Улітку 2012 року набуває чинності Закон «Про захист персональних даних», ухвалений ще в червні 2010-го. Вступити в силу він мав ще 1 січня, однак ані підприємці, ані держслужба до цього виявилися не готовими. На додаткову підготовку президент дав ще півроку, відтермінувавши відповідальність за порушення у сфері персональних даних на 1 липня.
До вказаної дати лишається місяць, а в журналістів, чия діяльність невіддільна від роботи з інформацією в тому чи іншому вигляді, й досі безліч запитань, запевняє медіаюрист Людмила Опришко.
Про те, що повинна пам’ятати редакція ЗМІ в роботі з базами даних, які ризики чекають на журналіста інтернет-видань і як убезпечити себе від відповідальності, Людмила Опришко розповіла під час вебінару ІРРП.
Основні тези:
• телеканал не може зберігати бази даних учасників довше, ніж транслюється шоу;
• кожна редакція ЗМІ має закріпити, які бази даних належать журналістам і, таким чином, не підлягають реєстрації, а які – належать самому ЗМІ;
• для журналістів онлайн-видань потрібно створити штатний розклад і визначити назви посад відповідно до класифікатора професій України, щоб вони могли не реєструвати своїх баз даних;
• не слід плутати первинну інформацію з базою даних;
• нехтування законодавством про зберігання баз персональних даних, яке призвело до незаконного доступу до цих даних, є правопорушенням.
Захистити інтернет-журналіста
Хоч новий закон не поширюється на журналістів, бази персональних даних (БПД) осіб, які працюють в інтернет-ЗМІ, можуть підлягати реєстрації. Нещодавня ситуація з журналістом tochka.net яскраво продемонструвала, що журналістів, які працюють в інтернет-виданнях, не завжди визнають журналістами.
Кореспондентам онлайн-видань, щоб не реєструвати БПД, можна піти двома шляхами і взяти на озброєння два визначення.
Перший шлях – скористатися визначенням «журналіст», яке дає закон «Про державну підтримку ЗМІ та соціальний захист журналіста» (Ст. 1): «Журналіст – це творчий працівник, який збирає, одержує створює і займається підготовкою інформації для засобів масової інформації, виконує редакційно-посадові службові обов’язки в засобі масової інформації (в штаті або на позаштатних засадах) відповідно до професійних назв посад (роботи) журналіста, які зазначається в державному класифікаторі професій України».
Це визначення може застосовуватися до інтернет-журналіста, оскільки під ЗМІ розуміються будь-які друковані та аудіовізуальні засоби масової інформації (згідно з законом «Про інформацію»), а нові медіа в інтернеті, за словами Людмили Опришко, можна відносити до аудіовізуальних.
Однак щоб закріпити статус журналістів, які працюють в онлайн-виданні, потрібно створити штатний розклад і визначити назви посад журналістів, обов’язково відповідно до класифікатора професій України.
Друге визначення – «професійний творчий працівник» із закону «Про професійних творчих працівників та творчі спілки» – можна використовувати, коли формально складно підвести ту чи іншу посаду особи під визначення журналіста (фотокореспондент, відеокореспондент), але вона здійснює журналістську діяльність: «Професійний творчий працівник – особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва».
Не плутати з первинною інформацією
Законодавство не містить жодного мінімального переліку відомостей, які складають визначення «персональні дані». Звідси – нерозуміння, яку саме інформацію потрібно реєструвати.
Найпопулярніша проблема у трактуванні закону – плутання персональних даних із первинними джерелами інформації. Тобто самі по собі документи, видані на ім’я особи (паспорт, права), підписані нею документи (заява, договір) або відомості, які особа надає про себе (анкета, резюме), є лише первинними джерелами інформації, які не реєструються. Базами персональних даних вони можуть стати тільки у випадку, якщо їх буде фіксовано (в електронній формі чи в картотеках), структуровано, оброблено.
Відділити від редакційних
Кожна редакція має вжити певних організаційних заходів, щоб закріпити, які бази даних належать журналістам і таким чином не підлягають реєстрації, а які бази належать редакції і, відповідно, повинні реєструватися.
Редакція може видати положення про кожну базу даних із зазначенням порядку їх обробки та накази, які встановлюють, за яким журналістом який комп’ютер або інший носій інформації закріплено. Таким чином, вся інформація на комп’ютері журналіста належить тільки йому й не може досліджуватися на предмет наявності БПД.
Щодо баз персональних даних, власником яких є ЗМІ (наприклад, база 1С), то в наказі потрібно зазначити місце зберігання такої бази, посадових осіб, які здійснюють її обробку й несуть відповідальність за збереження інформації, а також засоби безпеки, які має бути вжито в обмеженні доступу до баз.
Всі персональні дані, крім знеособлених, є інформацією з обмеженим доступом. Винятком є тільки персональні дані фізичної особи, яка претендує або обіймає вибірну посаду в представницьких органах або посаду службовця першої категорії. Це треба особливо пам’ятати, коли намагання довідатися інформацію про представників влади призводить до судових позовів проти самих же журналістів чи ЗМІ, яких звинувачують у порушенні права на приватність.
Визначити підставу
При реєстрації баз персональних даних необхідно обов’язково коректно формувати підставу їх збирання та обсяг. Це не є просто формальним етапом, – вважає Людмила Опришко. Обсяг даних логічно випливає з мети, оскільки, скажімо, роботодавець від працівника не може вимагати більше інформації, ніж це передбачено трудовим законодавством.
Підстава збору баз персональних даних – це фактично певний закон, на підставі якого діють власники БПД. Наприклад, підставою для збирання особових справ на працівників є Трудовий кодекс. Можуть бути ситуації, коли БД створюються з метою певної діяльності, наприклад, для реалізації якоїсь програми, проекту.
У випадку збирання та обробки персональних даних необхідно обов’язково отримати добровільну згоду суб’єкта даних: або у формі документа (засвідченого електронним або письмовим підписом), або за допомогою елементів керування у веб-ресурсах (наприклад, на сайті каналу потенційні учасники програми після заповнення анкети мають поставити галочку про добровільну подачу персональної інформації).
Головні властивості баз даних – вони мають бути точними, достовірними, оновлюватися за необхідності, пропорційними, мінімальними і зберігатися не більше, ніж це потрібно за їх призначенням. Наприклад, телеканал не може зберігати бази даних анкет учасників певного реаліті-шоу довше, ніж це передбачає виробництво чи трансляція шоу.
Знати про відповідальність
Важливо пам’ятати – єдиним органом, який може здійснювати перевірку щодо конфіденційності збереження персональних даних, є Державна служба з питань захисту персональних даних. Режиму доступу до баз даних не мають ані прокуратура, ні органи внутрішніх справ, ані інші правоохоронні органи.
Передбачено як адміністративну, так і кримінальну відповідальність за порушення законодавства про захист персональних даних.
Притягнути до адміністративної відповідальності можна за:
- неповідомлення або несвоєчасне повідомлення (протягом 10 днів) особи, що її персональні дані вносяться до баз даних – штраф від 3400 до 6800 грн (особу можна не повідомляти, якщо дані збираються із загальнодоступних джерел);
- неповідомлення або несвоєчасне повідомлення Держслужби з питань захисту персональних даних про будь-які зміни відомостей, необхідних для реєстрації певної бази – штраф від 1700 до 6800 грн;
- повторне порушення протягом року з вищезгаданих – штраф від 5100 до 11900 грн;
- ухилення від реєстрації БПД – штраф від 5100 до 17000 грн;
- недодержання порядку захисту БПД відповідно до законодавства, що призвело до незаконного доступу до них – штраф від 5100 до 17000 грн. Якщо в разі перевірки Держслужбою з питань захисту персональних даних буде встановлено невідповідність зберігання чи обробки БПД, держорган спочатку має видати попередження підприємцю, а потім проконтролювати, чи виправить останній цю невідповідність. Просто невідповідність типовим правилам обробки персональних даних ще не є підставою для застосування адміністративної відповідальності. Обов’язковим елементом адміністративного правопорушення мають бути негативні наслідки;
- невиконання вимог Держслужби з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних – штраф від 1700 до 3400 грн.
Кримінальна відповідальність у сфері захисту персональних даних регулюється статтею 182 (про порушення недоторканості приватного життя) Кримінального кодексу України.
Тетяна Веремчук, Телекритика
