ГЛАВА 18 ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Інформаційне право - Арістова І.В. Державна інформаційна політика |
ГЛАВА 18 ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
18.1. Особенности информационных правоотношений, возникающих при производстве, передаче и потреблении персональных данных
В мире и в Европе отношения, связанные с обращением персональных данных, регулируются достаточно давно. Актуальность и своевременность принятия' законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным опытом.
Совет Европы принял 28 января 1981 г. в Страсбурге «Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера», которая вступила в силу 1 октября 1985 г.
Цель Конвенции — гарантировать на территории каждой страны каждому частному лицу, независимо от его национальности и места проживания, соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера.
В Конвенции даны следующие определения:
данные личного характера — любая информация, относящаяся к физическому лицу, идентифицированному или которое может быть идентифицировано («информационный субъект»);
автоматизированная обработка данных подразумевает операции, выполняемые с помощью автоматизированных процессов: запись данных, применение к этим данным логических и (или) арифметических операций, их идентификация, извлечение или распространение;
автоматизированная картотека — любая совокупность информации, являющейся объектом автоматизированной обработки;
владелец картотеки — физическое или юридическое лицо, публичная власть, служба или другой орган, которые компетентны в соответствии с национальным законодательством решать вопрос о конечной цели картотеки, какие категории данных личного характера должны регистрироваться и какие операции должны производиться.
Основные принципы охраны информации. Автоматически обрабатываемые персональные данные должны:
приобретаться и обрабатываться честным и законным образом;
храниться в конкретно установленных и законных целях и не использоваться каким-либо образом, не совместимым с этими целями;
быть полными, иметь прямое отношение к цели их сбора и не превышать по объему тех потребностей, для которых они хранятся;
быть точными и там, где это необходимо, поддерживаться на уровне современности;
храниться в форме, которая позволяет идентифицировать субъекта информации в течение времени, не превышающего Потребности, для которых хранится информация.
Особые категории данных подлежат автоматической обработке только в том случае, если внутреннее право предоставляет надлежащие гарантии. То же самое относительно данных личного характера, связанных с уголовным осуждением.
В соответствии с установлениями указанной Конвенции любое лицо должно иметь возможность:
узнать о существовании автоматизированной картотеки данных личного характера, ее цели, а также личность, местонахождение и принцип назначения владельца картотеки;
получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме;
требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений внутреннего законодательства и принципов данной Конвенции;
обратиться к следующей инстанции, если не было получено ответа на запрос о подтверждении, выдаче, исправлении или стирании.
Можно отступить от установлений Конвенции, когда такое отклонение, предусмотренное национальным законодательством, составляет необходимую меру в демократическом обществе:
при защите безопасности государства, общественной безопасности, денежного обращения государства или при подавлении уголовных правонарушений;
при защите лицом, о котором идет речь, прав и свобод других. Многие страны уже давно приняли законы в области защиты прав субъектов персональных данных и создали на их основе не зависимые от правительства государственные органы по защите таких прав во главе с омбудсменом (от шведского «umbud» — представитель других лиц, уполномоченный). Эти органы, как правило коллегиальные, обычно называются «Комиссия по защите данных» или «Data Protection Commission». Впервые такой орган был введен в 1919 г. в Швеции, за ней последовали другие страны. Сегодня они действуют в Австралии, Австрии, Англии, Бельгии, Болгарии, Венгрии, Греции, Израиле, Испании, Канаде, Кипре, Гайане, Маврикии, Нидерландах, Филиппинах, Финляндии, Франции, ФРГ, Швеции, Швейцарии, Японии и в других странах.
В 1984 г. в Англии был принят «Акт о защите данных». Этим актом осуществляется защита персональных данных, обрабатываемых средствами ЭВМ. Вводятся понятия «персональные данные», «регистратор персональных данных», «трибунал», «пользователь или держатель данных». Перечисляются семь принципов, используемых при обработке персональных данных.
Можно отметить также базовый нормативный правовой акт ФРГ от 20 декабря 1990 г. «О совершенствовании обработки данных и защите информации», который регулирует общественные отношения, возникающие в процессе накопления, переработки и использования персонифицированной информации (персональных данных).
Этот Закон определяет персональные данные как совокупность сведений о частной жизни или общественно-политической активности гражданина, прямо или косвенно относящихся к физическому лицу. Любые данные, позволяющие идентифицировать гражданина, относятся Законом к персонифицированной информации. Понятие «переработка информации» затрагивает правоотношения, возникающие в процессе корректировки, распространения, блокирования и уничтожения персонифицированной информации. Субъектами информационных правоотношений в данном случае являются физические и юридические лица, участвующие в процессах сбора, обработки и распространения персонифицированной информации.
Упомянутым Законом ФРГ предусматриваются различные способы формирования и защиты информационных массивов, создаваемых как на базе современных средств вычислительной техники, так и на основе традиционных методов систематизации информации. Законом предусматриваются штрафные санкции за противоправное распространение информации о частной жизни лица, общественно-политической и профессиональной активности граждан. Контроль и надзор за соблюдением предписаний данного закона осуществляет служба Федерального уполномоченного по защите персональных данных.
Институт персональных данных в России только формируется. Активизации его формирования способствует Интернет, в котором эти данные подлежат защите.
Основной целью данного института следует считать защиту основных прав и свобод человека и гражданина применительно к работе с информацией персонального характера.
Правовой базой настоящего института являются общепризнанные принципы и нормы международного права, международные до говоры, в которых Россия участвует, Декларация прав и свобод человека и Конституция РФ.
Основные нормы Конституции РФ, направленные на защиту информации о личности, содержатся в следующих статьях.
«Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».
«Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность; ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом».
В России действует базовый Федеральный закон, регулирующий отношения, связанные с защитой персональных данных, — «Об информации, информатизации и защите информации», которым введены системообразующие нормы в области защиты персональных данных.
Закон определяет понятие персональных данных.
«Статья 2. Термины, используемые в настоящем Федеральном законе, их определения
...информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность»...
Этим Законом устанавливаются основные положения в области регулирования отношений, связанных с персональными данными.
В качестве одной из целей защиты информации Закон провозглашает (ст. 20):
защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.
Законом устанавливается общий режим персональных данных.
«Статья 11. Информация о гражданах (персональные данные)
1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.
Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.
2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.
3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.
5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов...».
Устанавливается порядок доступа граждан к информации о них. «Статья 14. Доступ граждан и организаций к информации о них
1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами. 2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации. 3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов... имеют право бесплатно пользоваться этой информацией. 4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке».
Федеральным законом «Об информации, информатизации и защите информации» предусматриваются также гарантии качества, надежности и профилирования информационных систем, обрабатывающих персональные данные. «Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов
1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.
3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации»'.
Регламентируется уровень акта, защищающего персональные данные.
«Статья 21. Защита информации ...Режим защиты информации устанавливается: в отношении персональных данных — федеральным законом».
В развитие данной нормы в Государственной Думе подготовлен проект федерального закона «О персональных данных». Проектом закона предполагается устранить пробелы и повысить качество регулирования отношений, возникающих при работе с персональными данными независимо от применяемых средств обработки этой информации. Рассмотрим его подробнее.
Целями проекта федерального закона являются:
защита прав и свобод личности при использовании информации персонального характера и на этом основании защита персональных данных;
обеспечение законности работы с информацией персонального характера;
установление порядка формирования массивов информации персонального характера федеральными органами государственной власти, органами государственной власти субъектов Федерации, органа ми местного самоуправления, а также юридическими лицами, определяемыми Правительством РФ;
определение прав и обязанностей субъектов информации персонального характера и держателей (обладателей) массивов такой ин формации;
установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.
18.2. Субъекты и объекты информационных правоотношений
В качестве субъектов информационных правоотношений института персональных данных выступают:
субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные;
держатель (обладатель) массива персональных данных (держатель (обладатель) — федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, а также юридические лица, определяемые Правительством РФ, осуществляющие работу с массивами персональных данных на законных основаниях;
получатель персональных данных (получатель) — юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются (передаются массивы) персональные данные.
К объектам информационных правоотношений относятся: информация персонального характера (персональные данные) — зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной античности.
К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и пр;
перечень персональных данных — список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных;
массив персональных данных — упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных, независимо от вида материального носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.). Вводятся следующие понятия:
режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных;
сбор персональных данных — документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо .из других источников в соответствии с действующим законодательством;
согласие субъекта персональных данных — свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными;
передача персональных данных — предоставление персональных данных их держателем (обладателем) третьим лицам в соответствии с федеральным законодательством и международными договорами; трансграничная передача персональных данных — передача персональных данных их держателем (обладателем) другим держателям, на холящимся под юрисдикцией других государств;
актуализация персональных данных — внесение изменений в персональные данные в порядке, установленном действующим законодательством;
блокирование персональных данных — временное прекращение передачи, уточнения, использования и уничтожения персональных данных;
уничтожение (стирание или разрушение) персональных данных действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание;
обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
Директива ЕС 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995г. «О защите прав частных лиц применительно к обработке личных данных и о свободном движении таких данных»[1] устанавливает следующие принципы обработки персональных данных:
персональные данные должны быть получены и обработаны добросовестным и законным образом;
персональные данные должны собираться для точно определенных объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, не совместимым с данными целями;
персональные данные должны соответствовать целям, для которых они собираются и обрабатываются, и не быть избыточными в отношении этих целей;
персональные данные должны быть точными и в случае необходимости обновляться;
персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них;
для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты;
не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях, для автоматизированной обработки информации.
18.3. Правовые основы работы с персональными данными
Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях:
если субъект персональных данных недвусмысленно дал согласие на ее проведение;
если она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов Федерации, органами местного самоуправления своей компетенции, установленной действующим законодательством;
если она нужна для достижения законных интересов держателей (обладателей) или третьей стороны, которой раскрыты персональные данные, имеющей лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к их обработке;
когда она необходима для защиты жизненных интересов субъекта персональных данных;
когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта;
если она необходима для выполнения задач правоохранительных органов на законных основаниях.
Правовой режим персональных данных
1. Персональные данные, находящиеся в ведении держателя (обладателя), относятся к конфиденциальной информации, кроме случаев, определенных законодательством РФ.
2. Держатель (обладатель) персональных данных обязан обеспечивать охрану персональных данных во избежание несанкционированного доступа к ним, их блокирования или передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.
3. Режим конфиденциальности персональных данных снимается и случаях:
обезличивания персональных данных;
по желанию субъекта персональных данных;
по истечении семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.
4. Правовой режим персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с действующим законодательством.
5. Для некоторых категорий персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной кампании, может устанавливаться специальный правовой режим их персональных данных, обеспечивающий открытость персональных данных, имеющих общественную значимость.
6. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления, массивы данных для осуществления прямого маркетинга и т.д.).
7. С момента смерти субъекта персональных данных их правовой режим подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный действующим законодательством.
8. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном действующим законодательством о защите чести, достоинства и деловой репутации, защите личной и семейной тайн.
Общедоступные массивы персональных данных
1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т.п.).
2. В общедоступные массивы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и (или) полученные из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных.
3. Если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта о содержании его персональных данных, об источниках получения и цели использования.
4. Персональные данные конкретного субъекта безотлагательно исключаются держателем (обладателем) персональных данных из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоохранительного органа.
5. Режим конфиденциальности для общедоступных массивов персональных данных не устанавливается.
Специальные категории персональных данных
1.Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.
2. Исключение могут составлять случаи, если:
субъект персональных данных дал явное согласие на сообщение и обработку таких данных;
обработка необходима для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц;
обработка осуществляется с надлежащими гарантиями специальной некоммерческой организацией в ходе ее законной деятельности в политических, философских или религиозных целях и относится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и при условии, что данные не раскрываются третьей стороне без согласия субъектов данных;
обработка касается данных, которые сделал общедоступными субъект данных, или она необходима для осуществления действий в связи с судебными исками;
обработка данных требуется в целях превентивной медицины, медицинского диагноза, а также, если данные необходимы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству сохранять профессиональную тайну.
18.4. Права субъекта персональных данных
Предоставление персональных данных
1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных за исключением случаев, установленных законом. Персональные данные предоставляются субъектом лично либо через доверенное лицо.
2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, имеющих право на работу с персональными данными в пределах их компетенции.
3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.
Доступ субъекта к своим персональным данным
1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к субъекту персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных законодательством РФ.
2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации.
3. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам.
4. Персональные данные предоставляются их субъекту по его инициативе на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления.
5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.
Внесение субъектом изменений в свои персональные данные
При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные.
Блокирование и снятие блокирования персональных данных
Если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные.
Обжалование неправомерных действий в отношении персональных данных
Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо обратиться с жалобой в уполномоченный орган государственной власти по персональным данным.
Порядок обращения в уполномоченный орган государственной власти по персональным данным
Обращение (жалоба, заявление, предложение) должно быть пода но в письменной форме и содержать фамилию, имя, отчество и адрес субъекта персональных данных, наименование и адрес держателя (обладателя) массива персональных данных, чьи действия обжалуются изложение существа действий или решений, нарушивших, по мнению субъекта, его права.
Возмещение убытков и (или) компенсация морального вреда
В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с ними субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба ответственность несет каждый держатель (обладатель) этих данных.
Ограничение прав субъекта на предоставление и получение своих персональных данных
Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении:
1) права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных — для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных Законом РФ «О государственной тайне»;
2) права доступа субъекта к своим персональным данным, внесения в них изменений, блокирования своих персональных данных:
а) для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;
б) для персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия;
в) для иных персональных данных в случаях, предусмотренных действующим законодательством.
18.5. Права и обязанности держателя (обладателя) по работе с массивами персональных данных
Полномочия (права и обязанности) держателей (обладателей) массивов персональных данных
1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством.
2. Юридические лица имеют право на работу с персональными данными на основании решения Правительства РФ.
Обязанности держателя (обладателя) массива персональных данных
Держатель (обладатель) массива персональных данных обязан: получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц или из других законных печников;
обеспечивать режим конфиденциальности персональных данных, 1редусмотренных законодательством РФ;
определять и документально оформлять порядок работы служащих организационной структуры, осуществляющих работу с персональными данными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранности персональных данных;
обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;
сообщать субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставлять сами персональные данные в недельный срок после поступления от него запроса, за исключением случаев, предусмотренных законодательством РФ;
в случае отказа в предоставлении субъекту по его требовании) информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ в срок, не превышающий двух недель с момента обращении субъекта;
в двухнедельный срок представлять по запросам уполномоченном! органа государственной власти по персональным данным или по правам человека информацию, необходимую для исполнения их полномочий.
2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончании работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности.
Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных
1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления или уполномоченные ими структуры — держатели (обладатели) осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.
2. Указанные перечни согласовываются с Уполномоченным по правам субъектов персональных данных, регистрируются в этом перечне и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим органом. Данные перечни устанавливают объем сведений, используемых федеральными органами государственной власти, органами государственной власти субъектов Федерации, органов местного самоуправления для реализации своей компетенции.
3. Порядок регистрации перечней персональных данных определяется Правительством РФ.
4. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства РФ, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным органом государственной власти по персональным данным.
5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.
Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных
1. В случае выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держателя (обладателя) массива персональных данных субъект может подать заявление держателю (обладателю) массива этих данных или обратиться к Уполномоченному по персональным данным. Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его Персональные данные с момента его получения на период проверки заявления.
2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять блокирование.
3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления, и документально уведомить об этом субъекта персональных данных.
4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безотлагательно снять их блокирование.
5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных конфликтные ситуации рассматриваются Уполномоченным по правам субъектов персональных данных или в административном либо судебном по рядке.
При получении решения Уполномоченного по правам субъектов персональных данных, ответственного за ведение Регистра населения РФ, держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок в письменной форме сообщить об этом Уполномоченному.
Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными
1. Органы государственной власти и органы местного самоуправления могут в своей деятельности использовать персональные данные находящиеся у других государственных держателей (обладателей) персональных данных.
Перечни используемых данных регистрируются Уполномоченным по правам субъектов персональных данных.
2. Формирование сводных массивов персональных данных, по лученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных, не допускается.
3. Контроль за использованием персональных данных, полученных органами государственной власти и органами местного само управления от других государственных держателей (обладателей) персональных данных, осуществляется Уполномоченным по правам субъектов персональных данных.
Организация государственного справочного обслуживания персональными данными
1. С целью организации справочного обслуживания физических и юридических лиц персональными данными Уполномоченный по правам субъектов персональных данных ведет регистр первичного учета физических лиц.
2. Уполномоченный по правам субъектов персональных данных организует справочное обслуживание физических и юридических лиц и органов государственной власти и органов местного самоуправление на основе данных регистра первичного учета персональных данных
Передача персональных данных
1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: если цели использования персональных данных получателем этих данных соответствуют целям первоначального сбора данных; крайней необходимости для защиты жизненно важных интересов субъекта персональных данных; по запросу федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, если запрашивающий орган компетентен запрашивать эти персональные данные; на основании закона.
2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, возможна для заключения и (или) исполнения договора, в котором субъект данных является стороной, либо для принятия необходимых мер до заключения договора по просьбе субъекта персональных данных.
3. Подтверждение согласия субъекта персональных данных на передачу его персональных данных третьей стороне для использования в целях, не соответствующих целям первоначального сбора, не требуется только в том случае, если оно было получено в процессе сбора этих данных. Держатель (обладатель) массива персональных данных обязан информировать субъекта персональных данных о передаче его персональных данных третьей стороне в любой форме в недельный срок.
4. Персональные данные передаются держателем (обладателем) массива персональных данных получателю в минимальном объеме, необходимом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (обладателем) персональных данных и получателем, в котором документально фиксируются:
получатель информации;
основания для передачи персональных, данных; цель передачи;
состав и объем передаваемых данных;
сроки использования персональных данных в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных.
5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима их конфиденциальности.
6. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно.
Трансграничная передана персональных данных
1. При трансграничной передаче персональных данных передающий данные российский держатель (обладатель) массива персональных данных исходит из наличия существующего соглашения между сторонами, согласно которому получающая сторона обеспечивает адекватный российскому уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных.
2. Российская Федерация обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искаженней несанкционированное использование.
3. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому порядок зашиты прав и свобод субъектов персональных данных, уровень охраны персональных данных возможен при условии:
явно выраженного согласия субъекта персональных данных на эту передачу;
необходимости передачи персональных данных для заключения и (или) исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных;
если передача необходима для защиты жизненно важных интересов субъекта персональных данных;
если персональные данные содержатся в общедоступном массиве персональных данных.
4. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности.
Обезличивание персональных данных
Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. Режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных.
Хранение персональных данных
1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или дольше срока, предусмотренного лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством.
По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии они подлежат уничтожению в течение двух недель, что подтверждается актом.
2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.
3. Определенные персональные данные (личные дела, метрические книги и др.) по миновании практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством.
Актуализация персональных данных
1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных: в случаях, предусмотренных законом; по собственной инициативе; по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.
2. По требованию субъекта персональных данных изменения вносятся не позднее месячного срока с момента подачи им заявления Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.
18.6. Государственное регулирование работы с персональными данными
Формы государственного регулирования работы с персональными данными
Государство регулирует работу с персональными данными в еле дующих формах:
лицензирование работы с персональными данными; учет и регистрация массивов персональных данных и их держателей (обладателей); сертификация информационных систем и информационных тех пологий, предназначенных для обработки персональных данных; заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.
Лицензирование работы с персональными данными
1. Лицензия на проведение работы с персональными данными выдается в порядке, установленном законодательством РФ.
В лицензии указываются:
цели сбора и использования персональных данных, режимы и сроки их хранения;
категории или группы субъектов персональных данных;
перечень персональных данных;
источники сбора персональных данных;
порядок информирования субъектов о сборе и возможной пере даче их персональных данных;
меры по обеспечению сохранности и конфиденциальности персональных данных;
лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
2. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать указание (ссылку) на выданную лицензию.
Уполномоченный по правам субъектов персональных данных хранит сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию.
Отзыв лицензии
Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
нарушения условий лицензии;
подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
ликвидации и реорганизации в установлен ном действующим законодательством порядке юридического лица — держателя (обладателя) массива персональных данных;
по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;
по решению суда.
Регистрация массивов и держателей (обладателей) персональных данных
1. Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном органе государственной власти по персональным данным.
При регистрации фиксируются:
наименование массива персональных данных;
наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
перечень собираемых персональных данных;
категории или группы субъектов персональных данных;
источники сбора персональных данных;
порядок информирования субъектов о сборе и возможной передаче их персональных данных;
меры по обеспечению сохранности и конфиденциальности персональных данных;
лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.
2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона РФ «О государственной тайне», не регистрируются.
3. Уполномоченный по правам субъектов персональных данных ведет учет массивов персональных данных и держателей (обладателей) этих данных, включая и держателей массивов персональных данных, осуществляющих работу с персональными данными по лицензии.
Указанный орган ежегодно публикует Реестр держателей персональных данных для всеобщего сведения в средствах массовой информации.
Объединенный федеральный Реестр публикуется в общероссийских средствах массовой информации тиражом не менее 100 тыс. экземпляров.
18.7. Уполномоченный по правам субъектов персональных данных
Задачи Уполномоченного по правам субъектов персональных данных
Уполномоченный по правам субъектов персональных данных реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и нормами международного права, международными договорами, законами РФ.
Уполномоченный действует в пределах установленной компетенции и не вправе принимать решения, отнесенные к компетенции держателей (обладателей) массивов персональных данных.
Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур.
Уполномоченный осуществляет:
регистрацию обращений к нему субъектов персональных данных;
расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;
информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;
представление Уполномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативен базы, регламентирующей работу с персональными данными;
регистрацию массивов и держателей (обладателей) персональных данных — федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, а также юридических и физических лиц, осуществляющих работу с персональными данными по лицензии;
ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладателей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляющих работу с персональными данными по лицензии;
информирование Правительства РФ через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, о дублировании в сборе персональных данных.
Уполномоченный имеет право:
беспрепятственно получать доступ к массивам персональных данных;
запрашивать и получать от держателя (обладателя) массива персональных данных любые необходимые сведения, документы и материалы;
проводить самостоятельно или совместно с компетентными органами и должностными лицами проверку деятельности держателей (обладателей) массивов персональных данных, относительно которых Уполномоченный располагает информацией о нарушениях прав субъекта;
вносить предложения об отзыве лицензии на проведение работ с 'персональными данными;
снимать или устанавливать режим конфиденциальности персональных данных;
блокировать персональные данные.
Уполномоченный обязан:
известить заявителя о результатах рассмотрения его заявления; принять и направить держателю (обладателю) массива персональных данных, в действиях которого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необходимых мер восстановления нарушенных прав;
обратиться в суд с иском в защиту прав субъекта, нарушенных действиями или решениями держателя (обладателя) массива персональных данных;
вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовного производства в отношении должностных лиц, в действиях которых усматриваются на рушения прав субъектов персональных данных;
по результатам работы представлять Президенту РФ, Федеральному собранию РФ и Председателю Правительства РФ ежегодный док лад о состоянии защиты прав субъектов персональных данных в Российской Федерации.
Уполномоченный не вправе заниматься публичной политической деятельностью, состоять членом политической партии или движения а также заниматься какой-либо оплачиваемой деятельностью, кроме преподавательской, научной или творческой. Уполномоченный не может являться депутатом Федерального собрания РФ, другого органа представительной власти в течение всего срока полномочий.
Уполномоченный не вправе разглашать ставшие ему известными к процессе производства сведения о частной жизни субъекта и других лиц без их согласия. Решение Уполномоченного, принятое по результатам производства, может быть обжаловано Уполномоченному по правам человека и Российской Федерации. Уполномоченным может быть назначен гражданин Российской Федерации, не моложе 35 лет, имеющий необходимую квалификацию и опыт работы в сфере информационных технологий и юриспруденции.
Уполномоченный назначается на должность указом Президента РФ сроком на 5 лет. Одно и то же лицо не может быть назначено на должность Уполномоченного более двух сроков подряд.
Уполномоченный может быть досрочно освобожден от должности указом Президента РФ в случаях:
прекращения гражданства Российской Федерации;
неспособности по состоянию здоровья или иным причинам выполнять свои обязанности;
вступления в законную силу обвинительного приговора суда в отношении Уполномоченного;
личного заявления о сложении полномочий.
В случае досрочного освобождения Уполномоченного от должности назначение нового Уполномоченного должно состояться в течение трех месяцев.
Служба Уполномоченного по правам субъектов персональных данных
Деятельность Уполномоченного осуществляется с помощью рабочего аппарата — Службы Уполномоченного по правам субъектов персональных данных.
В составе Службы Уполномоченного по правам субъектов персональных данных действует Научный центр по регистрации массивов персональных данных и заявлений (жалоб) субъектов персональных данных.
Научный центр по регистрации персональных данных осуществляет:
регистрацию массивов персональных данных и их держателей (обладателей);
получение и регистрацию заявлений субъектов персональных данных;
подготовку и издание реестров массивов персональных данных и держателей (обладателей) массивов;
контролирует полноту регистрации массивов персональных данных;
готовит и представляет Уполномоченному информацию для принятия решений в соответствии с установленной компетенцией.
[1] Официальный Журнал Европейских сообществ от 23 ноября 1995 г. № L.281. С. 31. Разд. 1 «Принципы, касающиеся качества данных». Ст. 6.
< Попередня Наступна >