Иллюзия защиты. Закон о персональных данных опоздал на 20 лет

На мой взгляд, сложившаяся за период функционирования закона практика эту мысль только подтверждает. К примеру, обработка IP-адреса пользователя, который волей судьбы попал в категорию персональных данных, требует, в соответствии с законом, письменного согласия этого пользователя. Сомневаюсь, что интернет-пользователи будут отправлять собственникам веб-ресурсов письма с разрешениями перед тем, как зайти на их сайт, особенно если сайт находится под юрисдикцией другого государства.

Персональные данные стали частью глобального информационного потока. Ставить на его пути нефункциональный закон - значит создавать еще один контролирующий орган с присущей ему бюрократией, что, как минимум, неразумно. Для регламентации отношений в данной сфере уже существуют и работают законы "Об информации", "О доступе к публичной информации". Для повышения уровня защиты граждан достаточно было внести в них соответствующие изменения.
Закон "О персональных данных" создал напряженность в виде необходимости подачи сотнями тысяч лиц заявлений о регистрации баз данных под угрозой немаленького штрафа. Но что самое печальное, до сих пор не понятно, какое отношение такая регистрация имеет к защите. Принимая во внимание механизм реализации закона (заваленные комнаты бумажных заявлений с удаленной перспективой их разгрести за пару лет), просто не верится, что закон сможет осилить то, на что направлен - защищать персональные данные в эпоху новых технологий и постоянно меняющихся правил игры.

Что касается анализа последних изменений (речь идет о проекте N10472-1, который был принят в целом 2 октября, - ред.), то я всецело солидарен с опасениями юристов. Напомню, законопроект, среди прочего, предлагает предусмотреть, что распространение персональных данных без согласия субъекта/объекта персональных данных будет разрешаться в интересах национальной безопасности, экономического благосостояния и прав человека, "если это необходимо" (дополнение в ч.2 ст. 14 базового закона, - ред.). Таким образом, вводится новое условие "необходимости" использования персональных данных без согласия субъекта.

Такая новация противоречит части второй статьи 32 Конституции Украины, согласно которой "не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека", а также не учитывает правовую позицию Конституционного Суда Украины (решение от 20.01.2012 N2-рп/2012), который в мотивировочной части отметил: "не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека".

Кроме того, проектом предлагается установить, что в случае изменения определенной цели обработки персональных данных субъектом персональных данных должно быть предоставлено согласие на обработку его данных в соответствии с измененной целью, "если новая цель обработки несовместима с предыдущей". Соответствующий признак имеет оценочный характер, а, следовательно, нивелирует общие положения, определенные Конституцией Украины (статья 32), законами Украины "Об информации", "О защите персональных данных" в части обеспечения реализации прав граждан на распространение конфиденциальной информации по их согласию.