- •41 Виды профессиональной тайны и нормативные требования по её защите.
- •9.2. Охрана конфиденциальности информации, составляющей отдельные виды профессиональной тайны
- •45 Обеспечение конфиденциальности и безопасности персональных данных при их обработке.
- •48 Обязанности оператора персональных данных.
- •49 Требования к порядку создания и эксплуатации информационных систем персональных данных.
- •50 Защита информации как составляющая информационной безопасности предприятия.
45 Обеспечение конфиденциальности и безопасности персональных данных при их обработке.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных16.
Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3 Закона о персональных данных).
Целостность персональных данных означает, что только уполномоченные лица могут вносить в эту информацию изменения. Если персональные данные искажаются в результате ошибки оператора, сбоя системы или действия неуполномоченного лица, происходит потеря целостности.
Доступность персональных данных означает наличие своевременного беспрепятственного доступа к ним для субъектов персональных данных и иных лиц, обладающих соответствующими полномочиями.
Информационная система персональных данных – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств (ст. 3 Закона о персональных данных).
Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением двух случаев: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.
В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Обеспечение безопасности персональных данных регламентируется подзаконными нормативными правовыми актами. К основным из них относятся:
Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
Приказ ФСБ России от 09.02.2005 г. № 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 Закона о персональных данных и подзаконными актами17. Как правило, для их обработки требуется обязательное письменное согласие субъекта, за исключением предусмотренных законом случаев.
Безопасность персональных данных должна быть обеспечена, в том числе, при осуществлении их трансграничной передачи.
Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Трансграничная передача персональных данных может осуществляться при выполнении требований, предусмотренных ст. 12 Закона о персональных данных, основным их которых является обеспечение иностранным государством адекватной защиты прав субъектов персональных данных. Однако такая передача (даже при условии адекватной защиты персональных данных) может быть запрещена в целях обеспечения безопасности личности, общества и государства. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться только в пяти случаях (п. 3 ст. 12):
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами РФ (по вопросам выдачи виз; об оказании правовой помощи по гражданским, семейным и уголовным делам; о реадмиссии);
3) предусмотренных федеральными законами;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
46 Особенности защиты прав субъекта персональных данных.
Закон о персональных данных устанавливает следующие права субъектов персональных данных:
право субъекта персональных данных на доступ к своим персональным данным, в том числе на получение сведений об операторе, путём обращения либо по запросу (ст. 14). Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью;
право требовать от оператора немедленного прекращения обработки персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (ст. 15);
права по отношению к принятию решения, порождающего юридические последствия, основанного исключительно на автоматизированной обработке персональных данных, в том числе, право на получение от оператора разъяснений, право на возражение против такой обработки (ст. 16). Эти права основаны на праве получения субъектом соответствующей информации о порядке (логике) принятия такого «автоматизированного» решения при использовании персональных данных18 и его возможных юридических последствиях;
право на защиту своих прав и законных интересов (ст. 17).
Вышеуказанным перечнем права субъекта персональных данных не исчерпываются. В частности, можно указать и иные права, например, право на исключение своих персональных данных из общедоступных источников персональных данных (справочников, адресных книг и др.)19, право требовать от оператора устранения допущенных нарушений при обработке персональных данных, в том числе их уничтожения (п. 3 ст. 21), право на отзыв согласия на обработку своих персональных данных (п. 5 ст. 21).
Ограничения права субъекта на доступ к своим персональным данным предусмотрены п. 5 ст. 14 Закона о персональных данных. Такие ограничения обусловлены публично-правовыми интересами.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Защита прав и законных интересов субъекта персональных данных осуществляется в случае неправомерных действий (бездействия) оператора при обработке персональных данных. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов любыми способами, предусмотренными законом20, в том числе прав на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Кроме того, в соответствии со ст. 24 Закона о персональных данных лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ.
Закон о персональных данных предусматривает создание в России уполномоченного органа по защите прав субъектов персональных данных с законодательно установленными правами и обязанностями. Уполномоченным органом по защите прав субъектов персональных данных в п. 1 ст. 23 Закона о персональных данных определён федеральный орган исполнительной власти, осуществляющий контроль и надзор в сфере информационных технологий и связи21. На этот орган возлагается:
обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона;
рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки;
принятие соответствующих решений, касающихся обработки персональных данных и защите прав субъектов.
Для осуществления своей деятельности уполномоченный орган наделён определёнными правами (п. 3 ст. 23 Закона о персональных данных), заключающимися в запросе, получении и проверке информации, необходимой для реализации своих полномочий, правомочиями по внесению в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных и правомочиями по административному принуждению оператора в случае нарушения им норм действующего законодательства. В частности, уполномоченный орган имеет право:
требовать уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Закона о персональных данных;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении Закона о персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных наделяется рядом обязанностей, в том числе по обеспечению конфиденциальности персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, по принятию мер по приостановлению или прекращению обработки персональных данных (по представлению ФСБ России и ФСТЭК России), по ведению общедоступного реестра операторов, по информированию государственных органов и субъектов персональных данных, по предоставлению ежегодного официально публикуемого отчета о своей деятельности.
47 Права и обязанности уполномоченного органа по защите прав субъектов персональных данных.
10.4. Защита прав субъекта персональных данных
Закон о персональных данных устанавливает следующие права субъектов персональных данных:
право субъекта персональных данных на доступ к своим персональным данным, в том числе на получение сведений об операторе, путём обращения либо по запросу (ст. 14). Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью;
право требовать от оператора немедленного прекращения обработки персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (ст. 15);
права по отношению к принятию решения, порождающего юридические последствия, основанного исключительно на автоматизированной обработке персональных данных, в том числе, право на получение от оператора разъяснений, право на возражение против такой обработки (ст. 16). Эти права основаны на праве получения субъектом соответствующей информации о порядке (логике) принятия такого «автоматизированного» решения при использовании персональных данных22 и его возможных юридических последствиях;
право на защиту своих прав и законных интересов (ст. 17).
Вышеуказанным перечнем права субъекта персональных данных не исчерпываются. В частности, можно указать и иные права, например, право на исключение своих персональных данных из общедоступных источников персональных данных (справочников, адресных книг и др.)23, право требовать от оператора устранения допущенных нарушений при обработке персональных данных, в том числе их уничтожения (п. 3 ст. 21), право на отзыв согласия на обработку своих персональных данных (п. 5 ст. 21).
Ограничения права субъекта на доступ к своим персональным данным предусмотрены п. 5 ст. 14 Закона о персональных данных. Такие ограничения обусловлены публично-правовыми интересами.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Защита прав и законных интересов субъекта персональных данных осуществляется в случае неправомерных действий (бездействия) оператора при обработке персональных данных. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов любыми способами, предусмотренными законом24, в том числе прав на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Кроме того, в соответствии со ст. 24 Закона о персональных данных лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ.
Закон о персональных данных предусматривает создание в России уполномоченного органа по защите прав субъектов персональных данных с законодательно установленными правами и обязанностями. Уполномоченным органом по защите прав субъектов персональных данных в п. 1 ст. 23 Закона о персональных данных определён федеральный орган исполнительной власти, осуществляющий контроль и надзор в сфере информационных технологий и связи25. На этот орган возлагается:
обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона;
рассмотрение обращений субъектов персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки;
принятие соответствующих решений, касающихся обработки персональных данных и защите прав субъектов.
Для осуществления своей деятельности уполномоченный орган наделён определёнными правами (п. 3 ст. 23 Закона о персональных данных), заключающимися в запросе, получении и проверке информации, необходимой для реализации своих полномочий, правомочиями по внесению в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных и правомочиями по административному принуждению оператора в случае нарушения им норм действующего законодательства. В частности, уполномоченный орган имеет право:
требовать уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Закона о персональных данных;
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке;
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в нарушении Закона о персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных наделяется рядом обязанностей, в том числе по обеспечению конфиденциальности персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, по принятию мер по приостановлению или прекращению обработки персональных данных (по представлению ФСБ России и ФСТЭК России), по ведению общедоступного реестра операторов, по информированию государственных органов и субъектов персональных данных, по предоставлению ежегодного официально публикуемого отчета о своей деятельности.