Обязанности оператора
Статья 18.Обязанности оператора при сборе персональных данных Комментарий к статье 18
1. Предоставляя операторам право осуществлять обработку персональных данных граждан в порядке и на условиях, оговоренных настоящим Законом, авторы последнего, в целях защиты интересов субъектов персональных данных, возлагают на них ряд обязанностей, выступающих в роли своего рода ограничителей свободы их деятельности. Особенности юридической конструкции, равно как и содержание такого рода обязанностей, во многом предопределены структурными элементами обработки персональных данных, право на осуществление которой является основополагающим в деятельности оператора. Объединенные в главе четвертой анализируемого документа обязанности оператора и требования управомоченных субъектов к их исполнению построены с учетом целей и задач, возлагаемых на них в соответствии с общими (вводными) положениями настоящего Закона.
Комментируемой статьей предусмотрен перечень первичных обязанностей оператора, с исполнением которых законодатель связывает законность и обоснованность деятельности оператора как по сбору персональных данных, так и по их последующей обработке. В общем, закрепленные комментируемой статьей действия оператора условно могут быть представлены в качестве информационного обязательства последнего, раскрывающего характер, содержание и цели его деятельности.
Принимая во внимание конституционный принцип о сборе, хранении, распространении информации о гражданине, осуществляемом только с его согласия, можно отметить, что повышенная информационная отдача со стороны оператора является только дополнительным аргументом в пользу его деятельности. По мнению законодателя, на целесообразность принятия решения субъектом о передаче персональных данных для последующей их обработки могут оказать влияние такие сведения, как:
1) цель обработки персональных данных;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
При этом по смыслу буквального толкования рассматриваемой статьи предоставление указанных сведений допустимо лишь по просьбе субъекта персональных данных в случаях, когда конфиденциальная информация получена непосредственно от него самого и ее обработка осуществляется с его согласия.
2. Разграничивая условия деятельности оператора по сбору персональных данных в зависимости от источника и оснований их получения, законодатель сохраняет приоритет защиты прав и законных интересов субъекта персональных данных.
В случаях, когда получение персональных данных осуществляется из иных источников, а равно осуществляется помимо воли субъекта в порядке и на основаниях, установленных федеральным законом, оператор должен информировать последнего в отношении:
1) собственного наименования и адреса места нахождения;
2) целей обработки персональных данных и их правовом основании;
3) предполагаемых пользователей персональных данных.
В дополнение к указанным сведениям законодатель также допускает возможность доведения до сведения субъекта персональных данных информации, сформулированной в п.4 ст.14 настоящего Закона.
Оператор может быть освобожден от обязанности предоставить указанные сведения при условии, что сбор персональных данных осуществляется в рамках оперативно-розыскной, контрразведывательной или разведывательной деятельности, в целях обороны страны, защиты основ конституционного строя, обеспечения безопасности государства и охраны правопорядка. Ограничения на информирование субъекта персональных данных о проводимом сборе последних могут быть установлены также в случаях, когда обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, или предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 19.Меры по обеспечению безопасности персональных данных при их обработке
Комментарий к статье 19
1. Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие рассматриваемого нормативного правового акта. В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором практически неограниченных мер, препятствующих уничтожению, изменению, блокированию, копированию, распространению персональных данных, а равно осуществлению иных неправомерных действий с ними. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке представляется разработчикам настоящего Закона в принятии последним необходимых организационных и технических мер.
Организационные меры защиты подразумевают под собой регламентацию производственной деятельности оператора, направленную на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Организационные меры защиты персональных данных предусматривают совершенствование системы обеспечения информационной безопасности, сертификацию систем защиты конфиденциальной информации по требованиям информационной безопасности, контроль за действием персонала в защищенных информационных системах, определение порядка финансирования деятельности системы обеспечения информационной безопасности. Организационные меры защиты персональных данных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами и документами, содержащими конфиденциальные сведения, использование технических средств защиты, осуществление информационно-аналитической деятельности по выявлению угроз защищаемой информации.
Организационные меры по защите конфиденциальной информации направлены на организацию выполнения правил, процедур и требований защиты персональных данных на основе правил, установленных настоящим Законом, иными федеральными законами, подзаконными актами. Они играют существенную роль в создании надежного механизма защиты информации, так как угрозы несанкционированного доступа к ней в значительной мере обусловлены не техническими действиями. Значительно чаще утечка, хищение и уничтожение информации обусловлены злоумышленными действиями, небрежностью или халатностью пользователей или персонала защиты информации.
Организационные меры защиты персональных данных в основном направлены на предотвращение утечки защищаемой информации в печати и возникновении других условий, создающих объективные предпосылки появления каналов утечки информации. Основное их назначение — предотвратить несанкционированный доступ к защищаемой информации, ее разглашение или раскрытие. В каждом конкретном случае организационные мероприятия имеют специфическую для данной организации форму и содержание, обусловленные особенностями защищаемых сведений, существующих угроз информации, имеющихся средств защиты и др.
Технические меры защиты персональных данных — это использование различных технических, программных и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения. Технические меры защиты включают в себя различные методы, применение которых может осуществляться как индивидуально, так и в совокупности.
Программно-технические методы основываются на мерах по предотвращению несанкционированного доступа к обрабатываемым персональным данным и специальных воздействий, вызывающих их разрушение, уничтожение, искажение или сбои в работе информационных систем, выявление "вредных" технических устройств и программ, исключение перехвата конфиденциальной информации техническими средствами, применение средств защиты информации, в том числе криптографических, при передаче по каналам связи.
Инженерно-технические методы представляют собой совокупность специальных органов, технических средств и мероприятий, используемых в интересах защиты информации.
По функциональному назначению средства технической защиты подразделяются на физические, аппаратные, программные и криптографические средства.
Физические средства — различные инженерные сооружения, препятствующие проникновению злоумышленников на объекты защиты. Эти средства применяются для решения следующих задач:
охрана территории учреждения и наблюдение за ней;
охрана зданий, внутренних помещений и контроль за ними;
осуществление контролируемого доступа в здания и помещения, в которых осуществляется обработка персональных данных.
Все физические средства защиты можно разделить на три категории: средства предупреждения, обнаружения и ликвидации угроз.
Аппаратные средства — приборы, устройства, приспособления и различные технические решения, используемые для обеспечения надежной защиты персональных данных от утечки, копирования и уничтожения. По функциональному назначению аппаратные средства подразделяются на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия угрозам защищаемой информации. Аппаратные средства не обладают достаточной гибкостью, поэтому часто теряют свои защитные свойства при раскрытии принципов их действия и в дальнейшем не могут быть использованы.
Программные средства — специальные программы, программные комплексы и системы защиты персональных данных в информационных системах различного назначения, в автоматизированных средствах сбора, накопления, хранения, обработки и передачи данных, предназначенные для решения следующих задач:
идентификации технических средств, файлов и аутентификации пользователей;
регистрации и контроля работы технических средств и пользователей;
обслуживания режимов обработки защищаемой информации;
защиты операционных средств ЭВМ и прикладных программ пользователей;
уничтожения информации в запоминающем устройстве после ее использования;
выявления нарушений использования ресурсов ЭВМ или компьютерной сети.
Программные средства используются в основном для защиты персональных данных в средствах вычислительной техники с целью разграничения доступа пользователей информационных сетей к соответствующим категориям защищаемой информации, защиты от хакерских атак и вредоносных программ (вирусов) и т.д. Они весьма надежны, и период их гарантированного использования без перепрограммирования достаточно продолжителен.
Криптографические средства — специальные математические и алгоритмические средства защиты персональных данных, передаваемых по системам и сетям связи, хранимых и обрабатываемых в ЭВМ, с использованием различных методов шифрования.
Для защиты конфиденциальной информации разработано множество устройств шифрования и криптозащиты телефонных и радиопереговоров, передачи текстовых файлов. Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Они занимают важное место в системе инженерно-технических средств защиты информации и выступают надежным средством обеспечения защиты информации на длительный период.
К инженерно-техническим средствам защиты информации предъявляются следующие требования:
состояние постоянной готовности к применению;
высокая степень вероятности обнаружения попыток несанкционированного проникновения на режимный объект, к носителям защищаемой информации; высокая аппаратная надежность;
малое энергопотребление и возможность автономного электроснабжения аппаратуры; малые габаритные размеры, обеспечивающие малозаметность технических средств защиты информации;
минимальные затраты на техническое обслуживание[22].
2. Согласно требованиям ст.17 ФЗ "О лицензировании отдельных видов деятельности" деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию в порядке и на условиях, определяемых Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 30 апреля 2002г. N 290. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке с применением технических мер и использованием шифровальных (криптографических) средств, кроме того, требует, в свою очередь, оформления последним лицензий:
на техническое обслуживание шифровальных (криптографических) средств, при условии что такого рода деятельность осуществляется оператором самостоятельно;
на выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд оператора).
3. Обеспечение безопасности персональных данных при их обработке требует неуклонного соблюдения эталонных требований к работе информационных систем, автоматизированных средств обработки, материальным носителям биометрических персональных данных и технологиям их хранения. Разработку указанных требований законодатель возлагает на Правительство РФ, соответствующее постановление которого предположительно должно быть принято до вступления в силу настоящего Закона.
4. Указом Президента РФ от 16 августа 2004г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю"[23] реализация государственной политики, организация межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
1) обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры;
2) противодействия иностранным техническим разведкам на территории РФ;
3) обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;
4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;
5) осуществления экспортного контроля возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК России).
ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля. ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, приказами и директивами министра обороны РФ в части, касающейся ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России. Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями. ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы.
Статья 20.Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Комментарий к статье 20
1. Нормы комментируемой статьи во многом определяют процедуру реализации права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, закрепленного ст.14 настоящего Закона. Правом на получение информации о наличии персональных данных должны обладать только лица, имеющие законную и настоящую потребность в получении соответствующих сведений. Практическому воплощению представленного принципа способствует законодательное определение оснований, объема и условий предоставления конфиденциальных сведений, а равно круга лиц, обладающих правом на их получение.
По смыслу комментируемой статьи реализации оператором возложенной на него обязанности по предоставлению информации об обрабатываемых персональных данных, а равно их самих для ознакомления, должно предшествовать обращение или запрос субъекта на доступ к своим персональным данным, оформленное в порядке и на условиях, оговоренных настоящим Законом (см. ст.14 Закона и комментарий к ней).
Законодатель приводит исчерпывающий перечень получателей, равно как и оснований получения конфиденциальной информации, сведений о ее обработке. Такого рода перечень не подлежит расширительному толкованию и не может быть самопроизвольно увеличен, любые изменения в субъектном составе получателей могут происходить только на законодательном уровне и напрямую связаны с изменением рассматриваемого нормативного документа.
Юридическими основаниями исполнения оператором соответствующей обязанности являются:
наличие в его временном обладании персональных данных;
относимость персональных данных к личности конкретного субъекта;
необходимость получения информации в целях осуществления прав обратившегося лица;
законность и обоснованность требований субъекта или его законного представителя.
Существенным концептуальным моментом закона является круг лиц, имеющих право на получение персональных данных из информационных массивов оператора. По смыслу комментируемой статьи информация о наличии персональных данных может быть предоставлена:
субъекту персональных данных;
законному представителю последнего;
уполномоченному органу по защите прав субъектов персональных данных.
Предоставление информации о персональных данных в распоряжение указанных лиц осуществляется при условии поступления в адрес оператора обращения или запроса субъекта персональных данных (уполномоченного органа по защите прав субъектов персональных данных) о предоставлении возможности ознакомления с конфиденциальной информацией. Предоставление соответствующей информации осуществляется в части, касающейся субъекта персональных данных или необходимой уполномоченному органу по защите прав субъектов персональных данных в связи с осуществлением собственной деятельности и в пределах полученного запроса или обращения. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Законодатель предусматривает, что оператор обязан немедленно сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, а также предоставить возможность ознакомления с ними. При поступлении в адрес оператора соответствующего запроса последний подлежит исполнению в течение 10 рабочих дней с даты его получения. Дата получения запроса определяется моментом его регистрации. Регистрация документов производится в соответствии с установленным на предприятии порядком. Регистрация включает проставление на документах регистрационных штампов, а также заполнение регистрационных форм (карточек, книг, журналов, входящей корреспонденции). Нерабочими днями являются выходные дни (суббота и воскресенье при пятидневной рабочей неделе, воскресенье при шестидневной), в том числе перенесенные Правительством РФ выходные и праздничные дни.
Информация об обрабатываемых персональных данных, возможность ознакомления с ними предоставляются операторам субъекту персональных данных безвозмездно (см. п.3 ст.20 настоящего Закона) и в доступной для него форме, не содержащей персональные данные, относящиеся к другим субъектам.
2. Законодатель допускает возможность отказа оператора в предоставлении информации о наличии в его распоряжении персональных данных о соответствующем субъекте в случае обращения или запроса последнего. Доступ субъекту персональных данных может быть к ним ограничен в случаях, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц;
4) в иных случаях, предусмотренных федеральным законом в целях защиты основ конституционного строя, нравственности, здоровья других лиц.
Отказ в предоставлении субъекту персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных должен быть оформлен в письменном виде и заверен подписью руководителя оператора — юридического лица и скреплен его гербовой печатью. Отказной материал должен быть направлен субъекту персональных данных не позднее семи рабочих дней с момента получения оператором запроса последнего. В целях защиты прав и законных интересов субъектов персональных данных в процессе их обработки о каждом случае отказа в предоставлении запрашиваемой информации оператор должен информировать уполномоченный орган по защите прав субъектов персональных данных.
Статья 21.Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
Комментарий к статье 21
1. Положения комментируемой статьи определяют процедуру специальной обработки персональных данных, связанной с уточнением, блокированием или уничтожением персональных данных. Необходимость такого рода действий объясняется целью устранения нарушений действующего законодательства, возникших в ходе активной обработки персональных данных в связи с их сбором, хранением, передачей и т.п.
В качестве условий применения специальной обработки персональных данных законодатель называет случаи:
выявления недостоверных персональных данных; неправомерных действий с ними.
По смыслу комментируемой статьи инициатором применения специальной обработки персональных данных может выступать любой из участников соответствующих правоотношений:
оператор, осуществляющий обработку персональных данных;
субъект персональных данных или его законный представитель;
уполномоченный орган по защите прав субъектов персональных данных.
Выявлению недостоверных персональных данных предшествует предварительная их обработка оператором, связанная с получением подтверждающих сведений из третьих источников в порядке и на условиях, оговоренных настоящим Законом.
Неправомерные действия оператора с персональными данными связаны с несоблюдением требований настоящего Закона в части, касающейся их обработки и в первую очередь нарушения требований соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, полномочиям оператора, а также соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных (см. ст.5 настоящего Закона и комментарий к ней).
Выявление неправомерных действий оператора с персональными данными напрямую связано с реализацией права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, в порядке, определенном ст.ст.14 и 20 настоящего Закона.
В случае подтверждения оснований, необходимых для специальной обработки, оператор обязан выявить условия их возникновения и предпринять меры к устранению последних. В связи с этим с момента выявления соответствующих негативных последствий оператор обязан осуществить блокирование персональных данных на весь период последующей проверки.
2. В случае подтверждения условий, послуживших основанием временного прекращения сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи из числа обозначенных пунктом первым комментируемой статьи, законодатель предусматривает несколько вариантов дальнейшего развития ситуации, каждому из которых соответствует собственный уникальный порядок реализации.
Недостоверность персональных данных, выявленная в процессе их обработки или по запросу субъекта, требует, в свою очередь, их уточнения. В целях достижения необходимого правомерного результата законодатель допускает возможность обработки оператором персональных данных при несоответствии объема и способов обработки персональных данных ее целям. Подобного рода отступление от существующих правил возможно при условии предоставления субъектом персональных данных дополнительных сведений, необходимых в целях уточнения его персональных данных и получения последних оператором из иных источников самостоятельно при условии уведомления субъекта персональных данных и уполномоченного органа по защите прав субъектов персональных данных.
Неправомерность действий с персональными данными, явившаяся следствием нарушений требований, установленных настоящим Законом, требует привлечение виновного лица в установленном порядке к ответственности. Вместе с тем законодатель допускает применение к оператору, чья вина в подобного рода случаях презюмируется, мер общей превенции, связанных с возможностью устранения допущенных нарушений. Последнее подразумевает в первую очередь приведение в соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных. Оператор свободен в выборе способов, приемов и методов устранения имеющих место нарушений при условии законности и добросовестности их применения. В случае невозможности устранения допущенных нарушений оператор обязан уничтожить персональные данные, правомерность обработки которых вызывает сомнения.
На устранение имеющих место нарушений обработки персональных данных, равно как и на уничтожение последних, законодатель отводит три рабочих дня. Исчисление указанного срока начинается с момента выявления неправомерности действий с персональными данными или поступления в адрес оператора соответствующего запроса субъекта персональных данных или его законного представителя.
Законодатель обязывает оператора уведомлять уполномоченный орган по защите прав субъектов персональных данных обо всех действиях, проведенных в отношении персональных данных, явившихся следствием устранения выявленных нарушений в процессе обработки последних.
3. Комментируемая статья предусматривает случаи применения специальной обработки персональных данных в условиях законности и обоснованности действий с последними. К их числу относятся достижение заявленных оператором целей обработки персональных данных и отзыв субъекта персональных данных своего согласия на их обработку. Во многом последовательность действий и сроки их совершения в представленных случаях совпадают по своему содержанию с процедурой, применяемой при устранении недостатков, возникших как следствие неправомерных действий с персональными данными. Особенность оснований применения сформулированных пунктами 4 и 5 комментируемой статьи действий заключается в общей превенции деятельности оператора, имеющей своей целью предотвратить потенциальную угрозу нарушения действующего законодательства в случаях продолжения обработки персональных данных.
Статья 22.Уведомление об обработке персональных данных
Комментарий к статье 22
1. Процедура уведомления об обработке персональных данных по смыслу комментируемого Закона выступает одной из гарантий соблюдения прав и законных интересов субъектов персональных данных в процессе обработки, переданной ими конфиденциальной информации и является своеобразным механизмом контроля и надзора за деятельность оператора.
Комментируемая статья, определяя порядок уведомления, его форму и содержание, вместе с тем содержит далеко не полные основания и условия его осуществления. По смыслу буквального толкования п.1 комментируемой статьи уведомление об обработке персональных данных должно предшествовать началу деятельности оператора. Иными словами, оператор в момент его регистрации в установленном качестве, определения целей его деятельности, применяемых способов и методов обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своих намерениях.
Применение уведомительного порядка о начале деятельности во многом свойственное явление отечественной правовой системе и, как правило, не влечет каких-либо правовых последствий в отношении субъекта, его применяющего. Отчасти их наступление связано с самоустранением обязанного лица от выполнения требуемых действий. Применительно к тексту комментируемого Закона действия оператора будут расценены не иначе как неправомерное использование полученных им персональных данных и их незаконная обработка (см. ст.21 настоящего Закона и комментарий к ней).
Следует подчеркнуть, что в тексте рассматриваемой статьи законодатель допускает уведомительную процедуру лишь в случаях, предшествующих началу профессиональной деятельности оператора. Однако анализ всей совокупности представленных законодательных положений позволяет отметить, что уведомление об обработке персональных данных, как это сформулировано в заглавии настоящей статьи, должно иметь место в ряде случаев:
уточнение, блокирование или уничтожение персональных данных в порядке, оговоренном ст.21 настоящего Закона;
изменение сведений, обусловливающих законность деятельности оператора (см. п.7 комментируемой статьи);
достижение целей обработки персональных данных или отзыв субъектом персональных данных своего согласия на их обработку.
2. Законодатель допускает возможность оператора осуществлять обработку персональных данных без предварительного уведомления об этом уполномоченного органа по защите прав субъектов персональных данных. Сформулированный пунктом вторым комментируемой статьи перечень подобного рода случаев основывается на принципе внутреннего использования персональных данных, исключающем возможность их распространения за рамки правоотношений, существующих между оператором, осуществляющим их обработку, и субъектом, их передавшим. Исключение из названного принципа представляют собой случаи обработки персональных данных, отнесенных к разряду общедоступных сведений; обрабатываемых без использования средств автоматизации; включенных в состав федеральных автоматизированных информационных систем, созданных с целью защиты безопасности государства и общественного порядка или содержащих исключительно фамилию, имя и отчество лица.
Общим для всех представленных в статье ситуаций является минимизация возможной утраты обрабатываемых персональных данных либо неправомерного доступа к ним, способного повлечь негативные последствия для личности их обладателя.
3. Законодатель устанавливает жесткие требования относительно формы уведомления и способа его передачи. Уведомление должно быть составлено исключительно в письменной или электронной форме и подписано соответственно уполномоченным лицом или электронной цифровой подписью.
Электронным признается документ, в котором информация представлена в электронно-цифровой форме. Электронные документы по содержанию должны соответствовать документам, составленным на бумажном носителе, требования к которым установлены федеральными законами. Электронный документ приобретает юридическую силу после его подписания электронными цифровыми подписями соответствующих должностных лиц. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
Содержание уведомления должно строго соответствовать представленному пунктом третьим комментируемой статьи перечню сведений.
4. Заинтересованное лицо вправе осуществлять деятельность в качестве оператора в соответствии с настоящим Законом только после внесения соответствующих сведений о нем в реестр операторов. Таким образом, с включением в реестр операторов законодатель связывает момент создания и начала деятельности последних, наделения их правами и обязанностями в части, касающейся обработки персональных данных. Ведение реестра операторов возложено на уполномоченный орган по защите прав субъектов персональных данных.
Реестр операторов является составной частью единого государственного реестра и представляет собой разновидность государственных информационных ресурсов общего пользования. Формирование рассматриваемого реестра, а равно его информационное накопление подчиняется единым принципам, методам и формам ведения государственных реестров, что, по логике законодателя, должно обеспечивать единство и сопоставимость поступающих в него сведений. Целью ведения реестра операторов является накопление и обобщение сведений о деятельности последних, повышение уровня контроля за их деятельностью, создание надежной системы защиты прав и законных интересов субъектов персональных данных. Реестр операторов может вестись как на бумажных, так и на электронных носителях. При несоответствии между записями на бумажных носителях и электронных носителях приоритет имеют записи на бумажных носителях, если не установлен иной порядок ведения реестра. Ведение реестра на электронных носителях осуществляется в соответствии с едиными организационными, методологическими и программно-техническими принципами, обеспечивающими совместимость и взаимодействие реестра с иными федеральными информационными системами и сетями.
В реестре операторов подлежат отражению:
записи о государственной регистрации при создании, реорганизации, ликвидации заинтересованных лиц в качестве оператора персональных данных;
записи о государственной регистрации изменений, вносимых в учредительные документы указанных субъектов;
записи об изменении сведений, содержащихся в реестре операторов в соответствии с комментируемым Федеральным законом;
документы, представленные в регистрирующий орган в соответствии с настоящим Федеральным законом.
Внесение записи об операторе персональных данных в соответствующий реестр осуществляется на основании его уведомления, переданного в уполномоченный орган в порядке и на условиях, определенных комментируемым Законом. Основанием для внесения соответствующей записи в реестр является решение, принятое уполномоченным органом по защите прав субъектов персональных данных по документам, представленным в процессе его уведомления.
Ведение реестра осуществляет Федеральная служба по надзору в сфере связи, которая при наличии условий, определенных в соответствии с настоящим Законом, включает операторов в реестр путем внесения в реестр соответствующих записей, изменяет сведения, содержащиеся в указанных записях, исключает операторов из реестра путем дополнения ранее внесенных записей сведениями об исключении операторов из реестра. Принятие решения о включении операторов в реестр, исключении операторов из реестра осуществляется на основании результатов анализа информации, полученной от операторов и иных источников и свидетельствующей о занятии оператором связи существенного положения в сети связи общего пользования либо о прекращении оснований для нахождения оператора связи в реестре. В случае изменения сведений об операторе, содержащихся в реестре лицензий, эти изменения в течение десяти рабочих дней вносятся в реестр. Внесение указанных изменений в реестр производится на основании приказа Федеральной службы по надзору в сфере связи и не приводит к изменению регистрационного номера соответствующей записи в реестре. Информация реестра публикуется на сайте Федеральной службы по надзору в сфере связи информационного портала Министерства информационных технологий и связи РФ. Операторы, включенные в реестр, а также другие заинтересованные юридические и физические лица могут получить выписку из реестра по письменному обращению.