Защити скелет в шкафу!
Относительно Закона о защите персональных даных
У каждого есть скелет в шкафу - давно известная истина. Есть что-то лично наше, данные о нас, которые мы доверяем только нашим близким и родным. И вот долгожданный Закон о защите ПД вступил в силу. Юристы, правозащитники искренне радовались его появлению. Некоторые нюансы их смутили, некоторые - огорчили, но кое-что и порадовало.
Но что огорчило автора - отсутствие ответственности за невыполнение данного Закона! То есть обязательства прописали, а вот с ответственностью «не сложилось». Но попытки уже есть - это проект закона N 7355, прошедший первое слушание.
Начнем с ситуации. Не секрет, что все мы есть в каких-то базах данных, от налоговой и пенсионной до банковской и сети магазинов, где мы оставляли свой координаты, чтобы получить карточку со скидкой. Сами себя мы вносим в базу социальных сетей «Одноклассники», «ВКонтакте» и других сетей Интернета.
Получается, что если есть базы данных, то и информацию о нас можно собрать, от духов, которые мы предпочитаем, до просрочки по оплате кредита в банке или коммунальных платежей! Не говоря уже о номерах домашнего и мобильного телефонов и рассылке, на которую мы подписались по Интернету.
Ничего не спрячешь! И неизвестно, к кому это попадет и как этим воспользуются. Многим из нас приходят SMS-сообщения из спортивных клубов, банков, магазинов, в которых мы когда-то «засветились». В девяностых годах XIX века будущий судья Верховного Суда США Луиз Бран-дез сформулировал концепцию приватности как право человека «быть оставленным в покое» («right to be left alone»).
Вы не давали согласия на рассылку, но вам все равно приходит информация. Как можно защитить себя от сбора и пользования информацией о вас?
В большинстве таких случаев такими действиями вам нанесен только моральный, а не материальный ущерб. А если и материальный - то нужно доказывать причинно-следственную связь.
Согласно ст. 12 Всеобщей декларации прав человека никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от подобных вмешательств или посягательств.
Статья 8 Конвенции о защите прав человека защищает право на приватность следующим образом:
«1. Каждый человек имеет право на уважение его личной и семейной жизни, жилища и тайны, переписки.
2. Государство не может вмешиваться в осуществление этого права, за исключением случаев, когда вмешательство осуществляется согласно закону и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков и преступлений, для охраны здоровья или нравственности либо защиты прав и свобод других людей».
Право на приватность гарантируется Конституцией Украины, согласно ст. 32 которой: «Никто не может подвергаться вмешательству в его личную и семейную жизнь, кроме случаев, предусмотренных Конституцией Украины».
Международное регулирование базы данных
В 1981 году была принята Конвенция о защите личности, а в 1995 году - Директива о защите данных, которая является обязательной для всех стран-членов ЕС и предметом для подражания в области законодательства, в том числе и для Украины.
Будущая ответственность
Вернемся к нашей проблеме. Чтобы закон выполнялся, а не был просто лозунгом, нужны санкции - давно известная истина. Согласно проекту закона N 7355 (принятого в первом чтении 03.02.2011 г.) предложено добавить в КУоАП статьи 188-37 и 188-38 (табл. 1).
Таблица 1
| N п/п | Вид нарушения | Ответственность |
| ст. 188-37 «Нарушение законодательства в сфеpe защиты персональных данных» | ||
| 1. |
Уклонение от регистрации базы персональных данных, создание или работа с базами персональных данных до проведения государственной регистрации таких баз данных в установленном законодательством порядке | Влечет за собой наложение штрафа на граждан от 300 до 500 НМДГ и на должностных лиц - от 500 до 1000 НМДГ |
| 2. |
Нарушение порядка доступа к персональным данным, которые обрабатываются в базах персональных данных, не обеспечение защиты такой информации от доступа к ней посторонних лиц, что привело к ее разглашению или потере | Влечет за собой наложение штрафа на граждан от 300 до 500 НМДГ и на должностных лиц - от 500 до 1000 НМДГ* |
| 3. |
Не сообщение или несвоевременное сообщение уполномоченному государственному органу по вопросам защиты персональных данных или его территориальным органам об изменении сведений, подаваемых для регистрации базы персональных данных | Влечет за собой наложение штрафа на граждан от 100 до 200 НМДГ и на должностных лиц - от 200 до 400 НМДГ** |
| 4. |
Не сообщение или несвоевременное сообщение субъекту персональных данных о его правах в связи с включением информации о нем в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются | Влечет за собой наложение штрафа на граждан от 200 до 300 НМДГ и на должностных лиц - от 300 до 400 НМДГ** |
| ст. 188-38 «Нарушение установленных законодательством требований относительно защиты информации о лице» | ||
| 5. |
Нарушение установленных законодательством требований относительно защиты информации о лице*** |
Влечет за собой наложение штрафа на граждан от 800 до 1000 НМДГ и на должностных лиц - от 1000 до 2000 НМДГ |
| Примечания. * Повторное в течение года совершение нарушения, за которое лицо уже было подвергнуто административному взысканию, влечет за собой наложение штрафа на граждан от 500 до 1000 НМДГ и на должностных лиц - от 1000 до 2000 НМДГ. ** Повторное в течение года совершение нарушения, за которое лицо уже было подвергнуто административному взысканию, влечет за собой наложение штрафа на граждан от 300 до 500 НМДГ и на должностных лиц - от 500 до 700 НМДГ. *** Предусматривает штраф просто за нарушение установленных законодательством требований о защите информации о лице (без уточнений). | ||
Обязанность по рассмотрению дел об указанных правонарушениях возлагается на уполномоченный государственный орган по вопросам защиты персональных данных (ст. 244-19 КУоАП, который, как известно, еще не создан.
В том числе, предусматривается уголовная ответственность за нарушение требований по защите информации о лице и отдельно за умышленное нарушение таких требований. Предлагается внести в ст. 182 УК Украины такие изменения (табл. 2).
Таблица 2
| Действующая редакция УК Украины | Проект изменений |
| Ст. 182. Незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице без его согласия или распространение этой информации в публичном выступлении, произведении, которое публично демонстрируется, в средствах массовой информации - караются штрафом до 50 НМДГ или исправительными работами сроком до 2 лет, или арестом, сроком до 6 месяцев, или ограничением свободы сроком до 3 лет |
Ст. 1821. Незаконный сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование, уничтожение или роспуск (распространение, реализация, передача) конфиденциальной информации о лице, в том числе в публичном выступлении, произведении, которое публично демонстрируется, или в средствах массовой информации, а также ее передача третьим лицам с нарушением требований закона - карается штрафом от 800 до 2000 НМДГ или исправительными работами сроком до 2 лет, или арестом, сроком до 6 месяцев, или ограничением свободы сроком до 2 лет |
| Ст. 1822. Преднамеренное предоставление владельцем, распорядителем базы персональных данных или уполномоченным лицом доступа к информации о лице или ее преднамеренная передача третьим лицам с нарушением закона, что привело к несанкционированному распространению или искажению этой информации и причинило значительный вред лицу - карается штрафом от 500 до 1000 НМДГ или исправительными работами сроком до 2 лет, или арестом сроком до 3 месяцев. |
Ответственность за незаконный сбор персональных данных
Но если отойдем от законопроектов и посмотрим, что можно применить за нарушение Закона о защите ПД, то первое, что приходит на ум, ныне действующая ст. 182 УК Украины.
Чтобы понять, за что налагается ответственность, вспомним, что такое конфиденциальная информация. Это сведения, которые находятся во владении, использовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с предусмотренными ими условиями (об этом сказано в Законе об информации).
База данных
Термин «база данных» упомянут в нескольких нормативных актах.
Согласно Закону N 74/98 база данных - именованная совокупность данных, отражающая состояние объектов и их отношений в определенной предметной области.
База данных - совокупность взаимосвязанных данных, организованных по схеме базы данных, чтобы с ними мог работать пользователь (Приказ N 272/219).
База данных (компиляция данных) - совокупность произведений, данных или любой другой независимой информации в произвольной форме, в том числе - электронной, подбор и расположение составных частей которой и ее упорядочение является результатом творческого труда и составные части которой доступны индивидуально и могут быть найдены при помощи специальной поисковой системы на основе электронных средств (компьютера) или других средств.(с/п. 1 Закона об авторском праве).
Согласно ст. 8 данного Закона объектами авторского права являются произведения в области науки, литературы и искусства, в том числе базы данных (п. 4).
Пункт «е» ст. 10 Закона об авторском праве предусматривает, что не являются объектом авторского права расписания движения транспортных средств, программы телерадиопередач, телефонные справочники и другие аналогичные базы данных, которые не соответствуют критериям оригинальности и на которые распространяется право sui-generis (своеобразное право, право особого рода).
Согласно п.10 ч.З ст. 15 Закона об авторском праве исключительное право автора (или другого лица, имеющего авторское право) на разрешение или запрет использования произведения другими лицами дает ему право разрешать или запрещать сдачу в имущественный наем и (или) коммерческий прокат после первой продажи, отчуждение иным способом оригинала или экземпляров аудиовизуальных произведений, компьютерных программ, баз данных.
Статья 1 Закона о защите ПД дает определение следующих терминов (табл. 3).
Таблица 3
| N п/п | Термин |
Определение |
| 1. |
База персональных данных | Именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных |
| 2. |
Владелец базы персональных данных |
Физическое или юридическое лицо, которому законом или при согласии субъекта персональных данных дано право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает содержание этих данных и процедуры их обработки, если иное не определено законом |
| 3. |
Согласие субъекта персональных данных | Любое документируемое, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки |
| 4. |
Обработка персональных данных |
Любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и распространением (реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице |
| 5. |
Персональные данные |
Сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано |
| 6. |
Распорядитель базы персональных данных | Физическое или юридическое лицо, которому владельцем базы персональных данных или законом дано право обрабатывать эти данные |
| 7. |
Субъект персональных данных | Физическое лицо, относительно которого в соответствии с законом осуществляется обработка его персональных данных |
| 8. |
Третье лицо |
Любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных передаются персональные данные в соответствии с законом |
Статья 5 Закона о защите ПД перечисляет объекты защиты, к которым относятся персональные данные, обрабатываемые в базах персональных данных. Цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных и отвечающих законодательству о защите персональных данных (ст. 6 Закона о защите ПД).
Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (п. 4 ст. 6 Закона о защите ПД).
Типовой порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по вопросам защиты персональных данных.
Регистрация базы данных
В статье 9 Закона о защите ПД учтено следующее: база персональных данных подлежит государственной регистрации внесением соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Положения о Государственном реестре баз персональных данных и порядке его ведения утверждаются Кабинетом Министров Украины (пока не утверждены).
Регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения.
Пункт 2 ст.12 Закона о защите ПД предусматривает, что субъект персональных данных в течение 10 рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных данным Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме.
Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы персональных данных на обработку этих данных или в соответствии с требованиями закона (п. 1. ст. 16 Закона о защите ПД).
Субъект отношений, связанных с персональными данными, подает запрос о доступе к персональным данным владельцу базы персональных данных.
Статья 21 Закона о защите ПД говорит, что о передаче персональных данных третьему лицу владелец базы персональных данных в течение 10 рабочих дней сообщает субъекту персональных данных, если этого требуют условия его согласия, если иное не предусмотрено законом.
Согласно ч. 2 ст. 23 Закона о защите ПД уполномоченный государственный орган по вопросам защиты персональных данных, в том числе:
- осуществляет в пределах своих полномочий контроль за соблюдением требований законодательства о защите персональных данных с обеспечением в соответствии с законом доступа к информации, связанной с обработкой персональных данных в базе персональных данных, и к помещениям, где осуществляется их обработка;
- издает обязательные для исполнения законные требования (предписания) об устранении нарушений законодательства о защите персональных данных.
Вывод
Если вы узнали, что вашими данными пользуется лицо, которому вы не давали на это согласия, или вас включили в какую-то базу данных без вашего на то разрешения, на данный момент воздействовать на правонарушителя вы не сможете.
Нет материального нарушения - нет и гражданской ответственности. Для привлечения нарушителя к уголовной ответственности должны быть реальные серьезные последствия. Чтобы взыскать моральный ущерб, придется доказывать суду, что, например, справка от врача за лечение от депрессии вызвана именно SMS-ками из магазинов!
Остается только ждать принятия законопроекта N 7355 и создания специального органа с понятным порядком работы и утвержденным положением о его деятельности.
Если же вы представляете интересы предприятия, которое имеет такие базы (таких у нас несметное множество), то до принятия вышеупомянутых актов старайтесь полученную информацию и базу данных не передавать и не распространять без особой надобности. Потому что как раз за «утечку данных» можно должностных лиц и к уголовной ответственности привлечь (думаем, в данном случае все будет зависить от того, что было в этой базе данных).
Список использованных документов
УК Украины - Уголовный кодекс Украины
КУоАП - Кодекс Украины об административных правонарушениях
Закон N 74/98 - Закон Украины от 04.02.1998 г. N 74/98-ВР «О Национальной программе информатизации»
Закон об авторском праве - Закон Украины от 23.12.1993 г. N 3792-ХП «Об авторском праве и смежных правах» в редакции от 11.07.2001 г. N 2627-III
Закон о защите ПД - Закон Украины от 01.06.2010 г. N 2297-VI «О защите персональных данных»
Закон об информации - Закон Украины от 02.10.1992 г. N 2657-ХП «Об информации»
Всеобщая декларация прав человека - Всеобщая декларация прав человека Стран-участниц от 10.12.1948 г.
Директива о защите данных - Директива Европейского Парламента и Совета от 24.10.1995 г. N 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» (http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=994_242)
Конвенция о защите личности - Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных Стран - участниц от 28.01.1981 г. ETS N 108 (дата вступления в силу для Украины - 01.01.2011 г.)
Конвенция о защите прав человека - Конвенция о защите прав человека и основных свобод Стран - участниц от 04.11.1950 г. ETS N 005 (дата вступления в силу для Украины - 01.09.1997 г.)
Приказ N 272/219 - Приказ Госкомстата Украины и Миннауки Украины от 07.08.1998 г. N 272/219 «Об утверждении Типовых форм первичного учета научно-информационной деятельности и Инструкции о порядке их использования и применения»
Проект закона N 7355 - Проект закона Украины от 11.11.2010 г. N 7355 «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных»
“Экспресс анализ законодательных и нормативных актов”, N 11 (793),
14 марта 2011 г.
Подписной индекс 40783