«Есть базу данных? Мы уже идем к вам!

Хроника Юристы Оксана Нестеренко, Роман Головенко, Андрей Нечипоренко и Тарас Шевченко анализируют преимущества и угрозы закона «О защите персональных данных». Полный текст чата. Закон О защите персональных данных, вступивший в силу 1 января 2011, был неоднозначно трактуемой журналистским и экспертным средой. Одни видят в нем ограничения законных прав граждан и угрозу для журналистов, другие, наоборот, ждут от него защиты нарушенных прав. Различаются и мнения юристов, в частности относительно угроз, которые несут в себе нормы об обязательной регистрации всех баз данных. Ввиду того, что базы контактов есть не в каждой редакции и во многих независимых журналистов, этот вопрос изрядно смущает коллег. Чтобы разобраться с нюансами нового закона, Хроника пригласила к дискуссии в чате юристов Романа Головенко (Институт массовой информации), Оксаны Нестеренко (Харьковская правозащитная группа), Андрея Нечипоренко (Адвокатская компания Наталия Субота и партнеры) и Тараса Шевченко (Институт медиа права). Приводим полный текст чата.
– Коллеги, для начала дайте, пожалуйста, общую оценку закону.
Оксана Нестеренко: Добрый день, уважаемые коллеги. Я убеждена, что Закон О защите персональных данных нужен, ведь именно он в современном мире является гарантией защиты автономности и свободы личности. Однако анализ Закона Украины О защите персональных данных позволяет утверждать, что он не создает механизма защиты уязвимых персональных данных о лице и содержит нормы, закладывают возможность неоднозначного его применения и нарушения свободы информации.
– Оксана, как вы считаете, недавний милицейский рейд на рынке Петровка с изъятием дисков каким образом связан с этим законом? Милиция обосновывала свои жесткие действия именно тем, что на рынке продаются диски с незаконными базами данных.
Оксана Нестеренко: Борьба с незаконным распространением баз персональных данных является нужным делом. Однако важно, чтобы правоохранительные органы действовали в рамках, соответственно и способом, предусмотренным законодательством, то есть те, кто осуществляли проверку, должны были иметь на это соответствующие документы и полномочия. Это является важной гарантией от злоупотреблений.
Роман Головенко: Приветствую всех старых знакомых и читателей Хроники! Как по мне, этот Закон должен касаться защиты персональных данных в базах данных. В общем, его под эту цель вроде и выписаны, но в нем четко на это не указано, что может привести к его трактовка как закона о защите приватности вообще. Но защита приватности и так уже предусмотрено ст. 8 Конвенции о защите прав человека и основных свобод, является практика Евросуда по этой статье, и вообще такое широкое вопрос одним законом не охватишь.
Андрей Нечипоренко: Всем доброго дня! Закон, который мы сейчас будем обсуждать и который вызвал немало нареканий, призванный урегулировать несколько иные виды деятельности, чем журналистика. Подробнее об этом – далее.
Ярослава Шумик: В каждом законе всегда есть место для того, чтобы его обойти. Кто и как может обойти закон о защите персональных данных?
Андрей Нечипоренко: Сейчас обойти закон для бизнеса достаточно просто – законодательство не содержит санкций за его невыполнение. Что касается журналистов, то он мало затрагивает эту сферу, поскольку права и обязанности журналистов достаточно подробно урегулированы другими законами. Но как и для бизнеса, при отсутствии ответственности никаких санкций не будет. Пока.
– В законе написано, что на СМИ он не распространяется. А как насчет гражданских журналистов, блоггеров? Или они должны получать разрешение от человека, прежде чем назвать ее по имени-фамилии в своем блоге или твиттере?
Андрей Нечипоренко: Главная цель закона – собрать информацию о все базы данных, существующие в Украине, для того чтобы (1) иметь возможность получить любую необходимую информацию по той или иной базы данных и (2) иметь дополнительную возможность и основание для привлечения владельцев баз данных (а речь идет прежде всего о бизнесе) к ответственности. Вместе с тем, несовершенство определений и формулировок этого закона приводит к куче вопросов навроде необходимости получать разрешение на распространение имени и фамилии.
Роман Головенко: По Гражданскому кодексу, каждый имеет право использовать имя человека без его согласия для освещения деятельности этого человека или деятельности организации, в которой и работает. И Закон этой нормы не отменяет.
Оксана Нестеренко: Мне кажется, что исходя из своих целей, закон, вообще-то, не должен регулировать вопросы распространения информации о персональные данные, в частности фамилии отдельного лица.
Роман Головенко: Закон не распространяется на деятельность журналиста, связанную с обработкой персональных данных в базе данных. А если у журналиста нет базы данных и является лишь отдельные фрагменты, но это тоже персональные данные по Закону, – могут возникать вопросы. Но, думаю, практике применения Закона необходимо направлять в такое русло, что он не распространяется на отношения по персональным данным вне баз данных.
ТК: Дайте советы журналистам в связи с принятием этого закона. На что нам следует обратить внимание, чтобы не посадили?
Роман Головенко: При подаче фактов очень желательно ссылаться на источники или хотя бы иметь подтверждение того или иного факта, приведенного в материале. Оценочные суждения четко отделять от фактов. Санкции с принятием этого Закона не изменились: как была 182-я статья Уголовного кодекса (нарушение неприкосновенности частной жизни), так и осталась.
Оксана Нестеренко: Я убеждена, что этот Закон регулирует именно отношения, связанные с защитой персональных данных при их обработке, и поскольку действие этого Закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах (ст. 1 Сфера действия Закона), журналисты в правовом смысле полностью защищены.
Роман Головенко: Закон скорее иметь отношение к большим СМИ, ведущие базы данных клиентов, своих работников, участников эфир, шоу и т. п.
Андрей Нечипоренко: Журналистов этот закон может касаться, например, в ситуации, когда при подготовке данных материалов журналист получает из определенных баз данных (в т.ч. базы МВД, ГАИ и т.д.) информацию о определенное лицо.
Журналисту целесообразно иметь доказательства, информация получена не из определенной базы данных, а из других источников. Этого будет достаточно для отсутствия претензий относительно нарушения этого закона. Вместе с тем, никто не отменял нормы других законов, запрещающих распространение конфиденциальной информации о лице, если эта информация не является общественно важной.
ТК: Из каких, например, других источников?
Андрей Нечипоренко: Такими источниками могут быть, например, информация, полученная от физических лиц. Желательно при этом, конечно, не выдавать лиц, от которых стало известно о такой информации.
Что касается санкций и целей этого закона, то я бы рекомендовал обратить внимание на проект закона О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных, который поступил в Верховную Раду. Так вот, этим законопроектом планируется установить ответственность за нерегистрацию базы данных, за работу с незарегистрированными базами данных, за необеспечение защиты информации, за несообщение о внесении изменений о владельца базы данных и др. целом от 500 до 2000 необлагаемых минимумов, то есть от 8500 до 34000 гривен . Эти санкции рассчитаны, в первую очередь, на бизнес: на страховые компании, банки, такси, операторов мобильной связи и многих других.
Тарас Шевченко: Привет! Я тоже онлайн. Сначала несколько слов о цели законодательства в области защиты персональных данных. Защита персональных данных следует отличать от защиты приватности (кстати, Закон об информации, и Конституционный суд в решение по делу Устименко эти понятия смешивают). Приватность защищены в контексте распространения конфиденциальной информации или информации о частной жизни. Соответственно, никто не может распространять такую информацию за отдельными исключениями. Защита персональных данных возник исходя из того, что в современном мире начала создаваться большое количество баз данных, где накапливались большие массивы данных о лицах. Законодатели пришли к выводу, что в отношении обработки данных о лице в автоматизированных данных иликартотеках необходимо лицу предоставить дополнительную защиту, не покрывается понятием права на приватность.
ТК: А если, например, журналист опубликует услышанную на сессии районного совета информацию о том, что такие вот граждане получили земельные участки, а те граждане подадут на него в суд, они не давали согласия на то, чтобы он о них писал в газете?
Андрей Нечипоренко: Согласно Закону Украины О местном самоуправлении в Украине, статья 46, часть 16: сессии совета проводятся гласно. При таких обстоятельствах это не имеет никакого отношения к защите персональных данных. Более того, информацию на сессии может услышать даже не журналист, а другие присутствующие на сессии совета, которые и могут передать такую информацию журналисту. Кроме того, такую информацию можно получить из документов, принимаемых на сессии.
Шевченко Тарас: Если информация взята с сессии, это не нарушает закона о защите персональных данных. Примеры нарушений: ЖЭК передает информацию о лицах, проживающих в доме, избирательному штабу для открыток или – еще хуже – подписных листов вместе с паспортными данными. Или отдает эту информацию фирме, шлет именную рекламу. Так вот, с точки зрения защиты приватности место жительства лица вряд ли закрытой конфиденциальной информацией. Но с точки зрения защиты персональных данных из баз данных и картотек – ЖЭК не имел права распространять эту информацию, поскольку это не соответствует цели, с которой он ее получил. Вот в этом разница в двух режимах.
Роман Головенко: Если не сводить все к сессии совета, то за только принятым Законом О доступе к информации не может быть тайной информация о получении кем коммунального имущества. Кроме того, получение участка можно трактовать как деятельности человека, а сообщения о ней, как я ранее отмечал, по ГК не требует согласия на использование имени.
ТК: А может ли ЖЭК передавать списки должников СМИ, или клеить их на подъездах, или раздавать депутатам, чтобы те проводили профилактические беседы?
Тарас Шевченко: Нет, не может. Теоретически могу допустить одно исключение – если гражданин дал согласие на такое распространение при подписании договора с ЖЭКом или иной момент.
Также хочу обратить внимание – выше был комментарий или вопрос относительно того, что для СМИ в законе исключение. Это некорректно – исключение для журналистов, а не СМИ. Если СМИ создает картотеку материалов о политиках, например, – это будет база данных, которая подлежит по этому закону регистрации.
ТК: А если это личное база данных журналиста?
Тарас Шевченко: Если личная – вопросов нет. Но не всегда вам удастся убедить, что это личная база журналиста. Если она заполняется 20 лет, а работники в среднем работают 5 лет.
– То есть если в СМИ есть база контактов (телефонов), ее тоже надо регистрировать?
Роман Головенко: Надо, но если только в СМИ, а не в журналиста.
Тарас Шевченко: Закон не позволяет однозначно оценить, список телефонов и имен является базой данных. По нашему мнению, нет, не менее пока его не созданы в форме картотеки или специальной программы, созданной в формате баз данных. То есть это список в мобильном телефоне – не думаю, что это будет толковаться как база данных. Более угрожающие вещи касающиеся регистрации баз данных, права доступа проверяющих в помещения в любое время на основании, когда в регистрации будет отказано.
– А если на компьютере? На сервере? Уже база? Где и как ее регистрировать, как доказать, что информация получена законным путем?
Тарас Шевченко: Я не большой специалист в компьютерах, но я знаю, что есть программы для создания баз данных. Может, кто подскажет? Просто размещения файлов в компьютере или на сервере – это не база данных
Роман Головенко: Юридическим лицам лучше не хранить базы данных телефонных номеров на компьютере. По мобильным телефонам, то с практической точки зрения уполномоченному органу по вопросам защиты ПД будет нереально сложно регистрировать телефонные книги всех корпоративных мобильных телефонов:).
– Но закон предусматривает, что база персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных. Телефонная книга в мобильном телефоне и является такой картотекой.
Тарас Шевченко: Нет,картотеки – это бумажные носители. Например, картотека абонентов в библиотеке или медкарток в больнице. Срок база данных определена еще и в авторском законодательстве – базы данных подлежат защите или авторским правом, либо по sui generis. Список телефонов на мобильном, по авторскому праву, не будет защищен и, соответственно, базой данных не рассматривается.
Андрей Нечипоренко: Я бы с этим не согласился. База персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме … Если есть три файла с данными о трех человек, можно говорить, что по закону это база персональных данных.
Тарас Шевченко: Я с Андреем соглашусь в том, что он говорит о рисках худшего прочтения закона контролирующим органом. Здесь он прав: закон можно прочитать как угодно. Мое мнение: это идеи для юристов, как можно сбалансировано понимать и применять закон, и какие аргументы можно приводить контролирующим органам, когда они будут зарываться. То есть я считаю, что юристы должны наработать, как следует понимать закон и убеждать в этом власть, а не подсказывать власти идею, что журналиста можно привлечь к ответственности за то, что он распространил информацию о лице, вообще даже не взятую из баз данных, как это сделали правозащитники.
Думаю, нужен комментарий технарей относительно того, что такое именованная совокупность упорядоченных персональных данных.
По моему мнению, база данных должна быть не просто собранием персональных данных – ее должно быть специальным образом размещены с помощью программных средств, позволяющих поиск и структурирование по определенным критериям. Причем не просто функцией поиска на компьютере, а именно специальными программами и размещением.
есть, для создания базы данных должен быть процесс присвоения имен или тегов определенной информации, чтобы в будущем программа их могла искать. Создание картотеки означает, что у вас именной указатель в папках и вы туда методично вносите информацию о определенное лицо. Например, у вас картотека фотографий любимых певцов – если это личное, не регистрируете, но если бы такое делала фирма – надо регистрировать
– Как быть относительно новостных сайтов, форумов? Обычно там собирается информация о лице.
Андрей Нечипоренко: Базы данных, составленные из общедоступных источников (новостные сайты, форумы и т.д.), по этому закону должны подлежать регистрации (если они, конечно, не принадлежат журналисту). При этом, согласно статье 12 Закона, в таком случае не нужно сообщать лицу, о которой собранную определенную информацию из открытых источников.
– Мы говорим не о открытые источники, а о том, что определенное лицо регистрирует себя на определенном ресурсе, при этом доказать наличие согласия этого лица можно только в том случае, если она проходит авторизацию через электронную почту.
Андрей Нечипоренко: Если вы зашли на сайт или на форум, и на этот ресурс могут зайти и другие, ресурс общедоступен.
– Сайт – да, но база не является публичной.
Роман Головенко: Поскольку человек не проходит авторизацию, тогда ее нельзя четко идентифицировать, а раз нельзя идентифицировать, то это уже не персональные данные.
Андрей Нечипоренко: Предоставление информации из базы данных возможно при наличии согласия субъекта персональных данных или по другим основаниям, предусмотренным законом. Если информация о лице открыта, то доказать, что она взята из определенной базы данных или из общедоступных источников, почти невозможно.
Тарас Шевченко: Это еще одна практическая проблема – базы, которые производят из открытых источников. Например, Кто есть кто в Украине. Закон предусматривает, что без разрешения можно брать и вносить в базу информацию о личности с последующим уведомлением об этом ее. Но мы не нашли – может, коллеги видели – права распространять такую информацию владельцем базы без согласия лица. Это реальная проблема, потому нелогично, если ты делал открытую базу из общедоступной информации и не можешь ее распространять. Особенно в контексте тех организаций, которые эти базы уже создали.
– А как быть с комментариями относительно баз в телефоне, если телефон используется и для личных непрофессиональных потребностей, и по работе?
Андрей Нечипоренко: О том, что некоторые номера телефонов используются для работы, а некоторые – нет, следует знать только вам.
ТК: А еслибаза телефонов и мейлов у сайта, который по закону не является СМИ? Ее надо регистрировать или просто назвать именем какого журналиста?
Тарас Шевченко: Уточните вопрос. И какое значение имеет, что сайт не является СМИ, если мы пришли к выводу, что на СМИ закон распространяется так же, как на другие предприятия?
ТК: Уточняю: если база телефонов и мейлов у сайта? Ее надо регистрировать или просто назвать именем какого журналиста?
Роман Головенко: Сайты отчасти тоже регистрируют на физических лиц:).
Андрей Нечипоренко: Сайт формально не считается СМИ. Поэтому база может принадлежать или юридическому лицу, осуществляющему администрирование сайта или определенному лицу. Если такая база формально принадлежать журналисту, регистрировать ее не нужно. А что касается того, что журналист работает меньше, чем СМИ, сайт или юрлицо, то никто не мешает журналисту при увольнении передать эту базу другом журналисту для дальнейшего ее ведения.
Роман Головенко: Думаю, если уж очень нужно создавать базу данных, то лучше заносить в нее данные не о физическом лице, а о юридическом (закон касается только персональных данных физлиц). Например, номер телефона главного редактора такой-то газеты, а как его имя и отчество – держите в памяти или можно брать из открытых источников.
ТК: есть журналисты могут себе работать как и работали и ничего не бояться?
Роман Головенко: Надо быть внимательнее при распространении конфиденциальной информации. Хотя право на приватность и сфера регулирования настоящего Закона, как мы уже выяснили, не являются тождественными, но ошибочное его трактовки и ажиотаж с принятием Закона могут привести к концентрации внимания на фактах соблюдения / несоблюдения журналистами права на приватность.
Роман Головенко: Спасибо за приглашение в чат. До свидания!
Тарас Шевченко: Напоследок хочу сказать, что Институт медиа права планирует в феврале совместно с европейскими партнерами провести мероприятие на эту тему.
Также обращаю внимание, что в течение первого полугодия Кабмин должен утвердить подзаконные акты, и от их содержания многое будет зависеть. Внимательно следите:). Благодарю за беседу. До свидания!
Андрей Нечипоренко: Как итог. Закон несовершенен, особенно в части основных терминов. Подобный закон необходим для защиты персональных данных, которые собираются другими лицами, о чем мы часто сами можем даже не подозревать. Вместе с тем, его несовершенны положение может быть использовано в ущерб как бизнесу, так и журналисту, каждому человеку. Отдельные положения закона требуют пересмотра и доработки, чтобы потом не пришлось говорить о неправильной практику его применения. Всем спасибо за беседу!

Еще по теме:

У статьи «Есть базу данных? Мы уже идем к вам! 0 комментариев.