+38 (057) 781-12-60
+38 (095) 479-79-09

Курс на регуляцию

Парламент принял поправки к Закону «О защите персональных данных», которые создают потенциальные препятствия для предпринимателей, т. к. расширяют полномочия ГСЗПД

Закон «О защите персональных данных», вокруг которого в свое время шли широкие дискуссии, действует уже почти 2 года. Его целью было обеспечить надлежащую правовую основу для защиты персональных данных, в частности, создать в данной сфере независимый надзорный орган. Такой орган действительно был создан — Государственная служба по вопросам защиты персональных данных (ГСЗПД), но назвать его полностью независимым сложно, ведь, согласно профильному положению, его деятельность направляется Кабинетом министров через министра юстиции. Надежды изменить ситуацию в этом и других аспектах возлагались на дальнейшие поправки.

И вот 2 октября с. г. Верховная Рада приняла в целом правительственный проект Закона «О внесении изменений в Закон «О защите персональных данных» относительно правового регулирования в этой сфере» (р. №10472-1). Во многом он повернул вспять процессы, над которыми пришлось поломать голову предпринимателям: не нужно будет регистрировать базы персональных данных по сотрудникам и получать согласие на обработку персональных данных у каждого контрагента — для этого достаточно будет подписанного договора. Однако против поправок выступили общественные советы при Министерстве юстиции и (что удивительно) при самой ГСЗПД. Они и другие субъекты обратились к Президенту Украины с просьбой наложить вето на законопроект №10472-1. С чем связана критика документа и какие последствия возможны, если он вступит в силу, выясняла «Судебно-юридическая газета».

Итак, 2 октября с. г. Верховной Радой приняты в целом предложенные правительством изменения в Закон «О защите персональных данных» от 1 июня 2010 г. Они направлены на подпись Президенту Украины, но по состоянию на момент сдачи номера он еще не принял решения, подписать или наложить вето на законопроект №10472-1. Напомним, на это гаранту Конституции дается 15 дней с момента направления документа (9 октября) — т. е. до 24 октября.

Впрочем, есть вероятность, что Президент предложит свои поправки к проекту. Так, ряд общественных организаций (таких как общественные советы при Министерстве юстиции Украины и при Государственной службе защиты персональных данных (далее — ГСЗПД), Экспертный совет по вопросам свободы информации и защиты конфиденциальности при представителе Уполномоченного ВР по правам человека по вопросам доступа к публичной информации и защиты персональных данных, Интернет Ассоциация Украины, Лига страховых компаний) уже обратились к Гаранту с просьбой ветировать законопроект в том виде, в котором он принят парламентариями.

Госслужбе — больше полномочий?

Сразу отметим, что вышеуказанные организации не против изменений в Закон как таковых — их не устраивает один, но немаловажный момент. Изменения, которые готовились в течение года, являются продуктом взаимодействия Министерства юстиции, ГСЗПД и предпринимателей. Тем не менее, при втором чтении они неожиданно для последних были подкорректированы. А именно: в ст. 23 проекта были добавлены п. 14, 15 и 16, которые, по сути, расширяют полномочия ГСЗПД в сфере технического регулирования, разработки стандартов и технических регламентов, требований по защите персональных данных в информационно-телекоммуникационных системах и осуществления оценки соответствия систем защиты информации в этих системах.

Недовольные настаивают, что была нарушена регламентная процедура принятия закона: во-первых, поправки были приняты без надлежащего общественного обсуждения, во-вторых, уже во втором чтении появились пункты, которых до этого в законопроекте не было (относительно полномочий Госслужбы), и в-третьих, был нарушен срок предоставления замечаний к проекту (14 дней). с ними согласны и эксперты Главного юруправления ВР: «В текст проекта, подготовленного к рассмотрению во втором чтении, вопреки ст. 102 и 116 Регламента внесены изменения, которые не были предметом рассмотрения при его принятии по процедуре первого чтения и меняют его концепцию».

Стоит отметить, что Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных №108 от 21 января 1981 г. и Директива №95/46/ЕС Европейского парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещения таких данных» от 24 октября 1995 г. устанавливают минимальный набор требований, которым должны отвечать сбор и обработка ПД. Это означает, что владелец базы данных является свободным в выборе средств и способов обработки и защиты ПД, исходя из собственных возможностей, он не обязан приводить обработку таких данных в соответствии с любыми стандартами или техническими регламентами. Кроме того, очевидно, что соблюдение владельцами ПД определенных стандартов еще не означает соблюдения ими правовых норм и поэтому не может стать инструментом, который дополнительно защищал бы данные при их обработке. Напротив, введение такого регулирования может повлечь дополнительное давление и финансовые затраты для СПД даже при добросовестном соблюдении всех требований Закона «О защите персональных данных».

Еще один аспект: закон не решает проблему создания независимого государственного органа в сфере защиты персональных данных, как того требуют европейские стандарты, в частности План действий по либерализации ЕС визового режима для Украины.

Регистрацию повернули вспять

В то же время, можно констатировать, что в поправках есть и позитивные моменты, которые направлены на урегулирование целого ряда проблем и противоречий.

Как известно, существенным препятствием для реализации норм Закона была проблема регистрации баз персональных данных предпринимателями. И сейчас у Госслужбы, по данным общественного совета при ней, находится несколько миллионов таких заявок на регистрацию, обработано по состоянию на сегодняшний день всего несколько десятков тысяч. Можно только представить, сколько времени потребуется для регистрации всех заявок. И опять-таки, загвоздка в том, что необходимость регистрировать базы данных еще не означала защиту прав граждан.

Следует отметить, что внесенными изменениями данный вопрос на 90% урегулирован. Так, теперь не нужно будет регистрировать «кадровые» БПД, которые есть практически на каждом предприятии. Кроме того, исключена необходимость предоставления согласия субъекта ПД на обработку, которая осуществляется владельцем для заключения либо выполнения договора с субъектом персональных данных. В действующей же редакции Закона любая обработка ПД осуществляется с согласия их субъекта, т. е. даже заключение банальной сделки, например, о продаже товара, требовало разрешения от гражданина на обработку его данных.

Также усовершенствован механизм уведомления субъекта о его правах в связи с включением его данных в базу. Законом предусмотрено, что такое уведомление осуществляется только в тех случаях, когда на обработку персональных данных ранее не было получено согласие их субъекта (в действующей редакции Закона такое уведомление должно было осуществляться во всех без исключения случаях). Отменена и обязательная письменная форма такого уведомления.

Но, опять-таки, упомянутые вначале изменения, которые стали сюрпризом для общественности и бизнеса, нивелируют те позитивные моменты и идею, которые несли в себе поправки. Ведь если раньше можно было надеяться, что участники процессов могут свободно на собственное усмотрение устанавливать порядок и условия обработки ПД и оценивать риски, то учитывая данные изменения, возможно, все сведется к бюрократическому принятию решений.

Есть и еще один момент, который может коснуться прав граждан на приватность. Так, законопроектом предлагается предусмотреть, что распространение персональных данных без согласия их субъекта разрешается в интересах национальной безопасности, экономического благосостояния и прав человека, «если это необходимо». Такая новация противоречит ч. 2 ст. 32 Конституции, согласно которой «не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека», а также не учитывает правовой позиции КСУ (решение №2-рп/2012 от 20.01.2012).

Шаткий баланс

Отдельно следует сказать, что внесенные изменения не позволили согласовать Закон «О защите персональных данных» с Законом «О доступе к публичной информации». Так, остается без изменений ч. 2 статьи 5 Закона, которая предусматривает, что «персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом». То есть любые персональные данные автоматически признаются конфиденциальными. Это не позволяет установить надлежащий баланс между правом на доступ к информации и право на защиту приватности. Более того, напротив, из действующего Закона «О защите персональных данных» изымается важная норма (ч. 3 ст. 5) о возможности отнесения другими законами отдельных категорий персональных данных к таким, которые не являются информацией с ограниченным доступом.

Заложенный подход противоречит Конституции Украины (ст. 32), согласно которой запрещается сбор, хранение, использование и распространение именно «конфиденциальной информации о лице», поскольку не вся информация о лице является конфиденциальной. Это подтверждается Решением Конституционного Суда Украины от 20.01.2012 г., согласно которому не вся информация о лице является конфиденциальной. Конфиденциальной не является предусмотренная законами информация, касающаяся осуществления лицом, занимающим должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий.

Такой подход также не соответствует европейским стандартам, в частности практике Европейского суда по правам человека. Так, во многих своих решениях ЕСПЧ установил, что право на приватность публичных деятелей может быть ограничено в силу должности, которую они занимают или их публичный статус, а также исходя из важности определенной информации для общественной дискуссии и т. д. Не соответствует это и определению конфиденциальной информации, которое содержится в Законе «О доступе к публичной информации».

Таким образом, установленный подход может привести приведет к дальнейшему необоснованному ограничению доступа к публичной информации со ссылкой на конфиденциальность персональных данных, что имеет место сейчас.

«Хромает» и сама юридическая техника закона: новая редакция части первой и девятой статьи 6 закона содержит нечеткие и непредсказуемые нормы, что противоречит принципу юридической определенности. В частности, предусматривается, что обработка персональных данных в исторических, статистических или научных целях «может осуществляться только при условии обеспечения их надлежащей защиты». При этом понятно, что представляет собой такой «надлежащую защиту». Эта неточность может привести к произвольному ограничению свободы исследований, включающих обработку персональных данных.

Возможно, аргументы общественных организаций сыграют свою роль. Ведь относительно другого, не менее резонансного Закона «О Едином государственном демографическом реестре», который также находится на подписи Президента, он подчеркнул: в конструктивном диалоге будет найдено взвешенное решение.

Таким образом, одно можно сказать точно: поправкам к Закону «О защите персональных данных» необходима комплексная экспертная оценка, ведь он коснется прав каждого гражданина нашего государства. Какое решение будет принято в итоге, станет известно в ближайшее время.

Комментарии

Владимир Козак, заместитель председателя Государственной службы защиты персональных данных:

- Есть официальная точка зрения службы: мы за то, чтобы документ был подписан в такой редакции, в какой он есть. Но служба реализует государственную политику в сфере защиты персональных данных, реформирует ее, поэтому мы будем выполнять любое решение. Ведь существующий Закон создает массу проблем, которые надо решать сегодня, а не завтра. Мы не видим никаких угроз бизнесу даже исходя из тех статей, которые появились в поправках, поскольку стандартизация — это общий тренд во всем мире, и от него никуда не деться.

Сейчас стоят очень острые вопросы: как долго могут обрабатываться персональные данные коллекторскими фирмами, в каком объеме банк или другая финансовая организация могут передавать персональные данные. Если ПД собраны с некой целью, то с этой целью они должны и обрабатываться. Каждый банк имеет право идентифицировать клиента при открытии его счета, но он не может эти сведения использовать и собирать больше, чем ему надо для идентификации. Есть бюро кредитных историй, есть сбор банком информации о рисках и т. д., а Закон и Конвенция говорят, что каждая цель требует отдельной обработки.

Мы провели более 20 проверок очень сложных юрлиц, которые обрабатывают персональные данные, у нас есть право давать предписания, которые они должны выполнять. Если они не согласны с этими предписаниями, они могут идти в суд. У нас не было ни одного случая, когда бы они не выполнили наших предписаний, и штрафы еще не накладывались.

Я не думаю, что изменения к Закону принципиально изменят что-либо. Редакция учитывает предложения по усовершенствованию Закона, высказанные европейскими экспертами, и его ветирование может остановить положительные явления. Независимо от того, вступят в силу поправки или нет, думаю, в следующем году мы уже увидим стандарты в области защиты персональных данных.

Иван Петухов, вице-президент Украинского союза промышленников и предпринимателей, замглавы Общественного совета при ГСЗПД:

- Изначально существовало два законопроекта: Кабмина и авторства народных депутатов. Их соединили вместе. Но впоследствии появились пункты, которыми ГСЗПД предлагается дать права в сфере технического регулирования, разработки требований по защите персональных данных в информационно-телекоммуникационных системах (т. е. интернете) и по оценке соответствия систем защиты информации в этих системах. На выполнение всех указанных мероприятий придется искать средства, а они могут быть немалые.

Такие изменения практически не дают ничего, поскольку они не спасают от человеческого фактора. Вся ответственность все равно ложится на субъекта, который владеет базой персональных данных. Это его задача и проблема защищать их. Кроме того, Главное юридическое управление ВР указало, что данные пункты не были предметом рассмотрения при первом чтении и меняют основную цель принятия законопроекта. И эти нормы идут вразрез с задекларированным в государстве курсом на дерегуляцию.

Ксения Ляпина, заместитель председателя Комитета ВР по вопросам промышленной и регуляторной политики и предпринимательства:

- Принятые поправки к Закону о защите персональных данных неоднозначны. Можно было бы говорить, что изменения приводят к ухудшению, если бы не был плох сам базовый Закон, создающий сегодня препятствия в осуществлении предпринимательской деятельности. И поправки, к сожалению, не приведут к существенным улучшениям. Пожалуй, именно в этом проявляется их негативное влияние.

Валерий Бондык, заместитель председателя Комитета ВР по вопросам правосудия:

- Я думаю для того, чтобы получить четкий ответ, послужат ли на пользу регуляции социально-экономических отношений принятые изменения, нужно время, дабы нормы прошли практическую апробацию. И ничего страшного нет в том, если практика применения Закона выявит какие-то недоразумения или моменты, свидетельствующие об ущемлении прав. Законодатель сразу же среагирует, и сразу же будут внесены соответствующие поправки.

Вадим Колесниченко, член Комитета ВР по вопросам правосудия:

- Никаких нарушений Регламента при принятии поправок к Закону «О защите персональных данных» не было. Закон «О Регламенте Верховной Рады Украины» абсолютно не предусматривает обсуждения любых законов общественными организациями. Это добрая воля автора законопроекта. Либо Комитет может принять решение о проведении общественных или комитетских слушаний.