Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера», Страсбург 1981 г.

В мире и в Европе отношения, связанные с обращением персональных данных, регулируются достаточно давно. Актуальность и своевременность принятия' законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным опытом.

Совет Европы принял 28 января 1981 г. в Страсбурге «Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера», которая вступила в силу 1 октября 1985 г.

Цель Конвенции — гарантировать на территории каждой страны каждому частному лицу, независимо от его национальности и места проживания, соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера.

В Конвенции даны следующие определения:

данные личного характера — любая информация, относящаяся к физическому лицу, идентифицированному или которое может быть идентифицировано («информационный субъект»);

особые категории данных — данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни;

автоматизированная обработка данных подразумевает операции, выполняемые с помощью автоматизированных процессов: запись данных, применение к этим данным логических и (или) арифметических операций, их идентификация, извлечение или распространение;

автоматизированная картотека — любая совокупность информации, являющейся объектом автоматизированной обработки;

владелец картотеки — физическое или юридическое лицо, публичная власть, служба или другой орган, которые компетентны в соответствии с национальным законодательством решать вопрос о конечной цели картотеки, какие категории данных личного характера должны регистрироваться и какие операции должны производиться.

Основные принципы охраны информации. Автоматически обрабатываемые персональные данные должны:

приобретаться и обрабатываться честным и законным образом;

храниться в конкретно установленных и законных целях и не использоваться каким-либо образом, не совместимым с этими целями;

быть полными, иметь прямое отношение к цели их сбора и не превышать по объему тех потребностей, для которых они хранятся;

быть точными и там, где это необходимо, поддерживаться на уровне современности;

храниться в форме, которая позволяет идентифицировать субъекта информации в течение времени, не превышающего Потребности, для которых хранится информация.

Особые категории данных подлежат автоматической обработке только в том случае, если внутреннее право предоставляет надлежащие гарантии. То же самое относительно данных личного характера, связанных с уголовным осуждением.

В соответствии с установлениями указанной Конвенции любое лицо должно иметь возможность:

узнать о существовании автоматизированной картотеки данных личного характера, ее цели, а также личность, местонахождение и принцип назначения владельца картотеки;

получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме;

требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений внутреннего законодательства и принципов данной Конвенции;

обратиться к следующей инстанции, если не было получено ответа на запрос о подтверждении, выдаче, исправлении или стирании.

Можно отступить от установлений Конвенции, когда такое отклонение, предусмотренное национальным законодательством, составляет необходимую меру в демократическом обществе:

при защите безопасности государства, общественной безопасности, денежного обращения государства или при подавлении уголовных правонарушений;

При защите лицом, о котором идет речь, прав и свобод других. Многие страны уже давно приняли законы в области защиты прав субъектов персональных данных и создали на их основе не зависимые от правительства государственные органы по защите таких прав во главе с омбудсменом (от шведского «umbud» — представитель других лиц, уполномоченный). Эти органы, как правило коллегиальные, обычно называются «Комиссия по защите данных» или «Data Protection Commission». Впервые такой орган был введен в 1919 г. в Швеции, за ней последовали другие страны. Сегодня они действуют в Австралии, Австрии, Англии, Бельгии, Болгарии, Венгрии, Греции, Израиле, Испании, Канаде, Кипре, Гайане, Маврикии, Нидерландах, Филиппинах, Финляндии, Франции, ФРГ, Швеции, Швейцарии, Японии и в других странах.

Институт персональных данных в России только формируется. Активизации его формирования способствует Интернет, в котором эти данные подлежат защите.

Основной целью данного института следует считать защиту основных прав и свобод человека и гражданина применительно к работе с информацией персонального характера.

Правовой базой настоящего института являются общепризнанные принципы и нормы международного права, международные до говоры, в которых Россия участвует, Декларация прав и свобод человека и Конституция РФ.

Основные нормы Конституции РФ, направленные на защиту информации о личности, содержатся в следующих статьях.

«Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».

«Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность; ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом».

В России действует базовый Федеральный закон, регулирующий отношения, связанные с защитой персональных данных, — «Об информации, информатизации и защите информации», которым введены системообразующие нормы в области защиты персональных данных.

Закон определяет понятие персональных данных.

«Статья 2. Термины, используемые в настоящем Федеральном законе, их определения

...информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность»...

Этим Законом устанавливаются основные положения в области регулирования отношений, связанных с персональными данными.

В качестве одной из целей защиты информации Закон провозглашает (ст. 20):

защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством.

Законом устанавливается общий режим персональных данных.

«Статья 11. Информация о гражданах (персональные данные)

1. Перечни персональных данных, включаемых в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов органов местного самоуправления, а также получаемых и собираемых негосударственными организациями, должны быть закреплены на уровне федерального закона. Персональные данные относятся к категории конфиденциальной информации.

Не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

4. Подлежит обязательному лицензированию деятельность негосударственных организаций и частных лиц, связанная собработкой и предоставлением пользователям персональных данных. Порядок лицензирования определяется законодательством Российской Федерации.

5. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов...».

Устанавливается порядок доступа граждан к информации о них. «Статья 14. Доступ граждан и организаций к информации о них

1. Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности, имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами. 2. Владелец документированной информации о гражданах обязан предоставить информацию бесплатно по требованию тех лиц, которых она касается. Ограничения возможны лишь в случаях, предусмотренных законодательством Российской Федерации. 3. Субъекты, представляющие информацию о себе для комплектования информационных ресурсов... имеют право бесплатно пользоваться этой информацией. 4. Отказ владельца информационных ресурсов субъекту в доступе к информации о нем может быть обжалован в судебном порядке».

Федеральным законом «Об информации, информатизации и защите информации» предусматриваются также гарантии качества, надежности и профилирования информационных систем, обрабатывающих персональные данные. «Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов

1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».

2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.

3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации»'.

Регламентируется уровень акта, защищающего персональные данные.

«Статья 21. Защита информации...Режим защиты информации устанавливается: в отношении персональных данных — федеральным законом».

В развитие данной нормы в Государственной Думе подготовлен проект федерального закона «О персональных данных». Проектом закона предполагается устранить пробелы и повысить качество регулирования отношений, возникающих при работе с персональными данными независимо от применяемых средств обработки этой информации. Рассмотрим его подробнее.

Целями проекта федерального закона являются:

защита прав и свобод личности при использовании информации персонального характера и на этом основании защита персональных данных;

обеспечение законности работы с информацией персонального характера;

установление порядка формирования массивов информации персонального характера федеральными органами государственной власти, органами государственной власти субъектов Федерации, органа ми местного самоуправления, а также юридическими лицами, определяемыми Правительством РФ;

определение прав и обязанностей субъектов информации персонального характера и держателей (обладателей) массивов такой ин формации;

установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.

19. Основные правила работы с персональными данными (правовые аспекты).
Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях:

если субъект персональных данных недвусмысленно дал согласие на ее проведение;

если она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов Федерации, органами местного самоуправления своей компетенции, установленной действующим законодательством;

если она нужна для достижения законных интересов держателей (обладателей) или третьей стороны, которой раскрыты персональные данные, имеющей лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к их обработке;

когда она необходима для защиты жизненных интересов субъекта персональных данных;

когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта;

если она необходима для выполнения задач правоохранительных органов на законных основаниях.

Правовой режим персональных данных

1. Персональные данные, находящиеся в ведении держателя (обладателя), относятся к конфиденциальной информации, кроме случаев, определенных законодательством РФ.

2. Держатель (обладатель) персональных данных обязан обеспечивать охрану персональных данных во избежание несанкционированного доступа к ним, их блокирования или передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.

3. Режим конфиденциальности персональных данных снимается и случаях:

обезличивания персональных данных;

по желанию субъекта персональных данных;

по истечении семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.

4. Правовой режим персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с действующим законодательством.

5. Для некоторых категорий персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной кампании, может устанавливаться специальный правовой режим их персональных данных, обеспечивающий открытость персональных данных, имеющих общественную значимость.

6. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления, массивы данных для осуществления прямого маркетинга и т.д.).

7. С момента смерти субъекта персональных данных их правовой режим подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный действующим законодательством.

8. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном действующим законодательством о защите чести, достоинства и деловой репутации, защите личной и семейной тайн.

Общедоступные массивы персональных данных

1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т.п.).

2. В общедоступные массивы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и (или) полученные из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных.

3. Если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта о содержании его персональных данных, об источниках получения и цели использования.

4. Персональные данные конкретного субъекта безотлагательно исключаются держателем (обладателем) персональных данных из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоохранительного органа.

5. Режим конфиденциальности для общедоступных массивов персональных данных не устанавливается.

Специальные категории персональных данных

1.Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.

2. Исключение могут составлять случаи, если:

субъект персональных данных дал явное согласие на сообщение и обработку таких данных;

обработка необходима для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц;

обработка осуществляется с надлежащими гарантиями специальной некоммерческой организацией в ходе ее законной деятельности в политических, философских или религиозных целях и относится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и при условии, что данные не раскрываются третьей стороне без согласия субъектов данных;

обработка касается данных, которые сделал общедоступными субъект данных, или она необходима для осуществления действий в связи с судебными исками;

обработка данных требуется в целях превентивной медицины, медицинского диагноза, а также, если данные необходимы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству сохранять профессиональную тайну.

20. Персональные данные как особый институт охраны прав на неприкосновенность частной жизни.