Текст книги "Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных""
Автор книги: Михаил Петров
Жанр:
Юриспруденция
сообщить о нарушении
Текущая страница: 5 (всего у книги 11 страниц)
Передача полномочий оператора по обработке персональных данных на основании договора третьему лицу допустима при соблюдении следующих условий:
наличие согласия субъекта персональных данных;
уведомление субъекта о предстоящей или состоявшейся передачи с обязательным сообщением сведений о личности нового оператора и иных данных, имеющих значение в целях обеспечения адекватной защиты прав субъектов персональных данных;
передача прав на обработку персональных данных обусловлена силой обстоятельств для охраны интересов субъекта персональных данных;
обеспечение условий конфиденциальности персональных данных, подвергающихся обработке.
Существенным условием договора передачи персональных данных по смыслу комментируемой статьи является обязанность обеспечения доверенным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору. В случае если иное не установлено договором, контрагент в соответствии с законодательством РФ самостоятельно определяет способы защиты персональных данных, переданных ему по договору. Передача персональных данных доверенному лицу осуществляется в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для оператора персональных данных.
Контрагент обязан незамедлительно сообщить субъекту персональных данных о ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании персональных данных третьими лицами. Оператор персональных данных, переданных им контрагенту, до окончания срока действия договора не может разглашать указанную информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности персональных данных, переданных по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.
Статья 7.
Конфиденциальность персональных данных
Комментарий к статье 7
1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.
Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:
1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера" структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны – сведения о взаимоотношениях членов семьи, в том числе родственных[15]15
См.: Волчинская Е.К. Правовая защита персональных данных: проблемы развития российского законодательства // Владивостокский центр исследования организованной преступности при Юридическом институте ДВГУ // crime.vl.ru.
[Закрыть];
2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ[16]16
См.: Постановление Правительства РФ от 15 августа 2006г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации» // СЗ РФ. 2006. N 34; Постановление Правительства РФ от 15 июля 2002г. N 526 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность» // СЗ РФ. 2002. N 29. Ст.2965.
[Закрыть].
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;
2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.
Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой – служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов[17]17
См.: Мэггс П.Б., Сергеев А.П.Интеллектуальная собственность. М., 2000. С. 50.
[Закрыть].
Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.
Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.
Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников "Кто есть кто…", содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 8.
Общедоступные источники персональных данных
Комментарий к статье 8
1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.
Создание общедоступных источников персональных данных, в состав которых подлежат включению фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, осуществляется с обязательного согласия последнего. Кроме того, субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Использование персональных данных из общедоступных источников предполагает, в свою очередь, исключение возможности извлечения прибыли.
В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2. В целях защиты прав и законных интересов субъекта персональных данных законодатель предусматривает возможность отзыва персональных данных, используемых в общедоступных источниках. Их исключение может быть осуществлено как по требованию самого субъекта персональных данных, так и по решению суда или специально уполномоченного государственного органа.
Статья 9.
Согласие субъекта персональных данных на обработку своих персональных данных
Комментарий к статье 9
1. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (см. п.1 ст.9 ГК РФ). Последний подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Никто не вправе препятствовать субъекту осуществлять имеющееся у него право или принуждать его к его реализации, за исключением случаев, когда законом предусмотрено обязательное предоставление персональных данных к обработке (см. п.2 комментируемой статьи).
Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но по смыслу буквального толкования положений рассматриваемой статьи и свободное выражение своей воли. Волеизъявление – важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Анализ настоящего Закона позволяет отметить, что внутренняя воля при передаче персональных данных к обработке может выражаться следующими способами:
прямой (непосредственный) – совершается в устной или письменной форме;
косвенный, который имеет место в случаях, когда субъект, намеревающийся передать персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении.
Таким образом, субъект персональных данных свободен в выборе вариантов своего поведения, формы и целей реализации предоставленного ему права в пределах, предусмотренных действующим законодательством. Принимая самостоятельно решение, субъект персональных данных не только реализует предоставленное ему право выбора, но и одновременно приобретает риск от последствий своего решения.
Отказ субъекта персональных данных от ранее принятого решения на их обработку выступает в качестве гарантии стабильности принадлежащего лицу права. Отказ субъекта персональных данных действовать определенным образом в пределах субъективного права не влечет за собой его прекращение или ограничение. Совершение действий, от которых лицо воздерживается, остается дозволенным.
Следует отметить, что настоящим Законом не предусмотрено, каким образом и в какой форме подлежит осуществлению отзыв согласия на обработку персональных данных. Предположительно отзыв согласия должен соответствовать принятому ранее решению на обработку персональных данных, т.е. если согласие на обработку было предоставлено в письменном виде, то отзыв принятого решения также должен быть осуществлен письменно.
2. Частью второй комментируемой статьи законодатель определяет границы свободы воли субъекта персональных данных, определяя основания их обязательного предоставления к обработке. Реализация последних считается допустимым при одновременном соблюдении ряда условий. Предоставление субъектом персональных данных конфиденциальных сведений к обработке обязательно в случаях, если это:
1) предусмотрено настоящим Законом или иными федеральными законами;
2) осуществляется в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Декларируемое ограничение свободного использования собственных персональных данных в полном объеме основывается на положении п.3 ст.55 Конституции РФ и соответствует общепринятым принципам и нормам международного права, в частности п.2 ст.29 Всеобщей декларации прав человека, п.3 ст.12, п.3 ст.19 Международного пакта о гражданских и политических правах, п.2 ст.10 и п.2 ст.11 Европейской конвенции о защите прав человека и основных свобод.
Анализ действующего законодательства позволяет выделить следующие случаи обязательного предоставления персональных данных к обработке:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности;
8) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
9) обработка персональных данных необходима в связи с осуществлением правосудия;
10) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;
11) обработка персональных данных при осуществлении первичного воинского учета. Следует отметить, что представленный перечень является примерным и может быть
расширен федеральным законом.
3. Частью третьей комментируемой статьи фактически устанавливается презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Вместе с тем презумпция запрета, распространяемая на категории персональных данных, выходящих за пределы понятия частной жизни, предоставляет субъекту персональных данных неограниченную возможность действовать в своекорыстных интересах. При этом в целях обеспечения защиты прав граждан, а также устранения неоправданных затруднений законного использования персональных данных было бы целесообразно закрепить презумпцию согласия гражданина на использование его персональных данных государственными органами при осуществлении своих полномочий. Распространение презумпции согласия возможно также на случаи, когда использование персональных данных в соответствии с законом является необходимым условием заключения договора, а также совершения иных юридически значимых действий.
Законодатель возлагает бремя доказывания получения согласия субъекта персональных данных на их обработку на оператора. По смыслу рассматриваемого документа доказательства законности и обоснованности деятельности оператора должны быть представлены субъекту персональных данных, если последний считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, или персональные данные были получены не от субъекта персональных данных и (или) уполномоченный орган по защите прав субъектов персональных данных в случаях осуществления последним контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона. В процессе доказывания оснований получения персональных данных к обработке оператор может использовать любые доказательства или их совокупность, допустимую действующим законодательством, в частности, это могут быть свидетельские показания, документальные материалы, заключения специалистов и т.п.
4. В случаях обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), или трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, законодатель допускает работу с конфиденциальными сведениями только с письменного согласия субъекта персональных данных. По смыслу буквального толкования рассматриваемой нормы перечень ситуаций, с которыми связано получение обязательного письменного согласия субъекта персональных данных на их обработку, предусматривается исключительно настоящим Законом и является исчерпывающим.
Письменное согласие на обработку персональных данных включает в себя все те сведения, которые позволяют субъекту персональных данных контролировать обработку его данных.
Декларируя обязанность оператора на получение письменного согласия субъекта персональных данных на их обработку в указанных случаях, законодатель вместе с тем не предусматривает обязательных требований относительно формы последнего, устанавливая императивные требования лишь в части, касающейся его содержания. Законодательный отказ от разработки стандартизированного бланка во многом обусловлен областью общественных отношений, в которой фигурируют обозначенные группы персональных данных и применительно к которым установлены индивидуальные требования к форме составляемых и используемых документов. В частности, в качестве письменного согласия субъекта персональных данных на их обработку могут расцениваться: заявление о приеме на работу; обращения в органы социальной защиты населения с заявлением об отказе от социального пакета и заменой его денежной компенсацией; заявление в банк или иную кредитную организацию о предоставлении кредита; предоставление налоговой декларации; заявление лица о его регистрации по месту проживания или месту жительства и т.п.
5. Согласно ст.29 ГК РФ недееспособным признается гражданин, который вследствие психического расстройства не может понимать значения своих действий или руководить ими. Признание гражданина недееспособным осуществляется судом в порядке, установленном гражданским процессуальным законодательством. В целях обеспечения прав и законных интересов недееспособных вводится институт опеки. Опекуны являются представителями подопечных в силу закона и совершают от их имени и в их интересах все необходимые действия. Обязанности по опеке исполняются безвозмездно.
Следует отметить, что в части, касающейся обработки персональных данных, законодатель предусматривает возможность представления интересов исключительно недееспособных граждан, совершенно упуская из виду ограниченно дееспособных и лиц, не достигших совершеннолетия. По смыслу действующего законодательства защита прав и законных интересов указанных категорий граждан осуществляется их родителями и попечителями, выступающими в роли законных представителей последних.
6. Законодатель предусматривает, что защиту прав и интересов умершего субъекта персональных данных осуществляют его наследники. Эти правомочия наследников сроком не ограничиваются.
