Защита персональных данных: опыт правового регулирования (окончание)

Автор: Сергей ОВСЕЙКО, кандидат юридических наук.

Специальные требования к использованию персональных данных граждан содержатся в ряде отраслей белорусского законодательства.

Налоговая инспекция имеет право знать…

 Согласно п. 1.51 ст. 81 Налогового кодекса Республики Беларусь налоговые органы и их должностные лица в пределах своей компетенции имеют право:

- получать сведения из информационных систем, содержащих персональные данные, и иметь доступ, в том числе удаленный, к информационным системам, содержащим такие данные, по письменному запросу или на основании соглашения о представлении персональных данных;

- представлять государственным органам и организациям такие данные в целях погашения задолженности по пеням, административным взысканиям в соответствии с законодательными актами.

Аналогичная норма содержится и в Положении о Министерстве по налогам и сборам Республики Беларусь, которое утверждено постановлением Совета Министров Республики Беларусь от 31.10.2001 № 1592. Аналогичные права согласно законодательству имеют и инспекции МНС.

 … и таможня тоже

 Согласно ст. 300 Таможенного кодекса Республики Беларусь в целях проведения таможенного контроля и взимания таможенных платежей таможенные органы вправе накапливать информацию, включающую сведения о персональных данных физических лиц (фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, если имеется учетный номер плательщика налогов, сборов (пошлин)), а также о частоте перемещения ими товаров через таможенную границу. Аналогичное право таможенных органов предусмотрено ст. 106 Таможенного кодекса Таможенного союза.

А вот Соглашение между Правительством Республики Беларусь и Правительством Финляндской Республики о сотрудничестве и взаимной помощи в таможенных делах, заключенное 18.12.2009, содержит в качестве приложения Основные принципы защиты данных, а также другие нормы о персональных данных. Причем они отличаются весьма развернутым характером и воспроизводят законодательство Европейского Союза в данной сфере.

Сеть Интернет и электросвязь

 Согласно Указу Президента Республики Беларусь от 01.02.2010 № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет» собственники пунктов коллективного пользования интернет-услугами либо уполномоченные ими лица осуществляют идентификацию пользователей интернет-услуг в пунктах коллективного пользования интернет-услугами, учет и хранение персональных данных пользователей интернет-услуг, а также сведений об интернет-услугах, оказанных пунктами коллективного пользования интернет-услугами. Причем хранение таких сведений осуществляется в течение 1 года со дня оказания интернет-услуг.

Сведения об абонентских устройствах, персональные данные пользователей интернет-услуг в пунктах коллективного пользования интернет-услугами, а также сведения об оказанных интернет-услугах представляются поставщиками интернет-услуг, собственниками пунктов коллективного пользования интернет-услугами либо уполномоченными ими лицами по требованию органов, осуществляющих оперативно-розыскную деятельность, органов прокуратуры и предварительного расследования, органов КГК, налоговых органов, судов в порядке, установленном законодательными актами.

В соответствии с Положением о порядке работы компьютерных клубов и интернет-кафе, утвержденном постановлением Совета Министров Республики Беларусь от 10.02.2007 № 175, оказание услуг передачи данных или телематических услуг посетителю осуществляется после идентификации личности посетителя, которая производится по предъявляемому им документу, удостоверяющему личность, либо с использованием иных средств, позволяющих однозначно идентифицировать личность посетителя (именная клубная карта, карта доступа и т.п.). При оказании пользователям услуг передачи данных и телематических услуг в компьютерном клубе или интернет-кафе руководитель или уполномоченное им лицо обеспечивают ведение, учет и хранение:

  • персональных данных пользователей услуг передачи данных и телематических услуг (имя, отчество, фамилия, вид и номер документа, удостоверяющего личность, наименование органа, его выдавшего);
  • сведений о времени начала и окончания оказания услуг передачи данных и телематических услуг, предоставленной в пользование вычислительной техники;
  • электронного журнала, куда включаются идентификационные сведения об абонентских устройствах (МАС-адрес, внутренние и внешние IP-адреса), дате, времени и доменных именах или IP-адресах интернет-ресурсов, с которыми пользователь осуществил соединение.

При этом хранение сведений, указанных выше, осуществляется руководителем компьютерного клуба или интернет-кафе или уполномоченным им лицом в течение 1 года со дня оказания услуги. Руководитель компьютерного клуба или интернет-кафе или уполномоченное им лицо обязаны принимать меры по защите данных сведений от разглашения,  утраты или модификации.

Аналогичные правила доступа предусмотрены и Правилами оказания услуг электросвязи, утвержденными постановлением Совета Министров Республики Беларусь от 17.08.2006 № 1055.

Законодательство об игорном бизнесе

 Положение о порядке содержания тотализатора, утвержденное постановлением Совета Министров Республики Беларусь от 18.02.2011 № 211, предусматривает, что порядок проведения игр тотализатора посредством сети Интернет определяется правилами организации и проведения игр тотализатора. В таком случае прием и регистрация ставок осуществляются при условии обязательной идентификации участника игры тотализатора на предмет недопущения участия в игре лиц, не достигших 18-летнего возраста. Для заключения пари посредством сети Интернет участник игры тотализатора регистрируется на интернет-сайте юридического лица с указанием своих персональных данных, в том числе фамилии, собственного имени, отчества, данных документа, удостоверяющего личность, и даты рождения.

Аналогичная процедура установлена законодательством и для букмекерских контор.

Ответственность

Ответственность в данной сфере может быть административной либо уголовной[1]. При этом на сегодняшний день нет специальных составов за незаконное распространение и использование персональных данных. Соответствующие незаконные деяния могут охватываться общими составами, такими как:

1)      административная ответственность. Статья 22.6 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) устанавливает ответственность за несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты, — в виде штрафа в размере от 20 до 50 базовых величин. Кроме того, ст. 22.7 КоАП предусматривает целый ряд составов административных правонарушений за нарушение правил защиты информации;

2)      уголовная ответственность. Уголовным кодексом Республики Беларусь установлена уголовная ответственность за:

  • незаконные собирание либо распространение информации о частной жизни (ст. 179);
  • хищение путем использования компьютерной техники (ст. 212);
  • несанкционированный доступ к компьютерной информации (ст. 349);
  • неправомерное завладение компьютерной информацией (ст. 352).

Зарубежное и международное законодательство

Образцом для дальнейшего совершенствования национального законодательства в данной сфере является Модельный закон «О персональных данных», принятый Межпарламентской Ассамблеей государств-участников СНГ 16.10.1999. Персональные данные в нем понимаются несколько шире, чем в белорусском законодательстве, а именно как «информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие». Приведем основные положения Модельного закона:

  • режим конфиденциальности персональных данных, который должны соблюдать как сами держатели, так и их работники;
  • персональные данные могут включаться в базы данных только с письменного согласия субъекта;
  • ограниченные целью сроки хранения персональных данных;
  • лицензирование действий с персональными данными, регистрация баз данных, сертификация информационных систем обработки персональных данных;
  • субъект должен иметь право доступа к персональным данным о себе, кроме случаев, относящихся к (а) государственной тайне и (б) оперативно-розыскной деятельности;
  • передача персональных данных от одного держателя другому может осуществляться только с согласия субъекта или на основании закона;
  • в случае недостоверности или неправомерности субъект вправе требовать блокирования держателем персональных данных.

Значительной степени развития достигло законодательство о защите персональных данных стран Евросоюза. Конвенция Совета Европы «О защите физических лиц в отношении автоматизированной обработки персональных данных», принятая 28.01.1981 в Страсбурге, определяет, что персональные данные, выявляющие расовую принадлежность, политические взгляды, религиозные и иные убеждения, а также персональные данные, касающиеся здоровья или половой жизни, не могут обрабатываться автоматически (что включает хранение, проведение логических и/или арифметических операций с такими данными, их изменение, стирание, восстановление или распространение с использованием автоматизированных систем), если только национальное право не предусматривает надлежащие гарантии. Аналогичное правило применяется и к персональным данным, касающимся приговоров по уголовным делам. Согласно ст. 8 Конвенции любому лицу должно быть предоставлено право определять наличие автоматизированных файлов персональных данных, основные их цели; получать подтверждение их существования; добиваться изменения или стирания персональных данных, если они обрабатывались с нарушением национального права, и т.п.

Директива Евросоюза 95/46/ЕС от 24.10.1995 о защите физических лиц в отношении обработки персональных данных и свободном движении таких данных уже значительно расширяет и детализирует понятие «персональных данных», включая в его указание на номер или один или более факторов, присущих физической, физиологической, умственной, экономической, культурной или социальной идентичности. Данная Директива в значительной мере воспроизводит положения ст. 6 Конвенции, добавляя при этом, что автоматизированная обработка персональных данных допускается, если:

а) субъект дает свое прямое согласие на такую обработку;

б) обработка необходима для целей трудового законодательства;

в) обработка необходима с целью защиты интересов субъекта, который не способен дать свое согласие;

г) обработка осуществляется в ходе правомерной деятельности с надлежащими гарантиями фонда, ассоциации или иной некоммерческой организации с политическими, философскими, религиозными или профсоюзными задачами, если она касается только членов этой организации;

д) обработка требуется в медицинских целях.

В любом случае персональные данные могут обрабатываться автоматически, если только:

  • субъект недвусмысленно дал свое согласие на это;
  • обработка необходима с целью исполнения договора, стороной которого является субъект, или для защиты его жизненных интересов;
  • обработка необходима для соблюдения правового обязательства, сторона которого контролер, либо для решения им задач в государственных интересах.

Контролер (то есть юридическое либо физическое лицо, определяющее цели и средства обработки данных) обязан предоставить субъекту информацию о себе, целях обработки, получателях, обязательном либо факультативном характере ответа на вопросы; наличии права доступа и изменения.

Директива 2002/58/ЕС от 12.07.2002, касающаяся обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций, сменившая близкую ей по содержанию Директиву 97/66/ЕС от 15.12.1997, дополняет Директиву 95/46/ЕС и посвящена услугам цифровой связи и электронной почты («применяется к обработке персональных данных в связи с оказанием общедоступных услуг электронных коммуникаций по сетям общего пользования»). Однако она не применяется к вопросам обороны, безопасности и уголовного права. Согласно ст. 5 этого документа государства-участники обеспечивают конфиденциальность коммуникаций, включая запрет прослушивания, перехвата, хранения и т.п. без согласия заинтересованных лиц, кроме случаев, когда это разрешено для общественной безопасности. Но разрешается запись сообщений в целях обеспечения доказательств коммерческой сделки или другого делового общения. Данные трафика, обрабатываемые в целях определения вызова и хранимые провайдером, должны уничтожаться или делаться анонимными после завершения вызова, кроме случаев:

  • в целях выставления счета (до конца срока, в течение которого счет может быть оспорен или взыскан);
  • в целях маркетинга собственных телекоммуникационных услуг (с согласия абонента);
  • действия провайдеров по управлению биллингом и трафиком, запросами клиентов, выявлением мошенничества и т.п.

Закреплено право абонентов получать постатейно не детализированные счета. Допускается скрывать номер исходящих звонков, причем эта опция для абонента должна быть бесплатна. Но при этом должны иметься процедуры, позволяющие идентифицировать скрытые звонки в случаях:

а) когда абонент просит об этом для слежения за злонамеренными или досаждающими звонками;

б) звонков в чрезвычайных ситуациях (правонарушения, пожарные, скорая помощь) (ст.10).

Функция автоматической переадресации также должна быть бесплатной.

Данные о местонахождении абонента (в случае технической возможности определения) могут обрабатываться, только если они делаются анонимными или с согласия абонентов с целью оказания дополнительных услуг. Справочники абонентов должны быть ограничены данными, необходимыми для идентификации абонента, если только абонент не дал согласию на публикацию дополнительных персональных данных. Абонент должен иметь право по своему запросу и, как правило, бесплатно, не быть включенным в справочник. Использование автоматических вызывающих систем без человеческого вмешательства или факсов в целях прямого маркетинга допускается только с предварительного согласия абонентов.

Среди национальных законодательств зарубежных стран своим объемом (72 статьи + 3 приложения) выделяется канадский Закон от 13.04.2000 «О защите персональной информации и электронных документах». Он применяется в отношении персональной информации:

а) которую организация собирает, использует или раскрывает в ходе коммерческой деятельности;

б) которая находится у служащего организации и которую организация раскрывает в связи с выполнением работы или бизнеса.

Однако данный Закон не применяется:

  • к правительственным учреждениям;
  • физическим лицам в личных целях;
  • информации в журналистских, артистических или литературных целях.

Сбор персональной информации без согласия лица возможен, если:

  • осуществляется в интересах самого этого физического лица и согласие не может быть получено своевременно;
  • сбор для целей расследования нарушения соглашения или законодательства;
  • в журналистских, артистических или литературных целях;
  • информация публично доступна и определена инструктивными актами.

В остальных случаях сбор информации, как правило, требует согласия такого лица.



[1] Нельзя исключать и возможность гражданско-правовой (деликтной) ответственности в форме возмещения вреда согласно ст. 933 и след. ГК, однако, доказывание ущерба и причинно-следственной связи между ним и незаконными действиями держателя весьма проблематично.

"Личный юрист". № 10/2011