Главная страница
Навигация по странице:

  • 2. Общая характеристика института персональных данных. 2.1. Предпосылки возникновения института персональных данных личности

  • 2. 2. Понятие и виды персональных данных

  • Общедоступные персональные данные

  • Биометрические персональные данные

  • "определенное"

  • 2.3. Конфиденциальность персональных данных

  • 2.4. Обработка персональных данных

    		•

    Аттестационная работа.. Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики


    Скачать 97.65 Kb.
    НазваниеПравовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики
    Дата24.01.2018
    Размер97.65 Kb.
    Формат файлаdocx
    Имя файлаАттестационная работа..docx
    ТипДокументы
    #35018
    страница1 из 3
      1   2   3


    1. Введение
    Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики. Специфика ее заключается в необходимости создания оптимального правового механизма оборота и защиты персональных данных, учитывающего в равной степени публично-правовой интерес государства и частноправовой интерес индивида. Решению этой проблемы должны послужить как глубокие теоретические исследования, в том числе сравнительно-правовые, так и анализ накопленной правоприменительной практики. Решение этой проблемы невозможно также без мониторинга состояния рынка информационных технологий, продуктов и услуг и отслеживания общих тенденций развития информационного общества.

    Настоящая работа представляет собой попытку анализа правовых проблем, связанных с оборотом персональных данных личности в России. Правовой анализ проведен на основе действующего российского и зарубежного законодательства. В работе уделяется равное внимание как теоретическим основам правового регулирования данного института, так и сугубо практическим вопросам применения соответствующего законодательства и подзаконных актов.

    26 января 2007 г. вступил в силу Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"[1], заложивший общие основы правового регулирования оборота персональных данных в России. Это не означает, однако, что до вступления в силу данного Закона персональные данные граждан не собирались и не использовались в различных целях различными субъектами. Напротив, сбор и обработку персональных данных осуществляли и государственные органы, и органы местного самоуправления, и общественные организации, и частные юридические и физические лица. При этом строгая правовая регламентация этой деятельности отсутствовала.

    На особенности оборота персональных данных в советский и постсоветский периоды истории нашего государства значительное влияние оказала господствующая административно-правовая концепция управленческой деятельности как деятельности, основанной на безусловном приоритете публичных интересов государства над частными интересами отдельного лица. В центре внимания находились вопросы организации исполнительно-распорядительной деятельности государства. Проблемы же разработки эффективных правовых процедур взаимодействия органов государственной власти с частными лицами и гарантии защиты прав последних попали в фокус общественного внимания только после принятия Конституции РФ 1993 г.[2], которая закрепила революционный для нашего государства принцип приоритета прав и свобод человека и гражданина.

    Поэтому персональные данные личности долгое время рассматривались исключительно как необходимый для осуществления государственной управленческой деятельности информационный ресурс. В отсутствие соответствующего механизма правового регулирования возникали различные злоупотребления: дублирование полномочий государственных и иных органов в части сбора и обработки персональных данных, сбор избыточных персональных данных и т.п. О необходимости обеспечения конфиденциальности персональных данных никто даже не задумывался.

    Распространение компьютерной техники серьезно усугубило проблему. Слабый контроль за использованием персональных данных и отсутствие специальных мер юридической ответственности привели к тому, что сформировался теневой рынок информационных баз данных и любой желающий мог по сходной цене приобрести для собственных (как правило, незаконных) целей базы персональных данных ГИБДД, МГТС и т.п.

    Предваряя настоящую работу, необходимо отметить, что институт персональных данных относится к новой для российской системы права отрасли - информационному праву. Доктринальное и законодательное оформление информационного права в самостоятельную правовую отрасль началось в 80-х гг. XX в., а в последнее десятилетие, в связи со стремительным развитием информационных технологий и повсеместным распространением компьютерной техники, оно получило новый толчок к развитию. В настоящее время информационное право продолжает свое становление, и уже сейчас о нем можно говорить как о молодой, но достаточно сформировавшейся комплексной правовой отрасли.

    Институт персональных данных, являющийся одним из институтов информационного права, в силу комплексного характера всей отрасли тоже является комплексным. Его составляют нормы информационного, конституционного, административного, гражданского, уголовного, трудового, семейного, финансового и иных отраслей права. Особая роль в правовом регулировании института персональных данных принадлежит нормам международного права.

    В настоящее время по уровню правовой защиты персональных данных Россия значительно отстает от развитых западных стран, в которых соответствующее законодательство было принято на несколько десятилетий раньше. Однако стремительный темп процессов европейской интеграции и всеобщей глобализации диктует необходимость скорейшего приведения российского законодательства и практики в соответствие с международными нормами. Это делает проблему создания эффективного механизма правового регулирования оборота персональных данных особенно актуальной.


    2. Общая характеристика института персональных данных.
    2.1. Предпосылки возникновения института персональных данных личности
    Исследование правового регулирования оборота персональных данных следует начать с уяснения понятия "персональные данные, то есть с определения предмета правового регулирования. Это важно еще и потому, что до недавнего времени в действующем российском законодательстве не только не существовало единого подхода к этой проблеме, но не было даже единого термина, обозначающего изучаемое явление.

    Сегодня ситуация коренным образом изменилась. Конституция РФ 1993 г. закрепила принцип приоритета прав и свобод человека и гражданина, право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиты чести и доброго имени (ст. 2, п. 1 ст. 23) [2].

    Применение компьютерных технологий значительно облегчило сбор, накопление, обработку и распространение информации, в том числе и информации личного характера - персональных данных, однако одновременно с этим значительно повысило риск их утечки и несанкционированного использования. В связи с этим возникла необходимость в создании правового механизма защиты информации.

    Очевидно, что индивид должен иметь право быть осведомленным о том, какая информация о нем накапливается в обществе, и иметь право влиять на этот процесс: "Подавляющее большинство людей не горят желанием демонстрировать свой внутренний мир, его интимные закоулки и ту совокупность информации, которую по разным причинам человек желает скрыть от окружающих... Для юридической науки важно, что данная поведенческая модель является распространенным повторяющимся поведением - нормой. Причем отклонение от этой нормы воспринимается обществом негативно и, более того, в ряде случаев вынужденная потеря индивидом своей "информационной одежды" может привести к трагическим последствиям: преступлениям или самоубийствам" [3].

    Наряду с этим нельзя отрицать, что персонификация личности представляет собой необходимый и исходный элемент ее социализации в государстве, является важнейшей предпосылкой для включения личности в социальные контакты и создает юридическую платформу для реализации ее право- и дееспособности: "Персональные данные человека исполняют роль инструмента контроля за соблюдением его прав и законных интересов. Документированное свидетельство об образовании, профессии, благонадежности и т.п. не позволит нарушить законные права субъекта персональных данных" [4].

    В информации о гражданах в силу объективных причин нуждается и государство. Создание информационной системы, как отмечается в Концепции создания системы персонального учета населения Российской Федерации, одобренной распоряжением Правительства РФ от 9 июня 2005 г. N 748-р[5], необходимо государству для обеспечения адресности и эффективности социальной поддержки граждан, охраны общественного порядка, противодействия терроризму, а также обеспечения конституционных прав и свобод граждан .

    Таким образом, три объективных фактора - потребность государства в полной и достоверной информации о населении, потребность индивида в неприкосновенности частной жизни на фоне стремительной интеграции и глобализации и прорывное развитие информационных технологий - обусловили появление в правовой науке специальной юридической категории, получившей название "персональные данные личности".

    Первые научные исследования в области оборота информации и защиты отдельных ее видов от несанкционированного использования появились в западных странах в 60 - 70-е гг. прошлого века и были обусловлены появлением первой компьютерной техники и ее применением при обработке информации. Примерно тогда же, т.е. в 60 - 70-е гг., стало формироваться и первое зарубежное национальное законодательство в этой области. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. [6]. Согласно ст. 12 этого документа "никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию". Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах и документах Европейского союза.

    28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных [7] и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европейского парламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам - членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.) [8].

    Нормативное регулирование в рассматриваемой области в западных странах, в частности в странах ЕС, значительно опережало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Законы о защите персональных данных были приняты в большинстве европейских стран, причем в настоящее время во многих странах эти законы действуют в уже обновленных редакциях. Первый закон о защите персональных данных был принят в 1970 г. в Германии, в земле Гессен. До этого подобных законов нигде в мире не было [9].

    У нас в стране более позднее развитие науки информационного права было обусловлено особенностями развития нашего государства: во-первых, значительно более поздним распространением компьютерной техники; во-вторых, отсутствием сильных демократических традиций, относительно недавним избавлением от цензуры и обретением свободы СМИ.

    27 июля 2007 года был принят Федеральный закон № 149-ФЗ "Об информации, информационных технологиях и о защите информации"

    20 февраля 1995 г. был принят Федеральный закон N 24-ФЗ "Об информации, информатизации и защите информации" [10].

    Этот нормативный акт заложил основы правового регулирования оборота информации и подготовил базу для разработки специализированного законодательства.

    "Персональные данные" (лат. personal data) - термин, используемый в европейском законодательстве, обозначает одновременно группу правоотношений и объект защиты.

    Первый шаг в создании комплексного правового регулирования института персональных данных личности был сделан путем ратификации Россией Конвенции о защите физических лиц [12].

    Конвенция о защите физических лиц содержит определения основных понятий в сфере персональных данных и их защиты (персональные данные, автоматизированная база данных, автоматическая обработка) и устанавливает общие принципы автоматизированной обработки данных и их защиты. К числу таких принципов относятся добросовестность, законность, целевое соответствие, точность получения и обработки данных, их защита от несанкционированного использования, усиленный режим охраны особых категорий сведений (о национальной принадлежности, взглядах и убеждениях, здоровье и интимной жизни, судимости и др.).

    Конвенция о защите физических лиц послужила отправной точкой для разработки российского Закона о персональных данных.


    2. 2. Понятие и виды персональных данных
    Согласно определению, содержащемуся в ст. 2 Конвенции о защите физических лиц "персональные данные" - это информация, касающаяся конкретного или могущего быть идентифицированным лица".

    Согласно ст. 3 Закона о персональных данных "персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

    Итак, персональными данными является любая информация, с помощью которой лицо можно определить (идентифицировать). Далее в определении уточняется, что к информации о лице относится фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация.

    В качестве "другой" информации может выступать биометрическая информация о лице; данные о супруге, детях, других членах семьи; индивидуальные средства коммуникации (номер телефона, адрес электронной почты, ICQ, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети); сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.

    Как следует из определения персональных данных, их субъектом может быть только физическое лицо (живущее или умершее). Реквизиты юридических лиц персональными данными не являются. В законодательных актах различных европейских стран персональные данные рассматриваются как информации, с помощью которой лицо можно идентифицировать, причем субъектами персональных данных могут быть исключительно физические лица.

    Согласно Органическому закону Испании "О защите персональных данных" 1999 г. "к персональным данным относится любая информация о конкретном человеке, которая отождествлена или может быть отождествлена с ним, в том числе и видео- и аудиоматериалы" [13].

    Как мы видим, эти определения весьма схожи и основаны на широком подходе к персональным данным, использованным и отечественным законодателем.

    Персональные данные исключительно разнообразны и разнородны. Их можно по-разному классифицировать, объединять в различные группы в зависимости от избранного критерия и цели классификации. Закон о персональных данных выделяет три вида персональных данных:

    - общедоступные персональные данные;

    - специальные категории персональных данных;

    - биометрические персональные данные.

    В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования.

    Рассмотрим подробнее каждую группу персональных данных и правовой режим их оборота.

    Общедоступные персональные данные - это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности (п. 12 ст. 3 Закона о персональных данных). Прежде всего отметим, что до настоящего времени федеральными законами такие требования не установлены.

    Статья 8 Закона о персональных данных закрепляет термин "общедоступные источники персональных данных". К ним относятся телефонные и адресные книги, энциклопедии известных личностей и т.п. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, ученых степенях и званиях и иные персональные данные, предоставленные субъектом персональных данных и отвечающие тематике общедоступного источника персональных данных. По требованию субъекта сведения о нем могут быть в любое время исключены из общедоступных источников персональных данных. Законом не устанавливается форма отзыва персональных данных их обладателем, однако логично предположить, что он должен быть сделан в письменной форме, как и согласие.

    Особую группу персональных данных представляют собой специальные категории персональных данных. Согласно ч. 1 ст. 10 Закона о персональных данных к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

    Очевидно, что к специальным категориям персональных данных законодатель отнес наиболее "чувствительную" информацию. Гарантии защиты этой информации являются важнейшими гарантиями обеспечения неприкосновенности частной жизни, личной и семейной тайны. Обработка специальных категорий персональных данных запрещена, кроме случаев, специально оговоренных в Законе.

    Отметим, что во многих европейских странах, в частности "...в Венгрии и Испании, вся информация, связанная со сферой уголовных правонарушений лица, отнесена к особоохраняемой информации" [4]. По всей видимости, тот факт, что норма об информации о судимости лица содержится в данной статье, говорит о том, что законодатель рассматривает информацию о судимости лица как один из видов специальных категорий персональных данных.

    Биометрические персональные данные представляют собой особую и весьма специфическую группу персональных данных, характеризующих физиологические особенности человека. К таким особенностям относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаза, анализ ДНК и т.п.

    Идентификация личности по совокупности биометрических признаков издавна практикуется в криминалистике - достаточно вспомнить знаменитый метод антропометрии (бертильонажа), использовавшийся европейской полицией в конце XIX в. и позволявший идентифицировать лиц, совершивших повторные преступления.

    В соответствии со ст. 11 Закона о персональных данных сбор и обработка биометрических персональных данных осуществляются, как правило, в рамках реализации полномочий государственных органов в области безопасности, оперативно-розыскной деятельности, уголовно-исполнительного производства, исполнения законодательства Российской Федерации о порядке въезда в страну и выезда из страны и о государственной службе.

    Такова классификация персональных данных в Законе о персональных данных. Различные классификации персональных данных содержатся и в национальном законодательстве европейских стран. Например, Закон Франции "Об информатике, картотеках и свободах" объединяет в отдельную категорию медицинскую информацию о личности (за исключением данных, накапливаемых с целью терапевтического или медицинского контроля за пациентом и для исследовательских целей) и в отдельной главе выделяет порядок сбора и оборота такой информации. В отдельную категорию выделены также данные о здоровье, накапливаемые и обрабатываемые с целью развития профилактической и попечительской деятельности[13].

    В рамках рассматриваемой темы нас интересует прежде всего вопрос о субъекте персональных данных. Рассмотрим его подробнее.

    Согласно п. 1 ст. 3 Закону о персональных данных субъект персональных данных - это "определенное" физическое лицо, к которому они относятся, или лицо, которое с помощью этих данных может быть установлено ("определено").

    Законом не установлено никаких ограничений или уточнений в отношении характеристик субъекта персональных данных, значит, субъектом персональных данных является любое физическое лицо, независимо от возраста, право- и дееспособности, гражданства и других индивидуальных характеристик. Отметим, что гражданство лица может влиять на правовой режим его персональных данных, но не на саму его способность быть субъектом персональных данных в Российской Федерации.

    Тем не менее правовой режим персональных данных различных субъектов персональных данных может быть неодинаков. Как мы уже говорили, Закон о персональных данных не устанавливает никаких особенностей в отношении правил оборота персональных данных публичных лиц, т.е. лиц, занимающих высокие государственные посты (президента, депутата, министра, судьи и т.п.).

    2.3. Конфиденциальность персональных данных
    Конституцией РФ провозглашено право каждого на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 23, п. 1 ст. 24 Конституции РФ).

    В соответствии со ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" [10], порядок доступа к персональным данным граждан устанавливается федеральным законом и запрещается требовать от гражданина предоставления информации о его частной жизни, а также получать такую информацию помимо его воли.

    Таким образом, Конституцией РФ и федеральным законодательством информация о частной жизни отнесена к охраняемой законом информации, доступ к ней без согласия лица, к которому она относится, не допускается. Другими словами, информация о частной жизни лица, в том числе персональные данные, признается конфиденциальной.

    Закон о персональных данных определяет конфиденциальность информации как обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ч. 1 ст. 7).

    Не будет преувеличением сказать, что проблема обеспечения конфиденциальности персональных данных является одной из важнейших теоретических и практических проблем, подлежащих разрешению специалистами в области права и информационной безопасности. Согласно данным, приведенным журналом "Управление персоналом", одним из наиболее востребованных видов инсайдерской информации в настоящее время являются персональные данные сотрудников компаний [14].

    Современный человек, взаимодействуя с различными государственными и общественными организациями, постоянно представляет свои персональные данные. Соответственно, огромные массивы персональных данных накапливаются у многочисленных операторов. Нарушение оператором режима конфиденциальности может нанести субъекту персональных данных моральный и материальный ущерб, поэтому эффективное обеспечение конфиденциальности персональных данных операторами - один из важнейших элементов механизма защиты персональных данных, имеющих огромное практическое значение.

    В Законе о персональных данных закреплена обязанность операторов, должностных лиц уполномоченного органа по защите прав субъектов персональных данных и третьих лиц, получивших доступ к персональным данным, обеспечивать конфиденциальность этих данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных (ст. 7 и ч. 4 ст. 23).

    В случае обезличивания персональных данных становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных (п. 8 ст. 3) и тем самым обеспечивается конфиденциальность этих данных.

    Проблема обеспечения конфиденциальности персональных данных тесно связана с другой, весьма сложной проблемой так называемого рутинного (или вторичного) использования персональных данных.

    "Рутинное использование", впервые примененное в США, представляет собой исключение из общих правил обеспечения режима конфиденциальности персональных данных и создает широкие возможности для обмена персональной информацией между различными государственными ведомствами. Эта оговорка разрешает ведомству использовать персональные данные и раскрывать их для целей, совместимых (но не обязательно совпадающих) с той целью, для которой была собрана информация [15].

    Именно оговорка о "рутинном использовании" позволила внедрить в информационную практику государственных ведомств компьютерную сверку, т.е. проводимое с помощью компьютерных технологий сопоставление двух или более систем персональных данных. Такое сопоставление позволяет объединить имеющуюся в разных системах персональную информацию в единый банк данных и получить более полный "информационный портрет" индивида.

    Впервые эта операция была использована в 1977 г. Департаментом здравоохранения, образования и социального обеспечения США, которое рассматривало ее как эффективный способ обнаружения обмана или злоупотреблений со стороны лиц, получающих пособия и услуги одновременно по нескольким программам социальной помощи. Общественная реакция была резко отрицательной. Противники компьютерной сверки указывали на то, что она, по существу, представляет собой "электронный обыск", проводимый с нарушением презумпции невиновности. Практика показала к тому же, что эффективность такого "обыска" не слишком высока.

    Следует сказать о технических мерах, используемых для защиты персональных данных в информационных системах. В Законе о персональных данных устанавливается обязанность операторов при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ч. 1 ст. 19).

    Краеугольным камнем любой, даже самой технически совершенной информационной системы, является профессионализм и ответственность обслуживающего ее персонала. Как отмечается специалистами по информационной безопасности, человеческий фактор должен учитываться и являться основным элементом построения эффективной системы защиты автоматизированных информационных систем [16].

    Общие требования относительно правил работы с персональными данными работников операторов - юридических лиц устанавливаются подзаконными актами, например Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах" и других подзаконных актах, нуждаются в конкретизации в нормах, устанавливаемых локальным нормативным регулированием. В частности, для регламентации особенностей трудовой функции работников, в чью компетенцию входит работа с персональными данными, можно использовать трудовой договор (а также различные соглашения) с этими работниками и другие локальные нормативные акты организации.

    Словом, в локальном нормативном регулировании, касающемся прав и обязанностей как работника, так и работодателя, должен быть закреплен весь спектр мер, направленных на предупреждение возможности несанкционированного доступа, использования и разглашения персональных данных, а также дифференцированная система мер ответственности за нарушение соответствующих правил.

    Сравнивая российский Закон о персональных данных в части вопросов обеспечения конфиденциальности персональных данных с аналогичными законами других европейских стран, можно отметить следующее.

    Российский Закон о персональных данных в отличие от аналогичных законов в России организационные и технические требования, предъявляемые к информационным системам персональных данных, закреплены в подзаконных актах Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора). Таким образом, организационное и техническое регулирование осуществляется не законодательными (более высокими по иерархии), а подзаконными актами. Любой специалист по государственному управлению или юрист-административист знает, насколько такое подзаконное регулирование обширно, неустойчиво и противоречиво. Каждое ведомство "тянет одеяло на себя" и преследует прежде всего свой собственный интерес. Кроме того, система органов исполнительной власти постоянно находится в состоянии реформирования. Очевидно, что в условиях перманентной реорганизации ведомство не может эффективно работать. Все это говорит о том, что организационные и технические требования или хотя бы их некоторую часть целесообразнее было бы закрепить в законе, а не в подзаконном акте, как это сделано во многих европейских странах.

    Проблемы распространения персональных данных в Интернете в определенной степени регулируются общеевропейскими нормативными документами. Так, Директива Европейского парламента и Совета Европейского союза от 15 декабря 1997 г. N 97/66/ЕС обязывает соответствующие государства на уровне национального законодательства "обеспечивать конфиденциальность коммуникаций, осуществляемых посредством общедоступной телекоммуникационной сети и общедоступных телекоммуникационных услуг" [8]. Кроме того, к настоящему моменту в международной юридической практике уже накоплен некоторый "внесудебный" опыт урегулирования подобных дел.

    Обобщая вышесказанное, нужно отметить, что в целом Закон о персональных данных установил лишь основные требования к порядку обеспечения конфиденциальности персональных данных. Однако некоторые важные вопросы, напрямую связанные с обеспечением конфиденциальности персональных данных, остались неурегулированными. К ним относятся вопрос вторичного использования персональных данных, проблема применения идентификаторов, вопрос о правилах работы закрытых информационных систем, вопрос об организационных основах деятельности операторов. В особом регулировании по-прежнему нуждается проблема обеспечения конфиденциальности (а также изъятий из нее) в условиях свободы СМИ.

    2.4. Обработка персональных данных
    С началом применения технологии в деле сбора и обработки информации выявились два различных подхода к этому вопросу: позитивный и негативный [17]. Сторонники негативного подхода считали, что разработка специальной правовой процедуры для сбора и обработки персональных данных не требуется. По их мнению, информатика не внесла ничего нового в эту область. Сведения о населении собирались всегда, и в чисто техническом отношении не было резкого перехода от ручных картотек к электронным.

    Аргументация сторонников позитивного подхода строилась на одном из основных законов материалистической диалектики о переходе количественных изменений в качественные. В соответствии с ним применение информатики создало качественно новую ситуацию в обработке информации, в том числе информации о гражданах. Возможность быстрого аккумулирования, группировки, сопоставления и распространения данных средствами электронной коммуникации создает условия для легкого доступа к этим данным. В связи с этим необходимо создание качественно нового правового регулирования вопросов сбора и обработки информации о гражданах, учитывающего особенности автоматизированной обработки этой информации [17].

    Появление Интернета с его неограниченными возможностями накопления, передачи и синтеза информации поставило вопрос о защите персональных данных, содержащихся в автоматизированных информационных системах, на качественно иной уровень.

    Согласно п. 9 ст. 3 Закона о персональных данных информационная система персональных данных - это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

    Действие рассматриваемого Закона не распространяется, во-первых, на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных, т.е. в данном случае действует правило "разрешено все, что не запрещено", и законодатель не вмешивается в частную деятельность лиц по сбору персональных данных до тех пор, пока эти действия не нарушают прав и свобод субъекта персональных данных и не содержат признаков правонарушения.

    Во-вторых, действие рассматриваемого Закона не распространяется на организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле.

    В-третьих, Законом не регулируется правовой режим обработки подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя.

    В-четвертых, Закон не распространяется на обработку персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Порядок обработки этих сведений регулируется законодательством о государственной тайне.

    В-пятых, действие Закона не распространяется на информационные отношения, возникающие при реализации Федерального закона от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

    Вышеперечисленная часть сведений, выведенная из сферы действия Закона о персональных данных, регулируется специальными законодательными и иными нормативными актами.

    Как уже отмечалось, значительная часть Закона о персональных данных посвящена регулированию вопросов обработки персональных данных. Что представляет собой обработка персональных данных?

    Согласно ст. 3 Закона о персональных данных под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

    При этом согласно той же статье под распространением персональных данных подразумеваются действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

    Использование персональных данных - это действия с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

    Блокирование персональных данных - это временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Уничтожение персональных данных - это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

    Прежде чем приступить к рассмотрению вопросов, связанных с собственно обработкой персональных данных, затронем вопрос о принципах обработки персональных данных (ст. 5 Закона о персональных данных). К ним, в частности, относятся:

    - принцип законности целей и способов обработки персональных данных и добросовестности;

    - принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

    - принцип соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;

    - принцип достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным оператором целям;

    - принцип недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

    Перечисленные принципы обработки персональных данных являются, по сути, лишь принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов.

    Главным, на наш взгляд, принципом обработки персональных данных должна являться добровольность их предоставления для обработки субъектом персональных данных (ст. 6 Закона о персональных данных). По общему правилу лицо вправе давать или не давать согласие на обработку своих персональных данных тому или иному оператору. Субъект персональных данных имеет также право свое согласие отозвать. В ряде случаев, например для создания общедоступных источников персональных данных, согласие должно быть выражено в письменной форме.

    В соответствии со ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется в следующих случаях:

    1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

    1.1) обработка персональных данных осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии (реадмиссия - это согласие государства на прием на свою территорию своих граждан (или иностранцев, ранее проживавших в этом государстве), подлежащих депортации из другого государства);

    2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

    3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

    4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;

    5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи, а также для рассмотрения претензий пользователей услугами связи;

    6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

    7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

    Таким образом, согласия субъекта персональных данных на предоставление его персональных данных не требуется в случаях, когда речь идет об обеспечении государственных или иных жизненно важных интересов самого субъекта персональных данных, а именно защиты конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обороны и безопасности страны и т.п. (ст. 9 Закона о персональных данных).

    Согласно ст. 8 Закона о персональных данных общедоступные источники персональных данных могут включать с письменного согласия субъекта персональных данных его фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие данные по желанию субъекта. Персональные данные субъекта по его требованию могут быть в любое время исключены из общедоступных источников.

    Обработка специальных категорий персональных данных по общему правилу запрещена (ст. 10 Закона о персональных данных). Этой нормой ограничивается включение наиболее "чувствительной" информации личного характера в область публично-правовых отношений.

    Однако существует целый ряд исключений из этого правила, которые, кстати, довольно существенно снижают эффективность этой нормы. Обработка допускается, если:

    1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

    1.1) обработка персональных данных требуется в связи с реализацией международных договоров Российской Федерации о реадмиссии;

    2) персональные данные являются общедоступными;

    3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;

    4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;

    5) обработка персональных данных участников общественного объединения или религиозной организации осуществляется ими для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;

    6) обработка персональных данных необходима в связи с осуществлением правосудия;

    7) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.

    Нам представляется, что возможность обработки специальных категорий персональных данных с письменного согласия индивида может привести к злоупотреблениям.

    Особого внимания заслуживает тема прав субъекта персональных данных в отношении обработки персональных данных. Ведь именно обеспечение прав личности является одной из важнейших целей законодательства о персональных данных.

    Права субъекта персональных данных можно условно разделить на три группы: права в отношении оператора (например, право на отказ в предоставлении персональных данных); права в отношении обработки персональных данных (например, право на блокирование данных); права по обжалованию и защите интересов (например, право на возмещение вреда). Все эти права позволяют самому субъекту осуществлять контроль за сбором и обработкой его персональных данных на разных стадиях этого процесса.

    Прежде всего, как мы уже говорили, в ряде случаев субъект персональных данных имеет право отказаться от обработки своих персональных данных или отозвать уже данное согласие (ст. 9 Закона о персональных данных). Далее, субъект персональных данных имеет право на информацию об операторе (о месте его нахождения, о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных), а также имеет право на ознакомление с этими данными. Если, по мнению субъекта персональных данных, его данные являются устаревшими, неполными, недостоверными, незаконно полученными или являются избыточными для заявленной цели обработки, субъект персональных данных имеет право путем обращения или направления соответствующего запроса оператору требовать уточнения, блокирования или уничтожения содержащихся у оператора персональных данных.

    В некоторых случаях право субъекта на доступ к своим персональным данным может быть ограничено. Эти ограничения действуют, когда обработка персональных данных субъекта производится в целях обеспечения обороны и безопасности страны и охраны правопорядка. Однако надо признать, что эти ограничения незначительны. В некоторых европейских странах эти ограничения более существенные. Например, в Венгрии и Франции доступ к своим персональным данным субъект получает на возмездной основе, и этот доступ ограничен определенным числом обращений в год [17].

    Обработка персональных данных в целях продвижения товаров и услуг (прямой маркетинг), а также в целях политической агитации допускается только при наличии согласия субъекта персональных данных (ст. 15 Закона о персональных данных).

    Статьей 12 Закона о персональных данных предусмотрена возможность трансграничной передачи персональных данных. Она представляет собой передачу персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

    По общему правилу трансграничная передача персональных данных возможна, только если на территории государства, в которое осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных. Если адекватный уровень защиты прав субъектов персональных данных в иностранном государстве отсутствует, то передача возможна в следующих случаях:

    1) наличия письменного согласия субъекта персональных данных, а при его отсутствии - в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц;

    2) предусмотренных различными международными договорами Российской Федерации об оказании правовой помощи;

    3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства.

    Закон о персональных данных не содержит, к сожалению, никаких установлений о том, на какой орган возлагается обязанность проведения экспертизы степени защиты персональных данных в иностранных государствах, какова ее процедура и как оформляется результат. Вероятно, это обязанность органа или лица, осуществляющих трансграничную передачу, либо уполномоченного органа по защите прав субъектов персональных данных. Очевидно, что располагать возможностями определить уровень защиты в иностранном государстве может лишь государственный (или иной публичный) орган. У физического или юридического лица такие возможности ограничены.

    По вопросу применения этой весьма туманной нормы Мининформсвязи России издало не менее туманное письмо от 13 мая 2009 г. N ДС-П11-2502 "Об осуществлении трансграничной передачи персональных данных" [18], где фактически было сказано о том, что Министерство не знает, как применять эту норму, и может лишь предложить некоторые рекомендации. В частности, в письме говорится, что "оценка законодательной базы иностранных государств на предмет адекватности обеспечения защиты прав субъектов персональных данных в компетенцию Министерства не входит. Вместе с тем исходя из общего смысла норм Федерального закона часть 1 статьи 12 устанавливает обязанность оператора предварительно убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации".

    Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите физических лиц.

    Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Постановлении Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

    Согласно этому нормативному акту обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

    При неавтоматизированной обработке персональные данные должны фиксироваться на определенных материальных носителях и быть отделены от иной информации. Персональные данные, собранные для несовместимых целей, должны фиксироваться на различных материальных носителях.

    При использовании типовых форм документов должны соблюдаться следующие условия:

    а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

    б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

    в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

    г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

    Контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется уполномоченным органом по защите прав субъектов персональных данных. Как уже говорилось, в настоящее время его функции выполняет Роскомнадзор.

    Тот факт, что контролирующий орган не является независимым, а относится к исполнительной ветви власти, говорит о потенциально невысоком уровне правозащиты. Ведь не случайно большинство европейских стран учреждают независимый контролирующий орган - по аналогии с институтом омбудсмена. Создание независимого института обусловлено необходимостью контроля за деятельностью различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.

    Во Франции контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется Национальной комиссией по информатике и свободам, которая является административно независимым органом. Порядок ее работы и полномочия, состав и статус ее членов закреплены отдельными статьями в Законе "Об информатике, картотеках и свободах", который регулирует обработку персональных данных во Франции [13], В Испании, как мы уже говорили, аналогичные функции выполняет Агентство по защите персональных данных.

    Правовой режим обработки персональных данных, установленный Законом, обеспечивается в случае его нарушения применением мер гражданской, уголовной, административной, дисциплинарной, материальной ответственности.

    В сущности, проблема защиты персональных данных граждан представляет собой проблему согласования интересов личности и государства. Гражданин стремится максимально оградить свою частную сферу от вмешательства государства. Государство же для осуществления своих функций нуждается в информации о гражданах. Следовательно, задача правового регулирования в этой области состоит в том, чтобы при минимальном нарушении приватности частной жизни обеспечить государство необходимыми информационными ресурсами.

    Однако граница между частной жизнью и жизнью, имеющей социальный характер, достаточно условна и зависит от многих факторов. Поэтому при оценке риска вмешательства в частную жизнь должны учитываться многие составляющие, в частности характер и объем информации, подлежащей включению в автоматизированную систему, то, из каких источников предполагается получать такую информацию, а также отношение или вероятное отношение субъектов к обработке своих персональных данных. Как гласит Закон Венгрии "О защите персональных данных и публикации данных, представляющих общественный интерес", "любые... интересы, связанные с использованием данных, не могут нарушать прав, относящихся к защите персональных данных, а также права заинтересованного лица на неприкосновенность частной жизни" [13].

    В связи с этим именно оценка риска вмешательства в частную жизнь индивида и степень причиненного таким вмешательством ущерба (как материального, так и морального) должны стать для законодателя своеобразным камертоном, помогающим оценить и уравновесить интересы личности и государства в сфере обработки персональных данных. Однако, как показало статистическое исследование, проведенное оргкомитетом общественных слушаний по правовым проблемам обработки персональных данных, большинство опрошенных полагают, что в данном вопросе приоритетными являются интересы государства " [19]. К сожалению, это свидетельствует о том, что менталитет российского общества пока не готов к восприятию либерально-демократических ценностей современного мира.

    Завершая тему обработки персональных данных, остановимся на тех положениях Закона, которые, на наш взгляд, нуждаются в доработке.

    В перечень специальных категорий персональных данных, по нашему мнению, следует включить сведения об усыновлении (удочерении), сведения о погашенной судимости, об участии в уголовном судопроизводстве в качестве подозреваемого, о финансовой помощи и об услугах. Обработку этих сведений должны быть вправе осуществлять только специально уполномоченные органы.


      1   2   3

    написать администратору сайта