до проекту Закону України „Про захист персональних даних” (/)
29.09.2003 13:28 У розріз дискусії навколо проекту Закону України „Про захист персональних даних”
Чи стосується законопроект журналістів?
На досить практичне запитання „кого стосується проект” відповісти чітко дуже складно. Тому більшість осіб, яким потрапляє цей проект до рук, знаходять в ньому загрози саме для себе. Якщо дивитися дуже вузько, то відповідно до першої статті проекту до сфери регулювання потрапляють лише організації, які ведуть автоматизовані бази даних або картотеки з персональними даними осіб, а також приватно практикуючі нотаріуси, адвокати та лікарі. Таким чином, засоби масової інформації потраплятимуть під дію проекту, якщо вони ведуть картотеки або електронні бази даних. Щодо журналістів, то вони теж потенційно можуть бути в полі зору закону, оскільки перелік осіб у статті 1 („нотаріуси, адвокати та лікарі”) не є вичерпним і закінчується словом тощо.
Чи потрібен захист персональних даних?
Мотиви виникнення проекту були, очевидно, самі благородні – захистити приватність пересічних осіб. Більше того, в Європі є декілька нормативних актів у цій галузі. Наприклад, Директива 96/9/ЄC Європейського Парламенту та Ради від 11 березня 1996 року про правовий захист баз даних та Директива 95/46/ЄС Європейського Парламенту і Ради від 24 жовтня 1995 р. про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних.
Разом з цим, між згаданими актами та законопроектом є одна принципова різниця. Вищезгадані документи регулюють не просто захист персональних даних (якими є практично будь-яка інформація про особу), а виключно захист від зловживань під час обробки даних в автоматизованих системах та базах даних. Про що йде мова? У сучасному інформаційному суспільстві виникла величезна кількість як урядових, так і приватних організацій, які володіють значною кількістю інформації про осіб. Наприклад, бази даних банків щодо власників пластикових карток, бази податкової, грандіозні масиви даних операторів мобільного зв’язку та ін. Людина має бути захищеною від зловживань з такими даними, навіть якщо сама по собі вона не є секретною.
Простий український приклад. Під час виборів ЖЕК „здає” інформацію про осіб, які мешкають на території кварталу, після чого ви себе можете знайти у списках на підтримку улюбленого кандидата. Ваша адреса могла й не бути секретною, і ви її ні від кого не приховували, однак ЖЕК не мав жодних повноважень її передавати іншим особам, тому що це не відповідає меті, з якою він зберігає інформацію.
Проблеми проекту.
Однак український законопроект не зовсім сповідує таку ж концепцію. Навіть коли звернути увагу на його назву, вже можна вловити відмінності. Він намагається претендувати на захист будь-яких персональних даних. У цьому криється велика проблема і внутрішня суперечність проекту. Внутрішня суперечність у тому, що деякі статті, як, наприклад, стаття 1 та частина 1 статті 4, чітко вказують, що предметом регулювання та об’єктом захисту є персональні дані, які обробляються за допомогою автоматизованих систем. Однак, уже в тій же статті 4 далі йдеться про те, які персональні дані є інформацією з обмеженим доступом, а які ні. Далі більше.
Другий розділ вводить поняття власності на персональні дані. Це не тільки не відноситься до закону про обробку даних, а й з великим трудом вписується у чинну концепцію права власності (точніше, на мою думку, зовсім не вписується). Про право власності окрема розмова, варто лише відмітити, що мені не відома жодна країна, яка би спробувала застосувати інститут права власності для захисту персональних даних. Для цього застосовуються спеціальні режими захисту інформації, оскільки об’єкт має свої особливості.
Змішування норм, які стосуються автоматизованої обробки та загального режиму захисту персональних даних (інформації про особу), на мою думку, є основною проблемою цього проекту. Такого не можна допускати тому, що вимоги до автоматизованої обробки набагато вищі, ніж до правил збору та поширення інформації, скажімо, журналістами. Тому, якщо правила уніфікувати, це неминуче призведе до порушень прав інших осіб на свободу слова та на інформацію.
Іншою суттєвою проблемою є страшна нечіткість закону. Якщо прочитати цей проект, не маючи здогадки, що там має бути, зрозуміти не можливо нічого. Точніше, можна науявляти чого завгодно, навіть того, чого там немає. Терміни проекту виписані дуже абстрактно, що буде підпадати під бази даних - можна лише здогадуватися. А від цього, зрештою, залежатиме, чи підпадаєте ви під дію цього закону, чи ні.
Однак деякі норми прописані досить чітко щоб усвідомити їх загрозу, у першу чергу, це стосується контролю за виконанням закону. Відповідно до статті 26, має функціонувати спеціальний уповноважений орган з питань захисту персональних даних. Можна лише здогадуватися, чи ці функції буде передано СБУ, чи буде створено окрему структуру. Повноваження уповноваженого органу дуже великі, особливо з огляду на можливе розширене тлумачення терміну „база даних”. Ця структура буде здійснювати реєстрацію баз персональних даних, систем автоматизованого оброблення персональних даних і систем оброблення картотек персональних даних, а також надавати дозволи на діяльність у сфері захисту персональних даних (у визначенні термінів не має терміну „організація, яка здійснює діяльність у сфері захисту персональних даних”, зате є наприклад термін „фізична особа”, який і без цього зрозумілий). Цей орган також матиме повноваження безперешкодного доступу до приміщень, де обробляється інформація, видавати обов’язкові приписи та запитувати будь-яку інформацію.
Шляхи до вдосконалення.
Перелік недоліків можна було би наводити дуже довго. Законопроект створює проблем набагато більше, ніж вирішує. Я не бачу можливості покращити його незначними змінами у окремих статтях. Єдиний шлях – це ґрунтовна переробка і приведення його у відповідність з Директивами Ради Європи щодо обробки персональних даних, у першу чергу шляхом вилучення всього, що не стосується безпосередньо автоматизованої обробки персональних даних. З точки зору законодавчої техніки це потрібно робити шляхом підготовки нового проекту, а не в режимі постатейних правок у другому читанні.
Маніпуляції під час обговорення.
На слуханнях автори проекту та представники парламентського комітету з питань освіти та науки, які з ним працюють, свідомо чи не свідомо вдавалися до речей, які, на мою думку , є нічим іншим, як маніпуляції. Спосіб перший – заклик обговорювати окремі статті. Спроба привернути увагу до окремих статей є нічим іншим, як відвернення уваги від проблем всього проекту, які є суттєвими. Спосіб другий – стверджувати, що проект є рамковий, тому він не дає остаточних відповідей на деякі запитання. Ствердження про „рамковість” є сьогодні модним. Ми вже підписали рамковий договорів про ЕЄП. При цьому рамковість використовується, як правило, у виправдання того, чому текст такий нечіткий і не зрозумілий. Начебто потім будуть інші документи, які його уточнять. Це погане виправдання. Немає рамкових законів. Є закони, які встановлюють обов’язкові норми. І після того, як вони прийняті, нікого вже не цікавить, рамкові вони чи ні, їх треба буде виконувати. Третє – це посилання на міжнародний досвід. Цим теж сильно зловживають. Оскільки мало хто дійсно знає зміст міжнародних договорів, а тим більше зарубіжне законодавство, цим дуже просто грати. Можна просто сказати, що таке є у кожній нормальній країні і всі мають це прийняти.
На закінчення, хочеться сказати все ж таки й декілька приємних слів на адресу організаторів події. У цій історії є принаймні один позитив – це сам факт обговорення проекту. Те, що автори проекту приходять на круглі столи з громадськими організаціями та представниками бізнесу, є дуже добре. Оскільки це нормальні механізми сучасного демократичного суспільства. Усвідомлення такої потреби чиновниками не може не радувати. Я також сподіваюся, що мої критичні коментарі на адресу проекту та обговорення будуть сприйматися саме у розрізі громадської дискусії навколо проекту, яка спрямована на те, щоб наше законодавство було кращим.
Тарас Шевченко, Юрист „Інтерньюз Нетворк”, для „Телекритики”
--------------------