положений закона. Между тем, изучение Проекта показывает, что ряд предлагаемых в нем норм сформулирован с нарушением правил юридической техники, в результате чего некоторые его предписания выражены нечетко. Речь идет о следующих положениях Проекта, рассматриваемых ниже постатейно.

Преамбула Проекта.

Различается деятельность, связанная с обработкой персональных данных, с использованием средств автоматизации или без использования таких средств.

Между тем, далее по тексту закона не приводится определение понятия «средства автоматизации». В действующем законодательстве, только в Законе Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 21.07.2011 г.) содержится определение автоматизации, как применения информационно-коммуникационных технологий для обработки, систематизации, хранения и передачи информации с целью облегчения и вытеснения форм человеческого труда, повышения производительности и прозрачности процессов. Соответственно, под средствами автоматизации следует понимать информационно-коммуникационные технологии.

Не приводится четких критериев для отграничения случаев, когда средства автоматизации используются и когда не используются.

В случаях, когда средства автоматизации не используются, идет ли речь о неавтоматизированной обработке систематизированных наборов персональных данных (списков, картотек, дел, сводов и т.д.), когда обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации: позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным? Если да, то почему бы это не указать прямо в законе?

Чтобы конкретизировать такое положение, обратимся к опыту Европейского Союза, в частности, к Директиве 95/46/ЕС, в которой более четко формулируется сфера ее применения в отношении персональной информации, обрабатываемой без средств автоматизации. Директива применима к неавтоматизированной обработке, если при этом данные структурированы, систематизированы (классифицированы) в файлы (досье) на основании определенных критериев, что облегчает доступ к нужной информации (файлу, досье). В действительности, в этом случае, как и в случае с автоматизированной обработкой, персональная информация представлена виде базы данных, только без использования средств автоматизации, и характер операции с файлами и досье аналогичен характеру операций, производимых с файлами при автоматизированной обработке; впрочем, представить обратную ситуацию, когда сведения персонального характера не были бы структурированы при неавтоматизированной обработке, крайне затруднительно. Для справки: под файлом в Директиве понимается систематизированная определенная совокупность персональных данных, к которой можно получить доступ, найти в базе на основании определенных критериев — идентификаторов, имени, фамилии и т.д.

Статья 1. Основные понятия, используемые в настоящем Законе

3) объект персональных данных

Правовая защита персональных данных это, своего рода, договор гражданина с государством и его органами власти, гарантирующий ему неприкосновенность личной жизни, и регламентирующий тот минимум сведений, которые мы готовы сообщить о себе, чтобы быть служащими учреждений, клиентами банков, посетителями различных организаций и т.д. В конечном итоге, защита персональных данных, это защита не информации, а персоналий. В связи с этим, главное и концептуальное возражение по Проекту вызывает предложение называть физическое лицо, к которому относятся соответствующие персональные данные - объектом, а не субъектом персональных данных. По тексту Проекта говорится о правах объектов, но какие права могут быть у объекта?

Между тем, согласно пункту 1 статьи 13 Конституции Республики Казахстан (принята на республиканском референдуме 30 августа 1995 года) (с изменениями и дополнениями по состоянию на 02.02.2011 г.), каждый имеет право на признание его правосубъектности и вправе защищать свои права и свободы всеми не противоречащими закону способами. Нормы пункта 1 статьи 13 Конституции развиты в гражданском законодательстве: категорию «правосубъектность» составляют гражданско-правовые понятия правоспособности и дееспособности граждан.

В статье 13 Гражданского кодекса Республики Казахстан,принят Верховным Советом Республики Казахстан 27 декабря 1994 года (с изменениями и дополнениями по состоянию на 22.07.2011 г.) установлено, что способность иметь гражданские права и нести обязанности (гражданская правоспособность) признается в равной мере за всеми гражданами. Именно граждане являются субъектами гражданских прав, а объектами гражданских прав могут быть имущественные и личные неимущественные блага и права. К личным неимущественным благам и правам и относятся, в том числе, неприкосновенность частной жизни, личная и семейная тайна.

Также, например, в статье 3 Закона Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 21.07.2011 г.) указывается, что объектами информатизации являются: электронные информационные ресурсы, информационные системы, информационные работы и электронные услуги, а вот к субъектам информатизации относятся: государственные органы, физические и юридические лица, осуществляющие деятельность или вступающие в правоотношения в сфере информатизации на территории Республики Казахстан.

Попытка же представить человека и гражданина объектом, заставляет предположить, что субъектом в данном случае, государственные органы-разработчики Проекта видят себя.

2) персональные данные

Проект использует выражение «информация (зафиксированная на материальном носителе)». Такая же формулировка есть и в Модельном законе «О персональных данных» (принят на четырнадцатом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, постановлением от 16 октября 1999 года № 14-19). Однако, если в Модельном законе расшифровывается, что такое материальные носители (материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов), то в казахстанском Проекте, да и в целом, в законодательстве такого определения нет.

Если объектом (субъектом) персональных данных является любое физическое лицо, то речь может идти не только о гражданах Республики Казахстан, но также и о иностранных гражданах и лицах без гражданства, которых также нельзя ущемлять в личных правах. В таком случае, не понятно, почему в число персональных данных не включена информация о гражданстве? Она, как и еще ряд данных указана, например, в Постановлении Правительства Республики Казахстан от 5 июня 2007 года № 460 «Об утверждении перечня персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов».

Если персональные данные работника - информация о работнике, необходимая при возникновении, продолжении и прекращении трудовых отношений, не понятно, почему в число персональных данных включена только информация о профессии, а не сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, организации и ее наименования, ИНН, адреса и телефонов, а также реквизитов других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях, сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора с работником организации или гражданско-правового договора с гражданином, сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их спецкартсчетов и т.д.)?

По непонятной причине из понятийного аппарата и в целом из Проекта было удалено понятие «специальные категории персональных данных» - персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни. По сложившейся международной практике, они относятся к категории особых персональных данных, которым предоставляется особый, усиленный режим правовой защиты. Исключение этой нормы из Проекта явно не будет способствовать защите прав и свобод граждан.

В целом, если рассматривать персональные данные как любую информацию, связанную с физическим лицом - субъектом данных, идентичность которого известна или может быть установлена непосредственно или косвенно путем использования таких данных как индивидуальный идентификационный номер, один или несколько физических, физиологических, психологических, экономических, культурных или социальных признаков, характерных для лица, то казахстанская формулировка представляется зауженной. При том, что сопутствующий проект («О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных») оставляет довольно широкие формулировки в Трудовом кодексе (персональные данные работника — информация о работнике, необходимая при возникновении, продолжении и прекращении трудовых отношений, ст. 65) и Законе об информатизации (персональные данные (электронные информационные ресурсы персонального характера) - сведения о фактах, событиях, обстоятельствах жизни физического лица и (или) данные, позволяющие идентифицировать его личность), п.п. 17 ст.1).