logo
ІНФОРМАЦІЙНЕ ПРАВО (стац) / ПІДРУЧНИКИ / Информационное право Учебное пособие,

10.3. Особенности информационных отношений

в области персональных (конфиденциальных) данных

Правовому регулированию информационных отношений в области персональных данных уделяется важное значение в мировой практике. Более чем в 20 странах мира существуют законы, регулирующие отношения в области персональных данных.

В преамбуле Конвенции о защите личности в связи с автоматической обработкой персональных данных (Страсбург, 28 января 1981 г.) <*> отмечается, что государства - члены Совета Европы согласились подписать данную Конвенцию, учитывая следующие обстоятельства:

--------------------------------

<*> Конвенция не ратифицирована Российской Федерацией. Текст Конвенции официально опубликован не был. См.: Распоряжение Президента РФ от 10 июля 2001 г. N 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных".

- принимая во внимание, что целью Совета Европы является достижение более тесного объединения его членов на основе уважения принципов правового государства, а равно прав и основных свобод человека;

- принимая во внимание настоятельную необходимость усиления гарантий прав и основных свобод каждого человека и в особенности права на неприкосновенность его этичной сферы, вызванную все возрастающим перемещением через границы персональных данных, обработанных с применением автоматизированных средств;

- одновременно подтверждая свою приверженность свободе информации независимо от границ;

- признавая необходимость совмещения фундаментальных ценностей уважения неприкосновенности личной сферы и свободного обмена информацией между народами.

Целью Конвенции является обеспечение на территории государства, подписавшего Конвенцию, уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных ("защита данных").

В ст. 2 Конвенции определены следующие основные понятия.

Персональные данные - информация, касающаяся конкретного или могущего быть идентифицированным лица ("субъекта данных").

Автоматизированная база данных - любой набор данных, к которым применяется автоматическая обработка.

Автоматическая обработка - это следующие операции, которые полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение.

Согласно ст. 5 Конвенции персональные данные, проходящие автоматическую обработку:

- должны быть получены и обработаны добросовестным и законным образом;

- должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

- должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

- должны быть точными и в случае необходимости обновляться;

- должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

В соответствии со ст. 6 Конвенции персональные данные о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно персональные данные, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к персональным данным, касающимся судимости.

Статья 7 Конвенции обязывает принимать надлежащие меры для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Любому лицу согласно ст. 8 Конвенции должно быть предоставлено право:

- быть осведомленным о существовании автоматизированной базы персональных данных, о ее главных целях, а также о контролере базы данных, его месте жительства либо юридическом адресе;

- периодически и без излишних затрат времени или средств обращаться с запросом о том, накапливаются ли в автоматизированной базе данных касающиеся его персональные данные, и получать информацию о таких данных в доступной форме;

- требовать уточнения или уничтожения таких данных, если они были обработаны с нарушением положений национального права, реализующих основные принципы, изложенные в настоящей Конвенции;

- прибегнуть к судебной защите нарушенного права, если его запрос либо требование о предоставлении информации, уточнении или уничтожении данных, упомянутые в настоящей статье, не были удовлетворены.

В настоящее время совершенствование правового регулирования проблемы персональных данных производится в соответствии с Директивой Европейского парламента и Совета Европы 95/46/ЕС от 24 октября 1995 г. "О защите личности в отношении обработки персональных данных и свободном обращении этих данных". Директива утверждена как обязательная для стран Европейского Сообщества.

Институт персональных данных в Российской Федерации находится в стадии формирования. Его правовой базой является Конституция РФ, законодательство Российской Федерации, регулирующее информационные отношения в области персональных данных, международные договоры, в которых Россия участвует.

Отношения в сфере защиты персональных данных регулирует Федеральный закон "Об информации, информатизации и защите информации" <*>. В ст. 2 этого Закона информация о гражданах (персональные данные) определяется как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

--------------------------------

<*> См.: Федеральный закон от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации" // СЗ РФ. 1995. N 8. Ст. 609.

В ст. 11 Федерального закона "Об информации, информатизации и защите информации" отмечается следующее.

1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

4. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании законодательства о персональных данных.

Порядок доступа граждан и организаций к информации о персональных данных регламентируется ст. 14 Федерального закона "Об информации, информатизации и защите информации".

1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации.

3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов на основании ст. 7 и 8 Федерального закона "Об информации, информатизации и защите информации", имеют право бесплатно пользоваться этой информацией.

4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке.

В качестве цели защиты информации и прав субъектов в области информационных процессов и информатизации в ст. 20 этого Федерального закона указывается защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах. Согласно ст. 21 режим защиты информации в отношении персональных данных устанавливается Федеральным законом.

Прямые указания на защиту персональных данных содержатся в иных федеральных законах Российской Федерации. Среди них необходимо отметить следующие:

- Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ;

- Федеральный закон от 10 января 2003 г. N 20-ФЗ "О государственной автоматизированной системе Российской Федерации "Выборы";

- Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 г. N 195-ФЗ;

- Федеральный закон "Об актах гражданского состояния" <*>;

--------------------------------

<*> Федеральный закон от 15 ноября 1997 г. N 143-ФЗ "Об актах гражданского состояния" // СЗ РФ. 1997. N 47. Ст. 5340.

- Федеральный закон "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" <*>.

--------------------------------

<*> Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" // СЗ РФ. 1996. N 14. Ст. 1401.

Единого нормативного акта, устанавливающего порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, не существует.

Государственное регулирование в области персональных данных находится в стадии становления. Депутаты Государственной Думы К.В. Ветров, А.В. Шубин, О.А. Финько, П.И. Коваленко, И.В. Лебедев, Б.А. Мартынов, Ф.А. Клинцевич, А.А. Кравец внесли проект Федерального закона "Об информации персонального характера" (Протокола N 49 заседания Совета Государственной Думы от 24 октября 2000 г.). Целями Федерального закона являются:

- регулирование отношений по защите прав и свобод личности при использовании информации персонального характера и по защите этой информации;

- определение условий законности работы с информацией персонального характера;

- установление порядка формирования массивов информации персонального характера федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, а также юридическими лицами, определяемыми Правительством Российской Федерации;

- определение прав и обязанностей субъектов информации персонального характера и держателей (обладателей) массивов такой информации;

- установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.

В проекте Федерального закона под информацией персонального характера (персональными данными) понимается "зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности". К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее.

Статьей 28 проекта Федерального закона "Об информации персонального характера" предусматриваются следующие формы государственного регулирования работы с персональными данными:

- лицензирование работы с персональными данными;

- учет и регистрация массивов персональных данных и их держателей (обладателей);

- сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;

- заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.

Согласно ч. 1 ст. 29 проекта Федерального закона "Об информации персонального характера" лицензия на проведение работы с персональными данными выдается уполномоченным органом государственной власти по персональным данным юридическим лицам, определяемым Правительством Российской Федерации.

В лицензии указываются:

- цели сбора и использования персональных данных, режимы и сроки их хранения;

- категории или группы субъектов персональных данных;

- перечень персональных данных;

- источники сбора персональных данных;

- порядок информирования субъектов о сборе и возможной передаче их персональных данных;

- меры по обеспечению сохранности и конфиденциальности персональных данных;

- лицо, непосредственно ответственное за работу с персональными данными;

- требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.

В соответствии со ст. 30 указанного проекта Федерального закона лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:

- нарушения условий лицензии;

- подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;

- ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица - держателя (обладателя) массива персональных данных;

- по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;

- по решению суда.

Статьей 31 проекта Федерального закона "Об информации персонального характера" предусматривается следующий порядок регистрации массивов и держателей (обладателей) персональных данных.

1. При регистрации фиксируются:

- наименование массива персональных данных;

- наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);

- цели и способы сбора и использования персональных данных, режимы и сроки их хранения;

- перечень собираемых персональных данных;

- категории или группы субъектов персональных данных;

- источники сбора персональных данных;

- порядок информирования субъектов о сборе и возможной передаче их персональных данных;

- меры по обеспечению сохранности и конфиденциальности персональных данных;

- лицо, непосредственно ответственное за работу с персональными данными;

- требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.

2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Российской Федерации "О государственной тайне", не регистрируются.

3. Уполномоченный орган государственной власти по персональным данным осуществляет учет массивов персональных данных и держателей (обладателей) этих данных, включая и держателей массивов персональных данных, осуществляющих работу с персональными данными по лицензии. Указанный орган ежегодно публикует Реестр держателей персональных данных для всеобщего сведения в средствах массовой информации. Объединенный федеральный Реестр публикуется в общероссийских средствах массовой информации тиражом не менее 100 тыс. экземпляров.