Проблемы защиты персональных данных в Украине

Баранов А. А., Брыжко В. М., Базанов Ю. К.
20.05.2005 | 13:58
С начала 70-х годов прогресс в развитии компьютерной техники и технологий стал оказывать активное влияние на все сферы жизнедеятельности человеческого общества.

В это время из всего объема информации была выделена особая группа сведений, касающихся частной жизни конкретных людей, которая собиралась, обрабатывалась и распространялась различными службами и организациями. Эти сведения получили название “данные о личности”, “информация о личности” или “персональные данные”.

Создание крупных компьютерных центров и концентрация в них различной информации вызвали необходимость правовой регламентации деятельности, связанной с использованием сведений персонального характера.

Одним из первых целевых законодательных актов по защите персональных данных является немецкий Закон земли Гессен 1970 года “О защите данных”, который в последующем приобрел статус федерального Закона. Авторы закона, исходя из предпосылки, что информационные потоки формируют “нервный центр общественной жизни” и обладание информацией о гражданах представляет “общественную силу”, справедливо полагали, что автоматизированная обработка данных без принятия мер по их защите несет угрозу личной свободе и, как следствие, создает новую угрозу гражданскому обществу. Сфера применения Закона распространяется на любые действия государственных и негосударственных организаций, связанные с получением, обработкой, хранением и распространением персональных данных, с использованием традиционных или автоматизированных средств.

Международное признание важности проблемы персональных данных было закреплено в 1981 году принятием странами Совета Европы Конвенции по защите данных о личности при автоматизированной обработке информации. Конвенция исходит из того, что права и интересы личности в условиях применения новейших информационных технологий, компьютерных и телекоммуникационных средств могут быть нарушены в результате несанкционированного использования сведений о личности ей же во вред, тем самым, сведя на нет ее природные, жизненные права, являющиеся основой свободы, общей справедливости и мира. Указанные права следует защищать властью закона.

В Украине существует мнение, что проблема защиты персональных данных в настоящее время не актуальна в связи с неразвитостью гражданского общества, преобладанием менталитета примата государства и низким уровнем информатизации. Реальность свидетельствует об обратном.

Большая активность в формировании баз персональных данных (социального, финансового, правоохранительного и др. характера), распространение способов трансграничной передачи информации и возможность использования новых и традиционных баз данных, активизация использования информационных технологий криминальными структурами, с одной стороны, и предпринимаемые государством усилия по развитию демократических процессов в стране, с другой, определяют актуальность и объективную необходимость защиты прав граждан в информационной сфере.

Отсутствие в стране необходимого законодательства не позволяет обеспечить защиту данных о конкретных людях. Эта парадоксальная ситуация, когда потребность в защите прав граждан на защиту персональных данных объективно существует, но обществом эта необходимость серьезно не воспринимается, требует своего разрешения на законодательном и организационном уровнях.

Использование накопленного международного опыта позволяет сформировать законодательство о персональных данных в Украине не только с учетом достигнутых стандартов, но и выдвинуть в ряде случаев более прогрессивные, по сравнению с уже имеющимися, варианты нормативного регулирования отдельных вопросов, в частности, на базе права собственности на персональные данные.

Национальным агентством по вопросам информатизации подготовлен проект закона Украины “О защите персональных данных”. Кратко отметим наиболее важные его моменты.

Исходным в формировании норм Закона является определение предмета персональных данных. В настоящее время в стране действует более двух десятков законодательных актов, в той или иной степени регулирующих отношения, связанные со сбором, использованием и передачей информации о личности, среди них – Конституция Украины, законы Украины “Об информации”, “О нотариате”, “Об адвокатуре”, “О связи”, “Об организационно-правовых основах борьбы с организованной преступностью”, “О милиции”, “О банках и банковской деятельности”, “Основы законодательства Украины об охране здоровья” и другие. Определение того, что же составляет информацию о личности, дано в ст. 23 Закона Украины “Об информации”: “это совокупность документированных или публично объявленных сведений о личности”. В ст. 23 ч. 1 Закона дается исчерпывающий перечень сведений, которые законодатель относит к “данным о личности (персональным данным) – национальность, образование, семейное положение, вероисповедание, состояние здоровья, а также адрес, дата и место рождения”. Очевидно, что этот перечень является явно не полным и не охватывает все сведения о личности, на которые мог бы распространяться правовой режим охраны, определяемый в ч. 4 ст. 23 Закона Украины “Об информации”. И это косвенно подтверждается тем, что в отдельных нормах других законов данный перечень дополняется.

В ст. 9 Закона Украины “Об адвокатуре” дается определение предмета адвокатской тайны: “вопросы, по которым гражданин или юридическое лицо обратились к адвокату, суть консультаций, советов, разъяснений и других сведений, полученных адвокатом при исполнении своих профессиональных обязанностей”. Понятно, что граждане обращаются к адвокату по вопросам, которые касаются их лично, и сообщают ему сведения о себе, а суть консультаций, советов, разъяснений адвоката, в свою очередь, также освещает личную жизнь граждан, т.е. речь идет о сведениях, которые могут быть отнесены к данным о личности.

В ч. 2 ст. 14' УПК Украины к данным о личности законодатель относит более широкий круг сведений: “личная жизнь граждан, тайна переписки, телефонных переговоров и телеграфных уведомлений охраняется законом”.

А в соответствии со ст. 9 Закона Украины “Об оперативно-розыскной деятельности” под охрану закона попадают не просто сведения о личной жизни человека, но и сведения, которые касаются его чести и достоинства. Этот перечень можно продолжать и дальше. Общий вывод заключается в том, что в ст. 23 Закона “Об информации” законодатель недостаточно четко дал определение данных о личности, хотя это понятие несет гносеологическую нагрузку: именно на его базе должны формироваться гипотезы норм, регулирующих отношения в процессе защиты тех или иных персональных данных.

Зарубежная теория и практика выработала достаточно общее определение понятия персональных данных как любой информации, относящейся к идентифицированному или идентифицируемому лицу. В рекомендациях Совета Европы отмечается, что лицо не должно рассматриваться как “идентифицируемое”, если идентификация требует непомерных затрат времени, средств и сил. В связи с этим в проекте Закона Украины не предусматривается разделение лиц на идентифицированных и идентифицируемых, а констатируется необходимость наличия объективной возможности идентификации, т.е. речь идет о данных, которые идентифицируют конкретную личность. Таким образом, персональные данные – это любая информация, которая может быть отождествлена с конкретным лицом прямым или косвенным образом, несанкционированное разглашение которой может нанести ущерб этому лицу.

По проекту Закона персональные данные отнесены к категории информации с ограниченным доступом. Информация с ограниченным доступом по своему правовому статусу подразделяется на конфиденциальную и секретную (ст. 30 Закона Украины “Об информации”). Вопрос отнесения персональной информации к конфиденциальной информации или к секретной является очень важным.

К конфиденциальной информации относятся сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются только с их разрешения, согласно предусмотренным заранее условиям. В тоже время, к секретной информации относится информация, содержащая сведения, которые составляют государственную и другую предусмотренную законом тайну, разглашение которой наносит ущерб личности, обществу и государству.

Существенной разницей является то, что законодатель вопрос защиты конфиденциальной информации возлагает на ее владельца, а секретной – на закон. Исходя из того, что информация о личности охраняется законом (ст. 23 Закона Украины “Об информации”) и государство обязано обеспечить гарантии гражданам по обеспечению права на защиту их персональных данных, данные о личности по режиму доступа должны быть отнесены к секретной информации.

Проблема защиты сведений о личности должна решаться с точки зрения права собственности конкретного человека на свои персональные данные. Такая постановка вопроса может носить характер правомерности в связи с тем, что персональные данные — это информация, а информация является объектом права собственности (ст. 38 Закона Украины “Об информации”).

Обычно собственность рассматривается в рамках процесса присвоения материальных благ, отношения к ним. Еще с римского права сущность собственности раскрывалась через триаду полномочий: владение (т. е. фактическое обладание), пользование (т. е. эксплуатация, извлечение пользы) и распоряжение имуществом, ресурсами, каким-либо достоянием (т. е. определение судьбы материальных благ). Существование природного права человека на свои персональные данные предопределяет предпосылку их позитивного правомочия – принадлежности человеку монополии по владению, пользованию и распоряжению персональными данными.

Но в законодательстве зарубежных стран для регулирования отношений сферы нетелесных благ используется категория “исключительное право”. Она характеризуется негативно, как право не давать любым другим субъектам возможности пользоваться чем-либо, без упоминания того, что сам субъект права собственности имеет право пользования. Совмещение позитивной и негативной стороны отношений собственности позволяет ввести категорию “исключительное право собственности на персональные данные”. При этом “исключительное право” олицетворяет возможность законодательного ограничения прав личности на персональные данные, с точки зрения интересов других субъектов, общества и государства, а “право собственности” – наличие монопольного, природного права человека по владению, пользованию и распоряжению им своими персональными данными. Из этого следует возможность формулировки одного из важнейших условий защиты персональных данных: использование данных о личности допускается, если это разрешает Закон (исключительность права личности) или на то имеется согласие субъекта данных (право собственности личности). При передаче, продаже персональных данных другим субъектам переходит только право пользования (владения) этими данными.

Таким образом, в смысле персональных данных мы замкнули принцип неприкосновенности личности с принципом, который гласит, что основой свободы является собственность и покушение на нее равнозначно ограничению свободы.

Блок статей проекта Закона посвящен использованию персональных данных. Гражданско-правовой характер информационных отношений в сфере персональных данных установлен на основании единоличного и официально подтверждаемого согласия гражданина-собственника персональных данных на использование сведений о его личности.

Вместе с тем, при защите интересов физических субъектов не должно допускаться ограничение в отношении использования информации о личности с точки зрения государственных интересов. Иными словами, особого внимания к себе требует проблема урегулирования баланса интересов сторон: личности, общества и государства, на основе механизма сбалансированности интересов.

Как видится, оговоренный механизм будет представлять сложную, комплексную систему нормативно-организационного обеспечения и кураторства ее специальным независимым органом, выполняющим координационные, исполнительные и контрольные функции.

Разнообразие персональной информации предопределяет различную значимость этих сведений для человека. Этим обуславливаются различные подходы и требования правовой защиты персональных данных. В международном законодательстве признается условное разделение персональных данных на две группы: данные общего характера и особые категории данных, определяемые как данные “чувствительного свойства”. К последним относят данные, касающиеся расового происхождения, политических или религиозных либо иных верований, а также здоровья или сексуальной жизни. Для указанной категории должны предусматриваться дополнительные меры защиты. Проектом Закона для них введена обязательность обеспечения автоматизированных систем средствами технической защиты информации.

В качестве основы механизма практического регулирования процессов защиты персональных данных проектом Закона устанавливается система взаимосвязанных организационных мер на базе лицензирования деятельности и регистрации баз персональных данных.

Лицензирование работы с персональными данными является важнейшим средством защиты от несанкционированного сбора и распространения персональных данных.

Процесс лицензирования деятельности в сфере персональных данных предусматривает определение цели сбора, накопления (обработки), сбережения и передачи (реализации) данных о личности, создания баз данных, оценку мер их защиты, состояния технической базы или возможности привлечения средств для оказания услуг, связанных с персональными данными, установление категорий, групп субъектов персональных данных, уровня квалификации, соответствия профессиональной, предпринимательской деятельности государственной политике в сфере персональных данных.

Регистрация баз персональных данных преследует цели регулирования процессов создания и использования сведений персонального характера, накапливаемых, обрабатываемых и распространяемых с помощью автоматизированных или неавтоматизированных средств. При этом, процесс регистрации предусматривает контроль наличия и соответствия установленным требованиям средств технической защиты информации, обеспечивающих гарантированную защиту персональных данных на основе сертификации.

Введение проекта Закона должно сопровождаться пакетом подзаконных актов. Среди них: Положение о лицензировании деятельности, связанной с персональными данными;
Положение о Национальном реестре баз персональных данных;
Положение об аттестации субъектов деятельности в сфере персональных данных и другие.

Таким образом, у Уполномоченного органа появляется реальная возможность выявления субъектов взаимоотношений и надзора за их деятельностью.

На организационном уровне обеспечение защиты сведений персонального характера осуществляют Уполномоченный по вопросам защиты персональных данных в Украине и Государственный орган надзора в сфере персональных данных.

Основными задачами Уполномоченного являются защита прав и основных свобод личности в сфере персональных данных и совмещение защиты данных о личности со свободой ее распространения.

Основными задачами Уполномоченного органа являются обеспечение организации защиты сведений персонального характера и баланса прав личности, общества и государства в сфере персональных данных.

В организациях, фирмах, осуществляющих деятельность, связанную со сведениями персонального характера, для контроля и обеспечения работы по соблюдению законодательства по защите персональных данных назначается уполномоченный соответствующей организации, фирмы.

Проблематика персональных данных сегодня – это сочетание свободы и защиты.

Ясно, что законодательство должно исходить из того, что пределы ознакомления с персональными данными должны быть максимально узки, а порядок доступа к ним – четко регламентирован. Уважение достоинств личности, защита его прав и интересов – прямая конституционная обязанность должностных лиц всех ступеней и рангов. Таково основное требование правового государства к аппарату власти и управления. Это требование относится и ко всем гражданам.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. Баранов А. А., Брыжко В. М., Базанов Ю. К. Защита персональных данных. – К., Национальное агентство по вопросам информатизации при Президенте Украины, 1998 г.