- Почти два года назад в Украине вступил в силу Закон «О защите персональных данных». Однако, как отмечали эксперты, документ содержал неточности и нуждался в доработке. Ныне, как сообщается, к президенту направлен на подпись законопроект № 10472-1, который предусматривает изменения в законе «О защите персональных данных».
- Об основных нормах действующего закона, а также о том, какие изменения в него могут внести, «ГолосUA» общался с адвокатом, членом Международной ассоциации профессионалов по вопросам защиты персональных данных Владиславом Подоляком.
- — Со стороны экспертов были определенные нарекания на то, что в законе четко не прописано, какие именно данные относятся к персональным. Это любая информация об особе, которая помогает ее идентифицировать, или все-таки какие-то конкретные сведения?
- Дело в том, что исчерпывающий перечень персональных данных не может составить никто, невозможно заранее установить какой-то конкретный список данных, которые будут относиться к категории персональных. Это связано с тем, что, во-первых, развиваются и усложняются наши социальные связи, во-вторых, появляются совершенно разные методы фиксации знаний о человеке. Поэтому решать, что относить к персональным данным, а что — нет, надо в каждом конкретном случае отдельно.
- Но в целом персональными данными считаются фамилия, имя, отчество, идентификационный номер, адрес проживания, паспортные данные или данные других официальных документов, подтверждающих личность. К ним также относятся сведения об имущественном состоянии. Это общие данные. Есть еще и специфические сведения, которые называют так называемыми «чувствительными» персональными данными. Это информация о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни. Специфические «чувствительные» персональные данные определяет седьмая статья закона.
- — То есть в законе существует дифференциация персональных данных по так называемой степени «чувствительности»?
- Есть дифференциация. Они не называются «чувствительными», но в теории их называют именно так. «Чувствительные» данные действительно перечислены в законе, но весь список сведений, которые считаются персональными данными, в законе не прописан.
- — Если касаться вопроса конфиденциальной информации, предусмотрено ли в законе, что сбор и обработка определенных персональных данных запрещены?
- Дело в том, что вопрос конфиденциальной информации достаточно двусмысленный. По нему ориентироваться достаточно сложно потому, что особа иногда может сама определить какую-то информацию как конфиденциальную. Есть общее правило: без согласия человека его персональные данные вообще не должны обрабатываться. Хотя у этого правила есть исключения, они касаются определенных обстоятельств, когда информацию о личности собирают государственные органы или если обработка персональных данных осуществляется для защиты прав человека и т.д.
- Например, для заключения трудового договора особа сама должна предоставить паспорт, трудовую книжку, иногда еще и военный билет, идентификационный код, возможно, какой-то документ об образовании. То есть человек по закону должен предоставить работодателю часть документов о себе. В них и содержатся персональные данные.
- — Расскажите, пожалуйста, о порядке доступа третьих лиц к персональным данным.
- Во-первых, особа, которая дает согласие на обработку своих персональных данных, например, какой-то компании, может определенным образом ограничивать доступ третьих лиц. Хотя, как правило, никто этого не делает, поскольку зачастую человек подписывает разработанный компанией документ, которым подтверждает согласие на обработку персональных данных. Часто этим вопросом никто не интересуется, и это иногда создает ситуацию, когда доступ третьих лиц к информации не ограничен самим же субъектом персональных данных.
- Есть отдельные случаи, когда доступ может быть предусмотрен условиями согласия особы. Например, когда данные будут распространяться в специальных справочниках или в социальных сетях и т.д., то есть особа сама знает, что данные о ней будут где-то публиковаться.
- Отдельно в законе предусмотрена возможность всем лицам обращаться к владельцу базы данных с запросом на доступ к какой-то конкретной информации. Другое дело – возможность удовлетворения этой просьбы. Это зависит от того, имеет ли особа, которая обратилась, полномочия интересоваться той или иной информацией о конкретном человеке, либо не имеет. Если владелец базы персональных данных не видит основания для того, чтобы предоставлять информацию какому-то внешнему пользователю, т.е. третьему лицу, то в предоставлении такого доступа должно быть отказано.
- — В каких случаях за нарушение закона предусмотрена административная ответственность, а в каких — уголовная?
- Уголовная ответственность предусмотрена только в одном случае — если о человеке собирают конфиденциальную информацию незаконно, или изменяют определенным образом информацию о личности, а также в случае, если сбор информации наносит существенный вред особе. Но на практике статья применяется очень редко, есть лишь единичные случаи, касающиеся прослушивания телефонных разговоров должностных лиц.
- Что касается административной ответственности, например, при уклонении от регистрации баз персональных данных, неуведомлении субъектов об их правах или невыполнении требований Государственной службы по вопросам защиты персональных даннях, то вопрос о таком виде ответственности решает суд. Государственная служба лишь составляет административный протокол и направляет дело в суд.
- Пока есть несколько протоколов, но ни одного привлеченного к ответственности правонарушителя. Но, по моему мнению, количество дел, касающихся вопроса защиты персональных данных, будет расти. Также будет расти количество гражданских исков от субъектов персональных данных против нечестных владельцев баз персональных данных, обрабатывающих информацию о них незаконно.
- — Какие изменения предусмотрены в законопроекте № 10472-1 «О внесении изменений в Закон Украины« О защите персональных данных »?
- Предусмотрено определенным образом усложнить процесс трансграничной передачи персональных данных, одновременно предлагается расширить полномочия Государственной службы по вопросам защиты персональных данных в ее полномочиях. Предлагается также освободить компании от обязанности регистрировать базы персональных данных, касающиеся исключительно обработки информации в трудовых отношениях, фактически это базы данных работников.
- Также предполагается, что субъекту персональных данных можно будет сообщать о его правах не только письменно, что иногда довольно сложно сделать, но и другим способом.
- Комментировать подробнее можно будет, когда опубликуют окончательную редакцию закона.
Министерство внутренних дел Украины в ближайшее время объявит о наборе полицейских, которые...