Аналитический доклад Института эффективной политики. Персональные данные и их защита

                        В законотворчестве стало модным, со ссылкой на какую-то директиву ЕС, проталкивать свой, местный порядок, и часто с так называемым молдавским коэффициентом.             Меня лично все это всегда смущает и начинаю искать истинную причину, особенно когда дается ссылка на директиву не первой свежести. Ведь вряд ли клерки Евросоюза на протяжении, скажем 10 лет, оставляют без изменений и дополнений ранее принятые свои директивы. Иначе, зачем им все это время платили не малую заработную плату из налогов европейцев.             В качестве одного из примеров проанализируем, каким образом наш Парламент принимал законодательную базу по обеспечению защиты прав и свобод личности при обработке ее персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.             С чего начинали             4 мая 1998г. мы подписали Директиву ЕС №108 от 20.01.1981г. о защите граждан в отношении автоматизированной обработки личных данных. К тому времени в ЕС были только 12 стран, которые в 1979 году только избрали свой первый Европарламент.             2 июля 1999г. наш Парламент ратифицировал подписанную директиву. Затем только в 2007 году приняли свой закон о защите персональных данных, после чего с 1 июня 2008г. соответствующая Директива вступила в полную силу для Молдовы. Одновременно, 10 июля 2008г. был принят Закон, которым утвердили Положение о Национальном центре по защите персональных данных, структуры, предельной численности и порядка финансирования Национального центра по защите персональных данных. Центр - как обязательный атрибут к ратифицированной директиве. Правительству было дано указание - открыть финансирование Центра, начиная с 01.01.2009г.             Чтобы завершить процесс законотворчества, добавлю, что в 2011 году был принят новый Закон о защите персональных данных. В Законе от 2007г. было сказано, что его целью является обеспечение защиты прав и свобод личности при обработке ее персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В новом Законепонятие частной жизни заменено нанеприкосновенность интимной жизни. А ведь личная или интимная жизнь понятия, которые отличительны. Следующим моментом является само понятие персональные данные. В первом законе это – данные о физическом лице, позволяющие прямо или косвенно идентифицировать его. И все! В новом законе – идентифицируемым лицом является лицо, которое может быть идентифицировано по одному или несколько факторов и данных, специфичных для его физической, физиологической, психической, генетической, биометрической, экономической, культурной или социальной идентичности.             Все это выдумки наших творцов, так как в самой Директиве, в ст.2, понятие персональные данные это любая информация об идентифицируемом физическом лице. Почти все так, как было сказано в первом законе.             В Директиве, в разделе основные принципы обработки данных, сказано, что информация о расовой принадлежности, о политических взглядах, религиозные и другие убеждения, а также персональные данные о здоровье или сексуальной (то есть интимной) жизни могут быть автоматически обработаны только в том случае если внутренние права предусматривают необходимые гарантии. Эти же правила распространяются и на персональные данные о судимости. Всего этого в нашем отечественном законодательстве нет, хотя в Законе о защите персональных данных их включили в обрабатываемых Центром перечне данных.             В Директиве, в разделе дополнительные гарантии, также сказано, что любой человек имеет право и возможность знать о наличие заведенном Центром на него дело и месте его нахождения. Каждый человек вправе получать в разумных сроках, без задержки и бесплатно полную вразумительную информацию о нем. А в случае необходимости быть гарантированным, что неточную или неверную информацию откорректируют. Исключения из указанных правил не допустимы, как написано в Конвенции, в демократическом государстве.             Страны, ратифицирующие Директиву, обязаны устанавливать в своем законодательстве соответствующие санкции за нарушения прав при аккумулировании, обработки и хранении персональных данных.             В нашем Уголовном кодексе есть только две статьи, которые в общих чертах как-то предусматривают наказания за нарушение неприкосновенности, но только частной жизни.             Это ст.177 за незаконное собирание или умышленное распространение охраняемых законом сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия, которые наказываются штрафом в размере до 300 условных единиц или неоплачиваемым трудом в пользу общества на срок от 180 до 240 часов. За незаконное собирание информации без согласия лица, с использованием специальных технических средств, предназначенных для негласного получения информации, которые наказывается штрафом в размере от 200 до 400 условных единиц или неоплачиваемым трудом в пользу общества на срок от 200 до 240 часов. И за распространение информации посредством публичного выступления, через СМИ или с умышленным использованием служебного положения, которые должны наказывается штрафом в размере от 200 до 500 условных единиц, или лишением права занимать определенные должности или заниматься определенной деятельностью на срок 1 год, или неоплачиваемым трудом в пользу общества на срок от 180 до 240 часов, а в случае юридического лица – штрафом в размере от 1000 до 2000 условных единиц.             И ст.332 Служебный подлог, за внесение публичным лицом заведомо ложных сведений в официальные документы, а равно фальсификация таких документов, если эти действия были совершены из корыстных или иных личных интересов, которые должны наказываться штрафом в размере от 500 до 1000 условных единиц или лишением свободы на срок до 2 лет с лишением в обоих случаях права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет. И те же действия, совершенные лицом, исполняющим ответственную государственную должность, которые должны наказываются штрафом в размере от 1000 до 2000 условных единиц или лишением свободы на срок от 1 года до 6 лет с лишением в обоих случаях права занимать определенные должности или заниматься определенной деятельностью на срок от 5 до 10 лет.             И теперь каждый из вас спросите себя и сами же ответьте – вы давали свое согласие на сбор о себе информации – данных о вас как о физическом лице, позволяющие прямо или косвенно идентифицировать вас, о физической, физиологической, психической, генетической, биометрической, экономической, культурной или социальной идентичности? Я такое согласие не давал, но обратился официально, чтобы мне сообщили, какие они в Центре сведения обо мне собрали. И при необходимости потребовать их корректировку или дополнение. По закону вся гамма информации о нас подпадает под персональные данные, представляющие особый риск для прав и свобод граждан и они подлежат предварительной проверки, которая не может превышать 45 дней. А при необходимости, с учетом сложности операций по обработке персональных данных, Центр может продлить срок предварительной проверки еще на 45 дней. Таким образом, по закону, раньше 3 месяцев ждать ответа нечего. А ведь есть и частные случаи, когда информация о личности требуется, например, адвокату по определенному делу с конкретным своим клиентом. И тут в оборот включается еще одна зацепка Центра. Для получения из базы информации Центра каких-либо данных работниками МВД или Прокуратуры, было достаточно, чтобы сами эти структуры занесли в перечень операторов данных Центра. А вот для адвокатов письменно потребовали, чтобы каждый из них в отдельности, за плату, стали операторами (по состоянию на 01.01.2016г. в Союзе адвокатов около 3000). То есть не достаточно, по мнению клерков Центра, включить в свой перечень операторов Союз адвокатов. И опять еще ряд вопросов. Сколько, например, надо платить за одну информацию? В Законе этих сведений нет. Отсутствуют они и в положении о Центре. Нет ничего и в постановлении Правительства от 15.05.2012г. о регистре учета контролеров персональных данных. Которое, если верить преамбуле, является переложением статьи 21 Директивы 95/46 ЕС Европейского Парламента и Совета от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении этих данных и представляет собой инструмент, посредством которого Национальный центр по защите персональных данных обязан реализовать политику по обеспечению адекватного уровня защиты персональных данных в Молдове. То есть опять громкая декларация со ссылкой на очередную Директиву, но не доделанная. А вот в Законе Румынии от 2001г. черным по белому написано, что одна информация стоит 1 лей. И все последующие годы цена не менялась. И чтобы завершить с Директивами, следует знать еще три важных момента.             Постановлением Межпарламентской Ассамблеи государств-участников Содружества Независимых Государств №14-19 от 16 октября 1999 года был принят документ "О модельном законе "О персональных данных". Текст этого модельного закона и сегодня во многом лучше предусматривает в себя требования Конвенции ЕС №108 от 1981 года, чем в нашем, втором действующем законе на эту тему. Почему наши законодатели и уже Центр все эти годы делали и делают вид, что ничего подобного не существует, совсем не понятно. Не понятно и то, почему Молдова, будучи еще членом СНГ и только стремящееся попасть в члены-корреспонденты ЕС, должна была хоть как-то отреагировать еще в 1999 году на соответствующее Постановление МА СНГ? Принять или официально игнорировать. 5 декабря 2006г. в Брюсселе была подписана Директива под названием Prum Schengen III, которая предусматривала создание с 1 января 2008г. единой информационной сети для всех стран-членов ЕС. В которую должны были дополнительно включить данные о ДНК, дактилоскопические данные, информация о регистрации автомобилей и полицейское сотрудничество. В январе 2012г. Еврокомиссия предложила очередную масштабную реформу норм защиты персональных данных для стран, ратифицирующих Конвенцию 1981 года. Завершение указанной реформы было предусмотрено к концу 2015г. Объектом нового пакета норм предусматривал передать гражданам контроль над своими персональными данными. По мнению авторов, такая реформа должна была позволить более полно использовать возможности цифровой экономики. Что должно было случиться в этом плане у нас? Попадет ли тогда персональная информация в плохие руки? Какие в таком случае должны быть наши действия и права по части информации о персональных данных? Как видно, одни вопросы, на которые ответов не найти, потому как подобная информация на сайте Центра отсутствует. У них нет даже упоминание о том, что 28 января вся Европа ежегодно празднует День защиты персональных данных.             О Национальном центре по защите персональных данных Национальный центр по защите персональных данных является органом контроля в области обработки персональных данных и за соответствием обработки персональных данных требованиям закона, который призван действовать на основе беспристрастности и независимости. Отдельной статьей закона определены функции Центра. Их 18 по счету, плюс еще одна - выполняет иные определенные законом функции. Так, на всякий случай, если что не дописали. Хотя в законах такой прием запрещен. Самое существенное, что Центр вправе запрашивать и бесплатно получать от физических и юридических лиц публичного или частного права сведения, необходимые для осуществления им своих функций. И этим все сказано – Центр полностью повторяет собой всем известный орган - СИБ, который все знает, но при этом ведет себя на много скромнее. Таким образом, у нас почти параллельно действуют три структуры с похожими функциями. Это СИБ, Национальная комиссия по неподкупности (которую неверно называют даже в законе в переводе - антикоррупционной) и Национальный центр по защите персональных данных. Ниже в таблице даю только некоторые данные об этих структурах, но на основании их можно многое понять и задуматься над происходящим.                                                                                                                  Таблица 1 Структура Клиенты Штаты Бюджет 2015, млн. лей Всего в т.ч. на ЗП\средн.ЗП 1)       СИБ 3,555 млн. ? 182,21 84,4/? 2)       Комиссия по неподкупности 40 тыс. 26 4,45 2,50/8000 3)       Центр персон. данных 3,555 млн. 21 2,89 1,89/7500   По одним этим только данным можно смело уже делать выводы: а) во всех указанных структурах работают госслужащие, которые должны получать заработную плату по одному закону, за исключением оперативных работников СИБ-а. И если за прошлый год средняя ЗП госслужащих была равна 5749 лей, то почему для Центра и Комиссии средняя ЗП в полтора раза больше?             б) подопечными Комиссии по неподкупности являются только около 40 тыс. исполняющих ответственные государственные должности, государственные служащие, судьи, прокуроры и некоторые руководящие работники, которые должны ежегодно представлять декларировании о доходах и имуществе. А подопечыми Центра, теоретически, являемся все мы 3,555 млн. граждане страны. В таком случае, почему штаты в Центре меньше чем в Комиссии?              В Румынии, например, где население равно 19,5 млн., то есть в 5,5 раза больше чем в Молдове, свой  Национальный центр по защите персональных данных имеет в свой штат только 37 служащих. И то, первоначально штат Центра формировался за счет уменьшения персонала и функций народных адвокатов.             в) если штаты Комиссии больше чем у Центра в 1,25 раза, то почему уже бюджеты отличаются в 1,54 раза? При этом, ежегодные декларации, поданные в Комиссию, обрабатывают не чиновники этой Комиссии, а по договору, за отдельную, не малую плату, которая ежегодно растет стремительно, какая-то фирма. У кого из них тогда штаты и бюджеты рассчитаны не верно?             г) структура Центра состоит из четырех управлений во главе с начальниками, плюс директор и замдиректора Центра. На 21 чиновников по штату – 6 начальников, многовато. А управления такие: 1.      Управление учета и контроля, 2.      Управление внешних связей и европейской интеграции, 3.      Управление по вопросам права и связям с общественностью, 4.      Управление экономики, финансирования и планирования.             Таким образом, из четырех управлений – три вспомогательные. Разве это государственный подход к делу?               Реформировать несуществующую систему борьбы с коррупцией или ее создавать?             В начале октября прошлого года председатель Парламента выступил с инициативой – реформировать антикоррупционную систему в Молдове. До этого, еще 10 июня, на заседании Правительства Кирилла Габурича был подготовлен пакет законов по антикоррупционной деятельности, в том числе новый закон о Комиссии по неподкупности. Тогда вопрос не прошел. Но тот же пакет проектов законов уже был единогласно принят на недавнем заседании Правительства. В связи с этой ситуацией давайте проанализируем, что у нас есть в плане борьбы с коррупцией и противостоянию  коррупции, какие государственные структуры призваны бороться с этим явлением со столь современным названием – коррупция, как эти структуры выполняют до настоящего времени свои функциональные обязанности и почему возникла необходимость реформировать и перезагрузить систему. И если реформировать, так реформировать, но тогда почему председатель законодательного органа заявил тогда так неуверенно: «Мы говорим, что коррупция вроде бы существует в Молдове, и вроде бы есть и инструменты для ее искоренения. Мы желаем перезапустить систему борьбы с коррупцией, которая препятствует развитию и модернизации Молдовы».             Если уж председатель Парламента так неуверенно высказывается, то давайте начнем с определения значения слова «система». Это порядок распределения частей целого в последовательном, связанном порядке, представляющих собой единство закономерно расположенных и функционирующих частей; это форма организации хозяйственных, государственных, политических единиц, учреждений и т. п.; это совокупность учреждений, однородных по своим задачам; совокупность принципов, служащих основанием какого-либо учения, мировоззрения, а также совокупность методов и приёмов осуществления чего-либо. Это порядок, представляющий стройное, последовательное, разумное, правильное, обдуманное и постепенное. А сам систематизатор – это изобретатель новой системы или охотник до строгих, последовательных порядков.              Из всего контекста вопроса о борьбе с коррупцией, давайте возьмем только то, что касается Национальной Комиссии по неподкупности и рассмотрим все касательно и функций Национального центра по защите персональных данных. Выше были приведены вполне логичные данные и суждения о параллелизме в функциях Нацкомиссии и Национального центра. Обе структуры действуют на основе определенных данных о физических лицах или госчиновников разного масштаба. Обе структуры обязаны собирать (получать) и анализировать полученные данные и делать соответствующие выводы. Только объем информации у них сильно разный. Мне кажется, что с учетом всего высказанного, прежде чем включить в повестку дня Парламента проект закона о Национальной Комиссии по неподкупности, надо еще раз взвесить все и, может быть, есть резон объединить обе структуры – Комиссию и Центр. А СИБ пусть себе продолжает заниматься своим делом обособленно. Им ведь видней, как организовать свою работу. В любом случае, пауза и переоценка вопроса обязательно нужны.