2.Законодательство в сфере защиты персональных данных.
27 июля 2006 года Президентом РФ с целью реализации норм ратифицированной Россией 19 декабря 2005 г. Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» были подписаны Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», который вступит в силу в январе 2007 года, и не менее важный Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации». Необходимость в формировании системы правового обеспечения защиты персональных данных при их автоматизированной обработке в России возникла еще в середине 1990-х гг., когда стали продаваться телефонные и адресные базы данных граждан. Конфиденциальность персональных данных человека постоянно и повсеместно нарушалась, а должная правовая база практически отсутствовала. При рассмотрении проблемы правовой защиты персональных данных часто акцентировалось внимание на том, что в России как можно скорее должен быть принят закон, возлагающий на государство ответственность по разработке правового механизма защиты персональных данных, и обсуждение вопроса о принятии закона о персональных данных еще будет возобновляться.5 Также отмечалось, что статей 23 и 24 Конституции РФ о неприкосновенности частной жизни, личной и семейной тайн, о запрете сбора, хранения, использования и распространения информации о частной жизни лица недостаточно, и поэтому необходима более развернутая нормативно-правовая база реализации этих конституционных правомочий граждан.
Принятие в России Закона «О персональных данных» имеет довольно долгую историю. Разработка закона, закрепляющего механизм защиты персональной информации человека, началась по инициативе Правительства РФ. Первоначальный проект закона с рабочим названием «Об информации персонального характера» разрабатывался в 1998 г. в Комитете по информационной политике и связи Государственной Думы РФ при участии рабочей группы экспертов в сфере информационного законодательства. Однако этот проект закона так и не был поставлен в план повестки на рассмотрение в Государственной Думе РФ, а был лишь разослан по депутатским объединениям. Затем по истечении более чем двух лет в Совете Безопасности РФ была сформирована другая рабочая группа, которой и был подготовлен проект принятого впоследствии закона.6
В настоящий момент правовая основа механизма защиты персональных данных стала приобретать ясные очертания, формируясь по двум направлениям: специализированное законодательство и иное законодательство, которое лишь частично содержит правовые нормы, гарантирующие неприкосновенность частной жизни и регулирующие сферу защиты персональных данных. К специализированному законодательству относятся такие правовые акты как: Федеральный закон «О персональных данных» от 27 июля 2006 г., Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г., закрепляющий принцип неприкосновенности частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия (статья 3), Указ Президента РФ от 6 марта 1997 г. №188, утверждающий «Перечень сведений конфиденциального характера», и другие.
Правовые нормы, регулирующие работу с персональными данными, содержатся также в главе 14 Трудового кодекса РФ «О защите персональных данных работника», в Законе «Об архивном деле в Российской Федерации» от 22 октября 2004 г. (ст.25), в Законе «Об оперативно-розыскной деятельности» (ст. 3, 5, 9, 10, 12, 21), в Законе «О средствах массовой информации» (ст. 41, 43, 46, 51, 57), Закон «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования», в соответствии с которым персональные данные содержатся в индивидуальном лицевом счете застрахованного лица, нормы о защите сведений, полученных в ходе всероссийской переписи населения (персональные данные) содержатся в Законе «О всероссийской переписи населения». В соответствии со статьей 84 Налогового кодекса РФ, при постановке на учет физических лиц в состав сведений об указанных лицах включаются также их персональные данные.
Законом «Об архивном деле в Российской Федерации» ограничивается доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, на срок 75 лет со дня создания указанных документов. Ограничения доступа к такой информации могут быть отменены ранее, чем через 75 лет после создания этих документов, только после получения письменного разрешения самого гражданина, а в случае смерти гражданина — его наследников (п.3 ст. 25).
А) Основные положения Закона «О персональных данных»
Понятию «персональные данные» человека в Законе дается емкое определение. Так, под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Несмотря на то, что Закон содержит определенный перечень сведений, которые относятся к персональным данным человека, данный перечень далеко не является исчерпывающим, поскольку, исходя из самой природы персональных данных, полностью их перечислить довольно сложно, да и не нужно. Ключевой в определении персональных данных является оговорка «другая информация», под которой понимается любая информация, позволяющая легко идентифицировать человека, которая и будет являться персональными данными, поэтому и нет необходимости приводить полный перечень персональных данных человека.
Закон содержит понятие «оператора», под которым понимается государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных (п.2, ст.3 Закона о персональных данных). Так, к операторам относятся «федеральные органы государственной власти и органы государственной власти субъектов федерации, органы местного самоуправления, юридические лица, физические лица, осуществляющие обработку персональных данных с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
В свою очередь, под понятием «обработка персональных данных» Закон понимает действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Распространением персональных данных являются действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Основу Закона составляют базовые принципы и условия обработки персональных данных, которые были разработаны во исполнение норм Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»
Статья 5 Закона «О персональных данных» устанавливает шесть принципов обработки персональных данных, защищающих персональную информацию человека.
Во-первых, персональные данные должны собираться и использоваться законно и добросовестно. Эта норма говорит о том, что персональные данные должны быть собраны и использованы в соответствии с законодательством РФ и только с согласия субъекта персональных данных, но за исключением случаев, четко оговоренных в части 2 статьи 6 Закона, когда такое согласие не требуется. Согласие на обработку своих персональных данных субъект персональных данных должен дать в письменной форме; содержание этого документа четко установлено в п. 4 статьи 9 Закона. К примеру, в письменном согласии субъекта должна быть обязательно указана цель обработки персональных данных и их перечень, а также срок, в течение которого действует согласие и порядок его отзыва.
Во-вторых, заранее четко определенные цели использования персональных данных не должны изменяться. Персональные данные не могут собираться и использоваться для иных целей, о которых субъект, давший письменное согласие на обработку своих данных, не был заранее информирован (п.2 ч. 1 ст.5).
В-третьих, объем, характер и способы обрабатываемых персональных данных должны соответствовать целям обработки персональных данных. Эта норма направлена на исключение ситуаций, когда при сборе персональных данных пытаются получить иную персональную информацию, выходящую за рамки объявленных целей.
В-четвертых, персональные данные должны быть достоверными, а объем собираемой персональной информации должен быть оправдан целями ее сбора. Объем собираемых персональных данных не должен быть избыточным, если это не соответствует определенным и законным целям. При этом, если обнаружено, что были допущены ошибки и персональные данные неточны, субъекту персональных данных принадлежит право внести необходимые изменения (п.3 статья 20).
В-пятых, Закон запрещает объединение персональных данных в единую информационную систему персональных данных, которые были собраны операторами персональных данных для разных целей. Эта норма направлена на то, чтобы избежать ситуации, когда оператор связи содержит базу персональных данных человека, и в случае утечки такой базы, человек будет уязвим перед несанкционированным и недобросовестным использованием этих сведений.
И, наконец, в-шестых, хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Б) Требования к обработке персональных данных
Как уже упоминалось, Закон содержит основные общие требования к деятельности операторов, касающейся обработки персональных данных. Так, субъект персональных данных должен давать свое письменное согласие на их обработку, которое может быть отозвано субъектом персональных данных. Однако Закон не содержит норм относительно причин, по которым согласие может быть отозвано, а содержит лишь оговорку, что порядок отзыва определяется в письменном согласии субъекта персональных данных на обработку своих персональных данных. Оператор в этом случае должен уничтожить такие персональные данные, если они оказались неполными, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели, если субъектом данных это было подтверждено (ч.3 ст. 20).
Оператор и третьи лица, получившие доступ к персональным данным, должны обеспечивать их конфиденциальность (статья 7), за исключением случая обезличивания персональных данных, когда невозможно по ним идентифицировать конкретного человека и относительно общедоступных персональных данных, которые в соответствии со статей 8 Закона могут содержаться в адресных книгах, справочниках и иных общедоступных источниках персональных данных с согласия их субъекта.
Закон также содержит требования о недопущении использования оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту. Права и свободы человека и гражданина не могут быть ограничиваться по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных (ч.3. статья 13).
В) Права субъекта персональных данных и обязанности оператора
Также как принципы, условия, требования и механизм ответственности за нарушение порядка обработки персональных данных, права субъекта персональных данных и обязанности оператора составляют основу Закона «О персональных данных». Субъект персональных данных обладает следующими правами: право на доступ к своим персональным данным; право требовать от оператора уточнения своих персональных данных, а также их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; имеет право принимать предусмотренные Законом меры по защите вышеуказанных прав; а также запретительные права относительно использования персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (статья 15); права, защищающие от принятия решений на основании автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных (статья 16). Чтобы получить доступ к своим персональным данным, субъект персональных данных или его законный представитель должен направить письменный запрос оператору, в котором должен быть указан номер основного документа, удостоверяющего личность гражданина. Запрос может быть направлен и в электронном виде, в этом случае запрос подписывается электронно-цифровой подписью. Оператор обязан в течение десяти рабочих дней со дня получения запроса, направленного субъектом персональных данных или его представителем, предоставить возможность ознакомления с персональными данными. Закон содержит три условия ограничения права на ознакомление с персональными данными. Во-первых, может ограничиваться доступ к персональным данным, полученным в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляемой в целях обороны страны, безопасности государства и охраны правопорядка, к примеру, в соответствии со статьей 5 Закона «Об оперативно-розыскной деятельности», органам или должностным лицам, осуществляющим оперативно-розыскную деятельность, запрещается разглашать сведения, которые затрагивают неприкосновенность частной жизни, личную и семейную тайну, честь и доброе имя граждан и которые стали известными в процессе проведения оперативно-розыскных мероприятий, без согласия граждан, за исключением случаев, предусмотренных федеральными законами. Во-вторых, доступ ограничивается, когда обработка персональных данных осуществляется в рамках деятельности правоохранительных органов, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения. В-третьих, право на ознакомление с персональными данными ограничивается, когда предоставление персональных данных будет нарушать конституционные права и свободы других лиц (ч.5 статья 14).
Субъект персональных данных имеет право требовать прекращения (т.е. блокировки) обработки персональных данных с целью продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, если согласие на их обработку им не было предоставлено. Субъект персональных данных должен иметь право воспрепятствовать принятию каких-либо решений с использованием автоматизированной обработки его персональных данных, которое осуществлялось без его письменного согласия, что повлекло за собой юридические последствия, которые его касаются. Эта норма направлена на пресечение различных мошеннических операций с использованием персональных данных человека.
Оператор персональных данных, определивший цель и содержание обработки персональных данных и осуществляющий организацию и обработку этих данных, имеет следующие обязанности: обеспечить безопасность персональных данных при их обработке; сообщать субъекту персональных данных о наличии персональных данных; уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных за исключением случаев, указанных в части 2 статьи 22; предоставлять возможность ознакомления с персональными данными их субъекту по его запросу, а в случае отказа в их предоставлении дать в письменной форме мотивированный ответ в течение 7 дней; оператор обязан разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если обязанность их предоставления установлена федеральным законом; вносить в персональные данные необходимые изменения, уничтожать или блокировать персональные данные после предъявления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; обязан устранить нарушения при обработке персональных данных, сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Г) Ответственность за нарушение работы с персональными данными
Закон устанавливает, что лица, виновные в нарушении требований настоящего Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность (статья 24). В случае нарушения прав субъекта персональных данных, он может обжаловать действия или бездействия в Уполномоченный орган по защите персональных данных или в судебном порядке. Уполномоченный орган по защите прав субъекта персональных данных является новым для России институтом, деятельность которого направлена на осуществление контроля и надзора за обработкой персональных данных. Уполномоченный орган имеет право обращаться в суд с исковыми заявлениями для защиты персональных данных и представлять интересы субъектов персональных данных в суде.
Дисциплинарная ответственность должна быть установлена внутренними правилами распорядка организации (в данном случае оператора). В виде дисциплинарной ответственности работнику, совершившему какой-либо дисциплинарный проступок в связи с обработкой персональных данных, не повлекший за собой административную, гражданскую или уголовную ответственность, может быть вынесено замечание, выговор, или он может быть уволен по соответствующим основаниям, предусмотренным ст.81 Трудового кодекса РФ. В Трудовом кодексе РФ четко не установлен вид дисциплинарной ответственности за нарушение порядка обработки персональных данных, а лишь указано, за нарушение норм защиты персональных данных работника также устанавливается гражданская, уголовная, административная, дисциплинарная ответственность.
Что касается гражданской ответственности, то субъект персональных данных в порядке гражданского судопроизводства может требовать возмещение убытков и (или) компенсацию морального вреда.
В соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях (КоАП) административная ответственность предусмотрена за нарушение установленного Законом «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения на граждан административного штрафа в размере от трех до пяти минимальных размеров оплаты труда (МРОТ), от пяти до десяти МРОТ13 для должностных лиц и от пятидесяти до ста МРОТ для юридических лиц. В соответствии со статьей 13.14 КоАП РФ разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет за собой наложение административного штрафа на граждан в размере от пяти до десяти МРОТ, а на должностных лиц — в размере от сорока до пятидесяти МРОТ.
Поскольку защита персональных данных человека являются составной частью института гарантий неприкосновенности частной жизни человека, нормы особенной части Уголовного кодекса РФ относительно уголовной ответственности за нарушение неприкосновенности частной жизни человека распространяются, в том числе, и на порядок защиты персональных данных. Так, уголовная ответственность статьей 137 Уголовного кодекса РФ устанавливается за незаконное собирание или распространение сведений о частной жизни лица, составляющих личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Указанные деяния наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до одного года, либо арестом на срок до четырех месяцев. Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. 7