Закон вводиться в дію в листопаді 2013 року, тому коментар носить попередній характер і буде доповнений у міру прийняття підзаконних актів. Так що в листопаді, перед введенням в дію цього закону, ми підготуємо більш розширений і докладний коментар для редакцій ЗМІ, журналістів, блогерів.
- 1. Загальні відомості про закон
Закон РК №94-V «Про персональні дані і їх захисту» був прийнятий Парламентом РК, підписаний главою держави, офіційно опублікований 25 травня 2013 року. Відповідно до пункту 1 статті 31, закон вводиться в дію після закінчення шести місяців після першого його опублікування. Таким чином, закон почне діяти з 25 листопада 2013 року.
Разом з Законом РК «Про персональні дані і їх захисту» прийнятий закон, яким вносяться зміни та доповнення до чинних нормативно-правові акти з питань обігу персональних даних та їх захист. Цей закон - «Про внесення змін і доповнень до деяких законодавчих актів РК з питань персональних даних та їх захист» - вводиться в дію в той же термін, з 25 листопада 2013 року.
- 2. Що таке персональні дані?
Закон встановлює, що персональні дані - це відомості, які стосуються певному або визначеного на їх підставі суб'єкту персональних даних, зафіксовані на електронному, паперовому та (або) іншому матеріальному носії.
Іншими словами, під персональними даними розуміються: прізвище, ім'я, по батькові (за його наявності), дата і місце народження, індивідуальний ідентифікаційний номер, юридична адреса, номер документа, що засвідчує його особу, сімейне і соціальне положення, наявність рухомого і нерухомого майна, освіту , професія, інші відомості особистого характеру, які ідентифікують особу людини або дозволяють встановити її.
Фізична особа, до якого відносяться або належать персональні дані, іменується суб'єктом персональних даних. Персональні дані комплектуються в бази, в залежності від цілей їх призначення і використання. Державні органи, фізичні та (або) юридичні особи, які на праві власності володіють, користуються і розпоряджаються базами, що містять персональні дані, називаються власниками.
Що можна робити з персональними даними? Персональні дані можна збирати і можна обробляти, тобто:
- накопичувати;
- знищувати;
- знеособлювати;
- зберігати;
- використовувати;
- змінювати і доповнювати;
- блокувати доступ до них;
- поширювати;
- передавати третім особам.
Крім цього, бази, що містять персональні дані, необхідно забезпечувати захистом від несанкціонованого злому або доступу.
Державний орган, фізичне і (або) юридична особа, яка здійснює функції по збору, обробці і захист персональних даних, іменується оператором бази персональних даних.
Відносно суб'єкта персональних даних, власника і оператора бази персональних даних законом покладаються певні права та обов'язки, а також відповідальність за порушення встановлених вимог.
Але чи має відношення все вищесказане до професійної діяльності журналіста і ЗМІ? І як відіб'ється вступ в дію Закону РК «Про персональні дані і їх захисту» на професійній діяльності журналіста і ЗМІ?
- 3. Збір та обробка персональних даних у професійній діяльності журналіста
Професійну діяльність журналіста неможливо уявити без використання персональних даних. Персональні дані обробляються і використовуються журналістами постійно, на будь-якому етапі виробництва інформаційного продукту і для досягнення наступних цілей:
- як джерела інформації;
- як герої публікацій або сюжетів.
Вказівка прізвища, імені співрозмовника в титрах або в газетній публікації - це вже використання персональних даних. Поширення інформації про будь-яку людину без зазначення прізвища та імені, але з наданням додаткових персональних даних, які можуть його ідентифікувати (наприклад, професія, місце роботи або проживання) - це теж поширення персональних даних.
Персональні дані в журналістських матеріалах можуть використовуватися випадковим чином, без мети їх поширення (наприклад, улюблений телевізійниками кадр - паспортні дані, або посвідчення особи, що не має до сенсу сюжету ніякого відношення, але містить чиїсь персональні дані).
Загальне правило, яке встановлено Законом РК «Про персональні дані і їх захисту», визначає, що збір і обробка персональних даних здійснюється власником і оператором за згодою суб'єкта або його законного представника. Згода суб'єкта або його законного представника оформляється письмово або у формі електронного документа або іншим способом із застосуванням елементів захисних дій.
Але журналісти збирають і використовують персональні дані не тільки для підготовки позитивних матеріалів, щодо яких суб'єкти з полюванням давали б свою згоду на використання персональних даних.
Складно уявити, щоб герой корупційного скандалу або герої критичних публікацій погодилися б на використання своїх персональних даних та їх поширення в ЗМІ.
Застосування загального правила збору та використання персональних даних лише за згодою суб'єкта зробило б неможливим здійснення професійної діяльності журналіста, особливо коли мова йде про підготовку матеріалів, що мають суспільний інтерес, критичних, що розкривають факти корупції та інших правопорушень і злочинів.
Тому закон передбачає ряд винятків із загального правила, коли збір та обробка персональних даних можуть здійснюватися без згоди суб'єкта або його законного представника. Тому, якщо збір та обробка персональних даних здійснюються для здійснення законної професійної діяльності журналіста і (або) діяльності засобу масової інформації або науковій, літературній або іншої творчої діяльності - отримувати згоду суб'єкта не потрібно.
Таким чином:
- журналісти мають право збирати і обробляти, в тому числі поширювати (тобто, публікувати), персональні дані без згоди суб'єкта, якому вони належать, або його законних представників тільки при здійсненні своєї законній професійній діяльності. Під професійною діяльністю журналіста (не тільки журналіста, а й будь-якого представника засобу масової інформації) розуміється збір, обробка та підготовка повідомлень і матеріалів для ЗМІ на основі трудових чи інших договірних відносин;
- не потрібно такої згоди для здійснення наукової, літературної чи іншої творчої діяльності;
- виняток для журналістів і ЗМІ діє за умови дотримання вимог законодавства РК щодо забезпечення прав і свобод людини і громадянина.
- 4. Збір та обробка персональних даних в діяльності редакцій ЗМІ і операторів телерадіомовлення
Збір, зберігання, поширення, передача та інші дії з персональними даними для цілей підприємницької (господарської) діяльності редакцій ЗМІ, операторів телерадіомовлення застосовуються з метою:
- створення бази даних передплатників і розповсюдження видання за передплатою;
- створення бази розповсюджувачів видання у випадках роздрібного розповсюдження;
- створення бази даних рекламодавців - фізичних осіб і індивідуальних підприємців і здійснення договірних послуг з розміщення реклами;
- створення бази даних абонентів кабельного телебачення і здійснення договірних послуг платного ТВ;
- обробки персональних даних штатних і позаштатних співробітників редакцій друкованих засобів масової інформації, інформаційних агентств, операторів телерадіомовлення і т.д.
Поширення персональних даних відбувається також в тих випадках, коли державні виконавчі органи, комунальні служби та інші організації публікують в ЗМІ (на правах реклами) або на власних інтернет-ресурсах списки неплатників, боржників без їх згоди, але із зазначенням персональних даних (так звана публікація списків неплатників або боржників).
Shirin Winiger
Засоби масової інформації визнаються законом загальнодоступними джерелами персональних даних, тобто доступ до персональних даних в таких джерелах вільний і вимоги щодо дотримання конфіденційності на них не поширюються.
Виникає головне питання - чи є власник або видавець ЗМІ оператором бази персональних даних? Так, безумовно. В силу цього на них законом покладаються додаткові обов'язки зі збору, використання і захист персональних даних. Які саме?
По-перше, затверджувати перелік персональних даних, необхідний і достатній для виконання здійснюваних ними завдань. Наприклад, для цілей створення бази персональних даних передплатників власник ЗМІ видає наказ про затвердження переліку відомостей, які для цього необхідні: прізвище, ім'я, по батькові передплатника, адреса проживання.
По-друге, приймати і дотримуватися необхідних заходів для захисту персональних даних, тобто запобігати несанкціонований доступ до них; своєчасно виявляти факти несанкціонованого доступу і мінімізувати несприятливі наслідки, які можуть настати в цьому випадку.
По-третє, вживати заходів зі знищення персональних даних у разі досягнення мети їх збору та обробки.
По-четверте, реагувати на повідомлення суб'єкта персональних даних, який запитує інформацію про наявні в розпорядженні ЗМІ своїх персональних даних, просить її змінити або доповнити; просить блокувати доступ до його персональних даних або знищити.
Зверніть увагу, що закон для виконання цих обов'язків передбачає конкретні терміни - від одного до трьох робочих днів. У разі відмови - потрібно надати заявнику вмотивовану відповідь із причинами відмови протягом трьох робочих днів.
Потрібно чи ні отримувати згоду суб'єкта персональних даних для досягнення цілей (створення бази передплатників, рекламодавців і т.д.), які викладені вище?
З одного боку, діяльність по розповсюдження продукції масової інформації відноситься до законній професійній діяльності (не може ЗМІ видаватися, але не поширюватися), тому згода суб'єкта персональних даних на їх збір і обробку не потрібно. З іншого боку, всі правовідносини з передплатниками, реалізаторами друкованих ЗМІ, рекламодавцями, співробітниками будуються в редакціях, як і в будь-яких інших організаціях, на основі письмових договорів.
Тому досить легко виконати частину вимог закону РК «Про персональні дані» просто включивши до відповідних договорів пункт про згоду другої сторони (фізичної особи) на збір і обробку своїх персональних даних в цілях, зазначених у договорі.
Урядом РК найближчим часом будуть видані постанови про затвердження порядку визначення власником і (або) оператором переліку персональних даних, необхідного і достатнього для виконання здійснюваних ним завдань, а також про затвердження порядку здійснення власником і (або оператором) заходів щодо захисту персональних даних.
Власники та (або оператори) переліку персональних даних зобов'язані протягом трьох місяців з дня набрання законом чинності, тобто до 25 лютого 2014 року привести свої документи щодо збору та обробки персональних даних у відповідність до вимог закону.
Таким чином:
- ЗМІ (власники, видавці, оператори телерадіомовлення) є власниками і (або) операторами баз персональних даних, в зв'язку з цим на них покладається ряд обов'язків щодо захисту персональних даних та щодо дотримання прав суб'єкта персональних даних;
- Закон РК «Про персональні дані і їх захисту» та Закон РК «Про внесення змін і доповнень до деяких законодавчих актів РК з питань персональних даних та їх захист» вводяться в дію з 25 листопада 2013 року. В термін до 25 лютого 2014 року власники і (або) оператори баз персональних даних повинні привести свої документи у відповідність до вимог Закону РК «Про персональні дані і їх захисту», а також підзаконними актами, які будуть прийняті Урядом РК;
- так як вся діяльність редакцій ЗМІ по формуванню баз передплатників, рекламодавців, реалізаторів, штатних і позаштатних співробітників здійснюється на основі письмових договорів, пропонується в якості додаткового пункту включати в кожен договір пункт про згоду другої сторони договору на збір і обробку (включаючи передачу третім особам - в разі передплати) своїх персональних даних для досягнення цілей, зазначених у договорі.
- 5. Відповідальність
Законом РК «Про внесення змін і доповнень до деяких законодавчих актів Республіки Казахстан з питань персональних даних та їх захист» внесено зміни до Цивільного Кодексу, Кримінальний Кодекс, Кодекс РК про адміністративні правопорушення та ряд інших законів і кодексів.
Таким чином, передбачається цивільно-правова відповідальність (суб'єкт персональних даних має право вимагати захисту своїх прав і законних інтересів, а також вимагати відшкодування моральної та матеріальної шкоди), адміністративна (за порушення вимог законодавства про персональні дані у вигляді штрафів) та кримінальна відповідальність (за порушення недоторканності приватного життя і законодавства РК про персональні дані та їх захисту).
Будь-який закон є обмеженням прав і свобод. Закон РК «Про персональні дані і їх захисту» був прийнятий для захисту права на недоторканність приватного життя і персональних даних та зрозуміло, що захищаючи права і законні інтереси одних суб'єктів, він буде накладати додаткові зобов'язання і відповідальність за їх недотримання на інших осіб.
Щодо журналістів і ЗМІ, з огляду на специфіку їх діяльності, норми даного закону можуть використовуватися двояко.
По-перше, герої газетних публікацій і телевізійних сюжетів, розуміючи і усвідомлюючи свій новий статус, можуть залучати позови про порушення права на персональні дані до вже звичних для журналістів і ЗМІ позовами про захист честі, гідності та ділової репутації, відшкодування моральної шкоди.
Поки невідомо, наскільки часто будуть пред'являтися такі вимоги і як буде складатися судова практика у таких справах. Можна послатися на російський досвід, де в судовому порядку намагалися оскаржити публікацію персональних даних в інформації РІА-Новини.
Суд визнала поширення прізвища та імені позивача в новинному матеріалі РІА-Новини законним, позовні вимоги залишені без задоволення.
По-друге, безумовно, можливість адміністративного впливу на ЗМІ та контроль за дотриманням виконання вимог Закону РК «Про персональні дані і їх захисту» дасть можливість державному уповноваженому органу здійснювати моніторинг контенту ЗМІ, реагувати на скарги суб'єктів персональних даних, порушувати адміністративні справи щодо ЗМІ за фактами недотримання або порушення встановлених вимог.
Чи можна розцінити це як важіль впливу на ЗМІ? Безумовно, так, оскільки новоприйнятий закон просто доповнює вже і без того жорстке законодавство РК щодо ЗМІ.
У нас є закони «Про ЗМІ», «Про телерадіомовлення», досить обмежувальні норми в Цивільному, Кримінальному кодексах, а також Кодексі про адміністративні правопорушення, які може бути і не застосовуються до всіх і завжди, але діють точково і вибірково щодо ЗМІ, поширення якого небажано з тих чи інших причин в той чи інший момент нашої політичної історії.
Можна припустити, що також буде діяти Закон РК «Про персональні дані і їх захисту». У деяких випадках порушення вимог щодо збору та обробки персональних даних уповноважений державний орган буде не помічати, на деякі - реагувати попередженням, у виняткових випадках - штрафами та конфіскацією редакційної техніки.
2. Що таке персональні дані?Що можна робити з персональними даними?
Але чи має відношення все вищесказане до професійної діяльності журналіста і ЗМІ?
І як відіб'ється вступ в дію Закону РК «Про персональні дані і їх захисту» на професійній діяльності журналіста і ЗМІ?
Виникає головне питання - чи є власник або видавець ЗМІ оператором бази персональних даних?
Які саме?
Потрібно чи ні отримувати згоду суб'єкта персональних даних для досягнення цілей (створення бази передплатників, рекламодавців і т.д.), які викладені вище?
Чи можна розцінити це як важіль впливу на ЗМІ?