ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Защитим данные о своей персоне

Защитим данные о своей персоне

Новогоднюю и Рождественскую политическую скуку развеяло сообщение о вступлении в силу с 1 января 2011 года Закона Украины "О защите персональных данных" (далее – Закон). Несколько нервных комментариев, появившихся в СМИ, заставляют постараться более основательно подойти к изучению текста Закона и последствий его принятия.

Документ был принят, когда Украина осталась в списке немногих демократических стран, где такого закона нет. Нас обогнали не только Германия с Великобританией и Словения с Польшей, но и уже в 2010 году Мексика, Малайзия и Тайвань. Есть, однако, страны, где отдельный закон не принят (например, США), но нормы, регулирующие защиту персональных данных, содержатся в ряде других профильных законов.

Европейский опыт.

Интересно, что в США и Европейском Союзе существуют принципиальные различия в терминологическом подходе. В ЕС в законодательстве используется термин data protection – защита информации – и термин personal data, которые в первую очередь относятся к сбору и обработке персональных данных в целом. В США привычным является термин privacy – личная жизнь, и privacy data – информация о личной жизни. В Европе более узко и четко трактуют содержание персональных данных, понимая под ними конкретную идентифицирующую информацию, как это принято в США, где в термин privacy включены еще и элементы правового статуса граждан, такие, как их права и свободы.

Широкое развитие компьютерных технологий и внедрение баз данных в публичном секторе, в сфере потребления товаров и услуг расширили категорию персональных данных. Это послужило толчком интереса законодателей демократических государств к дополнительной защите прав граждан и обеспечению интересов государства в этой сфере.

Внимание к защите персональных данных и права на личную жизнь уделено в целом ряде международно-правовых документов, в том числе во Всеобщей декларации прав человека 10 декабря 1948 года, Европейской конвенции о защите прав человека и основных свобод, Международном пакте о гражданских и политических правах (1966 года), руководстве ООН относительно компьютерных файлов персональных данных (1990 года), ряде конвенций и рекомендаций международных организаций (например, в Основных положениях Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными (1980 года).

С 28 января 1981 года была открыта для подписания Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных". Конвенция защищает неприкосновенность т.н. личной сферы от избыточного и недобросовестного вмешательства в связи с обработкой персональных данных, совершаемой как в государственном, так и в негосударственном секторах.

Наконец, 24 октября 1995 года приняты Директивы Европейского парламента и Совета Европейского Союза "О защите физических лиц в условиях автоматизированной обработки персональных данных и о свободном обращении этих данных" №95/46/ЕС, а 11 марта 1996 года"О юридической защите баз данных".

Украина.

Необходимость принятия Закона в Украине перезрела. В самом деле, в стране существуют, возможно, миллионы баз данных, в которых накапливается информация о гражданах. Во многих случаях граждане никак не защищены.

Во-первых, от появления их имен и информации о них в таких базах.

Во-вторых, от использования без их ведома третьими лицами такой информации.

Как ни странно, можно с большой натяжкой утверждать, что только государственные базы данных (как правило, различные реестры) действуют по каким-то (хотя и часто несовершенным) правилам. Несмотря на это, среднестатистический гражданин даже не догадывается, насколько он опутан негосударственной слежкой.

Администратор всякого сайта практически всегда учитывает и запоминает визит любого посетителя. Делая покупки в супермаркетах, посетители часто и не догадываются о том, что их перемещения тщательно отслеживаются камерами видеонаблюдения, а затем остаются в памяти компьютера неопределенно долгое время. Не догадываются они и о том, как и кем эти записи могут быть использованы. Студенты, сдавая зачеты и экзамены, не подозревают о том, что они таким образом пополняют персональную базу данных успеваемости, которая накапливается, хранится и используется в соответствии с неизвестными им правилами. СМИ пестрят сообщениями о том, что базы данных о номерах телефонов и адресах места жительства можно легко купить на рынке. Конечно, без разрешения граждан, информация о которых содержится в таких базах данных. Сотни тысяч абонентов сотовой связи страдают от рекламного спама, приходящего на их телефоны без их согласия. Тысячи киевлян отбиваются от агрессивно-назойливых звонков театральных агентов, пытающихся продавать билеты на представления заезжих как бы знаменитостей. Вот это и есть обработка и использование баз персональных данных (БПД) без согласия гражданина.

Закон.

Сразу успокоим журналистов. Прямо в Преамбуле Закона утверждается, что его действие не распространяется на деятельность по созданию и обработке персональных баз данных в этих базах журналистом – в связи с исполнением им служебных и профессиональных обязанностей. Работайте спокойно, господа журналисты. Однако, если модератор электронной версии вашей газеты накапливает и учитывает посетителей сайта, то в этом случае он обязан выполнить ряд довольно жестких требований Закона.

Например, зарегистрировать базу персональных данных в уполномоченном государственном органе. А в части отношений с посетителями сайта необходимо сделать так, как сделали тысячи модераторов зарубежных сайтов: на первой же странице, на которую заходит посетитель, должна быть ссылка, кликнув на которую посетитель может прочесть условия учета информации о нем и согласиться с ними.

Интернет сегодня пестрит текстами документов "Политика защиты баз данных", публикуемых сайтами, компаниями, госорганами. Мы нашли в Интернете сотни таких документов, опубликованных не только сайтами, но и, например, университетами Оксфорда, Манчестера, Ливерпуля, Кентукки и других.

На самом деле каждое юридическое лицо или гражданин (не журналист, не писатель и не творческий работник) должны для себя же немедленно ответить на следующие вопросы: нуждаются ли они в БПД; как это согласуется с Законом; какие последствия наступят для дальнейшей работы в случае содержания такой базы и не регистрации в госоргане.

Закон содержит вполне пристойно написанные и понятные базовые положения.

Основные требования к обработке БПД сводятся к следующим восьми принципам:

  1. Цель обработки должна быть сформулирована в законах, других нормативно-правовых актах, уставных документах, регулирующих деятельность владельца БПД.

  2. Персональные данные должны быть точными, достоверными и, в случае необходимости, обновляться.

  3. Состав и содержание ПД должны быть соответствующими и не чрезмерными относительно определенной цели их обработки.

  4. Объем ПД, которые могут быть включены в БПД, определяется условиями согласия субъекта ПД или в соответствии с законом.

  5. Обработка ПД осуществляется для конкретных и законных целей, определенных по согласию субъекта ПД или Законом.

  6. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом и только в интересах национальной безопасности, экономического благосостояния и прав человека.

  7. ПД обрабатываются в форме, допускающей идентификацию юридического лица в срок, не больше, чем это необходимо для их законного назначения.

  8. Использование ПД в исторических, статистических или научных интересах может осуществляться только в обезличенном виде. И в этом Закон в целом немногим отличается от принятых в Европе и мире.

К сожалению, не можем утверждать, что Закон является безупречным. На наш взгляд, многие вещи, учитывая, что он регулирует чувствительные вопросы прав человека, можно было бы сделать основательнее.

Например, Закон предусматривает необходимость регистрации БПД в Государственном реестре баз персональных данных уполномоченным госорганом. При этом сегодня такого госоргана не существует. А Положение о Госреестре еще только должен принять Кабмин. На наш взгляд, положение об этом необходимо было бы выписать прямо в тексте Закона. Практика включения таких норм давно стала традиционной в нормотворческой деятельности большинства стран мира.

Например, закон Словении даже по объему больше украинского в три раза именно за счет норм прямого действия.

За пределами внимания законодателя остались очень важные моменты.

Например, в законе "О защите персональных данных" Словении есть отдельная статья, регулирующая возможные нарушения при осуществлении прямого маркетинга. Пять статей посвящены регулированию порядка выполнения видеонаблюдения (ВН) при осуществлении доступа в офисные, деловые, жилые и рабочие помещения. Отдельные статьи посвящены фиксации входа и выхода в помещения. Правда, есть о чем подумать?

Вот только некоторые требования для осуществления ВН в рабочих помещениях: ВН устанавливается только в исключительных случаях, когда это необходимо для обеспечения, например, безопасности людей и собственности. ВН запрещено в таких помещениях, как туалеты и душевые. Работники должны быть проинформированы загодя и в письменной форме о внедрении ВН. При этом работодатель до внедрения ВН должен проконсультироваться с представителем профсоюза! Отдельная глава (даже не статья) посвящена использованию биометрических данных в общественном секторе.

Было бы полезно дополнить Закон положениями, например, о базах данных, создаваемых семьей исключительно в личных целях, например, для обычного ведения домашнего хозяйства. Или, например, о хранении данных в процессе обычной деловой деятельности в неперсонифицированной форме для коммуникаций.

Несмотря на внешне строгую статью Закона, касающуюся возможной передачи БПД в третью страну, следует отметить, что процедуры принятия решения и собственно передачи Закон не предусматривает.

Потенциальный держатель БПД, предполагающий, что он нарушает Закон, может задать вопрос: а что мне за это будет?

В Уголовном кодексе Украины можно отыскать с десяток статей по наказанию нарушителей Закона. Уголовное наказание предусмотрено, например, в соответствии со ст.182 "Нарушение неприкосновенности частной жизни". Есть полезные нормы и в Гражданском кодексе Украины.

В законодательстве же других стран ответственность за конкретные нарушения часто выписана прямо в тексте самого закона о БПД. За рубежом накоплен опыт наказаний за нарушение законодательства о БПД.

Недавно перенервничали топ-менеджеры компании Google. Уполномоченный орган по защите персональных данных Великобритании 22 октября 2010 года решил начать разбирательство по поводу использования StreetView – системы для получения объемных картинок улиц мира.

Аналогичное расследование начато в Италии, и там было принято решение о необходимости обозначения мест наблюдения.

В Германии больше 244 000 граждан пожелали, чтобы изображения их домов были полностью убраны со StreetView.

В результате хакерской атаки на сайт английской юридической фирмы была спровоцирована утечка информации с внутренней почты. Это привело к подаче против нее жалоб со стороны граждан. Ведется расследование о надежности электронных средств защиты, о качестве подготовки персонала фирмы и также поиск причин доступности такой информации, которая содержит персональные данные клиентов.

Авторы статьи: И. Иванец, С. Козьяков

Зеркало недели (03.06.2011 в 10:09) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2011 ООО "Ди Эй Кей продакшн"