Текст книги "Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных""

Автор книги: Михаил Петров

сообщить о нарушении

Текущая страница: 3 (всего у книги 11 страниц)

2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

3) иные информационные системы.

Законом не предусматривается никаких различий между информационными системами, использующими персональные данные граждан, применяющимися в органах государственной власти и негосударственных структурах. Также не имеет принципиального различия форма накопления банков персональных данных в информационных системах. Последние могут быть представлены как в электронном виде, так и на бумажных носителях.

Наиболее распространенными видами информационных систем на сегодняшний день являются:

библиотека;

архив;

фонд;

банк данных.

Технические средства, предназначенные для обработки информации, содержащейся в информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства РФ о техническом регулировании.

Средства обеспечения автоматизированных информационных систем и их технологий подразделяются на:

программные (программы для электронных вычислительных машин); технические (средства вычислительной техники и связи); лингвистические (словари, тезаурусы и классификаторы);

организационно-правовые (инструкции и методики; положения, уставы, должностные инструкции, схемы и их описания, другая эксплуатационная и сопроводительная документация).

В целях создания условий для согласованного функционирования и взаимодействия операторов, органов по защите прав субъектов персональных данных, обеспечения прав, законных интересов и безопасности субъектов персональных данных, возникает необходимость в формировании единого информационного пространства, посредством интеграции разрозненных банков персональных данных, накопленных в процессе их обработки.

Формированию единой информационной системы персональных данных предшествует прохождение следующих этапов:

достаточность накопления конфиденциальной информации в базе данных, соответствующих целям и способам их обработки;

разработка унифицированных информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.

Ценность и эффективность функционирования создаваемой информационной системы во многом будет определяться, прежде всего, ее информационными ресурсами, полнотой, достоверностью и регулярностью их поступления не только из центральных, но и региональных источников. Таким образом, формирование информационной системы персональных данных предполагает усиление работы по ее созданию как в общефедеральном масштабе, так и на уровне территорий, посредством деятельности региональных опорных зон информатизации, выступающих одновременно коммуникационными системами транзитной транспортировки данных в единый центр. Тем самым принцип комплексного согласованного развития всех элементов системы должен стать основополагающим для становления и совершенствования единой информационной технологии в сфере обработки персональных данных. При этом в качестве начальных условий принимается существующее состояние дел в информатизации указанной деятельности.

По своей правовой природе любая информационная система является сложным (составным) объектом, отдельно взятые элементы (модули) которого могут охраняться в рамках различных правовых институтов.

Создание информационной системы персональных данных предполагает широкомасштабную компьютеризацию процессов переработки информации во всех сферах деятельности и активное использование телекоммуникационных систем информационного обмена. Основными "инструментами" этого процесса являются информационные технологии, технологии связи, технические средства их реализации. Последние представляют собой всю совокупность программных, технических и организационно-экономических средств, объединенных структурно и функционально в целях осуществления поиска, сбора, хранения, обработки, предоставления, распространения информации, а равно совокупность содержащихся в базах данных информации для повышения эффективности функционирования социально-экономических объектов или структур. Информационные технологии и технические средства являются системообразующим элементом информационного пространства, определяющим уровень реального использования информации в качестве ресурса. Применение в комплекте средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.

В целях обеспечения физической сохранности персональных данных, защиты их от искажения и уничтожения, действующим законодательством предусмотрена обязательная процедура лицензирования деятельности по технической защите конфиденциальной информации в процессе работы с ней (см. Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"[11]11
  СЗ РФ. 2006. N 34. Ст.3691.


[Закрыть]).

Кроме того, в указанных целях предусмотрена обязательная процедура сертификации средств обеспечения автоматизированных информационных систем и информационных технологий, предназначенных для работы с персональными данными, направленная на обеспечение их защиты от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию.

7. Включение информации в разряд конфиденциальной подразумевает соответствие последней следующим обязательным условиям: отсутствие свободного доступа к ней; наличие достаточного механизма ее защиты.

Последний, в свою очередь, включает в себя комплекс организационных, технических и юридических мероприятий, обеспечивающих информационную безопасность.

По замыслу авторов рассматриваемого Закона юридическое обеспечение конфиденциальности персональных данных требует обязательного согласия субъекта персональных данных на их обработку оператором или иными лицами, которым на законных основаниях был предоставлен доступ к персональным данным. В отдельных случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Следует отметить, что комментируемая статья несколько сужает представление о конфиденциальности персональных данных, сводя последнее к ограничениям, связанным с их распространением. Как уже было отмечено, конфиденциальность информации, в целях предотвращения угроз ее утечки, хищения, утраты, искажения или подделки должна охватывать весь процесс ее обработки (см. ст.9 настоящего Закона и комментарий к ней).

Оператор должен постоянно извещать обладателя персональных данных о проводимых в отношении последних операциях. Требование такого рода, с одной стороны, обусловлено требованиями повышенной защиты персональных данных, с другой – связано с созданием условий реализации права субъекта персональных данных на отзыв собственного согласия.

По смыслу комментируемого Закона требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме того, обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.

8. Необходимость трансграничной передачи персональных данных диктуется требованием их правовой защиты за пределами РФ, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться на их территории.

Трансграничная передача представляется законодателем в качестве одного из самостоятельных этапов их обработки. По своей юридической природе последний во многом приближен к обнародованию персональных данных, т.к. связан с их распространением неограниченному кругу лиц. Подчиняясь общим правилам обработки персональных данных, в том числе и требованию сохранения их конфиденциальности, трансграничная передача в то же время имеет свои особенности. Согласно ст.12 настоящего Закона осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства-получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни при передаче персональных данных.

Статья 4.
Законодательство Российской Федерации в области персональных данных

Комментарий к статье 4

1. Комментируемая статья определяет состав основных нормативных актов, формирующих систему законодательства в области персональных данных, их структуру и содержание. Законодательство в области персональных данных складывается из отдельных норм Конституции РФ, международно-правовых положений, настоящего Федерального закона, иных федеральных законов, определяющих случаи и особенности обработки персональных данных, принимаемых на основании и во исполнение последних органами государственной власти в пределах их компетенции нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных.

Как видно из приведенного перечня, законодательство в области персональных данных представляет собой одноуровневую систему, складывающуюся исключительно из норм федерального законодательства. Подобная законодательная оговорка, обусловлена тем обстоятельством, что в соответствии с подп."в" п.1 ст.71 Конституции РФ регулирование прав и свобод человека и гражданина как одних из высших демократических ценностей отнесено к исключительному ведению РФ. Следует отметить, что субъекты РФ при этом правомочны регулировать рассматриваемую группу правоотношений в части касающейся конкретизации условий реализации и соблюдения прав. Принимаемые ими нормативные акты должны соответствовать установленным федеральными законами общим принципам и не могут придать им смысл, который означает по сути ограничение прав и свобод. Подобной позиции придерживается и Конституционный Суд РФ, который неоднократно в своих определениях отмечал, что Федерации принадлежит принципиальное первичное конституционно-правовое регулирование прав и свобод, установление их единых федеральных стандартов, способов, средств и порядка защиты.

2. Построение системы законодательства в области персональных данных обусловлено строгой иерархичностью и соподчинением. Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. На органы государственной власти возлагается обязанность обеспечить каждому возможность ознакомления с документами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ЕТЗ N 108 (28 января 1981г.)[12]12
  Указанный документ ратифицирован Российской Федерацией ФЗ от 19 декабря 2005г. N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».


[Закрыть], которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, в том числе включенными в настоящее издание. Однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв правила игры, то есть сформированную Сообществом систему ценностей. Вместе с тем, придерживаясь конституционного принципа о включении общепризнанных принципов и норм международного права и международных договоров РФ в состав национальной правовой системы (ст.15 Конституции РФ), законодатель подчеркивает преимущественное положение последних в области правового регулирования обработки персональных данных, при условии если международным договором РФ установлены иные правила, чем предусмотренные законом.

3. Основополагающим нормативным актом в области обращения персональных данных выступает настоящий Закон. Все иные нормативные акты, принимаемые после его подписания, не должны ему противоречить, ранее действующие же – приведены в соответствии с ним. В случае возникновения противоречий приоритет должен отдаваться комментируемому Закону. Последний был принят Государственной Думой 8 июля 2006г., одобрен Советом Федерации 14 июля 2006г. и подписан Президентом РФ 27 июля 2006г. Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006г. N 165. Согласно п.1 ст.25 настоящего Закона момент вступления последнего в законную силу определен истечением 180 дней с момента его официального опубликования.

Рассматриваемый документ представлен в виде 6 глав, включающих в себя 25 статей. В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств. Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных. Операторы, осуществляющие обработку персональных данных до вступления в силу Закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 г.

4. В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы. Последние условно можно разделить на две самостоятельные группы: 1) принятые до настоящего Закона и приведенные в соответствие с ним; 2) принятые на основании и в исполнение положений последнего.

В первой группе можно выделить:

Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т.е. работодатель фактически осуществляет сбор персональных данных работника;

Таможенный кодекс РФ от 28 мая 2003г. N 61-ФЗ[13]13
  СЗ РФ. 2003. N 22. Ст.2066.


[Закрыть], регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;

Федеральный закон от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[14]14
  СЗ РФ. 2006. N 31 (часть ). Ст.344.


[Закрыть] дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;

Федеральный закон от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.

Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993г. N 5487-1, Законах РФ от 21 июля 1993г. N 5485-1 "О государственной тайне", от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст.137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".

Вторая группа только предстоит формированию.

5. Важная роль в организации работы с персональными данными принадлежит Президенту РФ, Правительству РФ, органам государственной власти и управления, нормативные правовые акты которых создают организационную основу применения соответствующих законодательных положений. Они формируют существо повседневного регулирования обработки и защиты персональных данных. В числе основных здесь можно отметить: Приказ Минсельхоза РФ от 28 июля 2005г. N 134 "О защите персональных данных государственных гражданских служащих Минсельхоза России"; Указ Президента РФ от 30 мая 2005г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 23 сентября 1999г. N 158 "Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".

Комментируемой статьей законодатель определяет основные требования их легитимности. Во-первых, подзаконные нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных и тем самым противоречить требованиям настоящего Закона. Во-вторых, указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами. К числу последних относятся ведомственные приказы, распоряжения и инструкции, содержащие сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну.