На минувшей неделе глава государства подписал Закон «О персональных данных и их защите». Когда этот документ только создавался, он вызывал много споров и разногласий. Мы попросили одного из независимых экспертов, генерального директора ТОО «Компания «ЮрИнфо» Игоря Лоскутоваподелиться своим мнением о новом законе, пишет газета «Караван».
– Игорь Юрьевич, в 2011 году вы были одним из главных критиковзаконопроекта «О персональных данных». Что скажете по поводу закона?
– Главный порок данного законопроекта в том, что здесь, образно говоря, «телега стоит впереди лошади». Я считаю, что сначала должен быть принят общий закон о доступе к информации, а уже потом, при необходимости, – отдельные законы о доступе к некоторым видам информации. В данном случае – к персональным данным. А получилось наоборот.
Но в сравнении с первоначальными вариантами законопроекта я оцениваю принятый закон положительно. Хотя у нас правильные в принципе законы могут очень неправильно истолковываться и применяться. Подождем, когда к нему будут приняты подзаконные акты.
Кто на вас собирает данные?
– Сбор и обработка персональных данных являются основой для многих сфер деятельности предприятий в экономике, статистике, социологии, маркетинге. Как новый закон может повлиять на эти виды деятельности?
– К счастью, законодатели не ввели жесткие требования к владельцам баз персональных данных в части их регистрации, сертификации, отчетности и прочих форм контроля. Однако законом предусмотрена компетенция правительства РК утверждать порядок осуществления собственником и оператором мер по защите персональных данных. И за несоблюдение этих мер предусматривается штраф – от 100 до 300 МРП. А за причинение существенного вреда правам и законным интересам лиц – еще и уголовная ответственность.
Помимо этого, собственник и оператор данных обязаны будут утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, а порядок определения этого перечня опять же отнесен к компетенции правительства. Все работодатели должны будут утвердить акт, устанавливающий порядок сбора, обработки и защиты персональных данных работников своих организаций и в обязательном порядке ознакомить их с ним.
– В законе указано, что человек имеет право знать, кто собирает на него данные. Это требование как-то может сказаться на работе прессы?
– В действующем УК РК уже предусмотрена ответственность за незаконный сбор сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Но никто же не ходит по редакциям для выявления таких сведений! Да и норму Закона о СМИ о том, что источники информации журналиста обнародуются только по решению суда, никто пока не отменял.
Человек может подать запрос оператору базы данных на предмет наличия информации о себе. И только с подтверждающими документами на руках он получает право требовать изменять или дополнять свои данные.
Но, согласно статье 9 Закона «О персональных данных», сбор и обработка данных могут производиться без согласия человека, если журналист или СМИ занимаются своей законной деятельностью, либо эта информация собирается для научной, литературной или иной творческой деятельности.
Вопрос повис
– А как быть с социальными сетями?
– По Закону «О СМИ» интернет-ресурсы приравнены к СМИ, и на них распространяются вышеуказанные нормы. Вопрос остается по трансграничной передаче персональных данных, то есть передаче данных на территорию других государств. В Интернете территория стран не определена. Но по закону передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может идти при согласии человека на такую передачу. Поэтому если кто-то добровольно разместил набор данных о себе в иностранных социальных сетях и прочих сайтах, то в случае каких-то проблем на помощь нового закона не должен рассчитывать.
– Устанавливает ли закон правила регистрации биометрических данных системами видеонаблюдений?
– В этой части закон оказался лаконичен. В статье 11 указывается лишь, что конфиденциальность биометрических данных устанавливается законодательством. На сегодня такого законодательства не существует! И вопрос, как говорится, «повис в воздухе».
Не все права защищены
– Главной претензией экспертов было несоблюдение прав человека в законопроекте. В законе это исправлено?
– В указе Президента РК «О Концепции информационной безопасности РК до 2016 года» говорится, что «проверки состояния защищенности государственных баз данных, включенных в состав «электронного правительства», указывают на отсутствие адекватного правового, организационного и технического режима защиты персональных данных граждан. Что создает предпосылки для злоупотребления персональными данными в криминальных целях – подделке документов, мошенничестве, незаконном копировании и распространении различных баз данных и т. д.».
То есть главная угроза правам граждан идет не от частных баз, а от создаваемых государственными и окологосударственными структурами. Но каких-то специальных механизмов общественного контроля за их деятельностью я в законе не увидел.
Кроме того, в законе нет понятия «специальные категории персональных данных», включающего персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни. По сложившейся международной практике они относятся к категории особых персональных данных, которым предоставляется усиленный режим правовой защиты. В сопутствующем законе есть определенные нормы, но станут ли они непреодолимым препятствием для госорганов, заинтересованных в работе с такой информацией?