Среда, 29 Май 2013 20:26

О соблюдении баланса интересов при установлении мер защиты персональных данных

  • Автор(ы): Терещенко Людмила Константиновна
  • Информация об авторе(ах): Заместитель заведующего отделом административного законодательства и процесса ИЗиСП, заслуженный юрист РФ, кандидат юридических наук.
  • Информация о публикации: Терещенко Л.К. О соблюдении баланса интересов при установлении мер защиты персональных данных // Журнал российского права. 2011. N 5. С. 5 - 12.

Рассматриваются вопросы правового режима персональных данных, применения российского законодательства о персональных данных и его согласованности с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных.

В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию. Следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось, и страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/EC и 97/66/EC Европейского Парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка.
При установлении требований по защите персональных данных принципиальным моментом является обеспечение баланса интересов личности, общества и бизнес-структур, что предполагает соразмерность, обоснованность и выполнимость этих требований. Указанное положение реализуется в национальном законодательстве стран Европейского сообщества, которое, как правило, включает требование по обеспечению адекватной защиты персональных данных. Значение понятия "адекватность защиты" может отличаться в разных странах, но несущественно.
Следует отметить, что право на неприкосновенность частной жизни и, как следствие, право на защиту персональных данных - это право относительное, а не абсолютное <1>. Об этом свидетельствуют как нормы Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Европейской конвенции о защите прав человека и основных свобод 1950 г., так и нормы Конституции РФ.
--------------------------------
<1> См.: Терещенко Л.К. К вопросу о правовом режиме информации // Информационное право. 2008. N 1.

Европейская конвенция о защите прав человека и основных свобод содержит ст. 8, устанавливающую право на уважение частной и семейной жизни, включая запрет на вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц.
Конституция РФ содержит близкие по смыслу нормы, непосредственно затрагивающие защиту персональных данных. Так, согласно ст. 23 (ч. 1) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а в соответствии со ст. 24 (ч. 1) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. По сути, норма, установленная ч. 1 ст. 24, Конституции РФ является одной из норм, составляющих понятие неприкосновенности частной жизни.
Из приведенных норм Конституции РФ прямо не следует вывод о необходимости нахождения баланса интересов личности и общества, как это вытекает из положений Европейской конвенции о защите прав человека и основных свобод. Однако следует учитывать, что Конституция РФ содержит норму, согласно которой права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ст. 55). Таким образом, можно утверждать, что установленные Конституцией РФ основы правового режима персональных данных близки по своему содержанию к режиму, установленному европейскими актами <2>.
--------------------------------
<2> См.: Волчинская Е.К. Роль государства в обеспечении информационной безопасности // Информационное право. 2008. N 4.

Вместе с тем наблюдается тенденция рассматривать защиту персональных данных как самостоятельное право гражданина, т.е. отдельно от более широкого права на уважение частной и семейной жизни.
К персональным данным российское законодательство причисляет любую информацию, относящуюся к определенному (или определяемому на основании такой информации) физическому лицу - субъекту персональных данных, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы <3>. Перечень персональных данных не является исчерпывающим: он может включать любую другую информацию, позволяющую идентифицировать личность человека <4>.
--------------------------------
<3> См.: Бундин М.В. Персональные данные как термин российского законодательства // Правовые вопросы связи. 2009. N 1.
<4> См.: Корейво Е.В. Права человека в международно-правовых актах: проблемы дефинирования // Международное публичное и частное право. 2010. N 1.

В отношении персональных данных установлен режим конфиденциальности, исключения из которого содержатся как в самом Федеральном законе "О персональных данных", так и в других федеральных законах. Субъекты РФ не вправе принимать законы, изменяющие установленный федеральным законодателем режим персональных данных.
Обработка персональных данных, под которой понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, может осуществляться только с согласия субъектов персональных данных.
Согласия субъекта персональных данных не требуется в случаях, когда обработка персональных данных:
1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) необходима для защиты жизни, здоровья или иных жизненно важных интересов самого субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) касается персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Кроме того, законодателем установлены особенности обработки специальных категорий персональных данных, которые, по сути, также являются исключениями из общего режима, но в сторону введения больших ограничений и запретов. Такой подход вполне оправдан, поскольку специальные категории персональных данных касаются наиболее значимых для любого человека сведений, в частности его религиозных и политических убеждений, расовой и национальной принадлежности, состояния его здоровья и т.д.
Таким образом, общим правилом является наличие согласия субъекта персональных данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. Данное субъектом персональных данных согласие на их обработку не является окончательным. Оно может быть отозвано субъектом персональных данных. При этом ему не нужно объяснять причины своего решения или выполнять какие-либо условия, необходимо только уведомить оператора персональных данных о своем решении.
В случае отзыва субъектом персональных данных согласия на обработку своих данных оператор обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Право отзыва согласия на обработку персональных данных не распространяется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации).
Практически все государственные и муниципальные органы создают в пределах своих полномочий государственные или муниципальные информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве государственных и муниципальных органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты.
Вместе с тем нередки случаи утечки информации из государственных и муниципальных информационных систем, т.е. из закрытых баз данных, предназначенных для служебного пользования. В частности, это касается информации, которая собирается и обрабатывается в финансовых и налоговых службах, информации о недвижимости и ее собственниках, о регистрации автотранспортных средств и их владельцах.
Анализ практики эксплуатации различных информационных систем показывает, что в основном такая утечка происходила либо из-за нарушения правил о конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в прикладных системах.
Очевидно, что вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день инсайдерство наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит огромные доходы. Обновлением баз данных занимаются инсайдеры. Проверки Роскомнадзора показали, что во многих организациях созданы все условия для потенциального инсайдерства, в том числе в форме нарушения требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к информационным базам, внутренним документам, регламентирующим режим и порядок доступа к информационным системам.
Полученная в результате утечки информация размещается на частных интернет-сайтах, распространяется или продается в сети Интернет, на дисках. Нет уверенности в том, что сведения, предоставленные государственным или муниципальным органам и имеющие режим конфиденциальности, не получат общественной огласки и не станут доступны любому пользователю Интернета. Данная проблема неоднократно была предметом рассмотрения на заседаниях и слушаниях в парламенте. Ее решение возможно путем комплексного подхода, направленного на предотвращение деятельности всех участников цепочки нелегальной утечки информации: от инсайдера до продавца баз данных. Однако положительных изменений пока не наблюдается.
Действующая законодательная база направлена на обеспечение защиты собственно информации, а не прав граждан при обработке их персональных данных в информационных системах <5>.
--------------------------------
<5> См.: Кучеренко А.В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. N 4.


Оставить комментарий




TPL_TPL_FIELD_SCROLL