В Алматы в Клубе Института политических решений эксперты обсудили проект Закона РК «О персональных данных». Напомним, в мае этого года Министерством внутренних дел РК в Мажилисе был презентован законопроект«О персональных данных». Проект закона вызвал неоднозначную реакцию и критические оценки со стороны депутатов и в экспертном сообществе. Свое мнение по законопроекту в ходе мероприятия высказал генеральный директор ТОО «Компания «ЮрИнфо» Игорь Лоскутов, сообщает Zakon.kz.
Zakon.kz приводит полный текст выступления юриста.
В прошлом году, мне довелось по заказу Центра исследований правовой политики готовить экспертное заключение напроект Закона Республики Казахстан «О персональных данных», разработанный в соответствии с пунктом 30 Плана законопроектных работ Правительства РК на 2011 год (утвержден постановлением Правительства Республики Казахстан от 30 декабря 2010 года № 1467). Предварительный проект Закона был внесен разработчиком — МВД в Правительство Республики Казахстан 27 сентября 2011 года.
Однако этот проект был подвергнут серьезной критике и, учитывая высказанные предложения и замечания по нему, Совет по правовой политике при Президенте РК в ноябре 2011 года порекомендовал Канцелярии Премьер-Министра перенести срок внесения проекта Закона «О персональных данных» в Мажилис Парламента на 1 квартал 2012 года.
Данная рекомендация была выполнена, проект Закона Республики Казахстан «О персональных данных» был переработан и, в соответствии с пунктом 4 Плана законопроектных работ Правительства Республики Казахстан на 2012 год, был внесен на рассмотрение Мажилиса Парламента РК ПостановлениемПравительства РК от 29 марта 2012 года № 372.
Какие отличия законопроекта образца 2012 года от 2011 года, на мой взгляд, следует особо отметить?
Автоматизированная и неавтоматизированная обработка персональных данных
В преамбуле законопроекта-2012 теперь не говорится об обработке персональных данных, с использованием средств автоматизации или без использования таких средств. Между тем, далее по тексту закона в статьях 23 и 27 говорится об автоматизированной обработке персональных данных и автоматизации. Но определения данных понятий в законопроекте не приводится. Их нет и в действующем законодательстве Казахстана.
Субъект-объект персональных данных
Наибольшие нарекания в законопроекте-2011 вызывало намерение его разработчиков называть физическое лицо, к которому относятся соответствующие персональные данные — объектом, а не субъектом персональных данных. Попытка представить человека и гражданина объектом позволяла предположить, что субъектом в данном случае, государственные органы-разработчики законопроекта-2011 видели исключительно себя.
В законопроекте-2012 это недоразумение было устранено и в нем появилось понятие «субъект персональных данных» — физическое лицо, к которому относятся соответствующие персональные данные. Приветствуя такой подход, следует в то же время отметить, что отдел законодательства Аппарата Мажилиса Парламента Республики Казахстан справедливо указывает на то, что такая формулировка содержит нормы, не несущие правовой нагрузки. В связи с чем, им предлагается изложить ее как «субъект персональных данных» – физическое лицо, носитель персональных данных, относительно которого в соответствии с настоящим Законом осуществляется обработка персональных данных.
Персональные данные
Данное понятие также претерпело изменения в законопроекте-2012. Если в законопроекте-2011 речь шла об информации, зафиксированной на материальном носителе, то теперь говорится о сведениях. Такой подход вызывает сомнения, поскольку словари определяют сведения как часть знаний, критерий истинности которых не одинаков у различных участников познавательного процесса. В толковых словарях сведения также употребляются в таких значениях как «сообщения, знания, познания, данные, информация». Пусть в Казахстане пока нет такого важного закона, как об информации в целом или о доступе и защите информации, тем не менее, думается, это не дает основание заменять в понятии «персональные данные» слово «информация» на «сведения». Так, Закон Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 27.04.2012 г.) говорит о «документированной информации» — информации, зафиксированной на материальном носителе, имеющей реквизиты, позволяющие ее идентифицировать. По сути, в законопроекте идет речь об обработке именно такой информации.
В перечень отдельных персональных данных добавлены национальность, пол, место жительства, абонентский номер средства связи. В нем остались фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные.
Думается, что такое стремление предельно конкретизировать и уточнить перечень персональных данных можно воспринимать неоднозначно. Современные информационные системы постоянно развиваются, появляются все новые возможности для пополнения их разного рода информационными ресурсами, создаются все новые и новые базы разного рода данных. Так, например, в действующем трудовом законодательстве, законодательстве о связи и т.д. уже сейчас говорится об обработке данных, не упомянутых в законопроекте. Возникает вопрос о том, почему законом не будут защищаться такие персональные данные (кстати, зачастую используемые для противоправных действий), как адрес электронной почты или номер водительских прав? Также в Казахстане, например, любой желающий может свободно получить сведения об администраторе домена, его контактные данные, место регистрации. В то время, как ряд стран давно перестали публиковать такую информацию, именно с целью защиты персональных данных.
А для некоторых видов персональных данных, упомянутых в законопроекте, напротив, не имеется определений в действующем законодательстве. Например, в законодательстве Республики Казахстан не установлены признаки «социального положения».
С учетом этого, более логичным видится подход, когда в понятие «персональные данные» включается любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту персональных данных, обработка и использование которой ограничиваются целями, для которых они собираются. Такой подход присутствует, например, в российском федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями по состоянию на 25 июля 2011 года), а также в предложениях отдела законодательства Аппарата Мажилиса. Исчерпывающий перечень не должен устанавливаться законом, поскольку любое ограничение содержания персональных данных выльется в ограничение прав субъекта персональных данных.
В законопроекте-2012 остался нерешенным вопрос с иностранцами и лицами без гражданства, которые согласно статье 12 Конституции РК пользуются в Республике правами и свободами, а также несут обязанности, установленные для граждан, если иное не предусмотрено Конституцией, законами и международными договорами. Соответственно, если на них собираются определенные персональные данные в Казахстане, то должно распространяться и действие данного закона.
Международному подходу не соответствует удаление еще из законопроекта-2011 понятия «специальные категории персональных данных», включающего персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни. По сложившейся международной практике, они относятся к категории особых персональных данных, которым предоставляется особый, усиленный режим правовой защиты. В законопроекте-2012 такой подход сохранен.
Сфера действия законопроекта
Можно только приветствовать то, что в законопроекте-2012 перечень отношений, на которые не распространяется действие закона, сократился с 22 позиций до 3. В противном случае, государственным органам создавался комфортный режим, при котором им фактически не будет чиниться никаких существенных препятствий при сборе, обработке и использовании персональных данных граждан, а дополнительные обязанности возникнут лишь у частных организаций.
Поэтому вышеуказанный перечень совершенно верно был максимально сужен и предельно конкретизирован, исходя из того, что все без исключения организации являются держателями персональных данных и должны рассматривать требования Закона о персональных данных с точки зрения обеспечения прав и свобод граждан, закрепленных Конституцией РК.
Согласие субъекта на обработку персональных данных
К сожалению, законопроект-2012 так и не содержит возможности распространения персональных данных, если эта информация является общественно важной, что является существенным ограничением свободы слова. Законопроект не содержит понятия «публичного лица». А, согласно, например, практике Европейского суда по правам человека, о таких людях можно собирать и распространять данные персонального характера без их согласия, если они являются важными для общества. В законопроекте существует исключение только в отношении кандидатов на выборные государственные должности. Явно не будет способствовать таким общественно значимым интересам и, предложенная Отделом законодательства Аппарата Мажилиса формулировка законопроекта, относительно возможности использования персональных данных в профессиональной деятельности журналиста. Она разрешает такое использование только при условии получения согласия субъекта персональных данных на распространение их в средствах массовой информации, либо литературной или иной творческой деятельности при условии обезличивания персональных данных, с соблюдением прав и свобод субъекта персональных данных.
Самого серьезного изучения требует и предусмотренная в законопроекте-2012 возможность обработки персональных данных без согласия субъекта при оказании услуг в области связи. Отдел законодательства Аппарата Мажилиса предложил конкретизировать эту формулировку путем указания на случаи взаимодействия операторов связи с органами, осуществляющими оперативно-розыскную деятельность в случаях, предусмотренных законами Республики Казахстан, в порядке, определяемом законодательством Республики Казахстан в области связи. В тоже время, в последнее время принимаются нормативные правовые акты, которые предусматривают сбор персональных данных в данной области и по другим основаниям.
Так, Постановлением Правительства Республики Казахстан от 30 декабря 2011 года № 1718 утверждены Правила оказания услуг доступа к сети Интернет. Согласно данным Правилам, владельцы пунктов общественного доступа к сети Интернет обязаны:
— предоставлять услуги доступа к сети Интернет пользователям только по предъявлению документов удостоверяющих личность;
— вести электронный журнал пользователей, которым предоставляли услуги доступа к сети Интернет (с указанием фамилии, имени и отчества пользователя, времени начала и окончания его работы в сети Интернет, номера компьютера на котором работал пользователь) и хранить его не менее 6 месяцев;
— вести электронный журнал интернет-ресурсов, к которым пользователи получали доступ (с указанием идентификационного номера компьютера, даты и времени посещения интернет-ресурса, и наименования интернет-ресурса) и хранить его не менее 6 месяцев;
— предоставлять при необходимости органам, осуществляющим оперативно-розыскную деятельность, доступ к электронному журналу интернет-ресурсов, к которым пользователи получали доступ, хранимым установочным данным пользователей и системе видеонаблюдения; оснащать помещение системой видеонаблюдения, с охватом помещение в целом и места кассового обслуживания пользователей и хранить видеозаписи не менее 30 суток;
— обеспечивать органам, осуществляющим оперативно-розыскную деятельность организационные и технические возможности проведения оперативно-розыскных мероприятий на локальных сетях передачи данных пункта общественного доступа к сети Интернет. Для сотрудников органов, осуществляющих оперативно-розыскную деятельность, при этом есть лишь одна обязанность — записывать в специальном журнале свои ФИО, наименование подразделения, номер служебного удостоверения, а также дату и время получения доступа.
Более никаких ограничений для них не устанавливается.
Проблемой видится и то, что законопроект, по-прежнему, требует получать согласие на обработку персональных данных в двух формах: на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством ЭЦП.
Более того, Отдел законодательства Аппарата Мажилиса предлагает, чтобы письменное согласие субъекта персональных данных на обработку своих персональных включало в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес держателя персональных данных, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых держателем персональных данных способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
К слову, в России, где предусмотрен такой перечень, получать согласие субъекта персональных данных в письменной форме необходимо оператору при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, при обработке биометрических данных, и трансграничной передаче персональных данных.
Наш законопроект, требуя согласия в письменной или электронной форме, рискует фактически поставить вне закона всю интернет-коммерцию и заблокировать возможность использования веб-технологий для передачи пользователями всемирной сети Интернет своих персональных данных, даже если они действуют по собственной воле и в собственном интересе. Связано это с тем, что ЭЦП на сегодня и ближайшую перспективу имеет весьма ограниченное хождение в Казахстане и используется преимущественно для доступа к государственным сервисам Электронного правительства. Наивно также ожидать, что владельцы разного рода социальных сетей, форумов, блоггерских площадок и т.п. интернет-ресурсов, собирающих персональные данные своих пользователей, заведут с ними длительную бумажную переписку. Вне закона могут оказаться популярные социальные сети, и даже использование электронной почты, если строго следовать нормам закона, налагает на владельцев почтовых серверов практически невыполнимые требования.
Что касается электронной почты, то даже если некая организация, предоставляет этот сервис только своим работникам, то, наверняка в подписях электронных писем, получаемых ими, содержатся сведения об их корреспондентах – фамилии, имена и отчества, названия должностей, номера телефонов, адреса электронной почты, как минимум. Как быть, если отправитель сообщает в электронном письме или в сообщениях на форумах свои персональные данные и передает их по незащищенным каналам связи? Как контролировать подлинность и правомерность размещения персональных данных в аккаунтах пользователей, как получить согласите на перевод всего, что на странице пользователя указано, в категорию общедоступных? Как может владелец интернет-магазина доказать согласие на обработку персональных данных покупателя?
Ведь покупки в сети Интернет связаны с сообщением магазину данных, необходимых для оплаты и доставки заказанного товара или услуги. А если это данные не покупателя, а какого-то другого человека, которые покупатель посчитал нужным использовать при оформлении заказа, а это третье лицо не только не давало согласия, но и знать не знает об использовании его данных? Как быть при покупке в Интернете авиабилетов, когда пассажир может указать не только свои данные, но сведения о других лицах, для которых приобретаются билеты?
Отдельная тема, это получающий все большее распространение такой способ поиска работы и кандидатов на вакансии как интернет-рекрутинг. Сегодня ты заходишь на сайт, авторизуешься, создаешь по заданной форме свое резюме, указываешь предпочтения и ждешь, когда начнут поступать предложения. А с принятием законопроекта проще будет пешком сходить в кадровое агентство. Получение письменного согласия делает весь бизнес незаконным или абсолютно бессмысленным. При этом интересы самих соискателей вакансий, для защиты интересов которых вроде бы и создается закон, абсолютно не учтены.
Практически неразрешимые проблемы ставит законопроект и перед теми, кто занимается поиском и систематизацией информации, в т.ч., относящейся к персональным данным (типа справочников «кто есть кто» и т.п.) в открытых источниках. Как быть, если ими уже собран большой информационный банк, база данных, но вдруг с принятием законопроекта кто-то из субъектов, посчитает свои права нарушенными, а информацию с персональными данными – полученной незаконным способом? Чтобы доказать свою правоту, издатели биографических справочников должны не только хранить все скрин-шоты сайтов, с которых были получены данные, но и, поскольку их достаточно легко подделать (модифицировать), все эти скрин-шоты нотариально заверять. Иначе выполнить требования закона о необходимости доказательства общедоступности данных практически невозможно.
Характерно, что действующий Закон Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» (с изменениями и дополнениями по состоянию на 21.07.2011 г.), очевидно учитывающий данную специфику сетевых отношений, не предъявляет подобных требований в статьях, посвященных персональным данным (13, 44).
В качестве альтернативного зарубежного опыта можно привести следующие формулировки, адекватно учитывающие современные реалии:
согласие субъекта персональных данных — любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки (ст.2 Закона Украины от 1 июня 2010 года № 2297-VI «О защите персональных данных»);
согласие – добровольное выражение воли субъекта данных относительно обработки его персональных данных с известной ему целью. Согласие на обработку особых персональных данных должно быть выражено ясно – в письменной, в приравненной к ней или в другой форме, несомненно доказывающей волю субъекта данных (ст. 2 Закона Литовской Республики «О правовой защите персональных данных от 11 ноября 1996 г. № I-1374, редакция на 1 сентября 2011 года);
согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (ст.9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (с изменениями и дополнениями по состоянию на 25 июля 2011 года).
Особенности обработки биометрических персональных данных
В законопроекте-2012 так и остался нерешенным вопрос о том, как именно должно получаться согласие при широко распространенной сейчас практике повсеместного сбора биометрических персональных данных в видеозаписях внутренних и наружных систем охранного телевидения и банковских терминальных устройств, при получении данных в устройствах, использующих для идентификации биометрические данные человека.
Напомним, что в Национальном плане действий в области прав человека в Республике Казахстан на 2009-2012 годы (одобрен резолюцией Президента Республики Казахстан от 5 мая 2009 года № 32-36.125) указывается, что: «использование данных видеонаблюдения также должно подлежать правовому регулированию с целью защиты прайвеси», «необходимы законодательные ограничения на видеонаблюдения и закрепление обязанности работодателя согласовывать подобные вопросы с работником». В этой части, возможно, решить проблему смогла бы легализация согласия на обработку персональных данных действием, например, когда субъект персональных данных пользуется магазином, в котором висит плакат о ведущейся видеосъемке.
Следует, однако, отметить, что даже законодательное закрепление «согласия действием» в данном случае не поможет, так как во многих случаях человек попадает в поле видеокамеры прежде, чем знакомится с предупреждением о ведущейся видеосъемке. Получается, это должен быть специально оговорено. Остается еще ряд вопросов, например, обязательно ли получать отдельное письменно согласие по форме на размещение фотографии работника организации на личном листке по учету кадров, на удостоверении сотрудника организации и в общедоступных источниках организации (в т.ч. в электронном виде, на интернет-ресурсах организации и т.д.), при оказании услуг по снятию ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца?
Международная передача персональных данных
Международные стандарты указывают, что национальное законодательство, относящееся к стороне, передающей данные, может разрешить международную передачу персональных данных в государства, которые не обеспечивают уровень защиты, предусмотренный в данном документе, если такая передача необходима и производится в интересах субъекта данных в рамках договорных отношений, для защиты жизненно важных интересов субъекта данных или другого лица, либо когда это требуется по закону в общественных интересах. Каким образом и кем будет определяться, осуществляется ли защита прав субъектов персональных данных при трансграничной передаче данных, законопроектом не конкретизируется. К слову, в Европе, вопрос о таком соответствии решается просто — является ли государство участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), а также распространяются ли на него соответствующие Директивы Европейского парламента и Совета Европейского Союза по обработке персональных данных. Казахстан не является участником данных международных документов. По сути, не разработано таких документов и на региональном уровне в постсоветском пространстве.
Так же, как справедливо указывает Комитет по международным делам, обороне и безопасности Мажилиса, во-первых, передача персональных данных затрагивает права и свободы человека и гражданина. В соответствии с Законом Республики Казахстан «О международных договорах Республики Казахстан», международные договоры, предметом которых являются права и свободы человека и гражданина подлежат ратификации. В связи с чем, в законопроекте необходимо установить, что только международными договорами, ратифицированными Республикой Казахстан, может осуществляться передача персональных данных физическому или юридическому лицу иностранного государства. Между тем, уже сейчас имеется Соглашение о сотрудничестве в создании государственных информационных систем паспортно-визовых документов нового поколения и дальнейшем их развитии и использовании в государствах-участниках СНГ, утвержденное Постановлением Правительства Республики Казахстан от 30 марта 2009 года № 430. Во-вторых, персональные данные должны передаваться не безлично «на территорию иностранного государства» (как указывается в законопроекте), а конкретному физическому или юридическому лицу иностранного государства, который впоследствии может нести ответственность за нарушение прав субъектов персональных данных.
Если учитывать, что согласно законопроекту, распространение персональных данных включает в себя, в том числе, размещение в информационных телекоммуникационных сетях, а также то, что в нем упомянута международная (трансграничная) передача персональных данных, но не определено, в какой мере закон распространяется на иностранные юридические и физические лица, то с его применением в отношении интернет-ресурсов определенно возникнут сложности. Ведь, где именно проходит в Интернете территория Казахстана, а где начинается территория иностранных государств, наше законодательство не поясняет. Во многих случаях владелец сайта (интернет-ресурса) обладает различной информацией о лице, посетившем этот ресурс. Посетитель сайта может добровольно заполнить анкету на сайте, ответить в ходе использования сайта на определенные вопросы его владельца; сохраняется информация о действиях посетителя на сайте (сведения о товарах, которыми интересовался посетитель, их ценовой группе и т.п.). Наконец, владельцу сайта становится доступной и определенная техническая информация о посетителе и его компьютере с помощью так называемых куки (cookie). Если ты частный предприниматель, а вся база твоих клиентов — это небольшая табличка, которую ты держишь в программе Google Docs, «облачном» сервисе Google для документов, и физически твоя табличка находится где-то на сервере в США, то ты уже можешь нарушить нормы законопроекта. В этом плане, территориальная сфера действия закона выглядит достаточно туманно, оставляя ряд вопросов. Например, будет ли закон применяться при обработке персональных данных юридическими или физическими лицами, находящимися вне территории РК, но с использованием в процессе обработки средств, находящихся на территории РК и наоборот и т.д.
Государственный контроль и надзор в области обработки персональных данных
Международная практика идет по пути создания специального органа, обеспечивающего контроль за соблюдением прав субъекта персональных данных. В казахстанском законопроекте уполномоченный орган по защите прав субъектов персональных данных не определен, хотя разговоры о том, что нужно как можно скорее определить, какие органы отвечают за защиту права на частную жизнь, и какие эффективные процедуры для этого существуют, ведутся давно.
Между тем, например, в Мадридской декларации о защите личных данных «Глобальные стандарты по защите личных данных для глобального мира» (3 ноября 2009 года) содержится призыв к странам, которые еще не создали комплексных рамок и независимого органа по защите личных данных, сделать это в как можно кратчайшие сроки. В Замечаниях общего порядка Комитета ООН по правам человека 1988 года № 168 к статье 17 МПГПП прямо указывается, что необходима также информация о том, какие органы власти правомочны осуществлять контроль за подобным вмешательством в строгом соответствии с законом и в каком порядке и в каких органах заинтересованные лица могут обжаловать нарушение права, закреплённого в статье 17 Пакта.
Поскольку современные национальные системы защиты данных являются системами государственно-правового регулирования обработки и использования персональных данных, то практически все они содержат активный регулирующий компонент — национальный орган (или систему органов) по защите данных, наделяемый регистрационно-разрешительными, контрольно-надзорными, а также арбитражными, экспертными и методологическими функциями. Основные требования, предъявляемые к национальному органу по защите данных международными соглашениями о гармонизации систем защиты данных, — компетентность и независимость.
Поэтому можно только присоединиться к предложению Комитета по социально-культурному развитию Мажилиса, который предлагает предусмотреть в законопроекте создание Уполномоченного органа по защите прав субъектов персональных данных, наделив его полномочиями по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Республики Казахстан в области персональных данных. Одной из приоритетных задач указанного уполномоченного органа должно стать ведение Реестра держателей персональных данных. Кроме того, Комитет предлагает предусмотреть в законопроекте механизм взаимодействия Уполномоченного органа с правоохранительными и другими государственными органами в ходе контрольно-надзорной деятельности.