Главная угроза правам граждан идет от баз данных на каждого из нас, собираемых государственными структурами (Лоскутов И.Ю.)

Поставить закладку
Посмотреть закладки
Добавить комментарий

15.06.2013

Главная угроза правам граждан идет от баз данных на каждого из нас, собираемых государственными структурами - И.Лоскутов

На минувшей неделе глава государства подписал Закон «О персональных данных и их защите». Когда этот документ только создавался, он вызывал много споров и разногласий. Мы попросили одного из независимых экспертов, генерального директора ТОО «Компания «ЮрИнфо» Игоря Лоскутова поделиться своим мнением о новом законе, пишет газета «Караван».

- Игорь Юрьевич, в 2011 году вы были одним из главных критиков законопроекта «О персональных данных». Что скажете по поводу закона?

- Главный порок данного законопроекта в том, что здесь, образно говоря, «телега стоит впереди лошади». Я считаю, что сначала должен быть принят общий закон о доступе к информации, а уже потом, при необходимости, - отдельные законы о доступе к некоторым видам информации. В данном случае - к персональным данным. А получилось наоборот.

Но в сравнении с первоначальными вариантами законопроекта я оцениваю принятый закон положительно. Хотя у нас правильные в принципе законы могут очень неправильно истолковываться и применяться. Подождем, когда к нему будут приняты подзаконные акты.

- Также вызывало сомнение само определение «персональных данных». Вернее набор данных, подпадающих под это определение. Упорядочено ли это определение? Что теперь входит в определение? Отражает ли это определение международную практику?

В принятом законе (Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», далее - закон) персональные данные определяются как сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Что касается определения «персональных данных» прежде всего как «сведений», то надо сказать, что международной практике «персональные данные» в основном определяются все-таки, как «информация». Например, в статье 2 Конвенции о защите личности в связи с автоматической обработкой персональных данных (Страсбург, 28 января 1981 г.): «персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных»)». Похожие формулировки на постсоветском пространстве мы можем найти в Модельном законе СНГ от 16 октября 1999 года № 14-19 «О персональных данных», Федеральном законе Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями по состоянию на 05.04.2013 г.), Законе Азербайджанской Республики от 11 мая 2010 года № 998-IIIQ «О персональных данных», Законе Республики Молдова от 8 июля 2011 года № 133 «О защите персональных данных». Лишь в Законе Украины от 1 июня 2010 года № 2297-VI «О защите персональных данных» (с изменениями и дополнениями по состоянию на 20.11.2012 г.) «персональные данные» определяются схоже с Казахстаном, как «сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано».

Тут следует отметить, что наверняка выявить логику действий законодателя в Казахстане в отличие от, например, вышеупомянутых стран, довольно трудно. Поскольку у них законопроекты прозрачны на всех стадиях законотворческой деятельности путем размещения соответствующей информации на парламентских сайтах. Это пояснительные записки, сравнительные таблицы и т.д., по которым легко проследить появление тех или иных положений в законопроектах. А казахстанский парламент такую информацию скрывает от общественности и не размещает на своем сайте.

Если обратиться к Толковому словарю Ефремовой, то он определяет све́дения как: «1. Известия, сообщения о чем-либо. 2. Факты, данные, характеризующие кого-либо, что-либо. 3. Познания в какой-либо области, осведомленность в чем-либо. 4. Отчет с цифровыми данными». В связи с чем, соотношение понятий «информация», «сведения», «данные» можно представить следующим образом: информация содержит определенные факты, описание которых будет составлять сведения, а сведения представленные в какой-либо формализованной форме (на материальном носителе) будут являться данными.

Следует поддержать то, что авторы закона не приняли точку зрения тех, кто предлагал дать исчерпывающий перечень сведений, которые законом отнесены к категории персональных данных. Опыт правового регулирования в других странах показывает, что исчерпывающий перечень не может быть установлен и, более того, не должен устанавливаться законом, поскольку любое ограничение содержания персональных данных выльется в ограничение прав субъекта персональных данных. Ведь современные информационные системы постоянно развиваются, появляются все новые возможности для пополнения их разного рода информационными ресурсами, создаются все новые и новые базы разного рода данных.

Кто на вас собирает данные?

- Сбор и обработка персональных данных являются основой для многих сфер деятельности предприятий в экономике, статистике, социологии, маркетинге. Как новый закон может повлиять на эти виды деятельности?

- К счастью, наши законодатели не пошли по пути некоторых стран, которые ввели жесткие требования к владельцам баз персональных данных в части их регистрации, сертификации, отчетности и прочих форм контроля. Впрочем, наверняка говорить пока рано, поскольку статьей 26 казахстанского закона предусмотрена компетенция Правительства Республики Казахстан утверждать порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

Вот когда этот порядок будет утвержден, тогда и нужно будет говорить об этом предметно, поскольку именно за несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных сопутствующим законом (Закон Республики Казахстан от 21 мая 2013 года № 95-V «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защиты») предусматривается штраф на физических лиц в размере ста, на должностных лиц, индивидуальных предпринимателей, юридических лиц, являющихся субъектами малого или среднего предпринимательства или некоммерческими организациями, - в размере двухсот, на юридических лиц, являющихся субъектами крупного предпринимательства, - в размере трехсот месячных расчетных показателей. При причинении существенного вреда правам и законным интересам лиц за это предусмотрена и уголовная ответственность.

Помимо этого, собственник и (или) оператор обязаны будут утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан, а порядок определения этого перечня опять же отнесен к компетенции Правительства.

Помимо этого, все работодатели должны будут утвердить акт, устанавливающий порядок сбора, обработки и защиты персональных данных работников своих организаций и в обязательном порядке ознакомить их с ним.

При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны будут их обезличить, т.е. уничтожить возможность определения принадлежности персональных данных конкретному субъекту. Распространение этих данных в обезличенном виде не запрещается, поэтому проблем для социологических, маркетинговых и т.п. компаний я пока не вижу.

- В законе указано, что человек имеет право знать, кто собирает на него данные. Это требование как-то может сказаться на работе прессы?

- В действующем УК РК уже предусмотрена ответственность за незаконный сбор сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Но никто же не ходит по редакциям для выявления таких сведений! Да и норму Закона о СМИ о том, что источники информации журналиста обнародуются только по решению суда, никто пока не отменял.

В этой части права субъекта персональных данных реализуются в соответствии со статьей 25 закона, где предусмотрена процедура подачи запроса собственнику или оператору баз персональных данных, в ответ на который они могут подтвердить или опровергнуть наличие у них данных, касающихся конкретного лица. И только при наличии оснований, подтвержденных соответствующими документами, субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных согласно статье 24 закона.

Да, в той же статье 24 закона содержится право субъекта дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных. Напомню, что согласно статье 6 закона общедоступные источники персональных данных это, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации.

Но согласно статье 9 закона, сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина.

Соответственно, на законную деятельность СМИ требования по даче либо отзыву согласия на сбор и обработку персональных данных не распространяются. А права и свободы человека и гражданина обеспечиваются при выполнении установленных в законе требований по процедуре сбора, обработки и защите персональных данных.

Вопрос повис

- А как быть с социальными сетями?

- Поскольку в соответствии с Законом Республики Казахстан от 23 июля 1999 года № 451-I «О средствах массовой информации» (с изменениями и дополнениями по состоянию на 08.01.2013 г.) у нас абсолютно все интернет-ресурсы или сайты приравнены к СМИ, то и на них распространяются вышеуказанные нормы об отсутствии необходимости получать согласие субъектов на сбор и обработку персональных данных при соблюдении прочих требований закона.

Вопрос остается по трансграничной передаче персональных данных, т.е. передаче персональных данных на территорию иностранных государств. Ведь в Интернете территория иностранных государств не определена. Но, по закону трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных.

Поэтому в данном случае, как говорится, «спасение утопающих дело рук самих утопающих». Если кто-то добровольно разместил полный набор данных о себе в иностранных социальных сетях и прочих сайтах, то в случае каких-то проблем с этим, на помощь нового закона не должен рассчитывать.

- Устанавливает ли закон правила регистрации биометрических данных системами видеонаблюдения?

- В этой части закон оказался лаконичен. В статье 11 указывается лишь, что конфиденциальность биометрических данных устанавливается законодательством. На сегодня такого законодательства не существует и вопрос, как говорится «повис в воздухе». Хотя то, что проблема есть, свидетельствуют появляющиеся время от времени в СМИ сообщения о незаконно ведущемся видеонаблюдении - то в примерочных, то в туалетах кинотеатров и т.п.

- Главной претензией экспертов было несоблюдение прав человека в законопроекте. В законе это исправлено?

- Замечено не мной, а в Указе Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции информационной безопасности Республики Казахстан до 2016 года, что: «Проверки состояния защищенности государственных баз данных, включенных в состав «электронного правительства», указывают на отсутствие адекватного правового, организационного и технического режима защиты персональных данных граждан. Отсутствие соответствующих механизмов создает предпосылки для злоупотребления персональными данными в криминальных целях, в т.ч. подделки документов, мошенничества, незаконного копирования и распространения различных баз данных».

Т.е. главная угроза правам граждан идет от распространения ни каких-то частных баз, содержащих персональные данные, а создаваемых государственными и около государственными структурами. Это и понятно, ни у кого больше нет таких возможностей по масштабному сбору и обработке данных. Но в части случаев, когда действие закона не распространяется на определенные отношения или не требуется согласие на сбор и обработку персональных данных, именно государственным структурам обеспечен наибольший режим благоприятствования. Во всяком случае, каких-то специальных механизмов общественного контроля за их деятельностью, я в законе не увидел.

Также закон не содержит возможности распространения персональных данных, если эта информация является общественно важной, в отношении так называемых «публичных лиц». А, согласно, например, практике Европейского суда по правам человека, о таких людях можно собирать и распространять данные персонального характера без их согласия, если они являются важными для общества

Международному подходу также не соответствует отсутствие в законе понятия «специальные категории персональных данных», включающего персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни. По сложившейся международной практике, они относятся к категории особых персональных данных, которым предоставляется особый, усиленный режим правовой защиты. В этой части есть определенные нормы в сопутствующем законе, но станут ли они непреодолимым препятствием для государственных органов, заинтересованных в работе с такой информацией?