Принципы и условия обработки персональных данных
Статья 5.Принципы обработки персональных данных
Комментарий к статье 5
1. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние гармонизированы с основными международно-правовыми актами в области персональных данных, что должно обеспечить соответствующий уровень их защиты, и представлены в полном соответствии с традициями европейского законодательства в этой области.
Принципы, закрепленные в комментируемой статье, не являются декларативными, лишенными нормативной силы положениями. Они, во-первых, определяют построение и структуру настоящего Федерального закона. Во-вторых, влияют на содержание институтов и норм, а также создают ориентиры для законодательных и иных нормативных правовых актов, регулирующих вопросы сбора и обработки персональных данных. В-третьих, через систему норм и путем непосредственного действия влияют на практику их реализации. В-четвертых, обеспечивают, в силу объективных требований, единство правового регулирования правоотношений в области персональных данных на всей территории РФ.
Принципы обработки персональных данных позволяют:
уяснить смысл и сущность законодательства и его связи с экономикой и моралью;
определяют общую направленность и тенденции совершенствования работы с персональными данными;
помогают практически органам и субъектам правоотношений в правильном применении норм законодательства.
Сформулированные законодателем принципы имеют не только теоретическое, но и большое практическое значение. Они являются базовыми ориентирами при разрешении возникших юридических коллизий в случаях, когда обнаруживаются пробелы правовой регламентации. Включение в текст анализируемого документа основных принципов тем самым подчеркивает возможность существования аналогий права и закона в указанной области общественных отношений при условии, если последние не урегулированы законодательством и это не противоречит их существу. Применение закрепленных в комментируемой статье принципов обработки персональных данных определяется исходя из общих начал и смысла действующего законодательства и требований добросовестности, разумности и справедливости.
Принципы обработки персональных данных сформировались в процессе практической деятельности уполномоченных субъектов в процессе работы с конфиденциальной информацией, были обобщены и сформулированы теорией и получили нормативное закрепление в действующем законодательстве. Они предопределены требованиями социальных норм и экономических законов в нашем обществе, служат основой для направления дальнейшего развития уровня защиты прав и свобод личности и являются сущностной категорией обработки персональных данных, поскольку кратко отражают суть норм настоящего Закона.
Комментируемой статьей представлено пять основных принципов обработки персональных данных:
законность целей и способов обработки персональных данных и добросовестности;
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Отступление от указанных принципов создает условия для необоснованного ограничения и прямого нарушения прав граждан.
Представленный перечень принципов обработки персональных данных является исчерпывающим и подлежит расширению в случае внесения изменений в настоящую статью. Установление исчерпывающего типового перечня в таких случаях диктуется необходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных.
2. Традиционно систему принципов обработки персональных данных открывает принцип законности, представленный как "законность целей и способов обработки персональных данных и добросовестности". Законность способа сбора данных предполагает возможность сбора во всех случаях, специально не запрещенных законом. Действующая таким образом презумпция законности обработки персональных данных подразумевает возможность использования неограниченного круга технических средств и методов сбора, хранения, накопления, использования, анализа информации. В результате обработка данных может осуществляться самыми неожиданными для граждан способами и включать в себя самые неожиданные для них данные в любых сочетаниях. Таким образом, сбор персональных данных должен осуществляться только на основании закона и только в том объеме, в том порядке и теми способами, которые предусмотрены законом.
3. В качестве обязательной составляющей обработки персональных данных законодатель определяет цель деятельности оператора. Персональные данные должны собираться для законных, предварительно определенных, объявленных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями. Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Последовательно развивая принцип целевой направленности в процессе обработки персональных данных, законодатель обязывает оператора предварительно информировать субъекта персональных данных о заявленных целях деятельности.
Законность и добросовестность целей обработки персональных данных подразумевает соблюдение установленных законодательных ограничений. Последние определяются как настоящим Законом, так и иными законодательными актами, осуществляющими правовое регулирование различного рода общественных отношений, основанных на обработке персональных данных.
В свою очередь, соответствие целей обработки персональных данных заявленным и заранее определенным целям, с одной стороны, позволит обеспечить предварительную защиту конфиденциальной информации от несанкционированного доступа к ней третьих лиц, не имеющих на то соответствующих полномочий, с другой — позволит сформировать действенную систему контроля за деятельностью оператора, обеспечивающего соблюдение последним требований действующего законодательства на предмет соблюдения прав субъекта персональных данных и действий в его интересах.
4. Формально законодатель наделяет оператора персональных данных неограниченной свободой действий в части, касающейся сбора, накопления, хранения конфиденциальной информации, создавая возможность последним самостоятельно определять объем и характер обрабатываемых данных, выбирать способы работы с ними. Работа в отмеченном направлении строится во многом благодаря заявленной цели деятельности, которая по смыслу комментируемой статьи является определяющим элементом в выборе содержания деятельности, указывающим на наличие связи между характеристиками персональных данных и целями их обработки.
Статус цели деятельности как базисного элемента всего процесса обработки персональных данных объясняет то обстоятельство, что ее соответствие закону не должно и не может ставиться под сомнение. Цель является тем элементом, который всегда будет иметь соответствующее законодательное обоснование, в то время как практическое воплощение в рамках закона характера, способов, объема обработки персональных данных представляется весьма затруднительным. Определение содержания обработки персональных данных, используемых при этом средств, способов и методов законодатель оставляет на откуп органам исполнительной власти в соответствии с имеющей место системой ведомственной подчиненности.
5. Достоверность персональных данных определяет их содержание, указывая на соответствие полученных сведений фактам, имеющим место в действительности. Декларируя необходимость получения достоверных сведений для целей их обработки, законодатель допускает возможность проверки полученных персональных данных на предмет соответствия их содержания объективной действительности. Таким образом, получение в указанном случае данных от третьих лиц не требует согласия на их обработку со стороны обладателя.
Достаточность персональных данных целям обработки как признак последних требует наличия их совокупности, позволяющей решать оператору свои задачи, которые составляют основу декларируемой ими деятельности. С отмеченных позиций законодатель категорически ограничивает операторов в получении избыточных сведений, явно выходящих за пределы целей заявленной ими деятельности.
В процессе обработки персональных данных обеспечение сохранности, целостности и достоверности данных должно обеспечиваться на основе установления режима конфиденциальности соответствующих персональных данных и регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными.
6. Человека можно идентифицировать на основе любых физиологических особенностей, однако такая идентификация возможна лишь после создания системы учета данных, содержащих достоверные результаты первичной идентификации. Избранная форма хранения и предоставления персональных данных должна, во-первых, соответствовать заявленной цели деятельности оператора, во-вторых, исключать возможность преждевременного уничтожения, модификации или обнародования персональных данных до решения задач, для которых они накапливались, и, в-третьих, при обеспечении надежной системы защиты персональных данных обеспечивать своевременность идентификации личности.
Собранные в подобных системах учета данные практически неуничтожимы до той поры, пока существуют сами системы, для которых собирались эти данные, в противном случае информационная система будет нестабильной и создающей предпосылки для нарушения прав граждан.
Статья 6.Условия обработки персональных данных
Комментарий к статье 6
1. Соблюдение принципов обработки персональных данных, представленных предшествующей статьей, не является единственным условием, гарантирующим защищенность прав и законных интересов граждан, чьи персональные данные становятся объектом соответствующих правоотношений. В достижение заявленных целей, а равно обеспечения баланса интересов граждан — субъектов персональных данных, общества, государства и частных лиц при соблюдении требований адекватной защиты прав и свобод граждан, гарантированных Конституцией РФ, законодатель в числе обязательных условий работы с персональными данными определяет обязательность получения соответствующего согласия субъектов персональных данных. Таким образом, формально устанавливается безусловная презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Подобный законодательный подход ставит под сомнение реализацию законных прав и интересов оператора и третьих лиц в таких ключевых областях отношений, как имущественные и финансовые отношения. Кроме того, неоправданно жесткое требование потенциально исключает любую возможность сбора и обработки персональных данных в тех случаях, когда подобная работа с ними не легитимирована законом.
Комментируемая статья не определяет процедуру получения, форму и способ выражения согласия. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
Предполагается, что в целях обработки персональных данных достаточно устного согласия субъекта, за исключением случаев, когда иное установлено законом. В частности, п.4 ст.9 настоящего Закона предусмотрено, что в отдельных случаях, установленных настоящим Законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие на обработку персональных данных должно быть получено в случаях:
обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п.1 ст.10 комментируемого Закона);
обработки сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные) (п.1 ст.11 комментируемого Закона);
трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (п.3 ст.12 комментируемого Закона).
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В отдельных случаях получение такого согласия подразумевается. Речь здесь идет, как правило, о ситуациях, когда субъект инициативно, вследствие исполнения возложенной на него обязанности предоставляет свои персональные данные оператору, например при получении паспорта гражданина РФ или постановке на воинский учет, участии в выборах, трудоустройстве, заключении различного рода договоров и т.п.
2. В целях обеспечения баланса интересов личности, общества и государства, защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства законодатель формирует круг условий, наличие которых освобождает оператора от обязанности истребования согласия субъекта персональных данных на их обработку. Формально представленный в п.2 комментируемой статьи перечень оснований, дающих возможность обработки персональных данных при отсутствии согласия на то субъекта, является исчерпывающим.
2.1. При формальном соблюдении условия о получении персональных данных только с согласия их субъекта законодатель допускает неограниченный круг случаев, когда конфиденциальные сведения предоставляются их обладателем инициативно при молчаливом согласии последнего. Авторы комментируемого Закона подчеркивают, что ситуации такого рода должны иметь место лишь в случаях, прямо оговоренных федеральным законом, когда круг субъектов персональных данных, сведения, подлежащие обработке, условия их получения, а также полномочия оператора достаточно определены и не требуют дополнительной регламентации. К такого рода случаям могут быть отнесены получение сведений при заключении трудового договора, в процессе прохождения государственной службы (вопросы, связанные с назначением на должность, аттестацией государственных служащих и т.п.), при постановке граждан на воинский учет, в ходе осуществления деятельности по пенсионному страхованию и т.п.Таким образом, создается достаточно обширная область общественных отношений, в которых согласие субъекта персональных данных является условием номинальным.
2.2. Наличие договорных отношений с субъектом персональных данных также освобождает оператора от обязанности получения согласия своего контрагента на обработку предоставляемых им конфиденциальных сведений. Законодатель не конкретизирует, какой именно договор должен иметь место, в случаях исполнения которого не требуется получения соответствующего согласия. В качестве такового могут выступать различного рода хозяйственные договоры, трудовой договор, договоры на выполнение работ и оказание услуг и т.п., тем самым сюда может быть включен весь круг договорных отношений, потенциально возможных и допустимых к существованию на территории РФ. В целях соблюдения условия, определенного требованиями настоящей статьи, к такого рода договорным отношениям предъявляются, как минимум, следующие требования:
договор должен соответствовать обязательным для сторон правилам, в части, касающейся его формы и содержания, установленным законом и иными правовыми актами (императивным нормам), действующим в момент его заключения;
договор должен быть реален к исполнению и не содержать условий, ограничивающих прав его участников, в части, касающейся защиты персональных данных, по отношению к действующему законодательству;
предмет договора, равно как и цель его заключения, должны быть неразрывно связаны с личностью одного из участников договорных отношений. Последнее требование в большей степени характерно для трудовых договоров, коллективных соглашений, договоров на выполнение работ и оказание услуг, авторских договоров и договоров о передачи результатов интеллектуальной деятельности, исполнение которых предполагает обязательную обработку персональных данных.
2.3. Обработка персональных данных для статистических, научных и иных аналогичных целей является допустимой при соблюдении гарантий по обеспечению прав субъектов персональных данных на неприкосновенность частной жизни.
Задачей статистики является обеспечение информационных потребностей общества в достоверной, научно обоснованной, своевременной и полной информации о социальном, экономическом, демографическом и экологическом положении государства. Официальная статистическая деятельность направлена на достижение стратегических целей развития государства, создание условий для повышения эффективности функционирования системы федеральных органов исполнительной власти. Статистические данные необходимы деловым кругам, научной общественности, средствам массовой информации, населению.
Обязательными условиями обработки конфиденциальных сведений, гарантирующими защиту прав и законных интересов граждан, в статистических и научных целях являются:
обеспечение соответствующего режима хранения и защиты полученных оператором в процессе деятельности персональных данных;
обезличивание обрабатываемых персональных данных.
Закрепленное в комментируемой статье требование обработки персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных не основано на положениях Конвенции и Директивы 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Последняя указывает на необходимость гарантий в отношении персональных данных, собираемых для указанных целей, но делает исключение для обработки персональных данных, осуществляемой исключительно в целях журналистики или в целях художественного или литературного творчества, в противном случае под запрет попадает вся историческая литература.
2.4. Защита жизни, здоровья или иных жизненно важных интересов гражданина по замыслу законодателя выступают условиями обработки персональных данных при отсутствии согласия на то субъекта персональных данных в случаях, если его получение не представляется возможным. К числу последних могут быть отнесены ситуации экстраординарного характера, например поиск донора лицу, находящемуся в бессознательном состоянии, или обусловлены состоянием постоянной угрозы безопасности личности свидетелей или потерпевших в уголовном процессе, лиц, оказывающих содействие органам, осуществляющим оперативно-розыскную деятельность на конфиденциальной основе.
2.5. В состав персональных данных, которые подлежат обработке в случаях доставки почтовых отправлений организациями почтовой связи, осуществления расчетов операторами электросвязи, расчетов с пользователями услуг связи за оказанные услуги связи, а также рассмотрения претензий пользователей услугами связи, включены:
фамилия, имя, отчество или псевдоним абонента;
почтовый адрес абонента;
адрес установки оконечного оборудования;
абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование;
сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента;
сведения о передаваемых по сетям электросвязи и сетям почтовой связи сообщениях;
используемый абонентом радиочастотный спектр.
Обработка иных сведений в указанных случаях без согласия субъекта персональных данных является недопустимой. Операторы связи вправе использовать созданные ими базы данных об абонентах для осуществления информационно-справочного обслуживания, в том числе для подготовки и распространения информации различными способами, в частности на магнитных носителях и с использованием средств телекоммуникаций. При подготовке данных для информационно-справочного обслуживания могут быть использованы фамилия, имя, отчество абонента-гражданина и его абонентский номер, наименование (фирменное наименование) абонента — юридического лица, указанные им абонентские номера и адреса установки оконечного оборудования. Сведения об абонентах-гражданах без их согласия в письменной форме не могут быть включены в данные для информационно-справочного обслуживания и не могут использоваться для оказания справочных и иных информационных услуг оператором связи или третьими лицами. Предоставление третьим лицам сведений об абонентах-гражданах может осуществляться только с согласия в письменной форме абонентов, за исключением случаев, предусмотренных федеральными законами.
2.6. Законодатель допускает обработку персональных данных без согласия на то субъекта в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Согласно ст.47 Закона РФ от 27 декабря 1991г. N 2124-1 "О средствах массовой информации" журналист в целях осуществления своей профессиональной деятельности имеет право:
1) искать, запрашивать, получать и распространять информацию;
2) получать доступ к документам и материалам, за исключением их фрагментов, содержащих сведения, составляющие государственную, коммерческую или иную специально охраняемую законом тайну;
3) копировать, публиковать, оглашать или иным способом воспроизводить документы и материалы;
4) производить записи, в том числе с использованием средств аудио- и видеотехники, кино- и фотосъемки, за исключением случаев, предусмотренных законом;
5) проверять достоверность сообщаемой ему информации;
6) распространять подготовленные им сообщения и материалы за своей подписью, под псевдонимом или без подписи.
При этом журналист обязан сохранять конфиденциальность информации и (или) ее источника; получать согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в средстве массовой информации сведений о личной жизни гражданина от самого гражданина или его законных представителей; при получении информации от граждан и должностных лиц ставить их в известность о проведении аудио- и видеозаписи, кино- и фотосъемки.
Журналисту категорически запрещается использовать предоставленное ему право на распространение информации с целью опорочить гражданина или отдельные категории граждан исключительно по признакам пола, возраста, расовой или национальной принадлежности, языка, отношения к религии, профессии, места жительства и работы, а также в связи с их политическими убеждениями.
Использование прав журналиста в области обработки персональных данных штатными сотрудниками редакций, занимающимися редактированием, созданием, сбором или подготовкой сообщений и материалов для многотиражных газет и других средств массовой информации, продукция которых распространяется исключительно в пределах одного предприятия (объединения), организации, учреждения, а равно авторами, не связанными с редакцией средства массовой информации трудовыми или иными договорными отношениями, но признаваемыми ею своими внештатными авторами или корреспондентами, при выполнении ими поручений редакции осуществляется при условии получения согласия субъекта персональных данных в порядке, установленном настоящим Законом.
В состав персональных данных, используемых исключительно в области научной, литературной или иной творческой деятельности, включены:
сведения, которые идентифицируют произведение или объект смежных прав, автора, обладателя смежных прав или иного обладателя исключительных прав;
информация об условиях использования произведения или объекта смежных прав, которая содержится на экземпляре произведения или объекта смежных прав, приложена к ним или появляется в связи с сообщением для всеобщего сведения либо доведением до всеобщего сведения таких произведения или объекта смежных прав;
любые цифры и коды, в которых содержится такая информация;
сведения, позволяющие идентифицировать личность гражданина, описание которого приводится в произведении.
В отношении такого рода сведений не допускается удаление или изменение информации об авторском праве и о смежных правах, воспроизведение, распространение, импорт в целях распространения, публичное исполнение, сообщение для всеобщего сведения, доведение до всеобщего сведения произведений или объектов смежных прав.
2.7. Действующее избирательное законодательство в состав персональных данных, подлежащих обработке в целях реализации избирательных прав граждан, освещения хода, характера и содержания проходящих выборов, относит:
биографические данные кандидатов, включающие их фамилию, имя, отчество, дату и место рождения, а в случае необходимости гражданство, время проживания на территории РФ;
основное место работы или службы, занимаемая должность (в случае отсутствия основного места работы или службы — род занятий); адрес места жительства; образование;
номер и дату выдачи паспорта или документа, заменяющего паспорт гражданина, наименование и код выдавшего его органа;
сведения о наличии неснятой или непогашенной судимости;
сведения о размере и об источниках доходов кандидата и его супруга, о вкладах в банках, ценных бумагах, об обязательствах имущественного характера кандидата и его супруга.
По смыслу действующего законодательства получение согласия при их обработке не требуется в случаях опубликования информации об итогах регистрации кандидатов, биографических данных зарегистрированных кандидатов, иных сведений, поступающих в избирательные комиссии, итоги голосования по каждому зарегистрированному кандидату.
Аналогичные требования установлены в отношении персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных настоящим Законом.
Обработка персональных данных специальных категорий допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством РФ, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, законодательством РФ об оперативно-розыскной деятельности, законодательством РФ о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда в РФ.
4. По общему правилу оператор должен лично осуществлять обработку персональных данных, однако законодатель допускает возможность передоверия совершения операций с персональными данными другому лицу на основании договора. Следует отметить, что комментируемый Закон не определяет перечень случаев, равно как порядок и условия такого рода передоверия. Предположительно передача исключительных прав на обработку персональных данных должна осуществляться в случаях объективно необходимых в силу сложившихся обстоятельств для защиты интересов субъекта персональных данных.
Передача полномочий оператора по обработке персональных данных на основании договора третьему лицу допустима при соблюдении следующих условий:
наличие согласия субъекта персональных данных;
уведомление субъекта о предстоящей или состоявшейся передачи с обязательным сообщением сведений о личности нового оператора и иных данных, имеющих значение в целях обеспечения адекватной защиты прав субъектов персональных данных;
передача прав на обработку персональных данных обусловлена силой обстоятельств для охраны интересов субъекта персональных данных;
обеспечение условий конфиденциальности персональных данных, подвергающихся обработке.
Существенным условием договора передачи персональных данных по смыслу комментируемой статьи является обязанность обеспечения доверенным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору. В случае если иное не установлено договором, контрагент в соответствии с законодательством РФ самостоятельно определяет способы защиты персональных данных, переданных ему по договору. Передача персональных данных доверенному лицу осуществляется в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для оператора персональных данных.
Контрагент обязан незамедлительно сообщить субъекту персональных данных о ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании персональных данных третьими лицами. Оператор персональных данных, переданных им контрагенту, до окончания срока действия договора не может разглашать указанную информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности персональных данных, переданных по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.
Статья 7.Конфиденциальность персональных данных
Комментарий к статье 7
1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.
Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:
1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера" структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных[15];
2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ[16].
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;
2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.
Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов[17].
Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.
Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.
Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников "Кто есть кто…", содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 8.Общедоступные источники персональных данных
Комментарий к статье 8
1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.
Создание общедоступных источников персональных данных, в состав которых подлежат включению фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных, осуществляется с обязательного согласия последнего. Кроме того, субъект персональных данных вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Использование персональных данных из общедоступных источников предполагает, в свою очередь, исключение возможности извлечения прибыли.
В случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
2. В целях защиты прав и законных интересов субъекта персональных данных законодатель предусматривает возможность отзыва персональных данных, используемых в общедоступных источниках. Их исключение может быть осуществлено как по требованию самого субъекта персональных данных, так и по решению суда или специально уполномоченного государственного органа.
Статья 9.Согласие субъекта персональных данных на обработку своих персональных данных
Комментарий к статье 9
1. Комментируемая статья определяет порядок, условия и основания получения согласия субъекта персональных данных на их обработку. Законодатель подчеркивает, что в основу принятия субъектом персональных данных решения о предоставлении их к обработке положен гражданско-правовой принцип автономии воли (см. п.1 ст.9 ГК РФ). Последний подразумевает свободное и самостоятельное принятие решения, основанного исключительно на внутреннем убеждении субъекта, определяющего характер и содержание собственных действий. Никто не вправе препятствовать субъекту осуществлять имеющееся у него право или принуждать его к его реализации, за исключением случаев, когда законом предусмотрено обязательное предоставление персональных данных к обработке (см. п.2 комментируемой статьи).
Согласие субъекта персональных данных на их обработку подразумевает не только свободное принятие решения на их передачу, но по смыслу буквального толкования положений рассматриваемой статьи и свободное выражение своей воли. Волеизъявление — важный элемент согласия на обработку персональных данных, с которым, как правило, связываются юридические последствия. Анализ настоящего Закона позволяет отметить, что внутренняя воля при передаче персональных данных к обработке может выражаться следующими способами:
прямой (непосредственный) — совершается в устной или письменной форме;
косвенный, который имеет место в случаях, когда субъект, намеревающийся передать персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении.
Таким образом, субъект персональных данных свободен в выборе вариантов своего поведения, формы и целей реализации предоставленного ему права в пределах, предусмотренных действующим законодательством. Принимая самостоятельно решение, субъект персональных данных не только реализует предоставленное ему право выбора, но и одновременно приобретает риск от последствий своего решения.
Отказ субъекта персональных данных от ранее принятого решения на их обработку выступает в качестве гарантии стабильности принадлежащего лицу права. Отказ субъекта персональных данных действовать определенным образом в пределах субъективного права не влечет за собой его прекращение или ограничение. Совершение действий, от которых лицо воздерживается, остается дозволенным.
Следует отметить, что настоящим Законом не предусмотрено, каким образом и в какой форме подлежит осуществлению отзыв согласия на обработку персональных данных. Предположительно отзыв согласия должен соответствовать принятому ранее решению на обработку персональных данных, т.е. если согласие на обработку было предоставлено в письменном виде, то отзыв принятого решения также должен быть осуществлен письменно.
2. Частью второй комментируемой статьи законодатель определяет границы свободы воли субъекта персональных данных, определяя основания их обязательного предоставления к обработке. Реализация последних считается допустимым при одновременном соблюдении ряда условий. Предоставление субъектом персональных данных конфиденциальных сведений к обработке обязательно в случаях, если это:
1) предусмотрено настоящим Законом или иными федеральными законами;
2) осуществляется в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Декларируемое ограничение свободного использования собственных персональных данных в полном объеме основывается на положении п.3 ст.55 Конституции РФ и соответствует общепринятым принципам и нормам международного права, в частности п.2 ст.29 Всеобщей декларации прав человека, п.3 ст.12, п.3 ст.19 Международного пакта о гражданских и политических правах, п.2 ст.10 и п.2 ст.11 Европейской конвенции о защите прав человека и основных свобод.
Анализ действующего законодательства позволяет выделить следующие случаи обязательного предоставления персональных данных к обработке:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности;
8) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
9) обработка персональных данных необходима в связи с осуществлением правосудия;
10) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;
11) обработка персональных данных при осуществлении первичного воинского учета. Следует отметить, что представленный перечень является примерным и может быть
расширен федеральным законом.
3. Частью третьей комментируемой статьи фактически устанавливается презумпция запрета на действия с персональными данными без согласия субъекта персональных данных. Вместе с тем презумпция запрета, распространяемая на категории персональных данных, выходящих за пределы понятия частной жизни, предоставляет субъекту персональных данных неограниченную возможность действовать в своекорыстных интересах. При этом в целях обеспечения защиты прав граждан, а также устранения неоправданных затруднений законного использования персональных данных было бы целесообразно закрепить презумпцию согласия гражданина на использование его персональных данных государственными органами при осуществлении своих полномочий. Распространение презумпции согласия возможно также на случаи, когда использование персональных данных в соответствии с законом является необходимым условием заключения договора, а также совершения иных юридически значимых действий.
Законодатель возлагает бремя доказывания получения согласия субъекта персональных данных на их обработку на оператора. По смыслу рассматриваемого документа доказательства законности и обоснованности деятельности оператора должны быть представлены субъекту персональных данных, если последний считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, или персональные данные были получены не от субъекта персональных данных и (или) уполномоченный орган по защите прав субъектов персональных данных в случаях осуществления последним контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона. В процессе доказывания оснований получения персональных данных к обработке оператор может использовать любые доказательства или их совокупность, допустимую действующим законодательством, в частности, это могут быть свидетельские показания, документальные материалы, заключения специалистов и т.п.
4. В случаях обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), или трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, законодатель допускает работу с конфиденциальными сведениями только с письменного согласия субъекта персональных данных. По смыслу буквального толкования рассматриваемой нормы перечень ситуаций, с которыми связано получение обязательного письменного согласия субъекта персональных данных на их обработку, предусматривается исключительно настоящим Законом и является исчерпывающим.
Письменное согласие на обработку персональных данных включает в себя все те сведения, которые позволяют субъекту персональных данных контролировать обработку его данных.
Декларируя обязанность оператора на получение письменного согласия субъекта персональных данных на их обработку в указанных случаях, законодатель вместе с тем не предусматривает обязательных требований относительно формы последнего, устанавливая императивные требования лишь в части, касающейся его содержания. Законодательный отказ от разработки стандартизированного бланка во многом обусловлен областью общественных отношений, в которой фигурируют обозначенные группы персональных данных и применительно к которым установлены индивидуальные требования к форме составляемых и используемых документов. В частности, в качестве письменного согласия субъекта персональных данных на их обработку могут расцениваться: заявление о приеме на работу; обращения в органы социальной защиты населения с заявлением об отказе от социального пакета и заменой его денежной компенсацией; заявление в банк или иную кредитную организацию о предоставлении кредита; предоставление налоговой декларации; заявление лица о его регистрации по месту проживания или месту жительства и т.п.
5. Согласно ст.29 ГК РФ недееспособным признается гражданин, который вследствие психического расстройства не может понимать значения своих действий или руководить ими. Признание гражданина недееспособным осуществляется судом в порядке, установленном гражданским процессуальным законодательством. В целях обеспечения прав и законных интересов недееспособных вводится институт опеки. Опекуны являются представителями подопечных в силу закона и совершают от их имени и в их интересах все необходимые действия. Обязанности по опеке исполняются безвозмездно.
Следует отметить, что в части, касающейся обработки персональных данных, законодатель предусматривает возможность представления интересов исключительно недееспособных граждан, совершенно упуская из виду ограниченно дееспособных и лиц, не достигших совершеннолетия. По смыслу действующего законодательства защита прав и законных интересов указанных категорий граждан осуществляется их родителями и попечителями, выступающими в роли законных представителей последних.
6. Законодатель предусматривает, что защиту прав и интересов умершего субъекта персональных данных осуществляют его наследники. Эти правомочия наследников сроком не ограничиваются.
Статья 10.Специальные категории персональных данных
Комментарий к статье 10
1. Комментируемая статья выделяет особые категории персональных данных и устанавливает общий запрет на их обработку. К специальной категории персональных данных относятся сведения, раскрывающие расовое или этническое происхождение субъекта, его политические взгляды, религиозные или философские убеждения, а также сведения, касающиеся состояния его здоровья, сексуальных наклонностей, судимости. Действия с этими персональными данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб. Одновременно Законом перечислены условия, при которых обработка специальной категории персональных данных может быть произведена без получения предварительного согласия субъекта персональных данных. Следует отметить, что представленный комментируемой статьей перечень сведений является закрытым. Предложение, выдвинутое на стадии разработки настоящего Закона, о включении в состав специальной категории персональных данных биометрических сведений не нашло своего воплощения.
Отнесение указанных сведений к разряду специальной категории, по замыслу законодателя, должно в первую очередь обеспечить реализацию прав на неприкосновенность частной жизни, личную тайну, а также недопустимость ограничения прав граждан по признакам расовой, национальной или религиозной принадлежности.
Особенность рассматриваемой категории персональных данных заключается в том, что в целях обеспечения их защиты законодатель не допускает их обработку, за исключением особо оговоренных случаев.
2. Законодатель приводит исчерпывающий перечень ситуаций, допускающих возможность обработки специальной категории персональных данных. По смыслу буквального толкования рассматриваемой статьи законодатель допускает возможность одновременной обработки как всех из представленных персональных данных специальной категории, так и отдельных из них в части, касающейся конкретной ситуации.
Письменное согласие субъекта персональных данных на их обработку, равно как и общедоступность указанных сведений, являются универсальными основаниями, предоставляющими оператору право на обработку специальной категории персональных данных.
Представленные основания дают возможность обрабатывать как всю совокупность специальных персональных данных, так и отдельные их составляющие. Выбор последних в целом зависит от решения субъекта персональных данных.
Статья 11.Биометрические персональные данные
Комментарий к статье 11
1. Физиологические особенности человека являются одной из форм выражения личности, свойствами ее проявления вовне, по отражению которых можно идентифицировать субъекта. Признание физиологических особенностей человека в качестве универсального идентификатора его личности допустимо при условии соответствия последних следующим критериям:
устойчивость (неизменяемость); уникальность.
Устойчивость выражается в том, что физиологические особенности, появляясь еще во время внутриутробного развития или формируясь в процессе жизни человека, сохраняются неизменными в течение всей его жизни. Уникальность физиологических особенностей подразумевает индивидуальную определенность, отождествляющую конкретную личность.
Возможность идентификации личности по характеризующим ее физиологическим особенностям осуществима лишь в случае создания системы учета данных, содержащих достоверные результаты первичной идентификации. Сбор, хранение и обработка рассматриваемого рода сведений с целью формирования последней настолько глубоко затрагивают права граждан, включая право на семейную тайну, тайну усыновления, медицинскую тайну, неприкосновенность личности и т.д., что не только нельзя распространять на эти данные обычные правила сбора, обработки, хранения и использования персональных данных, но, напротив, следует жестко запретить создание каких бы то ни было баз данных, содержащих результаты их обработки даже в личных целях.
Вопреки всеобщему заблуждению, во многом сложившемуся благодаря избранной законодателем формулировке, биометрические персональные данные ассоциируются с автобиографическими сведениями и половозрастными признаками личности. Фактически законодатель представляет категорию биометрических персональных данных через физиологические особенности личности. С последними, как правило, связывают все формы выражения личности вовне, т.е. не только ее поведение, но и ее свойства, по отражению которых, например, на окружающей обстановке можно идентифицировать субъекта. В число основных физиологических особенностей человека, влияющих на возможность идентификации его личности, входят: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, образ лица, сетчатка глаза, особенности строения тела, отдельных органов и тканей, работа желез внутренней секреции, различные отклонения в развитии, атавизмы, психическое состояние здоровья и т.п.
Обработка биометрических персональных данных осуществляется при условии получения письменного согласия их обладателя, обязательным элементом содержания которого является буквальное описание, с использованием общепринятой терминологии, физиологических особенностей человека, передаваемых к обработке. Точность в характеристике физиологических особенностей требуется с целью избежания двойственного толкования. В этой связи наиболее предпочтительным представляется употребление медико-биологической характеристики свойств и особенностей личности.
2. В части второй комментируемой статьи законодателем представлена группа оснований, обосновывающих необходимость обработки биометрических персональных данных без согласия на то субъекта. Свободная обработка такого рода персональных данных объяснима целями защиты основ конституционного строя, здоровья, прав и законных интересов иных лиц, обеспечения обороны страны и безопасности государства. Законодатель подчеркивает, что обработка биометрических персональных данных осуществляется без согласия их субъекта лишь в случаях:
отправления правосудия (см. ст.10 настоящего Закона и комментарий к ней);
в порядке и на условиях, предусмотренных действующим законодательством. Перечень последнего исчерпывающим образом представлен рассматриваемой нормой.
Законодательные основы обеспечения безопасности составляют Конституция РФ, Закон РФ от 5 марта 1992г. N 2446-1 "О безопасности", ФЗ от 3 апреля 1995г. N 40-ФЗ "О федеральной службе безопасности", законы и другие нормативные акты РФ, регулирующие отношения в области безопасности; конституции, законы, иные нормативные акты республик в составе РФ и нормативные акты органов государственной власти и управления краев, областей, автономной области и автономных округов, принятые в пределах их компетенции в данной сфере; международные договоры и соглашения, заключенные или признанные Российской Федерацией. По смыслу действующего законодательства при обеспечении безопасности не допускается ограничение прав и свобод граждан, за исключением случаев, прямо предусмотренных законом. Граждане, общественные и иные организации и объединения имеют право получать разъяснения по поводу ограничения их прав и свобод от органов, обеспечивающих безопасность. По их требованию такие разъяснения даются в письменной форме в установленные законодательством сроки. Полученные в процессе деятельности органов федеральной службы безопасности сведения о частной жизни, затрагивающие честь и достоинство гражданина или способные причинить вред его законным интересам, не могут сообщаться органами федеральной службы безопасности кому бы то ни было без добровольного согласия гражданина, за исключением случаев, предусмотренных федеральными законами.
Для осуществления своей деятельности органы федеральной службы безопасности могут без лицензирования разрабатывать, создавать и эксплуатировать информационные системы, системы связи и системы передачи данных, а также средства защиты информации, включая средства криптографической защиты.
Наличие в информационных системах сведений о физических и юридических лицах не является основанием для принятия органами федеральной службы безопасности мер, ограничивающих права указанных лиц.
Должностные лица, превысившие свои полномочия в процессе деятельности по обеспечению безопасности, несут ответственность в соответствии с законодательством.
Согласно ст.5 ФЗ от 12 августа 1995г. N 144-ФЗ "Об оперативно-розыскной деятельности" органы (должностные лица), осуществляющие оперативно-розыскную деятельность, при проведении оперативно-розыскных мероприятий должны обеспечивать соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну, неприкосновенность жилища и тайну корреспонденции. Не допускается осуществление оперативно-розыскной деятельности для достижения целей и решения задач, не предусмотренных федеральным законом. Лицо, виновность которого в совершении преступления не доказана в установленном законом порядке, то есть в отношении которого в возбуждении уголовного дела отказано либо уголовное дело прекращено в связи с отсутствием события преступления или в связи с отсутствием в деянии состава преступления и которое располагает фактами проведения в отношении его оперативно-розыскных мероприятий и полагает, что при этом были нарушены его права, вправе истребовать от органа, осуществляющего оперативно-розыскную деятельность, сведения о полученной о нем информации в пределах, допускаемых требованиями конспирации и исключающих возможность разглашения государственной тайны. В случае если будет отказано в предоставлении запрошенных сведений или если указанное лицо полагает, что сведения получены не в полном объеме, оно вправе обжаловать это в судебном порядке. В процессе рассмотрения дела в суде обязанность доказывать обоснованность отказа в предоставлении этому лицу сведений, в том числе в полном объеме, возлагается на соответствующий орган, осуществляющий оперативно-розыскную деятельность. Гражданство, национальность, пол, место жительства, имущественное, должностное и социальное положение, принадлежность к общественным объединениям, отношение к религии и политические убеждения отдельных лиц не являются препятствием для проведения в отношении их оперативно-розыскных мероприятий на территории РФ, если иное не предусмотрено федеральным законом. Проведение оперативно-розыскных мероприятий, которые ограничивают конституционные права человека и гражданина на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, а также право на неприкосновенность жилища, допускается на основании судебного решения.
В соответствии с Конституцией РФ правовые и организационные основы государственной службы РФ определяются: ФЗ от 27 мая 2003г. N 58-ФЗ "О системе государственной службы Российской Федерации", ФЗ от 27 июля 2004г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", ФЗ от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе". Система государственной службы включает в себя следующие виды государственной службы:
государственная гражданская служба; военная служба;
При обработке, хранении и передаче персональных данных государственного служащего кадровая служба государственного органа обязана соблюдать следующие требования:
1) обработка персональных данных государственного служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федерального законодательства и иных нормативных правовых актов, содействия государственному служащему в прохождении государственной службы, обучении и должностном росте, обеспечения личной безопасности государственного служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества государственного органа;
2) персональные данные следует получать лично у государственного служащего. В случае возникновения необходимости получения персональных данных государственного служащего у третьей стороны следует известить об этом государственного служащего заранее, получить его письменное согласие и сообщить государственному служащему о целях, предполагаемых источниках и способах получения персональных данных;
3) запрещается получать, обрабатывать и приобщать к личному делу государственного служащего не установленные федеральным законом и другими федеральными законами персональные данные о его политических, религиозных и иных убеждениях и частной жизни, о членстве в общественных объединениях, в том числе в профессиональных союзах;
4) при принятии решений, затрагивающих интересы государственного служащего, запрещается основываться на персональных данных государственного служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;
5) защита персональных данных государственного служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном настоящим Федеральным законом и другими федеральными законами;
6) передача персональных данных государственного служащего третьей стороне не допускается без письменного согласия государственного служащего, за исключением случаев, установленных федеральным законом. Условия передачи персональных данных государственного служащего третьей стороне устанавливаются нормативными правовыми актами РФ.
Государственный служащий, виновный в нарушении норм, регулирующих получение, обработку и передачу персональных данных другого государственного служащего, несет ответственность в соответствии с настоящим Федеральным законом и федеральными законами, регулирующими соответствующие правоотношения в системе государственной службы.
В личное дело государственного служащего вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с государственной службы и необходимые для обеспечения деятельности государственного органа.
Федеральным законом от 15 августа 1996г. N 114-ФЗ "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию" предусмотрено, что выезд из РФ и въезд в РФ граждане РФ осуществляют по действительным документам, удостоверяющим личность гражданина РФ за пределами территории РФ. Порядок оформления, выдачи и изъятия этих документов определяется настоящим Федеральным законом. Иностранные граждане или лица без гражданства обязаны при въезде в РФ и выезде из РФ предъявить действительные документы, удостоверяющие их личность и признаваемые РФ в этом качестве, и визу, если иное не предусмотрено международным договором РФ. Лица без гражданства осуществляют въезд в РФ и выезд из РФ в соответствии с правилами, установленными настоящим Федеральным законом для иностранных граждан, если иное не предусмотрено настоящим Федеральным законом, другими федеральными законами или международным договором РФ. В целях оформления паспорта гражданин РФ в заявлении установленного образца должен указать свои фамилию, имя, отчество (в том числе ранее имевшиеся), пол, дату и место рождения, место жительства, место работы (службы, учебы) в течение последних десяти лет и представить основной документ, удостоверяющий его личность. К заявлению прилагаются личные фотографии и документы об уплате государственной пошлины (в случае оформления паспорта на территории РФ) или консульского сбора (в случае оформления паспорта за пределами территории РФ) за оформление паспорта, а также документ об оплате стоимости бланка паспорта. В заявлении об оформлении паспорта гражданин РФ указывает на отсутствие обстоятельств, предусмотренных настоящим Федеральным законом, которые могли бы препятствовать его выезду из РФ.
Статья 12.Трансграничная передача персональных данных
Комментарий к статье 12
1. Законопроект определяет принципы трансграничной передачи персональных данных. Эти принципы гармонизированы с основными международно-правовыми актами в области персональных данных, что позволит обеспечить соответствующий уровень защиты персональных данных и право на неприкосновенность частной жизни при передаче персональных данных в другие государства.
В комментируемой статье, устанавливающей принципы трансграничной передачи персональных данных, необходимо более четко определить цели и условия такой передачи. В частности, представляется уместным отдельно сформулировать основные принципы, запреты и ограничения в отношении трансграничной передачи персональных данных.
В принципе, для субъектов персональных данных не должно быть разницы в том, осуществляются ли операции по обработке данных в одной или нескольких странах. Должны
применяться одни и те же фундаментальные правила, и субъектам информации должны быть предоставлены одни и те же гарантии защиты их прав и интересов. Однако на практике защита лиц ослабевает, когда расширяются географические границы. Тенденции такого рода во многом обусловлены состоянием национальных телекоммуникационных систем и трансграничных сетей передачи данных, особенности правовой защиты конфиденциальной информации и правил работы с нею, потенциальными потерями части сведений вследствие расстояния, времени, языка.
Учитывая эту опасность, некоторые страны предусмотрели в своем внутреннем праве специальный контроль, например в форме лицензий на экспорт. Однако такой контроль может нарушать свободу международного обмена информацией, которая составляет фундаментальный принцип и для отдельных граждан, и для наций. Следовало найти формулу, которая обеспечила бы защиту данных на международном уровне, в то же время не ущемляя этот принцип.
2. Целью трансграничной передачи персональных данных выступает необходимость обеспечения на территории каждой из участвующих в передаче сторон уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, и в особенности его права на неприкосновенность личной сферы; оказания друг другу взаимной правовой помощи по гражданским, уголовным и семейным делам; оказания помощи любому лицу, проживающему за рубежом, в осуществлении правомочий, предусмотренных его национальным правом.
Законодатель декларирует, что обязательным условием осуществления трансграничной передачи персональных данных является предварительное получение оператором достоверных сведений о возможности адекватной защиты персональных данных как в момент их передачи, так и на территории принимающей стороны. При этом комментируемой статьей содержание понятия "адекватная защита" не раскрывается. В контексте рассматриваемого Закона под адекватной защитой следует понимать условия обработки персональных данных, существующие на территории принимающей стороны, по своему характеру и содержанию не отличающиеся от установленных национальным законодательством. Адекватность уровня защиты, предоставляемого страной-получателем, оценивается в свете всех обстоятельств, в которых производится операция или набор операций по передаче данных; особое внимание следует уделять природе данных, цели и продолжительности предполагаемых операций или операций по обработке данных, стране происхождения и стране окончательного назначения, действующим в соответствующей стране положениям закона, как общим, так и частным, а также профессиональным нормам и мерам безопасности, соблюдаемым в такой стране.
Оператор должен принимать разумные и должные меры к обеспечению того, чтобы международные обмены персональными данными, в том числе их транзит через территорию каждой страны, были непрерывными и безопасными. При передаче персональных данных по трансграничной информационной сети оператор, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности (электронная цифровая подпись для подтверждения достоверности передаваемой информации, средства криптографии для сохранения конфиденциальности и т.п.). Во исполнение указанных целей предварительной проверке также подлежит и состояние сетей передачи на предмет соблюдения соответствующих технических и организационных мер к обеспечению безопасности передаваемой информации. В процессе трансграничной передачи персональных данных оператор должен учитывать возможные негативные последствия такой передачи.
По смыслу комментируемого Закона на возможность трансграничной передачи персональных данных не влияет факт наличия между участниками информационного обмена предварительно заключенных межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных. Следует подчеркнуть, что наличие межгосударственных договоров как одного из условий осуществления трансграничной передачи персональных данных между ее участниками также не предусматривается и в положениях общепринятых норм международного права, осуществляющего регулирование рассматриваемой области общественных отношений. Действующие международные конвенции также предусматривают возможность свободного распространения персональных данных между государствами при условии соблюдения требований их повышенной защиты не ниже тех, которые предусмотрены национальным законодательством.
Авторы рассматриваемого Закона устанавливают две группы оснований для наложения ограничений или установления запрета на трансграничную передачу персональных данных.
Первая из них традиционно обусловлена целями защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. По смыслу буквального толкования пункта второго настоящей статьи существующие ограничения и запреты распространяются на случаи трансграничной передачи персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (п.2 настоящей статьи).
Вторую законодатель связывает с отсутствием возможностей обеспечения адекватной защиты прав субъектов персональных данных на территории принимающей стороны. При этом, гармонизируя положения комментируемого Закона с нормами международного права, разработчики допускают возможность осуществления трансграничной передачи персональных данных в такого рода случаях при соблюдении одного из следующих условий:
1) наличия согласия в письменной форме субъекта персональных данных (см. п.4 ст.9 настоящего Закона и комментарий к ней);
2) предусмотренных международными договорами РФ по вопросам выдачи виз, а также международными договорами РФ об оказании правовой помощи по гражданским, семейным и уголовным делам. В настоящее время Россия является участницей более 300 такого рода договоров и соглашений. Оказание правовой помощи в рамках действующих международных соглашений обязывает договаривающиеся стороны к выполнению процессуальных и иных действий, предусмотренных законодательством запрашиваемой стороны, в том числе: составления и пересылки документов, проведения осмотров, обысков, изъятия, передачи вещественных доказательств, проведения экспертизы, допроса сторон, третьих лиц, подозреваемых, обвиняемых, потерпевших, свидетелей, экспертов, розыска лиц, осуществления уголовного преследования, выдачи лиц для привлечения их к уголовной ответственности или приведения приговора в исполнение, признания и исполнения судебных решений по гражданским делам, приговоров в части гражданского иска, исполнительных надписей, а также путем вручения документов. В поручении об оказании правовой помощи должны быть указаны:
а) наименование запрашиваемого учреждения;
б) наименование запрашивающего учреждения;
в) наименование дела, по которому запрашивается правовая помощь;
г) имена и фамилии сторон, свидетелей, подозреваемых, обвиняемых, подсудимых, осужденных или потерпевших, их местожительство и местопребывание, гражданство, занятие, а по уголовным делам также место и дата рождения и, по возможности, фамилии и имена родителей; для юридических лиц — их наименование, юридический адрес и/или местонахождение;
д) при наличии представителей лиц, их имена, фамилии и адреса;
е) содержание поручения, а также другие сведения, необходимые для его исполнения;
ж) по уголовным делам также описание и квалификация совершенного деяния и данные о размере ущерба, если он был причинен в результате деяния;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных (см. подп.2 п.2 ст.6 настоящего Закона и комментарий к ней);
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных (см. подп.3 п.2 ст.10 настоящего Закона и комментарий к ней).
Перечень представленных условий является исчерпывающим, не подлежащим расширительному толкованию.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Комментарий к статье 13
1. Выделяя в отдельную статью требования к обработке персональных данных в государственных и муниципальных информационных системах, законодатель вместе с тем не ограничивает права и интересы иных операторов в рассматриваемой области общественных отношений. По смыслу комментируемой статьи создание государственных (федеральных и региональных) и муниципальных информационных систем допускается в пределах и объеме полномочий, предусмотренных федеральным законодательством. Использование органами государственной и муниципальной власти и управления информационных ресурсов в части, касающейся персональных данных, недопустимо, за исключением случаев, оговариваемых настоящим Законом (см., например, п.2 ст.10 Закона и комментарий к ней).
Создание государственных и (или) муниципальных информационных систем персональных данных должно осуществляться с целью:
повышения качества и эффективности государственного управления и обеспечения эффективного использования органами государственной власти информационных и коммуникационных технологий;
расширения возможности доступа граждан к информации для реализации своих конституционных прав;
обеспечения защиты и безопасности данных, используемых для целей государственного управления, прав граждан на защиту персональных данных и реализацию их законных интересов при информационном взаимодействии с органами государственной власти;
устранения дублирования сбора органами государственной власти данных, снижение издержек для населения и организаций, связанных с их предоставлением;
повышения оперативности предоставления государственных услуг, требующих межведомственного взаимодействия, снижения числа обращений граждан и организаций в органы государственной власти и сокращения времени вынужденного ожидания;
внедрения единых стандартов обслуживания населения, создание условий для предоставления государственных услуг на принципе "одного окна".
Достижение указанных целей возможно при осуществлении следующих мероприятий:
введения единого идентификатора персональных данных, обеспечивающего возможность однозначного установления соответствия персональных данных, размещаемых в различных автоматизированных системах учета, конкретному физическому лицу;
создания государственного регистра населения, содержащего актуальные первичные идентификационные данные граждан и соответствующие им идентификаторы персональных данных;
интеграции и обеспечения взаимодействия различных автоматизированных систем учета, обеспечивающих сбор, обработку и хранение персональных данных в электронном виде;
обеспечения доступа к персональным данным, размещаемым в автоматизированных системах учета, заинтересованных органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций на межведомственном уровне в соответствии с утверждаемыми регламентами;
разработки порядка предоставления информационных услуг населению.
Сегодня в РФ созданы все необходимые предпосылки для совершенствования работы государственного аппарата на основе широкого использования информационных и коммуникационных технологий. В целом решены задачи, связанные с формированием в органах государственной власти современной базовой информационно-технологической инфраструктуры. В основном удовлетворены потребности органов государственной власти в вычислительной технике, формируются территориально распределенные ведомственные компьютерные сети. Во многих органах государственной власти созданы автоматизированные рабочие места, обеспечивающие доступ к сети Интернет. Некоторыми федеральными органами государственной власти и органами государственной власти субъектов РФ успешно реализуются программы и проекты по созданию государственных информационных систем, обеспечивающих автоматизированный сбор, обработку и хранение данных, необходимых для качественного и эффективного выполнения возложенных на них функций.
2. Принимая во внимание полномочия органов государственной и муниципальной властей, учитывая значимость решаемых ими задач, законодатель допускает самостоятельность последних в выборе процедуры обработки, необходимых им по роду деятельности, персональных данных субъектов, формировании уникальных требований к порядку и условиям их предоставления (сбора), накопления, хранения, использования. Допуская практически неограниченную свободу в процессе обработки персональных данных, содержащихся в соответствующих государственных или муниципальных информационных системах, в том числе избирая различные способы обозначения принадлежности персональных данных, законодатель обязывает органы власти и управления всех уровней к обязательному соблюдению следующих требований:
учет персональных данных в государственных или муниципальных информационных системах должен осуществляться исключительно в пределах полномочий соответствующих органов власти, определенных федеральным законом;
не допускается ограничение прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных;
не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Создание государственных и муниципальных информационных систем персональных данных и работа с ними предполагает практическую реализацию следующих основных принципов:
децентрализованный характер информационный системы персональных данных;
использование существующих автоматизированных систем учета, создание и сопровождение которых обеспечивается органами государственной власти, органами местного самоуправления, государственными и муниципальными организациями самостоятельно;
отсутствие необходимости в кардинальном изменении действующих процедур сбора и обработки персональных данных в органах государственной власти, органах местного самоуправления, государственных и муниципальных организациях в рамках выполнения закрепленных за ними функций;
доступ к персональным данным и работа с ними на основании существующих и разрабатываемых регламентов, утверждаемых в соответствии с федеральными законами;
учет и регистрация всех действий с персональными данными, производимых пользователями информационной системы;
организация взаимодействия и информационного обмена автоматизированных систем учета между собой в рамках информационной системы персональных данных на основе общих методических и технологических принципов и стандартов;
использование гармонизированных классификаторов и справочников во всех автоматизированных системах учета;
обязательное использование идентификатора персональных данных в подключаемых к системе персонального учета автоматизированных системах учета;
создание механизмов обеспечения соответствия идентификаторов персональных данных внутрисистемным идентификаторам учета населения для созданных автоматизированных систем учета;
однократное присвоение идентификатора персональных данных при первичном вводе идентификационных данных в систему персонального учета при рождении ребенка, при обращении физического лица в органы власти, в случае получения российского гражданства иностранным гражданином или лицом без гражданства, в случае регистрации иностранных граждан или лиц без гражданства по месту пребывания на территории РФ в соответствии с законодательством РФ;
формирование идентификатора персональных данных в соответствии с определенным алгоритмом в виде алфавитно-цифровой последовательности фиксированной длины;
обеспечение поддержки непротиворечивости идентификаторов персональных данных и первичных идентификационных персональных данных в процессе взаимодействия автоматизированных систем учета между собой;
возможность подключения автоматизированных систем учета на основе единой процедуры;
обеспечение первоначального информационного наполнения и актуализации автоматизированных систем учета, подключаемых к системе персонального учета, ведомствами, в ведении которых находятся указанные системы;
развитие сервисов и информационного наполнения системы персонального учета, создание в ее рамках новых автоматизированных систем учета по результатам оценки затрат и возможного социально-экономического эффекта от их реализации;
создание системы персонального учета с учетом существующей информационно-технологической инфраструктуры органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций, осуществляющих в рамках возложенных на них функций сбор и использование персональных данных;
защита персональных данных в соответствии с законодательством РФ и требованиями по обеспечению информационной безопасности;
хранение персональных данных в электронном виде в автоматизированных системах учета по месту их возникновения.
3. Анализ действующего в настоящее время массива нормативно-правовых документов, посвященных определению роли и места государственных и муниципальных информационных систем персональных данных в структуре информационных систем и ресурсов, целей, принципов, структуры, функций и основных этапов их создания и развития системы, источники финансирования, выдвигающие предложения по формированию нормативной правовой базы, необходимой для функционирования последних и обеспечения защиты конституционных прав и свобод граждан при сборе и использовании их персональных данных[18], позволяет отметить ряд базисных требований к содержанию и функционированию государственных или муниципальных информационных систем.
Информационная система персональных данных представляет собой территориально распределенную информационную систему, функционирующую на федеральном, региональном и муниципальном уровнях и обеспечивающую взаимодействие автоматизированных систем учета органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций в части сбора, хранения, передачи и использования персональных данных граждан. Для обеспечения взаимодействия автоматизированных систем учета в рамках системы персонального учета, а также контроля обмена данными между ними создаются интеграционные компоненты системы персонального учета, которые настраиваются в каждом конкретном случае в зависимости от прогнозируемых объемов загрузки, требований по обеспечению производительности и информационной безопасности взаимодействия.
На федеральном и региональном уровнях создаются также репозитории, обеспечивающие авторизацию и маршрутизацию информационных запросов пользователей, гарантированную доставку персональных данных различных автоматизированных систем учета до пользователя, актуализацию содержащихся в них данных на основе утверждаемых регламентов взаимодействия.
Указанные репозитории включают:
государственный регистр населения, содержащий идентификаторы персональных данных и соответствующие им первичные идентификационные данные;
метабазу с размещенными в ней сведениями о наличии персональных данных в автоматизированных системах учета на всех уровнях, условиях и процедурах доступа к ним, способах и функциональных возможностях взаимодействия между собой;
систему исполнения запросов населения для получения персональных данных в рамках системы персонального учета в соответствии с административными регламентами, утверждаемыми нормативными правовыми актами;
единую систему классификаторов и справочников.
Кроме того, в репозитории федерального уровня осуществляется хранение всех идентификаторов персональных данных с соответствующими им первичными идентификационными данными. При построении системы персонального учета для надежной идентификации личности кроме идентификатора персональных данных в государственный регистр населения предполагается включение первичных идентификационных данных (фамилия, имя, отчество, дата рождения, место рождения, пол). Их подготовка и ввод в государственный регистр населения будут осуществляться из автоматизированных систем учета, содержащих первичные идентификационные данные. Количество региональных компонентов системы персонального учета может быть меньше общего числа субъектов РФ в зависимости от наличия и уровня развития в конкретном регионе информационно-технологической и телекоммуникационной инфраструктуры.
На муниципальном уровне создаются интеграционные компоненты взаимодействия с системой персонального учета в муниципальных автоматизированных системах учета.
Взаимодействие автоматизированных систем учета осуществляется на основе единых форматов обмена данными с учетом требований по обеспечению информационной безопасности.
Доступ населения, сотрудников органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций к персональным данным в системе персонального учета осуществляется в рамках регламентов, разрабатываемых в соответствии с законодательством РФ.
Для подготовки аналитических и обобщенных данных о населении разрабатываются отдельные регламенты.
Состав пользователей системы персонального учета и соответствующие регламенты доступа к ней, а также порядок предоставления информационных услуг на ее основе определяются в порядке, установленном законодательством РФ.
Пользователями системы персонального учета могут стать:
на федеральном уровне — федеральные органы исполнительной власти, уполномоченные государственные организации, осуществляющие в рамках выполнения возложенных на них функций использование персональных данных;
на региональном уровне — органы государственной власти субъектов РФ, территориальные органы федеральных органов исполнительной власти, в компетенцию которых входит учет населения, а также ведомства и уполномоченные государственные организации, оказывающие в установленном порядке услуги по предоставлению персональных данных организациям и населению;
на муниципальном уровне — органы местного самоуправления, территориальные подразделения органов государственной власти;
население — в части доступа к своим персональным данным.
Для обеспечения доступа к системе персонального учета должна быть предусмотрена процедура авторизации пользователей в соответствии с требованиями обеспечения информационной безопасности.
4. Распоряжением Правительства РФ от 14 апреля 1999г. N 583-р (с изм. и доп.от 2 марта 2000г.) предусмотрено, что в целях повышения уровня социальной защиты населения РФ и усиления ее адресности Минсвязи России совместно с Минтрудом России, МНС России, МВД России, Минфином России, Госкомстатом России, ФАПСИ, Пенсионным фондом РФ, Фондом социального страхования РФ, Федеральным фондом обязательного медицинского страхования и Минюстом России, другими заинтересованными федеральными органами исполнительной власти и государственными внебюджетными фондами необходимо разработать и представить на рассмотрение концепцию создания автоматизированной системы "Государственный регистр населения", технические решения которой должны быть взаимоувязаны с техническими решениями автоматизированных систем заинтересованных федеральных органов исполнительной власти и организаций.
Единая автоматизированная система "Государственный регистр населения" создается как государственная межведомственная информационно-телекоммуникационная система, обеспечивающая ведение в автоматизированном режиме баз данных учета регламентированных нормативными правовыми актами сведений о гражданах, информационное обслуживание государственных органов исполнительной и законодательной власти и населения и предоставление им в установленном порядке объективных и достоверных данных. При этом в соответствии со ст.23 Конституции РФ должно соблюдаться право гражданина и человека на неприкосновенность частной жизни, личную и семейную тайну.
Создание подобного регистра, так же как и введение универсального идентификатора персональных данных, порождает возможность доступа к персональным данным граждан в объеме, превышающем полномочия конкретного оператора. Кроме того, при существующем в РФ уровне защиты конфиденциальных сведений существование подобного регистра создает прямую угрозу несанкционированного доступа к персональным данным, относящимся ко всем сферам жизни и деятельности гражданина, разглашения таких данных и их противоправного использования, что создает условия для нарушения фундаментальных прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни.
Создание государственного регистра населения осуществляется в целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории РФ. Принципы и порядок создания и использования такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом. Правительство РФ планировало разработку такого закона в целях "повышения уровня социальной защиты населения и усиления ее адресности" и введения "единого персонифицированного учета социального страхования граждан" (распоряжение Правительства РФ от 14.04.1999 N 583-р).