Основные положения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»

Согласно пункту 10 статьи 3 Федерального закона №152-ФЗ информационная система персональных данных - это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Прежде чем приступить к рассмотрению вопросов, связанных с собственно обработкой персональных данных, затронем вопрос о принципах обработки персональных данных (статья 5 Федерального закона №152-ФЗ). К ним, в частности, относятся:

- принцип законности целей и  способов обработки персональных  данных и добросовестности;

- принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- принцип соответствия объема  и характера обрабатываемых персональных  данных, способов их обработки  целям обработки;

- принцип достоверности персональных  данных, их достаточности для  целей обработки, недопустимости  обработки персональных данных, избыточных по отношению к  заявленным оператором целям;

- принцип недопустимости объединения  созданных для несовместимых  между собой целей баз данных информационных систем персональных данных.

Перечисленные принципы обработки персональных данных являются, по сути, лишь принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов. Однако принципы обработки не есть принципы оборота. Если принять во внимание, что целью рассматриваемого Федерального закона №152-ФЗ является «обеспечение защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну», то можно сделать вывод о том, что принципами данного Закона должны, скорее, являться более общие и основополагающие положения. Такими принципами могут быть, например, принцип добровольности предоставления персональных данных субъектом, принцип законности деятельности операторов и т.п.

Между тем, по мнению многих авторов, исследующих вопрос обработки персональных данных, главным принципом обработки персональных данных должна являться добровольность их предоставления для обработки субъектом персональных данных (статья 6 Федерального закона №152-ФЗ). По общему правилу лицо вправе давать или не давать согласие на обработку своих персональных данных тому или иному оператору. Субъект персональных данных имеет также право свое согласие отозвать. Статьей 6 Федерального закона установлены случаи, когда согласие субъекта персональных данных на обработку его персональных данных не требуется.

Обработка персональных данных, осуществляемая в государственных и муниципальных информационных системах персональных данных, может иметь особенности, установленные федеральными законами. К этим особенностям можно отнести и рутинное использование, и применение идентификаторов, и создание закрытых информационных систем, т.е. многое из того, что Федеральным законом №152-ФЗ по тем или иным причинам не урегулировано.

Важной теоретической и практической проблемой, связанной с вопросом обработки персональных данных, является проблема правового статуса оператора. Как известно, правовой статус складывается из право- и дееспособности и комплекса прав и обязанностей.

Надо сказать, в нынешней редакции Федерального закона №152-ФЗ правовой статус оператора разработан слабо. Об этом свидетельствует огромное количество вопросов, поступающих специалистам по правовому регулированию оборота персональных данных.

Согласно нормам Федерального закона №152-ФЗ оператор обладает следующими правами:

- правом устанавливать цели  сбора персональных данных;

- правом устанавливать сроки  хранения и способы обработки  персональных данных;

- правом определять в установленных Законом пределах средства и методы защиты информационных систем данных, определять регламент работы информационных систем данных;

- правом собирать персональные  данные из общедоступных источников  или с согласия субъекта персональных  данных.

Важнейшей обязанностью оператора при осуществлении обработки персональных данных является организационная и техническая защита баз персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (статья 19 Федерального закона №152-ФЗ).

Требования к обеспечению безопасности, в том числе требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем, установлены Постановлениями Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Данными нормативными актами установлены общие и специальные технические и организационные требования к защите содержащихся в информационных системах персональных данных, в том числе биометрических. Конкретные средства и методы защиты (включая криптографические) устанавливаются ФСТЭК России и ФСБ России. Информационные системы должны проходить обязательную процедуру классификации в зависимости от объема обрабатываемых данных и степени возможных угроз. Порядок прохождения классификации установлен в совместном приказе этих ведомств и Мининформсвязи России. Нормативно-методические документы ФСТЭК России определяют порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации). Нормативно-методические документы ФСБ России регламентируют порядок применения криптографических средств для защиты персональных данных и содержат рекомендации по выполнению этих работ.

Особого внимания заслуживает тема прав субъекта персональных данных в отношении обработки персональных данных. Ведь именно обеспечение прав личности является одной из важнейших целей законодательства о персональных данных.

Права субъекта персональных данных можно условно разделить на три группы: права в отношении оператора (например, право на отказ в предоставлении персональных данных); права в отношении обработки персональных данных (например, право на блокирование данных); права по обжалованию и защите интересов (например, право на возмещение вреда). Все эти права позволяют самому субъекту осуществлять контроль за сбором и обработкой его персональных данных на разных стадиях этого процесса.

Прежде всего, как уже отмечалось ранее, в ряде случаев субъект персональных данных имеет право отказаться от обработки своих персональных данных или отозвать уже данное согласие (статья 9 Федерального закона №152-ФЗ). Далее, субъект персональных данных имеет право на информацию об операторе (о месте его нахождения, о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных), а также имеет право на ознакомление с этими данными. Если, по мнению субъекта персональных данных, его данные являются устаревшими, неполными, недостоверными, незаконно полученными или являются избыточными для заявленной цели обработки, субъект персональных данных имеет право путем обращения или направления соответствующего запроса оператору требовать уточнения, блокирования или уничтожения содержащихся у оператора персональных данных.

Контроль и надзор за обработкой персональных данных

Прежде чем говорить о самом контроле и надзоре, следует определить орган, который уполномочен защищать права субъектов персональных данных. Таким органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона №152-ФЗ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (статья 23 Федерального закона №152-ФЗ.). В соответствии с постановлением Правительства от 16 марта 2009 года №228 таким органом определена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации2.

Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, а именно:

• запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
• осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
• требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
• принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона №152-ФЗ;
• обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
• направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
• направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
• вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
• привлекать к административной ответственности лиц, виновных в нарушении Федерального закона №152-ФЗ.

Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.

Уполномоченному органу также должна обеспечиваться конфиденциальность.

Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:

• организовывать в соответствии с требованиями Федерального закона №152-ФЗ и других федеральных законов защиту прав субъектов персональных данных;
• рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
• вести реестр операторов;
• осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
• принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
• информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
• выполнять иные предусмотренные законодательством Российской Федерации обязанности

Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Заключение.

В заключение хотелось бы отметить, что вопросы защиты персональных данных на сегодня являются одними из наиболее актуальных. Это связано как с возросшей степенью внимания государства к обеспечению защиты граждан и неприкосновенности личной жизни каждого гражданина, так и с повышением общего уровня правосознания граждан. Происходит смещение личностных ценностей из сферы исключительно материальных благ в сторону правового поля. Именно поэтому в современных реалиях следует уделять значительное внимание безопасности личной (персональной) информации о каждом гражданине. Это поможет руководителям в ежедневной деятельности предприятий (детальная систематизация и регламентация внутренних процессов), а также повысит чувство трудового комфорта и сформирует у сотрудников ощущение их защищенности, обеспечиваемой работодателем.