Правовое регулирование отношений в области обработки персональных данных

В результате изучения данной главы обучающийся будет:

• — знать, что представляют собой персональные данные, каковы принципы обработки персональных данных, какие органы осуществляют государственный надзор и контроль за обработкой персональных данных, какие положения должен содержать предлагаемый автором данного учебника Закон "О приватности (защите частной информации граждан)";
• — уметь различать информационно-правовой статус субъекта персональных данных и информационно-правовой статус оператора обработки персональных данных;
• — владеть знанием о возможных способах защиты частной информации.

Общая характеристика законодательства о персональных данных

Российское законодательство в области персональных данных состоит из норм-принципов, установленных Конституцией РФ (ст. 23, 29, 33), международных договоров, заключаемых Российской Федерацией, и специальных законов.

Среди международных актов следует отдельно выделить Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. (г. Страсбург) ^[1], которая устанавливает международный уровень защиты персональных данных каждого лица независимо от его гражданства или места жительства, находящегося на территории страны-участницы данного документа. Принципиальное значение имеет также Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных" ^[2], согласно которой персональные данные могут передаваться в страны, обеспечивающие такой же уровень защиты, как и в европейских государствах. Россия последовательно стремится ввести у себя необходимый стандарт защиты частной информации.

Основным национальным законом, регулирующим отношения в сфере оборота персональных данных, является Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", особенностью которого являются его цели (в частности, обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, защита частной информации от незаконного посягательства со стороны третьих лиц) и сфера деятельности. Следует отметить, что в ст. 2 данный акт затрагивает также вопросы обеспечения права на неприкосновенность частной жизни, личной и семейной и иной охраняемой тайны.

Действие указанного Федерального закона не распространяется на отношения, возникающие при:

• 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
• 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов;
• 3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
• 4) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации. Характерной чертой законодательного регулирования в области персональных данных является приоритет норм международного договорного права. Так, если международным договором Российской Федерации установлены иные правила, нежели предусмотренные Федеральным законом "О персональных данных", будут применяться правила международного договора.

Согласно закону персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Обработка персональных данных включает действия или операции с ними (сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). Подобные действия осуществляет оператор обработки персональных данных, которым может быть государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание подобной обработки.

В результате процедуры обработки создается информационная система персональных данных, например, в рамках отдельной организации. Эта система обычно осуществляет обработку информации с использованием средств автоматизации. Автоматическая обработка включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических и (или) арифметических операций с такими данными, их изменение, стирание, восстановление или распространение. В некоторых организациях действует система смешанного документооборота, когда информация изначально обрабатывается с помощью технических средств, а в конечном итоге закрепляется на бумажных носителях и хранится в установленном порядке в папках, журналах, архивах и т.д.

В процессе обработки персональных данных должны соблюдаться специальные условия и установленный порядок доступа к подобным сведениям. К примеру, обеспечивается конфиденциальность получаемой (обрабатываемой) информации, однако этого не требуется: а) в случае обезличивания персональных данных; б) в отношении общедоступных персональных данных ^[3].

Обезличивание персональных данных — это действия, в результате которых невозможно определить принадлежность персональных данных конкретному лицу (например, при написании письменного экзамена при поступлении в вуз).

В целях информационного обеспечения создаются также общедоступные источники персональных данных, в том числе справочники, адресные книги, в которые с письменного согласия лица возможно включение его фамилии, имени, отчества, года и места рождения, адреса, абонентского номера, сведений о профессии и иных персональных данных, предоставленных субъектом последних.

Сведения о субъекте персональных данных по его требованию либо по решению суда или иных уполномоченных государственных органов в любое время могут быть исключены из общедоступных источников персональных данных.

Если оператор поручает обработку персональных данных другому лицу на основании договора, существенным условием последнего является обязанность обеспечения этим лицом конфиденциальности и безопасности данной информации в процессе обработки.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в их достижении. Согласно ч. 4 ст. 21 Федерального закона "О персональных данных" в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя.

• [1] Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 г. Подписана от имени Российской Федерации в Страсбурге 7 ноября 2001 г. См.: Распоряжение Президента РФ от 10 июля 2001 г. N- 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных"; Федеральный закон от 19 декабря 2005 г. № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
• [2] URL: zki.infosec.ru/law/personal/doc/136/.
• [3] Общедоступные персональные данные — те, к которым доступ неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.