Заявление
Я, Светлова Надежда Михайловна, 01.10.2010 г. предоставила свои персональные данные, а именно сведения об адресе, контактный телефон, ФИО, при получении дисконтной карты Вашего магазина.
Уведомляю Вас, что я возражаю против использования моих персональных данных для распространения любых рекламных сообщений и иных информационных материалов. В соответствии со ст. 14 ФЗ "О персональных данных" прошу прекратить использование всех моих персональных данных для этих целей, а также не передавать мои персональные данные третьим лицам.
Подпись __________________
3. Обработка ПД включает следующие действия:
- сбор ПД;
- систематизацию ПД;
- накопление ПД;
- хранение ПД;
- уточнение (обновление, изменение) ПД;
- использование ПД;
- распространение (в том числе передачу) ПД;
- обезличивание ПД;
- блокирование ПД;
- уничтожение ПД;
Изучим понятие "обработка ПД" на примере обработки ПД работников организации. Обработкой ПД работников называется получение, хранение, комбинирование, передача или любое другое использование ПД работника.
Статьей 86 ТК РФ устанавливаются общие требования при обработке ПД работника и гарантии их защиты:
- обработка ПД работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых ПД работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами, в т.ч. комментируемым Законом.
- все ПД работника работодатель должен получать у него самого. Если ПД работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение;
- работодатель не имеет права получать и обрабатывать ПД работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
- работодатель не имеет права получать и обрабатывать ПД работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением ряда случаев, предусмотренных ТК РФ или федеральными законами;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- защита ПД работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ, и иными федеральными законами, в т.ч. комментируемым Законом;
- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки ПД работников, а также об их правах и обязанностях в этой области;
- работники не должны отказываться от своих прав на сохранение и защиту тайны;
- работодатели, работники и их представители должны совместно вырабатывать меры защиты ПД работников.
Как упоминалось выше, все учебные заведения также осуществляют обработку ПД учащихся и студентов. Поэтому, следуя требованиям действующего законодательства, учебное учреждение должно получить согласие на обработку таких ПД. Если учащийся является несовершеннолетним, данное согласие должно быть получено от родителей ребенка.
Примерный образец согласия на обработку ПД учащегося (студента) от имени родителей ребенка
Согласие
на обработку персональных данных учащегося школы
Я, Соловьева Галина Сергеевна, паспорт 7899 122352 выдан 12.10.2009 г. ОВД Ленинского р-на г. Екатеринбурга, являясь матерью Соловьевой Ирины Николаевны, 10.09.1998 г. р., (далее - Обучающийся), в соответствии с федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" даю согласие на обработку персональных данных моего ребенка в средней школе N 5 г. Екатеринбурга (далее - Школа), с использованием средств автоматизации или без использования таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним на время учебы моего ребенка в Школе.
Перечень персональных данных, на обработку которых я даю согласие:
- ФИО ребенка;
- дата рождения ребенка;
- адрес;
- данные свидетельства о рождении;
- сведения о страховом медицинском полисе;
- сведения о заграничном паспорте;
- сведения о состоянии здоровья;
- сведения об успеваемости ребенка по учебным дисциплинам.
Доступ к персональным данным может предоставляться Обучающемуся, родителям (законным представителям) Обучающегося, а также административным и педагогическим работникам Школы.
Я даю разрешение на то, чтобы открыто публиковались фамилия, имя, отчество Обучающегося в связи с названиями и мероприятиями Школы и его структурных подразделений в рамках уставной деятельности.
Я предоставляю Школе право осуществлять следующие действия (операции) с ПД:
- сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- использование;
- обезличивание;
- блокирование;
- уничтожение.
Я согласна, что Школа вправе включать обрабатываемые персональные данные Обучающегося в списки (реестры) и отчетные формы, предусмотренные нормативными документами федеральных и муниципальными органов управления образованием, регламентирующими предоставление отчетных данных.
Настоящее согласие дано мной 01.09.2010 г. и действует до 31.05.2011 г.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Школы по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Школы.
Подпись __________________
Однако если договором между учащимся или его законным представителем, если учащийся является несовершеннолетним, за учащимся закреплена обязанность предоставления учебному учреждению определенных ПД, то получения согласия на обработку таких ПД не требуется в соответствии с абз. 2 п. 2 ст. 6 комментируемого Закона, за исключением случаев, когда учащимся предоставляются специальные категории ПД или биометрические ПД.
4. Из содержания п. 4 ст. 3 комментируемого Закона усматривается, что под распространением ПД понимается прежде всего передача ПД третьим лицам. При этом целями передачи ПД могут быть следующие:
- передача ПД определенному кругу лиц для определенных целей;
- ознакомление с ПД неограниченного круга лиц;
- обнародование ПД в средствах массовой информации;
- размещение ПД в информационно-телекоммуникационных сетях;
- предоставление доступа к ПД третьим лицам каким-либо иным способом.
Также, ст. 88 ТК РФ устанавливаются строгие требования к порядку передачи ПД работника:
- работодатель не имеет права сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в некоторых других случаях, предусмотренных ТК РФ, комментируемым Законом или иными федеральными законами, о чем будет рассказано в последующих комментариях к статьям Закона;
- работодатель не имеет права сообщать ПД работника в коммерческих целях без его письменного согласия;
- работодатель обязан предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено (кроме случаев обмена ПД работников в порядке, установленном ТК РФ);
- работодатель обязан осуществлять передачу ПД работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
- работодатель может разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций;
- работодатель не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- работодатель должен передавать ПД работника представителям работников в порядке, установленном ТК РФ, комментируемым Законом и иными федеральными законами, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.
Согласно ст. 2 ФЗ "Об информации, информационных технологиях и о защите информации" распространением информации называются действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц. Как указывалось выше, одним из видов распространения ПД является обнародование ПД в средствах массовой информации. Авторы напоминают, что в соответствии со ст. 2 Закона РФ от 27.12.1991 N 2124-1 "О средствах массовой информации" (далее по тексту - Закон "О средствах массовой информации" массовой информацией называется предназначенные для неограниченного круга лиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы. Под средством массовой информации понимается периодическое печатное издание, радио-, теле-, видеопрограмма, кинохроникальная программа, иная форма периодического распространения массовой информации.
Распространение ПД может происходить и в форме размещения ПД в информационно-телекоммуникационных сетях. Статья 2 ФЗ "Об информации, информационных технологиях и о защите информации" гласит, что информационно-телекоммуникационная сеть - это технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Примером информационно-телекоммуникационной сети является сеть Интернет.
Так, постановлением Правительства РФ от 18.05.2009 N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям" устанавливается, что операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет, утвержденном постановлением Правительства РФ от 12.02.2003 г. N 98 "Об обеспечении доступа к информации о деятельности Правительства РФ и федеральных органов исполнительной власти"*(1), при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить:
- защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней;
- постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;
- восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов;
- использование при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством РФ;
Операторы информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям.
5. Использование персональных данных. Согласно ст. 87 ТК РФ порядок хранения и использования ПД работников устанавливается работодателем с соблюдением требований ТК РФ, комментируемого Закона и иных федеральных законов. Таким образом, в организациях должно быть разработано и утверждено Положение о порядке хранения и использования ПД работников. Невыполнение этого требования законодательства влечет наложение административного штрафа на должностных лиц в соответствии с ст. 5.27 КоАП РФ в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.
В случае повторного нарушение этого требования законодательства должностным лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение, - влечет дисквалификацию на срок от одного года до трех лет.
6. Блокирование ПД подразумевает временное прекращение сбора, систематизации, накопления, использования, распространения ПД, в том числе их передачи;
Следует отметить, что такой способ как блокирование ПД в отечественной практике введен впервые комментируемым Законом.
7. Уничтожение ПД. Существует ряд ситуаций, когда оператор обязан прекратить обработку ПД, блокировать или уничтожить их.
Оператор обязан это сделать по требованию субъекта ПД, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели (см. ст. 14 комментируемого Закона).
Уничтожить ПД также нужно по достижении целей обработки или при утрате необходимости в их достижении (см. п. 2 ст. 5 комментируемого Закона).
Оператор обязан уничтожить ПД при невозможности устранить допущенные нарушения в отношении обработки ПД. В этом случае в соответствии со п. 3 ст. 21 комментируемого Закона оператор в срок, не превышающий трех рабочих дней с даты выявления нарушений в обработке ПД, должен устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПД, обязан уничтожить ПД. Об устранении допущенных нарушений или об уничтожении ПД оператор обязан уведомить субъекта ПД или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД, - также указанный орган.
В случае отзыва субъектом ПД согласия на обработку ПД (п. 4 ст. 21 комментируемого Закона) оператор обязан прекратить обработку и уничтожить ПД в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПД. Об уничтожении ПД оператор обязан уведомить субъекта ПД.
Образец заявления об уничтожении персональных данных
Руководителю
Кадрового агентства "Престиж"
г-ну Феотистову Н.И.
от Фоменко И.С.
проживающего по адресу:
г. Калуга, ул. Зеленая, 5-13
25 июля 2010 г.
Заявление об уничтожении персональных данных
1 июля года я обратился в Вашу организацию с целью получения помощи в поиске работы. При этом мной были предоставлены следующие персональные данные:
- ФИО;
- адрес;
- сведения об образовании;
- сведения о профессии;
- сведения о постановке на воинский учет;
- сведения о состоянии здоровья.
Кроме того при обращении в Вашу организацию производилась видео и фотосъемка.
Так как 20.07.2010 г. я был принят на постоянную работу и в услугах Вашей организации больше не нуждаюсь, прошу Вас в соответствии со ст. 21 ФЗ "О персональных данных" удалить всю информацию обо мне, включая материалы видео и фотосъемки и вернуть мне оригиналы предоставленных мною сведений.
Подпись __________________
8. В результате обезличивания ПД становится невозможным определить принадлежность ПД конкретному субъекту ПД.
Рассмотрим некоторые случаи, когда целесообразно использовать этот способ обработки ПД.
В настоящее время в сети интернет существует множество веб-сайтов, требующих указать сведения о пользователе при регистрации. Согласно требованиям комментируемого Закона использование ПД пользователей таких ресурсов возможно только с письменного согласия того посетителя, которому эти данные соответствуют. Выходом в данной ситуации может быть обезличивание ПД. Таким образом, нужно сделать так, чтобы по этим ПД нельзя было идентифицировать пользователя.
9. Информационная система ПД. Приведем примеры информационных систем ПД:
- автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах и т.п.;
- автоматизированные медицинские системы, содержащие данные о пациентах и т.п.;
- кадровые системы, содержащие данные о соискателях работы;
- бухгалтерские системы, содержащие данные о сотрудниках и клиентах организации;
- почтовые системы, содержащие данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.;
- системы документооборота, содержащие данные о сотрудниках организации, клиентах, партнерах;
- автоматизированные системы бюро пропусков, содержащие данные о посетителях.
Информационные системы по принадлежности можно классифицировать следующим образом:
- информационные системы государственных органов;
- информационные системы муниципальных органов;
- информационные системы юридических лиц;
- информационные системы физических лиц (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).
Приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13.02.2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории ПД, которые обрабатываются в информационных системах ПД:
- категория 1 - это ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- категория 2 - это ПД, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 3 - это ПД, позволяющие идентифицировать субъекта персональных данных;
- категория 4 - это обезличенные и (или) общедоступные ПД.
Кроме того, информационные системы ПД подразделяются на типовые и специальные. Типовые информационные системы - это информационные системы, в которых требуется обеспечение только конфиденциальности ПД. Специальные информационные системы - это информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности ПД требуется обеспечить хотя бы одну из характеристик безопасности ПД, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
Следует учитывать, что к специальным информационным системам относят:
- информационные системы, в которых обрабатываются ПД, касающиеся состояния здоровья субъектов ПД;
- информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки ПД решений, порождающих юридические последствия в отношении субъекта ПД или иным образом затрагивающих его права и законные интересы.
По структуре информационные системы можно разделить:
- на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки ПД (автоматизированные рабочие места);
- на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
- на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на:
- информационные системы, имеющие подключения;
- информационные системы, не имеющие подключений.
По режиму обработки ПД в информационной системе информационные системы подразделяются на:
- однопользовательские информационные системы;
- многопользовательские информационные системы.
По разграничению прав доступа пользователей информационные системы подразделяются на:
- информационные системы без разграничения прав доступа;
- информационные системы с разграничением прав доступа.
В зависимости от местонахождения их технических средств информационные системы подразделяются на:
- информационные системы, все технические средства которых находятся в пределах РФ;
- информационные системы, технические средства которых частично или целиком находятся за пределами РФ.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
- класс 1 (К1) - это информационные системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПД;
- класс 2 (К2) - это информационные системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к негативным последствиям для субъектов ПД;
- класс 3 (К3) - это информационные системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПД;
- класс 4 (К4) - это информационные системы, для которых нарушение заданной характеристики безопасности ПД, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПД.
Важно помнить, что результаты классификации информационных систем оформляются соответствующим актом оператора. При этом класс информационной системы может быть пересмотрен:
- по решению оператора на основе проведенных им анализа и оценки угроз безопасности ПД с учетом особенностей и (или) изменений конкретной информационной системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПД при их обработке в информационной системе.
10. Требования к сохранению конфиденциальности информации закреплены также Законом "О средствах массовой информации". Согласно ст. 41 упомянутого Закона редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне. Кроме того редакция обязана сохранять в тайне источник информации и не вправе называть лицо, предоставившее сведения с условием неразглашения его имени, за исключением случая, когда соответствующее требование поступило от суда в связи с находящимся в его производстве делом. Редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие, без согласия самого несовершеннолетнего и его законного представителя.
Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. "О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных" требует соблюдения конфиденциальности и при обработке ПД. В соответствии с указаниями этого документа любое лицо, действующее с санкции контролера (физического или юридического лица, официального органа, агентства или иного орган, который самостоятельно или совместно с другими определяет цели и средства обработки ПД) или обработчика (физического или юридического лица, официального органа, агентства или иного органа, который обрабатывает ПД по поручению контролера), включая самого обработчика имеющее доступ к ПД, не должно вести их обработку кроме как по указанию контролера, если это не требуется от него по закону.
11. Впервые вопрос о трансграничной передаче ПД возник, когда начался процесс объединения Европы. Ранее субъект ПД имел право отстоять свои интересы в собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов он не мог.*(2)
12. Важно помнить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных баз ПД:
- по требованию субъекта ПД;
- по решению суда;
- по решению других уполномоченных государственных органов.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Комментируемая статья устанавливает перечень основных нормативно-правовых актов, которые формируют систему законодательства в области защиты ПД. Напоминаем, что нормативным правовым актом называется письменный официальный документ, принятый (изданный) в определенной форме правотворческим органом в пределах его компетенции и направленный на установление, изменение или отмену правовых норм. Нормативные правовые акты имеют общеобязательное государственное предписание постоянного или временного характера, рассчитанное на многократное применение.
Пунктом 1 комментируемой статьи устанавливается, что законодательство РФ в области ПД основывается прежде всего на:
- Конституции РФ;
- международных договорах РФ.
Конституция РФ - это основной закон РФ. Конституция РФ имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции РФ. Таким образом, правовую основу системы защиты ПД составляют положения Конституции РФ.
Международный договор РФ - это международное соглашение, заключенное РФ с иностранным государством (или государствами), с международной организацией либо с иным образованием, обладающим правом заключать международные договоры, в письменной форме и регулируемое международным правом, независимо от того, содержится такое соглашение в одном документе или в нескольких связанных между собой документах, а также независимо от его конкретного наименования. Согласно положениям Федерального закона от 15.07.1995 N 101-ФЗ "О международных договорах Российской Федерации" международные договоры образуют правовую основу межгосударственных отношений, содействуют поддержанию всеобщего мира и безопасности, развитию международного сотрудничества в соответствии с целями и принципами Устава Организации Объединенных Наций. Международным договорам принадлежит важная роль в защите основных прав и свобод человека, в обеспечении законных интересов государств. Международные договоры РФ наряду с общепризнанными принципами и нормами международного права являются в соответствии с Конституцией РФ составной частью ее правовой системы.
Практика заключения международных договоров показывает стремление стран соблюдать международные стандарты защиты ПД.
Следуем далее. Законодательство РФ в области ПД состоит из комментируемого Закона; других определяющих случаи и особенности обработки ПД федеральных законов.
Например, требования по защите ПД закреплены в разных кодексах РФ. Кодекс - это систематизированный законодательный акт, в котором содержатся нормы какой-либо отрасли права. Расположение правовых норм в кодексе производится в порядке, отражающем систему данной отрасли права.
Кодексы РФ, в которых закреплены положения о ПД:
- КоАП РФ (ст. 13.11. "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)", ст. 5.39 "Отказ в предоставлении информации", ст. 13.14 "Разглашение информации с ограниченным доступом");
- ТК РФ (гл. 14 "Защита персональных данных работника" (ст. 85-90));
- Уголовный кодекс РФ от 13.06.1996 г. N 63-ФЗ (ст. 137 "Нарушение неприкосновенности частной жизни", ст. 272 "Неправомерный доступ к компьютерной информации", ст. 138 "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений", ст. 140 "Отказ в предоставлении гражданину информации");
- Воздушный кодекс РФ от 19.03.1997 г. N 60-ФЗ (ст. 85.1 "Персональные данные пассажиров воздушных судов").
В качестве примера федеральных законов, определяющих случаи и особенности обработки ПД можно привести следующие:
- Федеральный закон от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 15.11.1997 г. N 143-ФЗ "Об актах гражданского состояния";
- Федеральный закон от 22.10.2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации";
- Федеральный закон от 12.08.1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности";
- Федеральный закон от 12.06.2002 г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации;
- Основы законодательства РФ об охране здоровья граждан от 22.07.1993 г. N 5487-I;
- Федеральный закон от 01.04.1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
- Федеральный закон от 08.08.2001 г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"
- Закон РФ от 21.07.1993 г. N 5485-I "О государственной тайне";
- Закон РФ от 28.03.1998 г. N 53-ФЗ "О воинской обязанности и военной службе".
2. Главным нормативным правовым актом, регулирующим особенности обработки ПД, является комментируемый Закон. Пунктом 2 комментируемой статьи законодатель установил, что государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки ПД. Такие нормативные акты должны отвечать следующим требованиям:
- они не могут содержать положения, ограничивающие права субъектов ПД;
- они подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
В качестве примера можно привести следующие нормативные правовые акты:
- постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства РФ от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
- постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 16.07.2010 г. N 482 "Об утверждении образца формы уведомления об обработке персональных данных".
3. Пунктом 3 комментируемой статьи устанавливается, что особенности обработки ПД, осуществляемой без использования средств автоматизации, могут быть установлены иными федеральными законами и иными нормативными правовыми актами. При этом должны учитываться положения комментируемого Закона.
В настоящее время особенности обработки ПД, осуществляемой без использования средств автоматизации, регулируются прежде всего постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". Федеральным органам исполнительной власти было дано указание в месячный срок привести свои акты по вопросам обработки ПД, осуществляемой без использования средств автоматизации, в соответствие с указанным Постановлением. Постановление было официально опубликовано в "Собрании законодательства РФ", 22.09.2008, N 38 и "Российской газете", N 200, 24.09.2008. Постановление вступило в силу 24.10.2008 года. См. также комментарий к п. 9 ст. 3 Закона.
4. Согласно п. 4 комментируемой статьи прежде всего в области обработки и защиты ПД применяются правила международного договора. Поэтому если международным договором РФ установлены иные правила, чем те, которые предусмотрены комментируемым законом, применяются правила международного договора.
"В 60-х и 70-х годах с приходом информационных технологий стал возрастать интерес к приватности. Возможность использования мощных компьютеров для слежки и контроля означала необходимость принятия особых правил, регулирующих сбор и обработку персональных данных. Во многих странах новые конституции отразили это право. Процесс обновления законодательства в данной области можно проследить со времени появления первого закона о защите данных, изданного в Германии в земле Гессен в 1970 г. После этого были приняты законы в Швеции (1973), Соединенных Штатах (1974), Германии (1977) и Франции (1978)"*(3).
Основными международными законодательные актами в области защиты ПД являются следующие:
- Директива Организации по экономическому сотрудничеству и развитию о защите неприкосновенности частной жизни и международных обменов персональными данными;
- Международная конвенция "Об охране личности в отношении автоматизированной обработки персональных данных" 1981 г.;
- Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных;
- Конвенция Совета Европы N 108 о защите личности в связи с автоматической обработкой персональных данных;
- Директива 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
"Мировой опыт позволяет назвать три главные причины для принятия специальных законов о защите приватности и персональных данных:
Приведение законодательства значительного числа стран к общемировым цивилизованным стандартам, отражающим высокий уровень защиты прав человека. Многие государства, особенно в Центральной и Восточной Европе (включая Россию), Южной Африке и Южной Америке, приняли соответствующие законы, чтобы исправить последствия нарушений прав человека при тоталитарных режимах прошлых лет.
Создание благоприятных условий для развития электронного бизнеса. Многие страны, особенно в Азии, уже приняли (или разрабатывают) законы, направленные на развитие электронной коммерции. Правительства понимают, что в современном мире, насыщенном высокотехнологичными коммуникациями, персональные данные потребителей находятся под угрозой - особенно когда они пересылаются по Интернету. Поэтому в законах об электронном бизнесе появляются гарантии приватности.
Приведение национального законодательства в соответствие с европейскими соглашениями. Большинство стран Центральной и Восточной Европы принимает законы, основываясь на Конвенции Совета Европы 1981 года и Директиве Европейского Союза о защите данных. Многие из этих стран в ближайшем будущем надеются стать членами ЕС. В других регионах мира государства приводят свои законы в соответствие требованиям ЕС просто потому, что иначе могут пострадать их торговые отношения с членами Евросоюза"*(4).
Статьи об обмене информацией включаются и в международные договоры о правовой помощи, об избежание двойного налогообложения, о сотрудничестве в определенной общественной, культурной сфере и т.п.
Так, например, в ст. 25 Договора между Российской Федерацией и Соединенными Штатами Америки об избежании двойного налогообложения и предотвращении уклонения от налогообложения в отношении налогов на доходы и капитал от 17 июня 1992 г. указывается, что любая полученная договаривающимся государством информация будет считаться конфиденциальной в той же степени, что и информация, полученная в соответствии с национальным законодательством этого государства, и будет раскрыта только лицам или органам (включая суды и административные органы), связанным с исчислением, взиманием, управлением, принудительным взысканием или исполнением решений или рассмотрением заявлений в отношении налогов, на которые распространяется договор. Такие лица или органы будут использовать информацию только для этих целей. Они могут раскрывать эту информацию в ходе открытого судебного заседания или при принятии юридических решений.
В ст. 15 Договора между РФ и Республикой Индией о взаимной правовой помощи по уголовным делам от 21 декабря 1998 г. прописывается, что запрашиваемая сторона может потребовать, чтобы предоставленная информация или доказательства либо источник такой информации или доказательств сохранялись конфиденциальными или были раскрыты или использованы только на определенных ею условиях. Если запрашивающая сторона принимает эту информацию или доказательства на таких условиях, она будет их соблюдать. Кроме того запрашиваемая сторона должна будет по запросу и в запрошенном объеме сохранять конфиденциальность запроса, его содержания, прилагаемых документов и любого действия, предпринимаемого в соответствии с запросом. Если запрос не может быть исполнен без нарушения конфиденциальности, запрашиваемая сторона должна уведомить об этом запрашивающую сторону, которая решает, должен ли запрос, несмотря на это, быть исполнен.
|
