Помоги проекту - поделись книгой:
Придерживаясь избранной терминологии, оператором следует считать любое лицо, работающее с информационной системой персональных данных, независимо от оснований получения доступа к работе с последней. Оставив за рамками сформулированного определения требование к законности деятельности, законодатель сознательно допускает свободный допуск к охраняемой информации, фактически устанавливая заведомую законность деятельности оператора, единственным ограничением на пути которого выступает необходимость получения согласия субъекта персональных данных на последующую работу с ними.
Кроме того, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учета персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.
4. По своему содержанию "обработка персональных данных" достаточно объемное понятие, перечень составляющих ее действий (операций), по логике авторов настоящего документа, не является исчерпывающим. Фактически обработка персональных данных включает в себя любые операции с ними от сбора до полного уничтожения последних. Представив рассматриваемое понятие таким образом, законодатель в очередной раз подтвердил статус персональных данных в качестве особой информационной категории, нуждающейся в достаточно специфическом механизме правовой защиты.
Комментируемый Закон определяет общие условия и принципы обработки персональных данных, устанавливая единые на всей территории страны правовые основы работы с ними. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:
а) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
б) при определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией РФ и настоящим Федеральным законом, иными законодательными и подзаконными актами;
в) все персональные данные субъекта следует получать у него самого, третьих лиц при наличии на то согласия их носителя, за исключением случаев, когда законом не предусмотрена обязательность его получения;
г) обработка персональных данных должна осуществляться при условии законности целей и способов обработки, соответствия данных целей, заранее определенным и заявленным при сборе, а также полномочиям оператора, соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
д) персональные данные, задействованные в обработке, должны отвечать требованиям достоверности и достаточности для целей обработки;
е) обработка персональных данных является недопустимой в случае избыточности последних применительно к целям, заявленным при сборе персональных данных, а равно осуществляемая в несовместимых с ней целях;
ж) обработка персональных данных не должна служить основанием ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки;
з) защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена оператором в процессе их обработки за счет его средств и в порядке, установленном настоящим Федеральным законом;
и) оператор должен своевременно вырабатывать меры защиты персональных данных субъектов.
Кроме того, персональные данные, проходящие автоматическую обработку:
1) должны быть получены и обработаны добросовестным и законным образом;
2) должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
3) должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
4) должны быть точными и в случае необходимости обновляться;
5) должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
По смыслу комментируемой статьи "обработка персональных данных" представлена как в широком, так и в узком своем значении. В первом случае предложенным термином охватываются все без исключения действия (операции), проводимые с персональными данными, второе -включает в себя лишь те, разъяснение которых содержится в тексте настоящей статьи (использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных).
Такого рода правовое деление объяснимо тем, что в своем процессе обработка персональных данных проходит две стадии: формирование информационной системы персональных данных и последующие операции с ними с использованием средств автоматизации или без их применения. В отношении каждой из представленных стадий действуют свои правовые механизмы, регулирующие поэтапную процедуру ее реализации.
В целях обеспечения защиты конфиденциальности персональных данных, создания и эксплуатации информационной системы, согласно требованиям настоящего Закона, в обязательном порядке должно предшествовать согласие субъекта персональных данных на их обработку. В остальном порядок создания информационной системы и последующей ее эксплуатации определяется положениями иных нормативных актов, затрагивающих иные стороны общественной жизни, существование которых так или иначе связано с работой с персональными данными. В частности, процедура сбора, систематизации, накопления, хранения, уточнения персональных данных регламентирована:
ФЗ от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе", определяющим порядок сбора, хранения, обработки сведений, в целях организации и осуществления воинского учета граждан, призыва граждан на военную службу, заключения с ними контракта о прохождении военной службы и т.п.;
Трудовым кодексом РФ — в части, касающейся информации, необходимой работодателю в связи с трудовыми отношениями;
ФЗ от 27 мая 1998г. N 76-ФЗ "О статусе военнослужащих" — в части обеспечения декларируемых прав военнослужащих, реализации предоставляемых им социальных гарантий;
ФЗ от 15 декабря 2001г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации" — процесс формирования информационных банков данных в отношении страхователя и застрахованных лиц в целях осуществления обязательного пенсионного страхования;
ФЗ от 1 апреля 1996г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования" — в целях создания условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица; обеспечения достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении; создания информационной базы для реализации и совершенствования пенсионного законодательства РФ, а также для назначения трудовых пенсий на основе страхового стажа застрахованных лиц и их страховых взносов; создания условий для контроля за оплатой страховых взносов застрахованными лицами; информационной поддержки прогнозирования расходов на выплату трудовых пенсий, определения тарифа страховых взносов в Пенсионный фонд РФ, расчета макроэкономических показателей, касающихся обязательного пенсионного страхования;
ФЗ от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния" — в части обеспечения процедуры государственной регистрации актов гражданского состояния; формирования актовых книг, внесения в них исправлений, изменений; восстановления и аннулирования записей актов гражданского состояния; иными законодательными и подзаконными нормативными актами, регулирующими общественные отношения в области предпринимательской деятельности, формирования судейского корпуса, органов законодательной и исполнительной власти всех уровней, прохождения государственной гражданской и иной службы, осуществления оперативно-розыскной, следственной, судебной и иной процессуальной деятельности, охраны государственной, коммерческой, банковской, налоговой и иных видов тайн и т.д.
5. Действия оператора по распространению, использованию, блокированию, уничтожению, обезличиванию персональных данных осуществляются в рамках созданной им информационной системы при соблюдении необходимых технических и иных мер защиты последних от неправомерного или случайного доступа к ним, а также от незаконного уничтожения, копирования, распространения и иных неправомерных действий. Обработка персональных данных в информационных системах, в том числе в ходе их обнародования в средствах массовой информации, размещения в информационно-телекоммуникационных сетях осуществляется в соответствии с действующими требованиями к обеспечению безопасности конфиденциальной информации. Кроме получения согласия субъекта персональных данных на их обработку, до момента распространения, использования, блокирования, уничтожения, обезличивания информации, оператор обязан поставить в известность уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
В случаях нахождения в информационных системах неполных, устаревших, недостоверных или незаконно полученных персональных данных, право инициировать их блокирование или уничтожение, по смыслу настоящего Закона, наряду с оператором предоставляется субъекту персональных данных, который тем самым реализует возможности своего доступа к ним.
Декларируя то, что персональные данные в отдельных случаях могут быть уничтожены, законодатель тем самым создает потенциальные возможности для различного рода махинаций, коррупционных проявлений и иных умышленных или случайных нарушений прав граждан без возможности последующего восстановления в своих правах. Вводя термин "уничтожение персональных данных", авторы законопроекта не предусмотрели возможность существования копий уничтожаемых данных, хотя очевидно, что данные можно считать уничтоженными не только в случае невозможности дальнейшего восстановления содержания данных в информационной системе, но и при одновременном уничтожении всех копий этих данных во всех других информационных системах, включая резервные. Для стабильной и пригодной к эксплуатации в целях управления общественными отношениями работы систем учета населения эти системы должны хранить не только сами данные о людях, но и сведения обо всех изменениях в самой системе хранения данных.
В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в информационных системах предполагается возможность создания государственного регистра населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом (см. ст.13 настоящего Закона и комментарий к ней).
6. Организационно упорядоченная совокупность персональных данных (их массивов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы, представляет собой еще один немаловажный объект рассматриваемых отношений — информационная система.
Информационные системы включают в себя:
1) государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Законом не предусматривается никаких различий между информационными системами, использующими персональные данные граждан, применяющимися в органах государственной власти и негосударственных структурах. Также не имеет принципиального различия форма накопления банков персональных данных в информационных системах. Последние могут быть представлены как в электронном виде, так и на бумажных носителях.
Наиболее распространенными видами информационных систем на сегодняшний день являются:
библиотека;
архив;
фонд;
банк данных.
Технические средства, предназначенные для обработки информации, содержащейся в информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства РФ о техническом регулировании.
Средства обеспечения автоматизированных информационных систем и их технологий подразделяются на:
программные (программы для электронных вычислительных машин); технические (средства вычислительной техники и связи); лингвистические (словари, тезаурусы и классификаторы);
организационно-правовые (инструкции и методики; положения, уставы, должностные инструкции, схемы и их описания, другая эксплуатационная и сопроводительная документация).
В целях создания условий для согласованного функционирования и взаимодействия операторов, органов по защите прав субъектов персональных данных, обеспечения прав, законных интересов и безопасности субъектов персональных данных, возникает необходимость в формировании единого информационного пространства, посредством интеграции разрозненных банков персональных данных, накопленных в процессе их обработки.
Формированию единой информационной системы персональных данных предшествует прохождение следующих этапов:
достаточность накопления конфиденциальной информации в базе данных, соответствующих целям и способам их обработки;
разработка унифицированных информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.
Ценность и эффективность функционирования создаваемой информационной системы во многом будет определяться, прежде всего, ее информационными ресурсами, полнотой, достоверностью и регулярностью их поступления не только из центральных, но и региональных источников. Таким образом, формирование информационной системы персональных данных предполагает усиление работы по ее созданию как в общефедеральном масштабе, так и на уровне территорий, посредством деятельности региональных опорных зон информатизации, выступающих одновременно коммуникационными системами транзитной транспортировки данных в единый центр. Тем самым принцип комплексного согласованного развития всех элементов системы должен стать основополагающим для становления и совершенствования единой информационной технологии в сфере обработки персональных данных. При этом в качестве начальных условий принимается существующее состояние дел в информатизации указанной деятельности.
По своей правовой природе любая информационная система является сложным (составным) объектом, отдельно взятые элементы (модули) которого могут охраняться в рамках различных правовых институтов.
Создание информационной системы персональных данных предполагает широкомасштабную компьютеризацию процессов переработки информации во всех сферах деятельности и активное использование телекоммуникационных систем информационного обмена. Основными "инструментами" этого процесса являются информационные технологии, технологии связи, технические средства их реализации. Последние представляют собой всю совокупность программных, технических и организационно-экономических средств, объединенных структурно и функционально в целях осуществления поиска, сбора, хранения, обработки, предоставления, распространения информации, а равно совокупность содержащихся в базах данных информации для повышения эффективности функционирования социально-экономических объектов или структур. Информационные технологии и технические средства являются системообразующим элементом информационного пространства, определяющим уровень реального использования информации в качестве ресурса. Применение в комплекте средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.
В целях обеспечения физической сохранности персональных данных, защиты их от искажения и уничтожения, действующим законодательством предусмотрена обязательная процедура лицензирования деятельности по технической защите конфиденциальной информации в процессе работы с ней (см. Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"[11]).
Кроме того, в указанных целях предусмотрена обязательная процедура сертификации средств обеспечения автоматизированных информационных систем и информационных технологий, предназначенных для работы с персональными данными, направленная на обеспечение их защиты от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию.
7. Включение информации в разряд конфиденциальной подразумевает соответствие последней следующим обязательным условиям: отсутствие свободного доступа к ней; наличие достаточного механизма ее защиты.
Последний, в свою очередь, включает в себя комплекс организационных, технических и юридических мероприятий, обеспечивающих информационную безопасность.
По замыслу авторов рассматриваемого Закона юридическое обеспечение конфиденциальности персональных данных требует обязательного согласия субъекта персональных данных на их обработку оператором или иными лицами, которым на законных основаниях был предоставлен доступ к персональным данным. В отдельных случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Следует отметить, что комментируемая статья несколько сужает представление о конфиденциальности персональных данных, сводя последнее к ограничениям, связанным с их распространением. Как уже было отмечено, конфиденциальность информации, в целях предотвращения угроз ее утечки, хищения, утраты, искажения или подделки должна охватывать весь процесс ее обработки (см. ст.9 настоящего Закона и комментарий к ней).
Оператор должен постоянно извещать обладателя персональных данных о проводимых в отношении последних операциях. Требование такого рода, с одной стороны, обусловлено требованиями повышенной защиты персональных данных, с другой — связано с созданием условий реализации права субъекта персональных данных на отзыв собственного согласия.
По смыслу комментируемого Закона требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме того, обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.
8. Необходимость трансграничной передачи персональных данных диктуется требованием их правовой защиты за пределами РФ, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться на их территории.
Трансграничная передача представляется законодателем в качестве одного из самостоятельных этапов их обработки. По своей юридической природе последний во многом приближен к обнародованию персональных данных, т.к. связан с их распространением неограниченному кругу лиц. Подчиняясь общим правилам обработки персональных данных, в том числе и требованию сохранения их конфиденциальности, трансграничная передача в то же время имеет свои особенности. Согласно ст.12 настоящего Закона осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства-получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни при передаче персональных данных.
Статья 4.
Законодательство Российской Федерации в области персональных данных
Комментарий к статье 4
1. Комментируемая статья определяет состав основных нормативных актов, формирующих систему законодательства в области персональных данных, их структуру и содержание. Законодательство в области персональных данных складывается из отдельных норм Конституции РФ, международно-правовых положений, настоящего Федерального закона, иных федеральных законов, определяющих случаи и особенности обработки персональных данных, принимаемых на основании и во исполнение последних органами государственной власти в пределах их компетенции нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных.
Как видно из приведенного перечня, законодательство в области персональных данных представляет собой одноуровневую систему, складывающуюся исключительно из норм федерального законодательства. Подобная законодательная оговорка, обусловлена тем обстоятельством, что в соответствии с подп."в" п.1 ст.71 Конституции РФ регулирование прав и свобод человека и гражданина как одних из высших демократических ценностей отнесено к исключительному ведению РФ. Следует отметить, что субъекты РФ при этом правомочны регулировать рассматриваемую группу правоотношений в части касающейся конкретизации условий реализации и соблюдения прав. Принимаемые ими нормативные акты должны соответствовать установленным федеральными законами общим принципам и не могут придать им смысл, который означает по сути ограничение прав и свобод. Подобной позиции придерживается и Конституционный Суд РФ, который неоднократно в своих определениях отмечал, что Федерации принадлежит принципиальное первичное конституционно-правовое регулирование прав и свобод, установление их единых федеральных стандартов, способов, средств и порядка защиты.
2. Построение системы законодательства в области персональных данных обусловлено строгой иерархичностью и соподчинением. Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. На органы государственной власти возлагается обязанность обеспечить каждому возможность ознакомления с документами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ЕТЗ N 108 (28 января 1981г.)[12], которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, в том числе включенными в настоящее издание. Однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв правила игры, то есть сформированную Сообществом систему ценностей. Вместе с тем, придерживаясь конституционного принципа о включении общепризнанных принципов и норм международного права и международных договоров РФ в состав национальной правовой системы (ст.15 Конституции РФ), законодатель подчеркивает преимущественное положение последних в области правового регулирования обработки персональных данных, при условии если международным договором РФ установлены иные правила, чем предусмотренные законом.
3. Основополагающим нормативным актом в области обращения персональных данных выступает настоящий Закон. Все иные нормативные акты, принимаемые после его подписания, не должны ему противоречить, ранее действующие же — приведены в соответствии с ним. В случае возникновения противоречий приоритет должен отдаваться комментируемому Закону. Последний был принят Государственной Думой 8 июля 2006г., одобрен Советом Федерации 14 июля 2006г. и подписан Президентом РФ 27 июля 2006г. Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006г. N 165. Согласно п.1 ст.25 настоящего Закона момент вступления последнего в законную силу определен истечением 180 дней с момента его официального опубликования.
Рассматриваемый документ представлен в виде 6 глав, включающих в себя 25 статей. В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств. Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных. Операторы, осуществляющие обработку персональных данных до вступления в силу Закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 г.
4. В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы. Последние условно можно разделить на две самостоятельные группы: 1) принятые до настоящего Закона и приведенные в соответствие с ним; 2) принятые на основании и в исполнение положений последнего.
В первой группе можно выделить:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т.е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003г. N 61-ФЗ[13], регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
Федеральный закон от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[14] дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;
Федеральный закон от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.
Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993г. N 5487-1, Законах РФ от 21 июля 1993г. N 5485-1 "О государственной тайне", от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст.137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".
Вторая группа только предстоит формированию.
5. Важная роль в организации работы с персональными данными принадлежит Президенту РФ, Правительству РФ, органам государственной власти и управления, нормативные правовые акты которых создают организационную основу применения соответствующих законодательных положений. Они формируют существо повседневного регулирования обработки и защиты персональных данных. В числе основных здесь можно отметить: Приказ Минсельхоза РФ от 28 июля 2005г. N 134 "О защите персональных данных государственных гражданских служащих Минсельхоза России"; Указ Президента РФ от 30 мая 2005г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 23 сентября 1999г. N 158 "Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
Комментируемой статьей законодатель определяет основные требования их легитимности. Во-первых, подзаконные нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных и тем самым противоречить требованиям настоящего Закона. Во-вторых, указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами. К числу последних относятся ведомственные приказы, распоряжения и инструкции, содержащие сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну.
Глава 2.
Принципы и условия обработки персональных данных
Статья 5.
Принципы обработки персональных данных
Комментарий к статье 5
1. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние гармонизированы с основными международно-правовыми актами в области персональных данных, что должно обеспечить соответствующий уровень их защиты, и представлены в полном соответствии с традициями европейского законодательства в этой области.
Принципы, закрепленные в комментируемой статье, не являются декларативными, лишенными нормативной силы положениями. Они, во-первых, определяют построение и структуру настоящего Федерального закона. Во-вторых, влияют на содержание институтов и норм, а также создают ориентиры для законодательных и иных нормативных правовых актов, регулирующих вопросы сбора и обработки персональных данных. В-третьих, через систему норм и путем непосредственного действия влияют на практику их реализации. В-четвертых, обеспечивают, в силу объективных требований, единство правового регулирования правоотношений в области персональных данных на всей территории РФ.
Принципы обработки персональных данных позволяют:
уяснить смысл и сущность законодательства и его связи с экономикой и моралью;
определяют общую направленность и тенденции совершенствования работы с персональными данными;
помогают практически органам и субъектам правоотношений в правильном применении норм законодательства.
Сформулированные законодателем принципы имеют не только теоретическое, но и большое практическое значение. Они являются базовыми ориентирами при разрешении возникших юридических коллизий в случаях, когда обнаруживаются пробелы правовой регламентации. Включение в текст анализируемого документа основных принципов тем самым подчеркивает возможность существования аналогий права и закона в указанной области общественных отношений при условии, если последние не урегулированы законодательством и это не противоречит их существу. Применение закрепленных в комментируемой статье принципов обработки персональных данных определяется исходя из общих начал и смысла действующего законодательства и требований добросовестности, разумности и справедливости.
Принципы обработки персональных данных сформировались в процессе практической деятельности уполномоченных субъектов в процессе работы с конфиденциальной информацией, были обобщены и сформулированы теорией и получили нормативное закрепление в действующем законодательстве. Они предопределены требованиями социальных норм и экономических законов в нашем обществе, служат основой для направления дальнейшего развития уровня защиты прав и свобод личности и являются сущностной категорией обработки персональных данных, поскольку кратко отражают суть норм настоящего Закона.
Комментируемой статьей представлено пять основных принципов обработки персональных данных:
законность целей и способов обработки персональных данных и добросовестности;
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Поделиться книгой: