Главная угроза правам граждан идет от баз данных на каждого из нас, собираемых государственными структурами - И.Лоскутов

 

Главная угроза правам граждан идет от баз данных на каждого из нас, собираемых государственными структурами (Лоскутов И.Ю.)На минувшей неделе глава государства подписал Закон «О персональных данных и их защите». Когда этот документ только создавался, он вызывал много споров и разногласий. Мы попросили одного из независимых экспертов, генерального директора ТОО «Компания «ЮрИнфо» Игоря Лоскутова поделиться своим мнением о новом законе, пишет газета «Караван».

 

- Игорь Юрьевич, в 2011 году вы были одним из главных критиков законопроекта «О персональных данных». Что скажете по поводу закона?

- Главный порок данного законопроекта в том, что здесь, образно говоря, «телега стоит впереди лошади». Я считаю, что сначала должен быть принят общий закон о доступе к информации, а уже потом, при необходимости, - отдельные законы о доступе к некоторым видам информации. В данном случае - к персональным данным. А получилось наоборот.

Но в сравнении с первоначальными вариантами законопроекта я оцениваю принятый закон положительно. Хотя у нас правильные в принципе законы могут очень неправильно истолковываться и применяться. Подождем, когда к нему будут приняты подзаконные акты.

- Также вызывало сомнение само определение «персональных данных». Вернее набор данных, подпадающих под это определение. Упорядочено ли это определение? Что теперь входит в определение? Отражает ли это определение международную практику?

В принятом законе (Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите», далее - закон) персональные данные определяются как сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Что касается определения «персональных данных» прежде всего как «сведений», то надо сказать, что международной практике «персональные данные» в основном определяются все-таки, как «информация». Например, в статье 2 Конвенции о защите личности в связи с автоматической обработкой персональных данных (Страсбург, 28 января 1981 г.): «персональные данные» означают информацию, касающуюся конкретного или могущего быть идентифицированным лица («субъекта данных»)». Похожие формулировки на постсоветском пространстве мы можем найти в Модельном законе СНГ от 16 октября 1999 года № 14-19 «О персональных данных», Федеральном законе Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями по состоянию на 05.04.2013 г.), Законе Азербайджанской Республики от 11 мая 2010 года № 998-IIIQ «О персональных данных», Законе Республики Молдова от 8 июля 2011 года № 133 «О защите персональных данных». Лишь в Законе Украины от 1 июня 2010 года № 2297-VI «О защите персональных данных» (с изменениями и дополнениями по состоянию на 20.11.2012 г.) «персональные данные» определяются схоже с Казахстаном, как «сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано».

Тут следует отметить, что наверняка выявить логику действий законодателя в Казахстане в отличие от, например, вышеупомянутых стран, довольно трудно. Поскольку у них законопроекты прозрачны на всех стадиях законотворческой деятельности путем размещения соответствующей информации на парламентских сайтах. Это пояснительные записки, сравнительные таблицы и т.д., по которым легко проследить появление тех или иных положений в законопроектах. А казахстанский парламент такую информацию скрывает от общественности и не размещает на своем сайте.

Если обратиться к Толковому словарю Ефремовой, то он определяет све́дения как: «1. Известия, сообщения о чем-либо. 2. Факты, данные, характеризующие кого-либо, что-либо. 3. Познания в какой-либо области, осведомленность в чем-либо. 4. Отчет с цифровыми данными». В связи с чем, соотношение понятий «информация», «сведения», «данные» можно представить следующим образом: информация содержит определенные факты, описание которых будет составлять сведения, а сведения представленные в какой-либо формализованной форме (на материальном носителе) будут являться данными.

Следует поддержать то, что авторы закона не приняли точку зрения тех, кто предлагал дать исчерпывающий перечень сведений, которые законом отнесены к категории персональных данных. Опыт правового регулирования в других странах показывает, что исчерпывающий перечень не может быть установлен и, более того, не должен устанавливаться законом, поскольку любое ограничение содержания персональных данных выльется в ограничение прав субъекта персональных данных. Ведь современные информационные системы постоянно развиваются, появляются все новые возможности для пополнения их разного рода информационными ресурсами, создаются все новые и новые базы разного рода данных.

 

Кто на вас собирает данные?

 

- Сбор и обработка персональных данных являются основой для многих сфер деятельности предприятий в экономике, статистике, социологии, маркетинге. Как новый закон может повлиять на эти виды деятельности?

- К счастью, наши законодатели не пошли по пути некоторых стран, которые ввели жесткие требования к владельцам баз персональных данных в части их регистрации, сертификации, отчетности и прочих форм контроля. Впрочем, наверняка говорить пока рано, поскольку статьей 26 казахстанского закона предусмотрена компетенция Правительства Республики Казахстан утверждать порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

Вот когда этот порядок будет утвержден, тогда и нужно будет говорить об этом предметно, поскольку именно за несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных сопутствующим законом (Закон Республики Казахстан от 21 мая 2013 года № 95-V «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защиты») предусматривается штраф на физических лиц в размере ста, на должностных лиц, индивидуальных предпринимателей, юридических лиц, являющихся субъектами малого или среднего предпринимательства или некоммерческими организациями, - в размере двухсот, на юридических лиц, являющихся субъектами крупного предпринимательства, - в размере трехсот месячных расчетных показателей. При причинении существенного вреда правам и законным интересам лиц за это предусмотрена и уголовная ответственность.

Помимо этого, собственник и (или) оператор обязаны будут утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан, а порядок определения этого перечня опять же отнесен к компетенции Правительства.

Помимо этого, все работодатели должны будут утвердить акт, устанавливающий порядок сбора, обработки и защиты персональных данных работников своих организаций и в обязательном порядке ознакомить их с ним.

При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны будут их обезличить, т.е. уничтожить возможность определения принадлежности персональных данных конкретному субъекту. Распространение этих данных в обезличенном виде не запрещается, поэтому проблем для социологических, маркетинговых и т.п. компаний я пока не вижу.

- В законе указано, что человек имеет право знать, кто собирает на него данные. Это требование как-то может сказаться на работе прессы?

- В действующем УК РК уже предусмотрена ответственность за незаконный сбор сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Но никто же не ходит по редакциям для выявления таких сведений! Да и норму Закона о СМИ о том, что источники информации журналиста обнародуются только по решению суда, никто пока не отменял.

В этой части права субъекта персональных данных реализуются в соответствии со статьей 25 закона, где предусмотрена процедура подачи запроса собственнику или оператору баз персональных данных, в ответ на который они могут подтвердить или опровергнуть наличие у них данных, касающихся конкретного лица. И только при наличии оснований, подтвержденных соответствующими документами, субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных согласно статье 24 закона.

Да, в той же статье 24 закона содержится право субъекта дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных. Напомню, что согласно статье 6 закона общедоступные источники персональных данных это, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации.

Но согласно статье 9 закона, сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина.

Соответственно, на законную деятельность СМИ требования по даче либо отзыву согласия на сбор и обработку персональных данных не распространяются. А права и свободы человека и гражданина обеспечиваются при выполнении установленных в законе требований по процедуре сбора, обработки и защите персональных данных.

 

Вопрос повис

 

- А как быть с социальными сетями?

- Поскольку в соответствии с Законом Республики Казахстан от 23 июля 1999 года № 451-I «О средствах массовой информации» (с изменениями и дополнениями по состоянию на 08.01.2013 г.) у нас абсолютно все интернет-ресурсы или сайты приравнены к СМИ, то и на них распространяются вышеуказанные нормы об отсутствии необходимости получать согласие субъектов на сбор и обработку персональных данных при соблюдении прочих требований закона.

Вопрос остается по трансграничной передаче персональных данных, т.е. передаче персональных данных на территорию иностранных государств. Ведь в Интернете территория иностранных государств не определена. Но, по закону трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных.

Поэтому в данном случае, как говорится, «спасение утопающих дело рук самих утопающих». Если кто-то добровольно разместил полный набор данных о себе в иностранных социальных сетях и прочих сайтах, то в случае каких-то проблем с этим, на помощь нового закона не должен рассчитывать.

- Устанавливает ли закон правила регистрации биометрических данных системами видеонаблюдения?

- В этой части закон оказался лаконичен. В статье 11 указывается лишь, что конфиденциальность биометрических данных устанавливается законодательством. На сегодня такого законодательства не существует и вопрос, как говорится «повис в воздухе». Хотя то, что проблема есть, свидетельствуют появляющиеся время от времени в СМИ сообщения о незаконно ведущемся видеонаблюдении - то в примерочных, то в туалетах кинотеатров и т.п.

 

Не все права защищены

 

- Главной претензией экспертов было несоблюдение прав человека в законопроекте. В законе это исправлено?

- Замечено не мной, а в Указе Президента Республики Казахстан от 14 ноября 2011 года № 174 «О Концепции информационной безопасности Республики Казахстан до 2016 года, что: «Проверки состояния защищенности государственных баз данных, включенных в состав «электронного правительства», указывают на отсутствие адекватного правового, организационного и технического режима защиты персональных данных граждан. Отсутствие соответствующих механизмов создает предпосылки для злоупотребления персональными данными в криминальных целях, в т.ч. подделки документов, мошенничества, незаконного копирования и распространения различных баз данных».

Т.е. главная угроза правам граждан идет от распространения ни каких-то частных баз, содержащих персональные данные, а создаваемых государственными и около государственными структурами. Это и понятно, ни у кого больше нет таких возможностей по масштабному сбору и обработке данных. Но в части случаев, когда действие закона не распространяется на определенные отношения или не требуется согласие на сбор и обработку персональных данных, именно государственным структурам обеспечен наибольший режим благоприятствования. Во всяком случае, каких-то специальных механизмов общественного контроля за их деятельностью, я в законе не увидел.

Также закон не содержит возможности распространения персональных данных, если эта информация является общественно важной, в отношении так называемых «публичных лиц». А, согласно, например, практике Европейского суда по правам человека, о таких людях можно собирать и распространять данные персонального характера без их согласия, если они являются важными для общества

Международному подходу также не соответствует отсутствие в законе понятия «специальные категории персональных данных», включающего персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни. По сложившейся международной практике, они относятся к категории особых персональных данных, которым предоставляется особый, усиленный режим правовой защиты. В этой части есть определенные нормы в сопутствующем законе, но станут ли они непреодолимым препятствием для государственных органов, заинтересованных в работе с такой информацией?

15 июня 2013, 10:53
Источник, интернет-ресурс: Газеты «Караван» , Лоскутов И.Ю.

Если вы обнаружили ошибку или опечатку – выделите фрагмент текста с ошибкой и нажмите на ссылку сообщить об ошибке.

Акции
Комментарии
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript