Закон Республики Казахстан «О персональных данных и их защите»: как понимать и как применять?

0
347

Закон вводится в действие в ноябре 2013 года, поэтому комментарий носит предварительный характер и будет дополнен по мере принятия подзаконных актов. Так что в ноябре, перед введением в действие этого закона, мы подготовим более расширенный и подробный комментарий для редакций СМИ, журналистов, блоггеров.

  1. 1.    Общие сведения о законе

Закон РК №94-V «О персональных данных и их защите» был принят Парламентом РК, подписан главой государства, официально опубликован 25 мая 2013 года. В соответствии с пунктом 1 статьи 31, закон вводится в действие по истечении шести месяцев после первого его опубликования. Таким образом, закон начнет действовать с 25 ноября 2013 года.

Вместе с Законом РК «О персональных данных и их защите» принят закон, которым вносятся изменения и дополнения в действующие нормативные правовые акты по вопросам оборота персональных данных и их защите. Этот закон – «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам персональных данных и их защите» — вводится в действие в тот же срок, с 25 ноября 2013 года.

  1. 2.    Что такое персональные данные?

Закон устанавливает, что персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Другими словами, под персональными данными понимаются: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее.

Физическое лицо, к которому относятся или принадлежат персональные данные, именуется субъектом персональных данных.  Персональные данные комплектуются в базы, в зависимости от целей их назначения и использования.  Государственные органы, физические и (или) юридические лица, которые на праве собственности владеют, пользуются и распоряжаются базами, содержащими персональные данные, называются собственниками.

Что можно делать с персональными данными? Персональные данные можно собирать и можно обрабатывать, то есть:

—       накапливать;

—       уничтожать;

—       обезличивать;

—       хранить;

—       использовать;

—       изменять и дополнять;

—       блокировать доступ к ним;

—       распространять;

—       передавать третьим лицам.

Кроме этого, базы, содержащие персональные данные, необходимо обеспечивать защитой от несанкционированного взлома или доступа.

Государственный орган, физическое и (или) юридическое лицо, осуществляющее функции по сбору, обработке и защите персональных данных, именуется оператором базы персональных данных.

В отношении субъекта персональных данных, собственника и оператора базы персональных данных законом возлагаются определенные права и обязанности, а также ответственность за нарушение установленных требований.

Но имеет ли отношение все вышесказанное к профессиональной деятельности журналиста и СМИ? И как отразится введение в действие Закона РК «О персональных данных и их защите» на профессиональной деятельности журналиста и СМИ?

  1. 3.    Сбор и обработка персональных данных в профессиональной деятельности журналиста

Профессиональную деятельность журналиста  невозможно представить без использования персональных данных. Персональные данные обрабатываются и используются журналистами постоянно, на любом этапе производства информационного продукта  и для достижения следующих целей:

—   как источники информации;

—   как герои публикаций или сюжетов.

Указание фамилии, имени собеседника в титрах или в газетной публикации – это уже использование  персональных данных. Распространение информации о каком-либо человеке без указания фамилии и имени, но с предоставлением дополнительных персональных данных, которые могут его индентифицировать (например, профессия, место работы или проживания) – это тоже распространение персональных данных.

Персональные данные в журналистских материалах могут использоваться случайным образом, без цели их распространения (например, излюбленный телевизионщиками кадр – паспортные данные, либо удостоверение личности, не имеющий к смыслу сюжета никакого отношения, но содержащий чьи-то персональные данные).

Общее правило, которое установлено Законом РК «О персональных данных и их защите», определяет, что сбор и обработка персональных данных осуществляется собственником и оператором с согласия субъекта или его законного представителя. Согласие субъекта или его законного представителя оформляется письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

 

Но журналисты собирают и используют персональные данные не только для подготовки позитивных материалов,  в отношении которых субъекты с охотой давали бы свое согласие на использование персональных данных.

Сложно представить, чтобы герой коррупционного скандала или герои критических публикаций согласились бы  на использование своих персональных данных и их распространение в СМИ.

Применение общего правила сбора и использования персональных данных только с согласия субъекта сделало бы невозможным осуществление профессиональной деятельности журналиста, особенно когда речь идет о подготовке материалов, имеющих общественный интерес, критических, вскрывающих факты коррупции и других правонарушений и преступлений.

Поэтому закон предусматривает ряд исключений из общего правила, когда сбор и обработка персональных данных могут осуществляться без согласия субъекта или его законного представителя. Поэтому, если сбор и обработка персональных данных производятся для осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельностиполучать согласие субъекта не требуется.

Таким образом:

— журналисты вправе собирать и обрабатывать, в том числе распространять (то есть, публиковать), персональные данные без согласия субъекта, которому они принадлежат, или его законных представителей только при осуществлении своей законной профессиональной деятельности. Под профессиональной деятельностью журналиста (не только журналиста, но и любого представителя средства массовой информации) понимается сбор, обработка и подготовка сообщений и материалов для СМИ на основе трудовых или иных договорных отношений;

— не требуется такого согласия для осуществления научной, литературной или иной творческой деятельности;

— исключение для журналистов и СМИ действует при условии соблюдения требований законодательства РК по обеспечению прав и свобод человека и гражданина.

  1. 4.    Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания

Сбор, хранение, распространение, передача и другие действия с персональными данными для целей предпринимательской (хозяйственной) деятельности редакций СМИ, операторов телерадиовещания применяются в целях:

—       создания базы данных подписчиков и распространения издания по подписке;

—       создания базы распространителей издания в случаях розничного распространения;

—       создания базы данных рекламодателей – физических лиц и индивидуальных предпринимателей и осуществления договорных услуг по размещению рекламы;

—       создания базы данных абонентов кабельного телевидения и осуществления договорных услуг платного ТВ;

—       обработки персональных данных штатных и внештатных сотрудников редакций печатных СМИ, информационных агентств, операторов телерадиовещания и т.д.

Распространение персональных данных  происходит также  в тех случаях, когда государственные исполнительные органы, коммунальные службы и другие организации публикуют в СМИ (на правах рекламы) или на собственных интернет-ресурсах  списки неплательщиков, должников без их согласия, но с указанием персональных данных (так называемая публикация списков неплательщиков или должников).

jigsaw

Shirin Winiger 

Средства массовой информации признаются законом общедоступными источниками персональных данных, то есть доступ к персональным данным в таких источниках свободен и требования по соблюдению конфиденциальности на них не распространяются.

Возникает главный вопрос — является ли собственник или издатель СМИ оператором базы персональных данных? Да, безусловно. В силу этого на  них законом возлагаются дополнительные обязанности по сбору, использованию и защите персональных данных. Какие именно?

Во-первых, утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. Например, для целей создания базы персональных данных подписчиков собственник СМИ издает приказ об утверждении перечня сведений, которые для этого необходимы: фамилия, имя, отчество подписчика, адрес проживания.

Во-вторых, принимать и соблюдать необходимые меры для защиты персональных данных, то есть предотвращать несанкционированный доступ к ним; своевременно обнаруживать факты несанкционированного доступа и минимизировать неблагоприятные последствия, которые могут наступить в этом случае.

В-третьих, принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки.

В-четвертых, реагировать на сообщения субъекта персональных данных, который запрашивает информацию  об имеющихся в распоряжении СМИ своих персональных данных, просит ее изменить или дополнить; просит блокировать доступ к его персональным данным или уничтожить.

Обратите внимание, что закон для выполнения этих обязанностей предусматривает конкретные сроки – от одного до трех рабочих дней. В случае отказа – требуется предоставить заявителю мотивированный ответ с причинами отказа в течение трех рабочих дней.

Требуется или нет получать согласие субъекта персональных данных для достижения целей (создание базы подписчиков, рекламодателей и т.д.), которые изложены выше?

С одной стороны, деятельность по распространение продукции массовой информации относится к законной профессиональной деятельности (не может СМИ издаваться, но не распространяться), поэтому согласие субъекта персональных данных на их сбор и обработку не требуется. С другой стороны, все правоотношения с подписчиками, реализаторами печатных СМИ, рекламодателями, сотрудниками строятся в редакциях, как и в любых других организациях, на основе письменных договоров.

Поэтому довольно легко выполнить часть требований закона РК «О персональных данных» просто включив в соответствующие договоры пункт о согласии второй стороны (физического лица) на сбор и обработку своих персональных данных в целях, указанных в договоре.

Правительством РК в ближайшее время будут изданы постановления об утверждении порядка определения собственником и (или) оператором  перечня персональных данных, необходимого и достаточного для выполнения осуществляемых им задач, а также об утверждении порядка осуществления собственником и (или оператором) мер по защите персональных данных.

Собственники и (или операторы) перечня персональных данных обязаны в течение трех месяцев со дня введения закона в действие, то есть до 25 февраля 2014 года привести свои документы относительно сбора и обработки персональных данных в соответствие с требованиями закона.

Таким образом:

—       СМИ (собственники, издатели, операторы телерадиовещания) являются собственниками и (или) операторами баз персональных данных, в связи с этим на них возлагается ряд обязанностей по защите персональных данных и по соблюдению прав субъекта персональных данных;

—       Закон РК «О персональных данных и их защите» и Закон РК «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам персональных данных и их защите» вводятся в действие с 25 ноября 2013 года. В срок до 25 февраля 2014 года собственники и (или) операторы баз персональных данных должны привести свои документы в соответствие с требованиями Закона РК «О персональных данных и их защите», а также подзаконными актами, которые будут приняты Правительством РК;

—       так как вся деятельность редакций СМИ по формированию баз подписчиков, рекламодателей, реализаторов, штатных и внештатных сотрудников осуществляется на основе письменных договоров, предлагается в качестве дополнительного пункта включать в каждый договор пункт о согласии второй стороны договора на сбор и обработку (включая передачу третьим лицам – в случае подписки) своих персональных данных для достижения целей, указанных в договоре.

  1. 5.    Ответственность

Законом РК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защите» внесены изменения в Гражданский Кодекс, Уголовный Кодекс, Кодекс РК об административных правонарушениях и ряд других законов и кодексов.

Таким образом, предусматривается гражданско-правовая ответственность (субъект персональных данных вправе требовать защиты своих прав и законных интересов, а также требовать возмещения морального и материального вреда), административная (за нарушение требований законодательства о персональных данных в виде штрафов) и уголовная ответственность (за нарушение неприкосновенности частной жизни и законодательства РК о персональных данных и их защите).

Любой закон является ограничением прав и свобод. Закон РК «О персональных данных и их защите» был принят для защиты права на неприкосновенность частной жизни и персональных данных и понятно, что защищая права и законные интересы одних субъектов, он будет налагать дополнительные обязательства и ответственность за их несоблюдение на других лиц.

В отношении журналистов и СМИ, учитывая специфику их деятельности, нормы данного закона могут использоваться двояко.

Во-первых, герои газетных публикаций и телевизионных сюжетов, понимая и осознавая свой изменившийся статус, могут приобщать иски о нарушении права на персональные данные к уже привычным для журналистов и СМИ искам о защите чести, достоинства и деловой репутации, компенсации морального вреда.

Пока неизвестно, насколько часто будут предъявляться такие требования и как будет складываться судебная практика по таким делам.  Можно сослаться на российский опыт, где в судебном порядке пытались оспорить публикацию персональных данных в информации РИА-Новости.

Суд признала распространение фамилии и имени истца в новостном материале РИА-Новости законным, исковые требования оставлены без удовлетворения.

Во-вторых, безусловно, возможность административного воздействия на СМИ и контроль за соблюдением выполнения требований Закона РК «О персональных данных и их защите» даст возможность государственному уполномоченному органу  осуществлять мониторинг контента СМИ, реагировать на жалобы субъектов персональных данных, возбуждать административные дела в отношении СМИ по фактам несоблюдения или нарушения установленных требований.

Можно ли расценить это как рычаг воздействия на СМИ? Безусловно, да, поскольку вновь принятый закон просто дополняет уже и без того жесткое законодательство РК в отношении СМИ.

У нас есть законы «О СМИ», «О телерадиовещании», довольно ограничительные нормы в Гражданском, Уголовном кодексах, а также Кодексе об административных правонарушениях, которые может быть и не применяются ко всем и всегда, но действуют точечно и избирательно в отношении СМИ, распространение которого нежелательно по тем или иным причинам в тот или иной момент нашей политической истории.

Можно предположить, что также будет действовать Закон РК «О персональных данных и их защите». В некоторых случаях нарушения требований по сбору и обработке персональных данных уполномоченный государственный орган  будет не замечать, на некоторые – реагировать предупреждением, в исключительных случаях – штрафами и конфискацией редакционной техники.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь