Обложка. Информационное право
Скачать 1.02 Mb.
|
Глава 9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАК ИНСТИТУТ ИНФОРМАЦИОННОГО ПРАВА Понятие персональных данных. Содержание понятия «обработка персональных данных». Понятие оператора обработки персональных дан- ных. Принципы защиты персональных данных. Особенности обработки специальных категорий персональных данных. Права субъекта персональ- ных данных. Обязанности оператора при обработке персональных данных. 9.1. Основные подходы к регулированию правоотношений по поводу персональных данных в зарубежных странах Защита персональных данных — условный термин, применяе- мый для обозначения права индивида на доступ к своему персональ- ному досье, имеющемуся в распоряжении государственных или част- ных «пользователей информации», с целью обеспечения точности, своевременности и соотносимое имеющейся информации с целями, для которых она хранится, и проверки того, не может ли получить доступ к информации лицо, не обладающее соответствующими пол- номочиями. Таким образом, защита персональных данных связана также с личным характером информации. В 60-х и 70-х гг. ХХ в. с приходом информационных техноло- гий стал возрастать интерес к приватности. Возможность использова- ния мощных компьютеров для слежки и контроля означала необхо- димость принятия особых правил, регулирующих сбор и обработку персональных данных. Во многих странах новые конституции отра- зили, это право. Процесс обновления законодательства в данной об- ласти можно проследить со времени появления первого закона о защите данных, изданного в Германии в земле Гессен в 1970 г. После этого были приняты законы в Швеции (1973), Соеди- ненных Штатах (1974), Германии (1977) и Франции (1978). Из этих законов «выросли» два важных международных доку- мента. Первый — Конвенция Совета Европы о защите прав личности в связи с автоматической обработкой персональных данных. Второй — Руководящие принципы Организации по экономическому сотруд- ничеству и развитию о защите приватности в связи с трансграничной передачей персональных данных. Эти положения определяют персо- 114 нальную информацию как данные, которые нуждаются в защите на каждом этапе от сбора до хранения и распространения. Право граж- дан на доступ к своим данным и внесение в них изменений стало главной составляющей этих правил. В разных законах и правилах по-разному определяются условия защиты данных. Повсеместно принято считать, что персональная ин- формация должна быть: — получена честным и законным путем; — использована только для заранее определенных целей; — соответствовать задаче, ради которой она собиралась; — точной и свежей; — обрабатываться только с согласия субъектов ее получения; — доступна субъекту данных; — защищена от несанкционированного доступа; — уничтожена после того, как цель достигнута. Два упомянутых соглашения сильно повлияли на развитие за- конодательства во всем мире. Почти 30 стран признали Конвенцию Совета Европы и еще несколько государств собираются сделать это в ближайшем будущем. Руководящие принципы Организации по экономическому сотрудничеству и развитию также широко ис- пользуются законодателями разных стран, в том числе и не входящих в эту международную структуру. Мировой опыт позволяет назвать три главные причины для принятия специальных законов о защите приватности и персональ- ных данных: 1) приведение законодательства значительного числа стран к общемировым цивилизованным стандартам, отражающим высокий уровень защиты прав человека. Многие государства, особенно в Центральной и Восточной Европе (включая Россию), Южной Аф- рике и Южной Америке, приняли соответствующие законы, чтобы исправить последствия нарушений прав человека при тоталитарных режимах прошлых лет; 2) создание благоприятных условий для развития электронного бизнеса. Многие страны, особенно в Азии, уже приняли (или разраба- тывают) законы, направленные на развитие электронной коммерции. Правительства понимают, что в современном мире, насыщенном вы- сокотехнологичными коммуникациями, персональные данные потре- 115 бителей находятся под угрозой — особенно когда они пересылаются по Интернету. Поэтому в законах об электронном бизнесе появляют- ся гарантии приватности; 3) приведение национального законодательства в соответствие с европейскими соглашениями. Большинство стран Центральной и Восточной Европы принимает законы, основываясь на Конвенции Совета Европы 1981 г. и Директиве Европейского Союза о защите данных. Многие из этих стран в ближайшем будущем надеются стать членами ЕС. В других регионах мира государства приводят свои за- коны в соответствие требованиям ЕС просто потому, что иначе могут пострадать их торговые отношения с членами Евросоюза. В имеющих сейчас базовое значение документах, регулирую- щих работу с персональными данными в мире, сформулированы ос- новные принципы работы с персональными данными: — персональные данные должны собираться и обрабатываться (храниться, использоваться, раскрываться, стираться и т.д.) только в соответствии с законом и наделенными соответствующими полно- мочиями органами; — персональные данные должны быть адекватными заранее определенным целям и распоряжение ими должно ограничиваться по срокам, соответствующим указанным целям; — персональные данные должны быть точны; — персональные данные должны обрабатываться только с согласия субъектов этих данных; — персональные данные должны быть доступны субъектам этих данных, в том числе и для внесения уточнения в эти данные; — персональные данные должны быть должным образом за- щищены. В международном праве существует большое число законов, отраслевых стандартов для финансовых институтов, телекоммуника- ционных компаний, учреждений здравоохранения и обязательных и рекомендательных документов, затрагивающих защиту информации от внутренних угроз и управление операционными рисками: Стандарт Банка России СТО БР ИББС-1.0-2008 — стандарт для российских банков, исполнение положений которого пока носит ре- комендательный характер. В стандарте в частности затронута необ- ходимость защиты от действий инсайдеров, в том числе необходи- 116 мость контроля использования Интернета и корпоративной почты, а также ведения архива электронной почты. Кодекс корпоративного поведения ФСФР России — свод пра- вил и рекомендации ФСФР России для компаний — участников рын- ков ценных бумаг России. Основная цель Кодекса — обеспечение равенства прав акционеров и защита их интересов, а одна из важней- ших глав кодекса — контроль финансово-хозяйственной деятельно- стью общества. В Кодексе корпоративного поведения регламентиру- ется создание прозрачной системы менеджмента и построение систе- мы управления операционными рисками, а также необходимость соз- дания условия для независимой оценки любой финансово- хозяйственной операции. PCI DSS — обязательный стандарт для операторов данных пла- тежных карт систем VISA, MasterCard, American Express, JCB, Discover. Во-первых, в стандарте регламентируется необходимость шифрования носителей информации, содержащих данные платежных карт, и надежной защиты ключей шифрования. Также в PCI DSS оп- ределена необходимость генерации стойкого ключа и разделение криптографического ключа между несколькими лицами. Во-вторых, согласно стандарту операторы платежных карт должны защищать информацию от утечек по различным каналам, жестко регламентиро- вав использование внешних устройств и перемещение конфиденци- альных данных. В-третьих, в PCI DSS определена необходимость ис- пользования двухфакторной аутентификации для доступа к данным. Basel II — довольно давно и успешно применяющийся в Евро- союзе, Северной Америке и Японии нормативный акт, регламенти- рующий банковскую деятельность. В частности в стандарте описана необходимость ведения архива конфиденциальной информации и создания системы управления операционными рисками. SOX — Sarbanes-Oxley Act of 2002 является обязательным для всех публичных компаний, акции которых котируются на фондовых биржах США. За несоблюдение закона топ-менеджеры компании не- сут персональную финансовую (штраф до 25 млн долларов) и уголов- ную ответственность (до 20 лет лишения свободы). Секция 404 закона регламентирует необходимость внедрения системы внутреннего кон- троля для предотвращения и защиты информационных активов ком- пании от утечек и несанкционированного использования. 117 SEC Rule 17a-4 и NASD 3010/3110 — своды правил для компа- ний, акции которых котируются на биржах США. В правилах регла- ментируется создание архива электронной корреспонденции и пере- писки через службы мгновенных сообщений. Требования NASD 3010/3110 еще более жесткие — требуется архивировать не только корреспонденцию участников системы, но и все транзакции брокеров, трейдеров и лиц, действующих от их имени. Combined code on corporate governance — Кодекс корпоратив- ного управления Великобритании пока не является обязательным для всех организаций, однако уже давно де-факто является стандартом для корпораций, чьи акции представлены на Лондонской фондовой бирже. Combined code регламентирует создание и поддержку системы внутреннего контроля и необходимость как минимум один раз в год проводить независимый аудит такой системы. Также в Кодексе гово- рится о необходимости постоянного мониторинга самой системы внутреннего контроля, а в случае возникновения какого-либо инци- дента ИБ, высшее руководство компании должно быть немедленно информировано. Американский закон HIPAA — затрагивает учреждения здра- воохранения, страховые компании и посредников, хранящих, обраба- тывающих и передающих конфиденциальные данные. Закон конкре- тизируют правила HIPAA, The Security Rule, в которых в частности регламентируется необходимость создания системы внутреннего кон- троля, написания правил использования рабочих компьютеров и внешних устройств и организации системы контроля доступа к ин- формации. GBLA & FACTA — защита непубличной информации клиентов финансовых корпораций регламентируется законами Gramm-Leach- Bliley Act of 1999 и Fair and Accurate Credit Transactions Act of 2003. Стандарт «Interagency Guidelines Establishing Information Security Standards» вносит дополнительные уточнения в приведенные законы и требует от финансовых институтов США защищать непубличные данные граждан в процессе хранения, использования, пересылки и утилизации от всех прогнозируемых рисков информационной безо- пасности, а также обеспечивать надежный контроль доступа к этой информации. 118 Архивирование информации (data retain) является распростра- ненным требованием многих стандартов и законов, касающихся ин- формационной безопасности. Сохранение переписки сотрудников, отправленных через Интернет данных, записанных на периферийные устройства файлов и копий распечатанных на принтерах документов является важной задачей как с точки зрения внутреннего контроля и управления операционными рисками, так и как самостоятельная зада- ча. Очевидно, что часто для различных целей требуется провести рет- роспективный анализ использованной и перемещенной за пределы корпоративной сети информации. Несоблюдение требований архивирования информации в боль- шинстве нормативных документов в большинстве случаев является прямым нарушением законодательства страны, за что предусматри- ваются солидные штрафы для компаний, а топ-менеджмент несет персональную уголовную и финансовую ответственность. Часто из-за невозможности предоставить электронные копии документов в суд компании проигрывают процессы и теряют огромные суммы. Одним из наиболее известных дел, показывающих необходимость архивиро- вания информации, является процесс с участием Morgan Stanley. Пер- воначально присяжные приняли решение о взыскании с компании Morgan Stanley 1,5 млрд долларов за невозможность предоставления копий электронных писем, затребованных адвокатами другой сторо- ны. Позже эта цифра была сокращена в сто раз и составила 15 млн. долл. 9.2. Федеральный закон «О персональных данных» — основа действующего законодательства в сфере защиты пперсональных данных Федеральный закон «О персональных данных», претерпевший множество редакций, регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или 119 без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Согласно ст. 3 Закона под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В свою очередь, под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка персональных данных включает: — их распространение, предоставление, доступ; — блокирование; — уничтожение; — обезличивание. Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных — это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Под блокированием понимается временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных), а под их уничтожением — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных — это действия, в результате которых становится невозможным без использования 120 дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными оператор (государственный орган, муниципальный орган, юридическое или физическое лицо). При этом оператор обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Законом определены основополагающие принципы обработки персональных данных: 1) обработка персональных данных должна осуществляться на законной и справедливой основе; 2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; 3) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 4) обработке подлежат только персональные данные, которые отвечают целям их обработки; 5) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 6) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных; 121 7) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей; 3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве; 4) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект 122 персональных данных будет являться выгодоприобретателем или поручителем; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных; 10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных); 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Следует отметить, что принятию этого закона предшествовала ратифицикация Российской Федерацией Конвенции Совета Европы о защите физических лиц при автоматизированой обработке персональных данных 1 В законе подчеркнуто: 1) Российская Федерация заявляет, что не будет применять Конвенцию к персональным данным: 1 Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персо- нальных данных». 123 а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством РФ о государственной тайне; 2) Российская Федерация заявляет, что ... будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации; 3) Российская Федерация заявляет, что ... оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка. Согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации 1 обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Также следует отметить, что согласно Указу Президента РФ от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» руководителям государственных органов предписано: — обеспечить защиту персональных данных государственных гражданских служащих Российской Федерации, содержащихся в их 1 Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 124 личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами; — определить лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих персональных данных. Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации установлены постановлением Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее — оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных 125 или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных. Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона «О персональных данных». Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 1 Вопросы и задания для самоконтроля 1. Раскройте понятия «персональные данные», «обработка персональ- ных данных», «оператор обработки персональных данных». 1 Постановление Правительства РФ от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых комму- никаций». 126 2. Охарактеризуйте законодательство в сфере защиты персональных данных. 3. Назовите и раскройте принципы защиты персональных данных. 4. Раскройте особенности обработки специальных категорий персо- нальных данных, а также биометрических персональных данных. 5. Какими правами обладает субъект персональных данных? 6. В чем состоят обязанности оператора при обработке персональных данных? Нормативные правовые акты Конституция Российской Федерации : принята всенародным голосо- ванием 25 декабря 1993 г. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизирован- ной обработке персональных данных». Указ Президента РФ от 29 декабря 2012 г. № 1709 «О паспорте граж- данина Российской Федерации, удостоверяющем личность гражданина Рос- сийской Федерации за пределами территории Российской Федерации, со- держащем на электронном носителе информации дополнительные биомет- рические персональные данные его владельца». Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об ут- верждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об ут- верждении перечня мер, направленных на обеспечение выполнения обязан- ностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, опе- раторами, являющимися государственными или муниципальными органа- ми». Постановление Правительства РФ от 16 марта 2009 г. № 228 «О Феде- ральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций». |