(сокращенная редакция
специально для бюллетеня
"Законотворческий
процесс в Государственной Думе: правозащитный анализ")
Сергей Смирнов,
координатор
Межрегиональной группы
«Правозащитная
сеть»
Ольга Кочева,
юрист
Пермского регионального
правозащитного
центра
23 сентября Правительство РФ внесло в Государственную
Думу проект федерального закона «О
персональных данных». Рассмотрение проекта в
первом чтении состоится, предположительно,
в декабре.
Защита персональных данных последние десять лет была и
остается одной из наиболее острых проблем в информационных отношениях между
гражданами, государством, корпорациями. В Конституции, в законах Российской
Федерации можно найти положения, которые признают важность одного из
фундаментальных прав человека – права на неприкосновенность частной жизни.
Однако целостной системы и эффективного механизма защиты этого права в России
нет. В числе главных причин эксперты и наблюдатели называют отсутствие
федерального закона о защите персональных данных. Проекты этого закона
предлагались в 1998 и 2000 годах, но не были приняты парламентом. Между тем,
практика вторжения в частную жизнь приобрела угрожающие масштабы. Повсеместно
собираются избыточные данные; отсутствуют гарантии уничтожения этих данных,
когда цель сбора достигнута; собранные данные бесконтрольно передаются третьим
лицам; мнение субъектов данных игнорируется. В качестве яркого примера можно
привести повсеместную продажу закрытых баз данных на компакт-дисках. При этом
российские граждане относительно высоко ценят свое право на неприкосновенность
частной жизни[1].
Нужно принимать меры по реальному обеспечению этого права.
Проект закона "О персональных данных"
производит хорошее впечатление. По своему духу он отвечает лучшим традициям и
законам в этой области, а в некоторых статьях опережает европейские образцы.
Принципы сбора, обработки и передачи персональных данных, будучи реализованными
на практике, послужат фундаментом для развития практики защиты права российских
граждан на неприкосновенность частной жизни.
При этом представляется необходимым конкретизировать в
законопроекте статьи, связанные с Уполномоченным
органом по защите прав субъектов персональных данных, чтобы обеспечить создание
действительно авторитетного и эффективного механизма защиты прав граждан. В
противном случае ценность закона "О персональных данных" может быть
поставлена под сомнение.
Глава 1. Общие положения
Определения
охватывают все основные понятия, но без избыточности (персональные данные, субъект персональных данных,
обработка персональных данных, информационная система персональных данных,
оператор, распространение персональных данных, блокирование персональных
данных, уничтожение персональных данных, обезличивание персональных данных,
трансграничная передача персональных данных, третье лицо). Тем
не менее, некоторые определения можно дополнить и уточнить. Так, "третье лицо" может
быть и частным лицом, и организацией, и государственным органом (в
законопроекте просто: "лицо..."). Понятие "блокирование
данных", которое упоминается ниже (в статьях 11 и 19),
подразумевает возможность (и даже обязанность) оператора исправить данные (или
уничтожить их). Поэтому ввести в определение блокирования обработку данных нельзя: упоминаются
только извлечение и использование. Но не говорится, например, о передаче данных. В статье
10 ("Передача персональных данных") также не упомянут запрет на
блокирование. Формулировка определения "блокирование персональных
данных", по-видимому, может включать прекращение доступа к персональным
данным, их обработки и передачи, за исключением исправления и уничтожения
персональных данных оператором.[2]
Определение оператора в
законопроекте дано таким образом, что не относится к т.н. "обработчикам" – лицам
или организациям, обрабатывающим персональные данные по поручению оператора, но
самостоятельно не "определяющим цели, содержание и применение результатов
обработки персональных данных" (как это сформулировано в законопроекте).
Таким образом, по смыслу данного проекта оператор обязан устанавливать для
обработчика такие условия обработки персональных данных, которые исключали бы
нарушения данного закона. Отношения между оператором и обработчиком в данном
проекте вынесены в п.2 статьи 6 законопроекта. Это выглядит логично. В будущем
для корректировки упомянутых отношений уполномоченный орган по защите прав
субъектов персональных данных может разрабатывать и публиковать специальные
рекомендации (руководящие принципы) в различных областях, где возможна
обработка персональных данных. Соответствующие полномочия могут быть закреплены
в настоящем законопроекте – там, где речь идет об Уполномоченном органе по
защите прав субъектов персональных данных (подробнее см. ниже в этом
комментарии).
Цель
законопроекта сформулирована ясно и четко: "Обеспечение защиты прав
граждан на неприкосновенность частной жизни при сборе и обработке персональных
данных" (далее перечисляются традиционные для законодательства разных
стран пути достижения цели). Существенно, что в сферах
применения закона сделано исключение для сбора и обработки персональных
данных "исключительно для личных нужд" и для государственной тайны
(ст.3).
Закон, защищающий персональные
данные, может стать препятствием
при осуществлении права человека на доступ к информации и на свободу выражения
своего мнения. При определенных обстоятельствах данный закон может
препятствовать осуществлению журналистской деятельности. Статья 49 Закона РФ
"О средствах массовой информации" позволяет журналисту добывать
информацию о частной жизни ("о личной
жизни", что по смыслу то же самое) без согласия гражданина или его
законных представителей, если это
необходимо для защиты общественных интересов. Понятие
"общественный интерес" не имеет четкого определения в
законодательстве. Традиционно сами журналисты определяют пределы допустимого
вторжения в частную жизнь, когда речь идет об общественном интересе. Можно
привести немало примеров, когда эта граница становилась темой широкого
общественного обсуждения и даже причиной судебных исков (от "охоты"
папарацци за поп-звездами до журналистских расследований коррупции видных
политиков). Было бы логично сохранить разумный баланс между "общественным
интересом" и необходимостью защиты частной жизни. Уполномоченному органу
по защите прав субъектов персональных данных следует принимать это во внимание[3].
Глава 2.
Общие принципы и условия сбора и обработки персональных данных
Принципы сбора и обработки
персональных данных изложены аккуратно и в полном соответствии с традициями
европейского законодательства в этой области[4] (законность
сбора данных, соответствие цели, неизбыточность, актуализация – в статье 5,
обеспечение конфиденциальности данных – в статье 7).
Не совсем понятен п.2 статьи 5, в котором, в частности,
говорится об обработке персональных данных для статистических, научных и иных
аналогичных целей (далее: "...является допустимой при соблюдении гарантий
по обеспечению прав субъектов персональных данных на неприкосновенность частной
жизни"). Относятся ли к "иным аналогичным целям", например,
маркетинговые исследования? В такой расплывчатой формулировке это предложение
лишь отражает обобщенный смысл статьи 5.
Весьма важным представляется пункт 6 статьи 5, где подчеркиваются гарантии в
отношении сведений, характеризующих физиологические
особенности организма человека (биометрия). Это особенно
актуально в свете грядущего введения "паспортов нового поколения" с
биометрическими данными. Однако следует помнить, что сбор биометрических данных
вызывает в российском обществе традиционно болезненную реакцию. Соответственно,
необходима значительная просветительская работа и реальные гарантии защиты
биометрических данных. (См. также далее о регистре населения).
В статье
6 сбор
персональных данных остался лишь в названии; внутри статьи условия и гарантии
даются лишь в отношении обработки персональных данных. Между тем, эти гарантии
по смыслу относятся и к сбору персональных данных.
В некоторых национальных законах
обработка персональных данных без согласия субъекта персональных данных
разрешается, если это необходимо для выполнения
договора, одной из сторон которого является субъект данных.[5] В настоящем законопроекте об этом ничего не сказано (а,
возможно, следовало бы?).
Важное значение имеет статья 8 о согласии
субъекта данных. Сегодня оператор, осуществляющий сбор данных, например,
посредством анкетирования, в лучшем случае формулирует собственные гарантии
неразглашения этих данных, но даже и тогда чаще всего не дает удобную, понятную
и четкую форму для выражения согласия субъекта данных. Например, на сайтах
Интернет-магазинов клиенту, как правило, предлагается пройти
регистрацию и сообщить данные о себе (включая адрес и телефон). Однако политика
конфиденциальности ("политика приватности") обычно отсутствует, либо
обозначена в разделе "Помощь", либо каким-то иным, не бросающимся в
глаза способом. А условие отзыва согласия субъекта персональных данных на
предоставление этой информации не формулируется почти нигде. Фактически, часто
покупатель передает магазину свои данные на неопределенный срок без возможности
аннулировать учетную запись.[6]
Конкретные правила, образцы
"политики приватности", могут разрабатываться Уполномоченным органом
по защите прав субъектов персональных данных, что нетрудно отразить в данном
законопроекте (см. комментарии к ст.21).
Статья
9
вводит понятие "особые
категории персональных данных", которые в англоязычных
источниках называют sensitive
data
(данные, требующие особо деликатного обращения).[7] Для них
традиционно существуют особые условия и ограничения сбора, обработки и
передачи. Отдельного одобрения заслуживает жесткое, но полностью отвечающее
задаче защиты персональных данных условие п.4
ст.9
о прекращении обработки особых
категорий персональных данных и об уничтожении этих данных, если
субъект данных не дал согласия на их хранение в информационной системе оператора.
В
статье 10 (п.1) содержится
важное ограничение, препятствующее
"свободному обмену" персональными данными между
частными лицами и организациями. Такие случаи фиксировались в мировой практике:
например, компания, попав в затруднительное финансовое положение, рассматривала
варианты продажи своей базы данных клиентов третьим лицам[8].
Статья 11
регламентирует трансграничную
передачу персональных данных в европейских традициях (особенно см. п.4).
Глава 3.
Права субъекта персональных данных
Глава
3 (статьи 12-14) посвящена правам субъекта персональных данных на доступ к
данным, возражение против обработки и обжалование. В исключительно важной статье 14 говорится о праве субъекта персональных данных на обжалование, если
оператор осуществляет обработку его данных с нарушениями права на
неприкосновенность частной жизни. Вероятно, следует добавить: "сбор, обработку и передачу".
Нарушения могут происходить на этапе сбора данных: например, оператор может
собирать данные без ведома и согласия субъекта, нарушая тем самым требования
главы 2 законопроекта. (См. также замечание к ст.6). Нарушения могут
происходить и при передаче данных: например, оператор игнорирует отзыв
субъектом данных своего согласия на передачу.
Глава 4.
Обязанности оператора
Статья
15
говорит об основных
обязанностях оператора по отношению к субъекту персональных данных. В статье 16 вводится важная обязанность
операторов регистрировать
свои информационные системы. Регистрация находится в
компетенции уполномоченного органа по защите прав субъектов персональных
данных. Аналогичная практика существует в целом ряде стран, где, наряду с
законами о неприкосновенности частной жизни и персональных данных, введена
должность уполномоченного или комиссии в этой области.
Статьи 17 и 18
заслуживают отдельной похвалы за стремление авторов поощрять защиту
персональных данных с помощью шифровальных (криптографических) средств.
Глава 5.
Контроль и надзор за обработкой персональных данных. Ответственность за
нарушение требований по защите персональных данных
Предложение
ввести в Российской Федерации идентификаторы персональных данных и создать на
их основе государственный регистр населения уже сегодня вызывают вопросы и
опасения экспертов, наблюдателей и широкой публики. При этом роль и значение
Уполномоченного органа по защите прав субъектов персональных данных, насколько
можно судить по комментариям в СМИ, остаются непонятыми в обществе.[9] Закон
"О персональных
данных" может расставить точки над i, защитить людей от необоснованного и
чрезмерного вмешательства в их частную жизнь и повысить доверие к
государственным органам. Для этого в законе следует четко изложить
соответствующие гарантии и механизмы защиты права на неприкосновенность частной
жизни.
Регистр населения
Ввод
в действие идентификаторов персональных данных и создание государственного
регистра населения Российской Федерации (статьи 23 и 24 законопроекта)
подвергаются в последнее время серьезной критике со стороны, в первую очередь,
ортодоксальных православных верующих. Они усматривают в этих процессах близкое
наступление Апокалипсиса. Среди либеральной общественности также раздаются
протесты, мотивированные слабостью и коррумпированностью части государственного
аппарата, что служит благоприятным условием для злоупотреблений и превращения
регистра в предмет купли-продажи. Наконец, высказываются опасения, что
государство может сделать из регистра собрание досье на политически активных
граждан и пользоваться этими досье в репрессивных целях.
Оценивать
степень рациональности этих подозрений мы здесь не станем. Правильнее будет
сказать, что идентификаторы персональных данных и регистр населения вызывают
беспокойство, непонимание, неприятие и протест части российского общества.
Можно ожидать, что активные действия противников идентификаторов и регистра –
лишь верхушка айсберга, а реализация этих проектов грозит масштабным ростом
напряжения в обществе. Следовательно, каковы бы ни были экономические и
социальные обоснования актуальности введения в действие идентификаторов
персональных данных и регистра населения, необходимо прийти к общественному
согласию по этим вопросам. Приблизить этот момент можно, выполнив два условия.
Во-первых, нужно максимально прозрачно и конкретно определить порядок, в
соответствии с которым формируется регистр населения. Во-вторых, необходим
реальный и действенный механизм защиты персональных данных.
Законопроект
в этой части, однако, лаконичен. В п.2 ст. 23 есть ссылка на нормативные
правовые акты, которые должны определять порядок использования идентификаторов
персональных данных. По-видимому, эти акты должны быть приняты в ближайшем
будущем. Однако пока это не сделано, практическая просветительская работа в
обществе не ведется, а механизмы защиты персональных данных отсутствуют. Это и
создает почву для непонимания и конфликтов.
Уполномоченный орган по защите прав субъектов
персональных данных
Об
Уполномоченном органе по защите прав субъектов персональных данных подробно
говорится в статье 21 законопроекта, а в некоторых других статьях законопроекта
есть на него ссылки.
Как
уже было сказано, во многих странах мира существуют уполномоченные по защите
персональных данных и частной жизни или соответствующие комиссии/комитеты. Их
главная задача – контроль над исполнением законодательства в этой области.
Статус, структура и компетенция уполномоченных органов определяются в тех же законах о
персональных данных и частной жизни. В большинстве законов (например, в Чехии,
Дании, Австрии, Словакии, Польше и др.) это сделано подробно, в некоторых лишь
закреплены общие положения (как, например, в Швеции). Российский законопроект
близок ко второму варианту, однако, на наш взгляд, то, что касается
Уполномоченного органа по защите прав субъектов персональных данных (далее
будем называть его просто "Уполномоченный орган"), написано слишком
кратко и расплывчато даже для этого варианта. Между тем, в
финансово-экономическом обосновании к законопроекту сказано, что штат
Уполномоченного органа составит 50 человек, и дана оценка бюджетным расходам на
его функционирование. Отсюда видно намерение создать Уполномоченный орган
непосредственно после принятия закона о персональных данных. Однако главное –
статус, структура и компетенция Уполномоченного органа – почти не описаны. Было
бы логично и последовательно конкретизировать их в законодательстве (как,
например, в случае Уполномоченного по правам человека в Российской Федерации).
Это сделает более реальными и прозрачными контрольно-надзорные,
просветительские и иные функции Уполномоченного органа. Как следствие, это
позволит ему завоевать доверие у людей и сделать возможным эффективное
использование закона гражданами для защиты своих прав. Ведь не секрет, что
российские граждане в целом критически относятся к государственным органам[10].
Отсутствие в законодательстве целого ряда важных моментов, непосредственно
касающихся Уполномоченного органа, мягко говоря, не прибавляют ему авторитет.
Статус,
структура и компетенция Уполномоченного органа могут быть определены как в
настоящем законе (предпочтительный вариант), так и в подзаконных актах, которые
необходимо принять незамедлительно после вступления настоящего закона в силу.
Базовым
свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого
смысла деятельности Уполномоченного органа, призванного способствовать
устранению и предупреждению нарушений законодательства о частной жизни,
допускаемых, в том числе, и государственными структурами. Есть естественные и
понятные различия в подходах к защите прав человека органа, созданного и
функционирующего в рамках исполнительной власти, и независимой структуры,
например, такой как Уполномоченный по правам человека. Опираясь и в том и в
другом случае на закон, правительственный орган не может избежать влияния
"своего" министерства и других органов власти, в то время как независимый
уполномоченный орган исходит, прежде всего, из неотъемлемых прав человека.
Поскольку основной функцией Уполномоченного органа является защита прав
субъектов данных (то есть, работа с обращениями и жалобами конкретных лиц), а
одним из нарушителей прав граждан и норм закона неизбежно будут государственные
структуры, Уполномоченный орган должен быть независимой структурой. В противном
случае, он не сможет выполнять свою миссию. Заметим, что и Уполномоченный по
правам человека в Российской Федерации "при осуществлении своих полномочий
независим и неподотчетен каким-либо государственным органам и должностным
лицам".[11]
Независимый
статус уполномоченных по защите персональных данных закреплен в соответствующих
законах разных стран мира. Уполномоченный орган может быть назначаем
парламентом страны, правительством или президентом, однако практически всегда
закон придает ему независимый статус. Уполномоченный орган обязан ежегодно
публиковать отчеты о своей работе, но должен руководствоваться законом о защите
данных, а не инструкциями и пожеланиями исполнительной власти. Решения
Уполномоченного органа обычно не могут быть обжалованы в каких-либо
государственных структурах, кроме суда. Финансирование Уполномоченного органа
идет отдельной строкой в бюджете.
Требования
Европейского Союза относительно соблюдения персональных данных в странах-членах
ЕС включают создание надзорных органов по соблюдению законодательства о защите
частной жизни. Особо подчеркивается независимый статус создаваемых органов[12].
Таким образом, механизмы
отработаны годами. И раз уж новый закон "О персональных данных"
перенимает лучшие международные принципы защиты персональных данных,
законодателям нужно быть последовательными и принять основной принцип всех
европейских законов о защите персональных данных: наделить надзорный орган
независимым статусом.
В
законопроекте это сделано лишь отчасти, косвенно: в п.5 ст.21 речь идет о
возможности обжалования решений Уполномоченного органа в суде.
В
российском законодательстве независимый статус Уполномоченного органа может
быть изложен подобным образом:
При
осуществлении своих функций Уполномоченный орган по защите прав субъектов
персональных данных действует независимо. Его решения в соответствии с
настоящим законом не могут быть обжалованы в порядке подчиненности.[13]
Далее,
необходимо определить принципы
формирования Уполномоченного органа.
Какие требования следует предъявить к человеку, который
возглавит Уполномоченный орган? От
этого, в значительной степени зависит доверие людей к структуре, призванной,
согласно законодательству, на защиту их прав. Глава Уполномоченного органа
должен, как минимум:
а) быть
гражданином Российской Федерации, постоянно проживать на ее территории,
б) иметь
высшее образование и значительный (допустим, не менее пяти лет) профессиональный
опыт работы в области юриспруденции и/или информационных прав,
в) иметь
познания в области защиты права на неприкосновенность частной жизни и
персональных данных;
г) не иметь судимостей.
Авторитетный
и высокопрофессиональный глава Уполномоченного органа с безупречной репутацией
формирует лицо всей команды сотрудников Уполномоченного органа. В стране, где
традиционно большое значение придается личности-лидеру, это особенно важно.
Вполне
логично выглядело бы в этом свете и требование к главе Уполномоченного органа
не состоять ни в каких партиях, не совмещать работу в Уполномоченном органе с
работой на иных должностях и с коммерческой деятельностью. (Исключение может
быть сделано для преподавательской и научной работы). Аналогичные требования
(см. также предыдущие два абзаца) могут распространяться (помимо главы) на тех
сотрудников Уполномоченного органа, которые занимают в нем ключевые позиции.
О том,
как должен формироваться
состав Уполномоченного органа, в
законопроекте ничего не сказано. Фактически, сформулировать этот порядок
поручено Правительству РФ. В законопроекте не зафиксированы, в частности,
правило сменяемости главы Уполномоченного органа и максимальный срок его
пребывания в этой должности. Неясно, кто вообще имеет право выдвигать кандидатуры
сотрудников Уполномоченного органа. Таким образом, не исключена ситуация, когда
Уполномоченный орган будут составлять не избираемые и сменяемые люди,
соответствующие опубликованным открыто критериям профессиональности и личных
качеств, а назначаемые на неопределенный срок сотрудники министерства.
Не
обойтись и без описания структуры
Уполномоченного органа. Так, например, вполне очевидна разница между работой по
консультированию граждан (по вопросам защиты их прав), юридическим анализом
законопроектов (которые затрагивают персональные данные) и просветительской
деятельностью (например, подготовкой изданий и веб-сайтов, рассказывающих
гражданам об их праве на неприкосновенность частной жизни). Очевидно,
заниматься этим будут разные люди в рамках Уполномоченного органа. Но структура
Уполномоченного органа может быть определена и в подзаконном акте, в то время
как основные принципы, гарантирующие независимость и обеспечивающие авторитет
Уполномоченного органа – см. выше – следует закрепить в федеральном законе.
Теперь
посмотрим, что сказано в законопроекте о компетенции Уполномоченного органа (ст.
21 законопроекта).
В п.2
этой статьи говорится: "Уполномоченный орган по защите прав субъектов
персональных данных рассматривает обращения субъекта персональных данных о
соответствии содержания и способов обработки персональных данных цели их
обработки и принимает соответствующее решение". Данное положение
ограничивает возможности субъектов персональных данных. Ведь речь может идти не
только о соответствии
содержания и способов обработки персональным данным целям их
обработки, но и о других нарушениях. Примером может служить отказ оператора в
предоставлении субъекту данных доступа к своим персональным данным. Следует
закрепить в законопроекте право субъекта данных на обращение к Уполномоченному
органу во
всех случаях, когда, по мнению субъекта
данных, в его отношении имеет место нарушение настоящего закона.
Соответственно, изменения следует внести и в п. 3.2 ст.
21: к компетенции Уполномоченного органа следует отнести не только проверку
сведений, предоставляемых оператором, но и в целом проверку соблюдения положений федерального закона
"О персональных
данных".[14]
В законопроекте следует предусмотреть право законных
представителей Уполномоченного на беспрепятственный
доступ к информационным системам операторов
и в
помещения, где производится обработка
персональных данных[15],
а также на проверку
любых устройств, носителей данных и
компьютерных систем, используемых
для обработки данных. В противном случае
становится невозможным эффективное реагирование на жалобы граждан на нарушения
закона "О персональных данных" (например, если жалоба касается
хранения данных сверх необходимого срока или отсутствия надлежащей защиты
данных). Уполномоченный орган должен иметь возможность не только запросить
информацию у оператора (за несколько дней, отводимых законом оператору на
составление ответа, тот имеет возможность изменить информационную систему и/или
персональные данные таким образом, что всякая жалоба потеряет смысл, либо
просто дать неполный ответ или иным способом тянуть время), но и осуществлять
самостоятельную проверку соблюдения положений закона "О персональных
данных" без предварительного уведомления оператора[16].
Соответственно, оператор данных обязан не препятствовать Уполномоченному органу
в осуществлении его законной деятельности и предоставлять ему все возможности
для проверки.
Одновременно с этим в целях большей прозрачности
деятельности Уполномоченного органа в законопроект следует ввести обязанность
Уполномоченного органа соблюдать определенную процедуру при проведении проверки,
в частности, знакомить и субъекта персональных данных, и оператора данных с
результатами проверки[17].
В
статье 21 упоминается право Уполномоченного органа требовать "уточнения
(исправления), блокирования или уничтожения недостоверных или полученных
незаконным путем персональных данных". Однако, недостоверные и полученные
незаконным путем – не исчерпывающе определение. Например, нарушением является
ситуация, когда персональные данные (достоверные и полученные законным путем)
не уничтожаются, несмотря на законный протест субъекта данных, или передаются
третьему лицу, несмотря на отсутствие согласия субъекта данных. Другим примером
является передача данных: может ли Уполномоченный орган запретить передачу данных,
если это нарушает требования закона, не прибегая при этом к административному
наказанию? Очевидно, Уполномоченный орган должен иметь такую возможность.
Третий пример: может ли Уполномоченный требовать от оператора данных обеспечить
адекватный уровень защиты персональных данных (не блокировать,
исправлять или уничтожать), если таковая необходимость существует? Полагаем,
что Уполномоченный должен иметь на это право. Таким образом, следует
распространить право Уполномоченного органа требовать от оператора скорейшего
выполнения требований настоящего закона во всех случаях, когда
Уполномоченным органом выявлены нарушения. Можно составить список допустимых
решений, принимаемых Уполномоченным органом, однако этот список вряд ли стоит
делать закрытым, чтобы не создавать искусственных ограничений для
Уполномоченного органа и не лишать его возможности законными способами решать
возникающие конфликты.
Соответственно,
в главу 4 следует внести обязанность оператора реагировать на решения
Уполномоченного (сейчас в ст.19 закреплена обязанность оператора принимать меры
только по обращению субъекта персональных данных).
В
законопроекте не упомянута крайне важная экспертная функция
Уполномоченного органа. Она входит в компетенцию почти всех аналогичных
структур (в тех странах, где они есть) и позволяет специалистам в области
защиты права на неприкосновенность частной жизни быть вовлеченными в процесс
принятия решений и предотвращать ситуации, когда по недосмотру или в результате
некомпетентности это право может оказаться под угрозой. В статью 21 следует
добавить пункт:
Уполномоченный
орган по защите прав субъектов персональных данных анализирует законы и
нормативные правовые акты, а также их проекты, которые затрагивают права
субъектов персональных данных, и дает свои рекомендации.[18]
Формулировка
этого пункта должна предусматривать, что никакой закон, непосредственно
связанный с вторжением в частную жизнь граждан или со сбором, обработкой и
передачей персональных данных, не должен и не может быть принят "в
обход" Уполномоченного органа. Не менее важным правом Уполномоченного
органа является право предлагать законопроекты и поправки к законам, касающиеся
защиты прав субъектов персональных данных.
Уполномоченный орган
осуществляет экспертную функцию не только в отношении законопроектов, но и в
том, что касается взаимоотношений между субъектами данных и операторами. В
настоящем законопроекте это закреплено в п.2 ст. 17:
"...Уполномоченный орган по защите прав субъектов
персональных данных разрабатывает и утверждает требования к процедурам
хранения, обмена и защиты персональных данных и иные условия, которым должны
отвечать информационные системы персональных данных".
Это весьма разумное положение. Уполномоченный орган (как это делается в некоторых
странах) может разрабатывать модельные “Кодексы приватности” – сборники руководящих принципов по соблюдению
положений Закона “О персональных данных” в разных сферах общественной жизни[19]. Эти рекомендации помогают сторонам выстраивать свои
взаимоотношения в соответствии с духом и буквой закона и не создавать почву для
претензий и конфликтов. Уполномоченный орган также может анализировать уже
подготовленные оператором или профессиональным сообществом операторов “Кодексы
приватности” и давать свои рекомендации[20].
Возможно, следует расширить
компетенцию Уполномоченного, вывести его действия за рамки составления
требований ("Кодексов приватности"). Сформулировать это можно
следующим образом:
Уполномоченный орган по защите прав субъектов
персональных данных анализирует материалы и
публикации относительно защиты лиц при сборе, обработке и передаче персональных
данных; по просьбе любого лица, организации или государственного органа дает
рекомендации по вопросам, связанным с защитой основных прав и свобод при сборе,
обработке и передаче персональных данных[21].
В числе функций
Уполномоченного органа по защите прав субъектов персональных данных следует
упомянуть и международное
сотрудничество. Это поможет сразу ввести российских представителей в
“международный клуб” уполномоченных по защите персональных данных и частной
жизни, который проводит ежегодные встречи[22], обменивается опытом и т.д. Участие российского
Уполномоченного органа было бы интересно и полезно как для России, так и для
аналогичных структур в других странах.
Уполномоченный орган по защите прав субъектов персональных
данных сотрудничает с аналогичными структурами разных стран и международными
организациями в сфере защиты персональных данных[23].
[1] См. напр. опрос "Левада-центра" от 14-17 октября 2005 года, где это право занимает четвертую позицию после права на жизнь и социальных гарантий и значительно "опережает" свободу слова, право избирать и быть избранным, свободу вероисповедания и др.
[2] См. напр. Закон 101 от 4 апреля 2000 года о защите
персональных данных Республики Чехия.
[3] См. напр. брошюру "Выборы и журналистское расследование" , гл.4 п.6 "Неприкосновенность частной жизни и общественный интерес" (М.: "Права человека", 2001). <http://www.democracy.ru/library/publications/media/jour_inv/page18.html>
[4] В частности, эти принципы перечислены в декларации "Защита персональных данных и частной жизни в эпоху глобализации", которая была принята в сентябре 2005 года в Монтрё на 27-й ежегодной международной конференции уполномоченных по защите персональных данных и частной жизни. <http://www.privacy.org.nz/Montreux%20Declaration%202005.pdf>
[5] См. напр. ст.6 датского закона "Об обработке персональных данных" от 31 мая 2000 г.
[6] См. напр. обзор "Приватность в российском Интернете – 2005" <http://privacy.hro.org/docs/report2005/index_1.php>.
[7] См. напр. ст.9 австрийского федерального закона 2000 года "О
защите персональных данных" (Datenschutzgesetz
2000).
[8] Дело компании – онлайнового торговца игрушками Toysmart; рассматривалось в 2001 году Федеральным судом США по делам о банкротстве.
[9] См. напр. Н.Красилова, "Персональное дело" ("Новые Известия", 22 ноября 2005 г.). Уполномоченный орган по защите прав субъектов персональных данных в этой статье выведен как монопольная государственная структура, задача которой – координация сбора информации и контроль над всеми информационными базами страны.
[10] По данным РОМИР (ноябрь 2005 г.) 52% опрошенных россиян не верит вообще ни одному государственному органу; уровень доверия к правительству и прокуратуре находится в районе 5-6%.
[11] Ст. 2 Федерального конституционного закона "Об Уполномоченном по правам человека в Российской Федерации".
[12] П.1 статьи 28 Директивы 95/46/ЕС о защите прав частных лиц применительно личных данных и о свободном движении таких данных, 24 октября 1995 г.
[13] Аналогичное положение можно прочесть, например, в ст.36 исландского закона "О защите частной жизни при обработке персональных данных" N 77/2000 от 10 мая 2000 г. В австрийском законе 2000 г. Datenschutzgesetz независимому статусу Уполномоченного посвящена статья 37, в норвежском законе N 31 от 14 апреля 2000 года "Об обработке персональных данных" о независимости этого органа говорится в статье 42.
[14] См. напр. п.1 ст.62 датского закона "Об обработке персональных данных" N 429 от 31 мая 2000 г.: "Агентство по защите данных может требовать предоставить любую информацию, имеющую значение для его деятельности, включая информацию, имеющую значение для принятия решения о том, соответствует ли конкретный случай обработки данных положениям настоящего закона".
[15] Естественно, согласуя это с правом на неприкосновенность жилища.
[16] В норвежском законе N 31 от 14 апреля 2000 года "Об обработке персональных данных" в отношении этого права добавлено: "...невзирая на обязательства по хранению профессиональной тайны". Может ли обязанность по соблюдению, например, врачебной тайны стать поводом для отказа со стороны врача раскрывать персональные данные пациентов Уполномоченному органу по его требованию?
[17] Как это сделано в ст. 38 чешского закона 101 "О защите персональных данных" от 4 апреля 2000 г.
[18] См. напр. п.3h ст.21 румынского закона N 677/2001 "О защите лиц при обработке персональных данных и о свободном обращении таких данных". Интересная формулировка дополняет это правило в финском законе 523/1999 "О персональных данных" от 22 апреля 1999 г.: "Соответствующий орган власти должен предоставлять Уполномоченному по защите данных возможность высказать свое мнение в связи с подготовкой законодательства или административных реформ, относящихся к защите личных прав или свобод при обработке персональных данных".
[19] Примерами могут служить: приватность на рабочих местах (работодатель – работник), приватность в Интернете (владелец информационного ресурса – посетитель).
[20] См. напр. ст.42 финского закона 523/1999 "О персональных данных" от 22 апреля 1999 г.
[21] См. напр. п.3j ст.21 румынского закона N 677/2001 "О защите лиц при обработке персональных данных и о свободном обращении таких данных".
[22] Прошло уже 27 таких конференций.
[23] См. п.1i ст.29 чешского закона 101 "О защите персональных данных" от 4 апреля 2000 г.