Гражданин современного информационного общества — физическое лицо, персональные данные (ПД) которого подвергаются автоматизированной обработке. Согласовывается ли это с конституционным принципом невмешательства в личную жизнь?
Из ежедневного. Вы — физическое лицо, участник правоотношений, например, трудовых. При устройстве на работу предоставляете работодателю необходимую информацию о себе, то есть ПД, — «сведения о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Работодатель заносит их в свою базу персональных данных (БПД) работников — и, поздравляем, вы получили статус субъекта персональных данных (СуПД). Работодатель в данном случае является владельцем БПД. А это означает, что данные о вас начинают собирать, накапливать, сохранять, адаптировать, изменять, возобновлять, использовать и распространять, обезличивать и даже уничтожать! Словом, ваши данные обрабатываются в БПД. Обработкой ПД занимается отдельное лицо, назначенное владельцем, — распорядитель БПД.
Внимание! Обработку ваших ПД владелец может осуществлять исключительно по вашему задокументированному добровольному согласию (с определением объема данных) на это в соответствии со сформулированной целью. В этом случае цель обработки данных — трудоустройство.
На основании чего?
Конституционное право на невмешательство в личную жизнь лежит в основе защиты ПД и предусматривает особый правовой режим информации о физическом лице, поскольку, согласно законодательству Украины, информация о физическом лице является конфиденциальной, а следовательно, доступ к ней ограничен самим лицом.
Только с разрешения?
Все ПД о вас как о физическом лице обрабатываются (автоматизировано или в форме картотек) исключительно при наличии вашего письменного согласия. Такое решение Украина приняла на пути к безвизовому режиму. Но об этом позже. Мировая правовая практика защиты ПД пошла двумя путями: или отождествив ПД с какой-либо информацией, касающейся конкретного лица, или дифференцировав ПД. Принцип дифференциации ПД также закреплен в нашем законодательстве. Закреплен, но, к сожалению, не положен в основу режима доступа к ПД.
В чем же состоит дифференциация? В распределении информации о физическом лице на следующие составляющие:
— так называемый оперативный минимум ПД — общие данные — ФИО физического лица, идентификационный номер, сведения об образовании, трудовом стаже, семейном положении, контактные данные;
— категорию «чувствительных» данных — о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профсоюзах, а также данные, касающиеся здоровья или половой жизни. Закон запрещает обработку таких сведений, но дает перечень исключений из запрета. Условно их можно поделить на две категории: по однозначному согласию СуПД и по объективной необходимости.
Заметим: когда в основе доступа к ПД лежит принцип дифференциации данных, то разрешительный порядок обработки предполагается исключительно относительно «чувствительных» данных. В нашем случае обязанность получения согласия СуПД распространяется на все его ПД. Именно таким способом украинский законодатель решил организовать защиту ПД в Законе Украины «О защите персональных данных» №2297 от 01.06.2010 года (далее — Закон).
Итак, мы рассмотрели ситуацию с позиции СуПД.
Закон появился в ответ на очередной вызов евроинтеграции. С целью активизации безвизового диалога с ЕС защита ПД попала в список реформ безотлагательного введения в 2010 году: через «Матрицу сотрудничества» Украины с ЕС и План первоочередных мер по интеграции Украины в ЕС — до Закона. Кроме этого, были внесены изменения в некоторые законодательные акты Украины относительно усиления ответственности за нарушения законодательства о защите персональных данных (вступают в силу с 01.01.2012 года) и ратифицированы Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных 1981 года (далее — Конвенция) и Дополнительный протокол к ней относительно органов надзора и трансграничных потоков данных 2001 года. Но «успев» не разочаровать ЕС, Украина не успела разобраться в правовых последствиях «реформы» для себя.
Теперь рассмотрим ситуацию с позиции владельца БПД. Гарантией защиты ПД Закон определил обязательную государственную регистрацию всех БПД. Хотя Конвенция формулирует только общую обязанность создания системы защиты ПД, то есть не требует от государств-участниц введения какого-то конкретного механизма, например, обязательной регистрации всех БПД. Мало того, европейские государства — участницы Конвенции ввели так называемую необходимую регистрацию — то есть регистрацию, во-первых, владельцев БПД, а не самих БПД, во-вторых, — владельцев баз «чувствительных» ПД и, в-третьих, — с целью контроля за обработкой данных и обеспечения открытости информации об обработке.
Кстати, вы можете даже не догадываться, что на вашем счету уже сейчас есть несколько БПД, подлежащих регистрации. Но с нового года ваше незнание само даст о себе знать.
Вступив в действие с 01.01.2011 года, Закон запустил новый механизм. К чему же привели сверхусилия государства? Субъект предпринимательской деятельности: физическое лицо—частный предприниматель (далее — ЧП), оформив на работу двух наемных работников, автоматически стал владельцем БПД. Следовательно, БПД работников — первая база. Занимаясь своим любимым делом, получаем в подарок еще одну — БПД клиентов.
Субъект предпринимательской деятельности—юридическое лицо, если статус обязует, будет иметь как минимум еще и третью базу — БПД поставщиков услуг.
Таким образом, вашему вниманию регистрационный минимум: если вы — физическое лицо—ЧП, готовьтесь к регистрации двух БПД, если же юридическое лицо — вам светит зарегистрировать их аж три!
Как же государство предлагает жить со статусом владельца БПД?
Государство создало специализированный правовой и институционный механизм обеспечения защиты ПД. Государственная служба по защите персональных данных Украины (ГСЗПД) — регулятор, держатель реестра и контролер. В специализированную правовую базу, кроме Закона и внесенных изменений в другие правовые акты, входят подзаконные правовые акты, регламентирующие порядок создания и деятельности ГСЗПД, ведение реестра и предоставления документов для регистрации.
Владельцам к регистрации БПД надо подготовиться. И не только морально, в частности:
— установить цель обработки ПД и количество БПД, необходимых для осуществления собственной деятельности;
— утвердить внутренним приказом порядок обработки и защиты персональных данных, ознакомить сотрудников с этим документом;
— утвердить текст согласия лица на обработку его персональных данных;
— получить письменное согласие субъектов персональных данных;
— определить структурное подразделение или лицо, ответственное за организацию работы по защите персональных данных во время обработки.
Выяснив эти вопросы на частном уровне, владелец подает заявление о регистрации БПД, которая находится в его владении (по каждой БПД отдельно!). Заявление должно содержать сведения, необходимые для регистрации, а именно: обращение о внесении БПД в реестр, информацию о владельце БПД, информацию о наименовании и местонахождении БПД, информацию о распорядителе ПБД, информацию о цели обработки данных, документ, подтверждающий обязательство выполнять требования законодательства по защите ПД.
Образец заявления Минюст утвердил еще в августе с.г. Регистрация БПД осуществляется путем внесения соответствующей записи и выдачи свидетельства в течение десяти дней со дня поступления заявления.
И вот свидетельство на руках! Можно ли после факта регистрации забыть об еще одном бюрократическом механизме? Нет. С этим придется жить.
В соответствии с Законом: «…о каждом изменении сведений, необходимых для регистрации, владелец БПД должен сообщить ГСЗПД Украины не позднее чем в течение десяти рабочих дней с наступления такого изменения».
Какой же алгоритм действий законопослушного владельца?
Например, распорядитель БПД Геннадий Павлович изменил адрес.
Владелец БПД:
1) обращается к Геннадию Павловичу для получения согласия на обработку его персональных данных (поскольку статус распорядителя не освобождает его от статуса СуПД);
2) получив согласие, вносит изменения в БПД;
3) сообщает ГСЗПД о внесении изменений в ведомости.
Изменив адрес фактического размещения или хранения носителей БПД, сообщаем ГСЗПД.
Кроме того, правила ведения документооборота и порядок осуществления самой деятельности работодателя требуют от него постоянной внутренней обработки ПД. И хотя изменения в данных СуПД не нуждаются в сообщении ГСЗПД, за счет процедуры получения согласия обработка данных добавляет работодателю много документарной нагрузки. Даже за пополнение в семье работника искренне не порадуешься…
По такому сценарию физическое лицо—ЧП или небольшое юридическое лицо, столкнувшись с трудностями, обойдется расширением штата работников на одного человека, а вот более крупным — как для внутренней «переписки» с СуПД относительно обработки их данных, так и для «переписки» с ГСЗПД — придется обратиться к созданию отдельного структурного подразделения. Не путь ли это в Абсурдистан?
Согласно Закону: «…персональные данные в БПД подлежат уничтожению в случае прекращения правоотношения между субъектом персональных данных и владельцем БПД, если иное не предусмотрено законом». А вот Главное архивное управление еще в 1998 году переобязало работодателя сохранять персональные данные в течение 75 лет. Норма не новая, а унаследованная. А по иерархии законодательства, закон выше приказа, поэтому практику документооборота и архивации перечеркиваем?
И не забудьте, об уничтожении ПД вам тоже придется сообщить и СуПД, и всем лицам, которым эти данные были переданы.
Статья 1 — ошибка первая
Исключением из общего правила обязательной регистрации, в силу исключения из сферы действия закона, является деятельность по созданию БПД и обработке персональных данных в этих базах, которая осуществляется:
• физическими лицами — исключительно для непрофессиональных личных или бытовых нужд;
• журналистами — в связи с исполнением ими служебных или профессиональных обязанностей;
• профессиональными творческими работниками — для осуществления творческой деятельности.
Поскольку Закон Украины «О государственной поддержке средств массовой информации и социальной защите журналистов» определяет журналиста в качестве «творческого работника, который профессионально собирает, получает, создает и занимается подготовкой информации для СМИ…», вторая категория субъектов освобождения входит в третью. Остается только сделать ударение на незаурядном внимании, которое уделяется исключениям из сферы действия какого-либо реформаторского закона.
В Великобритании защита персональных данных осуществляется на основании Акта о защите персональных данных 1998 года (далее — Акт), в основу которого положен принцип дифференциации ПД. В этом государстве — участнике Конвенции внедрена «необходимая обязательная регистрация», предусматривающая исключения для:
1) владельцев, осуществляющих обработку персональной информации для:
— управления персоналом (включая платежные сведения);
— рекламы, маркетинга, связей с общественностью (в связи с коммерческой деятельностью компании);
— ведения бухгалтерской отчетности;
2) некоторых неприбыльных организаций;
3) обработки персональных данных для личных, семейных или бытовых целей (включая проведение досуга);
4) владельцев, выполняющих обработку персональных данных с целью ведения публичного реестра;
5) владельцев, не реализовывающих компьютерную обработку персональных данных.
Реестр владельцев ведет комиссар по вопросам информационного регулирования, который также уполномочен накладывать денежные штрафы за нарушение регистрации. Контроль за ведением реестра осуществляет ведомство по вопросам информационной политики. Институционную систему дополняет трибунал по вопросам информационной политики, который входит в системы административного судопроизводства.
Исключения в британской системе не являются исключениями ради исключений, а действительно направлены на устранение бюрократизации деятельности владельцев БПД, которые имеют дело с обработкой «оперативного минимума ПД», и защиту «чувствительных» ПД.
Почему это важно именно сегодня? По состоянию на 10.11. 2011 г. ГСЗПД получила, обработала и внесла в Государственный реестр БПД 1203 заявления о регистрации БПД. По результатам рассмотрения этих заявлений Временная комиссия ГСЗПД по рассмотрению документов о регистрации БПД в Государственный реестр баз персональных данных внесла 861. Это что, нарушение закона?
На первый взгляд, статистические данные свидетельствуют о несоблюдении владельцами БПД действующего законодательства в сфере защиты ПД путем уклонения от обязанности регистрации БПД. Однако на самом деле для работы системы защиты ПД необходимо запустить ключевой механизм — механизм ответственности за нарушения законодательства по защите ПД. Соответствующие изменения вступают в силу с 01.01.2012 года и предусматривают административную и уголовную ответственность в соответствии с Кодексом об административных правонарушениях (КАСУ) и Уголовным кодексом Украины (УКУ).
В частности, предполагается административная ответственность в виде штрафных санкций за уклонение от государственной регистрации БПД:
— для граждан — в размере от 300 до 500 необлагаемых налогом доходов граждан (н. н. д. г.), то есть от 5100 до 8500 грн. и
— для должностных лиц, граждан—субъектов предпринимательской деятельности — в размере от 500 до 1000 н. н. д. г., то есть от 8500 до 17000 грн.
Поскольку основной массив регистрации будут составлять именно базы, которые содержат «оперативный минимум ПД», то «непонимание» концепции обязательной регистрации может дорого обойтись владельцам БПД.
Публичность информации
С 1 января 2012 года станут общедоступными сведения Реестра на веб-сайте администратора Реестра (ГП «Информационный центр» Министерства юстиции Украины) путем поиска и просмотра информации о БПД (наименование базы, сведения о владельце. Для физических лиц — при наличии ФИО, цель обработки данных, регистрационный номер записи о базе персональных данных в Реестре). При этом поиск может осуществляться по трем последним сведениям.
Украина снова пошла путем «письменного антинародного законотворчества», возложив дополнительную бюрократическую и финансово-административную нагрузку на субъектов предпринимательской деятельности, — регистрация ради регистрации, а не с целью защиты необходимой категории «чувствительных» ПД.
Как видим, трудно недооценить институт защиты ПД в современных условиях несанкционированного их использования. Но Украина должна основывать свое внутреннее требование регистрировать БПД на принципе дифференцирования персональных данных, что, с одной стороны, обеспечит достижение цели защиты тех ПД, которые в этом нуждаются, и, с другой — не будет создавать дополнительных препятствий для деятельности владельцев БПД — представителей малого и среднего бизнеса.
Непродуманное реформирование законодательства вместо того, чтобы лечить правовую систему Украины, приносит ей только болячки, поскольку нужно было сначала проконсультироваться у врача, получить рецепт и даже купить лекарства. Нужно правильно и систематически их принимать, а не гнаться за призрачным здоровьем, перепиваясь антибиотиками и транквилизаторами, особенно когда это здоровье необходимо миллионам людей.