Персональные данные «под замком»

28 января международное сообщество отмечает День защиты персональных данных. В этот день в 1981 г. была подписана Конвенция о защите прав лиц в связи с автоматизированной системой обработки персональных данных, ставшая впоследствии ядром правового регулирования в этой сфере. На ее основании Европейским союзом приняты 3 директивы, признающие базовыми принципами обработки и защиты персональных данных добросовестность и законность их получения, накопление для точно определенных и законных целей и неиспользование в противоречии с этими целями, а также адекватность, точность в случае необходимости обновления, сохранность в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются. Сбор данных предписывается осуществлять с соблюдениями мер предосторожности, обеспечивающих невозможность их случайного или несанкционированного уничтожения, изменения или распространения.

В число активных партнеров Конвенции вошли Израиль, Канада, Мексика и США. Конвенция ратифицирована 43 странами Европейского союза, а также поддерживается такими международными организациями, как ООН, ОЭСР, ЭКОЦАС, ASEAN* и др. Украина присоединилась к Конвенции 6 июля 2010 г.

Имеем право на право

Ратификация Конвенции потребовала от парламентариев решительных шагов в сфере урегулирования прав и обязанностей субъектов отношений, связанных с персональными данными. Ст. 32 Конституции Украины, запрещающая сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, в 2011 г. была подкреплена Законом «О защите персональных данных» (далее – Закон). На сегодняшний день в Закон внесены многочисленные дополнения и поправки, соответствующие европейским и международным стандартам. В частности, разработана четкая и лаконичная терминология, определены субъекты правоотношений, а также их права и обязанности.

Так, субъект персональных данных, т. е физическое лицо, этими данными идентифицируемое, имеет право знать о месте нахождения своих данных, получать информацию об условиях доступа и доступ к ним, ответы о наличии данных в той или иной базе, а также возражать против обработки данных, требовать их исправления или изъятия из указанной им базы. В свою очередь, владелец или распорядитель данных, т. е. предприятие, учреждение либо организация любой формы собственности, орган государственной власти или местного самоуправления, физическое лицо-предприниматель, который обрабатывает персональные данные в соответствии с законом, обязан в письменной форм. уведомить субъекта о поступлении его данных в свою базу. База владельца или распорядителя подлежит регистрации в Государственном реестре баз персональных данных – единой государственной информационной системе сбора, накопления и обработки сведений о зарегистрированных базах персональных данных.

Незнание закона освобождает от ответственности?

В то же время, специалисты по защите персональных данных отмечают недостаток знаний в этой сфере не только у субъектов и объектов правоотношений, но и у представителей юридического корпуса, на плечи которых возлагается обязанность по урегулированию споров о неправомерном использовании идентифицирующей информации. В связи с этим возникают предпосылки для различного рода махинаций – таких, скажем, как выставление организациями ЖКХ счетов за невыполненные услуги с указанием данных жильца, получение кредитов по данным другого субъекта, отказ распорядителя данных в предоставлении того или иного вида услуг со ссылкой на непредоставление данных, а также выполнение иных незаконных юридических действий.

Критического масштаба достигла проблема незаконного передвижения персональных данных в социальных сетях. По мнению экспертов, изучивших 2500 правил защиты персональных данных, 60% сайтов имеют право не удалять личную информацию, а 20% могут ее продавать. Причем в большинстве случаев продажа дынных является законной, поскольку право сайта на это указано в соглашении о политике конфиденциальности. Другое дело, что дочитывают подобные соглашения до конца единичные пользователи.

Предупрежден – значит вооружен

Для разъяснения отдельных положений Закона Министерством юстиции Украины совместно со службой по вопросам защиты персональных данных проводятся мероприятия информационного характера, рассматриваются предложения, запросы, обращения, требования и жалобы физических и юридических лиц, обеспечивается взаимодействие с иностранными субъектами отношений, связанных с персональными данными, осуществляется мониторинг новых практик, тенденций и технологий защиты персональных данных, вносятся предложения по формированию политики в сфере защиты персональных данных в порядке, определенном законодательством, согласовываются корпоративные кодексы поведения. Подробная информация для владельцев, распорядителей и субъектов персональных данных относительно их прав и обязанностей размещена на сайте Государственной службы Украины по вопросам защиты персональных данных, а также доступна в центрах регистрации баз данных. В ближайшем будущем на общественных началах планируется создать лабораторию, исследующую основные европейские и международные тенденции. Отдельно следует подчеркнуть готовность службы по вопросам защиты персональных данных к проведению специально для судей разъяснительных мероприятий касательно правоприменительных положений действующего в этой сфере законодательства.

Реальный Закон

Характеризуя Закон, председатель Государственной службы по вопросам защиты персональных данных Алексей Мервинский подчеркнул, что это один из немногих нормативно-правовых актов подобного характера, обеспечивающих реальную защиту прав рядовых граждан. По его словам, положительным нововведением является ряд дополнений к Закону, в т. ч. дополнение ст. 22 предписанием о возможности субъекта с целью защиты своих прав обращаться в «другие органы государственной власти», что существенно расширяет сферу реализации его права на защиту. Таким образом, субъект, подозревающий о нарушении своего права, может в письменной форме уведомить об этом лицо, его право нарушающее, а также обратиться в органы местной власти или непосредственно в Государственную службу по вопросам защиты персональных данных. Причем обращаться можно как посредством почтовой корреспонденции, так и путем изложения своей проблемы на сайте. Мониторинг сайта осуществляется ежедневно, и лица, разместившие сообщения, получают уведомления об их рассмотрении в течение рабочего дня.

Если субъекты остаются недовольными толерантностью госорганов, что, как правило, имеет место в случае незаконного использования персональных данных, которое посягает на честь, достоинство и деловую репутацию лица, они могут обратиться в суд на общих основаниях. На сегодня Единый государственный реестр судебных решений содержит более 20 тыс. конкретных судебных решений, принятых по вопросам защиты персональных данных.