Основные положения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». 2

 

 

 

 

 

Контрольная работа

по дисциплине

«ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В ЮРИДИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ»

 

тема: «Основные положения Федерального закона

от 27.07.2006 №152-ФЗ «О персональных данных»

 

 

 

 

 

 

 

Выполнил:

 

 

Проверил:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СОДЕРЖАНИЕ

 

 

  1. Введение
  2. Определение персональных данных
  3. Принципы и условия обработки персональных данных
  4. Контроль и надзор за обработкой персональных данных
  5. Заключение

Список используемой литературы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики. Специфика ее заключается в необходимости создания оптимального правового механизма оборота и защиты персональных данных, учитывающего в равной степени публично-правовой интерес государства и частноправовой интерес индивида. Решению этой проблемы должны послужить как глубокие теоретические исследования, в том числе сравнительно-правовые, так и анализ накопленной правоприменительной практики. Решение этой проблемы невозможно также без мониторинга состояния рынка информационных технологий, продуктов и услуг и отслеживания общих тенденций развития информационного общества.

Нужно ли защищать информацию о конкретном человеке, которая позволяет его идентифицировать? Для большинства людей этот вопрос уже решен. Законодательства многих стран, прежде всего, их конституции, содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, запрет на сбор информации о человеке без его согласия.

Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить «информационную приватность» становится все более ощутимым. Собственно говоря, именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой - создали очевидные угрозы их незаконного оборота, что ведет к нарушениям прав личности.

Нужно ли особым образом защищать персональные данные, если и без этого существуют режимы личной, семейной, профессиональной, государственной, коммерческой, служебной тайн?

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для нашей страны. Это связано с тем, что 26 января 2007 года вступил в силу Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»1. В этом законе сформулированы требования по защите персональных данных. Важно отметить, что требования данного закона являются обязательными и для коммерческих, и для государственных организаций.

Кроме того, стоит отметить, что Федеральный закон №152-ФЗ не является единственным нормативно-правовым актом, регламентирующим положение о персональных данных. Существует ряд нормативных и методических документов ФСТЭК и ФСБ России. Согласно этим документам, обеспечение безопасности персональных данных является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем.

В рамках этой контрольной работы будут рассмотрены основные положения именно закона «О персональных данных».

 

Определение персональных данных

 

Согласно статье 3 Федерального закона №152-ФЗ персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Исходя из общих принципов конфиденциальности персональных данных и требований Федерального закона №152-ФЗ запрещено разглашение таких данных оператором третьим лицам. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Под оператором персональных данных законодатель подразумевает государственный либо муниципальный орган, юридическое или физическое лицо, которые организуют или осуществляют обработку персональных данных, заключающуюся в их сборе, записи, систематизации, накоплении, хранении, уточнении, извлечении, использовании, передаче, обезличивании, блокировании, удалении и уничтожении. Таким образом, любая организация или государственный муниципальный орган становится оператором персональных данных с момента получения в распоряжение данных любого лица (работника, подрядчика) и обязана обеспечить их защиту в соответствии с требованиями Федерального закона №152-ФЗ.

Надо отметить, что разработка определения такого сложного и несколько абстрактного понятия, как персональные данные, не могла не вызвать затруднений, однако закрепленное в Федеральном законе №152-ФЗ определение, главным смысловым звеном которого является понятие «определение» (или «идентификация»), представляется все же вполне удачным. Именно свойство идентификации (определения) является тем признаком, который позволяет вычленить из общего массива сведений об индивиде те данные, с помощью которых он (индивид) может быть с точностью идентифицирован (определен). Например, личные беседы, которые ведет лицо с кем-либо, относятся к отношениям, охватываемым понятием «частная жизнь», однако не относятся к персональным данным, так как не позволяют идентифицировать субъекта.

Как следует из определения персональных данных, их субъектом может быть только физическое лицо (живущее или умершее). Реквизиты юридических лиц персональными данными не являются! Хотя на стадии подготовки законопроекта отдельными исследователями высказывались мнения, что персональными данными могут обладать и юридические лица. Однако в итоге российский законодатель справедливо рассудил, что в создании нового для российской системы права института логичнее и целесообразнее придерживаться уже сформировавшейся концепции, существующей в других странах.

Отмечая бесспорную ценность предложенного законодателем определения персональных данных, необходимо, тем не менее, обратить внимание на следующие обстоятельства.

Первое. Не вся информация имеет одинаковое значение для идентификации того или иного лица. Если, например, фамилия, имя, отчество, дата и место рождения в своей совокупности, как правило, позволяют идентифицировать лицо, то такие данные, как семейное, социальное, имущественное положение, образование, профессия и др., не позволяют, как правило, сами по себе этого сделать. Для того чтобы с их помощью идентифицировать лицо, нужно их «привязать» к номинативной, т.е. знаковой в этом смысле информации, а именно к фамилии, имени, отчеству, дате и месту рождения.

Второе. Свободный оборот номинативной информации (иногда в литературе ее называют первичными идентификационными данными), как правило, не может причинить какого-либо ущерба индивиду. В то же время оборот номинативной информации вкупе, например, с информацией о доходах, судимости, перенесенных заболеваниях и т.п., безусловно, такой ущерб может нанести. Из этого следует, что далеко не всякая информация о лице и ее свободный оборот представляют для него угрозу, а только ее определенный набор. Именно такой набор данных о конкретном лице не должен находиться в свободном обороте.

Персональные данные исключительно разнообразны и разнородны. Их можно по-разному классифицировать, объединять в различные группы в зависимости от избранного критерия и цели классификации. При этом любая классификация будет достаточно условной, так как некоторые сведения могут в равной степени относиться сразу к нескольким группам. Поэтому правовое регулирование такого сложного института, как институт персональных данных, должно быть гибким и многовариантным.

Федеральный закон №152-ФЗ выделяет три вида персональных данных:

- общедоступные персональные данные;

- специальные категории персональных данных;

- биометрические персональные  данные.

В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования.

Общедоступные персональные данные - это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Прежде всего, нужно отметить, что до настоящего времени федеральными законами такие требования не установлены. Далее, следуя логике данного определения, можно сказать, что общедоступными персональными данными с согласия субъекта могут стать любые персональные данные, в том числе биометрические и относящиеся к специальным категориям. Главным условием здесь является согласие (или волеизъявление) субъекта персональных данных. Действительно, каждый вправе издать собственный политический манифест или автобиографическую книгу с подробностями личной жизни. Это есть не что иное, как проявление свободы слова.

Особую группу персональных данных представляют собой специальные категории персональных данных. Согласно части 1 сттатьи 10 Федерального закона №152-ФЗ к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные представляют собой особую и весьма специфическую группу персональных данных, характеризующих физиологические особенности человека. К таким особенностям относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаза, анализ ДНК и т.п.

Идентификация личности по совокупности биометрических признаков издавна практикуется в криминалистике - достаточно вспомнить знаменитый метод антропометрии (бертильонажа), использовавшийся европейской полицией в конце XIX в. и позволявший идентифицировать лиц, совершивших повторные преступления.

В соответствии со статьей 11 Федерального закона №152-ФЗ сбор и обработка биометрических персональных данных осуществляются, как правило, в рамках реализации полномочий государственных органов в области безопасности, оперативно-розыскной деятельности, уголовно-исполнительного производства, исполнения законодательства Российской Федерации о порядке въезда в страну и выезда из страны и о государственной службе.

 

Принципы и условия обработки персональных данных

 

В настоящее время необходимость создания комплексного правового регулирования вопросов сбора, хранения, обработки и передачи персональных данных граждан очевидна и не подвергается сомнению, однако так было не всегда. С началом применения технологии в деле сбора и обработки информации выявились два различных подхода к этому вопросу: позитивный и негативный. Сторонники негативного подхода считали, что разработка специальной правовой процедуры для сбора и обработки персональных данных не требуется. По их мнению, информатика не внесла ничего нового в эту область. Сведения о населении собирались всегда, и в чисто техническом отношении не было резкого перехода от ручных картотек к электронным.

Аргументация сторонников позитивного подхода строилась на одном из основных законов материалистической диалектики о переходе количественных изменений в качественные. В соответствии с ним применение информатики создало качественно новую ситуацию в обработке информации, в том числе информации о гражданах. Возможность быстрого аккумулирования, группировки, сопоставления и распространения данных средствами электронной коммуникации создает условия для легкого доступа к этим данным. В связи с этим необходимо создание качественно нового правового регулирования вопросов сбора и обработки информации о гражданах, учитывающего особенности автоматизированной обработки этой информации.

Итак, именно с началом применения автоматизированной обработки информации, т.е. обработки с помощью средств электронной техники и технологии, появилась необходимость в особой правовой регламентации этой деятельности.

Появление Интернета с его неограниченными возможностями накопления, передачи и синтеза информации поставило вопрос о защите персональных данных, содержащихся в автоматизированных информационных системах, на качественно иной уровень.

Федеральный закон №152-ФЗ регулирует отношения, связанные с обработкой персональных данных, осуществляемые с использованием средств автоматизации или без использования таких средств, если последнее соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Согласно пункту 10 статьи 3 Федерального закона №152-ФЗ информационная система персональных данных - это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Прежде чем приступить к рассмотрению вопросов, связанных с собственно обработкой персональных данных, затронем вопрос о принципах обработки персональных данных (статья 5 Федерального закона №152-ФЗ). К ним, в частности, относятся:

- принцип законности целей и  способов обработки персональных  данных и добросовестности;

- принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- принцип соответствия объема  и характера обрабатываемых персональных  данных, способов их обработки  целям обработки;

- принцип достоверности персональных  данных, их достаточности для  целей обработки, недопустимости  обработки персональных данных, избыточных по отношению к  заявленным оператором целям;

- принцип недопустимости объединения  созданных для несовместимых  между собой целей баз данных информационных систем персональных данных.

Перечисленные принципы обработки персональных данных являются, по сути, лишь принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов. Однако принципы обработки не есть принципы оборота. Если принять во внимание, что целью рассматриваемого Федерального закона №152-ФЗ является «обеспечение защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну», то можно сделать вывод о том, что принципами данного Закона должны, скорее, являться более общие и основополагающие положения. Такими принципами могут быть, например, принцип добровольности предоставления персональных данных субъектом, принцип законности деятельности операторов и т.п.

Между тем, по мнению многих авторов, исследующих вопрос обработки персональных данных, главным принципом обработки персональных данных должна являться добровольность их предоставления для обработки субъектом персональных данных (статья 6 Федерального закона №152-ФЗ). По общему правилу лицо вправе давать или не давать согласие на обработку своих персональных данных тому или иному оператору. Субъект персональных данных имеет также право свое согласие отозвать. Статьей 6 Федерального закона установлены случаи, когда согласие субъекта персональных данных на обработку его персональных данных не требуется.

Обработка персональных данных, осуществляемая в государственных и муниципальных информационных системах персональных данных, может иметь особенности, установленные федеральными законами. К этим особенностям можно отнести и рутинное использование, и применение идентификаторов, и создание закрытых информационных систем, т.е. многое из того, что Федеральным законом №152-ФЗ по тем или иным причинам не урегулировано.

Важной теоретической и практической проблемой, связанной с вопросом обработки персональных данных, является проблема правового статуса оператора. Как известно, правовой статус складывается из право- и дееспособности и комплекса прав и обязанностей.

Надо сказать, в нынешней редакции Федерального закона №152-ФЗ правовой статус оператора разработан слабо. Об этом свидетельствует огромное количество вопросов, поступающих специалистам по правовому регулированию оборота персональных данных.

Согласно нормам Федерального закона №152-ФЗ оператор обладает следующими правами:

- правом устанавливать цели  сбора персональных данных;

- правом устанавливать сроки  хранения и способы обработки  персональных данных;

- правом определять в установленных Законом пределах средства и методы защиты информационных систем данных, определять регламент работы информационных систем данных;

- правом собирать персональные  данные из общедоступных источников  или с согласия субъекта персональных  данных.

Важнейшей обязанностью оператора при осуществлении обработки персональных данных является организационная и техническая защита баз персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (статья 19 Федерального закона №152-ФЗ).

Требования к обеспечению безопасности, в том числе требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем, установлены Постановлениями Правительства РФ от 1 ноября 2012 г. №1119 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Данными нормативными актами установлены общие и специальные технические и организационные требования к защите содержащихся в информационных системах персональных данных, в том числе биометрических. Конкретные средства и методы защиты (включая криптографические) устанавливаются ФСТЭК России и ФСБ России. Информационные системы должны проходить обязательную процедуру классификации в зависимости от объема обрабатываемых данных и степени возможных угроз. Порядок прохождения классификации установлен в совместном приказе этих ведомств и Мининформсвязи России. Нормативно-методические документы ФСТЭК России определяют порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации). Нормативно-методические документы ФСБ России регламентируют порядок применения криптографических средств для защиты персональных данных и содержат рекомендации по выполнению этих работ.

Особого внимания заслуживает тема прав субъекта персональных данных в отношении обработки персональных данных. Ведь именно обеспечение прав личности является одной из важнейших целей законодательства о персональных данных.

Права субъекта персональных данных можно условно разделить на три группы: права в отношении оператора (например, право на отказ в предоставлении персональных данных); права в отношении обработки персональных данных (например, право на блокирование данных); права по обжалованию и защите интересов (например, право на возмещение вреда). Все эти права позволяют самому субъекту осуществлять контроль за сбором и обработкой его персональных данных на разных стадиях этого процесса.

Прежде всего, как уже отмечалось ранее, в ряде случаев субъект персональных данных имеет право отказаться от обработки своих персональных данных или отозвать уже данное согласие (статья 9 Федерального закона №152-ФЗ). Далее, субъект персональных данных имеет право на информацию об операторе (о месте его нахождения, о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных), а также имеет право на ознакомление с этими данными. Если, по мнению субъекта персональных данных, его данные являются устаревшими, неполными, недостоверными, незаконно полученными или являются избыточными для заявленной цели обработки, субъект персональных данных имеет право путем обращения или направления соответствующего запроса оператору требовать уточнения, блокирования или уничтожения содержащихся у оператора персональных данных.

 

Контроль и надзор за обработкой персональных данных

 

Прежде чем говорить о самом контроле и надзоре, следует определить орган, который уполномочен защищать права субъектов персональных данных. Таким органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона №152-ФЗ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (статья 23 Федерального закона №152-ФЗ.). В соответствии с постановлением Правительства от 16 марта 2009 года №228 таким органом определена Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации2.

Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, а именно:

  • запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
  • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
  • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона №152-ФЗ;
  • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
  • направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
  • вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
  • привлекать к административной ответственности лиц, виновных в нарушении Федерального закона №152-ФЗ.

Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.

Уполномоченному органу также должна обеспечиваться конфиденциальность.

Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:

  • организовывать в соответствии с требованиями Федерального закона №152-ФЗ и других федеральных законов защиту прав субъектов персональных данных;
  • рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
  • вести реестр операторов;
  • осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
  • принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
  • информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
  • выполнять иные предусмотренные законодательством Российской Федерации обязанности

Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

 

Заключение.

 

В заключение хотелось бы отметить, что вопросы защиты персональных данных на сегодня являются одними из наиболее актуальных. Это связано как с возросшей степенью внимания государства к обеспечению защиты граждан и неприкосновенности личной жизни каждого гражданина, так и с повышением общего уровня правосознания граждан. Происходит смещение личностных ценностей из сферы исключительно материальных благ в сторону правового поля. Именно поэтому в современных реалиях следует уделять значительное внимание безопасности личной (персональной) информации о каждом гражданине. Это поможет руководителям в ежедневной деятельности предприятий (детальная систематизация и регламентация внутренних процессов), а также повысит чувство трудового комфорта и сформирует у сотрудников ощущение их защищенности, обеспечиваемой работодателем.

Основные положения Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». 2