От редакции. Пожалуй, российские
библиотеки пока не столкнулись вплотную с
рассмотренной ниже проблемой защиты
персональных данных (хотя разного рода
нарушений в этой области в России очень
много – достаточно напомнить о
практически свободной продаже компакт-дисков
с базами данных, создаваемыми, например, в
телефонных компаниях, налоговых
инспекциях, или теми базами данных, что
формируются только в МВД). Тем не менее
жизнь идет вперед, и знать, как приходится
работать коллегам в Европейском Союзе,
причем представителям самых уважаемых в
Великобритании университетов и сообществ
– полезно и поучительно.
В статье приводится множество
мнений по данному вопросу выдающихся
специалистов, высказанных ими в тех или
иных публикациях.
УДК 002(094)
Пойдер Р.
Основополагающий акт для профессиональных специалистов по
информации
|
Рассмотрены
проблемы распространения на деятельность
библиотек Закона о защите данных.
Перевод статьи из
газеты «Мировой обзор информации» (Richard Poynder. Key moves for info pros. – Information WorldReview. December,
2002. Р. 44–46).
|
К настоящему моменту все
страны – члены Европейского Союза (за
исключением Ирландии и Люксембурга)
привели свои национальные
законодательства в соответствие с
Директивой Европейского Союза 1995 г. «О
защите данных». Это означает, что в
принципе все вопросы обработки
персональных данных в большинстве
европейских стран согласованы (или, как
чаще говорят, гармонизированы).
В Великобритании конкретным
ответом на Директиву стало принятие в 1998 г.
Закона о защите данных – Data
Protection Act (DPA). В полном объеме он вступил в
силу в октябре 2001 г. и внес ряд весьма
существенных изменений в ранее
действовавший подобный закон от 1984 г. В
частности, действие закона распространено
и на нецифровые материалы, например, на
папки с личными делами, карточки-указатели,
микрофильмы, видеоколлекции.
Цель принятия DPA – обеспечить строгие и ясные
правила обращения, в частности обработки
персональных данных, относящихся к любой
ныне живущей личности. Под персональными
данными здесь понимается как
фактографическая информация (имена,
адреса и т.п.), так и информация, содержащая
оценки конкретной личности, какие-либо
мнения о ней, а также содержащая изложение
намерений каких-то действий по отношению к
этой личности. Под обработкой
информации в DPA
понимается очень широкий набор возможных
действий, включая получение, сортировку,
копирование, обнародование и даже
размещение (хранение) данных. Имеются и
дополнительные ограничения, касающиеся
работы с требующей особого обращения («чувствительной»)
персональной информацией, например,
расового, этнического или политического
характера.
И наконец, DPA
содержит очень серьезные гарантии и
предоставляет большие права субъектам
записей персонального характера (т. е.
именно тем личностям, информация о которых
собирается). В установленном законом праве
вы можете потребовать показать вам, что
записано в базе данных именно о вас – и во
многих случаях запретить любую обработку
этого материала, в том числе и для целей
рекламы. Кроме того, вы имеете право
преследовать по закону (в том числе и в
уголовном порядке) тех операторов баз
персональных данных (закон называет их
контролерами баз данных), кто своими
действиями или бездействием нанес вам
урон или ущерб при ненадлежащей работе с
базами персональных данных.
Для операторов баз
персональных данных DPA
определяет три существенные обязанности:
-
во-первых, известить
соответствующий национальный (правительственный)
орган о том, что намерены собирать
персональные данные (в Великобритании это
Информационная комиссия);
-
во-вторых, выполнять правила и
процедуры защиты персональных данных,
записанные в DPA;
-
в-третьих, ответить на запрос
гражданина о том, что именно записано о нем
в базе данных (этот принцип называется ответ на запрос субъекта о доступе к
записи).
Сформулированы и обязательны к
исполнению следующие принципы защиты
данных:
-
требование, чтобы персональные
данные обрабатывались правильно, честно и
в установленном законом порядке;
-
персональные данные можно
собирать только в специфицированной,
заранее обговоренной и объявленной одной
или нескольких разрешенных DPA
целях;
-
данные
должны быть точными и при необходимости
обновляться;
-
должны быть приняты надлежащие
меры к обеспечению сохранности и
конфиденциальности персональных данных;
-
данные не могут быть переданы в
другую страну вне Европейского Союза, если
в указанной стране не принято
соответствующее, аналогичное
общеевропейскому законодательство о
защите персональных данных.
Имеются и исключения из этих
правил, например, если речь идет о
персональных данных, связанных с
национальной безопасностью; или о
предотвращении либо раскрытии уголовного
преступления; или о данных, необходимых
для исчисления и взимания налога; а также,
если данные собираются, а соответствующая
информация публикуется в журналистских,
литературных или художественных целях.
Интересно обсудить суть и
смысл этого нового закона применительно к
библиотечной деятельности. В мае 2000 г.
профессор Чарльз Оппенхайм (Charles Oppenhim)
из университета Лафборо (Loughborough
University)
выпустил краткий обзорный документ для
хорошо известного Общества вузовских,
национальных и университетских библиотек
Великобритании (Society
of College, National and
University
Libraries, SCONUL),
в котором он утверждает, что имеются все
основания полагать, что информационно-библиотечные
базы данных, в том числе публикуемые
свободно персональные файлы имен авторов
в электронном каталоге библиотеки (а также
все продукты на их основе), должны быть
исключены из требований DPA,
поскольку речь идет об общественном
интересе и общественной пользе. По его
мнению, их можно было бы отнести к разделу
«литературные работы».
С ним не соглашается Майкл Хини
(Michael
Heaney),
руководитель группы оценки обслуживания
библиотеки Оксфордского университета: «Без
сомнения, библиотечные каталоги являются
хранилищами персональных данных, имея в
виду их отношение как к старому Закону о
защите данных, так и к его новой версии».
Совсем не просто представить
себе новые обязанности, которые DPA
накладывает на библиотеки и библиотекарей.
Когда в Информационную комиссию
Великобритании поступил запрос с просьбой
разъяснить ситуацию, чиновники попросили
время для проведения специального
исследования и изучения этого вопроса.
Набор вопросов, поступивших на веб-сайт
Информационной комиссии, подтверждает
нетривиальность применения DPA
в библиотечной практике.
Конечно, этот закон скажется на
нашей работе. Уже упоминавшийся профессор
Оппенхайм считает, что вне зависимости от
разрешения ситуации с библиотечными
каталогами многие виды библиотечной
информации: записи о предпочтениях
читателей, использовании ими библиотечно-организационной
и компьютерной техники, подробности
заказа и формирования очереди (записи) на
какую-то книгу, записи конкретных поисков,
заметки о пользовании библиотечными
услугами – все это и многое другое
подпадает под действие DPA.
Его совет: «Такого рода данные безусловно
являются персональными и требуют точного
соблюдения DPA;
например, читатели должны быть
информированы о том, какие сведения о них и
для чего библиотека собирает и кому они
будут впоследствии переданы».
Поскольку библиотеки во все
больших объемах включаются в оказание
сетевых услуг и предоставление информации
через сеть, то все большей становится
вероятность их полной подотчетности
правилам DPA.
Именно по этой причине г-жа Аманда
Маккензи (Amanda
McKenzie) пишет в Справочнике для
информационных специалистов: «Очень важно
контролировать, дает ли библиотечный веб-сайт
доступ к персональным записям и
собираются ли на самом веб-сайте
персональные данные о его посетителях».
С большой осторожностью нужно
подходить к таким вопросам, как публикация
в сети списков, каталогов, директорий,
деталей биографии сотрудников библиотеки,
сводные данные об онлайновой регистрации
или записи на какие-либо мероприятия,
обзоры сетевых обследований, списки лиц,
включенных в рассылку сообщений
электронной почты; предельно аккуратными
следует быть при использовании
программных средств анализа данных, таких,
как например cookie
или spyware.
Самая грозная и нелепая ошибка
– предполагать, что библиотекари, являясь
специалистами по информации, ничему
новому не могут научиться в вопросах
защиты данных, ибо и так все знают. «Защита
данных – это не проблема для
библиотекарей, – говорит Тоби Бэйнтон (Toby
Bainton), администратор SCONUL,
– поскольку библиотекари в течение многих
лет работали с данными, касающимися людей,
и в целом отлично справлялись с этим».
Однако система защиты данных –
это намного более серьезная проблема, чем
ведение традиционных записей; а сейчас,
помимо прочего, речь идет и об
ответственности за соблюдение требований DPA.
Более того, сейчас есть все основания
полагать, что библиотекари сильно «не
дотягивают» до того образа, который они
сами себе создали. Выполненное недавно
Университетом Лафборо обследование 300
вузовских и специальных библиотек
обнаружило то, что профессор
информационно-библиотечного факультета
Поль Старджес (Paul
Sturges)
деликатно называет «серьезным
расхождением между теорией и практикой».
Хотя
изученные библиотеки декларировали на
словах очень серьезное отношение к
обеспечению права на частную жизнь, совсем
немногие из них имели какие-либо планы,
инструкции или правила работы в этом
отношении; одна треть опрошенных не имела
сформулированных требований для
персонала по обеспечению
конфиденциальности персональных данных; а
библиотекари, с которыми удалось
переговорить в ходе обследования, чаще
всего не имели ни малейшего представления
о том, как поступать, если кто-то начнет
запрашивать у них персональные данные. П.
Старджес отмечает: «Не слишком большое
впечатление на нас произвели уровень
готовности библиотекарей в отношении
действий по обеспечению права на частную
жизнь и соблюдению конфиденциальности
персональной информации».
Должно ли это нас беспокоить? Т.
Бэйнтон полагает, что нет причины для
тревог: «Быть может, библиотеки
недостаточно четко организованы при
выполнении запросов на информацию и их
можно укорять за отсутствие каких-то
бумажных инструкций. Но я был бы очень
удивлен, узнав, что они когда-либо и кому-либо
нанесли вред. Можно бы строже их судить,
если бы они нарушали закон из принципа, т. е.
нарочно не стирали бы личные записи или
разглашали их посторонним лицам».
И тем не менее неспособность
дать ответ на запрос гражданина о том, что
именно записано о нем в базе данных,
является нарушением DPA.
Кроме того, не имея четко разработанных
принципов и правил обращения с
персональными данными, библиотеки рискуют
нарушить (может быть, невольно) и другие
положения закона. Особую опасность в этом
смысле представляют, по мнению Поля Тичера
(Paul Ticher),
автора исследования и публикации «Защита
данных в библиотеках и информационных
центрах», те случаи, «когда библиотека не
самостоятельна, а входит в состав более
крупной организации, например
университета, и эта организация считает,
что все собранные библиотекой данные
являются неким общим достоянием».
Еще одна потенциальная
опасность таится в стремлении библиотек
продвигать свои услуги (заниматься
маркетингом). Например, библиотеки
Западной области Шотландии начали
собирать электронные адреса читателей и
формировать «группы возможных интересов»
из состава пользователей с тем, чтобы
можно было сопоставить интересы читателя
с наличием определенных изданий в
библиотечном фонде и на этой основе
адресно, через электронную почту, извещать
их об имеющихся публикациях «в их вкусе» и
о новых поступлениях. Сами библиотекари
считают такой подход разумным и
современным.
Однако наши коллеги, возможно,
перестарались и вступают на очень опасную
тропу. Снова процитирую профессора
Старджеса: «Можно придумать множество
интереснейших применений такого рода
записям, но делать это нужно на базе ясных
и понятных правил. Существует очень-очень
тонкая черта (грань) между стремлением
вернуть в библиотеку куда-то ушедших
читателей либо предоставить лучшее,
высокого качества обслуживание имеющимся
читателям и появлением крамольной
мыслишки, что эти данные можно
использовать совсем для других целей или
выгодно продать. Итак, большая активность
полна больших искушений».
Есть все основания полагать,
что национальная Информационная комиссия
в следующем году будет намного активнее
заботиться о соблюдении закона – недаром
численность персонала увеличивается со 180
до 360 человек. Соблюдением DPA
будет интересоваться самая
многочисленная группа чиновников за всю
историю Англии.
Ясно, что библиотеки вряд ли
будут считать требования DPA
высшим приоритетом своей деятельности. И
тем не менее, если они займут позицию
пренебрежения интересами своих читателей,
защитой их законных прав, очень скоро их
репутация, доселе незапятнанная, окажется
под угрозой. Как считает еще один
представитель Университета Лафборо,
руководитель отдела библиотечной
статистики Эрик Дэвис (Eric
Davis),
«библиотекарям невозможно прикидываться
дурачками и выказывать неуважение к
закону, поскольку все их обучение и
работа посвящены правильному
использованию информации».
Конечно, с персональными
данными о читателях работают не только
библиотекари. Соответствующие сведения
собираются и у поставщиков информации;
поэтому некоторые библиотекари опасаются,
что поставщики могут нарушить
конфиденциальность персональных записей.
«Начинает понемногу расти беспокойство,
касающееся тех контрактов, которые
библиотеки подписывают с поставщиками
информации, – говорит Т. Бэйнтон. –
Например, если речь идет о подписке на
сетевое обслуживание (о лицензировании
доступа к сетевым материалам), то
возникает вопрос, до какой степени
поставщики прослеживают (или могут в
принципе прослеживать), кто и что
читает».
Сколь реальна эта опасность?
Какую информацию поставщики, например «ЛексисНексис»
(LexisNexis)
или «Фактива» (Factiva), собирают о пользователях? К
сожалению, на несколько наших запросов эти
компании ничего конкретного не ответили,
сославшись на то, что такие данные
являются существенными для тех
организаций, которые работают напрямую с
людьми, а не через посредников –
библиотекарей.
Однако же поиcк
в Регистре, который ведется в соответствии
с требованиями DPA (http://www.dpr.gov.uk), показал, что обе
названные компании там зарегистрированы
как организации, собирающие персональную
информацию о пользователях. Например, «Фактива»
собирает огромное множество персональных
данных – семейное положение, подробности
о членах семьи, собственность и владения,
послужной список, детали пенсионного
обеспечения, пристрастия и т. п. Такого
рода информация собирается на
пользователей услуг компании и на тех, кто
был им в прошлом или может стать в будущем,
а также на людей, с которыми компания так
или иначе контактирует.
Обзор, сделанный специалистами
Университета Лафборо, показывает, что
многие библиотекари кое-что умалчивают.
Когда я писал эту статью, то советовался с
очень многими библиотекарями по поводу
пресловутого ответа
на запрос субъекта о доступе к записи и
мне всегда говорили что-то невнятное.
Некоторые не понимали, о чем я спрашиваю,
другие не могли объяснить процедуру,
поскольку считали, что прежде всего
субъект должен внятно объяснить, зачем ему
нужны сведения о себе самом.
Один из фундаментальных
принципов DPA
– предельная устремленность на
достижение прозрачности обращения с
персональными данными. Поэтому вы обязаны
рассказывать людям, что вы делаете и для
чего собираете данные о них. Но, как
известно, именно прозрачность не нужна
большинству библиотекарей и поставщиков
информации – в этом все дело!
|
