Правовое регулирование в области персональных данных

К информации с ограниченным доступом следует отнести сведения о фак-

тах, событиях и обстоятельствах частной жизни гражданина. Закон «О персо-

нальных данных» определяет персональные данные следующим образом. Это

любая информация, относящаяся к определенному или определяемому на осно-

вании такой информации физическому лицу, в том числе его фамилия, имя, от-

чество, год, месяц, дата и место рождения, адрес, семейное, социальное, иму-

щественное положение, образование, профессия, доходы, другая информация

(ст. 3).

Конфиденциальность этой информации следует из Конституции Россий-

ской Федерации. Статья 23 Конституции гарантирует неприкосновенность

47

частной жизни, личную и семейную тайну, а статья 24 определяет, что сбор,

хранение, использование и распространение информации о частной жизни лица

без его согласия не допускаются. Эти важнейшие положения повторяет статья

11 Закона об информации. Она говорит, что не допускаются сбор, хранение,

использование и распространение информации о частной жизни, а равно ин-

формации, нарушающей личную тайну, семейную тайну, тайну переписки, те-

лефонных переговоров, почтовых, телеграфных и иных сообщений физическо-

го лица без его согласия, кроме как на основании судебного решения. Персо-

нальные данные не могут быть использованы в целях причинения имуществен-

ного и морального вреда гражданам, затруднения реализации их прав и свобод.

При этом соответствующие должностные лица обязаны обеспечить каж-

дому возможность ознакомления с документами и материалами, непосред-

ственно затрагивающими его права и свободы, если иное не предусмотрено за-

коном (ст. 24 Конституции РФ).

Как указывается в Законе об информации, запрещается требовать от граж-

данина представление такой информации, а также получать ее помимо его во-

ли.

Положения, связанные с защитой сведений о личности, присутствуют и в

других законодательных актах, в той или иной мере касающихся персональных

данных. Например, статья 161 Уголовно-процессуального кодекса РФ не до-

пускает разглашение данных о частной жизни участников уголовного судопро-

изводства без их согласия.

Соответствующая информация о частной жизни лица может собираться и

использоваться в процессе оперативно-розыскной деятельности, осуществляе-

мой в соответствии с Федеральным законом "Об оперативно-розыскной дея-

тельности" от 12 августа 1995 № 144-ФЗ. При этом Закон установил следую-

щий механизм защиты персональных данных. В соответствии с положениями

статьи 5 указанного Закона, если лицо, в отношении которого осуществлялись

оперативно-розыскные мероприятия, полагает, что эти действия привели к

нарушению его прав и свобод, вправе обжаловать их в вышестоящий орган,

осуществляющий оперативно-розыскную деятельность, прокурору или в суд.

Лицо, виновность которого в совершении преступления не доказана в установ-

ленном законом порядке, и полагающее, что при проведении оперативно-

розыскных мероприятий были нарушены его права, вправе истребовать от ор-

гана, осуществляющего оперативно-розыскную деятельность, сведения о полу-

ченной о нем информации. В случае отказа или получении сведений не в пол-

ном объеме, лицо вправе обжаловать это в судебном порядке.

Более подробная регламентация в данной области содержится в ФЗ «О

персональных данных» от 27 июля 2006 года № 152-ФЗ. Этим законом регули-

руются отношения, связанные с обработкой персональных данных, осуществ-

ляемой государственными и муниципальными органами, юридическими и фи-

зическими лицами с использованием средств автоматизации или без них, если

обработка персональных данных без использования таких средств соответству-

ет характеру действий, совершаемых с персональными данными с использова-

нием средств автоматизации.

48

Закон устанавливает, что обработка персональных данных осуществляется

на основе следующих принципов:

1) законности целей и способов обработки персональных данных и добро-

совестности;

2) соответствия целей обработки персональных данных целям, заранее

определенным и заявленным при сборе персональных данных, а также полно-

мочиям оператора;

3) соответствия объема и характера обрабатываемых персональных дан-

ных, способов обработки персональных данных целям обработки персональных

данных;

4) достоверности персональных данных, их достаточности для целей обра-

ботки, недопустимости обработки персональных данных, избыточных по отно-

шению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между со-

бой целей баз данных информационных систем персональных данных.

Субъектами правоотношений в данной области выступают с одной сторо-

ны – обладатель (субъект) персональных данных, с другой стороны – оператор,

государственный, муниципальный орган, юридическое или физическое лицо,

осуществляющие обработку персональных данных, а также определяющие це-

ли и содержание их обработки. Закон, исходя из важности защиты персональ-

ных данных, определяет лишь права субъекта персональных данных и обязан-

ности оператора, занимающегося их обработкой и хранением.

Еще одним субъектом, участвующим в отношениях в рассматриваемой об-

ласти является уполномоченный орган по защите прав субъектов персональных

данных. На него возлагается обеспечение контроля и надзора за соответствием

обработки персональных данных требованиям законодательства.

Обработка персональных данных может осуществляться оператором с со-

гласия субъектов персональных данных, при этом согласие на обработку может

быть отозвано в любое время. Операторами и иными лицами, получающими

доступ к персональным данным, должна обеспечиваться конфиденциальность

таких данных, за исключением, если персональные данные обезличены, или это

общедоступные персональные данные. Общедоступные источники персональ-

ных данных создаются в целях информационного обеспечения и с письменного

согласия субъекта персональных данных. Обязательного предоставления своих

персональных данных допускается только в целях защиты основ конституци-

онного строя, нравственности, здоровья, прав и законных интересов других

лиц, обеспечения обороны страны и безопасности государства.

Согласие субъекта персональных данных предоставляется в письменной

форме и должно включать в себя (ст. 9):

– фамилию, имя, отчество, адрес субъекта персональных данных, номер

основного документа, удостоверяющего его личность, сведения о дате выдачи

указанного документа и выдавшем его органе;

– наименование (фамилию, имя, отчество) и адрес оператора, получающе-

го согласие субъекта персональных данных;

– цель обработки персональных данных;

49

– перечень персональных данных, на обработку которых дается согласие

субъекта персональных данных;

– перечень действий с персональными данными, на совершение которых

дается согласие, общее описание используемых оператором способов обработ-

ки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

Субъект персональных данных имеет право на получение сведений об опе-

раторе, о месте его нахождения, о наличии у оператора персональных данных, а

также на ознакомление с ними. Субъект персональных данных вправе требо-

вать от оператора уточнения своих персональных данных, их блокирования или

уничтожения в случае, если персональные данные являются неполными, уста-

ревшими, недостоверными, незаконно полученными или не являются необхо-

димыми для заявленной цели обработки, а также принимать иные меры по за-

щите своих прав.

Субъект персональных данных имеет право на получение при обращении

информации, содержащей:

– подтверждение факта обработки персональных данных оператором, цель

такой обработки;

– способы обработки персональных данных;

– сведения о лицах, которые имеют или могут иметь доступ к персональ-

ным данным;

– перечень обрабатываемых персональных данных и источник их получе-

ния;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персо-

нальных данных может повлечь за собой обработка его персональных данных.

Субъект персональных данных вправе обжаловать действия или бездей-

ствие оператора в уполномоченный орган по защите прав субъектов персональ-

ных данных или в судебном порядке, если он считает, что оператор осуществ-

ляет обработку его персональных данных с нарушением установленных требо-

ваний или иным образом нарушает его права и свободы. При этом он имеет

право на защиту своих прав и законных интересов, в том числе на возмещение

убытков и компенсацию морального вреда в судебном порядке.

Основные обязанности оператора при сборе персональных данных заклю-

чаются в следующем.

– при сборе персональных данных оператор обязан предоставить субъекту

персональных данных по его просьбе указанную выше информацию;

– оператор обязан сообщить субъекту персональных данных информацию

о наличии персональных данных, а также предоставить возможность ознаком-

ления с ними в течение десяти рабочих дней с даты получения запроса;

– оператор обязан разъяснить субъекту персональных данных юридиче-

ские последствия отказа предоставить свои персональные данные, если обязан-

ность предоставления персональных данных установлена федеральным зако-

ном;

– если персональные данные были получены не от субъекта персональных

50

данных оператор до начала обработки таких персональных данных обязан

предоставить субъекту персональных данных следующую информацию:

1) наименование (фамилия, имя, отчество) и адрес оператора или его пред-

ставителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) права субъекта персональных данных;

– оператор обязан безвозмездно предоставить субъекту персональных дан-

ных возможность ознакомления с персональными данными, а также внести в

них необходимые изменения, уничтожить или блокировать персональные дан-

ные, если они являются неполными, устаревшими, недостоверными, незаконно

полученными или не являются необходимыми для заявленной цели обработки;

– оператор до начала обработки персональных данных обязан уведомить

уполномоченный орган по защите прав субъектов персональных данных о сво-

ем намерении осуществлять обработку персональных данных, предоставив сле-

дующие сведения:

1) наименование, адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными и способов их обработки;

7) описание мер, которые предприняты по обеспечению безопасности пер-

сональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

– оператор обязан принимать все необходимые организационные и техни-

ческие меры и средства для защиты персональных данных от неправомерного

или случайного доступа к ним, уничтожения, изменения, блокирования, копи-

рования, распространения персональных данных, а также от иных неправомер-

ных действий;

– в случае выявления неправомерных действий с персональными данными

оператор в течении трех рабочих дней обязан устранить допущенные наруше-

ния.

Уполномоченный орган по защите прав субъектов персональных данных

имеет право:

– запрашивать и безвозмездно получать информацию, необходимую для

реализации своих полномочий;

– осуществлять проверку сведений, содержащихся в уведомлении об обра-

ботке персональных данных;

– требовать от оператора уточнения, блокирования или уничтожения недо-

стоверных или полученных незаконным путем персональных данных;

– принимать меры по приостановлению или прекращению обработки пер-

сональных данных, осуществляемой с нарушением установленных требований;

– обращаться в суд для защиты прав субъектов персональных данных;

51

– принимать меры для приостановления действия или аннулирования ли-

цензии при нарушениях оператора;

– направлять в правоохранительные органы материалы для решения во-

проса о возбуждении уголовных дел по признакам преступлений, связанных с

нарушением прав субъектов персональных данных;

– привлекать к административной ответственности лиц, виновных в нару-

шении и т. д.

Уполномоченный орган по защите прав субъектов персональных данных

выполняет свои функции путем рассмотрения обращения субъекта персональ-

ных данных о соответствии содержания персональных данных и способов их

обработки целям их обработки и принятии соответствующего решения. В за-

коне изложены как его права, так и обязанности.

Уполномоченный орган по защите прав субъектов персональных данных

обязан:

– организовывать в соответствии с установленными требованиями защиту

прав субъектов персональных данных;

– рассматривать жалобы и обращения граждан или юридических лиц;

– вести реестр операторов;

– осуществлять меры, направленные на совершенствование защиты прав

субъектов персональных данных;

– принимать меры по приостановлению или прекращению обработки пер-

сональных данных при нарушении требований по защите информации и т. д.

За нарушения в области персональных данных Закон «О персональных

данных» предусматривает гражданскую, уголовную, административную, дис-

циплинарную и иную предусмотренную законодательством Российской Феде-

рации ответственность.