«Маєте базу даних? Ми вже йдемо до вас!»
Закон «Про захист персональних даних», що набув чинності 1 січня 2011 року, був неоднозначно потрактований журналістським та експертним середовищем. Одні вбачають у ньому обмеження законних прав громадян та загрозу для журналістів, інші, навпаки, сподіваються від нього захисту порушених прав. Різняться й думки юристів, зокрема щодо загроз, які несуть у собі норми про обов'язкову реєстрацію всіх баз даних. З огляду на те, що бази контактів є чи не в кожної редакції і в багатьох незалежних журналістів, це питання неабияк бентежить колег. Аби розібратись із нюансами нового закону, «Детектор медіа» запросила до дискусії в чаті юристів Романа Головенка (Інститут масової інформації), Оксани Нестеренко (Харківська правозахисна група), Андрія Нечипоренка (Адвокатська компанія «Наталія Субота і партнери») та Тараса Шевченка (Інститут медіа права). Наводимо повний текст чату.
- Колеги, для початку дайте, будь ласка, загальну оцінку закону.
Оксана Нестеренко: Доброго дня, шановні колеги. Я переконана, що Закон «Про захист персональних даних» потрібен, адже саме він у сучасному світі є гарантією захисту автономності та свободи особи. Проте аналіз Закону України «Про захист персональних даних» дозволяє стверджувати, що він не створює механізму захисту вразливих персональних даних про особу та містить норми, що закладають можливість неоднозначного його застосування та порушення свободи інформації.
- Оксано, як ви вважаєте, чи нещодавній міліцейський рейд на ринку «Петрівка» з вилученням компакт-дисків якимось чином пов'язаний із цим законом? Міліція обґрунтовувала свої жорсткі дії саме тим, що на ринку продаються диски з незаконними базами даних.
Оксана Нестеренко: Боротьба з незаконним розповсюдженням баз персональних даних є потрібною справою. Проте важливо, щоб правоохоронні органи діяли в межах, відповідно й у спосіб, передбачений законодавством, тобто ті, хто здійснювали перевірку, повинні були мати на це відповідні документи і повноваження. Це є важливою гарантією від зловживань.
Роман Головенко: Вітаю всіх старих знайомих і читачів «Детектор медіа»! Як на мене, цей Закон мав би стосуватися захисту персональних даних у базах даних. Загалом, його під цю мету начебто й виписано, але в ньому чітко на це не вказано, що може призвести до його трактування як закону про захист приватності взагалі. Але захист приватності й так уже передбачено ст. 8 Конвенції про захист прав людини й основоположних свобод, є практика Євросуду по цій статті, і взагалі таке широке питання одним законом не охопиш.
Андрій Нечипоренко: Усім доброго дня! Закон, який ми зараз будемо обговорювати і який спричинив чимало нарікань, покликаний урегулювати трохи інші види діяльності, аніж журналістика. Детальніше про це - далі.
Ярослава Шумик: У кожному законі завжди є місце для того, щоби його обійти. Хто і як може обійти «Закон про захист персональних даних»?
Андрій Нечипоренко: Наразі обійти закон для бізнесу доволі просто - законодавство не містить санкцій за його невиконання. Що стосується журналістів, то він мало зачіпає цю сферу, оскільки права та обов'язки журналістів доволі детально врегульовано іншими законами. Але як і для бізнесу, за відсутності відповідальності ніяких санкцій не буде. Поки що.
- В законі написано, що на ЗМІ він не поширюється. А як щодо громадянських журналістів, блогерів? Чи вони повинні отримувати дозвіл від людини, перш ніж назвати її на ім'я-прізвище в своєму блозі чи твіттері?
Андрій Нечипоренко: Головна мета закону - зібрати інформацію про всі бази даних, які існують в Україні, для того, щоб (1) мати можливість отримати будь-яку необхідну інформацію з тієї чи іншої бази даних і (2) мати додаткову можливість і підставу для притягнення власників баз даних (а йдеться насамперед про бізнес) до відповідальності. Разом із тим, недосконалість визначень та формулювань цього закону призводить до купи запитань на зразок необхідності отримувати дозвіл на поширення імені та прізвища.
Роман Головенко: За Цивільним кодексом, кожен має право використовувати ім'я людини без її згоди для висвітлення діяльності цієї людини або діяльності організації, в якій та працює. І Закон цієї норми не скасовує.
Оксана Нестеренко: Мені здається, що виходячи зі свої мети, закон, узагалі-то, не повинен регулювати питання поширення інформації про персональні данні, зокрема прізвища окремої особи.
Роман Головенко: Закон не поширюється на діяльність журналіста, пов'язану з обробкою персональних даних у базі даних. А якщо в журналіста нема бази даних і є лише окремі фрагменти, але це теж персональні дані за Законом, - можуть виникати питання. Але, думаю, практику застосування Закону необхідно спрямовувати в таке русло, що він не поширюється на відносини щодо персональних даних поза базами даних.
ТК: Дайте поради журналістам у зв'язку з ухваленням цього закону. На що нам варто звернути увагу, щоб нас не посадили?
Роман Головенко: При подачі фактів дуже бажано посилатися на джерела або хоча б мати підтвердження того чи іншого факту, наведеного в матеріалі. Оцінні судження чітко відокремлювати від фактів. Санкції із прийняттям цього Закону не змінилися: як була 182-га стаття Кримінального кодексу (порушення недоторканності приватного життя), так і залишилася.
Оксана Нестеренко: Я переконана, що цей Закон регулює саме відносини, пов'язані із захистом персональних даних під час їх обробки, й оскільки дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах (ст. 1 «Сфера дії Закону»), журналісти в правовому сенсі цілком захищені.
Роман Головенко: Закон швидше матиме стосунок до великих ЗМІ, які ведуть бази даних клієнтів, своїх працівників, учасників телерадіопередач, шоу і т. п.
Андрій Нечипоренко: Журналістів цей закон може стосуватися, наприклад, у ситуації, коли при підготовці певного матеріалу журналіст отримує з певних баз даних (у т. ч. бази МВС, ДАІ тощо) інформацію про певну особу.
Журналісту доцільно мати докази, що інформацію отримано не з певної бази даних, а з інших джерел. Цього буде достатньо для відсутності претензій щодо порушення цього закону. Разом із тим, ніхто не відміняв норми інших законів, які забороняють поширення конфіденційної інформації про особу, якщо тільки така інформація не є суспільно важливою.
ТК: З яких, приміром, інших джерел?
Андрій Нечипоренко: Такими джерелами може бути, наприклад, інформація, отримана від фізичних осіб. Бажано при цьому, звісно, не видавати осіб, від яких стало відомо про таку інформацію.
Що стосується санкцій і цілей цього закону, то я би рекомендував звернути увагу на проект закону «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних», який надійшов до Верховної Ради. Так от, цим законопроектом планується встановити відповідальність за нереєстрацію бази даних, за роботу з незареєстрованими базами даних, за незабезпечення захисту інформації, за неповідомлення про внесення змін про володільця бази даних та інше загалом від 500 до 2000 неоподатковуваних мінімумів, тобто від 8500 до 34000 гривень. Ці санкції розраховані, в першу чергу, на бізнес: на страхові компанії, банки, таксі, операторів мобільного зв'язку та багатьох інших.
Тарас Шевченко: Привіт! Я теж онлайн. Спочатку декілька слів про мету законодавства у галузі захисту персональних даних. Захист персональних даних слід відрізняти від захисту приватності (до речі, Закон про інформацію, та й Конституційний суд у рішення по справі Устименка ці поняття змішують). Приватність захищено в контексті поширення конфіденційної інформації або інформації про приватне життя. Відповідно, ніхто не може поширювати таку інформацію за окремими винятками. Захист персональних даних виник виходячи з того, що в сучасному світі почала створюватися велика кількість баз даних, де накопичувалися великі масиви даних про осіб. Законодавці прийшли до висновку, що стосовно обробки даних про особу в автоматизованих даних або картотеках необхідно особі надати додатковий захист, який не покривається поняттям права на приватність.
ТК: А якщо, наприклад, журналіст опублікує почуту на сесії районної ради інформацію про те, що такі-от громадяни отримали земельні ділянки, а ті громадяни подадуть на нього в суд, що вони не давали згоди на те, щоб він про них писав у газеті?
Андрій Нечипоренко: Відповідно до Закону України «Про місцеве самоврядування в Україні», стаття 46, частина 16: сесії ради проводяться гласно. За таких обставин це не має жодного відношення до захисту персональних даних. Більше того, інформацію на сесії може почути навіть не журналіст, а інші присутні на сесії ради, які й можуть передати таку інформацію журналісту. Окрім того, таку інформацію можна отримати з документів, які приймаються на сесії.
Шевченко Тарас: Якщо інформацію взято з сесії, це не порушує Закону про захист персональних даних. Приклади порушень: ЖЕК передає інформацію про осіб, які проживають у будинку, виборчому штабу для листівок або - ще гірше - підписних листів разом із паспортними даними. Або віддає цю інформацію фірмі, яка шле іменну рекламу. Так от, з точки зору захисту приватності місце проживання особи навряд чи є закритою конфіденційною інформацією. Але з точки зору захисту персональних даних із баз даних та картотек - ЖЕК не мав права поширювати цю інформацію, бо це не відповідає меті, з якою він її отримав. Ось у цьому різниця в двох режимах.
Роман Головенко: Якщо не зводити все до сесії ради, то за щойно прийнятим Законом «Про доступ до інформації» не може бути таємною інформація про отримання кимось комунального майна. Крім того, отримання ділянки можна трактувати як діяльності особи, а повідомлення про неї, як я раніше зазначав, за ЦК не вимагає згоди на використання імені.
ТК: А чи може ЖЕК передавати списки боржників ЗМІ, або клеїти їх на під'їздах, або роздавати депутатам, щоб ті проводили профілактичні бесіди?
Тарас Шевченко: Ні, не може. Теоретично можу допустити один виняток - якщо громадянин дав згоду на таке поширення при підписанні договору з ЖЕКом або в інший момент.
Також хочу звернути увагу - вище був коментар чи питання стосовно того, що для ЗМІ в законі виняток. Це некоректно - виняток для журналістів, а не ЗМІ. Якщо ЗМІ створює картотеку матеріалів про політиків, наприклад, - це буде база даних, яка підлягає за цим законом реєстрації.
ТК: А якщо це особиста база даних журналіста?
Тарас Шевченко: Якщо особиста - питань немає. Але не завжди вам вдасться переконати, що це особиста база журналіста. Якщо вона заповнюється 20 років, а працівники в середньому працюють 5 років.
- Тобто якщо в ЗМІ є база контактів (телефонів), її теж треба реєструвати?
Роман Головенко: Треба, але якщо тільки в ЗМІ, а не в журналіста.
Тарас Шевченко: Закон не дозволяє однозначно оцінити, чи список телефонів та імен є базою даних. На нашу думку, ні, щонайменше допоки його не створено у формі картотеки або спеціальної програми, створеної в форматі баз даних. Тобто якщо це список у мобільному телефоні - не думаю, що це буде тлумачитися як база даних. Більш загрозливі речі стосуються реєстрації баз даних, права доступу перевіряльників до приміщень у будь-який час на підставі, коли в реєстрації будуть відмовляти.
- А якщо на комп'ютері? На сервері? Вже база? Де і як її реєструвати, як довести, що інформацію отримано законним шляхом?
Тарас Шевченко: Я не великий спеціаліст у комп'ютерах, але я знаю, що є програми для створення баз даних. Може, хтось підкаже? Просто розміщення файлів у комп'ютері або на сервері - це не база даних
Роман Головенко: Юридичним особам краще не зберігати баз даних телефонних номерів на комп'ютері. Щодо мобільних телефонів, то з практичної точки зору уповноваженому органу з питань захисту ПД буде нереально важко реєструвати телефонні книги всіх корпоративних мобільних телефонів :).
- Але ж закон передбачає, що база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Телефонна книга в мобільному телефоні і є такою картотекою.
Тарас Шевченко: Ні, картотеки - це паперові носії. Наприклад, картотека абонентів у бібліотеці або медкарток у лікарні. Термін «база даних» визначено ще й в авторському законодавстві - бази даних підлягають захисту або авторським правом, або за sui generis. Список телефонів на мобільному, за авторським правом, не буде захищеним і, відповідно, базою даних не вважатиметься.
Андрій Нечипоренко: Ну, я би з цим не погодився. База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі... Якщо є три файли з даними про трьох осіб, можна говорити, що за законом це є база персональних даних.
Тарас Шевченко: Я з Андрієм погоджуся в тому, що він каже про ризики найгіршого прочитання закону контролюючим органом. Тут він правий: закон можна прочитати як завгодно. Моя думка: це ідеї для юристів, як можна збалансовано розуміти і застосовувати закон, і які аргументи можна наводити контролюючим органам, коли вони будуть зариватися. Тобто я вважаю, що юристи мають напрацювати, як слід розуміти закон, і переконувати в цьому владу, а не підказувати владі ідею, що журналіста можна притягнути до відповідальності за те, що він поширив інформацію про особу, взагалі навіть не взяту з баз даних, як це зробили правозахисники.
Думаю, потрібен коментар технарів щодо того, що таке «іменована сукупність упорядкованих персональних даних».
На мою думку, база даних має бути не просто зібранням персональних даних - її має бути спеціальним чином розміщено за допомогою програмних засобів, які дозволяють пошук і структурування за певними критеріями. Причому не просто функцією пошуку на комп'ютері, а саме спеціальними програмами і розміщенням.
Тобто, для створення бази даних має бути процес присвоєння імен чи тегів певній інформації, щоб у майбутньому програма їх могла шукати. Створення картотеки означає, що у вас іменний покажчик у папках і ви туди методично вносите інформацію про певну особу. Наприклад, у вас картотека фотокарток улюблених співаків - якщо це особиста, не реєструєте, але якщо би таке робила фірма - треба реєструвати
- Як бути щодо новинних сайтів, форумів? Зазвичай там збирається інформація про особу.
Андрій Нечипоренко: Бази даних, складені із загальнодоступних джерел (новинні сайти, форуми тощо), за цим законом повинні підлягати реєстрації (якщо вони, звісно, не належать журналісту). При цьому, згідно зі статтею 12 Закону, в такому випадку не потрібно повідомляти особу, що про неї зібрану певну інформацію з відкритих джерел.
- Ми говоримо не про відкриті джерела, а про те, що певна особа реєструє себе на певному ресурсі, при цьому довести наявність згоди цієї особи можна лише в тому випадку, якщо вона проходить авторизацію через електронну пошту.
Андрій Нечипоренко: Якщо ви зайшли на сайт або на форум, і на цей ресурс можуть зайти й інші, ресурс є загальнодоступним.
- Сайт - так, але база не є публічною.
Роман Головенко: Оскільки людина не проходить авторизацію, тоді її не можна чітко ідентифікувати, а раз не можна ідентифікувати, то це вже не персональні дані.
Андрій Нечипоренко: Надання інформації з бази даних можливе за наявності згоди суб'єкта персональних даних або з інших підстав, передбачених законом. Якщо інформація про особу відкрита, то довести, що її взято з певної бази даних чи із загальнодоступних джерел, майже неможливо.
Тарас Шевченко: Це ще одна практична проблема - бази, які роблять із відкритих джерел. Наприклад, «Хто є хто в Україні». Закон передбачає, що без дозволу можна брати і вносити до бази інформацію про особу з подальшим повідомленням про це її. Але ми не знайшли - може, колеги бачили - права поширювати таку інформацію власником бази без згоди особи. Це реальна проблема, бо нелогічно, якщо ти робив відкриту базу з загальнодоступної інформації і не можеш її поширювати. Особливо в контексті тих організацій, які ці бази вже створили.
- А як бути з коментарями щодо баз у телефоні, якщо телефон використовується і для особистих непрофесійних потреб, і по роботі?
Андрій Нечипоренко: Про те, що деякі номери телефонів використовуються для роботи, а деякі - ні, доцільно знати тільки вам.
ТК: А якщо база телефонів і мейлів у сайту, який згідно з законом не є ЗМІ? Її треба реєструвати чи просто назвати іменем якогось журналіста?
Тарас Шевченко: Уточніть питання. І яке значення має, що сайт не є ЗМІ, якщо ми прийшли до висновку, що на ЗМІ закон поширюється так само, як на інші підприємства?
ТК: Уточнюю: А якщо база телефонів і мейлів у сайту? Її треба реєструвати чи просто назвати іменем якогось журналіста?
Роман Головенко: Сайти почасти теж реєструють на фізичних осіб :).
Андрій Нечипоренко: Сайт формально не вважається ЗМІ. Тому база може належати або юридичній особі, яка здійснює адміністрування сайту, або певній особі. Якщо така база формально належатиме журналісту, реєструвати її не потрібно. А що стосується того, що журналіст працює менше, аніж ЗМІ, сайт, чи юрособа, то ніхто ж не заважає журналісту при звільненні передати цю базу іншому журналісту для подальшого її ведення.
Роман Головенко: Думаю, якщо вже конче треба створювати базу даних, то краще заносити в неї дані не про фізичну особу, а про юридичну (закон стосується тільки персональних даних фізосіб). Наприклад, номер телефону головного редактора такої-то газети, а як його ім'я і по батькові - тримайте в пам'яті або можна брати з доступних джерел.
ТК: Тобто журналісти можуть собі працювати як і працювали і нічого не боятися?
Роман Головенко: Треба бути уважнішим при поширенні конфіденційної інформації. Хоча право на приватність і сфера регулювання цього Закону, як ми вже з'ясували, не є тотожними, але хибне його трактування і ажіотаж із прийняттям Закону можуть призвести до концентрації уваги на фактах дотримання/недотримання журналістами права на приватність.
Роман Головенко: Дякую за запрошення до чату. До побачення!
Тарас Шевченко: Наостанок хочу сказати, що Інститут медіа права планує в лютому спільно з європейськими партнерами провести захід на цю тему.
Також звертаю увагу, що протягом першого півріччя Кабмін має затвердити підзаконні акти, і від їхнього змісту багато чого буде залежати. Уважно стежте :). Дякую за бесіду. До побачення!
Андрій Нечипоренко: Як підсумок. Закон є недосконалим, особливо в частині основних термінів. Подібний закон потрібен для захисту персональних даних, які збираються іншими особами, про що ми часто самі можемо навіть не підозрювати. Разом із тим, його недосконалі положення може бути використано на шкоду як бізнесу, так і журналісту, кожній людині. Окремі положення закону потребують перегляду і доопрацювання, щоби потім не довелося говорити про неправильну практику його застосування. Усім дякую за розмову!