Права субъекта персональных данных. Субъект персональных данных - это кто такой? Форма согласия субъекта персональных данных

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Аннотация: Лекция позволяет изучить основные термины и базовые законы Российской Федерации в области защиты персональных данных.

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона. В ФЗ "О персональных данных" установлены три регулятора:

Роскомнадзор (защита прав субъектов персональных данных)
ФСБ (требования в области криптографии)
ФСТЭК России (требования по защите информации от несанкционированного доступа и утечки по техническим каналам).

Так как ФЗ "О персональных данных" является лишь основой правового обеспечения защиты ПД, его требования в дальнейшем были конкретизированы в актах Правительства РФ и Министерства связи, нормативно-методических документах регуляторов.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес , абонентский номер, сведения о профессии и иные персональные данные , предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные , касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия .

Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Это породило немало споров. Рассмотрим пример с фотографией. С одной стороны, она характеризует физиологические особенности человека. Но человек с течением времени может сильно измениться или злоумышленник может подделать внешние признаки под законного субъекта. Так ли однозначно в данном случае установление личности? В настоящее время представители регуляторов подтверждают, что фотография и видеоизображения относятся к биометрическим данным.

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:
- цель обработки ПД
- способы обработки ПД
- сроки обработки ПД
- перечень допущенных к обработке ПД лиц
- перечень обрабатываемых ПД и источник их получения
- сведения о возможных юридических последствиях обработки ПД для субъекта ПД.
Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.
Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.
Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.
Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

2.4. Обязанности оператора персональных данных

Ранее мы рассмотрели понятие оператора персональных данных и действия, являющиеся обработкой персональных данных . Исходя из определения, можно сделать вывод о том, что все без исключения организации являются операторами ПД, так как они накапливают, собирают и обрабатывают информацию о своих сотрудниках в рамках Трудового кодекса РФ. Помимо этого многие организации собирают сведения о своих клиентах, подрядчиках, поставщиках и партнерах в рамках своей основной деятельности. Главными обязанностями оператора ПД является уведомление Роскомнадзора об обработке ПД и,собственно, защита ПД.

Законом предусмотрены случаи, когда оператор не обязан уведомлять Роскомнадзор об обработке ПД:

если его связывают с субъектом трудовые отношения;
если между оператором и субъектом существует договор и данные необходимы для исполнения обязательств по нему;
если данные относятся к членам религиозных объединений и общественных организаций и обрабатываются в соответствии с учредительными документами и с законом.
если данные являются общедоступными;
если включают в себя только ФИО;
данные необходимы для однократного пропуска на территорию оператора или аналогичных целей;
если данные включены в федеральные автоматизированные информационные системы и государственные информационные системы персональных данных;
если данные обрабатываются без использования средств автоматизации в соответствии с законами РФ.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных, предусмотренные ФЗ-№152:

Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Уведомительный характер обработки персональных данных. В соответствии со статьей 2 ФЗ-№152 оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов ПД (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Роскомнадзор вносит сведения об операторе в реестр операторов. Информация, содержащаяся в реестре, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, является общедоступной.
При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.
Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.
Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.
Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Функциями контроля и надзора государство наделило Роскомнадзор, ФСТЭК и ФСБ.

Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;
оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;
обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Во всех других случаях оператор должен соблюдать требования российского законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1_го года, аресте до 6_ти месяцев и лишении права занимать должность на срок до 5_ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Основные понятия информационной безопасности

Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.

Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2 ,3 ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

законодательный – законы, нормативные акты и прочие документы государства и международного сообщества;

административный – комплекс мер, предпринимаемых локально руководством организации;

процедурный уровень – меры безопасности, реализуемые людьми;

программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

1.2. Закон регулирует отношения, возникающие при:

осуществлении права на поиск, получение, передачу, производство и распространение информации;

применении информационных технологий;

обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

информация - сведения (сообщения, данные) независимо от формы их представления;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

установление ограничений доступа к информации только федеральными законами;

открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

равноправие языков народов при создании информационных систем и их эксплуатации;

обеспечение безопасности при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

достоверность информации и своевременность ее предоставления;

неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

информацию, свободно распространяемую;

информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информацию, распространение которой ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных, обязаны обеспечить:

предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

своевременное обнаружение фактов несанкционированного доступа к информации;

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в государства и определяет права и обязанности его субъектов.

Персональные данные

Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных.

Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга - это примеры "безобидных " утечек. Кража персональных данных может нанести правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно установить источник утечки персональных данных вследствие высокой информатизации современного общества.

В соответствии с Законом персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПД.

Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [7 ].

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

субъект ПД дал согласие в письменной форме на обработку своих персональных данных;

персональные данные являются общедоступными;

персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну;

обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;

обработка персональных данных осуществляется в соответствии с законодательством определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

2.3. Права субъекта персональных данных

Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:

цель обработки ПД

способы обработки ПД

сроки обработки ПД

перечень допущенных к обработке ПД лиц

перечень обрабатываемых ПД и источник их получения

сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.

Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.

Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

Рассмотрим основные обязанности оператора персональных данных:

Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".

Уведомительный характер обработки персональных данных. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.

Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;

обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;

осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности[7 ].

Во всех других случаях оператор должен соблюдать требования законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный .

Обработка персональных данных является неавтоматизированной , если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10 ].

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Данный документ вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка " включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11 ].

Введение.

Актуальность этой темы, на наш взгляд, велика, потому что принятие и вступление в силу Федерального закона «О персональных данных» можно рассматривать как очень серьезный и существенный шаг России на пути к информационному обществу, которое немыслимо без законодательного регулирования в сфере конфиденциальной информации и прежде всего персональных данных. Я считаю, что данная сфера правового регулирования является одной из важнейших частей закрепленного в Конституции права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, что повлияло на выбор моей темы. Кроме того, моя последняя работа была непосредственно связана с информацией, которая непосредственно относится к персональным данным.

Процесс перехода к информационному сложен и каждая его составляющая - и правовая, и организационно-техническая - является важным и неотъемлемым элементом. Если говорить конкретно о технической защите персональных данных, то касающиеся ее требования законодательства являются ключевыми. Их значение особенно возрастает, учитывая рост угроз информационной безопасности вообще, свойственный современному миру высоких технологий.

Целью этой работы является выявление наиболее общих, определяющих, главенствующих положений этого закона, их толкование, а также поиск пробелов или проблем правого регулирования, которые так или иначе могли появиться в результате принятия этого закона, а также поиск путей их решения.

Законодательством в сфере защиты персональных данных в Евросоюзе озаботились уже более двадцати лет назад, когда были заложены основные принципы в »Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных». А в 1995 и 1997 гг. были приняты Директивы Совета Европы, детализирующие требования и учитывающие развитие средств коммуникаций, обработки и хранения данных. В этих документах прямо указано, что любые личные сведения, содержащиеся и обрабатываемые в автоматизированных базах данных, должны быть защищены от несанкционированного доступа и нецелевого использования. Следует отметить, что директивы Совета Европы учитывают очень быстрое развитие различных технических средств, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных.

История и общие положения.

Федеральный закон Российской Федерации № 152-ФЗ “О персональных данных” (далее по тексту закон) был принят 27 июля 2006 года и на фоне других ярких событий ушедшего года остался почти незамеченным. Основным поводом для его принятия послужили многочисленные факты кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. Еще одной целью принятия данного закона явилась необходимость устранения определенных барьеров в торговле со странами Евросоюза.

Принятие российского закона “О персональных данных” стало следствием присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Эта Конвенция и последовавшие за ней несколько Директив Евросоюза сформулировали в общих чертах те задачи, которые национальное законодательство должно решать при регулировании работы с персональными данными:

· защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий;

· обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи;

· обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных;

· обеспечение контроля над использованием персональных данных со стороны самого гражданина;

· создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).

Наш закон во многом повторяет основные положения европейского законодательства в данной сфере, которое считается одним из самых жестких в мире. Хотя в 2006 году о законе достаточно часто говорили, но в содержание его положений мало кто внимательно вчитывался. А ведь для того чтобы обеспечить соблюдение его требований, придется существенно изменить работу с информацией и документацией, содержащих персональные данные.

Он регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). На первый взгляд кажется несовсем ясной формулировка данной статьи. Формулировка кажется допускающей самые разные интерпретации. Как на основе подобного текста ответить, например, на вопрос о том, подпадают ли под действие закона данные, записанные в свободной форме в деловой записной книжке? Если же такая записная книжка хранится в компьютере или в мобильном телефоне - считается ли это «использованием средств автоматизации? Однако подобный вопрос можно решить, если посмотреть Конвенцию “О защите физических лиц в отношении автоматизированной обработки данных личного характера”, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных. Это очень важно, поскольку за прошедшие 10 лет появились и получили широкое распространение такие технологии передачи данных, как Bluetooth, WiFi. Сделать такой вывод позволяют пункты “b”, “c” статьи 2 этой конвенции.

Прежде всего разберемся, что относится к персональным данным и что подразумевается под их обработкой. В соответствии с Законом от 27.07.06 к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.

Следует иметь ввиду то что в соответствии со ст.1 п.2 к персональным данным не относятся отношения, возникающие:

· при обработке персональных данных для личных и семейных нужд;

· при обработке персональных данных в документах Архивного фонда РФ;

· при обработке персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП);

· при обработке персональных данных, отнесенных к государственной тайне.

Законом предусмотрены следующие способы обработки персональных данных (для ряда из них в статье 3 даны подробные разъяснения):

· сбор;

· систематизация;

· накопление;

· хранение;

· уточнение (обновление, изменение);

· использование - “действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц”;

· распространение (в том числе передача) - “действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом”;

· обезличивание - “действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных”;

· блокирование - «временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи»;

· уничтожение персональных данных - “действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных”.

Особого внимания заслуживают такие способы обработки, как блокировка и уничтожение персональных данных. В законе на наш взгляд хороша формулировка об уничтожении - именно такой подход сейчас рекомендуется отечественными и зарубежными стандартами. Что касается блокирования персональных данных, то такой способ обработки в отечественной практике введен впервые, и его исполнение может значительно осложнить жизнь организациям, использующим ранее разработанные информационные системы и базы данных, в которых подобная операция не предусмотрена.

Принципы.

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Одним из самых неприятных для организаций, осуществляющих сбор и обработку персональных данных, является требование статьи 6 о необходимости получить согласие субъекта на их обработку. Не требуется получения согласия лишь в следующих случаях:

· на основании федерального законодательства;

· в целях исполнения договора с субъектом персональных данных;

· в статистических или научных целях;

· для защиты жизни, здоровья субъекта персональных данных;

· для доставки почтовых отправлений организациями почтовой связи;

· в ходе профессиональной деятельности журналиста, ученого и т.д.;

· в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Первыми на проблемы, связанные с соблюдением нового закона, обратили внимание страховые компании. По их мнению, закон о персональных данных способен серьезно затруднить реализацию закона об обязательном страховании автогражданской ответственности (ОСАГО) из-за запрета передавать третьим лицам полученные при заключении договора ОСАГО персональные данные клиента без его согласия. В результате страховая компания не сможет получить полную информацию о своих клиентах из единой базы данных (да и ведение такой базы также оказывается под вопросом), в данной ситуации риски страховщиков повышаются.

Уже сейчас страховые компании пытаются решить эту важную для них проблему, рассматривая следующие варианты:

· Внесение соответствующих поправок в закон об ОСАГО и создание для страховщиков обязанности обмениваться данными о страховых случаях.

· Определение части персональных данных как публичных. Сведения, которые физическое лицо указывает при оформлении договора ОСАГО, по мнению страховщиков, являются публичными. Однако закон «О персональных данных» требует получать согласие и на сбор публичных данных.

Вызывает сомнения пункт 6 статьи 6 о предоставлении права обрабатывать персональные данные журналистам, ученым и представителям иных творческих профессий без согласия субъекта. Казалось бы вполне реально (особенно в коммерческих структурах) ввести штатную должность “представителя творческой профессии” и “записать на нее” все базы данных, содержащие персональную информацию. Однако там же есть ссылка на то, что сбор, хранение и иные действия не должны нарушать права и свободы субъекта.

Мероприятия по охране конфиденциальной информации подразделяются на:

- Внешние мероприятия . Это изучение партнеров, клиентов, с которыми приходится вести хозяйственную, коммерческую деятельность, собирать информацию об их надежности, платежеспособности и другие данные. При необходимости производится изучение связей сотрудников частной фирмы. Выясняются лица, проявляющие интерес к предприятию, его деятельности, сотрудникам, не относятся ли они к конкурирующей организации или к преступной группе. По возможности желательно установить, в чем суть этого интереса и кому понадобилась та или иная информация. Не повторится ли он в будущем, т.е. что можно ожидать от конкурента или преступных элементов.

- Внутренние мероприятия . Это подбор, проверка лиц, желающих поступить на работу в частное предприятие. Изучение их анкетных данных, поведения по месту жительства и прежней работы, личные и деловые качества, положительные и отрицательные стороны изучаемого лица, межличностные отношения, наличие судимостей, административных задержаний. В ходе анализа собранных материалов выясняется, нет ли каких-либо в них противоречий. Дополнительно может проводиться тестирование лица для выяснения моральных или других качеств. Обращается внимание на возможную работу в конкурирующей фирме и причины ухода. После этого делается вывод о пригодности кандидата к работе в данной фирме. На этом этапе изучения сотрудника интерес к нему не заканчивается. Периодически или в зависимости от поведения продолжают изучаться и анализироваться его поступки, затрагивающие интерес (секреты) предприятия. Не исключено, что конкурент может специально направить своих людей для устройства на работу в интересующее его предприятие с целью получения о нем ценных сведений.

Права субъекта персональных данных

Прежде всего субъект персональных данных вправе получить следующую информацию:

· сведения об операторе,

· сведения о месте нахождения оператора,

· сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,

· субъект также имеет право на ознакомление со своими персональными данными, имеющимися у оператора.

От оператора субъект персональных данных может потребовать:

· уточнения своих персональных данных,

· их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Спам под запретом

Отдельная статья Закона посвящена назойливому распространению любой рекламы. Термин “спам” в ней не содержится, однако ясно указано, что адресное направление рекламы любыми средствами коммуникаций допускается только с заранее полученного согласия человека. В противном случае рекламодатель обязан удалить из базы любые имеющиеся у него данные о человеке. Очень хорошее положение, однако для его реализации в Законе не предусмотрено конкретных механизмов. Есть общие положения о федеральном органе по надзору и об ответственности оператора - нарушителя в установленном порядке.

Порядок сертификации средств связи, баз данных, информационных систем

Итак, чтобы получить право на работу с персональными данными, оператор должен пройти процедуру сертификации своих аппаратных и программных средств, к которым относятся:

· автоматизированные системы различного уровня и назначения;

· системы связи, приема, обработки и передачи данных;

· системы отображения и размножения;

· помещения, предназначенные для размещения аппаратно-программных комплексов.

Обыденная ситуация - мы делаем заказ DVD на сайте. Указываем адрес доставки и контактный телефон. Мы не подозреваем ничего плохого, так надо, чтобы курьер привез выбранные фильмы к нам домой. Через некоторое время в почтовый ящик начинает приходить спам (очень частые и поэтому назойливые предложения рекламного характера), незнакомые фирмы шлют свои предложения и звонят, называют по имени. Неприятно. Бывают ситуации и с криминальным оттенком. Например, многие пользуются сейчас интернет-банкингом, и случаи воровства данных счетов, пластиковых карт хорошо известны.

Для получения доступа к своим персональным данным нашим соотечественникам необходимо:

· обратиться лично либо

· прислать запрос, который должен содержать:

· номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя,

· сведения о дате выдачи указанного документа и выдавшем его органе и

· собственноручную подпись субъекта персональных данных или его законного представителя.

Данный запрос может быть направлен в электронной форме и подписан электронной цифровой подписью. Таким образом, формально закон предоставляет возможность обратиться за своими персональными данными по электронным каналам связи. Вот только физических лиц, имеющих собственную ЭЦП, соответствующую закону об ЭЦП, у нас пока нет (в подавляющем большинстве случаев ЭЦП в нашей стране используется в соответствии со статьей 160 Гражданского кодекса, предусматривающей предварительное соглашение сторон).

Объем информации, который может запросить субъект персональных данных, демонстрирует заботу о наших гражданах. Организациям, ведущим содержащие персональные данные базы данных, рекомендуется обратить особое внимание на пункт 4 статьи 14 нового закона, чтобы заранее продумать и закрепить во внутренних нормативных актах порядок предоставления информации:

· о факте обработки персональных данных оператором, а также целях такой обработки;

· о способах обработки персональных данных, применяемых оператором;

· о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (чтобы быть в состоянии отчитаться в том, кому и какие персональные данные предоставлялись, необходимо наладить работу по учету персональных данных и контролю доступа к ним, иначе организации-оператору будет довольно сложно выполнить данное требование);

· перечень обрабатываемых персональных данных и источники их получения;

· сроки обработки персональных данных, в том числе сроки их хранения (стоит обратить особое внимание на это требование, т.к. фактически оно обязывает оператора закреплять внутренними нормативными документами сроки обработки и хранения, которые могут различаться в зависимости от целей обработки персональных данных);

· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных (чтобы выполнить данное требование, организациям стоит заранее поручить своим юристам сформулировать обоснования всех возможных юридических последствий обработки персональных данных)

Также запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы» (статья 16).

Данная норма является необходимой и своевременной. Но наши законодатели, формулируя ее, спутали два разных понятия: “автоматический” (т.е. идущий без участия человека) и “автоматизированный” (т.е. идущий с участием человека). В результате данная статья вместо того, чтобы устанавливать дополнительные ограничения в тех и только тех случаях, когда информационная система принимает какие-либо решения без участия человека (например, о начислении штрафа, о запрете выезда за пределы страны и т.д.), может толковаться как устанавливающая ограничения на все виды обработки персональных данных, поскольку под автоматизированной обработкой можно понимать даже использование калькулятора!

В этой же статье нового закона сказано, что оператор сможет принимать решения на основании только “автоматизированной” обработки, если:

· получит на это согласие в письменной форме от субъекта персональных данных или

· если данные правила установлены федеральными законами.

В некоторых нормативных документах данные требования закона уже учтены. Так, в образцах заявлений о выдаче паспорта нового поколения содержится специальный раздел, в котором заявитель дает свое согласие на “автоматизированную” обработку указанных в заявлении данных. Звучит он следующим образом: “С автоматизированной обработкой, передачей и хранением данных, указанных в заявлении, в целях изготовления, оформления и контроля паспорта в течение срока его действия согласен”.

Оператор также должен будет предварительно предоставить гражданину следующую информацию:

· порядок принятия решения на основании исключительно “автоматизированной” обработки его персональных данных и

· возможные юридические последствия такого решения;

· порядок защиты субъектом персональных данных своих прав и законных интересов;

· возможность заявить возражение против такого решения.

В случае спора именно оператор должен будет доказать, что он выполнил все требования закона. Это означает, что ему придется тщательно собирать и хранить подтверждающие документы.

Обязанности оператора

Одной из важнейших норм Закона от 27.07.06 является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т. е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.

Итак, на обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме – в зависимости от категории персональных данных, а также характера их обработки.

Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:

· при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;

· при обработке биометрических персональных данных – сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т.д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;

· при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.

В соответствии с законом письменное согласие субъекта на обработку его персональных данных должно включать:

· фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

· наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

· цель обработки персональных данных;

· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

Интересно, что независимо от того, в письменной или устной форме получено согласие субъекта на обработку его персональных данных, на оператора возлагается обязанность по доказыванию факта получения такого согласия.

Пунктом 2 статьи 18 устанавливается обязанность оператора разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если предоставление персональных данных субъектом установлена федеральным законом. К таким случаям относится обработка персональных данных, проводимая на основании федерального закона определяющего цели и условия получения персональных данных, а также круг субъектов, персональные данные которых подлежат обработке и полномочия оператора.

В отдельных случаях для субъекта может предусматриваться необходимость предъявления дополнительных документов оператору.

Кроме того, Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела (утв. Указом Президента РФ от 30 мая 2005 г. N 609) предусматривает порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации, а также ведение его личного дела. Так же данным Указом предусматривается что, представитель нанимателя или уполномоченное им лицо вправе подвергать обработке, в том числе автоматизированной, персональные данные гражданских служащих при формировании кадрового резерва.

В личное дело гражданского служащего вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа. Персональные данные, внесенные в личные дела гражданских служащих, другие сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации. А в случаях, установленных федеральными законами и нормативными правовыми актами Российской Федерации - к сведениям, составляющим государственную тайну.

Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных. При проведении определенных исследований возникает необходимость в статистических данных, например, по возрастной группе населения без идентификации субъектов персональных данных. А также в случае, когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

В соответствии со ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему возрасте для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.

Также в обязанности оператора входит разъяснение субъекту персональных данных юридические последствия отказа предоставить свои персональные данные оператор обязан, в случае если обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи. Одной из целей поставленных ФЗ "О связи" является защита интересов пользователей услугами связи и осуществляющих деятельность в области связи хозяйствующих субъектов. Пользователем услугами связи является лицо, заказывающее и (или) использующее услуги связи. Услуги связи - это деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений. К таким сведениям относятся - фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.

А также если обработка персональных данных осуществляется в целях профессиональной деятельности журналиста или в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Здесь примером может служить Федеральный закон "Об информации, информационных технологиях и о защите информации" регулирующий отношения при возникновении права на поиск, получение, передачу, производство, распространение и защиту информации с использованием информационных технологий.

Кроме того, Закон РФ "Об авторском праве и смежных правах" регулирует отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм исполнений, постановок, передач организаций эфирного или кабельного вещания.

Еще одной немаловажной обязанностью оператора является разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в случае, если осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Так в соответствии с Указом Президента РФ "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом Российской Федерации или Правительством Российской Федерации, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих. А сведения о доходах, имуществе и обязательствах имущественного характера гражданских служащих субъекта Российской Федерации предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.

Средствам массовой информации по их обращениям предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера выше указанных гражданских служащих - декларированный годовой доход, перечень объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них, перечень транспортных средств и суммарная декларированная стоимость ценных бумаг, принадлежащих гражданскому служащему на праве собственности.

В предоставляемых средствам массовой информации сведениях запрещается указывать данные о супруге, детях и иных членах семьи гражданского служащего; данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи; данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании; информацию, отнесенную к государственной тайне или являющуюся конфиденциальной.

В статье 19 представлены меры по обеспечению безопасности персональных данных при их обработке.

Пункт 1 данной статьи обязывает оператора при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, вплоть до применения шифровальных (криптографических) средств.

©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-26

Трудовой кодекс РФ, вступивший в силу с 01.02.2002, впервые закрепил основополагающие требования о защите персональных данных работника (гл. 14 ст. 86-90 ТК РФ). Работа любой кадровой службы организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений о работниках. Эти сведения помогают работодателю более точно определить деловые качества работника. Следует отметить, что термин «деловые качества», упоминаемый, в частности, в ст. 3, 64 ТК РФ, законодатель не расшифровывает. Можно предположить, что работодатель может ориентироваться на следующий перечень критериев оценки деловых качеств будущего работника:

Деловая ориентация – установка работника на продуктивную деятельность по достижению результатов;

Способность к обучению – способность работника к поиску новых знаний, овладение умениями и навыками;

Организаторские способности;

Коммуникативные способности и т.д.

Процесс выявления названных критериев, характеризующих деловые качества работника, безусловно, достаточно, сложный. По определению американского Общества по управлению кадрами, работа с персоналом - это «искусство набирать, подготавливать и сохранять квалифицированную рабочую силу таким образом, чтобы добиться максимальной эффективности и экономии при выполнении функции и достижения целей организации».

Прием работника по деловым качествам предлагает применение определенных приемов сбора сведений о работнике, с тем, чтобы они достаточно полно выявили заранее обозначенный круг критериев, необходимых для занятия той или иной должности с вероятной степенью достоверности и надежности, т.е. работодатель фактически осуществляет сбор персональных данных работника.

На сохранение конфиденциальности тайны сведений о работнике, помимо ТК РФ, направлен ряд других законов. Так, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных (частями 3 и 4 статьи 13).

Работодатель, кроме того, не имеет право запрашивать информацию о состоянии здоровья работников, за исключением случаев, когда существует необходимость получения таких сведений, связанных с выполнением работником трудовой функции. В частности, допустимо обращение за информацией о состоянии здоровья беременной женщины при решении вопроса о ее переводе на другую работу.

В целях обеспечения защиты персональных данных, хранящиеся у работодателя в соответствии со ст. 89 ТК РФ работники имеют право:

На полную информацию об их персональных данных и обработке этих данных;

Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев предусмотренных федеральным законом;

Доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполноценные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите персональных данных работника.

Закрепление прав работника, предусматривающих защиту его персональных данных, обеспечивает сохранность полной информации о нем.

Субъектами персональных данных являются граждане Российской федерации, иностранные граждане и лица без гражданства, находящиеся на территории РФ, к личности которых относятся соответствующие персональные данные. Операторы персональных данных – органы государственной власти и местного самоуправления, работодатели всех организационно-правовых форм хозяйствования, осуществляющие владение и пользование этими данными.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в локально нормативных актах организации. В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководитель организации, работодатель – индивидуальный предприниматель, руководители структурных подразделений.

Таким образом, работники бухгалтерии, которые вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, данные, требующие для персонифицированного и налогового учета).

Проще говоря, субъектами таких отношений выступает работник, его представитель, работодатель, должностные лица, осуществляющие обработку персональных данных работника, а также третьи лица, получающие (или представляющие) информацию о работнике.

Объектами отношений по защите персональных данных работника являются непосредственно сами «персональные данные».

Под защитой персональных данных работника понимается деятельность управомочных лиц (работодателя, должностных лиц работодателя) по обеспечению конфиденциальности информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями.

Защита персональных данных обеспечивается системой правовых (локальное регулирование порядка обработки персональных данных) и организационно-технических мер.

Защита нарушений прав в сфере защиты персональных данных обеспечивается мерами государственного принуждения (мерами дисциплинарной, административной, гражданско-правовой и уголовной ответственности) в соответствии с федеральными законами.

Классификация локальных нормативных правовых актов, содержащих нормы об охране персональных данных работника, позволяет адекватно оценить их значение и роль в обеспечении права работников на неприкосновенность частной жизни.

Внутренние локальные нормативные правовые акты могут быть общего и специального характера. Критерием в данном случае является круг лиц, на которых распространяется действие акта. Локальные нормативные правовые акты общего характера воздействуют на поведение всех или большинства работников организации, а под действие специальных актов попадают только определенные категории должностных лиц. К документам первого вида относятся коллективный договор, правила внутреннего трудового распорядка, положение о подразделении организации. Специальными локальными правовыми актами являются инструкция по делопроизводству, положение о защите информации, положение о персонале организации, положения о функциональных органах, должностные инструкции.

Коллективный договор является основным локальным правовым актом организации. Согласно ст. 40 ТК РФ коллективный договор - это правовой акт, регулирующий социально-трудовые отношения в организации и заключаемый работниками и работодателем в лице их представителей. Коллективный договор отличается от иных локальных правовых актов особым порядком принятия, широким кругом регулируемых отношений. Как правило, значительное количество локальных нормативных правовых актов принимается в качестве приложений к нему. Нормы, регулирующие отношения по защите персональных данных работника, отражаются в коллективных договорах опосредованно.

Одним из локальных нормативных правовых актов, в котором может устанавливаться порядок хранения и использования персональных данных, являются правила внутреннего трудового распорядка организации. Основываясь на требованиях ТК РФ, в разделе «Права и обязанности работников» уместно перечислить права и обязанности работников в этой области.

Главная » Корпоративное » Права субъекта персональных данных. Субъект персональных данных - это кто такой? Форма согласия субъекта персональных данных