10.3. Особенности информационных отношений
в области персональных (конфиденциальных) данных
Правовому регулированию информационных отношений в области персональных данных уделяется важное значение в мировой практике. Более чем в 20 странах мира существуют законы, регулирующие отношения в области персональных данных.
В преамбуле Конвенции о защите личности в связи с автоматической обработкой персональных данных (Страсбург, 28 января 1981 г.) <*> отмечается, что государства - члены Совета Европы согласились подписать данную Конвенцию, учитывая следующие обстоятельства:
--------------------------------
<*> Конвенция не ратифицирована Российской Федерацией. Текст Конвенции официально опубликован не был. См.: Распоряжение Президента РФ от 10 июля 2001 г. N 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных".
- принимая во внимание, что целью Совета Европы является достижение более тесного объединения его членов на основе уважения принципов правового государства, а равно прав и основных свобод человека;
- принимая во внимание настоятельную необходимость усиления гарантий прав и основных свобод каждого человека и в особенности права на неприкосновенность его этичной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств;
- одновременно подтверждая свою приверженность свободе информации независимо от границ;
- признавая необходимость совмещения фундаментальных ценностей уважения неприкосновенности личной сферы и свободного обмена информацией между народами.
Целью Конвенции является обеспечение на территории государства, подписавшего Конвенцию, уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных ("защита данных").
В ст. 2 Конвенции определены следующие основные понятия.
Персональные данные - информация, касающаяся конкретного или могущего быть идентифицированным лица ("субъекта данных").
Автоматизированная база данных - любой набор данных, к которым применяется автоматическая обработка.
Автоматическая обработка - это следующие операции, которые полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение.
Согласно ст. 5 Конвенции персональные данные, проходящие автоматическую обработку:
- должны быть получены и обработаны добросовестным и законным образом;
- должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
- должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
- должны быть точными и в случае необходимости обновляться;
- должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
В соответствии со ст. 6 Конвенции персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к персональным данным, касающимся судимости.
Статья 7 Конвенции обязывает принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Любому лицу согласно ст. 8 Конвенции должно быть предоставлено право:
- быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе;
- периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;
- требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные в настоящей Конвенции;
- прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных, упомянутые в настоящей статье, не были удовлетворены.
В настоящее время совершенствование правового регулирования проблемы персональных данных производится в соответствии с Директивой Европейского парламента и Совета Европы 95/46/ЕС от 24 октября 1995 г. "О защите личности в отношении обработки персональных данных и свободном обращении этих данных". Директива утверждена как обязательная для стран Европейского Сообщества.
Институт персональных данных в Российской Федерации находится в стадии формирования. Его правовой базой является Конституция РФ, законодательство Российской Федерации, регулирующее информационные отношения в области персональных данных, международные договоры, в которых Россия участвует.
Отношения в сфере защиты персональных данных регулирует Федеральный закон "Об информации, информатизации и защите информации" <*>. В ст. 2 этого Закона информация о гражданах (персональные данные) определяется как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.
--------------------------------
<*> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" // СЗ РФ. 1995. N 8. Ст. 609.
В ст. 11 Федерального закона "Об информации, информатизации и защите информации" отмечается следующее.
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании законодательства о персональных данных.
Порядок доступа граждан и организаций к информации о персональных данных регламентируется ст. 14 Федерального закона "Об информации, информатизации и защите информации".
1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.
2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации.
3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов на основании ст. 7 и 8 Федерального закона "Об информации, информатизации и защите информации", имеют право бесплатно пользоваться этой информацией.
4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке.
В качестве цели защиты информации и прав субъектов в области информационных процессов и информатизации в ст. 20 этого Федерального закона указывается защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Согласно ст. 21 режим защиты информации в отношении персональных данных устанавливается Федеральным законом.
Прямые указания на защиту персональных данных содержатся в иных федеральных законах Российской Федерации. Среди них необходимо отметить следующие:
- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;
- Федеральный закон от 10 января 2003 г. N 20-ФЗ "О государственной автоматизированной системе Российской Федерации "Выборы";
- Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ;
- Федеральный закон "Об актах гражданского состояния" <*>;
--------------------------------
<*> Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" // СЗ РФ. 1997. N 47. Ст. 5340.
- Федеральный закон "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" <*>.
--------------------------------
<*> Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" // СЗ РФ. 1996. N 14. Ст. 1401.
Единого нормативного акта, устанавливающего порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, не существует.
Государственное регулирование в области персональных данных находится в стадии становления. Депутаты Государственной Думы К.В. Ветров, А.В. Шубин, О.А. Финько, П.И. Коваленко, И.В. Лебедев, Б.А. Мартынов, Ф.А. Клинцевич, А.А. Кравец внесли проект Федерального закона "Об информации персонального характера" (Протокола N 49 заседания Совета Государственной Думы от 24 октября 2000 г.). Целями Федерального закона являются:
- регулирование отношений по защите прав и свобод личности при использовании информации персонального характера и по защите этой информации;
- определение условий законности работы с информацией персонального характера;
- установление порядка формирования массивов информации персонального характера федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, а также юридическими лицами, определяемыми Правительством Российской Федерации;
- определение прав и обязанностей субъектов информации персонального характера и держателей (обладателей) массивов такой информации;
- установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.
В проекте Федерального закона под информацией персонального характера (персональными данными) понимается "зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности". К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее.
Статьей 28 проекта Федерального закона "Об информации персонального характера" предусматриваются следующие формы государственного регулирования работы с персональными данными:
- лицензирование работы с персональными данными;
- учет и регистрация массивов персональных данных и их держателей (обладателей);
- сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;
- заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.
Согласно ч. 1 ст. 29 проекта Федерального закона "Об информации персонального характера" лицензия на проведение работы с персональными данными выдается уполномоченным органом государственной власти по персональным данным юридическим лицам, определяемым Правительством Российской Федерации.
В лицензии указываются:
- цели сбора и использования персональных данных, режимы и сроки их хранения;
- категории или группы субъектов персональных данных;
- перечень персональных данных;
- источники сбора персональных данных;
- порядок информирования субъектов о сборе и возможной передаче их персональных данных;
- меры по обеспечению сохранности и конфиденциальности персональных данных;
- лицо, непосредственно ответственное за работу с персональными данными;
- требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
В соответствии со ст. 30 указанного проекта Федерального закона лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
- нарушения условий лицензии;
- подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
- ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица - держателя (обладателя) массива персональных данных;
- по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;
- по решению суда.
Статьей 31 проекта Федерального закона "Об информации персонального характера" предусматривается следующий порядок регистрации массивов и держателей (обладателей) персональных данных.
1. При регистрации фиксируются:
- наименование массива персональных данных;
- наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
- цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
- перечень собираемых персональных данных;
- категории или группы субъектов персональных данных;
- источники сбора персональных данных;
- порядок информирования субъектов о сборе и возможной передаче их персональных данных;
- меры по обеспечению сохранности и конфиденциальности персональных данных;
- лицо, непосредственно ответственное за работу с персональными данными;
- требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.
2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Российской Федерации "О государственной тайне", не регистрируются.
3. Уполномоченный орган государственной власти по персональным данным осуществляет учет массивов персональных данных и держателей (обладателей) этих данных, включая и держателей массивов персональных данных, осуществляющих работу с персональными данными по лицензии. Указанный орган ежегодно публикует Реестр держателей персональных данных для всеобщего сведения в средствах массовой информации. Объединенный федеральный Реестр публикуется в общероссийских средствах массовой информации тиражом не менее 100 тыс. экземпляров.
- Московский университет мвд россии информационное право м.А. Лапина, а.Г. Ревин, в.И. Лапин
- Общая часть
- Глава 1. Информационное право, его система и источники
- 1.1. Понятие информации и информационной сферы
- 1.2. Понятие информационного права
- 1.3. Система информационного права
- 1.4. Основные субъекты информационного права
- 1.5. Источники информационного права
- Глава 2. Информационно-правовые нормы и информационные правоотношения
- 2.1. Общая характеристика, структура, виды
- 2.2. Информационно-правовые нормы международных актов
- 2.3. Информационное правоотношение: содержание и структура
- 2.4. Классификация информационных правоотношений
- Глава 3. Право на информацию, его охрана и защита. Интернет и право
- 3.1. Конституция рф о праве на поиск, получение
- 3.2. Правовые гарантии поиска и получения информации
- 3.3. Право на поиск и получение документированной информации
- 3.4. Особенности реализации
- Глава 4. Документированная информация как объект информационных правоотношений
- 4.1. Правовое регулирование отношений в области
- 4.2. Правовой режим документированной информации
- 4.3. Правовое регулирование отношений в сфере
- 4.4. Документированная информация
- Глава 5. Правовые основы обеспечения информационной безопасности
- 5.1. Понятия информационной безопасности и угрозы
- 5.2. Система правового обеспечения
- 5.3. Защита прав и свобод человека и гражданина
- Глава 6. Юридическая ответственность за правонарушения в информационной сфере
- 6.1. Правовая ответственность
- 6.2. Виды юридической ответственности
- Особенная часть
- Глава 7. Институт интеллектуальной собственности в системе информационного права
- 7.1. Понятие и структура интеллектуальной собственности
- 7.2. Регулирование информационных отношений
- 7.3. Регулирование информационных отношений институтом
- 7.4. Регулирование информационных отношений
- Глава 8. Правовое регулирование информационных отношений при создании и распространении массовой информации
- 8.1. Правовые гарантии и ограничения прав
- 8.2. Правовые формы организации деятельности сми
- 8.3. Правовой статус журналиста
- 8.4. Правовое регулирование в области производства
- 8.5. Сми и Интернет
- Глава 9. Правовое регулирование информационных отношений в области библиотечного дела, архивного дела и архивов
- 9.1. Законодательство в области библиотечного дела
- 9.2. Правовое регулирование архивного дела
- 9.3. Правовые основы комплектования, хранения,
- Глава 10. Информационно-правовые отношения в области государственной и коммерческой тайны, персональных (конфиденциальных) данных, тайны частной жизни
- 10.1. Особенности информационных отношений
- 10.2. Особенности информационных отношений
- 10.3. Особенности информационных отношений
- 10.4. Тайна частной жизни