Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных"
Комментарий к главе 1. Общие
положения
Комментарий к статье 1. Сфера действия настоящего Федерального закона
1.
Статьей 1 комментируемого Закона
определяется сфера действия Закона, а
также уточняются отношения, на которые
действие этого Закона не
распространяется.
Персональные данные (далее также - ПД)
могут обрабатывать федеральные органы
государственной власти. Под
федеральными органами власти следует
понимать органы власти, осуществляющие
властные полномочия на федеральном
уровне. Согласно ст.10 Конституции РФ
государственная власть в РФ
осуществляется на основе разделения на
законодательную, исполнительную и
судебную. Статья 11 Конституции РФ
определяет, что государственную власть в
Российской Федерации осуществляют
Президент РФ; Федеральное Собрание
(Совет Федерации и Государственная Дума);
Правительство РФ; суды РФ.
Действие комментируемого Закона
распространяется также на органы
государственной власти субъектов РФ,
обрабатывающие ПД. На уровне субъектов
РФ существуют органы исполнительной и
законодательной власти субъектов РФ.
Субъектами, обрабатывающими ПД, также
могут быть иные органы государственной
власти, кроме тех, что перечислены выше. К
ним, например, относятся Центральный
банк РФ, Пенсионный фонд РФ, Федеральный
фонд обязательного медицинского
страхования, Фонд социального
страхования РФ, Центральная
избирательная комиссия РФ и т.п.
Обработка ПД ведется и органами местного
самоуправления.
Согласно ч.1 ст.34 Федерального закона от 6
октября 2003 года N 131-ФЗ "Об общих
принципах организации местного
самоуправления в Российской
Федерации" структуру органов местного
самоуправления составляют:
- представительный орган муниципального
образования;
- глава муниципального образования;
- местная администрация
(исполнительно-распорядительный орган
муниципального образования);
- контрольно-счетный орган
муниципального образования;
- иные органы и выборные должностные лица
местного самоуправления,
предусмотренные уставом муниципального
образования и обладающие собственными
полномочиями по решению вопросов
местного значения.
Обработку ПД осуществляют, в том числе,
иные муниципальные органы.
Если юридические лица обрабатывают ПД,
на них также распространяется действие
комментируемого Закона (о юридических
лицах см. ст.48 и др. Гражданского кодекса
РФ (далее по тексту - ГК РФ)). Стоит
учитывать, что требования
комментируемого Закона
распространяются также на
представительства юридических лиц
иностранных государств, осуществляющих
деятельность по обработке ПД на
территории РФ.
Под физическими лицами, осуществляющими
обработку ПД в рамках комментируемого
Закона, понимаются граждане,
осуществляющие предпринимательскую
деятельность без образования
юридического лица с момента
государственной регистрации в качестве
индивидуального предпринимателя (см.
ст.23 ГК РФ). Обращаем внимание, что
согласно ч.1 комментируемой статьи
обработка ПД может происходить как с использованием
средств автоматизации, в том числе в
информационно-телекоммуникационных
сетях, так и без использования таких средств.
Понятие информационно-телекоммуникационной
сети раскрывается в ст.2 Федерального
закона от 27 июля 2006 года N 149-ФЗ "Об
информации, информационных технологиях
и о защите информации" (далее по тексту
- ФЗ "Об информации, информационных
технологиях и о защите информации").
Под информационно-телекоммуникационной
сетью понимается технологическая
система, предназначенная для передачи по
линиям связи информации, доступ к
которой осуществляется с использованием
средств вычислительной техники. Таким
образом, нормы комментируемого Закона
теперь распространяются и на участников
и операторов передачи голосовых и иных
сообщений (данных) по сетям связи
(например, передача сообщений по
электронной или голосовой почте и т.п.).
Порядок обработки ПД без использования средств
автоматизации регулируется
комментируемым Законом в том случае,
если такая обработка, как установлено в
ч.1 комментируемой статьи, соответствует
характеру действий (операций),
совершаемых с ПД с использованием
средств автоматизации.
Под
обработкой ПД без использования средств
автоматизации здесь понимается
такая обработка ПД, которая позволяет
осуществлять в соответствии с заданным
алгоритмом поиск ПД, зафиксированных на
материальном носителе и содержащихся в
картотеках или иных систематизированных
собраниях ПД, и (или) доступ к таким
данным. Таким образом, действия
комментируемого Закона
распространяются только на массовую
обработку ПД. Например, создание в
организации картотеки данных клиентов
на бумажных носителях будет считаться
обработкой ПД без использования средств
автоматизации и подпадать под действие
комментируемого Закона.
Под средствами автоматизации
понимаются технические средства,
освобождающие человека частично или
полностью от непосредственного участия
в процессах получения, преобразования,
передачи и использования информации. В
качестве примера можно привести
автоматизированные банковские системы,
содержащие данные о сотрудниках банка, о
клиентах, партнерах, биллинговые
системы, содержащие данные о клиентах,
осуществляющих оплату услуг, call-центры,
содержащие данные о клиентах и
сотрудниках в зависимости от
предназначения call-центра,
автоматизированные медицинские системы,
содержащие данные о пациентах и т.п.
Автоматизированная обработка ПД
включает в себя действия с
автоматизированными файлами ПД. В случае
с обработкой ПД понятие
"автоматизированный файл ПД"
обозначает любой комплекс данных о
субъектах ПД, подвергающийся
автоматизированной обработке.
В ст.2 Конвенции Совета Европы о защите
физических лиц при автоматизированной
обработке персональных данных
(Страсбург, 28 января 1981 года)
"автоматизированная база данных"
означает любой набор данных, к которым
применяется автоматическая обработка.
При этом "автоматическая обработка"
включает следующие операции, если они
полностью или частично осуществляются с
применением автоматизированных
средств:
- накопление данных;
- проведение логических или/и
арифметических операций с такими
данными;
- их изменение, стирание, восстановление
или распространение.
Статья 5 указанной Конвенции определяет,
ПД, проходящие автоматизированную
обработку, должны быть:
- получены и обработаны добросовестным и
законным образом;
- накопленными для точно определенных и
законных целей и не использоваться в
противоречии с этими целями;
- адекватными, относящимися к делу и не
избыточными применительно к целям, для
которых они накапливаются;
- точными и в случае необходимости
обновляться;
- сохранены в такой форме, которая
позволяет идентифицировать субъектов
данных, не дольше, чем этого требует цель,
для которой эти данные накапливаются.
Статьей 6 Конвенции устанавливается, что
ПД о национальной принадлежности,
политических взглядах либо религиозных
или иных убеждениях, а равно ПД,
касающиеся здоровья или сексуальной
жизни, могут подвергаться
автоматической обработке только в тех
случаях, когда национальное право
предусматривает надлежащие гарантии.
Это же правило применяется к ПД,
касающимся судимости. Кроме того
Конвенция обязывает операторов ПД
принимать надлежащие меры для охраны ПД,
накопленных в автоматизированных базах
данных, от случайного или
несанкционированного разрушения или
случайной утраты, а равно от
несанкционированного доступа, изменения
или распространения.
Постановлением Правительства РФ от 15
сентября 2008 года N 687 "Об утверждении
Положения об особенностях обработки
персональных данных, осуществляемой без
использования средств автоматизации"
установлен порядок обработки ПД без
использования средств автоматизации.
Согласно данному постановлению
обработкой ПД, содержащихся в
информационной системе ПД либо
извлеченных из такой системы, без
использования средств автоматизации
называется такая обработка, когда
действия с ПД, такие как использование,
уточнение, распространение, уничтожение
персональных данных в отношении каждого
из субъектов ПД, осуществляются при
непосредственном участии человека. Из
этого следует вывод, что обработка ПД не
может быть признана осуществляемой с
использованием средств автоматизации
только на том основании, что ПД
содержатся в информационной системе ПД
либо были извлечены из нее. И все же
определение того, будет ли обработка ПД
считаться автоматизированной или
осуществляемой без использования
средств автоматизации, является сложным
вопросом для операторов. Как показала
практика, даже в том случае, когда
организация хранит ПД на компьютере
только в текстовых файлах формата doc, не
включая их в базу, то такая обработка ПД
также признается Роскомнадзором
автоматизированной, поскольку имеет
место запись, систематизация и
накопление ПД. Приведем пример. Так, если
сотрудник организации занес данные о
работниках в компьютер лишь с целью их
распечатать, а затем удалил эти данные,
такую обработку ПД, на наш взгляд, можно
считать неавтоматизированной. Однако
если же оператор сохранил ПД в виде файла
и хранит их на компьютере для
дальнейшего использования, то, полагаем,
такую обработку ПД нужно рассматривать,
в том числе, и как автоматизированную.
В том случае, если обработка ПД
осуществляется без использования
средств автоматизации, необходимо
учитывать, что такая информация должна
обособляться от иной информации. Такие
ПД могут, например, фиксироваться на
отдельных материальных носителях, в
специальных разделах или на полях форм
(бланков).
Так, согласно требованиям постановления
Правительства РФ от 15 сентября 2008 года N
687 "Об утверждении Положения об
особенностях обработки персональных
данных, осуществляемой без
использования средств автоматизации"
при фиксации ПД на материальных
носителях не допускается фиксация на
одном материальном носителе
персональных данных, цели обработки
которых заведомо не совместимы. Поэтому
для обработки различных категорий ПД для
каждой категории ПД должен
использоваться отдельный материальный
носитель.
Часто в организациях используются
типовые формы документов, характер
информации в которых предполагает или
допускает включение в них ПД. В этом
случае типовая форма должна
соответствовать некоторым требованиям.
Так, сама типовая форма или связанные с
ней документы (например, инструкции по ее
заполнению, карточки, реестры и журналы)
должны содержать:
- сведения о цели обработки ПД,
осуществляемой без использования
средств автоматизации;
- имя (наименование) и адрес оператора;
- фамилию, имя, отчество и адрес субъекта
ПД;
- источник получения ПД;
- сроки обработки ПД;
- перечень действий с ПД, которые будут
совершаться в процессе их обработки;
- общее описание используемых оператором
способов обработки ПД.
Кроме того, типовая форма, которая
предполагает включение в нее ПД, должна
предусматривать поле, в котором субъект
ПД может поставить отметку о своем
согласии на обработку его данных,
осуществляемую без использования
средств автоматизации. Такое поле должно
быть обязательно, если в соответствии с
требованиями комментируемого Закона
необходимо получение письменного
согласия на обработку ПД от субъекта
ПД.
Следует помнить, что типовая форма
должна быть составлена таким образом,
чтобы каждый из субъектов ПД,
содержащихся в документе, имел
возможность ознакомиться со своими ПД,
содержащимися в документе, не нарушая
прав и законных интересов иных субъектов
ПД. А также типовая форма должна
исключать объединение полей,
предназначенных для внесения ПД, цели
обработки которых заведомо не
совместимы.
Во многих организациях ведутся журналы
(реестры, книги), необходимые для
однократного пропуска субъекта ПД на
территорию, на которой находится
оператор, содержащие ПД. В подобных
случаях оператором ПД должны
выполняться определенные условия.
Например, необходимость ведения такого
журнала (реестра, книги) должна быть
предусмотрена актом оператора. В акте
будут содержаться следующие сведения:
- сведения о цели обработки ПД,
осуществляемой без использования
средств автоматизации;
- способы фиксации и состав информации,
запрашиваемой у субъектов ПД;
- перечень лиц (поименно или по
должностям), имеющих доступ к
материальным носителям и ответственных
за ведение и сохранность журнала
(реестра, книги);
- сроки обработки ПД;
- сведения о порядке пропуска субъекта ПД
на территорию, на которой находится
оператор, без подтверждения подлинности
ПД, сообщенных субъектом ПД.
Копирование содержащейся в таких
журналах (реестрах, книгах) информации не
допускается. Кроме того, ПД каждого
субъекта ПД могут заноситься в подобный
журнал (книгу, реестр) не более одного
раза в каждом случае пропуска субъекта
ПД на территорию, на которой находится
оператор.
Если требуется уточнить ПД, обработка
которых осуществляется без
использования средств автоматизации, то
это должно быть произведено путем
обновления или изменения данных на
материальном носителе, а если это не
допускается техническими особенностями
материального носителя, - путем фиксации
на том же материальном носителе сведений
о вносимых в них изменениях либо путем
изготовления нового материального
носителя с уточненными ПД.
Постановлением Правительства РФ от 15
сентября 2008 года N 687 "Об утверждении
Положения об особенностях обработки
персональных данных, осуществляемой без
использования средств автоматизации"
устанавливаются и требования к
обеспечению безопасности ПД при их
обработке, осуществляемой без
использования средств автоматизации.
Обработка ПД должна осуществляться
таким образом, чтобы в отношении каждой
категории ПД можно было определить места
хранения ПД (материальных носителей) и
установить перечень лиц, осуществляющих
обработку ПД либо имеющих к ним доступ.
Необходимо обеспечивать раздельное
хранение ПД (материальных носителей),
обработка которых осуществляется в
различных целях. Важно учитывать, что при
хранении материальных носителей должны
соблюдаться условия, обеспечивающие
сохранность ПД и исключающие
несанкционированный к ним доступ.
Перечень мер, необходимых для
обеспечения таких условий, порядок их
принятия, а также перечень лиц,
ответственных за реализацию указанных
мер, устанавливаются оператором.
Пример.
Операторы, обрабатывающие ПД
неавтоматизированным способом, хранят
каждую категорию полученных от граждан
ПД в разных папках, ящиках, файлах и т.д.
Приказом руководителя организации
определяется перечень лиц, которые
обрабатывают тот или иной
информационный блок либо получают к нему
доступ.
Необходимо помнить, что в случае
нарушения указанных выше требований
оператор может быть привлечен к
ответственности (см., например, ст.13.11
Кодекса об административных
правонарушениях (далее - КоАП РФ)).
2.
Частью 2 комментируемой статьи
определяются случаи, на которые не
распространяется действие Закона.
Обрабатывать ПД может физическое лицо,
не являющееся индивидуальным
предпринимателем. При этом ПД
обрабатываются в личных целях при
условии соблюдения прав субъектов ПД.
Таким образом, гражданин имеет право для
себя лично вести сбор и накопление ПД,
например, на домашнем компьютере
(сделать справочник с данными своих
знакомых: адресами, фамилиями, датами
рождения). Однако Закон требует, чтобы в
таких случаях не нарушались права
субъектов ПД. То есть, справочник,
приведенный в качестве примера, может
использоваться гражданином только
лично, передача его другим лицам не
допустима.
Действие комментируемого Закона не
распространяется на организацию,
хранение, комплектование, учет и
использование содержащих ПД документов
Архивного фонда РФ и других архивных
документов в соответствии с Федеральным
законом от 22 октября 2004 года N 125-ФЗ "Об
архивном деле в Российской Федерации".
Архивный фонд РФ содержит документы,
относящиеся к федеральной,
муниципальной и частной собственности, а
также собственности субъектов РФ (см. об
этом подробнее ст.7, 8, 9 и др. указанного
закона).
Обработка таких документов производится
в соответствии с Федеральным законом от
22 октября 2004 года N 125-ФЗ "Об архивном
деле в Российской Федерации". Так, в ч.3
ст.25 данного закона указывается, что
ограничение на доступ к архивным
документам, содержащим сведения о личной
и семейной тайне гражданина, его частной
жизни, а также сведения, создающие угрозу
для его безопасности, устанавливается на
срок 75 лет со дня создания указанных
документов. С письменного разрешения
гражданина, а после его смерти с
письменного разрешения наследников
данного гражданина ограничение на
доступ к архивным документам, содержащим
сведения о личной и семейной тайне
гражданина, его частной жизни, а также
сведения, создающие угрозу для его
безопасности, может быть отменено ранее
чем через 75 лет со дня создания указанных
документов.
Действие комментируемого Закона не
распространяется на обработку ПД,
отнесенных к сведениям, составляющим
государственную тайну. При этом порядок
отнесения сведений к государственной
тайне определен Законом РФ от 21 июля 1993
года N 5485-I "О государственной тайне";
см. также Указ Президента РФ от 30 ноября
1995 года N 1203 "Об утверждении перечня
сведений, отнесенных к государственной
тайне".
Действие комментируемого Закона
также не распространяется на
предоставление уполномоченными
органами информации о деятельности
судов в РФ. Порядок предоставления
указанной информации регулируется
Федеральным законом от 22 декабря 2008 года
N 262-ФЗ "Об обеспечении доступа к
информации о деятельности судов в
Российской Федерации".
Под информацией о деятельности судов
понимается информация, подготовленная в
пределах своих полномочий судами,
Судебным департаментом, органами
Судебного департамента, органами
судейского сообщества либо поступившая
в суды, Судебный департамент, органы
Судебного департамента, органы
судейского сообщества и относящаяся к
деятельности судов.
Доступ к информации о деятельности судов
обеспечивается следующими способами:
- присутствием граждан (физических лиц), в
том числе представителей организаций
(юридических лиц), общественных
объединений, органов государственной
власти и органов местного
самоуправления, в открытом судебном
заседании;
- обнародованием (опубликованием)
информации о деятельности судов в
средствах массовой информации (см.
Положение о порядке обнародования
(опубликования) информации о
деятельности Верховного Суда Российской
Федерации в средствах массовой
информации и взаимодействия Верховного
Суда РФ с редакциями средств массовой
информации, утвержденное приказом
Председателя Верховного Суда РФ от 14
января 2016 года N 1-П);
- размещением информации о деятельности
судов в
информационно-телекоммуникационной
сети "Интернет" (см. Положение о
порядке размещения текстов судебных
актов на официальном сайте Верховного
Суда РФ в
информационно-телекоммуникационной
сети "Интернет", утвержденное
приказом Председателя Верховного Суда
РФ от 14 января 2016 года N 1-П);
- размещением информации о деятельности
судов в занимаемых судами, Судебным
департаментом, органами Судебного
департамента, органами судейского
сообщества помещениях (см. Рекомендации
по размещению информации в
информационных киосках, расположенных в
занимаемых Судебным департаментом при
Верховном Суде РФ, управлениями
(отделами) Судебного департамента в
субъектах РФ зданиях (помещениях),
утвержденные приказом Судебного
департамента при Верховном Суде РФ от 25
декабря 2012 года N 242; см. Методические
рекомендации по оформлению судами общей
юрисдикции информационных стендов и
(или) технических средств аналогичного
назначения, утвержденные постановлением
Совета судей РФ от 2 декабря 2010 года N 268);
- ознакомлением пользователей
информацией с информацией о
деятельности судов, находящейся в
архивных фондах (см. Положение о порядке
ознакомления пользователей информацией
с информацией о деятельности Верховного
Суда Российской Федерации, находящейся в
архивном фонде Верховного Суда РФ,
утвержденное приказом Председателя
Верховного Суда РФ от 14 января 2016 года N
1-П);
-
предоставлением пользователям
информацией по их запросу информации о
деятельности судов.
В связи с встречающимися частыми
ошибками в трактовке норм
комментируемой статьи обращаем внимание
также на то, что действия арбитражных
управляющих по сбору сведений о
должнике, его обязательствах и
принадлежащем имуществе, а также
оглашение этих сведений в заседании
арбитражного суда не подпадают под
регулирование комментируемого Закона.
Такой вывод следует, например, из
апелляционного определения
Санкт-Петербургского городского суда от
24 июня 2015 года N 33-10102/2015 по делу N 2-1450/2014. В
данном случае речь идет, прежде всего, об
отношениях, которые регулируются
Федеральным законом от 26 октября 2002 года
N 127-ФЗ "О несостоятельности
(банкротстве)". И здесь под должником
понимается гражданин, в том числе
индивидуальный предприниматель, или
юридическое лицо, оказавшиеся
неспособными удовлетворить требования
кредиторов по денежным обязательствам, о
выплате выходных пособий и (или) об
оплате труда лиц, работающих или
работавших по трудовому договору, и (или)
исполнить обязанность по уплате
обязательных платежей в течение срока,
указанным выше законом. При этом
арбитражным управляющим может быть
гражданин РФ, являющийся членом
саморегулируемой организации
арбитражных управляющих. В свою очередь,
саморегулируемой организацией
арбитражных управляющих называется
некоммерческая организация, обладающая
следующими признаками:
- она основана на членстве;
- она создана гражданами РФ;
- сведения об этой организации включены в
единый государственный реестр
саморегулируемых организаций
арбитражных управляющих;
- целями деятельности такой организации
являются регулирование и обеспечение
деятельности арбитражных управляющих.
Комментарий к статье 2. Цель настоящего Федерального закона
В комментируемой статье определена
основная цель Закона. Он призван
обеспечить эффективную защиту прав и
свобод человека и гражданина в
соответствии с основными правами и
свободами, провозглашенными
Конституцией РФ.
Согласно ст.17 Конституции РФ в России
признаются и гарантируются права и
свободы человека и гражданина согласно
общепризнанным принципам и нормам
международного права. Статьи 23-24
Конституции РФ устанавливают, что каждый
имеет право на неприкосновенность
частной жизни, личную и семейную тайну,
защиту своей чести и доброго имени, право
на тайну переписки, телефонных
переговоров, почтовых, телеграфных и
иных сообщений. Ограничение этого права
допускается только на основании
судебного решения. При этом сбор,
хранение, использование и
распространение информации о частной
жизни лица без его согласия не
допускаются. На органы государственной
власти и органы местного самоуправления,
их должностные лица возлагается
обязанность обеспечить каждому
возможность ознакомления с документами
и материалами, непосредственно
затрагивающими его права и свободы, если
иное не предусмотрено законом.
В силу ст.150 ГК РФ неприкосновенность
частной жизни, личная и семейная тайна,
имя гражданина, иные нематериальные
блага, принадлежащие гражданину от
рождения или в силу закона, неотчуждаемы
и непередаваемы иным способом. Указанные
блага защищаются в судебном и ином
порядке.
В современном мире почти каждый желающий
может найти в Интернете информацию о ПД
граждан. При этом свои ПД граждане
раскрывают зачастую сами, например,
оформляя покупку товара с доставкой на
дом, регистрируясь на веб-сайте. Но
далеко не всегда лица, получающие такую
информацию, добросовестно сохраняют ее.
Частным нарушением прав граждан в
Интернете является размещение
фотографий гражданина без его согласия
средствами массовой информации или
блогерами (изданиями в Интернете). В то
время как, в соответствии со ст.152.1 ГК РФ
обнародование и дальнейшее
использование изображения гражданина (в
том числе его фотографии, а также
видеозаписи или произведения
изобразительного искусства, в которых он
изображен) допускаются только с согласия этого
гражданина. А после смерти
гражданина его изображение может
использоваться только с согласия детей и
пережившего супруга, а при их отсутствии
- с согласия родителей. Такое согласие не требуется
только в следующих случаях, когда:
- использование изображения
осуществляется в государственных,
общественных или иных публичных
интересах;
- изображение гражданина получено при
съемке, которая проводится в местах,
открытых для свободного посещения, или
на публичных мероприятиях (собраниях,
съездах, конференциях, концертах,
представлениях, спортивных
соревнованиях и подобных мероприятиях),
за исключением случаев, когда такое
изображение является основным объектом
использования;
- гражданин позировал за плату.
В случае нарушения прав гражданина,
изготовленные в целях введения в
гражданский оборот, а также находящиеся
в обороте экземпляры материальных
носителей, содержащих изображение
гражданина, подлежат на основании
судебного решения изъятию из оборота и
уничтожению без какой бы то ни было
компенсации. При этом если изображение
гражданина, полученное или используемое
с нарушениями вышеупомянутых требований
ГК РФ, распространено в Интернете, то
гражданин вправе требовать удаления
этого изображения, а также пресечения
или запрещения дальнейшего его
распространения.
Статьей 152.2 ГК РФ охраняется частная
жизнь гражданина. Законодатель
запрещает без согласия гражданина сбор,
хранение, распространение и
использование любой информации о его
частной жизни, в частности сведений о его
происхождении, о месте его пребывания
или жительства, о личной и семейной
жизни. Исключением из этого правила
является только следующее:
- обработка информации о частной жизни
гражданина в государственных,
общественных или иных публичных
интересах;
- обработка общедоступной информация о
частной жизни гражданина.
Для защиты своих прав гражданин может
обратиться в суд с требованием об
удалении соответствующей информации, а
также о пресечении или запрещении
дальнейшего ее распространения путем
изъятия и уничтожения без какой бы то ни
было компенсации изготовленных в целях
введения в гражданский оборот
экземпляров материальных носителей,
содержащих соответствующую информацию,
если без уничтожения таких экземпляров
материальных носителей удаление
соответствующей информации
невозможно.
В последнее время за защитой своих прав в
связи с распространением в средствах
массовой информации (далее также - СМИ)
изображений публичных персон без их
согласия или информации об их частной
жизни в суд часто обращаются
знаменитости.
Рассмотрим
пример из судебной практики. Истцы,
являющиеся публичными персонами,
обратились в суд с иском о защите права
на неприкосновенность частной жизни, о
защите права на охрану изображения
гражданина и взыскании компенсации
морального вреда с СМИ. Мотивируя иски,
истцы указали, что в печатном СМИ без
согласия истцов на обложке был
опубликован анонс, содержащий
информацию о частной жизни гражданина, и
без согласия истцов были использованы их
изображения (фотографии). Выслушав
участников процесса, исследовав
письменные материалы дела и
представленные доказательства, суд
пришел к следующему выводу. Согласно п.1
ст.8 Конвенции о защите прав человека и
основных свобод ETS N 005 (Рим, 4 ноября 1950
года) каждый человек имеет право на
уважение его личной и семейной жизни, его
жилища и его корреспонденции. В
соответствии с положением ч.1 ст.23 и ч.1
ст.24 Конституции РФ каждый имеет право на
неприкосновенность частной жизни,
личную и семейную тайну. Сбор, хранение,
использование и распространение
информации о частной жизни лица без его
согласия не допускаются. В соответствии
со ст.150 ГК РФ неприкосновенность частной
жизни, личная и семейная тайна являются
нематериальными благами, принадлежащими
гражданину от рождения. В соответствии
со ст.152.1 ГК РФ обнародование и
дальнейшее использование изображения
гражданина (в том числе его фотографии, а
также видеозаписи или произведения
изобразительного искусства, в которых он
изображен) допускается только с согласия
этого гражданина. Согласно ст.49 Закона РФ
от 27 декабря 1991 года N 2124-1 "О средствах
массовой информации" журналист обязан
получить согласие (за исключением
случаев, когда это необходимо для защиты
общественных интересов) на
распространение в средстве массовой
информации сведений о личной жизни
гражданина от самого гражданина или его
законных представителей. В силу ст.56
указанного закона учредители, редакции,
издатели, распространители,
государственные органы, организации,
учреждения, предприятия и общественные
объединения, должностные лица,
журналисты, авторы распространенных
сообщений и материалов несут
ответственность за нарушения
законодательства РФ о средствах
массовой информации. Публичность
граждан, исходя из равенства всех перед
законом (ч.1 ст.19 Конституции РФ), не
влияет на подход суда при решении
вопросов о правах, обязанностях и
ответственности, закрепленных в
нормативных правовых актах РФ. Верховный
Суд РФ обращает внимание на то, что
концепция частной жизни
распространяется также на аспекты,
относящиеся к установлению личности, в
частности, на изображение лица. В ч.1 ст.29
Конституции РФ определено, что каждому
гарантируется свобода мысли и слова.
Однако в ч.4 ст.29 Конституции РФ
разъясняется, что каждый имеет право
свободно искать, получать, передавать,
производить и распространять информацию
только законным способом, то есть, с
учетом соблюдения прав и свобод других
лиц, и не допуская их нарушения. Частью 3
ст.17 Конституции РФ установлено, что
осуществление прав и свобод человека и
гражданина не должно нарушать права и
свободы других лиц. Соответственно,
осуществление прав и свобод
представителей средств массовой
информации и читателей на выражение
мысли и слова, на сбор и получение
информации не должно нарушать прав
других граждан на неприкосновенность их
частной жизни и на охрану изображения.
Как указано в п.7 ст.3 ФЗ "Об информации,
информационных технологиях и о защите
информации" одним из принципов
правового регулирования отношений в
сфере информации, информационных
технологий и защиты информации является
неприкосновенность частной жизни,
недопустимость сбора, хранения,
использования и распространения
информации о частной жизни лица без его
согласия. Из содержания ст.152.1 ГК РФ
следует, что право на охрану изображения
гражданина сформулировано
законодателем как абсолютное.
Соответственно, гражданин вправе
требовать применения соответствующих
случаю мер гражданско-правовой защиты от
любого лица, неправомерно
распространившего сведения о его
частной жизни и/или неправомерно
использующего его изображение.
Учитывая изложенное, суд посчитал
исковые требования о нарушении
ответчиком личных неимущественных прав
истцов, - права на неприкосновенность
частной жизни и права на охрану
изображения, - нашедшими свое
подтверждение. В связи с указанным,
требования истцов о взыскании с
ответчика компенсации морального вреда
были удовлетворены (см. апелляционное
определение Московского городского суда
от 20 ноября 2015 года N 33-39646/15; см. также
Обзор практики рассмотрения судами дел
по спорам о защите чести, достоинства и
деловой репутации (утв. Президиумом
Верховного Суда РФ 16 марта 2016 года),
постановление Пленума Верховного Суда
РФ от 24 февраля 2005 года N 3 "О судебной
практике по делам о защите чести и
достоинства граждан, а также деловой
репутации граждан и юридических
лиц").
Во всем мире ПД стремятся защищать на
уровне государства, принимая законы,
регулирующие порядок сбора, хранения и
использования сведений о гражданах
страны.
Обеспечивая защиту ПД, Россия укрепляет
правовую защищенность и безопасность
личности и создает благоприятную
обстановку для всестороннего развития
граждан и общества в целом.
Комментируемый Закон установил такие
гарантии защиты ПД в нашей стране, как:
- ограничение на передачу персональной
информации третьим лицам без согласия
человека;
- требование к информированию человека о
целях и способах обработки информации о
нем;
- необходимость получать согласие на
сбор сведений о человеке у него самого;
- обеспечение безопасности и
конфиденциальности персональных
данных.
Основными
правовыми актами, защищающими права
субъектов ПД, являются:
- комментируемый Закон;
- ФЗ "Об информации, информационных
технологиях и о защите информации";
- Указ Президента РФ от 6 марта 1997 года N 188
"Об утверждении перечня сведений
конфиденциального характера";
- Указ Президента РФ от 30 мая 2005 года N 609
"Об утверждении положения о
персональных данных государственного
гражданского служащего Российской
Федерации и ведении его личного
дела";
- Указ Президента РФ от 17 марта 2008 года N 351
"О мерах по обеспечению
информационной безопасности Российской
Федерации при использовании
информационно-телекоммуникационных
сетей международного информационного
обмена";
-
постановление Правительства РФ от 3
ноября 1994 года N 1233 "Об утверждении
положения о порядке обращения со
служебной информацией ограниченного
распространения в федеральных органах
исполнительной власти";
- постановление Правительства РФ от 1
ноября 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных";
- постановление Правительства РФ от 6
июля 2008 года N 512 "Об утверждении
требований к материальным носителям
биометрических персональных данных и
технологиям хранения таких данных вне
информационных систем персональных
данных";
- постановление Правительства РФ от 15
сентября 2008 года N 687 "Об утверждении
положения об особенностях обработки
персональных данных, осуществляемой без
использования средств
автоматизации";
- постановление Правительства РФ от 21
марта 2012 года N 211 "Об утверждении
перечня мер, направленных на обеспечение
выполнения обязанностей,
предусмотренных Федеральным законом
"О персональных данных";
- приказ Министерства связи и массовых
коммуникаций от 21 декабря 2011 года N 346
"Об утверждении Административного
регламента Федеральной службы по
надзору в сфере связи, информационных
технологий и массовых коммуникаций по
предоставлению государственной услуги
"Ведение реестра операторов,
осуществляющих обработку персональных
данных";
- приказ Федеральной службы по надзору в
сфере связи, информационных технологий и
массовых коммуникаций от 29 января 2016
года N 82 "О Консультативном совете при
уполномоченном органе по защите прав
субъектов персональных данных";
- приказ Федеральной службы по
техническому и экспортному контролю от 18
февраля 2013 года N 21 "Об утверждении
Состава и содержания организационных и
технических мер по обеспечению
безопасности персональных данных при их
обработке в информационных системах
персональных данных";
- приказ Федеральной службы по надзору в
сфере связи, информационных технологий и
массовых коммуникаций от 3 декабря 2012
года N 1255 "Об утверждении Положения об
обработке и защите персональных данных в
центральном аппарате Федеральной службы
по надзору в сфере связи, информационных
технологий и массовых коммуникаций";
- Базовая модель угроз безопасности
персональных данных при их обработке в
информационных системах персональных
данных (утв. Федеральной службой по
техническому и экспортному контролю 15
февраля 2008 года);
-
Методика определения актуальных угроз
безопасности персональных данных при их
обработке в информационных системах
персональных данных (утв. Федеральной
службой по техническому и экспортному
контролю 14 февраля 2008 года);
- Методические рекомендации по
обеспечению с помощью криптографических
средств безопасности персональных
данных при их обработке в информационных
системах персональных данных с
использованием средств автоматизации
(утверждены Центром ФСБ России от 21
февраля 2008 года N 149/54-144);
- Типовые требования по организации и
обеспечению функционирования шифро-
(крипто-) средств, предназначенных для
защиты информации, не содержащей
сведений, составляющих государственную
тайну в случае их использования для
обеспечения безопасности персональных
данных при их обработке в информационных
системах персональных данных
(утверждены 8 Центром ФСБ России от 21
февраля 2008 года N 149/6/6-622).
Среди международных актов, связанных с
регулированием порядка обработки ПД,
участником которых является Российская
Федерация, необходимо отметить
Конвенцию Совета Европы о защите
физических лиц при автоматизированной
обработке персональных данных
(Страсбург, 28 января 1981 года) и некоторые
другие акты (см. об этом подробнее
комментарий к ст.4 Закона).
Комментарий к статье 3. Основные понятия, используемые в настоящем Федеральном законе
1. В
комментируемой статье законодатель
формирует инструментарий, который затем
используется в тексте Закона.
Разъяснение основных понятий,
используемых в Законе, необходимо для
более точного понимания положений этого
нормативного акта.
Понятие "персональные данные"
является основополагающим в Законе. ПД
определяются как любая информация,
которая хоть как-то относится к
определенному лицу.
Однако, например, только указанное в
информационной базе место рождения не
считается ПД, если эти сведения не будут
связаны с конкретной фамилией человека.
В то время как информация - Петров Иван
Петрович, рожденный в селе Новолокти
Тюменской области, - будет являться ПД
конкретного гражданина.
Представляется, что такая новая
формулировка понятия "персональные
данные" подводит под действия
комментируемого Закона большинство
веб-сайтов в сети Интернет, где
регистрируются пользователи,
оставляющие адреса своей электронной
почты. Ведь электронный адрес косвенно
относится к определяемому физическому
лицу.
В соответствии с действующим
законодательством состав ПД определяют
операторы ПД в зависимости от целей их
обработки. Как правило, операторы
различных организаций, оказывающих
услуги, просят предоставить им
контактные данные клиента. Такие базы
данных по контактам ведутся не только по
постоянным клиентам, но и по информации,
полученной в ходе рекламных кампаний.
Все эти сведения являются ПД.
Понятие "персональные данные"
раскрывается также в Указе Президента РФ
от 6 марта 1997 года N 188 "Об утверждении
Перечня сведений конфиденциального
характера". Так, к сведениям
конфиденциального характера Указ
относит сведения о фактах, событиях и
обстоятельствах частной жизни
гражданина, позволяющие
идентифицировать его личность
(персональные данные), за исключением
сведений, подлежащих распространению в
средствах массовой информации в
установленных федеральными законами
случаях.
Согласно приказу Судебного департамента
при Верховном Суде РФ от 14 марта 2011 года N
47 "Об утверждении Инструкции о порядке
обработки и защиты персональных данных
судей районных, городских, межрайонных
судов, гарнизонных военных судов" ПД и
иные сведения, содержащиеся в личных
делах судей, в том числе хранящиеся в
электронном виде в подсистеме
"Кадры", относятся к сведениям ограниченного
доступа и разглашению не подлежат, за
исключением ПД, на которые в
соответствии с федеральными законами не
распространяются требования о
соблюдении их конфиденциальности. При
этом передача ПД судей не допускается
без их письменного согласия, за
исключением случаев, установленных
федеральными законами. Личные дела судей
ведутся отделами государственной службы
и кадров управлений Судебного
департамента в субъектах РФ или
государственными гражданскими
служащими, ответственными за кадровую
работу в отделах Судебного департамента
в субъектах РФ. В личное дело судьи
вносятся его ПД и иные сведения,
связанные с назначением на
соответствующую должность, исполнением
должностных обязанностей, прекращением
полномочий, а также другие необходимые
сведения. Обработка ПД в электронном
виде в подсистеме "Кадры"
осуществляется только с
автоматизированных рабочих мест
Государственной автоматизированной
системы РФ "Правосудие" работников
отделов государственной службы и кадров.
На охране ПД граждан стоят и суды.
Например, суд частично удовлетворил
требование гражданина о компенсации ему
морального вреда, в связи с тем, что были
нарушены его права, гарантирующие защиту
при обработке ПД. Судом при рассмотрении
дела было установлено, что ответчики
совершили действия, направленные на
сбор, обработку, распространение ПД
истца, не имея согласия гражданина на
осуществление указанных действий (см.
апелляционное определение Алтайского
краевого суда от 29 сентября 2015 года по
делу N 33-9241/2015).
Однако анализ судебной практики
последних лет позволяет прийти к выводу
о том, что далеко не во всех случаях
действия оператора ПД признаются судом
неправомерными, даже если истец считает
их таковыми. Зачастую это связано со
сложностью и неоднозначностью некоторых
норм комментируемого Закона, наличием
коллизий, а также с юридической
безграмотностью основной массы
населения. Приведем примеры из судебной
практики, когда суды отказывали истцам в
удовлетворении их требований.
Пример 1.
Истец обратился в суд с иском об обязании
прекратить передачу ПД третьим лицам,
прекратить обработку ПД, взыскании
компенсации морального вреда,
опровергнуть сведения, порочащие честь,
достоинство и деловую репутацию. В
обосновании своих требований истец
указал на то, что между ним и ответчиком
был заключен кредитный договор. По
мнению истца, им были полностью
выполнены обязательства по уплате
задолженности перед банком. Но при этом
ему продолжали поступать звонки с
требованием уплаты долга. Исследовав
материалы дела, суд отказал в
удовлетворении требований истца,
ссылаясь на то, что доказательств того,
что ответчик передавал или передает
сведения о ПД истца каким-либо иным
третьим лицам, истцом не было
представлено (см. апелляционное
определение Московского городского суда
от 10 декабря 2015 года по делу N 33-46704/2015).
Пример 2.
Ответчик, являющийся владельцем сайта,
без ведома истца разместил на сайте
объявление о продаже квартиры с
указанием городского номера телефона
истца. При этом истец утверждал, что
данное объявление истцом и членами семьи
истца не размещалось, к риэлторам истец
не обращался. В связи с указанным, истец
просил суд взыскать с ответчика
моральный вред, причиненный истцу.
Однако суд отказал в удовлетворении этих
требований, потому что, исследовав
материалы дела, не нашел в действиях
ответчика действий, непосредственно
направленных на нарушение личных
неимущественных прав истца либо
посягающих на принадлежащие ему
нематериальные блага (см. апелляционное
определение Московского городского суда
от 2 февраля 2016 года по делу N 33-3609/2016).
Пример 3.
В своем почтовом ящике гражданин
обнаружил письмо от ответчика, в котором
содержались его данные, а также
требование уплаты задолженности за
коммунальные услуги. Истец пришел к
выводу, что тем самым ответчик нарушил
его права, предусмотренные
комментируемым Законом, так как истец не
был уведомлен ответчиком о начале
обработки его ПД. Истец обратился в суд с
иском о возмещении морального вреда.
Однако, по мнению суда, истец не
представил в суд надлежащих
доказательств того, что ему действиями
ответчика были причинены нравственные и
физические страдания, а также
доказательств наличия
причинно-следственной связи между
действиями ответчика и последствиями
нарушения его личных неимущественных
прав, и доказательств нарушения
ответчиком положений комментируемого
Закона. Поэтому в удовлетворении исковых
требований суд отказал (см.
апелляционное определение Московского
городского суда от 8 декабря 2015 года по
делу N 33-37848/2015).
ПД - это определенная информация.
Согласно ст.2 ФЗ "Об информации,
информационных технологиях и о защите
информации" информацией являются
сведения (сообщения, данные) независимо
от формы их представления. Информация
может являться объектом публичных,
гражданских и иных правовых отношений, а
также свободно использоваться любым
лицом и передаваться одним лицом другому
лицу, если федеральными законами не
установлены ограничения доступа к
информации либо иные требования к
порядку ее предоставления или
распространения. Поэтому информация в
зависимости от категории доступа к ней
подразделяется на:
- общедоступную информацию;
- информацию, доступ к которой ограничен
федеральными законами (информация
ограниченного доступа).
Таким образом, ПД граждан, кроме тех,
которые относятся к общедоступным,
являются информацией, доступ к которой
ограничен комментируемым Законом.
Кроме того, вся информация согласно ФЗ
"Об информации, информационных
технологиях и о защите информации" в
зависимости от порядка ее
предоставления или распространения
подразделяется на:
- информацию, свободно
распространяемую;
- информацию, предоставляемую по
соглашению лиц, участвующих в
соответствующих отношениях;
- информацию, которая в соответствии с
федеральными законами подлежит
предоставлению или распространению;
- информацию, распространение которой в
РФ ограничивается или запрещается.
Существуют различные категории ПД,
например:
- общедоступные ПД;
- специальные категории ПД;
- категории ПД, обрабатываемые в
информационных системах персональных
данных;
- биометрические ПД и т.д.
2.
Законодатель называет оператором ПД
государственный орган, муниципальный
орган, юридическое или физическое лицо,
организующие и (или) осуществляющие
обработку ПД. Оператор также определяет
цели и содержание обработки ПД. Оператор
ПД может действовать в отношении
обработки ПД как самостоятельно, так и
совместно с другими лицами. Оператор ПД
определяет:
- цели обработки ПД;
- состав ПД, подлежащих обработке;
- действия (операции), совершаемые с ПД.
Таким образом, оператором ПД будет
являться любая организация,
осуществляющая пусть даже простую
систематизацию или накопление ПД. Как
правило, под это определение подходят
почти все компании независимо от форм
собственности, т.к. они как минимум
осуществляют сбор, систематизацию,
хранение и уточнение сведений о своих
сотрудниках. Кроме этого большинство
организаций по роду своей деятельности
обрабатывают сведения о своих клиентах,
партнерах, поставщиках.
Операторами ПД будут считаться:
- организации, которые нанимают
работников по трудовым договорам,
договорам гражданско-правового
характера;
- страховые компании;
- операторы сотовой связи;
- образовательные организации;
- интернет-магазины;
- медицинские организации;
- государственные и муниципальные
учреждения, ведомства и службы;
- перевозчики всех видов транспорта;
- банки и т.п.
В письме Федеральной нотариальной
палаты письмо от 23 декабря 2011 года N 2515/07-17
дается разъяснение, что ряд из
перечисленных в ст.3 комментируемого
Закона действий, осуществляемых
оператором ПД, относится к деятельности,
также осуществляемой нотариусами и
нотариальными палатами субъектов РФ, и
предусмотренной, в частности, ст.24, 25, 29, 30,
42, 50, 52, 60 Основ законодательства
Российской Федерации о нотариате от 11
февраля 1993 года N 4462-I. Поэтому нотариусы и
нотариальные палаты являются
операторами ПД.
Как показала практика, некоторые
организации считают, что они будут
являться операторами ПД и на них
распространятся требования
комментируемого Закона лишь в том
случае, если организации подадут
уведомление об обработке ПД в
Роскомнадзор в соответствии со ст.22
комментируемого Закона. Такая точка
зрения является ошибочной. Указанные
выше лица являются операторами ПД
независимо от включения их в реестр
операторов, осуществляющих обработку ПД,
который ведет Роскомнадзор.
Физические лица вынуждены представлять
свои ПД организациям для заключения
договоров, получения комплекса услуг. Но
важно помнить, что оператору ПД не
следует требовать от субъектов ПД
сведений больше того, чем это нужно для
какой-то конкретной цели. При этом
храниться ПД могут не дольше, чем этого
требуют цели, для которых они
накапливались. По достижению такой цели
или утраты необходимости в достижении
цели ПД подлежат уничтожению. Кроме того
операторы ПД обязаны гарантировать
конфиденциальность информации и
предоставить гражданину право
самостоятельно решать какую информацию
и в каком объеме он готов раскрывать.
3. Под обработкой ПД понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, в том числе, следующие действия:
- сбор ПД;
- запись ПД;
- систематизацию ПД;
- накопление ПД;
- хранение ПД;
- уточнение (обновление, изменение) ПД;
- извлечение ПД;
- использование ПД;
- передачу (распространение,
предоставление, доступ) ПД;
- обезличивание ПД;
- блокирование ПД;
- удаление ПД;
- уничтожение ПД.
Статьей 86 Трудового кодекса РФ (далее - ТК
РФ) устанавливаются общие требования при
обработке ПД работника и гарантии их
защиты:
1)
обработка персональных данных работника
может осуществляться исключительно в
целях обеспечения соблюдения законов и
иных нормативных правовых актов,
содействия работникам в
трудоустройстве, получении образования
и продвижении по службе, обеспечения
личной безопасности работников,
контроля количества и качества
выполняемой работы и обеспечения
сохранности имущества;
2) при
определении объема и содержания
обрабатываемых персональных данных
работника работодатель должен
руководствоваться Конституцией
Российской Федерации, ТК РФ и иными
федеральными законами;
3) все
персональные данные работника следует
получать у него самого. Если
персональные данные работника возможно
получить только у третьей стороны, то
работник должен быть уведомлен об этом
заранее и от него должно быть получено
письменное согласие. Работодатель
должен сообщить работнику о целях,
предполагаемых источниках и способах
получения персональных данных, а также о
характере подлежащих получению
персональных данных и последствиях
отказа работника дать письменное
согласие на их получение;
4)
работодатель не имеет права получать и
обрабатывать сведения о работнике,
относящиеся в соответствии с
законодательством Российской Федерации
в области персональных данных к
специальным категориям персональных
данных, за исключением случаев,
предусмотренных ТК РФ и другими
федеральными законами;
5)
работодатель не имеет права получать и
обрабатывать персональные данные
работника о его членстве в общественных
объединениях или его профсоюзной
деятельности, за исключением случаев,
предусмотренных ТК РФ или иными
федеральными законами;
6) при
принятии решений, затрагивающих
интересы работника, работодатель не
имеет права основываться на
персональных данных работника,
полученных исключительно в результате
их автоматизированной обработки или
электронного получения;
7)
защита персональных данных работника от
неправомерного их использования или
утраты должна быть обеспечена
работодателем за счет его средств в
порядке, установленном ТК РФ и иными
федеральными законами;
8)
работники и их представители должны быть
ознакомлены под роспись с документами
работодателя, устанавливающими порядок
обработки персональных данных
работников, а также об их правах и
обязанностях в этой области;
9)
работники не должны отказываться от
своих прав на сохранение и защиту
тайны;
10)
работодатели, работники и их
представители должны совместно
вырабатывать меры защиты персональных
данных работников.
Как показывает практика,
образовательные организации в последние
годы сталкиваются с тем, что некоторые
родители отказываются давать согласие
на обработку ПД учащихся с целью ведения
электронных дневников и журналов.
Поскольку в большинстве современных
российских школ электронные дневники и
классные журналы заменили полностью их
бумажные варианты, такие действия
родителей создают проблемы для
нормального осуществления учебного
процесса. По этому поводу в отчете о
деятельности Роскомнадзора за 2014 год,
размещенном на официальном сайте
Роскомнадзора в сети Интернет (см. URL:
http://rkn.gov.ru/docs/Otchet_ZPD_rus.pdf), разъяснено, что в
указанных случаях оказание услуги по
ведению электронных дневников и
журналов посредством единого портала
государственных и муниципальных услуг
согласия субъекта ПД на обработку данных
не
требуется. Но в случае если оператор
поручил обработку ПД другому лицу с
согласия субъекта ПД, и в случае
последующего отказа законных
представителей от предоставления
согласия на обработку ПД,
образовательные организации теряют
право для передачи ПД обучающихся
третьему лицу.
Также важно учитывать разъяснения
Роскомнадзора, касающиеся оказания
услуг по осуществлению расчетов за
помещения и коммунальные услуги
третьими лицами в отсутствие согласия на
передачу ПД. В указанном выше отчете за
2014 год Роскомнадзор разъяснил, что ч.15
ст.155 Жилищного кодекса РФ (далее - ЖК РФ)
предусмотрено право управляющей
организации осуществлять расчеты с
нанимателями и собственниками жилых
помещений при участии платежных агентов.
Кроме того, в соответствии с ч.16 ст.155 ЖК
РФ в указанных случаях согласие
нанимателей и собственников жилых
помещений на передачу их персональных
данных платежным агентам не требуется.
4. Под
"автоматизированной обработкой ПД"
законодатель понимает обработку ПД при
помощи любых средств вычислительной
техники.
5.
Согласно ст.2 ФЗ "Об информации,
информационных технологиях и о защите
информации" распространением
информации называются действия,
направленные на получение информации
неопределенным кругом лиц или передачу
информации неопределенному кругу лиц.
Одной из форм распространения ПД может
являться обнародование ПД в средствах
массовой информации. В соответствии со
ст.2 Закона РФ от 27 декабря 1991 года N 2124-1
"О средствах массовой информации"
(далее по тексту - Закон "О средствах
массовой информации") массовой
информацией называются предназначенные
для неограниченного круга лиц печатные,
аудио-, аудиовизуальные и иные сообщения
и материалы. Под средством массовой
информации понимается периодическое
печатное издание, сетевое издание,
телеканал, радиоканал, телепрограмма,
радиопрограмма, видеопрограмма,
кинохроникальная программа, иная форма
периодического распространения
массовой информации под постоянным
наименованием (названием).
Распространение ПД может происходить и в
форме размещения ПД в
информационно-телекоммуникационных
сетях. Примером
информационно-телекоммуникационной
сети является сеть Интернет.
Операторы информационных систем общего
пользования и операторы связи обязаны
обеспечивать информационную
безопасность при подключении
информационных систем общего
пользования к
информационно-телекоммуникационным
сетям.
Отношения, связанные с обработкой ПД в
Интернете, также регулируются
положениями комментируемого Закона.
Основным органом, который отслеживает
факты нарушения прав субъектов ПД в
Интернете, является Роскомнадзор. При
этом механизм защиты прав субъектов ПД
является следующим (см. URL:
http://75.rkn.gov.ru/directions/p7166/p18007/):
- после поступления в Роскомнадзор
информации о нарушении законодательства
в области ПД путем незаконного
размещения на конкретном информационном
ресурсе сведений, содержащих
персональные данные, Роскомнадзор
устанавливает данные владельца и
администратора информационного ресурса,
а также провайдера хостинга;
- установление данных (адреса и
наименование организаций)
информационных посредников
осуществляется посредством открытых
сервисов whois в сети "Интернет"
(http://1whois.ru/, https://www.reg.ru). В случае
отсутствия такой информации в
общедоступных сервисах, а также при
необходимости уточнения данных
информационных посредников
Роскомнадзор взаимодействует с
регистраторами доменных имен;
- впоследствии в рамках полномочий
Роскомнадзора и в целях установления
факта незаконной обработки персональных
данных запрашивает у информационного
посредника документы, подтверждающие
осуществление деятельности по обработке
персональных данных в соответствии с
требованиями законодательства в области
персональных данных, а также направляет
требование об удалении размещенной
информации о персональных данных;
- в случае не удаления персональных
данных заявителя, Роскомнадзор
направляет в адрес органов прокуратуры
материалы для привлечения владельца
информационного ресурса к
административной ответственности.
6.
Согласно ст.87 ТК РФ порядок хранения и
использования ПД работников
устанавливается работодателем с
соблюдением требований ТК РФ,
комментируемого Закона и иных
федеральных законов. Таким образом, в
организациях должно быть разработано и
утверждено Положение о порядке хранения
и использования ПД работников.
Невыполнение этого требования
законодательства влечет наложение
административного штрафа на должностных
лиц в соответствии со ст.5.27 КоАП РФ.
Статьей 88 ТК РФ устанавливаются
требования к порядку передачи ПД
работника:
- работодатель не имеет права сообщать ПД
работника третьей стороне без
письменного согласия работника, за
исключением случаев, когда это
необходимо в целях предупреждения
угрозы жизни и здоровью работника, а
также в некоторых других случаях,
предусмотренных ТК РФ, комментируемым
Законом или иными федеральными законами,
о чем будет рассказано в последующих
комментариях к статьям Закона;
- работодатель не имеет права сообщать ПД
работника в коммерческих целях без его
письменного согласия;
- работодатель обязан предупредить лиц,
получающих ПД работника, о том, что эти
данные могут быть использованы лишь в
целях, для которых они сообщены, и
требовать от этих лиц подтверждения
того, что это правило соблюдено (кроме
случаев обмена ПД работников в порядке,
установленном ТК РФ);
- работодатель обязан осуществлять
передачу ПД работника в пределах одной
организации, у одного индивидуального
предпринимателя в соответствии с
локальным нормативным актом, с которым
работник должен быть ознакомлен под
роспись;
- работодатель может разрешать доступ к
ПД работников только специально
уполномоченным лицам, при этом указанные
лица должны иметь право получать только
те ПД работника, которые необходимы для
выполнения конкретных функций;
- работодатель не имеет права
запрашивать информацию о состоянии
здоровья работника, за исключением тех
сведений, которые относятся к вопросу о
возможности выполнения работником
трудовой функции;
- работодатель должен передавать ПД
работника представителям работников в
порядке, установленном ТК РФ,
комментируемым Законом и иными
федеральными законами, и ограничивать
эту информацию только теми ПД работника,
которые необходимы для выполнения
указанными представителями их функций.
7.
Блокированием ПД признается временное
прекращение любой обработки ПД. В
качестве исключения назван случай, когда
такая обработка необходима для
уточнения ПД.
Следует отметить, что такой способ как
блокирование ПД в отечественной
практике введен впервые комментируемым
Законом.
8.
Уничтожение ПД. Существует ряд ситуаций,
когда оператор обязан прекратить
обработку ПД, блокировать или уничтожить
их. Эти случаи предусмотрены ст.5, 14, 21
комментируемого Закона.
9. В
результате обезличивания ПД становится
невозможным без использования
дополнительной информации определить
принадлежность ПД конкретному субъекту
ПД.
Рассмотрим некоторые случаи, когда
целесообразно обезличить ПД.
В настоящее время в сети интернет
существует множество веб-сайтов,
требующих указывать сведения о
пользователе при регистрации. Согласно
требованиям комментируемого Закона
использование ПД пользователей подобных
ресурсов возможно только с письменного
согласия того посетителя, которому эти
данные соответствуют. Выходом в данной
ситуации может быть обезличивание ПД.
Таким образом, нужно сделать так, чтобы
по этим ПД нельзя было идентифицировать
пользователя.
Приказом Роскомнадзора от 5 сентября 2013
года N 996 утверждены требования и методы
по обезличиванию ПД, обрабатываемых в
информационных системах, в том числе
созданных и функционирующих в рамках
реализации федеральных целевых
программ. В силу указанного документа
обезличивание ПД должно обеспечивать не
только защиту от несанкционированного
использования, но и возможность их
обработки. Для этого обезличенные данные
должны обладать свойствами,
сохраняющими основные характеристики
обезличиваемых ПД. К таким свойствам
относятся:
- полнота: сохранение всей информации о
конкретных субъектах или группах
субъектов, которая имелась до
обезличивания;
- структурированность: сохранение
структурных связей между обезличенными
данными конкретного субъекта или группы
субъектов, соответствующих связям,
имеющимся до обезличивания;
- релевантность: возможность обработки
запросов по обработке ПД и получения
ответов в одинаковой семантической
форме;
- семантическая целостность: сохранение
семантики ПД при их обезличивании;
- применимость: возможность решения
задач обработки ПД, стоящих перед
оператором, осуществляющим
обезличивание ПД, без предварительного
деобезличивания всего объема записей о
субъектах;
- анонимность: невозможность однозначной
идентификации субъектов данных,
полученных в результате обезличивания,
без применения дополнительной
информации.
Наиболее удобными для практического
применения являются следующие методы
обезличивания:
- метод введения идентификаторов: замена
части значений ПД идентификаторами с
созданием таблицы соответствия
идентификаторов исходным данным;
- метод изменения состава или семантики:
изменение состава или семантики ПД путем
замены результатами статистической
обработки, обобщения или удаления части
сведений;
- метод декомпозиции: разбиение
множества ПД на несколько подмножеств с
последующим раздельным хранением
подмножеств;
- метод перемешивания: перестановка
отдельных записей, а также групп записей
в массиве ПД.
Рассмотрим указанные методы
обезличивания детальнее.
Метод введения идентификаторов
представляет собой замену части ПД,
позволяющих идентифицировать субъекта,
их идентификаторами и созданием таблицы
соответствия. При этом данный метод
обеспечивает следующие свойства
обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
Оценками свойств данного метода
являются:
- обратимость (метод позволяет провести
процедуру деобезличивания);
- вариативность (метод позволяет перейти
от одной таблицы соответствия к другой
без проведения процедуры
деобезличивания);
- изменяемость (метод не позволяет
вносить изменения в массив обезличенных
данных без предварительного
деобезличивания);
- стойкость (метод не устойчив к атакам,
подразумевающим наличие у лица,
осуществляющего несанкционированный
доступ, частичного или полного доступа к
справочнику идентификаторов, стойкость
метода не повышается с увеличением
объема обезличиваемых персональных
данных);
- возможность косвенного
деобезличивания (метод не исключает
возможность деобезличивания с
использованием ПД, имеющихся у других
операторов);
- совместимость (метод позволяет
интегрировать записи, соответствующие
отдельным атрибутам);
- параметрический объем (объем таблицы
(таблиц) соответствия определяется
числом записей о субъектах ПД,
подлежащих обезличиванию);
- возможность оценки качества данных
(метод позволяет проводить анализ
качества обезличенных данных).
Метод изменения состава или семантики
представляет собой обобщения, изменения
или удаления части сведений, позволяющих
идентифицировать субъекта. При этом
данный метод обеспечивает следующие
свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
Оценкой свойств метода являются:
- обратимость (метод не позволяет
провести процедуру деобезличивания в
полном объеме и применяется при
статистической обработке ПД);
- вариативность (метод не позволяет
изменять параметры метода без
проведения предварительного
деобезличивания);
- изменяемость (метод позволяет вносить
изменения в набор обезличенных данных
без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на
идентификацию определяется набором
правил реализации, стойкость метода не
повышается с увеличением объема
обезличиваемых ПД);
- возможность косвенного
деобезличивания (метод исключает
возможность деобезличивания с
использованием ПД, имеющихся у других
операторов);
- совместимость (метод не обеспечивает
интеграции с данными, обезличенными
другими методами);
- параметрический объем (параметры
метода определяются набором правил
изменения состава или семантики ПД);
- возможность оценки качества данных
(метод не позволяет проводить анализ,
использующий конкретные значения ПД).
Метод декомпозиции реализуется путем
разбиения множества записей ПД на
несколько подмножеств и создание таблиц,
устанавливающих связи между
подмножествами, с последующим
раздельным хранением записей,
соответствующих этим подмножествам.
Данный метод обеспечивает следующие
свойства обезличенных данных:
- полноту;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
При этом оценкой этих свойств являются:
- обратимость (метод позволяет провести
процедуру деобезличивания);
- вариативность (метод позволяет
изменить параметры декомпозиции без
предварительного деобезличивания);
- изменяемость (метод позволяет вносить
изменения в набор обезличенных данных
без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам,
подразумевающим наличие у
злоумышленника информации о множестве
субъектов или доступа к нескольким
частям раздельно хранимых сведений);
- возможность косвенного
деобезличивания (метод не исключает
возможность деобезличивания с
использованием ПД, имеющихся у других
операторов);
- совместимость (метод обеспечивает
интеграцию с данными, обезличенными
другими методами);
- параметрический объем (определяется
числом подмножеств и числом субъектов
ПД, массив которых обезличивается, а
также правилами разделения ПД на части и
объемом таблиц связывания записей,
находящихся в различных хранилищах);
- возможность оценки качества данных
(метод позволяет проводить анализ
качества обезличенных данных).
Метод перемешивания представляет собой
перемешивание отдельных записей, а также
групп записей между собой, и
обеспечивает следующие свойства
обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
В качестве оценки свойств метода следует
считать:
- обратимость (метод позволяет провести
процедуру деобезличивания);
- вариативность (метод позволяет
изменять параметры перемешивания без
проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить
изменения в набор обезличенных данных
без предварительного деобезличивания);
- стойкость (длина перестановки и их
совокупности определяет стойкость
метода к атакам на идентификацию);
- возможность косвенного
деобезличивания (метод исключает
возможность проведения деобезличивания
с использованием ПД, имеющихся у других
операторов);
- совместимость (метод позволяет
проводить интеграцию с данными,
обезличенными другими методами);
- параметрический объем (зависит от
заданных методов и правил перемешивания
и требуемой стойкости к атакам на
идентификацию);
- возможность оценки качества данных
(метод позволяет проводить анализ
качества обезличенных данных).
10.
Информационная система ПД. Приведем
примеры информационных систем ПД:
- автоматизированные банковские системы,
содержащие данные о сотрудниках банка, о
клиентах, партнерах и т.п.;
- автоматизированные медицинские
системы, содержащие данные о пациентах и
т.п.;
- кадровые системы, содержащие данные о
соискателях работы;
- бухгалтерские системы, содержащие
данные о сотрудниках и клиентах
организации;
- почтовые системы, содержащие данные о
сотрудниках организации, клиентах,
партнерах, заполненные карточки в
адресных книгах почтовых систем и т.п.;
- системы документооборота, содержащие
данные о сотрудниках организации,
клиентах, партнерах;
- автоматизированные системы бюро
пропусков, содержащие данные о
посетителях.
Информационные системы по
принадлежности можно классифицировать
следующим образом:
- информационные системы
государственных органов;
- информационные системы муниципальных
органов;
- информационные системы юридических
лиц;
- информационные системы физических лиц
(за исключением случаев, когда последние
используют указанные системы
исключительно для личных и семейных
нужд).
Постановление Правительства РФ от 1
ноября 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных"
называет следующие основные виды
информационных систем:
- информационная система, обрабатывающая
специальные категории ПД, - это система, в
которой обрабатываются ПД, касающиеся
расовой, национальной принадлежности,
политических взглядов, религиозных или
философских убеждений, состояния
здоровья, интимной жизни субъектов ПД;
- информационная система, обрабатывающая
биометрические ПД, - это система,
обрабатывающая сведения, которые
характеризуют физиологические и
биологические особенности человека, на
основании которых можно установить его
личность и которые используются
оператором для установления личности
субъекта ПД, и не обрабатываются
сведения, относящиеся к специальным
категориям ПД;
- информационная система, обрабатывающая
общедоступные ПД, - это система, в которой
обрабатываются ПД, полученные только из
общедоступных источников ПД, созданных в
соответствии со ст.8 комментируемого
Закона;
- информационная система, обрабатывающая
иные категории ПД, - система,
обрабатывающая ПД кроме тех, что указаны
выше;
- информационная система, обрабатывающая
ПД сотрудников оператора, - это система, в
которой обрабатываются ПД только
указанных сотрудников.
11.
Конфиденциальность подразумевает
обязанность операторов и иных лиц,
получивших доступ к ПД, не раскрывать их
третьим лицам и не распространять без
согласия субъекта данных.
Требования к сохранению
конфиденциальности информации
закреплены также Законом РФ "О
средствах массовой информации".
Согласно ст.41 данного закона редакция не
вправе разглашать в распространяемых
сообщениях и материалах сведения,
предоставленные гражданином с условием
сохранения их в тайне. Кроме того
редакция обязана сохранять в тайне
источник информации и не вправе называть
лицо, предоставившее сведения с условием
неразглашения его имени, за исключением
случая, когда соответствующее
требование поступило от суда в связи с
находящимся в его производстве делом.
Редакция также не вправе разглашать в
сообщениях и материалах информацию о
несовершеннолетних за исключением
случаев, если распространение такой
информации осуществляется в целях
защиты прав и законных интересов
несовершеннолетнего, пострадавшего в
результате противоправных действий. В
указанных случаях информация может быть
распространена в СМИ и Интернете
только:
- с согласия несовершеннолетнего,
достигшего четырнадцатилетнего
возраста, и его законного
представителя;
- с согласия законного представителя
несовершеннолетнего, не достигшего
четырнадцатилетнего возраста;
- без согласия несовершеннолетнего,
достигшего четырнадцатилетнего
возраста), и (или) законного
представителя такого
несовершеннолетнего, если получить это
согласие невозможно, либо если законный
представитель такого
несовершеннолетнего является
подозреваемым или обвиняемым в
совершении данных противоправных
действий.
Что касается преступлений против
половой неприкосновенности и половой
свободы личности несовершеннолетнего,
то распространение информации
допускается лишь в случаях, если это
необходимо для расследования
преступления, установления лиц,
причастных к совершению преступления,
розыска пропавших несовершеннолетних и
т.п.
12.
Впервые вопрос о трансграничной
передаче ПД возник, когда начался
процесс объединения Европы. Ранее
субъект ПД имел право отстоять свои
интересы в собственной стране, но если
нарушение его прав произошло за ее
пределами, обеспечить полноценную
защиту своих интересов он не мог.
Комментарий к статье 4. Законодательство Российской Федерации в области персональных данных
1.
Комментируемая статья устанавливает
перечень основных актов, которые
формируют систему законодательства в
области защиты ПД.
Частью 1 комментируемой статьи
устанавливается, что законодательство
РФ в области ПД основывается на:
- Конституции РФ;
- международных договорах РФ.
Конституция РФ - это основной закон РФ.
Конституция РФ имеет высшую юридическую
силу, прямое действие и применяется на
всей территории РФ. Законы и иные
правовые акты, принимаемые в РФ, не
должны противоречить Конституции РФ.
Таким образом, правовую основу системы
защиты ПД составляют положения
Конституции РФ.
Международный договор РФ - это
международное соглашение, заключенное
РФ с иностранным государством (или
государствами), с международной
организацией либо с иным образованием,
обладающим правом заключать
международные договоры, в письменной
форме и регулируемое международным
правом, независимо от того, содержится
такое соглашение в одном документе или в
нескольких связанных между собой
документах, а также независимо от его
конкретного наименования. Согласно
положениям Федерального закона от 15 июля
1995 года N 101-ФЗ "О международных
договорах Российской Федерации"
международные договоры образуют
правовую основу межгосударственных
отношений, содействуют поддержанию
всеобщего мира и безопасности, развитию
международного сотрудничества в
соответствии с целями и принципами
Устава Организации Объединенных Наций.
Международным договорам принадлежит
важная роль в защите основных прав и
свобод человека, в обеспечении законных
интересов государств. Международные
договоры РФ наряду с общепризнанными
принципами и нормами международного
права являются в соответствии с
Конституцией РФ составной частью ее
правовой системы.
Законодательство РФ в области ПД состоит
из комментируемого Закона, других
определяющих случаи и особенности
обработки ПД федеральных законов,
например:
- ТК РФ (гл.14 "Защита персональных
данных работника" и др.);
- ФЗ "Об информации, информационных
технологиях и о защите информации";
- Федерального закона от 15 ноября 1997 года
N 143-ФЗ "Об актах гражданского
состояния";
- Федерального закона от 22 октября 2004
года N 125-ФЗ "Об архивном деле в
Российской Федерации";
- Федерального закона от 12 августа 1995
года N 144-ФЗ "Об оперативно-розыскной
деятельности";
- Федерального закона от 12 июня 2002 года N
67-ФЗ "Об основных гарантиях
избирательных прав и права на участие в
референдуме граждан Российской
Федерации";
- Федерального закона от 21 ноября 2011 года
N 323-ФЗ "Об основах охраны здоровья
граждан в Российской Федерации";
- Федерального закона от 1 апреля 1996 года N
27-ФЗ "Об индивидуальном
(персонифицированном) учете в системе
обязательного пенсионного
страхования";
- Федерального закона от 8 августа 2001 года
N 129-ФЗ "О государственной регистрации
юридических лиц и индивидуальных
предпринимателей";
- Закона РФ от 21 июля 1993 года N 5485-I "О
государственной тайне" и др.
2. В
пределах своих полномочий определенные
субъекты имеют право по вопросам,
касающимся обработки ПД, принимать:
- нормативные правовые акты;
- нормативные акты;
- правовые акты.
Положениями ч.2 комментируемой статьи на
этот счет закреплено, что на основании и
во исполнение федеральных законов
государственные органы, Банк России,
органы местного самоуправления в
пределах своих полномочий могут
принимать нормативные правовые акты,
нормативные акты, правовые акты по
отдельным вопросам, касающимся
обработки персональных данных.
При этом необходимо учесть, что
указанные акты не могут содержать
положения, ограничивающие права
субъектов персональных данных,
устанавливающие не предусмотренные
федеральными законами ограничения
деятельности операторов или возлагающие
на операторов не предусмотренные
федеральными законами обязанности, и
подлежат официальному опубликованию.
В силу Положения Банка России "О
порядке подготовки и вступления в силу
нормативных актов Банка России",
утвержденного приказом Банка России от 15
сентября 1997 года N 02-395, нормативные акты
Банка России принимаются им по вопросам,
отнесенным к компетенции Банка России
Федеральным законом от 10 июля 2002 года N
86-ФЗ "О Центральном банке Российской
Федерации (Банке России)" и другими
федеральными законами. Нормативные акты
Банка России могут издаваться в
следующих формах:
- указание Банка России;
- положение Банка России;
- инструкция Банка России.
Согласно ст.7 Федерального закона от 6
октября 2003 года N 131-ФЗ "Об общих
принципах организации местного
самоуправления в Российской
Федерации" органами местного
самоуправления и должностными лицами
местного самоуправления по вопросам
местного значения принимаются муниципальные
правовые акты. По вопросам
осуществления отдельных
государственных полномочий, переданных
органам местного самоуправления
федеральными законами и законами
субъектов РФ, могут приниматься
муниципальные правовые акты на
основании и во исполнение положений,
установленных соответствующими
федеральными законами и (или) законами
субъектов РФ.
В качестве примера актов, принятых в силу
положений ч.2 комментируемой статьи,
укажем на следующие акты:
- приказ Федеральной службы судебных
приставов от 17 июля 2015 года N 354 "Об
обработке персональных данных в
Федеральной службе судебных
приставов";
- приказ Федерального агентства по делам
молодежи от 1 июня 2015 года N 78 "Об
обработке персональных данных в
Федеральном агентстве по делам
молодежи";
- приказ Федеральной службы по
регулированию алкогольного рынка от 20
мая 2015 года N 132 "Об утверждении типовых
форм согласия на обработку персональных
данных федеральных государственных
гражданских служащих Федеральной службы
по регулированию алкогольного рынка, а
также иных субъектов персональных
данных и разъяснения субъекту
персональных данных юридических
последствий отказа предоставить свои
персональные данные";
- приказ Федеральной миграционной службы
от 29 апреля 2015 года N 230 "Об обработке
персональных данных в системе ФМС
России";
- приказ Федерального агентства по
рыболовству от 12 января 2015 года N 1 "Об
утверждении Правил обработки
персональных данных в
Росрыболовстве";
- приказ Федеральной службы по
ветеринарному и фитосанитарному надзору
от 24 декабря 2014 года N 779 "О
персональных данных в Федеральной
службе по ветеринарному и
фитосанитарному надзору";
- приказ Федеральной таможенной службы
от 18 декабря 2014 года N 2495 "Об
утверждении правил обработки
персональных данных в таможенных
органах Российской Федерации,
организациях, находящихся в ведении ФТС
России, представительствах
(представителями) таможенной службы
Российской Федерации в иностранных
государствах";
- приказ Министерства энергетики РФ от 14
октября 2014 года N 724 "О персональных
данных в Министерстве энергетики
Российской Федерации";
- приказ Главного управления специальных
программ Президента РФ от 25 июля 2014 года N
42 "Об организации работы с
персональными данными в Главном
управлении специальных программ
Президента Российской Федерации";
- приказ Министерства строительства и
жилищно-коммунального хозяйства РФ от 28
марта 2014 года N 132/пр "Об утверждении
Положения об обработке и защите
персональных данных в Министерстве
строительства и жилищно-коммунального
хозяйства Российской Федерации";
- приказ Федеральной службы по
финансовому мониторингу от 21 января 2014
года N 10 "Об утверждении Положения об
обработке и защите персональных данных в
Федеральной службе по финансовому
мониторингу";
- приказ Министерства спорта РФ от 24
декабря 2013 года N 1112 "О персональных
данных в Министерстве спорта Российской
Федерации";
- приказ Федеральной службы по надзору в
сфере защиты прав потребителей и
благополучия человека от 23 декабря 2013
года N 964 "Об утверждении Положения об
обработке и защите персональных данных в
Роспотребнадзоре";
- приказ Федеральной службы
государственной статистики от 9 августа
2013 года N 316 "Об утверждении Положения
об обработке и защите персональных
данных в центральном аппарате
Федеральной службы государственной
статистики, связанных с реализацией
служебных или трудовых отношений";
- приказ МИД России от 5 августа 2013 года N
14172 "Об утверждении Положения об
организации работы с персональными
данными федеральных государственных
гражданских служащих центрального
аппарата Министерства иностранных дел
Российской Федерации, дипломатических
представительств и консульских
учреждений Российской Федерации при
международных (межгосударственных,
межправительственных) организациях,
территориальных органах -
представительствах Министерства
иностранных дел Российской Федерации на
территории Российской Федерации";
- приказ Государственной фельдъегерской
службы РФ от 12 июля 2013 года N 306 "О
персональных данных в системе ГФС
России";
- приказ Федеральной службы по надзору в
сфере транспорта от 21 января 2013 года N
АК-35фс "Об утверждении Положения об
обработке персональных данных в
центральном аппарате Федеральной службы
по надзору в сфере транспорта";
- приказ Федеральной службы по надзору в
сфере связи, информационных технологий и
массовых коммуникаций от 3 декабря 2012
года N 1255 "Об утверждении Положения об
обработке и защите персональных данных в
центральном аппарате Федеральной службы
по надзору в сфере связи, информационных
технологий и массовых коммуникаций";
- приказ Федерального казначейства от 14
сентября 2012 года N 16н "Об утверждении
Положения об организации работы с
персональными данными федеральных
государственных гражданских служащих
центрального аппарата Федерального
казначейства, заместителей
руководителей территориальных органов
Федерального казначейства";
- приказ Федеральной службы по
оборонному заказу от 23 июля 2012 года N 100
"О защите персональных данных
федеральных государственных
гражданских служащих
Рособоронзаказа";
- приказ Министра обороны РФ от 16 июня 2012
года N 1500 "Об утверждении Положения об
обработке персональных данных в
центральном аппарате Министерства
обороны Российской Федерации";
- приказ Федеральной службы судебных
приставов от 12 мая 2012 года N 248 "Об
утверждении Порядка создания и ведения
банка данных в исполнительном
производстве Федеральной службы
судебных приставов в электронном
виде";
- приказ Управления делами Президента РФ
от 28 июля 2011 года N 451 "О защите
персональных данных федеральных
государственных гражданских служащих
Управления делами Президента Российской
Федерации";
- приказ Минфина РФ от 4 июля 2011 года N 75н
"О защите персональных данных
федеральных государственных
гражданских служащих Министерства
финансов Российской Федерации,
заместителей руководителей федеральных
служб, находящихся в ведении
Министерства финансов Российской
Федерации, руководителей их
территориальных органов, назначаемых на
должность Министром финансов Российской
Федерации";
- приказ Федерального агентства по
поставкам вооружения, военной,
специальной техники и материальных
средств от 22 апреля 2011 года N 116 "О
защите персональных данных федеральных
государственных гражданских служащих
центрального аппарата Федерального
агентства по поставкам вооружения,
военной, специальной техники и
материальных средств";
- приказ Федерального агентства по
печати и массовым коммуникациям от 1
декабря 2010 года N 584 "О защите
персональных данных государственного
гражданского служащего Федерального
агентства по печати и массовым
коммуникациям";
- приказ Федеральной миграционной службы
от 26 ноября 2010 года N 423 "Об утверждении
Положения о защите персональных данных
работников системы ФМС России";
- приказ Федеральной миграционной службы
от 25 ноября 2010 года N 420 "О защите
персональных данных федеральных
государственных гражданских служащих
ФМС России";
- приказ Минюста РФ от 22 октября 2010 года N
316 "О защите персональных данных
федеральных государственных
гражданских служащих Минюста
России";
- приказ Федеральной антимонопольной
службы от 4 октября 2010 года N 559 "Об
утверждении Положения об организации
работы с персональными данными
федерального государственного
гражданского служащего ФАС России и
ведении его личного дела";
- приказ Федеральной службы по
экологическому, технологическому и
атомному надзору от 17 сентября 2010 года N
919 "Об организации работы с
персональными данными государственного
гражданского служащего центрального
аппарата Федеральной службы по
экологическому, технологическому и
атомному надзору";
- приказ Федерального агентства
специального строительства от 21 июня 2010
года N 278 "О мерах по защите
персональных данных в Федеральном
агентстве специального
строительства";
- приказ Федерального агентства
железнодорожного транспорта от 7 апреля
2010 года N 137 "Об организации работы с
персональными данными государственного
гражданского служащего центрального
аппарата Федерального агентства
железнодорожного транспорта и ведении
его личного дела";
- приказ Федерального
медико-биологического агентства от 8
июля 2009 года N 501 "Об утверждении
Положения о работе с персональными
данными государственного гражданского
служащего Федерального
медико-биологического агентства и
ведении его личного дела";
- приказ Федеральной службы по надзору в
сфере здравоохранения и социального
развития от 12 мая 2009 года N 3500-Пр/09 "О
защите персональных данных
государственных гражданских служащих
центрального аппарата и заместителей
руководителей территориальных органов
Федеральной службы по надзору в сфере
здравоохранения и социального
развития";
- приказ Минтранса РФ от 17 февраля 2009 года
N 27 "Об утверждении Положения об
организации работы с персональными
данными государственного гражданского
служащего Министерства транспорта
Российской Федерации и ведении его
личного дела";
- приказ Федерального дорожного
агентства от 2 февраля 2009 года N 5 "О
защите персональных данных
государственных гражданских служащих
Федерального дорожного агентства";
- приказ Министерства энергетики РФ от 11
ноября 2008 года N 166 "Об утверждении
Положения о работе по обработке
персональных данных в Министерстве
энергетики Российской Федерации";
- приказ Федеральной службы по тарифам от
7 ноября 2008 года N 441-к "Об утверждении
Положения о работе с персональными
данными государственного гражданского
служащего ФСТ России и ведении его
личного дела";
- приказ Федерального агентства по
обустройству государственной границы РФ
от 13 октября 2008 года N 101 "О защите
персональных данных федеральных
государственных гражданских служащих
Федерального агентства по обустройству
государственной границы Российской
Федерации";
- приказ Федерального фонда ОМС от 19
августа 2008 года N 180 "Об утверждении
Положения о защите персональных данных
работников Федерального фонда
обязательного медицинского
страхования";
- приказ Министерства экономического
развития РФ от 2 сентября 2014 года N 549
"Об утверждении Инструкции по
формированию, ведению, хранению,
передаче личных дел и учету персональных
данных государственных гражданских
служащих и работников Министерства
экономического развития Российской
Федерации";
- приказ Федерального агентства по
образованию от 18 ноября 2009 года N 2114 "Об
утверждении Положения об обработке и
защите персональных данных в
Федеральном агентстве по
образованию";
- приказ Генеральной прокуратуры РФ от 22
ноября 2013 года N 506 "Об утверждении и
введении в действие Инструкции о порядке
обработки в органах прокуратуры
Российской Федерации персональных
данных, полученных в связи с
осуществлением прокурорского
надзора";
- приказ Судебного департамента при
Верховном Суде РФ от 10 апреля 2015 года N 96
"Об утверждении списка должностей
федеральных государственных
гражданских служащих Судебного
департамента при Верховном Суде
Российской Федерации, уполномоченных на
обработку персональных данных судей и
имеющих доступ к соответствующим
программно-техническим средствам,
информационным системам и
помещениям";
- приказ Судебного департамента при
Верховном Суде РФ от 14 марта 2011 года N 47
"Об утверждении Инструкции о порядке
обработки и защиты персональных данных
судей районных, городских, межрайонных
судов, гарнизонных военных судов";
- приказ Министра финансов Московской
области от 22 апреля 2014 года N 22П-47 "Об
обработке персональных данных в
Министерстве финансов Московской
области";
- приказ Министра физической культуры,
спорта, туризма и работы с молодежью МО
от 2 апреля 2013 года N 14-86-П "Об
утверждении Правил обработки
персональных данных в Министерстве
физической культуры, спорта, туризма и
работы с молодежью Московской
области";
- приказ Министра транспорта Московской
области от 30 ноября 2012 года N 188 "Об
утверждении Положения об обработке
персональных данных в Министерстве
транспорта Московской области" и др.
3.
Частью 3 комментируемой статьи
устанавливается, что особенности
обработки ПД, осуществляемой без
использования средств автоматизации,
могут быть установлены иными
федеральными законами и иными
нормативными правовыми актами. При этом
должны учитываться положения
комментируемого Закона.
Обработка персональных данных,
содержащихся в информационной системе
персональных данных либо извлеченных из
такой системы, считается осуществленной
без использования средств автоматизации
(неавтоматизированной), если такие
действия с персональными данными, как
использование, уточнение,
распространение, уничтожение
персональных данных в отношении каждого
из субъектов персональных данных,
осуществляются при непосредственном
участии человека.
При этом обработка персональных данных
не может быть признана осуществляемой с
использованием средств автоматизации
только на том основании, что
персональные данные содержатся в
информационной системе персональных
данных либо были извлечены из нее.
В настоящее время особенности обработки
ПД, осуществляемой без использования
средств автоматизации, регулируются
постановлением Правительства РФ от 15
сентября 2008 года N 687 "Об утверждении
Положения об особенностях обработки
персональных данных, осуществляемой без
использования средств автоматизации".
С учетом норм комментируемого Закона и
указанного постановления утвержден
приказ Фонда социального страхования РФ
от 21 января 2014 года N 10 "Об утверждении
Положения о защите персональных данных
работников Фонда социального
страхования Российской Федерации,
обрабатываемых без использования
средств автоматизации".
В Положении об обработке персональных
данных в центральном аппарате
Министерства обороны Российской
Федерации, утв. приказом Министра
обороны РФ от 16 июня 2012 года N 1500,
содержится отдельный раздел,
регулирующий правила обработки
персональных данных, осуществляемой без
использования средств автоматизации.
Аналогичный раздел присутствует и в
Положении об обработке персональных
данных в центральном аппарате
Федеральной службы по надзору в сфере
транспорта, утв. приказом Федеральной
службы по надзору в сфере транспорта от 21
января 2013 года N АК-35фс.
4.
Комментируемая норма, воспроизводя
положения ч.4 ст.15 Конституции РФ и п.2 ст.5
Федерального закона от 15 июля 1995 года N
101-ФЗ "О международных договорах
Российской Федерации" о превосходстве
применения международных договоров РФ
по отношению к национальному
законодательству, носит предельно
лаконичный характер, вызывая тем самым
ряд определенных трудностей в ее
практическом применении. Так, в
частности, не установлено, какие именно
международные договоры РФ
(межгосударственные,
межправительственные,
межведомственного характера) и в
отношении каких именно законов имеют
приоритет. Представляется, что в решении
данного вопроса необходимо учитывать
такой критерий, как юридическая сила
международных договоров Российской
Федерации и характер их взаимоотношений
с национальными законами. По этой
причине достаточно обоснованным можно
считать изложенное в отечественной
юридической литературе мнение об
установлении следующей
дифференциации:
См. Агешкина Н.А.
Научно-практический комментарий к
Федеральному закону от 15 июля 1995 года N
101-ФЗ "О международных договорах
Российской Федерации". М., 2013.
Комментарий к ст.5.
- юридическая сила международных
договоров РФ, утвержденных Указом
Президента РФ, равна юридической силе
самого указа;
- юридическая сила международных
договоров, утвержденных постановлением
Правительства РФ, равнозначна
юридической силе данного
постановления.
Таким образом, указанные группы
международных договоров РФ, наряду с
утвердившими их нормативными правовыми
актами, занимают в иерархической системе
источников национального права место,
следующее за федеральными законами, а
соответственно, должны заключаться и
применяться в строгом соответствии с
ними. Из этого следует, что международные
договоры РФ, утвержденные Президентом
или Правительством РФ, имеют приоритет
только в отношении президентских,
правительственных или иных актов,
издаваемых нижестоящими органами
государственной власти. Договоры
межведомственного характера пользуются
приоритетом лишь в отношении актов
соответствующего ведомства (ведомств).
Перед внутригосударственными
законодательными нормами приоритетом
обладают те международные договоры РФ,
которые в соответствии с установленным
законодательством порядком,
ратифицированы и опубликованы. Именно
ратификация придает международному
договору РФ юридическую силу
федерального закона и наделяет его
свойствами приоритета по отношению к
другим законам. Нератифицированные
международные (межгосударственные,
межправительственные, межведомственные)
договоры не обладают иерархическим
приоритетом в случае возникновения
коллизии между положениями закона и
положениями вышеупомянутых договоров.
Международный договор РФ,
устанавливающий иные по сравнению с
национальными нормами правила, не
отменяет действия последних. Его
преимущественная сила может проявляться
только на стадии правоприменения.
Несоответствие норм
внутригосударственного закона и
международного договора РФ не ведет к
автоматической отмене или
неприменимости этого закона. В силу ч.6
ст.125 Конституции РФ приоритет
международных договоров РФ не может быть
исключительным, поскольку международные
договоры РФ, не соответствующие
Конституции РФ, не подлежат введению в
действие и применению.
Для практической реализации
комментируемых норм следует учитывать и
тот факт, что устанавливаемые
международным договором РФ правила
подлежат применению в случаях, если:
- Российская Федерация в лице
компетентных органов государственной
власти выразила свое согласие на
обязательность для нее международного
договора посредством одного из действий,
перечисленных в ст.6 Федерального закона
от 15 июля 1995 года N 101-ФЗ "О
международных договорах Российской
Федерации";
- международный договор вступил в силу
для Российской Федерации.
Такое положение целенаправленно
закреплено в п.4 постановления Пленума
Верховного Суда РФ от 10 октября 2003 года N 5
"О применении судами общей юрисдикции
общепризнанных принципов и норм
международного права и международных
договоров Российской Федерации". При
этом судебными органами РФ при
осуществлении правосудия принимаются во
внимание не только соответствующие
международные договоры РФ, но и
общепризнанные принципы и нормы
международного права, ставшие частью
правовой системы Российской Федерации в
силу ч.4 ст.15 Конституции РФ.
В силу изложенного, для целей
комментируемого Закона особое значение
имеют международные нормы, закрепленные
в Конвенции Совета Европы о защите
физических лиц при автоматизированной
обработке персональных данных
(Страсбург, 28 января 1981 года), поскольку
данный акт был ратифицирован Россией
посредством принятия Федерального
закона от 19 декабря 2005 года N 160-ФЗ "О
ратификации Конвенции Совета Европы о
защите физических лиц при
автоматизированной обработке
персональных данных".
Цель обозначенной Конвенции состоит в
обеспечении на территории каждой
стороны для каждого физического лица,
независимо от его гражданства или
местожительства, уважения его прав и
основных свобод, и в частности его права
на неприкосновенность частной жизни, в
отношении автоматизированной обработки
касающихся его персональных данных
("защита данных").
Необходимо учитывать, что указанная
Конвенция была ратифицирована со
следующими заявлениями:
1)
Российская Федерация заявляет, что в
соответствии с подпунктом "а"
пункта 2 статьи 3 Конвенции не будет
применять Конвенцию к персональным
данным:
а)
обрабатываемым физическими лицами
исключительно для личных и семейных
нужд;
б)
отнесенным к государственной тайне в
порядке, установленном
законодательством Российской Федерации
о государственной тайне;
2)
Российская Федерация заявляет, что в
соответствии с подпунктом "с"
пункта 2 статьи 3 Конвенции будет
применять Конвенцию к персональным
данным, которые не подвергаются
автоматизированной обработке, если
применение Конвенции соответствует
характеру действий, совершаемых с
персональными данными без использования
средств автоматизации;
3)
Российская Федерация заявляет, что в
соответствии с подпунктом "а"
пункта 2 статьи 9 Конвенции оставляет за
собой право устанавливать ограничения
права субъекта персональных данных на
доступ к персональным данным о себе в
целях защиты безопасности государства и
общественного порядка.
Также обратим внимание, что Россия не
ратифицировала Дополнительный протокол
к Конвенции о защите физических лиц при
автоматизированной обработке
персональных данных, о наблюдательных
органах и трансграничной передаче
информации ETS N 181 (Страсбург, 8 ноября 2001
года), что исключает возможность его
применения к внутригосударственным
отношениям, направленным на защиту
физических лиц при автоматизированной
обработке персональных данных.
В рамках комментируемой статьи хотелось
бы указать на Рекомендации Комитета
Министров Совета Европы СМ/REC (2014)
Государствам-членам о Руководстве по
правам человека для пользователей
Интернета (принята Комитетом Министров
Совета Европы 16 апреля 2014 года на 1197-м
заседании Заместителей Министров). В этих Рекомендациях, в частности,
содержится раздел "Защита частной
жизни и защита данных", где, помимо
прочего, отражено, что персональные
данные пользователей Интернета должны
обрабатываться только в установленных
законодательством случаях или с их
согласия. Пользователи должны быть
проинформированы о том, какие ваши
персональные данные обрабатываются
и/или передаются третьим лицам, о том,
когда, кем и для какой цели это делается.
По общему правилу пользователи должны
иметь возможность осуществлять контроль
своих персональных данных (проверять их
точность, требовать внесения изменений,
удаления или обращаться с требованием о
том, чтобы персональные данные не
хранились дольше положенного срока).
Совет Европы - международная
организация, созданная в 1949 году, целью
которой является достижение большего
единства между его членами во имя защиты
и осуществления идеалов и принципов,
являющихся их общим достоянием, и
содействие их экономическому и
социальному прогрессу. Это достигается
усилиями органов Совета Европы
посредством рассмотрения вопросов,
представляющих общий интерес,
заключения соглашений и проведения
совместных действий в экономической,
социальной, культурной, научной,
правовой и административной областях,
равно как и путем поддержания и
дальнейшего осуществления прав человека
и основных свобод (см. Устав Совета
Европы ETS N 001 (Лондон, 5 мая 1949 года)
(официальный сайт: URL: http://www.coe.int)).
Российская Федерация присоединилась к
Уставу Совета Европы Федеральным
законом от 23 февраля 1996 года N 19-ФЗ "О
присоединении России к Уставу Совета
Европы"; Устав вступил в силу для
Российской Федерации 28 февраля 1996 года.
Совет Европы является полностью
самостоятельной организацией, не
входящей в систему Европейского союза.
При практической реализации норм ч.4
комментируемой статьи, а также положений
ст.12 Закона относительно трансграничной
передачи персональных данных на
территории иностранных государств,
равно как и других норм комментируемого
Закона, следует учитывать, что Российская
Федерация не является членом
Европейского Союза (см. официальный
сайт Евросоюза: URL: www.europa.eu.int), что исключает
возможность применения к
внутригосударственным отношениям
соответствующих норм Директив
Европейского Парламента и Совета
Европейского Союза, в частности,
таких, как:
- Директива Европейского Парламента и
Совета Европейского Союза 95/46/ЕС от 24
октября 1995 года о защите физических лиц
при обработке персональных данных и о
свободном обращении таких данных;
- Директива Европейского Парламента и
Совета Европейского Союза 97/66/EC от 15
декабря 1997 года, касающаяся
использования персональных данных и
защиты неприкосновенности частной жизни
в сфере телекоммуникаций;
- Директива Европейского Парламента и
Совета Европейского Союза 2002/58/ЕС от 12
июля 2002 года в отношении обработки
персональных данных и защиты
конфиденциальности в секторе
электронных средств связи (Директива о
конфиденциальности и электронных
средствах связи).
Положения, затрагивающие аспекты обмена
информацией и ее защиты при этом,
включаются и в двухсторонние
международные договоры, например, о
реадмиссии, правовой помощи, об
упрощении процедуры выдачи виз, о
сотрудничестве в определенной
общественной, культурной сфере и т.п.
Так, в ст.15 Договора между Российской
Федерацией и Республикой Индией о
взаимной правовой помощи по уголовным
делам (Дели, 21 декабря 1998 года) указано,
что запрашиваемая сторона может
потребовать, чтобы предоставленная
информация или доказательства либо
источник такой информации или
доказательств сохранялись
конфиденциальными или были раскрыты или
использованы только на определенных ею
условиях. Если запрашивающая сторона
принимает эту информацию или
доказательства на таких условиях, она
будет их соблюдать. Кроме того
запрашиваемая сторона должна будет по
запросу и в запрошенном объеме сохранять
конфиденциальность запроса, его
содержания, прилагаемых документов и
любого действия, предпринимаемого в
соответствии с запросом. Если запрос не
может быть исполнен без нарушения
конфиденциальности, запрашиваемая
сторона должна уведомить об этом
запрашивающую сторону, которая решает,
должен ли запрос, несмотря на это, быть
исполнен.
Защите персональных данных посвящена
ст.9 Соглашения между Правительством
Российской Федерации и Правительством
Республики Сербии о реадмиссии (Белград,
16 октября 2014 года), ст.8 Соглашения между
Правительством Российской Федерации и
Советом Министров Боснии и Герцеговины о
реадмиссии (Москва, 22 июня 2015 года), ст.11
Соглашения между Правительством
Российской Федерации и Правительством
Иорданского Хашимитского Королевства о
сотрудничестве и взаимной помощи в
таможенных делах (Амман, 21 января 2015
года), ст.14 Соглашения между
Правительством Российской Федерации и
Правительством Княжества Лихтенштейн об
упрощении процедуры выдачи виз
гражданам Российской Федерации и
Княжества Лихтенштейн (Вадуц, 12 ноября 2013
года), ст.9 Соглашения между
Правительством Российской Федерации и
Правительством Республики Болгарии о
сотрудничестве в борьбе с преступностью,
особенно в ее организованных формах
(Москва, 10 ноября 2006 года), ст.8 Соглашения
между Правительством Российской
Федерации и Правительством Республики
Армения о реадмиссии (Ереван, 20 августа
2010 года) и др.
Рассмотрим некоторые из указанных норм
подробнее. Так, в силу положений ст.11
Соглашения между Правительством
Российской Федерации и Правительством
Иорданского Хашимитского Королевства о
сотрудничестве и взаимной помощи в
таможенных делах (Амман, 21 января 2015 года)
персональные данные, которые таможенные
службы передают друг другу в рамках
реализации настоящего Соглашения,
подлежат защите в государстве каждой из
сторон в соответствии с
законодательством своего государства о
защите персональных данных и
международными договорами, участниками
которых являются государства сторон.
Таможенная служба, получившая
персональные данные в соответствии с
указанным Соглашением, обеспечивает их
конфиденциальность и не передает их
третьей стороне, кроме как с письменного
согласия таможенной службы,
предоставившей персональные данные.
Таможенная служба, получившая
персональные данные по запросу,
информирует таможенную службу, их
предоставившую, о том, как были
использованы такие данные, и о
достигнутых результатах. Таможенные
службы обеспечивают защиту персональных
данных от утери, несанкционированного
доступа, изменения или предания
гласности.
Предоставление компетентными органами
сторон друг другу в соответствии с
Соглашением между Правительством
Российской Федерации и Правительством
Республики Болгарии о сотрудничестве в
борьбе с преступностью, особенно в ее
организованных формах (Москва, 10 ноября
2006 года) персональных данных
осуществляется при соблюдении
законодательства государств сторон, а
также условий, установленных
компетентным органом, передающим
персональные данные, и нижеследующих
принципов, которые применяются как при
автоматизированной, так и при
неавтоматизированной обработке
персональных данных:
1)
компетентный орган одной стороны,
получающий персональные данные, может
использовать их исключительно в целях,
оговоренных компетентным органом другой
стороны, передающим такие данные;
2) по
просьбе компетентного органа,
передающего персональные данные,
компетентный орган, получивший такие
данные, предоставляет информацию об их
использовании;
3)
компетентный орган, передающий
персональные данные, гарантирует их
точность и актуальность. Если окажется,
что были предоставлены неверные или не
подлежащие передаче данные или если
правомерно предоставленные
компетентным органом данные в
соответствии с национальным
законодательством его государства
должны быть впоследствии уничтожены,
компетентный орган, получивший такие
данные, должен быть незамедлительно
уведомлен об этом для того, чтобы он
уничтожил данные или самостоятельно
внес в них необходимые исправления;
4)
предоставленные персональные данные
подлежат уничтожению либо исправлению в
случае, если:
- будет установлено, что предоставлены
неверные данные;
- компетентный орган, передавший такие
данные, уведомит о том, что данные были
подготовлены или предоставлены в
нарушение законодательства своего
государства;
- персональные данные более не являются
необходимыми для достижения цели, для
которой они были предоставлены, кроме
тех случаев, когда имеется специальное
разрешение передавшего такие данные
компетентного органа на их
использование для других целей;
5) если
у компетентного органа одной стороны,
получившего персональные данные,
имеются основания считать, что
предоставленные данные являются
неверными или подлежат уничтожению, то
он незамедлительно уведомляет об этом
компетентный орган другой стороны,
передавший персональные данные;
6)
компетентный орган, получивший
персональные данные, должен обеспечить
их эффективную защиту от
несанкционированного доступа к ним,
внесения в них изменений и их
распространения;
7)
компетентный орган одной стороны,
передавший персональные данные, и
компетентный орган другой стороны,
получивший такие данные, обязаны вести
учет передачи и получения данных и
разработать для этих целей
соответствующий протокол;
8) лица,
персональные данные которых были
предоставлены в соответствии с
указанным Соглашением, имеют право в
соответствии с национальным
законодательством государства Стороны,
получившей эти персональные данные,
получать информацию о предоставленных в
рамках данного Соглашения данных о них. В
случае поступления от лица, персональные
данные которого были представлены в
соответствии с данным Соглашением,
запроса о предоставлении ему доступа к
этим данным компетентный орган,
располагающий такими данными, перед тем
как принять соответствующее решение по
поступившему запросу, обязательно
запрашивает мнение компетентного
органа, передавшего эти данные.
Комментарий к главе 2. Принципы и условия обработки персональных данных
Комментарий к статье 5. Принципы обработки персональных данных
1. В
комментируемой статье определены
принципы обработки ПД.
Осуществление обработки ПД на законной и справедливой
основе.
Указанный принцип предполагает, что,
осуществляя обработку ПД, операторы
должны выполнять все требования
действующего законодательства в области
защиты ПД и быть справедливыми по
отношению к субъекту данных.
Анализ норм комментируемого Закона
позволяет сформулировать некоторые
основные практические советы, которыми
должен руководствоваться оператор при
обработке ПД для соблюдения требований
действующего законодательства:
- должна быть обеспечена
конфиденциальность ПД;
- ПД не должны передаваться третьим лицам
без согласия субъекта данных;
- ПД должны быть защищены от
несанкционированного доступа и
распространения;
- ПД должны использоваться только для тех
целей, для которых они были собраны, и
храниться не дольше, чем это требуется
для достижения целей обработки (кроме
ряда случаев, предусмотренных ч.7
комментируемой статьи);
- обработка ПД возможна только при
условии согласия субъекта (за
исключением ряда случаев,
предусмотренных ст.6 комментируемого
Закона);
- оператор должен направить уведомление
об обработке ПД в уполномоченный орган
(за исключением ряда случаев, о которых
будет рассказано в комментарии к ч.2 ст.22
Закона), а также иметь документ, в котором
отражена политика обработки ПД;
- субъект ПД должен иметь возможность
знакомиться с данными о себе;
- оператор должен информировать граждан
о факте обработки ПД, предоставлять
сведения о целях и способах обработки;
- граждане имеют право требовать
уточнения информации, а также
блокирования и уничтожения неточных
ПД;
- обработка специальных категорий ПД,
касающихся расовой, национальной
принадлежности, политических взглядов,
религиозных или философских убеждений,
состояния здоровья, интимной жизни
допускается только в исключительных
случаях и при соблюдении определенных
условий.
Ограничение
обработки ПД достижением конкретных,
заранее определенных и законных целей.
Таким образом, должна быть четко
сформулирована цель, в соответствии с
которой оператор будет обрабатывать ПД.
По достижении заданных целей обработка
ПД должна быть прекращена. Обработка ПД,
несовместимая с целями сбора данных, не
допускается.
В организациях, обрабатывающих ПД,
необходимо иметь документ, который будет
отражать политику организации в
отношении обработки ПД, - Положение об
обработке и защите персональных данных.
Такой документ должен определять:
- перечень обрабатываемых ПД;
- цели и способы обработки ПД;
- категории субъектов, ПД которых
обрабатываются;
- правовое основание обработки ПД;
- перечень действий с ПД;
- права и обязанности субъектов ПД;
- порядок обработки ПД, в том числе
хранения, использования и передачи;
- условия прекращения обработки ПД;
- порядок получения доступа к ПД;
- условия раскрытия и объем ПД, доступных
партнерам и третьим лицам;
- перечень лиц, ответственных за
рассмотрение жалоб и запросов;
- состав и перечень мер по обеспечению
защиты ПД;
- перечень лиц, ответственных за
организацию обработки ПД, его
обязанности и формы ответственности.
Осуществление обработки только тех
ПД, которые отвечают целям их
обработки.
Законодатель установил, что содержание и
объем обрабатываемых ПД, должны строго
соответствовать заявленным целям
обработки. При этом обрабатываемые ПД не
должны быть избыточными по отношению к
заявленным целям их обработки. Поэтому
при сборе ПД организациям следует
определить, какая информация
действительно нужна, а какие данные
могут быть обезличены или уничтожены без
ущерба для деятельности организации.
Необходимо избегать сбора и хранения
избыточной информации без определенной
цели, не нужно собирать и использовать ПД
для целей, которые не относятся к сфере
компетенции организации.
Пример из
судебной практики. Банк обратился в
суд с заявлением о признании
недействительным предписания
Роскомнадзора об устранении банком
нарушений ч.5 ст.5 и ч.1 ст.10
комментируемого Закона. По материалам
дела судом было установлено, что банк
производил обработку избыточных ПД по
сравнению с теми, которые были
определены к заявленным целям их
обработки (персональные данные
специальной категории). Поэтому суд
отказал банку в удовлетворении его
требования (см. постановление ФАС
Северо-Кавказского округа от 21 апреля 2014
года по делу N А53-13327/2013).
Основные цели обработки ПД должны быть
зафиксированы оператором в Положении об
обработке ПД. В дальнейшем оператор не
может требовать с гражданина
предоставления информации большего
объема, чем это требуют цели обработки
ПД, заявленные в упомянутом локальном
документе.
Например, работодатели часто собирают о
будущем сотруднике всю информацию,
объясняя это тем, что хотят иметь
максимально полное представление о нем.
При этом часто работодатель переходит
тонкую грань, отделяющую ПД от сведений,
составляющих тайну частной жизни, личную
или семейную тайну гражданина. Среди
документов и материалов, содержащих
информацию, которую желают получать
работодатели, принимая гражданина на
работу, основное место занимают:
- документы, предъявляемые при
заключении трудового договора (см. ст.65
ТК РФ);
- документы о состоянии здоровья
работника, если в соответствии с
законодательством он должен пройти
предварительный и периодические
медицинские осмотры;
- документы о составе семьи работника,
необходимые для предоставления ему
гарантий, связанных с выполнением
семейных обязанностей;
- документы, подтверждающие право на
дополнительные гарантии и компенсации
по определенным основаниям,
предусмотренным законодательством (об
инвалидности, донорстве, нахождении в
зоне воздействия радиации в связи с
аварией на Чернобыльской АЭС и др.);
- документ о беременности работницы и
возрасте детей для предоставления
матери установленных законом условий
труда, гарантий и компенсаций.
Среди ПД работника должны быть:
- трудовой договор;
- приказ (распоряжение) о приеме на
работу;
- приказы (распоряжения) об изменении
условий трудового договора, его
прекращении;
- приказы (распоряжения) о поощрениях и
дисциплинарных взысканиях, примененных
к работнику;
- трудовая книжка.
К составу персональных данных работника
можно отнести сведения, предусмотренные
унифицированной формой учета кадров Т-2,
утвержденной постановлением
Госкомстата РФ от 5 января 2004 года N 1
"Об утверждении унифицированных форм
первичной учетной документации по учету
труда и его оплаты".
К таким сведениям относятся:
-
фамилия, имя, отчество;
- дата рождения;
- гражданство;
- номер страхового свидетельства;
- ИНН;
- знание иностранных языков;
- данные об образовании (номер, серия
дипломов, год окончания);
- данные о приобретенных
специальностях;
- семейное положение;
- данные о членах семьи (степень родства,
ФИО, год рождения, паспортные данные,
включая прописку и место рождения);
- фактическое место проживания;
- контактная информация;
- данные о военной обязанности;
- данные о текущей трудовой деятельности
(дата начала трудовой деятельности,
кадровые перемещения, оклады и их
изменения, сведения о поощрениях, данные
о повышении квалификации и т.п.).
Для того чтобы установить, в каком объеме
работодатель вправе получать от
работника ПД, необходимо обратить
внимание на очень важное ограничение -
это целевой характер использования
персональных данных. Таким образом,
обработка ПД может производиться
исключительно в целях, указанных в ч.1
ст.86 ТК РФ. Недопущение объединения баз данных,
содержащих ПД, обработка которых
осуществляется в целях, несовместимых
между собой.
Таким образом, для осуществления разных
целей обработки ПД следует использовать
разные базы данных. Обеспечение при обработке ПД
их точности, достаточности, актуальности
по отношению к целям обработки ПД.
Следуя этому принципу, оператор обязан
принимать необходимые меры либо
обеспечивать их принятие по удалению или
уточнению неполных или неточных ПД.
Порядок действий оператора ПД в случае
подтверждения факта неточности данных
определены в ч.2 ст.21 комментируемого
Закона.
2. В ч.7
комментируемой статьи определены общие
правила хранения ПД.
Хранение ПД должно осуществляться в
форме, позволяющей определить субъекта
данных. По общему правилу обрабатываемые
ПД подлежат уничтожению либо
обезличиванию по достижении целей
обработки или в случае утраты
необходимости в достижении этих целей.
Исключения из этого правила могут быть
предусмотрены федеральными законами.
Сроки, в течение которых ПД должны быть
уничтожены, установлены ч.4 ст.21
комментируемого Закона.
Самые частые споры по поводу
правомерности хранения ПД возникают
между гражданами и кредитными
организациями (банками). Граждане
нередко получают отказ банков в
уничтожении их ПД после обработки. По
этому поводу Роскомнадзор в отчете о
свой деятельности за 2014 год, размещенном
на официальном сайте Роскомнадзора в
сети Интернет (см. URL:
http://rkn.gov.ru/docs/Otchet_ZPD_rus.pdf), пояснил
следующее. В соответствии с п.1 ч.1 ст.7
Федерального закона от 7 августа 2001 года N
115-ФЗ "О противодействии легализации
(отмыванию) доходов, полученных
преступным путем, и финансированию
терроризма" организации,
осуществляющие операции с денежными
средствами или иным имуществом, обязаны
до приема на обслуживание
идентифицировать клиента, представителя
клиента и (или) выгодоприобретателя, за
исключением случаев, установленных
пунктами 1.1, 1.2, 1.4 указанной статьи.
Согласно ч.4 ст.7 указанного закона банк
вправе хранить документы, содержащие
сведения, необходимые для идентификации
личности, не менее пяти лет.
Как следует из указанных разъяснений
Роскомнадзора, хранение банками ПД их
клиентов не нарушает положения ч.7
комментируемой статьи.
Также
показателен следующий случай из
судебной практики. Гражданин
обратился в суд с заявлением об обязании
удалить сведения о допущенных им
нарушениях ПДД, по которым истек срок, в
течение которого лицо считается
подвергнутым административному
наказанию, из базы данных
административной практики. Суд отказал в
удовлетворении указанных требований на
том основании, что обработка ПД
гражданина осуществлялась на законных
основаниях, срок хранения такой
информации законом не установлен, но
цели ее обработки в полной мере не были
еще достигнуты в связи с тем, что учет
показателей состояния безопасности
дорожного движения должен вестись
постоянно (см. апелляционное определение
Свердловского областного суда от 29 июля
2015 года по делу N 33-11645/2015).
Комментарий к статье 6. Условия обработки персональных данных
1.
Законодатель устанавливает, что
обработка ПД должна осуществляться с
соблюдением принципов и правил,
предусмотренных комментируемым Законом.
При этом обработка ПД допускается лишь в
ряде случаев, указанных в ч.1
комментируемой статьи. Рассмотрим эти
случаи.
В силу положения, содержащегося в п.1 ч.1
комментируемой статьи обработка ПД
возможна на
основании согласия субъекта ПД.
Субъект ПД должен принять решение о
предоставлении своих ПД и дать согласие
на их обработку свободно, своей волей и в
своем интересе. При этом согласие на
обработку ПД может быть отозвано
субъектом ПД в случаях, предусмотренных
ст.9 комментируемого Закона. Оператору ПД
следует учитывать, что обязанность
предоставить доказательство получения
согласия гражданина на обработку его ПД
возлагается на оператора. Гражданам,
перед тем как передать свои ПД банку,
магазину, любой другой организации,
оказывающей услуги, следует выяснить:
- для чего собирается эта информация и
как она будет использована;
- как и где ПД будут храниться (в
электронной базе данных, в Интернет, на
бумажных носителях и т.п.);
- кто сможет получить доступ к ПД, кому
они могут передаваться;
- как долго будут храниться ПД.
Если гражданином выяснено, что его ПД
могут быть использованы не только для
получения услуг, которые он желает, но и
для иных целей, он вправе ограничить свое
согласие на обработку данных только в
четко определенных целях. Например,
устраиваясь на работу и проходя
собеседование, гражданин может
возражать против проведения видеозаписи
собеседования. При этом работодатель на
этом основании не вправе отказать ему в
приеме на работу.
С того момента, как любое лицо обратилось
к гражданину с просьбой о предоставлении
информации, и на протяжении всего
периода, пока оно хранит сведения о
гражданине, это лицо обязано соблюдать
требования комментируемого Закона.
В силу положения, содержащегося в п.2 ч.1
комментируемой статьи, обработка ПД
возможна, когда это необходимо для
достижения целей, предусмотренных:
- международным договором Российской
Федерации;
- законом, для осуществления и выполнения
возложенных законодательством
Российской Федерации на оператора
функций, полномочий и обязанностей.
В письме ФНП от 23 декабря 2011 года N 2515/07-17
"О применении ряда положений
Федерального закона от 27 июля 2006 года N
152-ФЗ "О персональных данных"
порядок применение указанной выше нормы
рассматривается на примере обработки ПД,
осуществляемой нотариусом. В указанном
письме отмечается, что обработка ПД
нотариусом осуществляется в
обязательном порядке при установлении
личности обратившегося для совершения
нотариального действия лица согласно
ст.42 Основ законодательства Российской
Федерации о нотариате, утв. ВС РФ 11
февраля 1993 года N 4462-1 (далее по тексту -
Основы законодательства РФ о нотариате),
внесении записей в реестр при
регистрации нотариального действия.
Невозможность (в силу непредоставления
гражданином документов) выполнения
нотариусом указанных действий является
основанием для отказа гражданину в
совершении нотариального действия в
соответствии со ст.48 Основ
законодательства РФ о нотариате.
Учитывая изложенное, действия нотариуса
по обработке ПД обратившегося
гражданина осуществляются в целях
выполнения возложенных
законодательством РФ на нотариуса
полномочий, что соответственно не
требует согласия этого гражданина на
обработку его ПД. В том числе, как
видится, не требуется согласия
гражданина на обработку его ПД (в виде
передачи этих данных в налоговые органы)
в случаях, предусмотренных ст.85
Налогового кодекса Российской Федерации
(далее по тексту - НК РФ).
В комментируемой статье закреплено
положение, позволяющее осуществлять
обработку ПД для осуществления правосудия,
исполнения судебного акта, акта другого
органа или должностного лица,
подлежащих исполнению в соответствии с
Федеральным законом от 2 октября 2007 года N
229-ФЗ "Об исполнительном
производстве". То есть, в настоящее
время судебные приставы имеют законное
право заниматься ПД. Отметим также, что
судебные приставы-исполнители в своей
работе по поиску информации о должниках
и их имуществе руководствуются
Методическими рекомендациями по
использованию сети Интернет в целях
поиска информации о должниках и их
имуществе (утв. ФССП РФ 30 ноября 2010 года N
02-7), которые обязывают судебных
приставов-исполнителей поиск, обработку
и использование информации о должниках и
их имуществе осуществлять в
соответствии с комментируемым Законом.
Полученные судебным
приставом-исполнителем в ходе
принудительного исполнения судебных
актов, актов других органов или
должностных лиц ПД в силу ч.3 ст.64
Федерального закона от 2 октября 2007 года N
229-ФЗ "Об исполнительном
производстве" обрабатываются им
исключительно в целях исполнения
исполнительных документов в необходимом
для этого объеме с учетом требований,
установленных комментируемым Законом.
В комментируемой статье закреплено
положение, позволяющее осуществлять
обработку ПД, когда это необходимо для
предоставления государственной или
муниципальной услуги в соответствии
с Федеральным законом от 27 июля 2010 года N
210-ФЗ "Об организации предоставления
государственных и муниципальных
услуг". Обработка данных возможна в
указанных выше случаях без согласия
субъекта ПД, если она осуществляется для
обеспечения предоставления такой услуги
и для регистрации субъекта ПД на едином
портале государственных и муниципальных
услуг. Это также подтверждается ч.4 ст.7
указанного закона. При этом согласно ч.3
ст.7 данного закона в том случае, если для
предоставления государственной или
муниципальной услуги необходимо
представление документов и информации
об ином лице, не являющемся заявителем,
необходимо дополнительно представить
документы, подтверждающие наличие
согласия указанных лиц или их законных
представителей на обработку их ПД, а
также полномочие заявителя действовать
от имени указанных лиц или их законных
представителей при передаче ПД
указанных лиц в орган или организацию.
Такие документы закон позволяет
представить в том числе в форме
электронного документа.
Рассматриваемое положение было уточнено
Федеральным законом от 5 апреля 2013 года N
43-ФЗ "Об особенностях регулирования
отдельных правоотношений в связи с
присоединением к субъекту Российской
Федерации - городу федерального значения
Москве территорий и о внесении изменений
в отдельные законодательные акты
Российской Федерации". Из смысла
внесенных поправок следует, что
обработка ПД для предоставления
государственной или муниципальной
услуги без согласия субъекта ПД
возможна, если такая обработка
осуществляется:
- федеральными органами исполнительной
власти;
- органами государственных внебюджетных
фондов;
- исполнительными органами
государственной власти субъектов РФ;
- органами местного самоуправления;
- иными организациями, участвующими в
предоставлении государственных и
муниципальных услуг.
При этом указанная обработка может
осуществляться как на федеральном, так и
на региональных порталах
государственных и муниципальных услуг в
сети Интернет. Положения Федерального
закона от 5 апреля 2013 года N 43-ФЗ "Об
особенностях регулирования отдельных
правоотношений в связи с присоединением
к субъекту Российской Федерации - городу
федерального значения Москве территорий
и о внесении изменений в отдельные
законодательные акты Российской
Федерации" применяются к следующим
отношениям:
- к отношениям, возникающим при
подготовке и утверждении документации
по планировке территории,
резервировании земель, изъятии
земельных участков и (или) иных объектов
недвижимого имущества;
- к отношениям, возникающим при
предоставлении земельных участков;
- к отношениям при установлении
сервитутов для размещения на
присоединенных территориях объектов
федерального значения и объектов
регионального значения, обеспечивающих
реализацию государственных задач в
области развития инженерной,
транспортной и социальной
инфраструктур, иных государственных
задач.
Органы государственной власти города
Москвы наделены полномочиями по изъятию
и предоставлению земельных участков на
присоединенных территориях для
размещения и строительства на них
объектов федерального значения. При этом
процедура изъятия земельных участков на
присоединенных территориях носит
упрощенный характер. Это означает, что
сокращены сроки уведомления
правообладателя, государственной
регистрации прав и кадастрового учета.
Кроме того порядок предоставления
земельных участков для целей
строительства устанавливается без
проведения торгов и предварительного
согласования места размещения
соответствующего объекта. Перечень
случаев установления сервитута также
расширяется.
Согласно п.5 ч.1 комментируемой статьи
обработка ПД без согласия субъекта ПД
возможна также в случаях, когда это
необходимо:
- для
исполнения договора, стороной
которого либо выгодоприобретателем или
поручителем по которому является
субъект ПД;
- для
заключения договора по инициативе
субъекта ПД или договора, по которому
субъект ПД будет являться
выгодоприобретателем или поручителем.
Федеральный закон от 21 декабря 2013 года N
363-ФЗ "О внесении изменений в отдельные
законодательные акты Российской
Федерации и признании утратившими силу
отдельных положений законодательных
актов Российской Федерации в связи с
принятием Федерального закона "О
потребительском кредите (займе)" внес
изменения в положение, содержащееся в п.5
ч.1 комментируемой статьи. Указанное
положение теперь применяется, в том
числе, в случае реализации оператором ПД
своего права на уступку прав (требований)
по договору. Для пояснения указанных
поправок необходимо обратиться к ст.12
Федерального закона от 21 декабря 2013 года
N 353-ФЗ "О потребительском кредите
(займе)", в которой установлено, что
кредитор вправе осуществлять уступку
прав (требований) по договору
потребительского кредита (займа) третьим
лицам. Запрет на такую уступку может быть
обозначен федеральным законом или
договором.
В данном случае под потребительским
кредитом понимаются денежные средства,
предоставленные кредитором заемщику на
основании кредитного договора, договора
займа, в том числе с использованием
электронных средств платежа, в целях, не
связанных с осуществлением
предпринимательской деятельности. При
этом сторонами договора
потребительского кредитования
выступают заемщик и кредитор. Заемщиком
является физическое лицо, обратившееся к
кредитору с намерением получить,
получающее или получившее
потребительский кредит (заем). А
кредитором называется предоставляющая
или предоставившая потребительский
кредит (заем) кредитная организация, и
некредитная финансовая организация,
которые осуществляют профессиональную
деятельность по предоставлению
потребительских займов. Кредитором
также называется лицо, получившее право
требования к заемщику по договору
потребительского кредита (займа):
- в порядке уступки;
- в порядке универсального
правопреемства;
- при обращении взыскания на имущество
правообладателя.
При этом кредитор вправе передавать ПД
заемщика и лиц, предоставивших
обеспечение по договору
потребительского кредита (займа), в
соответствии с п.5 ч.1 комментируемой
статьи. Лицо, которому были уступлены
права (требования) по договору
потребительского кредита (займа),
обязано хранить переданные ему ПД,
обеспечивать их конфиденциальность и
безопасность.
На практике это означает, например, что
если в кредитном договоре, заключенном
между заемщиком и банком, есть положение
о том, что банк вправе передавать свои
права по кредиту третьим лицам, то в
случае просрочки погашения кредита банк
будет вправе передать долг заемщика и
все его ПД, необходимые для взыскания
долга, коллекторским агентствам. Поэтому
авторы обращают особое внимание
заемщиков на то, что они имеют право не
согласиться с данным условием при
заключении кредитного договора. При этом
банк обязан проинформировать заемщика о
том, что он может не согласиться с
внесением в кредитный договор
указанного условия.
Приведем
пример из судебной практики.
Гражданка обратилась в суд с заявлением
об устранении нарушений требований
законодательства в области обработки ПД
и компенсации морального вреда. По
мнению истицы, при отсутствии ее
согласия банк передал ее ПД третьим
лицам, чем нарушил ее права как
потребителя финансовых услуг. Суд,
изучив материалы дела, установил, что в
кредитном договоре содержится положение
о согласии на передачу ПД заемщицы
третьим лицам. В удовлетворении
требований истицы было отказано (см.
апелляционное определение Московского
областного суда от 23 марта 2015 года по
делу N 33-6483/2015).
У работодателей часто возникает вопрос:
"Относится ли фотография работника к
ПД"? Из определения ПД в ч.1 ст.3
комментируемого Закона нельзя сделать
точный вывод об этом. Однако здесь нужно
учитывать, что согласно ст.152.1 ГК РФ
обнародование и дальнейшее
использование изображения гражданина (в
том числе его фотографии, а также
видеозаписи или произведения
изобразительного искусства, в которых он
изображен) допускаются только с согласия
этого гражданина. Таким образом, при
намерении получить и хранить фотографию
работника работодатель должен получить
согласие на то.
Трудовое законодательство обязывает
поступающего на работу гражданина
предоставить работодателю следующие
документы, содержащие ПД будущего
работника, (ст.65 ТК РФ):
- паспорт или иной документ,
удостоверяющий личность;
- трудовую книжку, за исключением
случаев, когда трудовой договор
заключается впервые или работник
поступает на работу на условиях
совместительства;
- документы воинского учета - для
военнообязанных и лиц, подлежащих
призыву на военную службу;
- документ об образовании, о квалификации
или наличии специальных знаний - при
поступлении на работу, требующую
специальных знаний или специальной
подготовки и др.
Необходимо помнить, что обработка ПД
работника осуществляется в соответствии
с правилами главы 14 ТК РФ.
Как следует из содержания п.9 ч.1 ст.6
комментируемого Закона, если обработка
ПД осуществляется для статистических или иных
научных целей при условии
обязательного обезличивания ПД, то
согласия субъекта на такую обработку
также не обязательно получать. Например,
при составлении статотчетности о
численности и фонде оплаты труда
бухгалтер не обязан получать согласие на
обработку таких ПД, т.к. по таким данным
нельзя идентифицировать конкретного
человека. Исключения из этого правила
составляют случаи, когда обработка ПД
осуществляется в целях продвижения
товаров, работ, услуг на рынке, а также в
целях политической агитации (см. ст.15
комментируемого Закона).
Без согласия субъекта ПД осуществляется
обработка ПД, необходимая для защиты жизни, здоровья
или иных жизненно важных интересов
субъекта ПД. Однако отсутствие
согласия на такую обработку будет
правомерным только в том случае, если
получение согласия субъекта ПД
невозможно. Типичным примером может
служить обработка ПД гражданина
лечебным учреждением, куда гражданин
доставлен в бессознательном состоянии.
Видится, что согласие субъекта ПД также
не потребуется, если обработка ПД
необходима для осуществления прав и законных интересов
оператора или третьих лиц либо для
достижения общественно значимых
целей. Однако здесь должно выполняться
обязательное условие: не могут быть
никаким образом нарушены права и свободы
субъекта ПД.
В соответствии со ст.2 Конституции РФ
человек, его права и свободы признаются
высшей ценностью. При этом признание,
соблюдение и защита прав и свобод
человека и гражданина является
обязанностью государства. Однако
согласно ст.55 Конституции РФ права и
свободы человека и гражданина все-таки
могут быть ограничены федеральным
законом, но только в той мере, в какой это
необходимо в целях защиты основ
конституционного строя, нравственности,
здоровья, прав и законных интересов
других лиц, обеспечения обороны страны и
безопасности государства.
Так, например, ст.13
Уголовно-процессуального кодекса РФ
(далее - УПК РФ) установлено, что
ограничение права гражданина на тайну
переписки, телефонных и иных
переговоров, почтовых, телеграфных и
иных сообщений допускается только на
основании судебного решения. Наложение
ареста на почтовые и телеграфные
отправления и их выемка в учреждениях
связи, контроль и запись телефонных и
иных переговоров, получение информации о
соединениях между абонентами и (или)
абонентскими устройствами могут
производиться также только на основании
судебного решения.
Статьей 6 Федерального закона от 12
августа 1995 года N 144-ФЗ "Об
оперативно-розыскной деятельности"
предусмотрено, что при осуществлении
оперативно-розыскной деятельности
возможно проведение таких
оперативно-розыскных мероприятий,
связанных с получением ПД, как:
- опрос;
- наведение справок;
- исследование предметов и документов;
- наблюдение;
- отождествление личности;
- контроль почтовых отправлений,
телеграфных и иных сообщений;
- прослушивание телефонных
переговоров;
- снятие информации с технических
каналов связи;
- оперативное внедрение;
- оперативный эксперимент и т.п.
При этом проведение
оперативно-розыскных мероприятий,
которые ограничивают конституционные
права человека и гражданина на тайну
переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений,
передаваемых по сетям электрической и
почтовой связи, а также право на
неприкосновенность жилища, допускается
на основании судебного решения и при
наличии следующей информации:
- о признаках подготавливаемого,
совершаемого или совершенного
противоправного деяния, по которому
производство предварительного
следствия обязательно;
- о лицах, подготавливающих, совершающих
или совершивших противоправное деяние,
по которому производство
предварительного следствия
обязательно;
- о событиях или действиях (бездействии),
создающих угрозу государственной,
военной, экономической или
экологической безопасности РФ.
Прослушивание телефонных и иных
переговоров допускается только в
отношении лиц, подозреваемых или
обвиняемых в совершении преступлений
средней тяжести, тяжких или особо тяжких
преступлений, а также лиц, которые могут
располагать сведениями об указанных
преступлениях. Фонограммы, полученные в
результате прослушивания телефонных и
иных переговоров, хранятся в опечатанном
виде в условиях, исключающих возможность
их прослушивания и тиражирования
посторонними лицами. В случае
возбуждения уголовного дела в отношении
лица, телефонные и иные переговоры
которого прослушиваются, фонограмма и
бумажный носитель записи переговоров
передаются следователю для приобщения к
уголовному делу в качестве вещественных
доказательств. Дальнейший порядок их
использования определяется
уголовно-процессуальным
законодательством РФ.
В случае возникновения угрозы жизни,
здоровью, собственности отдельных лиц по
их заявлению или с их согласия в
письменной форме разрешается
прослушивание переговоров, ведущихся с
их телефонов, на основании
постановления, утвержденного
руководителем органа, осуществляющего
оперативно-розыскную деятельность, с
обязательным уведомлением
соответствующего суда (судьи) в течение 48
часов.
Федеральный закон от 3 апреля 1995 года N
40-ФЗ "О Федеральной службе
безопасности" также устанавливает,
что проведение контрразведывательных
мероприятий, ограничивающих права
граждан на тайну переписки, телефонных
переговоров, почтовых, телеграфных и
иных сообщений, передаваемых по сетям
электрической и почтовой связи,
допускается только на основании
постановления судьи. А проведение
мероприятий по борьбе с терроризмом,
ограничивающих права граждан на
неприкосновенность жилища, тайну
переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений
граждан, допускается только на основании
постановления судьи, получаемого в
порядке, предусмотренном для получения
судебного решения о допустимости
проведения контрразведывательных
мероприятий, ограничивающих
конституционные права граждан на тайну
переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений,
передаваемых по сетям электрической и
почтовой связи, на неприкосновенность
жилища, и на основании мотивированного
ходатайства руководителя органа по
борьбе с терроризмом или его
заместителя.
Согласно п.10 ч.1 комментируемой статьи
согласие субъекта ПД не потребуется,
если осуществляется обработка данных, доступ
неограниченного круга лиц к которым
предоставлен субъектом ПД либо по его
просьбе. Но, как следует из
содержания указанного положения, в этом
случае оператору необходимо получить
согласие субъекта ПД на то, что его
данные будут являться общедоступными.
Без согласия субъекта ПД может
осуществляться обработка данных в целях
профессиональной деятельности
журналиста и (или) законной деятельности средства массовой
информации либо в целях научной,
литературной или иной творческой
деятельности. Однако при этом
операторы ПД не должны нарушать права и
законные интересы субъектов ПД.
Например, журналисты и СМИ не
освобождаются от обязанности
обеспечивать конфиденциальность ПД в
соответствии со ст.7 комментируемого
Закона. Статья 41 Закона РФ "О средствах
массовой информации" обязывает
журналистов обеспечивать
конфиденциальность информации. В силу
указанного Закона редакция не вправе
разглашать в распространяемых
сообщениях и материалах сведения,
предоставленные гражданином с условием
сохранения их в тайне. При этом
необходимо сохранять в тайне источник
информации и нельзя называть лицо,
предоставившее сведения с условием
неразглашения его имени, за исключением
случая, когда соответствующее
требование поступило от суда в связи с
находящимся в его производстве делом.
Осуществляется без согласия субъектов
ПД обработка
ПД, подлежащих опубликованию или
обязательному раскрытию в соответствии
с федеральными законами. Так, в избирательном
процессе ПД кандидатов предоставляются,
прежде всего, Центральной избирательной
комиссии. Так, например, в силу ч.2 ст.42
Федерального закона от 22 февраля 2014 года
N 20-ФЗ "О выборах депутатов
Государственной Думы Федерального
Собрания Российской Федерации" в
федеральном списке кандидатов, списке
кандидатов по одномандатным
избирательным округам, представляемых в
машиночитаемом виде, указываются
фамилия, имя и отчество, дата и место
рождения, адрес места жительства, серия,
номер и дата выдачи паспорта или
документа, заменяющего паспорт
гражданина, наименование или код органа,
выдавшего паспорт или документ,
заменяющий паспорт гражданина,
идентификационный номер
налогоплательщика (при наличии),
гражданство, сведения о
профессиональном образовании (при
наличии) с указанием организации,
осуществляющей образовательную
деятельность, года ее окончания и
реквизитов документа об образовании и о
квалификации, основное место работы или
службы, занимаемая должность (в случае
отсутствия основного места работы или
службы - род занятий) каждого кандидата;
если кандидат является депутатом и
осуществляет свои полномочия на
непостоянной основе, - сведения об этом с
указанием наименования
соответствующего представительного
органа. Если у кандидата имелась или
имеется судимость, в списках указываются
сведения о судимости кандидата. По
желанию кандидата в списках также
указывается принадлежность кандидата к
выдвинувшей его политической партии
либо не более чем к одному иному
общественному объединению,
зарегистрированному не позднее чем за
один год до дня голосования в
установленном законом порядке, и его
статус в этой политической партии, этом
общественном объединении при условии
представления документа,
подтверждающего указанные сведения и
подписанного уполномоченным лицом
политической партии, общественного
объединения либо уполномоченным лицом
соответствующего регионального
отделения. В списке кандидатов по
одномандатным избирательным округам
указываются наименование и номер
одномандатного избирательного округа,
по которому будет баллотироваться
каждый кандидат.
Федеральный список кандидатов, список
кандидатов по одномандатным
избирательным округам и прилагаемые к
ним документы принимаются Центральной
избирательной комиссией Российской
Федерации вместе с заверенными
уполномоченным представителем
политической партии копиями паспорта
(отдельных страниц паспорта,
определяемых Центральной избирательной
комиссией Российской Федерации) или
документа, заменяющего паспорт
гражданина, кандидата, а в отношении
кандидата, включенного в федеральный
список кандидатов, и документов,
подтверждающих указанные в его
заявлении о согласии баллотироваться
сведения об образовании, основном месте
работы или службы, о занимаемой
должности (роде занятий), а также о том,
что кандидат является депутатом.
Заверенные копии указанных документов
представляются в отношении
соответственно каждого кандидата,
включенного в федеральный список
кандидатов, список кандидатов по
одномандатным избирательным округам.
Если кандидат, включенный в федеральный
список кандидатов, менял фамилию, или
имя, или отчество, в Центральную
избирательную комиссию Российской
Федерации представляются заверенные
уполномоченным представителем
политической партии копии
соответствующих документов. При
представлении в Центральную
избирательную комиссию Российской
Федерации федерального списка
кандидатов и прилагаемых к нему
документов уполномоченный
представитель политической партии
предъявляет также доверенности на
уполномоченных представителей
политической партии по финансовым
вопросам и на уполномоченных
представителей региональных отделений
политической партии по финансовым
вопросам (в случае назначения таковых),
оформленные в соответствии с
установленными требованиями. Копии
указанных доверенностей
изготавливаются в Центральной
избирательной комиссии Российской
Федерации в присутствии уполномоченного
представителя политической партии,
заверяются подписью лица, принявшего
документы, и прилагаются к этим
документам. После приема документов,
указанных в настоящей части, Центральная
избирательная комиссия Российской
Федерации незамедлительно выдает
уполномоченному представителю
политической партии документ,
подтверждающий их прием, с указанием
даты и времени начала и окончания
приема.
Центральная избирательная комиссия
Российской Федерации в течение семи дней
со дня представления указанных выше
документов рассматривает эти документы,
а по результатам их рассмотрения
заверяет федеральный список кандидатов,
список кандидатов по одномандатным
избирательным округам и выдает
уполномоченному представителю
политической партии копию заверенного
федерального списка кандидатов, копию
заверенного списка кандидатов по
одномандатным избирательным округам
либо отказывает в заверении списка
(списков), о чем принимается
мотивированное решение, копия которого
выдается уполномоченному представителю
политической партии.
Определяя, нужно ли получать от субъекта
ПД согласие на обработку ПД или нет,
оператору ПД необходимо быть очень
внимательным. Типичной ошибкой
работодателей является обработка ПД
родственников работников без согласия
на то субъектов данных.
Поэтому во всех сомнительных случаях
операторам рекомендуется получать от
субъекта ПД согласие на обработку его
данных.
2. Нужно
обратить внимание на то, что порядок и
условия обработки специальных категорий
ПД, а также биометрических ПД
устанавливаются соответственно ст.10, 11
комментируемого Закона.
В специальную категорию ПД входят
данные, касающиеся расовой, национальной
принадлежности, политических взглядов,
религиозных или философских убеждений,
состояния здоровья, интимной жизни. К
биометрическим ПД относятся сведения,
которые характеризуют физиологические и
биологические особенности человека, на
основании которых можно установить его
личность.
3. Закон
позволяет оператору ПД поручить
обработку ПД другому лицу (например,
организация передает данные работников
организации, оказывающей бухгалтерские
или юридические услуги). При этом
оператор ПД обязан получить на то
согласие субъекта ПД. Если такое
согласие получено оператором, то лицо,
которому передоверена обработка данных,
уже не обязано получать дополнительное
согласие субъекта ПД на их обработку.
Оператор ПД несет ответственность перед
субъектом данных за действия указанного
лица.
В договоре между оператором и лицом,
которое будет осуществлять обработку ПД,
должны быть определены:
- перечень действий (операций) с ПД,
которые будут совершаться лицом,
осуществляющим обработку данных;
- цели обработки;
- установлена обязанность такого лица
соблюдать конфиденциальность ПД и
обеспечивать безопасность данных при их
обработке;
- требования к защите обрабатываемых ПД в
соответствии со ст.19 комментируемого
Закона;
- обязанность лица, осуществляющего
обработку ПД, соблюдать принципы и
правила обработки данных,
предусмотренные комментируемым
Законом.
Рассмотрим
пример из судебной практики.
Общество поручило сторонней организации
обрабатывать ПД граждан, которые имеют
задолженность по оплате за жилье и
коммунальные услуги. При этом согласия
на обработку ПД жильцов другим лицом
обществом не было получено.
Контролирующий орган за указанные
действия привлек общество к
ответственности. Суд в свою очередь
подтвердил обоснованность решения
контролирующего органа (см.
постановление ФАС Уральского округа от 26
февраля 2014 года N Ф09-73/14 по делу N
А71-6910/2013).
Обращаем внимание, что лицо,
осуществляющее обработку ПД по
поручению оператора, будет нести
ответственность не перед субъектом ПД, а
перед оператором ПД (ч.4, 5 комментируемой
статьи).
Ю.А.Васильев указывает, что
"если управляющая организация
планирует воспользоваться услугами
информационно-расчетного центра, ей
следует получить согласие собственников
помещений на передачу их персональных
данных для целей расчета платы за жилое
помещение, коммунальные услуги. Согласие
граждан на обработку их персональных
данных расчетно-кассовым центром не
требуется в случае, когда центр получает
их непосредственно от граждан, а не от
управляющей организации. Однако
жилищное законодательство исключает
такой вариант, поскольку у граждан нет
никаких правоотношений с
информационно-расчетными центрами. В
договоре между управляющей организацией
и расчетным центром должно быть
обязательно указано условие об
обеспечении конфиденциальности
данных".
Жилищно-коммунальное хозяйство /
под общ.ред. Ю.А.Васильева. М.: Аюдар Пресс,
2009 // URL: https://www.lawmix.ru/bux/18989.
Комментарий к статье 7. Конфиденциальность персональных данных
1.
Частью 1 комментируемой статьи на
операторов персональных данных и
третьих лиц возлагается обязанность по
обеспечению конфиденциальности
персональных данных в процессе их
обработки. В общем смысле под
обеспечением конфиденциальности
информации следует понимать
обязательное для выполнения лицом,
получившим доступ к определенной
информации, требование не передавать
такую информацию третьим лицам без
согласия ее обладателя.
Требование о конфиденциальности
персональных данных связано, прежде
всего, с ограничением на распространение и раскрытие персональных данных
без согласия субъекта ПД.
Согласно ст.3 комментируемого Закона под
распространением
ПД понимаются действия, направленные
на раскрытие данных неопределенному кругу лиц.
Полагаем, комментируемый Закон не
позволяет точно определить, требуется ли
получать согласие на распространение и
разглашение ПД в случаях,
предусмотренных в п.2-11 ч.1 ст.6
комментируемого Закона. Из смысла
указанных положений ст.6 следует вывод,
что получения такого согласия не
требуется (например, в случае,
предусмотренном в п.6 ч.1 ст.6). В то же
время, например, в случаях, указанных в п.5
ч.1 ст.6, когда обработка ПД
осуществляется для исполнения договора,
вероятней всего потребуется получение
согласие на распространение ПД, чтобы не
были нарушены права субъекта ПД.
Исключения могут составлять случаи,
когда указанный вид обработки данных
будет необходим для исполнения договора
и предусмотрен им, а также в случаях
передачи кредиторами данных заемщиков в
связи с переуступкой права по кредитному
договору.
В силу положения п.8 ч.1 ст.6
комментируемого Закона получения
согласия субъекта ПД не потребуется,
когда обработка ПД необходима для
осуществления профессиональной
деятельности журналиста и (или) законной
деятельности средства массовой
информации. При этом ст.49 Закона РФ "О
средствах массовой информации"
обязывает журналистов получать согласие
(за исключением случаев, когда это
необходимо для защиты общественных
интересов) на распространение в средстве
массовой информации сведений о личной
жизни гражданина от самого гражданина
или его законных представителей. В
соответствии со ст.50 указанного закона
распространение сообщений и материалов,
подготовленных с использованием скрытой
аудио- и видеозаписи, кино- и фотосъемки,
допускается лишь в случаях:
- если это не нарушает конституционных
прав и свобод человека и гражданина;
- если это необходимо для защиты
общественных интересов и приняты меры
против возможной идентификации
посторонних лиц;
- если демонстрация записи производится
по решению суда.
Обязанность по обеспечению
конфиденциальности ПД возлагается на
операторов и другими законами. Указом
Президента РФ от 6 марта 1997 года N 188 "Об
утверждении Перечня сведений
конфиденциального характера"
определен перечень сведений
конфиденциального характера.
Так, согласно ст.9 Федерального закона от
20 августа 2004 года N 119-ФЗ "О
государственной защите потерпевших,
свидетелей и иных участников уголовного
судопроизводства" орган,
осуществляющий меры безопасности, может
наложить запрет на выдачу сведений о
защищаемом лице из государственных и
иных информационно-справочных фондов, а
также может своим решением изменить
номера его телефонов и государственные
регистрационные знаки используемых им,
или принадлежащих ему транспортных
средств.
Статья 13 Федерального закона от 21 ноября
2011 года N 323-ФЗ "Об основах охраны
здоровья граждан в Российской
Федерации" сведения о факте обращения
гражданина за оказанием медицинской
помощи, состоянии его здоровья и
диагнозе, иные сведения, полученные при
его медицинском обследовании и лечении,
относит к врачебной тайне. При этом не
допускается разглашение сведений,
составляющих врачебную тайну, в том
числе после смерти человека, лицами,
которым они стали известны при обучении,
исполнении трудовых, должностных,
служебных и иных обязанностей.
Разглашение сведений, составляющих
врачебную тайну, допускается лишь с
письменного согласия гражданина или
его
законного представителя другим гражданам, в
том числе должностным лицам, в целях:
- медицинского обследования и лечения
пациента;
- проведения научных исследований, их
опубликования в научных изданиях;
- использования в учебном процессе и в
иных целях.
Предоставление сведений, составляющих
врачебную тайну, без согласия гражданина
или его законного представителя
допускается:
- в целях проведения медицинского
обследования и лечения гражданина,
который в результате своего состояния не
способен выразить свою волю, с учетом
положений п.1 ч.9 ст.20 Федерального закона
от 21 ноября 2011 года N 323-ФЗ "Об основах
охраны здоровья граждан в Российской
Федерации";
- при угрозе распространения
инфекционных заболеваний, массовых
отравлений и поражений;
- по запросу органов дознания и
следствия, суда в связи с проведением
расследования или судебным
разбирательством, по запросу органов
прокуратуры в связи с осуществлением ими
прокурорского надзора, по запросу органа
уголовно-исполнительной системы в связи
с исполнением уголовного наказания и
осуществлением контроля за поведением
условно осужденного, осужденного, в
отношении которого отбывание наказания
отсрочено, и лица, освобожденного
условно-досрочно;
- в целях осуществления уполномоченными
федеральными органами исполнительной
власти контроля за исполнением лицами,
признанными больными наркоманией либо
потребляющими наркотические средства
или психотропные вещества без
назначения врача либо новые
потенциально опасные психоактивные
вещества, возложенной на них при
назначении административного наказания
судом обязанности пройти лечение от
наркомании, диагностику,
профилактические мероприятия и (или)
медицинскую реабилитацию;
- в случае оказания медицинской помощи
несовершеннолетнему в соответствии с п.2
ч.2 ст.20 Федерального закона от 21 ноября
2011 года N 323-ФЗ "Об основах охраны
здоровья граждан в Российской
Федерации", а также
несовершеннолетнему, не достигшему
возраста, установленного ч.2 ст.54
указанного закона, для информирования
одного из его родителей или иного
законного представителя;
- в целях информирования органов
внутренних дел о поступлении пациента, в
отношении которого имеются достаточные
основания полагать, что вред его
здоровью причинен в результате
противоправных действий;
- в целях проведения военно-врачебной
экспертизы по запросам военных
комиссариатов, кадровых служб и
военно-врачебных (врачебно-летных)
комиссий федеральных органов
исполнительной власти, в которых
федеральным законом предусмотрена
военная и приравненная к ней служба;
- в целях расследования несчастного
случая на производстве и
профессионального заболевания, а также
несчастного случая с обучающимся во
время пребывания в организации,
осуществляющей образовательную
деятельность, и в соответствии с ч.6 ст.34.1
Федерального закона от 4 декабря 2007 года N
329-ФЗ "О физической культуре и спорте в
Российской Федерации" несчастного
случая с лицом, проходящим спортивную
подготовку и не состоящим в трудовых
отношениях с физкультурно-спортивной
организацией, не осуществляющей
спортивной подготовки и являющейся
заказчиком услуг по спортивной
подготовке, во время прохождения таким
лицом спортивной подготовки в
организации, осуществляющей спортивную
подготовку, в том числе во время его
участия в спортивных соревнованиях,
предусмотренных реализуемыми
программами спортивной подготовки;
- при обмене информацией медицинскими
организациями, в том числе размещенной в
медицинских информационных системах, в
целях оказания медицинской помощи с
учетом требований законодательства
Российской Федерации о персональных
данных;
- в целях осуществления учета и контроля
в системе обязательного социального
страхования;
- в целях осуществления контроля
качества и безопасности медицинской
деятельности в соответствии с
Федеральным законом от 21 ноября 2011 года N
323-ФЗ "Об основах охраны здоровья
граждан в Российской Федерации".
Абзацем 2 ст.16 Основ законодательства РФ
о нотариате на нотариуса возлагается
обязанность хранить в тайне сведения,
которые стали ему известны в связи с
осуществлением его профессиональной
деятельности. Освободить нотариуса от
этой обязанности может только суд и
только в том случае, если против
нотариуса возбуждено уголовное дело в
связи с совершением нотариального
действия.
Практикующие адвокаты также обязаны
хранить сведения, связанные с оказанием
адвокатом юридической помощи своему
доверителю. Статья 8 Федерального закона
от 31 мая 2002 года N 63-ФЗ "Об адвокатской
деятельности и адвокатуре в Российской
Федерации" называет такие сведения
адвокатской тайной. Так, адвокат не может
быть вызван и допрошен в качестве
свидетеля об обстоятельствах, ставших
ему известными в связи с обращением к
нему за юридической помощью или в связи с
ее оказанием. Кроме того проведение
оперативно-розыскных мероприятий и
следственных действий в отношении
адвоката (в том числе в жилых и служебных
помещениях, используемых им для
осуществления адвокатской деятельности)
допускается только на основании
судебного решения.
Следует также учитывать, что право
адвоката собирать сведения, необходимые
для оказания юридической помощи, и
обязанность соответствующего органа
предоставить такую информацию не
распространяются на конфиденциальные
сведения. Так, например, определением
Верховного Суда РФ от 12 мая 2010 года N 49-В10-5
отказано в удовлетворении заявления о
признании неправомерными действий
миграционного органа по отказу в
предоставлении по запросу адвоката
адресной справки на гражданина, т.к. у
адвоката отсутствуют законные основания
для получения такой конфиденциальной
информации.
Федеральным законом от 7 июля 2003 года N
126-ФЗ "О связи" в РФ обеспечивается
тайна переписки, телефонных переговоров,
почтовых отправлений, телеграфных и иных
сообщений, передаваемых по сетям
электросвязи и сетям почтовой связи.
Согласно ч.3 ст.63 данного закона осмотр
почтовых отправлений лицами, не
являющимися уполномоченными
работниками оператора связи, вскрытие
почтовых отправлений, осмотр вложений,
ознакомление с информацией и
документальной корреспонденцией,
передаваемыми по сетям электросвязи и
сетям почтовой связи, осуществляются
только на основании решения суда, за
исключением ряда особых случаев. Важно
учитывать, что сведения о передаваемых
по сетям электросвязи и сетям почтовой
связи сообщениях, о почтовых
отправлениях и почтовых переводах
денежных средств, а также сами эти
сообщения, почтовые отправления и
переводимые денежные средства могут
выдаваться только отправителям и
получателям или их уполномоченным
представителям.
2.
Представляется, что для эффективного
обеспечения конфиденциальности
персональных данных операторами и
третьими лицами, получающими доступ к
персональным данным, в организациях
необходимо разрабатывать качественную и
действенную систему мер по
предотвращению утечки охраняемой
информации.
Суды зачастую подтверждают
правомерность решений контролирующего
органа о привлечении к ответственности
операторов ПД и иных лиц за нарушение
положений комментируемой статьи. Так,
Верховный Суд РФ удовлетворил
требование надзорного органа о
прекращении деятельности средства
массовой информации, поскольку были
установлены факты распространения
материалов, содержащих ПД, и другие
систематические неоднократные
нарушения требований законодательства
(см. определение Верховного Суда РФ от 24
июня 2015 года N 18-АПГ15-7).
В некоторых случаях государственные
органы могут неправомерно запрашивать
информацию у операторов ПД, что также
является нарушением норм
комментируемого Закона. Так, например,
Верховный Суд РФ признал незаконным
постановление о привлечении общества к
административной ответственности по ч.6
ст.19.8 КоАП РФ за непредставление в
федеральный антимонопольный орган
документов, предусмотренных
законодательством о рекламе. Суд
установил, что запрошенная информация
относится к категории ограниченного
доступа и представление такой
информации не является обязательным без
согласия физических лиц, в то время как
Федеральная антимонопольная служба не
относится к органам, уполномоченным
осуществлять оперативно-розыскную
деятельность (см. постановление
Верховного Суда РФ от 13 августа 2015 года N
302-АД15-5169 по делу N А19-12482/2014).
Комментарий к статье 8. Общедоступные источники персональных данных
1.
Анализ ч.1 комментируемой статьи
позволяет прийти к выводу, что
общедоступные источники персональных
данных должны обладать следующими
признаками:
- доступ к общедоступным источникам
персональных данных должен быть
неограничен;
- они могут быть использованы любыми
людьми по их усмотрению.
В настоящее время к таким общедоступным
источникам персональных данных можно
отнести следующие:
- различные справочники, издаваемые в
печатном или электронном виде, либо
размещаемые в сети Интернет;
- адресные книги;
- энциклопедии;
- различные базы данных, накапливаемые в
библиотеках, архивах, органах
государственной власти и местного
самоуправления и т.п.
Согласно ст.7 ФЗ "Об информации,
информационных технологиях и о защите
информации" к общедоступной
информации относятся общеизвестные
сведения и иная информация, доступ к
которой не ограничен. Общедоступная
информация может использоваться любыми
лицами по их усмотрению при соблюдении
установленных федеральными законами
ограничений в отношении распространения
такой информации. Важным моментом
является указание в законе на то, что
обладатель информации, ставшей
общедоступной по его решению, вправе
требовать от лиц, распространяющих такую
информацию, указывать себя в качестве
источника такой информации.
Закон позволяет включать в
общедоступные источники персональных
данных следующие сведения о гражданах:
- фамилия, имя, отчество гражданина;
- год и место рождения гражданина;
- адрес гражданина;
- абонентский номер;
- иные сведения о гражданине.
Однако все вышеуказанные сведения могут
включаться в общедоступные источники
персональных данных только с согласия
субъекта персональных данных. При этом
обязанность доказывания того, что такое
согласие получено, возложена на
оператора персональных данных. Таким
образом, оператору необходимо
позаботиться о получении от субъекта
персональных данных письменного
согласия на использования сведений о нем
в общедоступном источнике информации.
Операторам связи позволяется создавать
общедоступные базы данных об абонентах.
В эти базы данных могут включаться:
- фамилия, имя, отчество, абонентские
номера абонента-гражданина (с его
письменного согласия);
- наименование (фирменное наименование),
абонентские номера, адрес установки
оконечного оборудования, указанный в
договоре об оказании услуг связи,
абонента - юридического лица.
Но при этом по требованию абонента,
оформленного в письменной форме, такие
сведения должны быть изменены, если в них
допущены неточности. Сведения об
абоненте-гражданине исключаются из
общедоступной базы данных по его
требованию либо по решению суда или иных
уполномоченных государственных органов
РФ (см. ст.53 Федерального закона от 7 июля
2003 года N 126-ФЗ "О связи").
Отметим, что с 1 июля 2013 года на органы
государственной власти и местного
самоуправления возложена обязанность,
размещать на своих сайтах в сети
Интернет общедоступную информацию в
форме открытых данных в соответствии с
ч.2.1 ст.7 ФЗ "Об информации,
информационных технологиях и о защите
информации". Данные размещаются в
машиночитаемом формате, который может
обеспечивать их автоматическую
обработку. Указанные данные считаются
открытой и общедоступной информацией. В
случае, если размещение информации в
форме открытых данных осуществляется с
нарушением комментируемого Закона,
указанные деяния приостанавливаются или
прекращаются по требованию
Роскомнадзора.
Федеральной службой судебных приставов
разработаны Методические рекомендации
по использованию сети Интернет в целях
поиска информации о должниках и их
имуществе (утв. ФССП РФ 30 ноября 2010 года N
02-7), где разъясняется, как использовать
соответствующие веб-сайты для сбора
нужных сведений. Объектами поиска в
целях исполнения требований
исполнительных документов являются
должники-граждане и
должники-организации. Судебным
приставам рекомендуется первоначальный
поиск сведений о должниках
осуществлять:
- в поисковых системах (например, yandex.ru,
google.ru, bing.com, yahoo.com, rambler.ru, metabot.ru, search.com);
- в каталогах (например, yaca.yandex.ru, list.mail.ru,
vsego.ru);
- на сайтах социальных сетей (например,
odnoklassniki.ru, vkontakte.ru, facebook.com, linkedin.com и др.);
- в блогах, которые могут быть личными,
групповыми/корпоративными,
общественными, тематическими или общими
(например, livejournal.com, my.ya.ru, twitter.com, li.ru,
blogs.mail.ru, diary.ru);
- в базах данных адресов и телефонов
(например, 09service.com, nomer.org, lookup.com);
- на электронных досках объявлений о
покупке/продаже имущества;
- в открытых базах данных
государственных и коммерческих
организаций;
- на сайтах новостей, где содержится
информация о фамилиях граждан и
наименованиях организаций, участвующих
в событиях.
Такое изучение содержимого
Интернет-страниц позволяет установить
местонахождение как должника, так и его
имущества путем анализа информации о
роде деятельности, месте нахождения,
клиентах, партнерах и т.д. При этом анализ
контактов (родственники, коллеги,
партнеры, друзья), фотографий (места
фотографирования, окружающий интерьер,
комментарии к фотографиям),
представленных должниками-гражданами на
Интернет-страницах, позволяет
установить как имущество должника, так и
его местонахождение. Далее судебные
приставы могут узнать более точные
сведения о должнике и его имуществе
путем направления запросов
интернет-провайдерам. Наличие договора о
предоставлении доступа в сеть Интернет
позволяет через IP-адрес установить
месторасположение компьютера,
используемого должником для выхода в
сеть Интернет, а также поможет
установить наличие у должника
имущественных прав. В вышеуказанных
Методических рекомендациях судебным
приставам советуется использовать
возможность информирования должников
через сайты, социальные сети и блоги о
возбуждении исполнительного
производства с целью оплаты имеющейся
задолженности. Но всю работу, связанную с
использованием общедоступной
информации из Интернета, приставы
обязаны вести в соответствии с
требованиями об обработке ПД,
установленными комментируемым Законом.
2. Так
как включение в общедоступные источники
информации сведений о гражданине
возможно только с его согласия, то
субъект персональных данных имеет право
в любое время потребовать исключения
своих персональных данных из таких
общедоступных источников, особенно, если
они туда попали без согласия этого
гражданина. Кроме того удаление сведений
о субъекте персональных данных может
произойти по решению суда или
уполномоченного на то государственного
органа.
Именно на операторов ПД возлагается
обязанность предоставить суду
доказательства получения от субъекта ПД
согласия на включение их данных в
общедоступные источники ПД. Выдвигая
требования об исключении данных из
общедоступных источников ПД, субъект
данных не обязан предоставлять
доказательства того, что он не давал
соответствующего согласия. Такой вывод,
например, содержится в определении
Московского городского суда от 14 февраля
2011 года по делу N 33-2064. Судом принято
решение направить на новое рассмотрение
дело об обязании уничтожить
персональные данные, размещенные на
одном из Интернет-сайтов, являющемся
общедоступным источником информации. В
определении отмечается, что ранее суды,
рассматривающие дело, не приняли во
внимание то обстоятельство, что
обязанность предоставить
доказательства получения согласия
субъекта ПД на обработку данных
возлагается на оператора.
По другому делу суд привлек должностное
лицо к ответственности по ст.13.11 КоАП РФ
за нарушение порядка распространения ПД.
При рассмотрении дела суд указал, что
доказательств согласия гражданина на
размещение его ПД для доступа
неограниченного круга лиц не было
представлено (см. постановление
Хабаровского краевого суда от 2 марта 2015
года по делу N 4-А-43/).
В случае удовлетворения требований
истца, ему будет выдано решение суда об
исключении персональных данных
заявителя из указанного им
общедоступного источника информации.
При этом если суд установит факт того,
что сам гражданин позволил сделать свои
ПД общедоступными, в требовании о
прекращении обработки таких ПД ему может
быть отказано. Такой вывод следует,
например, из апелляционного определения
Московского городского суда от 10 июля 2015
года по делу N 33-23164/2015. Гражданин
обратился в суд с требованием об
оспаривании бездействия
государственных органов, обязании
устранить допущенные нарушения прав
путем обеспечения прекращения обработки
его ПД на интернет-сайтах. В ходе
судебных разбирательств судом было
установлено, что размещенная на интернет
сайтах информация о гражданине является
общедоступной, а его ПД сделаны
общедоступными самим гражданином. На
этом основании в удовлетворении
требований истца было отказано.
В силу ст.209 Гражданского
процессуального кодекса РФ (далее по
тексту - ГПК РФ) решения суда вступают в
законную силу по истечении срока на
апелляционное обжалование, если они не
были обжалованы. В случае подачи
апелляционной жалобы решение суда
вступает в законную силу после
рассмотрения судом этой жалобы, если
обжалуемое решение суда не отменено.
Если определением суда апелляционной
инстанции отменено или изменено решение
суда первой инстанции и принято новое
решение, оно вступает в законную силу
немедленно. После вступления в законную
силу решения суда стороны, другие лица,
участвующие в деле, их правопреемники не
могут вновь заявлять в суде те же исковые
требования, на том же основании, а также
оспаривать в другом гражданском
процессе установленные судом факты и
правоотношения.
Сведения о субъекте персональных данных
не просто "могут быть", а "должны быть"
исключены из общедоступных источников
персональных данных:
- по требованию субъекта ПД;
- по решению суда;
- по решению уполномоченных органов.
Комментарий к статье 9. Согласие субъекта персональных данных на обработку его персональных данных
1.
Обработка ПД возможна только при условии
согласия субъекта ПД, за исключением
ряда случаев, перечисленных в ч.1 ст.6, а
также случаев, указанных в ч.2 ст.10, ч.2 ст.11
комментируемого Закона.
Согласие на обработку данных должно
обладать следующими признаками:
- должно быть дано субъектом ПД свободно,
своей волей и в своем интересе;
- должно быть конкретным,
информированным и сознательным;
- может даваться как субъектом ПД, так и
его представителем (в этом случае
полномочия представителя должны быть
проверены оператором);
- может быть дано в
любой позволяющей подтвердить факт его
получения форме, кроме случаев, когда
форма согласия предусмотрена Законом.
Таким образом, согласие может быть
получено от субъекта ПД на обработку его
данных даже, например, путем нажатия
соответствующей кнопки на странице
сайта, путем ввода паролей и т.п. Главное
условие - форма согласия должна
позволять подтвердить факт его
получения. Исключения составляют случаи,
когда требуется получение согласия на
обработку данных субъекта ПД
исключительно в
письменной форме (см. ч.4 ст.9 Закона и
комментарий к ней).
Согласие на обработку ПД может дать не
только субъект ПД, но и его представитель, даже в
том случае, если субъект ПД является
полностью дееспособным.
Случаи, когда не требуется согласия
работника на обработку его ПД:
- если объем обрабатываемых ПД не
превышает установленные перечни, а также
соответствует целям обработки,
предусмотренным трудовым
законодательством, законодательством РФ
о государственной гражданской службе;
- если обработка ПД предусмотрена
коллективным договором, в том числе
правилами внутреннего трудового
распорядка или локальными актами
работодателя, принятыми в порядке,
установленном ст.372 ТК РФ;
- если обязанность по обработке, в том
числе опубликованию и размещению ПД
работников в сети Интернет,
предусмотрена законодательством РФ (см.
например, п.7 ч.1 ст.79 Федерального закона
от 21 ноября 2011 года N 323-ФЗ "Об основах
охраны здоровья граждан в Российской
Федерации", а также Федеральный закон
от 9 февраля 2009 года N 8-ФЗ "Об
обеспечении доступа к информации о
деятельности государственных органов и
органов местного самоуправления");
- если осуществляется обработка ПД
близких родственников работника в
объеме, предусмотренном унифицированной
формой N Т-2, утвержденной постановлением
Госкомстата Российской Федерации от 5
января 2004 года N 1 "Об утверждении
унифицированных форм первичной учетной
документации по учету труда и его
оплаты", либо в случаях, установленных
законодательством РФ (например,
получение алиментов, оформление допуска
к государственной тайне, оформление
социальных выплат);
- если осуществляется обработка
специальных категорий ПД работника, в
том числе, сведений о состоянии здоровья,
относящихся к вопросу о возможности
выполнения работником трудовой функции
на основании положений п.2.3 ч.2 ст.10
комментируемого Закона в рамках
трудового законодательства;
- если осуществляется передача ПД
работника третьим лицам в случаях, когда
это необходимо в целях предупреждения
угрозы жизни и здоровью работника, а
также в других случаях, предусмотренных
ТК РФ или иными федеральными законами
(см. например, ст.22 ТК РФ, ст.ст.17, 19
Федерального закона от 12 января 1996 года N
10-ФЗ "О профессиональных союзах, их
правах и гарантиях деятельности");
- если осуществляется обработка ПД
работника при осуществлении пропускного
режима на территорию служебных зданий и
помещений работодателя, при условии, что
организация пропускного режима
осуществляется работодателем
самостоятельно либо если указанная
обработка соответствует порядку,
предусмотренному коллективным
договором, локальными актами
работодателя, принятыми в соответствии
со ст.372 ТК РФ.
2.
Субъекту ПД предоставляется право в
любое время отозвать свое согласие на
обработку ПД. Из смысла положения,
содержащегося в ч.2 анализируемой статьи
Закона, усматривается, что субъект ПД не
обладает правом требовать прекращения
обработки своих ПД в тех случаях, когда
его согласия на обработку ПД в
соответствии с Законом не требуется (см.
ч.2-11 ст.6 комментируемого Закона). Кроме
того, оператор ПД вправе продолжить
обработку данных даже в случае отзыва
согласия субъекта ПД:
- при обработке специальной категории
персональных данных в соответствии с ч.2
ст.10 комментируемого Закона;
- при обработке той категории
биометрических персональных данных,
которые в силу ч.2 ст.11 комментируемого
Закона могут обрабатываться без
согласия субъекта ПД.
В комментируемом Законе не указывается,
в какой форме субъекту ПД следует
предоставлять отзыв согласия на
обработку ПД. Вероятней всего он должен
быть в той же форме, в какой было подано
заявление о согласии на обработку ПД.
В качестве
примера рассмотрим часто встречающийся
случай. Гражданин зарегистрировался
на веб-сайте (например, в социальной
сети), указав при регистрации свои
персональные данные. После удаления
аккаунта информация о персональных
данных пользователя все равно осталась в
архивах сайта. Рекомендуем при
регистрации на веб-сайтах внимательно
читать пользовательское соглашение,
прежде чем ставить "галочку",
подтверждающую согласие с этим
документом. Если соглашение
предусматривает, что представляемые
гражданином персональные данные
необходимы для оказания указанным
веб-сайтом услуг, то согласно п.5 ч.1 ст.6 и
ч.2 ст.9 комментируемого Закона владелец
сайта будет иметь право продолжить
обработку данных гражданина даже в
случае отзыва субъектом данных своего
согласия на такую обработку.
Следует учесть, что гражданин вправе
потребовать от операторов поисковой
системы, распространяющих в сети
Интернет рекламу, прекратить выдачу
ссылок на страницы сайтов, содержащие
информацию о заявителе,
распространяемую с нарушением
комментируемого Закона или являющуюся
недостоверной, неактуальной, утратившей
значение для заявителя и т.п. Исключения
из этого составляет информация о
событиях, содержащих признаки уголовно
наказуемых деяний, сроки привлечения к
уголовной ответственности по которым не
истекли, и информация о совершении
гражданином преступления, по которому не
снята или не погашена судимость.
В требовании необходимо указать:
- фамилию, имя, отчество, паспортные
данные, контактную информацию (номера
телефона и (или) факса, адрес электронной
почты, почтовый адрес);
- информацию, выдача ссылок на которую
подлежит прекращению;
- ссылки на страницы сайтов в Интернете,
где размещена такая информация;
- основание для прекращения выдачи
ссылок поисковой системой;
- согласие заявителя на обработку его
ПД.
3.
Законодатель возлагает на оператора ПД
обязанность доказывания того, что
субъект ПД дал согласие на обработку
своих данных. Предоставление упомянутых
выше доказательств может потребоваться,
например, в случае судебного
разбирательства.
Если в соответствии с комментируемым
Законом не требуется получения
отдельного согласия в письменной форме
на обработку персональных данных, то
информацию о целях и способах обработки
ПД можно включить в текст анкеты, бланка,
запроса, договора. При этом нужно
учитывать, что согласие должно быть
конкретным и информированным. Если
организация собирает данные для
передачи третьим лицам - необходимо
получить специальное согласие на это у
субъекта ПД до того, как ПД будут
переданы. Если организация планирует
использовать ПД сразу для нескольких
целей, то в этом случае следует
запрашивать согласие субъекта ПД на
каждый случай отдельно. При любых
обстоятельствах согласие на обработку
ПД не должно быть вынужденным. Субъект ПД
всегда должен иметь возможность
отказаться от использования его данных
во вторичных целях, не отказываясь при
этом от получения услуг. Представляется,
что вполне допустимо включить в анкету
или уведомление о порядке обработки и
использования ПД пунктов, в соответствии
с которыми у гражданина берется согласие
на использование данных во вторичных
целях, например: "я хочу получать
рекламную информацию", "не возражаю
против получения новых предложений об
участии в опросах компании" и т.п.
В ряде случаев вместо предоставления
доказательств получения согласия
субъекта данных на их обработку оператор
должен предоставить доказательства
наличия оснований, позволяющих в силу
комментируемого Закона не получать
согласия на обработку ПД. Такие
основания предусмотрены:
- ч.2-11 ст.6 комментируемого Закона;
- ч.2 ст.10 комментируемого Закона;
- ч.2 ст.11 комментируемого Закона.
Согласно п.5 ч.2 ст.6 комментируемого
Закона согласие субъекта ПД на обработку
ПД не требуется, если обработка ПД
осуществляется в целях исполнения
договора, одной из сторон которого
является субъект ПД. Поэтому оператору
ПД следует составлять договор с
субъектом данных (например, об оказании
услуг) таким образом, чтобы из него явно
усматривалась необходимость обработки
данных на основании указанного выше
положения.
В любых сомнительных случаях, а также
тогда, когда оператор планирует поручать
обработку персональных данных третьим
лицам, распространять каким-либо
образом, оператору следует получить
соответствующее согласие от субъекта
этих данных.
Указанное согласие работника должно
быть конкретным и информированным, т.е.
содержать информацию, позволяющую
однозначно сделать вывод о целях,
способах обработки с указанием действий,
совершаемых с ПД, объеме обрабатываемых
ПД. При этом согласие работника может
быть оформлено как в виде отдельного
документа, так и закреплено в тексте
трудового договора.
4. В
ряде случаев для обработки ПД требуется
обязательное получение оператором ПД
письменного согласия на это от субъекта
данных. Это следующие случаи:
- осуществляется обработка специальной категории ПД в
соответствии с п.1 ч.2 ст.10
комментируемого Закона;
- осуществляется обработка биометрических ПД в соответствии
с ч.1 ст.11 комментируемого Закона;
- осуществляется трансграничная передача ПД на
территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов персональных данных в
соответствии с ч.4 ст.12 комментируемого
Закона;
- осуществляется включение персональных данных
субъекта этих данных в общедоступные
источники ПД в соответствии с ч.1 ст.8
комментируемого Закона;
- осуществляется распространение специальной
категории персональных данных членов
(участников) общественного объединения
или религиозной организации (п.5 ч.2
ст.10 комментируемого Закона);
- при принятии решения, порождающего юридические
последствия в отношении субъекта ПД или
иным образом затрагивающего его права и
законные интересы, на основании исключительно
автоматизированной обработки его
персональных данных (ч.2 ст.16
комментируемого Закона).
Получается, что в иных случаях
достаточно заручиться согласием
субъекта ПД, данным в устной или иной
форме? Да, закон позволяет это. Но следует
учитывать, что оператор ПД при
возникновении споров будет обязан
подтвердить факт получения такого
согласия, что будет довольно сложно, если
согласие получено, например, устно.
Поэтому в тех случаях, когда получение
согласия от субъекта ПД на обработку его
данных обязательно, оператору ПД, по
мнению автора, лучше перестраховаться и
получить указанное согласие в
письменной форме или в другой форме,
которая позволит легко подтвердить факт
получения согласия.
Комментируемый Закон называет согласие
в форме электронного документа,
подписанного в соответствии с
Федеральным законом от 6 апреля 2011 года N
63-ФЗ "Об электронной подписи" (далее
по тексту - ФЗ "Об электронной
подписи") электронной подписью,
равнозначным содержащему
собственноручную подпись субъекта
персональных данных согласию в
письменной форме на бумажном носителе.
Согласие в письменной форме субъекта
персональных данных на обработку его
персональных данных должно включать в
себя, в частности:
1)
фамилию, имя, отчество, адрес субъекта
персональных данных, номер основного
документа, удостоверяющего его личность,
сведения о дате выдачи указанного
документа и выдавшем его органе;
2)
фамилию, имя, отчество, адрес
представителя субъекта персональных
данных, номер основного документа,
удостоверяющего его личность, сведения о
дате выдачи указанного документа и
выдавшем его органе, реквизиты
доверенности или иного документа,
подтверждающего полномочия этого
представителя (при получении согласия от
представителя субъекта персональных
данных);
3)
наименование или фамилию, имя, отчество и
адрес оператора, получающего согласие
субъекта персональных данных;
4) цель
обработки персональных данных;
5)
перечень персональных данных, на
обработку которых дается согласие
субъекта персональных данных;
6)
наименование или фамилию, имя, отчество и
адрес лица, осуществляющего обработку
персональных данных по поручению
оператора, если обработка будет поручена
такому лицу;
7)
перечень действий с персональными
данными, на совершение которых дается
согласие, общее описание используемых
оператором способов обработки
персональных данных;
8) срок,
в течение которого действует согласие
субъекта персональных данных, а также
способ его отзыва, если иное не
установлено федеральным законом;
9)
подпись субъекта персональных данных
(см., например, приказ Федеральной службы
по экологическому, технологическому и
атомному надзору от 20 января 2015 года N 10
"Об утверждении перечня персональных
данных, обрабатываемых в Федеральной
службе по экологическому,
технологическому и атомному надзору в
связи с реализацией трудовых отношений,
а также типовой формы согласия на
обработку персональных данных
федеральных государственных
гражданских служащих Федеральной службы
по экологическому, технологическому и
атомному надзору, и иных субъектов
персональных данных", приказ Минюста
РФ от 21 марта 2013 года N 36 "Об
утверждении перечня персональных
данных, обрабатываемых в Министерстве
юстиции Российской Федерации в связи с
реализацией трудовых отношений, а также
типовой формы согласия на обработку
персональных данных федеральных
государственных гражданских служащих
Министерства юстиции Российской
Федерации и иных субъектов персональных
данных", распоряжение Министерства
сельского хозяйства РФ от 31 октября 2013
года N 85-р "О персональных данных,
обрабатываемых в Министерстве сельского
хозяйства Российской Федерации в связи с
прохождением федеральной
государственной гражданской службы и
реализацией трудовых отношений" и
др.).
В случае несоответствия формы согласия
на обработку персональных данных
требованиям, содержащимся в ч.4
комментируемой статьи, оператор ПД может
быть привлечен к административной
ответственности. Как следует из отчетов
Роскомандзора, размещенных на его
официальном сайте в сети Интернет (см.,
например, URL: https://rkn.gov.ru/docs/Otchet_ZPD_rus.pdf), с
жалобами в этот орган очень часто
обращаются заемщики банков. Граждан
волнуют, прежде всего, следующие вопросы:
"Вправе ли банк передавать ПД
заемщиков коллекторским агентствам в
случае просрочки погашения долга по
кредиту?", "Имеет ли право банк
продолжать обработку ПД заемщика после
получения отзыва на такую обработку?".
Рассмотрим некоторые пояснения
Роскомнадзора на этот счет.
По мнению указанного органа, обработка
кредитными учреждениями либо
коллекторскими агентствами ПД граждан в
данном случае подтверждается наличием
договорных отношений, установленных
законодательством РФ. Поэтому отзыв
согласия на обработку ПД не является основанием
для прекращения обработки банками ПД при
наличии существующих договорных
отношений. Российское
законодательство предоставляет банкам
право обрабатывать ПД граждан на
основании заключенного договора, а также
реализовывать свое право на взыскание
задолженности в рамках агентской схемы и
уступки права требования по кредитному
договору (цессия).
Указанное также подтверждается судебной
практикой. Так, например, в одном из
случаев истец обратился в суд с
требованием о возложении на банк
обязанности дать ответ на заявление об
отзыве согласия на обработку его ПД,
поскольку ранее он дал согласие на
обработку ПД, но впоследствии обратился
в банк с заявлением об отзыве этого
согласия, но ответа от банка не получил.
Суд отказал в удовлетворении требований
истца, ссылаясь на то, что в связи с
отсутствием сведений о погашении истцом
кредитной задолженности банк вправе
продолжать обработку его ПД (см.
апелляционное определение Пермского
краевого суда от 14 октября 2015 года по
делу N 33-11127/2015).
При этом Роскомнадзор призывает
обратить внимание на некоторые нюансы.
Например, в случае если договором
предусмотрено при возникновении
задолженности согласие клиента на
передачу его ПД коллекторскому
агентству и до
возникновения задолженности клиент
отзывает свое согласие, то необходимо
уточнить: данное согласие было условием
договора и прописано в теле договора или
согласие давалось отдельно от договора.
В случае если согласие было условием
договора и отзыв согласия оформлен в
виде дополнительного соглашения к
договору, то передача оператором ПД без согласия
клиента будет неправомерной.
При осуществлении деятельности по
взысканию задолженности на основании
агентских договоров банки и
коллекторские агентства должны
соблюдать требования
конфиденциальности и безопасности.
Представителям коллекторского
агентства необходимо убедиться в том,
что у банка имеется согласие должников
на передачу их ПД. Однако напоминаем, что
в ГК РФ теперь предусмотрена возможность
переуступки прав. При этом согласие
должника на передачу его ПД в рамках
переуступки права требования не
требуется. Но ввиду того, что
персональные данные получены не от
субъекта ПД, коллекторское агентство обязано
проинформировать его о факте заключения
договора цессии и предоставить ему
информацию, предусмотренную ч.3 ст.18
комментируемого Закона.
5. В силу ч.5 комментируемой статьи порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг или услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, должен быть установлен Правительством РФ. Порядок предоставления государственных и муниципальных услуг установлен Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг". В силу ст.7 указанного закона не требуется получение согласия заявителя как субъекта персональных данных на обработку его данных:
- для предоставления государственной или
муниципальной услуги по запросу
заявителя;
- для обработки персональных данных при
регистрации субъекта персональных
данных на едином портале
государственных и муниципальных услуг и
на региональных порталах
государственных и муниципальных услуг.
Такое же правило установлено п.4 ч.1 ст.6
комментируемого Закона.
В то же время для обработки информации,
которая связана с правами и законными интересами
заявителя, доступ к которой ограничен
федеральными законами, за исключением
персональных данных и сведений,
составляющих государственную и
налоговую тайну, требуется получение согласия
заявителя. При этом согласие может
быть получено и представлено как в форме
документа на бумажном носителе, так и в
форме электронного документа. В том
случае, если для предоставления
государственной или муниципальной
услуги необходимо представление
документов и информации об ином лице, не
являющемся заявителем, заявитель должен
представить следующие документы:
- документы, подтверждающие наличие
согласия указанных выше иных лиц или их
законных представителей на обработку
персональных данных указанных лиц;
- документы, подтверждающие полномочие
заявителя действовать от имени
указанных лиц или их законных
представителей.
Закон позволяет такие документы
представлять, в том числе, в форме
электронного документа.
Можно выделить следующие постановления
Правительства РФ, устанавливающие
порядок предоставления государственных
и муниципальных услуг:
- постановление Правительства РФ от 16 мая
2011 года N 373 "О разработке и утверждении
административных регламентов
исполнения государственных функций и
административных регламентов
предоставления государственных
услуг";
- постановление Правительства РФ от 25
июня 2012 года N 634 "О видах электронной
подписи, использование которых
допускается при обращении за получением
государственных и муниципальных
услуг";
- постановление Правительства РФ от 6 мая
2011 года N 352 "Об утверждении перечня
услуг, которые являются необходимыми и
обязательными для предоставления
федеральными органами исполнительной
власти государственных услуг и
предоставляются организациями,
участвующими в предоставлении
государственных услуг, и определении
размера платы за их оказание";
- постановление Правительства РФ от 8
июня 2011 года N 451 "Об инфраструктуре,
обеспечивающей
информационно-технологическое
взаимодействие информационных систем,
используемых для предоставления
государственных и муниципальных услуг в
электронной форме";
- постановление Правительства РФ от 27
сентября 2011 года N 797 "О взаимодействии
между многофункциональными центрами
предоставления государственных
(муниципальных) услуг и федеральными
органами исполнительной власти,
органами государственных внебюджетных
фондов, органами государственной власти
субъектов Российской Федерации,
органами местного самоуправления";
- постановление Правительства РФ от 22
июля 2011 года N 613 "О разработке,
подключении и функционировании
федеральных электронных приложений, за
исключением электронного банковского
приложения";
- постановление Правительства РФ от 7
июля 2011 года N 552 "О порядке
предоставления федеральными органами
исполнительной власти и
государственными внебюджетными фондами
доступа к своим информационным системам
в части информации, необходимой для
выпуска, выдачи и обслуживания
универсальных электронных карт";
- постановление Правительства РФ от 7
июля 2011 года N 553 "О порядке оформления
и представления заявлений и иных
документов, необходимых для
предоставления государственных и (или)
муниципальных услуг, в форме электронных
документов";
- постановление Правительства РФ от 25
апреля 2011 года N 321 "Об утверждении
Правил выпуска универсальной
электронной карты";
- постановление Правительства РФ от 24
марта 2011 года N 208 "О технических
требованиях к универсальной электронной
карте и федеральным электронным
приложениям".
6. В том
случае, если гражданин, у которого
планируется получить ПД для дальнейшей
обработки, является недееспособным, то
согласие в письменной форме об обработке
ПД такого гражданина следует получать у
законного представителя субъекта ПД. Под
дееспособностью понимается способность
гражданина своими действиями
приобретать и осуществлять гражданские
права, создавать для себя гражданские
обязанности и исполнять их (гражданская
дееспособность). Дееспособность
возникает в полном объеме с наступлением
совершеннолетия, то есть по достижении
восемнадцатилетнего возраста. В случае,
когда законом допускается вступление в
брак до достижения восемнадцати лет,
гражданин, не достигший
восемнадцатилетнего возраста,
приобретает дееспособность в полном
объеме со времени вступления в брак.
Приобретенная в результате заключения
брака дееспособность сохраняется в
полном объеме и в случае расторжения
брака до достижения восемнадцати лет.
При признании брака недействительным
суд может принять решение об утрате
несовершеннолетним супругом полной
дееспособности с момента, определяемого
судом.
Законными представителями
недееспособных граждан могут быть
родители, усыновители, опекуны,
попечители, иные лица на основании
предоставленного им федеральным законом
права.
7.
Частью 7 комментируемой статьи
устанавливается, что в случае смерти
субъекта ПД согласие на обработку его ПД
могут дать наследники субъекта ПД, если
такое согласие не было дано субъектом
данных при его жизни.
В общепринятом смысле слова наследником
является лицо, вступающее в
имущественные или другие права после
смерти другого лица.
Согласно ст.1111 ГК РФ наследование
осуществляется по завещанию и по закону.
Однако не наследуют ни по закону, ни по
завещанию граждане, которые своими
умышленными противоправными действиями,
направленными против наследодателя,
кого-либо из его наследников или против
осуществления последней воли
наследодателя, выраженной в завещании,
способствовали либо пытались
способствовать призванию их самих или
других лиц к наследованию либо
способствовали или пытались
способствовать увеличению
причитающейся им или другим лицам доли
наследства, если эти обстоятельства
подтверждены в судебном порядке. Но
граждане, которым наследодатель после
утраты ими права наследования завещал
имущество, вправе наследовать это
имущество. Также не наследуют по закону
родители после детей, в отношении
которых родители были в судебном порядке
лишены родительских прав и не
восстановлены в этих правах ко дню
открытия наследства. Кроме того по
требованию заинтересованного лица суд
отстраняет от наследования по закону
граждан, злостно уклонявшихся от
выполнения лежавших на них в силу закона
обязанностей по содержанию
наследодателя.
Наследники по закону призываются к
наследованию в порядке очередности.
Например, наследниками первой очереди по
закону являются дети, супруг и родители
наследодателя. Если нет наследников
первой очереди, наследниками второй
очереди по закону являются полнородные и
неполнородные братья и сестры
наследодателя, его дедушка и бабушка как
со стороны отца, так и со стороны матери.
Если нет наследников первой и второй
очереди, наследниками третьей очереди по
закону являются полнородные и
неполнородные братья и сестры родителей
наследодателя (дяди и тети
наследодателя) и т.п.
8. Часть
8 комментируемой статьи предоставляет
оператору ПД право получать
персональные данные от лица, не
являющегося субъектом этих данных. Это
возможно в случаях, когда указанное лицо
предоставляет оператору ПД
подтверждения наличия оснований,
указанных:
- в п.2-11 ч.1 ст.6 комментируемого Закона
(когда не требуется получения согласия
на обработку данных);
- в ч.2 ст.10 комментируемого Закона (когда
обрабатывается специальная категория
ПД);
- в ч.2 ст.11 (когда обрабатываются
биометрические персональные данные, на
обработку которых не требуется
получения согласия от субъекта ПД).
Например, нотариусом персональные
данные, касающиеся других лиц, могут быть
получены от обратившегося к нему лица,
если это будет необходимо для выполнения
его нотариальных действий (информация о
других наследниках при оформлении
наследства).
Комментарий к статье 10. Специальные категории персональных данных
1.
Статьей 10 комментируемого Закона
определяется порядок обработки
специальной категории ПД. К специальной
категории ПД относятся данные,
касающиеся:
- расовой, национальной принадлежности
гражданина;
- политических взглядов гражданина;
- религиозных или философских убеждений
гражданина;
- состояния здоровья гражданина;
- сведений об интимной жизни
гражданина.
2.
Частью 2 комментируемой статьи
определяются некоторые случаи, когда
возможна обработка специальной
категории ПД.
Такая обработка возможна, если субъект
ПД дал согласие в письменной форме на
обработку своих ПД. Форма письменного
согласия на обработку ПД должна
соответствовать требованиям,
содержащимся в ч.4 ст.9 комментируемого
Закона.
Однако не понятно, почему, разрешая
обрабатывать специальную категорию
персональных данных на основании
письменного согласия субъекта данных,
законодатель позволяет оператору ПД
продолжить обработку этой категории
данных даже в случае отзыва субъектом ПД
своего согласия. В ч.2 ст.9
комментируемого Закона указано, что в
случае отзыва субъектом ПД согласия на
обработку персональных данных оператор
вправе продолжить обработку данных без
согласия субъекта ПД при наличии
оснований, указанных в ч.2 ст.10
комментируемого Закона. Получается, что
оператор данных сможет продолжить
обработку ПД в случае отзыва согласия
субъектом данных во всех случаях,
предусмотренных ч.2 ст.10 комментируемого
Закона, в том числе и в случае, указанном
в п.1 ч.2 ст.10 комментируемого Закона,
когда обработка специальной категории
ПД осуществляется на основании
письменного заявления субъекта данных.
Возможна обработка специальной
категории ПД и в том случае, если данные
сделаны общедоступными самим субъектом
персональных данных. В силу п.10 ч.2 ст.6
комментируемого Закона без согласия
субъекта ПД разрешается осуществлять
обработку персональных данных, доступ
неограниченного круга лиц к которым
предоставлен субъектом персональных
данных либо по его просьбе.
Обработка специальной категории ПД
также возможна, если такая обработка
необходима в связи с реализацией
международных договоров РФ о реадмиссии
(см., например, Соглашение между
Правительством Российской Федерации и
Правительством Республики Сербии о
реадмиссии (Белград, 16 октября 2014 года),
Соглашение между Правительством
Российской Федерации и Правительством
Монголии о реадмиссии (Улан-Батор, 3
сентября 2014 года), Соглашение между
Правительством Российской Федерации и
Правительством Республики Узбекистан о
реадмиссии (Москва, 15 апреля 2013 года),
Соглашение между Правительством
Российской Федерации и Правительством
Княжества Лихтенштейн о реадмиссии
(Берн, 20 декабря 2012 года) и др.).
Реадмиссия - это согласие государства на
прием обратно на свою территорию своих
граждан (а также, в некоторых случаях,
иностранцев, прежде находившихся или
проживавших в этом государстве), которые
подлежат депортации из другого
государства.
Положения п.2.3 комментируемой статьи
позволяют осуществлять обработку
специальной категории персональных
данных в случаях, когда данные
обрабатываются в соответствии с
законодательством о государственной
социальной помощи, трудовым
законодательством, пенсионным
законодательством Российской Федерации,
в частности:
- в соответствии с Федеральным законом от
17 июля 1999 года N 178-ФЗ "О
государственной социальной помощи";
- в соответствии с ТК РФ;
- в соответствии с Федеральным законом от
28 декабря 2013 года N 400-ФЗ "О страховых
пенсиях" и Федеральным законом от 15
декабря 2001 года N 166-ФЗ "О
государственном пенсионном обеспечении
в Российской Федерации".
В силу положения п.3 ч.2 комментируемой
статьи разрешена обработка специальной
категории персональных данных, если это
необходимо
для защиты жизни, здоровья или иных
жизненно важных интересов субъекта
персональных данных либо жизни, здоровья
или иных жизненно важных интересов
других лиц. Однако это возможно
только в случае, если получение согласия
субъекта персональных данных
невозможно. Указанная норма почти
повторяет норму, содержащуюся в п.6 ч.1 ст.6
комментируемого Закона.
Обработка специальной категории ПД
возможна, если такие действия
осуществляются:
- в медико-профилактических целях;
- в целях установления медицинского
диагноза;
- в целях оказания медицинских и
медико-социальных услуг.
Важным условием при этом является то, что
такая обработка ПД может осуществляться
только лицом, профессионально
занимающимся медицинской деятельностью
и обязанным в соответствии с
законодательством РФ сохранять
врачебную тайну. Медицинская
деятельность подлежит лицензированию в
соответствии с постановлением
Правительства РФ от 16 апреля 2012 года N 291
"О лицензировании медицинской
деятельности (за исключением указанной
деятельности, осуществляемой
медицинскими организациями и другими
организациями, входящими в частную
систему здравоохранения, на территории
инновационного центра
"Сколково")".
Врачебную тайну составляют сведения о
факте обращения гражданина за оказанием
медицинской помощи, состоянии его
здоровья и диагнозе, иные сведения,
полученные при его медицинском
обследовании и лечении. Не допускается
разглашение сведений, составляющих
врачебную тайну, в том числе после смерти
человека, лицами, которым они стали
известны при обучении, исполнении
трудовых, должностных, служебных и иных
обязанностей. Это установлено в ст.13
Федерального закона от 21 ноября 2011 года N
323-ФЗ "Об основах охраны здоровья
граждан в Российской Федерации". Из
этого правила есть ряд исключений,
предусмотренных вышеуказанной статьей.
Особое право на обработку специальной
категории ПД законодатель предоставляет
общественным объединениям или
религиозным организациям. Им
разрешается обрабатывать ПД своих
членов (участников), относящиеся к
специальной категории ПД, если это
необходимо для достижения законных
целей организаций, предусмотренных их
учредительными документами. Однако
указанные организации обязаны не
допускать распространения таких ПД без
согласия в письменной форме субъектов
ПД. В качестве примера можно привести
общественные организации инвалидов. При
вступлении в такие общественные
объединения инвалиды предоставляют в
организацию сведения, подтверждающие их
инвалидность. Это необходимо, т.к.
общественными организациями инвалидов
признаются организации, созданные
инвалидами и лицами, представляющими их
интересы, в целях защиты прав и законных
интересов инвалидов, обеспечения им
равных с другими гражданами
возможностей, решения задач
общественной интеграции инвалидов,
среди членов которых инвалиды и их
законные представители (один из
родителей, усыновителей, опекун или
попечитель) составляют не менее 80
процентов, а также союзы (ассоциации)
указанных организаций.
Обработка специальной категории ПД
возможна также, если это необходимо:
- для установления или осуществления
прав субъекта персональных данных или
третьих лиц, а равно и в связи с
осуществлением правосудия;
- обработка персональных данных
осуществляется в соответствии с
законодательством РФ об обороне, о
безопасности, о противодействии
терроризму;
- обработка персональных данных
осуществляется в соответствии с
законодательством РФ о транспортной
безопасности;
- обработка персональных данных
осуществляется в соответствии с
законодательством РФ о противодействии
коррупции;
- обработка персональных данных
осуществляется в соответствии с
законодательством РФ об
оперативно-розыскной деятельности;
- обработка персональных данных
осуществляется в соответствии с
законодательством РФ об исполнительном
производстве, в соответствии с
уголовно-исполнительным
законодательством РФ.
Здесь речь идет об обработке специальной
категории ПД, когда она осуществляется в
соответствии с ГПК РФ, УПК РФ,
Уголовно-исполнительным кодексом РФ
(далее - УИК РФ), а также в соответствии со
следующими федеральными законами:
- Федеральным законом от 12 августа 1995
года N 144-ФЗ "Об оперативно-розыскной
деятельности";
- Федеральным законом от 31 мая 1996 года N
61-ФЗ " Об обороне";
- Федеральным законом от 2 октября 2007 года
N 229-ФЗ "Об исполнительном
производстве";
- Федеральным законом от 25 декабря 2008
года N 273-ФЗ "О противодействии
коррупции";
- Федеральным законом от 6 марта 2006 года N
35-ФЗ "О противодействии терроризму";
- Федеральным законом от 9 февраля 2007 года
N 16-ФЗ "О транспортной
безопасности";
- Федеральным законом от 28 декабря 2010
года N 390-ФЗ "О безопасности".
Часть 2 комментируемой статьи дополнена
Федеральным законом от 23 июля 2013 года N
205-ФЗ "О внесении изменений в отдельные
законодательные акты Российской
Федерации в связи с уточнением
полномочий органов прокуратуры
Российской Федерации по вопросам
обработки персональных данных" п.7.1,
согласно которому обработка специальной
категории ПД возможна также, если она
осуществляется в установленных
законодательством РФ случаях органами
прокуратуры в связи с осуществлением ими
прокурорского надзора. В связи с этим
органам прокуратуры предоставляется
право получать доступ к информации,
доступ к которой ограничен (например, к
информации о состоянии здоровья граждан,
составляющих врачебную тайну и т.п.), и
осуществлять обработку ПД. Отметим, что
органы прокуратуры осуществляют свою
деятельность в соответствии с
Федеральным законом от 17 января 1992 года N
2202-1 "О прокуратуре Российской
Федерации".
При этом обработка ПД, включенных в
состав личного дела прокурорского
работника, реализация прав прокурорских
работников как субъектов ПД
осуществляются в соответствии с
комментируемым Законом. Запрещается
обработка, в том числе включение в состав
личного дела прокурорского работника, ПД
прокурорского работника, отнесенных в
соответствии с комментируемым Законом к
специальным категориям ПД, за
исключением некоторых особых случаев,
предусмотренных Федеральным законом от
17 января 1992 года N 2202-1 "О прокуратуре
Российской Федерации" и другими
федеральными законами.
При этом органы прокуратуры в связи с
осуществлением ими прокурорского
надзора вправе получать доступ к
необходимой им для осуществления
прокурорского надзора информации,
доступ к которой ограничен в
соответствии с федеральными законами, в
том числе осуществлять обработку ПД.
Положения п.8 ч.2 комментируемой статьи
позволяют осуществлять обработку
специальной категории персональных
данных не только в целях обязательного
социального страхования, но также и в
целях иных видов обязательного страхования в
соответствии со страховым
законодательством.
Согласно ч.4 ст.3 Закона РФ от 27 ноября 1992
года N 4015-1 "Об организации страхового
дела в Российской Федерации" условия и
порядок осуществления обязательного
страхования определяются федеральными
законами
о конкретных видах обязательного
страхования. При этом федеральный
закон о конкретном виде обязательного
страхования должен содержать положения,
определяющие:
- субъекты страхования;
- объекты, подлежащие страхованию;
- перечень страховых случаев;
- минимальный размер страховой суммы или
порядок ее определения;
- размер, структуру или порядок
определения страхового тарифа;
- срок и порядок уплаты страховой премии
(страховых взносов);
- срок действия договора страхования;
- порядок определения размера страховой
выплаты;
- контроль за осуществлением
страхования;
- последствия неисполнения или
ненадлежащего исполнения обязательств
субъектами страхования;
- иные положения.
В качестве примера назовем несколько
федеральных законов об обязательных
видах страхования:
- Федеральный закон от 16 июля 1999 года N
165-ФЗ "Об основах обязательного
социального страхования";
- Федеральный закон от 24 июля 1998 года N
125-ФЗ "Об обязательном социальном
страховании от несчастных случаев на
производстве и профессиональных
заболеваний";
- Федеральный закон от 29 декабря 2006 года N
255-ФЗ "Об обязательном социальном
страховании на случай временной
нетрудоспособности и в связи с
материнством";
- Федеральный закон от 15 декабря 2001 года N
167-ФЗ "Об обязательном пенсионном
страховании в Российской Федерации";
- Федеральный закон от 29 ноября 2010 года N
326-ФЗ "Об обязательном медицинском
страховании в Российской Федерации";
- Федеральный закон от 28 марта 1998 года N
52-ФЗ "Об обязательном государственном
страховании жизни и здоровья
военнослужащих, граждан, призванных на
военные сборы, лиц рядового и
начальствующего состава органов
внутренних дел Российской Федерации,
Государственной противопожарной службы,
органов по контролю за оборотом
наркотических средств и психотропных
веществ, сотрудников учреждений и
органов уголовно-исполнительной
системы";
- Федеральный закон от 25 апреля 2002 года N
40-ФЗ "Об обязательном страховании
гражданской ответственности владельцев
транспортных средств";
- Федеральный закон от 23 декабря 2003 года N
177-ФЗ "О страховании вкладов
физических лиц в банках Российской
Федерации";
- Федеральный закон от 27 июля 2010 года N
225-ФЗ "Об обязательном страховании
гражданской ответственности владельца
опасного объекта за причинение вреда в
результате аварии на опасном
объекте".
Обработка специальной категории ПД
также возможна, когда она осуществляется
государственными органами,
муниципальными органами или
организациями в целях устройства детей, оставшихся
без попечения родителей, на воспитание в
семьи граждан. Основными
документами, регулирующими порядок
устройства таких детей в семьи, являются
следующие:
- Семейный кодекс РФ;
- Федеральный закон от 16 апреля 2001 года N
44-ФЗ "О государственном банке данных о
детях, оставшихся без попечения
родителей";
- Указ Президента РФ от 1 июня 2012 года N 761
"О Национальной стратегии действий в
интересах детей на 2012-2017 годы";
- постановление Правительства РФ от 4
апреля 2002 года N 217 "О государственном
банке данных о детях, оставшихся без
попечения родителей, и осуществлении
контроля за его формированием и
использованием";
- приказ Минобрнауки России от 20 августа
2012 года N 623 "Об утверждении требований
к содержанию программы подготовки лиц,
желающих принять на воспитание в свою
семью ребенка, оставшегося без попечения
родителей, и формы свидетельства о
прохождении такой подготовки на
территории Российской Федерации";
- приказ Минздравсоцразвития РФ от 25 июня
2010 года N 480н "О порядке предоставления
сведений о состоянии здоровья детей,
оставшихся без попечения родителей, для
внесения в государственный банк данных о
детях, оставшихся без попечения
родителей";
- приказ Минобрнауки России от 17 февраля
2015 года N 101 "Об утверждении Порядка
формирования, ведения и использования
государственного банка данных о детях,
оставшихся без попечения родителей".
Обработка специальной категории ПД
возможна, если она осуществляется в
соответствии с Федеральным законом от 31
мая 2002 года N 62-ФЗ "О гражданстве
Российской Федерации". Под
гражданством РФ следует понимать
устойчивую правовую связь лица с
Российской Федерацией, выражающуюся в
совокупности их взаимных прав и
обязанностей. При этом о наличии у
гражданина двойного гражданства говорят
в том случае, если гражданин РФ имеет
также гражданство другого государства.
На граждан РФ, имеющих вид на жительство
в другой стране или гражданство другой
страны, возложена обязанность письменно
уведомлять об этом ФМС России.
Уведомление направляется в
территориальный орган ФМС России в
течение шестидесяти дней со дня
приобретения гражданином иного
гражданства или получения им документа
на право постоянного проживания в
иностранном государстве. Следовательно,
органы ФМС России в целях контроля за
исполнением гражданами указанного
положения вправе осуществлять
обработку, в том числе, специальной
категории ПД.
В силу ст.6 Федерального закона от 31 мая
2002 года N 62-ФЗ "О гражданстве
Российской Федерации" гражданин РФ,
имеющий также иное гражданство,
рассматривается Российской Федерацией
только как гражданин РФ. В связи с этим,
граждане РФ (за исключением граждан,
постоянно проживающих за пределами РФ),
имеющие также иное гражданство либо вид
на жительство или иной действительный
документ, подтверждающий право на его
постоянное проживание в иностранном
государстве, обязаны подать письменное
уведомление о наличии иного гражданства
или документа на право постоянного
проживания в иностранном государстве в
ФМС России по месту жительства данного
гражданина в пределах РФ. Если гражданин
не подал уведомление в срок, указанный
выше, в связи с тем, что находился за
пределами РФ, то он обязан подать такое
уведомление не позднее тридцати дней со
дня въезда в РФ. За граждан, не достигших
восемнадцати лет, такие уведомления
подают их законные представители.
Подача уведомления может быть
осуществлена следующими способами:
- лично;
- через уполномоченного представителя;
- почтовым отправлением через
организацию федеральной почтовой связи
при предъявлении лицом, подающим
указанное уведомление, паспорта
гражданина РФ или иного документа,
удостоверяющего его личность на
территории РФ.
В уведомление вносятся следующие
сведения о гражданине Российской
Федерации, в отношении которого оно
подается:
- фамилия, имя, отчество;
- дата и место рождения;
- место жительства (в случае отсутствия
такового - место пребывания, а в случае
отсутствия места жительства и места
пребывания - место фактического
нахождения);
- серия и номер паспорта гражданина РФ
или иного документа, удостоверяющего
личность указанного гражданина на
территории РФ;
- наименование имеющегося иного
гражданства, серия, номер и дата выдачи
паспорта иностранного государства либо
иного документа, подтверждающего
наличие у указанного гражданина иного
гражданства, и (или) наименование, серия,
номер и дата выдачи указанному
гражданину документа на право
постоянного проживания в иностранном
государстве;
- дата и основание приобретения иного
гражданства или получения документа на
право постоянного проживания в
иностранном государстве;
- сведения о продлении срока действия
документа на право постоянного
проживания в иностранном государстве
или получении нового соответствующего
документа;
- сведения об обращении в полномочный
орган иностранного государства о выходе
указанного гражданина из гражданства
данного государства или об отказе от
имеющегося у него документа на право
постоянного проживания в иностранном
государстве (в случае направления такого
обращения).
К уведомлению прилагаются:
- копия паспорта иностранного
государства;
- копия иного документа, подтверждающего
наличие иного гражданства, и (или)
документа на право постоянного
проживания в иностранном государстве;
- копия паспорта гражданина РФ или иного
документа, удостоверяющего личность
указанного гражданина на территории
РФ;
- для несовершеннолетних граждан - копия
паспорта гражданина РФ законного
представителя (если законный
представитель является гражданином РФ)
либо копия документа, удостоверяющего
личность иностранного гражданина на
территории РФ и признаваемого РФ в этом
качестве (если законный представитель
является иностранным гражданином);
- в случае подачи уведомления
уполномоченным представителем - копия
доверенности, удостоверенной
нотариально, и копия паспорта гражданина
РФ уполномоченного представителя (если
уполномоченный представитель является
гражданином РФ) либо копия документа,
удостоверяющего личность иностранного
гражданина на территории РФ и
признаваемого Российской Федерацией в
этом качестве (если уполномоченный
представитель является иностранным
гражданином).
3. В
силу положений ч.3 комментируемой статьи
обработка персональных данных о
судимости может осуществляться
государственными органами или
муниципальными органами в пределах
полномочий, предоставленных им в
соответствии с законодательством
Российской Федерации, а также иными
лицами в случаях и в порядке, которые
определяются в соответствии с
федеральными законами.
4.
Согласно ч.2 ст.5 комментируемого Закона
после достижения цели обработки ПД
подлежат уничтожению. В ч.4
комментируемой статьи законодатель
уточняет применение этой нормы права для
специальной категории ПД. Если обработка
таких данных все же велась, то когда цели
ее обработки достигнуты или условия, при
которых обработка была разрешена
действующим законодательством, исчезли,
обработка специальной категории ПД
должна быть незамедлительно прекращена.
Комментарий к статье 11. Биометрические персональные данные
1.
Комментируемая статья определяет
порядок обработки биометрических ПД.
"Биометрические технологии
идентификации личности, основанные на
распознавании человека по внешним
морфологическим признакам, имеют
глубокие исторические корни.
Способность людей узнавать друг друга по
внешнему виду, голосу, запаху, походке и
т.д. есть не что иное, как элементарная
биометрическая идентификация".
Двоеносова Г.А., Двоеносова М.В.
Биометрия как наука, метод и способ
документирования // Делопроизводство. 2009.
N 2.
Биометрические данные можно разделить
на два основных класса:
- физиологические данные - относятся к
форме тела (отпечатки пальцев,
распознавание лица, ДНК, ладонь руки,
сетчатка глаза);
- поведенческие данные связаны с
поведением человека (походка, голос).
Из смысла ч.1 комментируемой статьи
следует, что биометрические
персональные данные - это сведения,
которые характеризуют физиологические и
биологические особенности человека. В ч.1
ст.11 Закона законодатель установил, что в
целях комментируемого Закона
биометрические персональные данные
могут использоваться оператором для
установления личности субъекта
персональных данных. Таким образом, к
биометрическим ПД, на порядок обработки
которых будет распространяться действие
комментируемого Закона, можно отнести:
- отпечатки пальцев;
- отпечатки ладони;
- результаты анализа ДНК;
- цифровой образ лица;
- цифровой образ сетчатки глаза;
- фотографии и видеоизображения
субъектов ПД и т.п.
При этом, как следует из выводов судов,
голос человека не относится к
биометрическим ПД (см. например,
апелляционное определение Верховного
суда Республики Татарстан от 27 апреля 2015
года по делу N 33-6211/15).
Биометрические ПД могут обрабатываться
только при наличии согласия субъекта ПД.
Причем такое согласие должно быть
обязательно оформлено в письменной
форме. Требования к письменной форме согласия
на обработку персональных данных
установлены ч.4 ст.9 комментируемого
Закона.
При использовании материальных
носителей, на которые осуществляется
запись биометрических ПД, а также при
хранении биометрических ПД вне
информационных систем ПД операторы
должны руководствоваться положениями
постановления Правительства РФ от 6 июля
2008 года N 512 "Об утверждении требований
к материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных". Обращаем внимание, что в этом
случае под материальным носителем
понимается машиночитаемый носитель
информации (в том числе магнитный и
электронный), на котором осуществляются
запись и хранение сведений,
характеризующих физиологические
особенности человека и на основе которых
можно установить его личность.
Такой материальный носитель должен
обеспечивать:
- защиту от несанкционированной
повторной и дополнительной записи
информации после ее извлечения из
информационной системы ПД;
- возможность доступа к записанным на
материальный носитель биометрическим
ПД, осуществляемого оператором и лицами,
уполномоченными в соответствии с
законодательством РФ на работу с
биометрическими ПД;
- возможность идентификации
информационной системы ПД, в которую
была осуществлена запись биометрических
ПД, а также оператора, осуществившего
такую запись;
- невозможность несанкционированного
доступа к биометрическим ПД,
содержащимся на материальном носителе.
Следует помнить, что материальный
носитель должен использоваться в
течение срока, установленного
оператором, осуществившим запись
биометрических ПД на материальный
носитель, но не более срока эксплуатации,
установленного изготовителем
материального носителя. Тип
материального носителя, который будет
использован для обработки
биометрических ПД, определяет оператор.
Однако в ряде случаев нормативными
правовыми актами РФ может быть
предписано использование материального
носителя определенного типа. Например,
постановлением Правительства РФ от 25
декабря 1998 года N 1543 "Об утверждении
Положения о направлении материальных
носителей, содержащих
дактилоскопическую информацию, в органы
внутренних дел" установлено, что в
качестве материальных носителей
используются дактилоскопические карты,
носители магнитной или иных видов
записи, содержащие дактилоскопическую
информацию. Материальные носители,
направляемые в органы внутренних дел,
должны быть подготовлены на основе
информационных технологий, используемых
при осуществлении
оперативно-справочного учета в органах
внутренних дел, и включать в себя
следующие данные:
- фамилия, имя, отчество;
- гражданство;
- пол;
- дата и место рождения;
- сведения о регистрации по месту
жительства или по месту пребывания лица,
прошедшего обязательную или
добровольную государственную
дактилоскопическую регистрацию;
- наименование органа, получившего
дактилоскопическую информацию;
- основание и дата проведения
обязательной или добровольной
государственной дактилоскопической
регистрации.
Согласно правилам, прописанным в
постановлении Правительства РФ от 6 июля
2008 года N 512 "Об утверждении требований
к материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных", оператор обязан:
- осуществлять учет количества
экземпляров материальных носителей;
- осуществлять присвоение материальному
носителю уникального
идентификационного номера, позволяющего
точно определить оператора,
осуществившего запись биометрических
персональных данных на материальный
носитель.
Если хранение биометрических ПД
осуществляется вне информационных
систем ПД, то должно быть обеспечено
следующее:
- доступ к информации, содержащейся на
материальном носителе, для
уполномоченных лиц;
- применение средств электронной подписи
или иных информационных технологий,
позволяющих сохранить целостность и
неизменность биометрических ПД,
записанных на материальный носитель;
- проверка наличия письменного согласия
субъекта ПД на обработку его
биометрических ПД или наличия иных
оснований обработки ПД, установленных ч.2
комментируемой статьи.
Важно помнить, что в случае если на
материальном носителе содержится
дополнительная информация, имеющая
отношение к записанным биометрическим
ПД, то такая информация должна быть
подписана усиленной квалифицированной
электронной подписью и (или) защищена
иными информационными технологиями,
позволяющими сохранить целостность и
неизменность информации, записанной на
материальный носитель. В том случае, если
хранение биометрических ПД
осуществляется вне информационных
систем ПД, то должна обеспечиваться
регистрация фактов несанкционированной
повторной и дополнительной записи
информации после ее извлечения из
информационной системы ПД.
2. В
ряде случаев законодатель позволяет
осуществлять обработку биометрических
ПД без согласия субъекта ПД. Это
возможно, когда:
- обработка данных осуществляется в
связи с реализацией международных
договоров РФ о реадмиссии;
- обработка данных необходима в связи с
осуществлением правосудия;
- обработка данных осуществляется в
соответствии с Федеральным законом от 28
декабря 2010 года N 390-ФЗ "О
безопасности";
- обработка данных осуществляется в
соответствии с Федеральным законом от 12
августа 1995 года N 144-ФЗ "Об
оперативно-розыскной деятельности";
- обработка данных осуществляется в
соответствии с Федеральным законом от 31
мая 1996 года N 61-ФЗ "Об обороне";
- обработка данных осуществляется в
соответствии с Федеральным законом от 27
июля 2004 года N 79-ФЗ "О государственной
гражданской службе Российской
Федерации";
- обработка данных осуществляется в
соответствии с Федеральным законом от 25
декабря 2008 года N 273-ФЗ "О
противодействии коррупции";
- обработка данных осуществляется в
соответствии с Федеральным законом от 6
марта 2006 года N 35-ФЗ "О противодействии
терроризму";
- обработка данных осуществляется в
соответствии с Федеральным законом от 9
февраля 2007 года N 16-ФЗ "О транспортной
безопасности";
- обработка данных осуществляется в
соответствии с УИК РФ;
- обработка данных предусмотрена
законодательством РФ о порядке выезда из
РФ и въезда в РФ (см. Федеральный закон от
15 августа 1996 года N 114-ФЗ "О порядке
выезда из Российской Федерации и въезда
в Российскую Федерацию").
Так, государственные служащие РФ
подлежат обязательной государственной
дактилоскопической регистрации в
случаях и порядке, установленных
Федеральным законом от 25 июля 1998 года N
128-ФЗ "О государственной
дактилоскопической регистрации в
Российской Федерации".
При этом под государственной
дактилоскопической регистрацией нужно
понимать деятельность по получению,
учету, хранению, классификации и выдаче
дактилоскопической информации,
установлению или подтверждению личности
человека, осуществляемую
уполномоченными на то государственными
органами. Дактилоскопической
информацией является информация об
особенностях строения папиллярных
узоров пальцев рук человека и о его
личности.
Обязательной государственной
дактилоскопической регистрации
подлежат граждане РФ, указанные в ст.9
Федерального закона от 25 июля 1998 года N
128-ФЗ "О государственной
дактилоскопической регистрации в
Российской Федерации". Важно
учитывать, что право на использование
дактилоскопической информации имеют
суды; органы прокуратуры; органы
предварительного следствия; органы
дознания; органы, осуществляющие
оперативно-розыскную деятельность;
органы уголовно-исполнительной системы;
органы, осуществляющие производство по
делам об административных
правонарушениях; федеральный орган
исполнительной власти, уполномоченный
на осуществление функций по контролю и
надзору в сфере миграции, и его
территориальные органы.
Кроме
того, право на получение
дактилоскопической информации,
содержащейся в информационных массивах
органов внутренних дел и федерального
органа исполнительной власти,
осуществляющего функции по оказанию
государственных услуг и управлению
государственным имуществом в сфере
морского и речного транспорта, может
быть предоставлено иностранным
государствам в соответствии с
международными договорами РФ.
Обработка биометрических ПД без
согласия субъекта ПД возможна и в тех
случаях, когда она осуществляется в
связи с обработкой данных, содержащихся
в уведомлениях граждан, направляемых в
ФМС России. Граждане РФ, имеющие вид на
жительство в другой стране или
гражданство другой страны, теперь
обязаны письменно уведомлять об этом ФМС
России в течение 60 дней со дня
приобретения гражданином иного
гражданства или получения им документа
на право постоянного проживания в
иностранном государстве.
УИК РФ содержит норму права, которая
обязывает уголовно-исполнительную
инспекцию по месту жительства
осужденного к наказанию в виде
ограничения свободы поставить его на
персональный учет. При этом осужденный
подлежит дактилоскопической
регистрации и фотографированию (ч.4 ст.47.1
УИК РФ).
В соответствии со ст.7 Федерального
закона от 15 августа 1996 года N 114-ФЗ "О
порядке выезда из Российской Федерации и
въезда в Российскую Федерацию"
основные документы, удостоверяющие
личность гражданина РФ, по которым
граждане РФ осуществляют выезд из РФ и
въезд в РФ, могут содержать электронные
носители информации с записанными на них
ПД владельца паспорта, включая
биометрические ПД. Это такие данные, как
номер документа; фамилия и имя владельца
документа; гражданство владельца
документа; дата рождения владельца
документа; пол владельца документа;
цветное цифровое фотографическое
изображение лица владельца документа
(биометрические ПД владельца
документа).
Относительно правомерности действий
организаций по обработке информации,
полученной с видеокамер, расположенных
на фасаде здания, Роскомнадзор пояснил
(см. URL: https://rkn.gov.ru/docs/Otchet_ZPD_rus.pdf), что в
данном случае применяются нормы ч.1 ст.152.1
ГК РФ. То есть, обнародование и
дальнейшее использование изображения
гражданина (в том числе его фотографии, а
также видеозаписи или произведения
изобразительного искусства, в которых он
изображен) допускаются только с согласия
этого гражданина. Такое согласие не
требуется в случаях, когда:
- использование изображения
осуществляется в государственных,
общественных или иных публичных
интересах;
- изображение гражданина получено при
съемке, которая проводится в местах,
открытых для свободного посещения, или
на публичных мероприятиях (собраниях,
съездах, конференциях, концертах,
представлениях, спортивных
соревнованиях и подобных мероприятиях),
за исключением случаев, когда такое
изображение является основным объектом
использования;
- гражданин позировал за плату.
Отметим, что при рассмотрении
аналогичных споров суды приходят к
выводам о том, что видеокамера,
установленная без согласия жильцов дома
в месте общего пользования и позволяющая
собирать сведения о жильцах, нарушает
неприкосновенность частной жизни
жильцов. Например, в случае когда жилец в
иске указал на то, что соседи по
лестничной площадке без его согласия и
согласия всех собственников жилого дома
установили в углу подъезда камеру
наружного видеонаблюдения, то его
требование о демонтаже камеры было
удовлетворено (см. апелляционное
определение Ульяновского областного
суда от 2 июня 2015 года по делу N 33-2182/2015).
Комментарий к статье 12. Трансграничная передача персональных данных
1.
Трансграничная передача ПД - это
передача ПД на территорию иностранного
государства органу власти иностранного
государства, иностранному физическому
лицу или иностранному юридическому
лицу.
Трансграничная передача персональных
данных на территории иностранных
государств, являющихся сторонами
Конвенции Совета Европы о защите
физических лиц при автоматизированной
обработке персональных данных
(Страсбург, 28 января 1981 года), а также иных
иностранных государств, обеспечивающих
адекватную защиту прав субъектов
персональных данных, осуществляется в
соответствии с комментируемым Законом.
Согласно ст.14 упомянутой Конвенции
стороны, подписавшие Конвенцию, должны
оказывать помощь любому лицу,
проживающему за рубежом, в осуществлении
правомочий, предусмотренных его
национальным правом, реализующим
принципы, изложенные в Конвенции. При
этом если такое лицо проживает на
территории другой стороны, ему будет
предоставлена возможность передать свое
ходатайство через посредничество
органа, назначенного этой стороной.
Ходатайство о помощи должно содержать
все необходимые реквизиты, в том числе
касающиеся:
- имени, адреса и других относящихся к
делу характеристик, позволяющих
идентифицировать лицо, подавшее
ходатайство;
- автоматизированной базы ПД, к которой
относится ходатайство, и ее контролера;
- цели ходатайства.
Однако в силу ч.1 комментируемой статьи
трансграничная передача может быть
запрещена или ограничена. Это возможно в
следующих случаях:
- в целях защиты основ конституционного
строя Российской Федерации;
- в целях защиты нравственности,
здоровья, прав и законных интересов
граждан;
- в целях обеспечения обороны страны и
безопасности государства.
2.
Комментируемый Закон разделяет порядок
трансграничной передачи персональных
данных на территории иностранных
государств, являющихся и не являющихся
сторонами Конвенции Совета Европы о
защите физических лиц при
автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года).
Частью 2 комментируемой статьи
Уполномоченный орган по защите прав
субъектов персональных данных
наделяется правом утверждать перечень
иностранных государств, не являющихся
сторонами вышеуказанной Конвенции
Совета Европы и обеспечивающих
адекватную защиту прав субъектов
персональных данных. Если в государстве,
не являющемся стороной Конвенции Совета
Европы о защите физических лиц при
автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года), нормы права и применяемые меры
безопасности персональных данных
соответствуют положениям указанной
Конвенции Совета Европы, то такое
государство может быть включено в
перечень иностранных государств,
обеспечивающих адекватную защиту прав
субъектов персональных данных. При
содействии МИД России проводится
предварительная работа по изучению
законодательства таких государств.
Приказом Роскомнадзора от 15 марта 2013
года N 274 утвержден перечень иностранных
государств, не являющихся сторонами
Конвенции Совета Европы о защите
физических лиц при автоматизированной
обработке персональных данных
(Страсбург, 28 января 1981 года).
3.
Согласно ч.3 комментируемой статьи до
начала осуществления трансграничной
передачи персональных данных оператор,
осуществляющий обработку, обязан
убедиться в том, что иностранным
государством, на территорию которого
осуществляется передача персональных
данных, обеспечивается адекватная
защита прав субъектов ПД. При этом
оператору ПД следует руководствоваться
законодательством иностранного
государства, на территорию которого
осуществляется передача персональных
данных, международными нормативными
актами, в том числе Конвенцией Совета
Европы о защите физических лиц при
автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года) и законодательством РФ в области
защиты ПД.
Отметим, что согласно ст.12 Конвенции
Совета Европы о защите физических лиц
при автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года) государства взяли на себя
обязательства не запрещать или не
ставить под специальный контроль
информационные потоки ПД, идущие на
территорию другой страны, исходя
исключительно из соображений защиты
неприкосновенности личной сферы. Но
государству позволяется при этом
отступить от этого правила в той мере, в
какой законодательство государства
устанавливает специальные правила в
отношении определенных категорий ПД или
автоматизированных баз ПД - кроме
случаев, когда правилами другой стороны
предусмотрена равноценная защита, а
также когда передача осуществляется с
территории страны, подписавшей
Конвенцию, на территорию государства, не
являющегося стороной Конвенции, через
территорию другой стороны - с той целью,
чтобы такая передача не совершалась в
обход законодательства стороны,
указанной в начале предложения.
4. В
ряде случаев трансграничная передача ПД
на территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПД, возможна. Перечень этих
случаев содержится в ч.4 комментируемой
статьи. Рассмотрим случаи, когда в РФ
допускается трансграничная передача ПД
на территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПД.
Во-первых, это возможно при наличии
согласия в письменной форме субъекта ПД
на трансграничную передачу его
персональных данных.
Согласно ч.4 ст.9 комментируемого Закона
такое согласие должно включать в себя:
- фамилию, имя, отчество, адрес субъекта
персональных данных, номер основного
документа, удостоверяющего его личность,
сведения о дате выдачи указанного
документа и выдавшем его органе;
- фамилию, имя, отчество, адрес
представителя субъекта персональных
данных, номер основного документа,
удостоверяющего его личность, сведения о
дате выдачи указанного документа и
выдавшем его органе, реквизиты
доверенности или иного документа,
подтверждающего полномочия этого
представителя (при получении согласия от
представителя субъекта персональных
данных);
- наименование или фамилию, имя, отчество
и адрес оператора, получающего согласие
субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на
обработку которых дается согласие
субъекта персональных данных;
- наименование или фамилию, имя, отчество
и адрес лица, осуществляющего обработку
персональных данных по поручению
оператора, если обработка будет поручена
такому лицу;
- перечень действий с персональными
данными, на совершение которых дается
согласие, общее описание используемых
оператором способов обработки
персональных данных;
- срок, в течение которого действует
согласие субъекта персональных данных, а
также способ его отзыва, если иное не
установлено федеральным законом;
- подпись субъекта персональных данных.
Во-вторых, допускается трансграничная
передача ПД на территории иностранных
государств, не обеспечивающих
адекватной защиты прав субъектов ПД, в
случаях, предусмотренных международными
договорами РФ. Так, например, 1 июня 2007
года вступило в силу Соглашение между РФ
и Европейским сообществом об упрощении
выдачи виз гражданам РФ и Европейского
союза, подписанное 25 мая 2006 года в городе
Сочи. Положения этого документа
распространяются, например, на следующие
страны Европейского Союза: Австрию;
Бельгию; Болгарию; Венгрию; Грецию;
Испанию; Италию и др.
Упомянутое соглашение регулирует
условия оформления деловых,
гуманитарных, частных, учебных,
транзитных виз и не применяется для
оформления служебных, рабочих,
туристических виз, виз временно
проживающего лица и визы в целях
получения убежища.
В-третьих, трансграничная передача ПД на
территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПД, возможна в случаях,
предусмотренных федеральными законами,
если это необходимо:
- в целях защиты основ конституционного
строя РФ;
- в целях обеспечения обороны страны;
- в целях обеспечения безопасности
государства;
- в целях обеспечения безопасности
устойчивого и безопасного
функционирования транспортного
комплекса;
- в целях защиты интересов личности,
общества и государства в сфере
транспортного комплекса от актов
незаконного вмешательства.
Под обороной страны понимается система
политических, экономических, военных,
социальных, правовых и иных мер по
подготовке к вооруженной защите и
вооруженная защита РФ, целостности и
неприкосновенности ее территории. Ко
всему прочему организация обороны
включает в себя международное
сотрудничество в целях коллективной
безопасности и совместной обороны. Так,
Президент РФ, являясь Верховным
Главнокомандующим Вооруженными Силами
РФ, ведет переговоры и подписывает
международные договоры РФ в области
обороны, включая договоры о совместной
обороне, коллективной безопасности,
сокращении и ограничении вооруженных
сил и вооружений, об участии Вооруженных
Сил РФ в операциях по поддержанию мира и
международной безопасности.
Правительство РФ ведет международные
переговоры по вопросам военного
сотрудничества и заключает
соответствующие межправительственные
соглашения. В целях защиты интересов РФ и
ее граждан, поддержания международного
мира и безопасности формирования
Вооруженных Сил РФ могут оперативно
использоваться за пределами территории
РФ в соответствии с общепризнанными
принципами и нормами международного
права, международными договорами РФ и
федеральными законами РФ.
Угроза безопасности - это совокупность
условий и факторов, создающих опасность
жизненно важным интересам личности,
общества и государства. Гражданам РФ,
находящимся за ее пределами,
государством гарантируется защита и
покровительство. Одним из принципов
обеспечения безопасности РФ является
интеграция с международными системами
безопасности, а одной из основных
функций системы безопасности РФ -
участие в мероприятиях по обеспечению
безопасности за пределами РФ в
соответствии с международными
договорами и соглашениями, заключенными
или признанными РФ.
Также в соответствии с ч.3 ст.14
Федерального закона от 12 августа 1995 года
N 144-ФЗ "Об оперативно-розыскной
деятельности" органы, осуществляющие
оперативно-розыскную деятельность,
обязаны выполнять на основе и в порядке,
предусмотренных международными
договорами РФ, запросы соответствующих
международных правоохранительных
организаций, правоохранительных органов
и специальных служб иностранных
государств. Кроме того ст.453 УПК РФ
установлено, что при необходимости
производства на территории иностранного
государства допроса, осмотра, выемки,
обыска, судебной экспертизы или иных
процессуальных действий суд, прокурор,
следователь, руководитель следственного
органа, дознаватель должен внести запрос
об их производстве компетентным органом
или должностным лицом иностранного
государства в соответствии с
международным договором РФ,
международным соглашением или на основе
принципа взаимности. Такой запрос
составляется в письменном виде,
подписывается должностным лицом, его
направляющим, удостоверяется гербовой
печатью соответствующего органа.
В-четвертых, трансграничная передача ПД
на территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПД, может иметь место при
исполнении договора, стороной которого
является субъект ПД.
И, в-пятых, трансграничная передача ПД на
территории иностранных государств, не
обеспечивающих адекватной защиты прав
субъектов ПД, осуществляется при
необходимости защиты жизни, здоровья,
иных жизненно важных интересов субъекта
ПД или других лиц. Например, при
необходимости оказания срочной
эффективной медицинской помощи
гражданину РФ, который находится за
пределами РФ, возможна передача из РФ
данных о его прежних заболеваниях.
Однако передача таких сведений без
согласия субъекта ПД возможна только в
тех случаях, когда получение такого
согласия по каким-то причинам
невозможно.
Комментарий к статье 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1.
Информационной системой называется
совокупность содержащейся в базах
данных информации и обеспечивающих ее
обработку информационных технологий и
технических средств.
Согласно ст.13 ФЗ "Об информации,
информационных технологиях и о защите
информации" государственными
информационными системами называются
федеральные информационные системы и
региональные информационные системы,
созданные на основании соответственно
федеральных законов, законов субъектов
РФ, на основании правовых актов
государственных органов. Муниципальные
информационные системы - это
информационные системы, созданные на
основании решения органа местного
самоуправления. Технические средства
информационных систем, используемых
государственными органами, органами
местного самоуправления,
государственными и муниципальными
унитарными предприятиями или
государственными и муниципальными
учреждениями, должны размещаться на
территории РФ.
Как известно, ПД граждан распределены по
различным базам государственных и
муниципальных органов. В качестве
примеров можно привести следующие
информационные базы:
- базы данных налогоплательщиков,
формируемые налоговыми службами;
- базы данных безработных, формируемые
службами занятости населения;
- базы данных застрахованных лиц
пенсионного фонда, фонда обязательного
медицинского и социального
страхования;
- базы данных управления внутренних
дел;
- базы данных регистрационных служб и
т.д.
Так, например, в Регистре получателей
государственных услуг в сфере занятости
населения - физических лиц, который
формируется на основании и в порядке,
определенном Законом РФ от 19 апреля 1991
года N 1032-1 "О занятости населения в
Российской Федерации", содержится, в
частности, следующая информация:
- регистрационный номер учетной записи;
- фамилия, имя, отчество;
- дата рождения;
- пол;
- гражданство;
- адрес места жительства (пребывания),
телефон;
- серия и номер паспорта или
удостоверения личности, дата выдачи
указанных документов и наименование
выдавшего их органа;
- дата обращения гражданина и т.д.
Формирование и ведение регистров
получателей государственных услуг в
сфере занятости населения осуществляет
уполномоченный Правительством РФ
федеральный орган исполнительной
власти. Порядок ведения регистров
получателей государственных услуг в
сфере занятости населения, включая
порядок, сроки и форму представления в
них сведений, устанавливается
уполномоченным Правительством РФ
федеральным органом исполнительной
власти (см. приказ Министерства
здравоохранения и социального развития
РФ от 8 ноября 2010 года N 972н "О порядке
ведения регистров получателей
государственных услуг в сфере занятости
населения (физических лиц и
работодателей), включая порядок, сроки и
форму представления в них сведений").
Пенсионный Фонд РФ располагает базой
застрахованных лиц, т.е. лиц, на которых
распространяется обязательное
пенсионное страхование, включая лиц,
занятых на рабочем месте с особыми
(тяжелыми и вредными) условиями труда, за
которых уплачиваются страховые взносы в
Пенсионный фонд РФ в соответствии с
законодательством РФ. На каждое
застрахованное лицо Пенсионный фонд РФ
открывает индивидуальный лицевой счет с
постоянным страховым номером,
содержащим контрольные разряды, которые
позволяют выявлять ошибки, допущенные
при использовании этого страхового
номера в процессе учета.
Индивидуальный лицевой счет
застрахованного лица - это документ,
хранящийся в форме записи на машинных
носителях информации, допускающей
обработку с помощью средств
вычислительной техники в органах
Пенсионного фонда РФ, содержащий
сведения о застрахованных лицах,
включенные в информационные ресурсы
Пенсионного фонда РФ. Так, например, в
общей части индивидуального лицевого
счета застрахованного лица указываются,
в частности: страховой номер; фамилия,
имя, отчество, фамилия, которая была у
застрахованного лица при рождении; дата
рождения; место рождения; пол; адрес
постоянного места жительства; серия и
номер паспорта; дата регистрации в
качестве застрахованного лица и т.д.
2. Часть
2 комментируемой статьи определяет, что
особенности учета персональных данных в
государственных и муниципальных
информационных системах ПД могут быть
определены федеральными законами. При
этом может разрешаться использование
различных способов обозначения
принадлежности ПД, содержащихся в
соответствующей государственной или
муниципальной информационной системе
ПД, конкретному субъекту ПД.
В настоящее время в соответствии с НК РФ
налоговыми службами создаются базы
данных налогоплательщиков - физических
лиц, где каждому налогоплательщику
присваивается единый по всем видам
налогов и сборов, в том числе подлежащих
уплате в связи с перемещением товаров
через таможенную границу РФ, и на всей
территории РФ идентификационный номер
налогоплательщика (ИНН). Порядок и
условия присвоения, применения, а также
изменения идентификационного номера
налогоплательщика установлены приказом
Федеральной налоговой службы от 29 июня
2012 года N ММВ-7-6/435@.
Так, например, на официальном сайте ФНС
России можно воспользоваться ресурсом
"Узнать свой/чужой ИНН" (URL:
https://service.nalog.ru/inn.do).
Чтобы узнать свой ИНН, необходимо:
- заполнить форму запроса о наличии
постановки на учет с присвоением ИНН;
- отправить запрос.
Если лицо, запрашивающее информацию,
состоит на учете в налоговых органах с
присвоением ИНН, то его ИНН появится в
строке результата.
Для того чтобы узнать ИНН другого
физического лица, необходимо:
- заполнить форму запроса на получение
информации об ИНН физического лица;
- отправить запрос;
- информация о наличии ИНН у физического
лица, в отношении которого был направлен
запрос, будет отражена в строке
результата;
- обратиться в инспекцию за получением
информации об ИНН физического лица.
При обращении в инспекцию за получением
информации об ИНН физического лица
необходимо иметь при себе документ,
удостоверяющий личность, документ,
подтверждающий полномочия
представителя, и документ,
подтверждающий оплату (размер платы
составляет 100 рублей). Для органов
государственной власти документ,
подтверждающий оплату, не требуется.
Получить информацию о состоянии
расчетов с бюджетом, а также оплатить как
текущие начисления, так и задолженность
по налогам и сбором можно с помощью
сервиса "Личный кабинет
налогоплательщика для физических лиц"
(URL: https://lk2.service.nalog.ru/lk/).
Интернет-сервис "Личный кабинет
налогоплательщика для физических лиц"
позволяет налогоплательщику:
- получать актуальную информацию об
объектах имущества и транспортных
средствах, о суммах начисленных и
уплаченных налоговых платежей, о наличии
переплат, о задолженности по налогам
перед бюджетом;
- контролировать состояние расчетов с
бюджетом;
- получать и распечатывать налоговые
уведомления и квитанции на уплату
налоговых платежей;
- оплачивать налоговую задолженность и
налоговые платежи через банки - партнеры
ФНС России;
- скачивать программы для заполнения
декларации по налогу на доходы
физических лиц по форме N 3-НДФЛ,
заполнять декларацию по форме N 3-НДФЛ в
режиме онлайн, направлять в налоговую
инспекцию декларацию по форме N 3-НДФЛ в
электронном виде, подписанную
электронной подписью
налогоплательщика;
- отслеживать статус камеральной
проверки налоговых деклараций по форме N
3-НДФЛ;
- обращаться в налоговые органы без
личного визита в налоговую инспекцию.
Доступ к сервису "Личный кабинет
налогоплательщика для физических лиц"
осуществляется одним из трех способов:
1) с
помощью логина и пароля, указанных в
регистрационной карте. Получить
регистрационную карту вы можете лично в
любой инспекции ФНС России, независимо
от места постановки на учет. При
обращении в инспекцию ФНС России по
месту жительства при себе необходимо
иметь документ, удостоверяющий личность.
При обращении в иные инспекции ФНС
России при себе необходимо иметь
документ, удостоверяющий личность, и
оригинал или копию свидетельства о
постановке на учет физического лица
(свидетельство о присвоении
ИНН)/уведомления о постановке на учет.
Получение доступа к сервису для лиц, не
достигших 14 лет, осуществляется
законными представителями (родителями,
усыновителями, опекунами) при условии
предъявления свидетельства о рождении
(иного документа, подтверждающего
полномочия) и документа, удостоверяющего
личность представителя.
Если логин и пароль были получены
пользователем ранее, но он их утратил,
следует обратиться в любую инспекцию ФНС
России с документом, удостоверяющим
личность, и (при обращении в инспекцию
ФНС России, отличную от инспекции по
месту жительства) оригиналом или копией
свидетельства о постановке на учет
физического лица (свидетельство о
присвоении ИНН)/уведомления о постановке
на учет;
2) с
помощью квалифицированной электронной
подписи/Универсальной электронной
карты. Квалифицированный сертификат
ключа проверки электронной подписи
должен быть выдан Удостоверяющим
центром, аккредитованным Минкомсвязи
России, и может храниться на любом
носителе: жестком диске, USB-ключе,
Универсальной электронной карте или
смарт-карте. При этом требуется
использование специального
программного
обеспечения-криптопровайдера: CryptoPro CSP
версии 3.6 и выше;
3) с
помощью учетной записи Единой системы
идентификации и аутентификации (ЕСИА) -
реквизитов доступа, используемых для
авторизации на Едином портале
государственных и муниципальных услуг.
Следует учесть, что авторизация возможна
только для пользователей, которые
обращались для получения реквизитов
доступа лично в одно из мест присутствия
операторов ЕСИА (отделения почты России,
МФЦ и др.).
3.
Законодатель устанавливает особые
требования к государственным и
муниципальным информационным системам
ПД:
- права и свободы человека и гражданина
не могут быть ограничены по мотивам,
связанным с использованием различных
способов обработки ПД или обозначения
принадлежности ПД конкретному субъекту
ПД;
- не допускается использование
оскорбляющих чувства граждан или
унижающих человеческое достоинство
способов обозначения принадлежности ПД
конкретному субъекту ПД.
4. В
силу положений ч.4 комментируемой статьи
в целях обеспечения реализации прав
субъектов персональных данных в связи с
обработкой их персональных данных в
государственных или муниципальных
информационных системах персональных
данных может быть создан
государственный регистр населения,
правовой статус которого и порядок
работы с которым устанавливаются
федеральным законом.
Государственный
регистр населения (ГРН) -
совокупность минимально необходимых
персональных регистрационных данных
граждан Российской Федерации,
однозначно идентифицирующих личность, и
документы регистрационного учета
населения, сбор которых регламентирован
государственными нормативными
правовыми актами.
Следует отметить, что еще в 1999 году
Правительством РФ было поручено ряду
уполномоченных субъектов разработать
проект Федерального закона "О
государственном регистре населения
Российской Федерации" (см.
распоряжение Правительства РФ от 14
апреля 1999 года N 583-р "О проекте
Федерального закона "О
государственном регистре населения
Российской Федерации", см. также
распоряжение Правительства РФ от 2 марта
2000 года N 323-р). Принятие данного закона
обуславливалось необходимостью
повышения уровня социальной защиты
населения РФ и введением единого
персонифицированного учета социального
страхования граждан, созданием
автоматизированной системы
"Государственный регистр
населения", технические решения
которой должны были быть взаимоувязаны с
техническими решениями
автоматизированных систем
заинтересованных федеральных органов
исполнительной власти и организаций.
Распоряжениями Правительства РФ
неоднократно утверждался состав
Координационного совета по разработке
проекта федерального закона "О
государственном регистре населения
Российской Федерации" и проекта
концепции создания автоматизированной
системы "Государственный регистр
населения" (см. распоряжения от 2
октября 1999 года N 1546-р, от 22 сентября 2000
года N 1340-р, от 21 ноября 2000 года N 1645-р, от 9
июня 2001 года N 791-р, от 17 января 2002 года N 28-р
- все акты утратили силу).
Однако и Концепция создания
автоматизированной системы
"Государственный регистр
населения", и Федеральный закон "О
государственном регистре населения
Российской Федерации" по состоянию на
1 апреля 2016 года не получили своего
официального закрепления, сохранив свою
"проектную" форму (см. проект
"Концепция создания
автоматизированной системы
"Государственный регистр
населения": URL: http://www.elrussia.ru/166780, см.
проект Федерального закона "О
государственном регистре населения
Российской Федерации": URL:
http://pvti.ru/data/file/fz_grn.zip).
Однако отсутствие федерального закона,
определяющего правовой статус и порядок
работы с Государственным регистром
населения Российской Федерации, не
помешало некоторым субъектам РФ
обеспечить разработку и внедрение
соответствующих регистров на своих
территориях. Так, например,
постановлением Правительства
Санкт-Петербурга от 7 сентября 2004 года N
1472 утверждено Положение о
Государственном регистре населения
Санкт-Петербурга, которое определяет
назначение, цели и состав информации
Государственного регистра населения
Санкт-Петербурга (ГРН Санкт-Петербурга),
принципы и порядок его формирования и
использования, а также устанавливает
порядок взаимодействия и функции
организаций, участвующих в формировании
и использовании ГРН Санкт-Петербурга.
Положение разработано в соответствии с
действующим законодательством в сфере
информации, информационных технологий и
защиты информации, регистрационного
учета граждан Российской Федерации по
месту пребывания и по месту жительства в
пределах Российской Федерации,
регистрации иностранных граждан в
Российской Федерации.
Формирование и использование ГРН
Санкт-Петербурга обеспечивается
автоматизированной информационной
системой "Государственный регистр
населения Санкт-Петербурга" (АИС
"ГРН Санкт-Петербурга"). АИС "ГРН
Санкт-Петербурга" создается в
соответствии с распоряжениями
Губернатора Санкт-Петербурга от 24 марта
2000 года N 304-р "О разработке и внедрении
автоматизированной информационной
системы "Государственный регистр
населения Санкт-Петербурга" и от 25
сентября 2000 года N 1019-р "Об организации
работ по созданию и внедрению
автоматизированной информационной
системы "Государственный регистр
населения Санкт-Петербурга".
Аналогичные попытки были приняты в
Ханты-Мансийском автономном округе (см.
распоряжение Губернатора ХМАО от 19
октября 2000 года N 532-рг "О разработке и
внедрении автоматизированной
информационной системы
"Государственный регистр населения
Ханты-Мансийского автономного
округа"), Псковской, Нижегородской
областях (см. постановление
Администрации Псковской области от 16
сентября 2010 года N 348 "О создании
государственной информационной системы
"Регистр населения Псковской
области" (вместе с "Положением о
государственной информационной системе
"Регистр населения Псковской
области"), распоряжение Правительства
Нижегородской области от 21 февраля 2002
года N 112-р "О работе по созданию
автоматизированной системы
"Государственный регистр населения
Нижегородской области") и др.
субъектах.
В настоящее время в большинстве
субъектов разработаны и внедрены
специальные социальные регистры
населения - информационные ресурсы,
содержащие информацию о получателях
социальной поддержки, см., например:
- распоряжение Минсоцзащиты МО от 15
февраля 2006 года N 1-р "Об утверждении
Положения о социальном регистре
населения Московской области";
- постановление Правительства
Республики Бурятия от 13 февраля 2015 года N
59 "О республиканской государственной
информационной системе "Социальный
регистр населения Республики Бурятия"
(вместе с "Положением о
республиканской государственной
информационной системе "Социальный
регистр населения Республики
Бурятия");
- постановление Правительства Пермского
края от 26 мая 2009 года N 318-п "О
государственном информационном ресурсе
персональных сведений населения
Пермского края "Эталонный регистр
населения Пермского края";
- постановление Кабинета Министров
Республики Татарстан от 12 ноября 2014 года
N 863 "О государственной информационной
системе "Социальный регистр населения
Республики Татарстан";
- приказ министерства труда и социальной
защиты населения Ставропольского края
от 20 августа 2014 года N 432 "Об
утверждении порядка формирования и
ведения регистра получателей социальных
услуг в Ставропольском крае";
- распоряжение Губернатора Омской
области от 3 июля 2012 года N 126-р "О
государственной информационной системе
Омской области "Электронный
социальный регистр населения Омской
области" и др.
Представляется, что создание подобных
государственных регистров населения
поможет избегать дублирования
информации в работе различных служб по
сбору одних и тех же сведений о
гражданине, ускорит процедуры, связанные
со сбором и представлением гражданами
справок из разных инстанций.
Так, Л.К.Терещенко отмечает, что одна из
острых проблем защиты ПД в
государственных и муниципальных органах
- это утечка ПД из их информационных
ресурсов. Анализ практики
функционирования различных
информационных систем показывает, что в
основном утечка происходит либо из-за
нарушения правил конфиденциальности со
стороны сотрудников, имеющих легальный
доступ к ПД, либо из-за
несанкционированного доступа,
связанного с ошибками в принимаемых
мерах защиты в системах. Очевидно, что
вопросы организационных и технических
мер защиты ПД тесно связаны с проблемой
инсайдерства. На сегодняшний день оно,
наряду с атаками хакеров, является одной
из главных угроз защите ПД. Незаконная
продажа периодически обновляемых
информационных баз, содержащих ПД,
поставлена на поток и приносит огромные
доходы. Проверки Роскомнадзора показали,
что во многих организациях существуют
все условия для потенциального
инсайдерства, в том числе нарушаются
требования конфиденциальности из-за
отсутствия утвержденного перечня лиц,
имеющих доступ к информационным базам,
внутренним документам, регламентирующим
режим и порядок доступа к информационным
системам. Полученная в результате утечки
информация размещается на частных
интернет-сайтах, распространяется или
продается в Интернете, на дисках.
Терещенко Л.К. Правовой режим
персональных данных и безопасность
личности // Закон. 2013. N 6.
Комментарий к главе 3. Права субъекта персональных данных
Комментарий к статье 14. Право субъекта персональных данных на доступ к его персональным данным
1.
Субъект ПД обладает следующими
правами:
- правом на получение информации,
касающейся обработки его персональных
данных (см. ч.7 комментируемой статьи), за
исключением случаев, предусмотренных ч.8
комментируемой статьи;
- правом требовать от оператора
уточнения своих ПД, их блокирования или
уничтожения в случае, если ПД являются
неполными, устаревшими, неточными,
недостоверными, незаконно полученными
или не являются необходимыми для
заявленной цели обработки;
- правом принимать предусмотренные
законом меры по защите своих прав.
Права субъекта ПД на доступ к своим
данным закреплены, например, в Положении
о персональных данных государственного
гражданского служащего Российской
Федерации и ведении его личного дела,
утвержденном Указом Президента РФ от 30
мая 2005 года N 609. Так, гражданские служащие
имеют право:
- получать полную информацию о своих ПД и
обработке этих данных (в том числе
автоматизированной);
- осуществлять свободный бесплатный
доступ к своим ПД, включая право получать
копии любой записи, содержащей ПД
гражданского служащего, за исключением
ряда случаев, предусмотренных
федеральными законами;
- требовать исключения или исправления
неверных или неполных персональных
данных, а также данных, обработанных с
нарушением законодательства о ПД (при
этом гражданский служащий при отказе
представителя нанимателя или
уполномоченного им лица исключить или
исправить ПД гражданского служащего
имеет право заявить в письменной форме
представителю нанимателя или
уполномоченному им лицу о своем
несогласии, обосновав соответствующим
образом такое несогласие);
- требовать от представителя нанимателя
или уполномоченного им лица уведомления
всех лиц, которым ранее были сообщены
неверные или неполные ПД гражданского
служащего, обо всех произведенных в них
изменениях или исключениях из них;
- обжаловать в суд любые неправомерные
действия или бездействие представителя
нанимателя или уполномоченного им лица
при обработке и защите ПД гражданского
служащего.
Следуя требованиям ч.1 комментируемой
статьи, операторам ПД целесообразно
определить процедуру оперативного
уточнения данных. Если кроме основной
базы ПД в организации существует
несколько резервных копий, то
соответствующие уточнения должны
вноситься во все из них. Если это
возможно, то обязанность уточнения
информации может распространяться и на
сведения, которые были переданы третьим
лицам. Обязанность уточнения данных
можно закрепить за отдельным
ответственным сотрудником. Этот же
сотрудник может фиксировать изменение
статуса ПД в случае их блокирования и
отвечать за своевременное уничтожение
ПД в случае отказа субъекта ПД от
обработки его данных, удалять из базы
данных информацию об умерших субъектах
ПД. Необходимо учитывать, что если
исправление ПД технически невозможно,
например, когда данные записаны на CD или
DVD, оператор ПД обязан гарантировать, что
неточные данные не будут
использоваться.
2.
Оператор должен предоставить
возможность субъекту ПД ознакомиться со
своими данными. При этом доступ к данным
может быть предоставлен в любой форме, в
зависимости от того, как хранятся данные.
Например, с содержанием электронной базы
данных можно познакомиться как
посмотрев ее на мониторе компьютера, так
и получив соответствующую распечатку.
Доступ к ПД, которые хранятся в
Интернете, может быть обеспечен путем
предоставления ссылки на страницу.
Доступ к истории болезни гражданина в
поликлинике или больнице может быть
предоставлен путем передачи истории
болезни на руки пациенту или его
представителю. Во всех случаях оператор
ПД должен позаботиться о том, чтобы в
информации или документах, передаваемых
гражданину, не содержались данные,
относящиеся к другому субъекту ПД, за
исключением случаев, если имеются
законные основания для раскрытия таких
персональных данных.
Согласно ст.8 Федерального закона от 30
декабря 2004 года N 218-ФЗ "О кредитных
историях" субъект кредитной истории
вправе в каждом бюро кредитных историй, в
котором хранится кредитная история о
нем, один раз в год бесплатно и любое
количество раз за плату без указания
причин получить кредитный отчет по своей
кредитной истории, в том числе с
накопленной информацией об источниках
формирования кредитной истории и о
пользователях кредитной истории,
которым выдавались кредитные отчеты.
Кроме того субъект кредитной истории
вправе полностью или частично оспорить
информацию, содержащуюся в его кредитной
истории, подав в бюро кредитных историй,
в котором хранится указанная кредитная
история, заявление о внесении изменений
и (или) дополнений в эту кредитную
историю. При этом бюро кредитных историй
в течение 30 дней со дня получения такого
заявления обязано провести
дополнительную проверку информации,
входящей в состав кредитной истории,
запросив ее у источника формирования
кредитной истории. При этом субъект
кредитной истории вправе указать в
заявлении о наличии у него обоснованных
причин для получения соответствующей
информации в более короткий срок. В этом
случае бюро кредитных историй обязано
учитывать данное пожелание.
На время проведения такой проверки в
кредитной истории делается
соответствующая пометка. Далее бюро
кредитных историй:
- либо обновляет кредитную историю в
оспариваемой части;
- либо аннулирует кредитную историю, если
по заявлению субъекта кредитной истории
на основании информации, полученной от
источника формирования кредитной
истории, было принято решение о полном
оспаривании информации;
- либо оставляет кредитную историю без
изменения.
О результатах рассмотрения указанного
заявления бюро кредитных историй
обязано в письменной форме сообщить
субъекту кредитной истории по истечении
30 дней со дня его получения. Отказ в
удовлетворении указанного заявления
должен быть мотивированным. Субъект
кредитной истории вправе обжаловать в
судебном порядке отказ бюро кредитных
историй в удовлетворении заявления о
внесении изменений и (или) дополнений в
кредитную историю, а также
непредставление в установленный срок
письменного сообщения о результатах
рассмотрения его заявления.
3. Как
следует из смысла ч.3 комментируемой
статьи, доступ к своим ПД
предоставляется субъекту ПД или его
представителю либо в случае устного
обращения к оператору с соответствующей
просьбой, либо в случае получения
оператором запроса субъекта ПД или его
представителя.
Рекомендуется в положении о защите
персональных данных, разрабатываемом
оператором ПД, указывать также перечень
информации, которая может быть
направлена субъекту ПД по почте либо
предоставляться лично.
Организациям нужно вести журнал учета, в
который будут заноситься все факты
ознакомления работников со своими
персональными данными, а также
информация о движении документов,
включенных в личные дела, и самих личных
дел. В таком журнале необходимо
указывать:
- дату выдачи и возврата документов;
- срок пользования ими;
- цель выдачи документов;
- наименование выдаваемых документов.
При возвращении документов работником
необходимо сверить по описи наличие всех
документов.
Сотрудники организации, получившие
право работать с ПД, обязаны принять на
себя обязательства не разглашать
доверенные им сведения, неукоснительно
выполнять правила работы с ПД,
обеспечивать надежное хранение
носителей конфиденциальной
информации.
Запрос или обращение о доступе к своим ПД
могут исходить как от самого субъекта ПД,
так и от его представителя.
Дееспособный субъект ПД для
представления его интересов у оператора
ПД может выдать доверенность своему
представителю. Согласно ст.185 ГК РФ
доверенностью признается письменное
уполномочие, выдаваемое одним лицом
другому лицу или другим лицам для
представительства перед третьими
лицами. Доверенности от имени малолетних
и от имени недееспособных граждан выдают
их законные представители.
Письменное уполномочие на совершение
сделки представителем может быть
представлено представляемым
непосредственно соответствующему
третьему лицу, которое вправе
удостовериться в личности
представляемого и сделать об этом
отметку на документе, подтверждающем
полномочия представителя. Письменное
уполномочие на получение представителем
гражданина его вклада в банке, внесение
денежных средств на его счет по вкладу,
на совершение операций по его
банковскому счету, в том числе получение
денежных средств с его банковского
счета, а также на получение адресованной
ему корреспонденции в организации связи
может быть представлено представляемым
непосредственно банку или организации
связи.
Доверенность на совершение сделок,
требующих нотариальной формы, на подачу
заявлений о государственной регистрации
прав или сделок, а также на распоряжение
зарегистрированными в государственных
реестрах правами должна быть
нотариально удостоверена, за
исключением случаев, предусмотренных
законом.
К нотариально удостоверенным
доверенностям приравниваются:
- доверенности военнослужащих и других
лиц, находящихся на излечении в
госпиталях, санаториях и других
военно-лечебных учреждениях, которые
удостоверены начальником такого
учреждения, его заместителем по
медицинской части, а при их отсутствии
старшим или дежурным врачом;
- доверенности военнослужащих, а в
пунктах дислокации воинских частей,
соединений, учреждений и военно-учебных
заведений, где нет нотариальных контор и
других органов, совершающих
нотариальные действия, также
доверенности работников, членов их семей
и членов семей военнослужащих, которые
удостоверены командиром (начальником)
этих части, соединения, учреждения или
заведения;
- доверенности лиц, находящихся в местах
лишения свободы, которые удостоверены
начальником соответствующего места
лишения свободы;
- доверенности совершеннолетних
дееспособных граждан, находящихся в
учреждениях социальной защиты
населения, которые удостоверены
администрацией этого учреждения или
руководителем (его заместителем)
соответствующего органа социальной
защиты населения.
Доверенность на получение заработной
платы и иных платежей, связанных с
трудовыми отношениями, на получение
вознаграждения авторов и изобретателей,
пенсий, пособий и стипендий или на
получение корреспонденции, за
исключением ценной корреспонденции,
может быть удостоверена организацией, в
которой доверитель работает или учится,
и администрацией стационарного
лечебного учреждения, в котором он
находится на излечении. Такая
доверенность удостоверяется
бесплатно.
Доверенность от имени юридического лица
выдается за подписью его руководителя
или иного лица, уполномоченного на это в
соответствии с законом и учредительными
документами.
Если в доверенности не указан срок ее
действия, она сохраняет силу в течение
года со дня ее совершения. Доверенность,
в которой не указана дата ее совершения,
ничтожна.
Удостоверенная нотариусом доверенность,
предназначенная для совершения действий
за границей и не содержащая указание о
сроке ее действия, сохраняет силу до ее
отмены лицом, выдавшим доверенность.
Следует помнить, что лицо, которому
выдана доверенность на получение
доступа к ПД, должно лично совершать те
действия, на которые оно уполномочено.
Оно может передоверить их совершение
другому лицу, если уполномочено на это
доверенностью либо вынуждено к этому
силою обстоятельств для охраны
интересов лица, выдавшего доверенность.
Действие доверенности на получение
доступа к ПД прекращается вследствие:
- истечения срока доверенности;
- отмены доверенности лицом, выдавшим
ее;
- отказа лица, которому выдана
доверенность;
- смерти гражданина, выдавшего
доверенность, признания его
недееспособным, ограниченно
дееспособным или безвестно
отсутствующим;
- смерти гражданина, которому выдана
доверенность, признания его
недееспособным, ограниченно
дееспособным или безвестно
отсутствующим.
Субъект ПД, выдавший доверенность, может
во всякое время отменить доверенность
или передоверие, а лицо, которому
доверенность выдана, - отказаться от
нее.
Законодатель установил, что запрос на
получение доступа к ПД должен содержать
следующую обязательную информацию:
- номер основного документа,
удостоверяющего личность субъекта ПД
или его представителя, сведения о дате
выдачи указанного документа и выдавшем
его органе;
- сведения, подтверждающие участие
субъекта ПД в отношениях с оператором
(номер договора, дата заключения
договора, условное словесное
обозначение и (или) иные сведения), либо
сведения, иным образом подтверждающие
факт обработки персональных данных
оператором;
- собственноручную подпись субъекта ПД
или его представителя.
Согласно постановлению Правительства РФ
от 8 июля 1997 года N 828 "Об утверждении
Положения о паспорте гражданина
Российской Федерации, образца бланка и
описания паспорта гражданина Российской
Федерации" основным документом,
удостоверяющим личность гражданина РФ
на территории РФ, является паспорт
гражданина РФ. Паспорт обязаны иметь все
граждане РФ, достигшие 14-летнего
возраста и проживающие на территории РФ.
Запрос на доступ к своим ПД может быть
составлен как в простой письменной форме
на бумажном носителе, так и направлен в
электронной форме и подписан
электронной подписью.
4. Направление повторного запроса или повторное обращение к оператору ПД возможно не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса. Более короткий срок может быть установлен:
- федеральным законом, принятым в
соответствии с ним нормативным правовым
актом;
- договором, стороной которого либо
выгодоприобретателем или поручителем по
которому является субъект персональных
данных.
5. Частью 5 комментируемой статьи законодатель предоставляет право субъекту персональных данных повторно обратиться к оператору ПД или направить ему повторный запрос в целях получения сведений, указанных в ч.7 комментируемой статьи, до истечения срока, указанного в ч.4 комментируемой статьи. Это можно сделать в том случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены субъекту ПД для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Видится, что такой повторный запрос должен содержать:
- номер основного документа,
удостоверяющего личность субъекта ПД
или его представителя, сведения о дате
выдачи указанного документа и выдавшем
его органе;
- сведения, подтверждающие участие
субъекта ПД в отношениях с оператором
(номер договора, дата заключения
договора, условное словесное
обозначение и (или) иные сведения), либо
сведения, иным образом подтверждающие
факт обработки персональных данных
оператором;
- обоснование направления повторного
запроса;
- собственноручную подпись субъекта ПД
или его представителя.
6. В ч.6
комментируемой статьи законодатель
установил основания для отказа оператором ПД
субъекту персональных данных в
выполнении повторного запроса. Отказ
возможен в случае несоблюдения
субъектом ПД сроков и условий для
направления повторного запроса,
предусмотренных ч.4, 5 комментируемого
Закона. Поскольку обязанность
представления доказательств
обоснованности отказа в выполнении
повторного запроса лежит на операторе
ПД, то, следовательно, такой отказ должен
быть мотивированным, оформлен в
письменной форме и предоставлен для
ознакомления субъекту ПД под роспись.
7. В ч.7
комментируемой статьи уточняется то, что
получение такой информации может
требовать субъект ПД при обращении к
оператору с соответствующим запросом. В
последнее время заемщики банков нередко
обращаются к юристам и в полицию с
жалобами на то, что коллекторские
агентства звонят их родственникам,
знакомым, работодателям и
распространяют информацию о
задолженностях граждан по кредитным
договорам. На наш взгляд, указанные
действия коллекторских агентств и
прочих взыскателей нарушают права
субъектов ПД. Такой вывод напрашивается
после анализа последней судебной
практики. Например, заемщик обратился в
суд с требованием о защите ПД, взыскании
компенсации морального вреда. В суде
истец пояснил, что на его телефон от
неких лиц стали поступать звонки с
требованиями предоставить сведения в
отношении другого лица или передать для
него информацию, касающуюся
задолженности по договору займа. Суд
удовлетворил требование истца, ссылаясь
на то, что ответчик без согласия истца
осуществлял обработку его ПД (см.
апелляционное определение Алтайского
краевого суда от 8 декабря 2015 года по делу
N 33-11972/2015).
8. В
ряде случаев право субъекта ПД на доступ
к своим данным может быть ограничено.
Рассмотрим их.
Во-первых, ограничивается доступ к ПД,
если их обработка осуществлялась в целях
обороны страны, безопасности
государства и охраны правопорядка. Такие
данные, как правило, бывают получены в
результате оперативно-розыскной,
контрразведывательной и
разведывательной деятельности.
Во-вторых, ограничивается доступ к ПД,
если обработка ПД производится органами,
осуществившими задержание субъекта ПД
по подозрению в совершении преступления,
либо предъявившими субъекту ПД
обвинение по уголовному делу, либо
применившими к субъекту ПД меру
пресечения до предъявления обвинения, за
исключением предусмотренных
уголовно-процессуальным
законодательством РФ случаев, если
допускается ознакомление
подозреваемого или обвиняемого с такими
ПД.
В-третьих, ограничивается доступ к ПД
субъекта данных, если обработка
персональных данных осуществляется в
соответствии с Федеральным законом от 7
августа 2001 года N 115-ФЗ "О
противодействии легализации (отмыванию)
доходов, полученных преступным путем, и
финансированию терроризма".
В-четвертых, доступ субъекта ПД к своим
данным может быть ограничен, если такой
доступ нарушает права и законные
интересы третьих лиц.
И, в-пятых, ограничивается доступ к ПД
субъекта данных, если обработка
персональных данных осуществляется в
случаях, предусмотренных Федеральным
законом от 9 февраля 2007 года N 16-ФЗ "О
транспортной безопасности".
Комментарий к статье 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1.
Организации, чьими услугами когда-либо
пользовались граждане, иногда высылают
им свои рекламные материалы. В период
выборов в органы государственной власти,
органы местного самоуправления граждане
также получают адресную агитационную
продукцию. Законно ли это?
В ч.1 комментируемой статьи определяются
условия обработки ПД путем
осуществления прямых контактов с
потенциальным потребителем с помощью
средств связи:
- в целях продвижения товаров, работ,
услуг на рынке (например, рассылка
рекламных буклетов);
- в целях политической агитации.
Согласно Федеральному закону от 7 июля 2003
года N 126-ФЗ "О связи" под средствами
связи понимаются технические и
программные средства, используемые для
формирования, приема, обработки,
хранения, передачи, доставки сообщений
электросвязи или почтовых отправлений, а
также иные технические и программные
средства, используемые при оказании
услуг связи или обеспечении
функционирования сетей связи, включая
технические системы и устройства с
измерительными функциями.
В свою очередь, реклама - это информация,
распространенная любым способом, в любой
форме и с использованием любых средств,
адресованная неопределенному кругу лиц
и направленная на привлечение внимания к
объекту рекламирования, формирование
или поддержание интереса к нему и его
продвижение на рынке. Объектом
рекламирования может быть товар,
средства индивидуализации юридического
лица и (или) товара, изготовитель или
продавец товара, результаты
интеллектуальной деятельности либо
мероприятие (в том числе спортивное
соревнование, концерт, конкурс,
фестиваль, основанные на риске игры,
пари), на привлечение внимания к которым
направлена реклама. Товаром называется
продукт деятельности (в том числе работа,
услуга), предназначенный для продажи,
обмена или иного введения в оборот.
Политическая агитация - это устная,
печатная или наглядная политическая
деятельность, воздействующая на
сознание и настроение людей. Цель такой
агитации - побудить граждан к
определенным политическим действиям.
Частью 1 комментируемой статьи
законодатель обязывает операторов ПД
обрабатывать данные граждан в целях
продвижения товаров, работ, услуг на
рынке, а также в целях политической
агитации, только при наличии
предварительного согласия субъекта ПД.
При чем оператор должен будет доказать,
что такое согласие ему было
предоставлено субъектом ПД. Поэтому,
если организация, получающая ПД
гражданина в целях исполнения договора,
заключенного между организацией и этим
гражданином, планирует в дальнейшем
обрабатывать его ПД для продвижения
своих услуг, следует позаботиться о
получении письменного согласия на то
субъекта ПД. Представляется, что только
письменная форма согласия поможет
избежать возникновения спорных
ситуаций. Требования к содержанию
письменного согласия на обработку ПД
определены в ч.4 ст.9 комментируемого
Закона.
2. Из
смысла ч.2 комментируемой статьи следует,
что гражданин имеет право в любое время
отказаться от получения рекламных или
агитационных материалов, независимо от
формы их получения - по обычной или
электронной почте, по факсу или по
телефону. Для этого следует уведомить
отправителя о несогласии на получение
подобных материалов и попросить удалить
соответствующие ПД из его базы данных.
Законодатель не устанавливает, в какой
именно форме субъект ПД должен
предъявить оператору ПД требование о
прекращении обработки его данных.
Представляется, что такое обращение
может быть как письменным, отправленным
по месту нахождения оператора ПД, так и
устным, заявленным при личной встрече.
Часть 3 ст.21 комментируемого Закона
обязывает оператора ПД в срок, не
превышающий трех рабочих дней с даты
выявления неправомерных действий с ПД,
прекратить неправомерную обработку
персональных данных или обеспечить
прекращение неправомерной обработки
данных лицом, действующим по поручению
оператора. В случае, если обеспечить
правомерность обработки ПД невозможно,
оператор в срок, не превышающий десяти
рабочих дней с даты выявления
неправомерной обработки данных, обязан
уничтожить такие данные или обеспечить
их уничтожение.
Если несмотря на обращение оператор не
отвечает на требование о прекращении
обработки ПД, субъект ПД имеет право
подать исковое заявление в суд или
обратиться с жалобой в Уполномоченный
орган по защите прав субъектов
персональных данных.
Рассмотрим примеры из судебной практики.
Пример 1.
Истец направил в суд заявление об
оспаривании действий по направлению
сообщения рекламного характера и
взыскании компенсации морального вреда.
Судом было установлено, что истец
воспользовался своим правом отказаться
от согласия на рассылку информации
рекламного характера, в деле было
представлено письмо, направленное
ответчику, об отказе в обработке ПД, а
также ответ на него. На этом основании
суд удовлетворил требование ответчика
(см. апелляционное определение
Новосибирского областного суда от 2
апреля 2015 года по делу N 33-2034/2015).
Пример 2.
Гражданка после систематического
получения на свой телефон SMS-сообщений
рекламного характера от банка
обратилась в суд с требованием о
признании незаконными действий банка.
Судом было установлено, что банк
навязывает услуги по кредитованию
против воли истицы, чем нарушает ее права
как субъекта ПД (см. апелляционное
определение Новосибирского областного
суда от 7 апреля 2015 года по делу N
33-2831/2015).
Комментарий к статье 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1.
Комментируемая статья определяет
перечень прав субъекта ПД при принятии
решений на основании исключительно
автоматизированной обработки его
данных.
Важным документом, защищающим права
граждан при автоматизированной
обработке их данных, является Конвенция
Совета Европы о защите физических лиц
при автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года), в соответствии с которой все ПД,
проходящие автоматическую обработку:
- должны быть получены и обработаны
добросовестным и законным образом;
- должны накапливаться для точно
определенных и законных целей и не
использоваться в противоречии с этими
целями;
- должны быть адекватными, относящимися к
делу и не быть избыточными применительно
к целям, для которых они накапливаются;
- должны быть точными и в случае
необходимости обновляться и т.д.
Частью 1 комментируемой статьи
законодатель запрещает принятие на
основании исключительно
автоматизированной обработки ПД
следующих решений в отношении субъекта
ПД:
- решений, порождающих юридические
последствия в отношении субъекта ПД;
- решений каким-либо образом
затрагивающих права и законные интересы
субъекта ПД.
Исключение составляют только некоторые
случаи, которые будут прокомментированы
ниже.
2.
Решение, порождающее юридические
последствия в отношении субъекта ПД или
иным образом затрагивающее его права и
законные интересы, может быть принято на
основании исключительно
автоматизированной обработки его ПД
только в следующих случаях:
- при наличии согласия в письменной форме
субъекта ПД;
- в случаях, предусмотренных
федеральными законами, устанавливающими
также меры по обеспечению соблюдения
прав и законных интересов субъекта ПД.
Согласно ст.11 Федерального закона от 9
февраля 2007 года N 16-ФЗ "О транспортной
безопасности" в целях осуществления
мер по обеспечению транспортной
безопасности создается единая
государственная информационная система
обеспечения транспортной безопасности,
являющаяся собственностью РФ. Указанная
информационная система состоит, в том
числе, из автоматизированных
централизованных баз ПД о пассажирах и
персонале транспортных средств. Базы ПД
формируются при осуществлении следующих
видов перевозок:
- внутренние и международные воздушные
перевозки;
- железнодорожные перевозки в дальнем
следовании;
- перевозки морским, внутренним водным
транспортом в международном сообщении и
в сообщении между портами,
расположенными на территориях разных
субъектов Российской Федерации, за
исключением перевозок между городом
федерального значения Москвой и
Московской областью, между городом
федерального значения Санкт-Петербургом
и Ленинградской областью, а также между
городом федерального значения
Севастополем и Республикой Крым;
- перевозки автомобильным транспортом, в
том числе по заказу, в международном
сообщении и в междугородном сообщении
между населенными пунктами,
расположенными на территориях разных
субъектов Российской Федерации, за
исключением перевозок между городом
федерального значения Москвой и
Московской областью, между городом
федерального значения Санкт-Петербургом
и Ленинградской областью, а также между
городом федерального значения
Севастополем и Республикой Крым.
Отметим, что информационные ресурсы
единой государственной информационной
системы обеспечения транспортной
безопасности являются информацией
ограниченного доступа.
При оформлении проездных документов
(билетов) и формировании персонала
(экипажей) транспортных средств передаче
в автоматизированные централизованные
базы ПД о пассажирах и персонале
(экипаже) транспортных средств подлежат
следующие ПД:
- фамилия, имя, отчество;
- дата рождения;
- вид и номер документа, удостоверяющего
личность, по которому приобретается
проездной документ (билет);
- пункт отправления, пункт назначения,
вид маршрута следования
(беспересадочный, транзитный);
- дата поездки;
- пол;
- гражданство.
В ст.85.1 Воздушного кодекса РФ
указывается, что в целях обеспечения
авиационной безопасности перевозчики
обеспечивают передачу ПД пассажиров
воздушных судов в автоматизированные
централизованные базы персональных
данных о пассажирах в соответствии с
Федеральным законом от 9 февраля 2007 года N
16-ФЗ "О транспортной безопасности" и
законодательством РФ в области ПД.
3.
Частью 3 комментируемой статьи
законодатель определяет обязанности
оператора ПД в отношении субъекта ПД при
принятии решения на основании
исключительно автоматизированной
обработки его ПД. Таким образом, на
оператора ПД возлагаются следующие
обязанности:
- обязанность разъяснить субъекту ПД
порядок принятия решения на основании
исключительно автоматизированной
обработки его ПД;
- обязанность разъяснить субъекту ПД
возможные юридические последствия
такого решения;
- обязанность предоставить субъекту ПД
возможность заявить возражение против
такого решения;
- обязанность разъяснить порядок защиты
субъектом ПД своих прав и законных
интересов.
Надо отметить, что Конвенция Совета
Европы о защите физических лиц при
автоматизированной обработке
персональных данных (Страсбург, 28 января
1981 года) предоставляет любому лицу
следующие права:
- быть осведомленным о существовании
автоматизированной базы ПД, о ее главных
целях, а также о контролере базы данных,
его месте жительства либо юридическом
адресе;
- периодически и без излишних затрат
времени или средств обращаться с
запросом о том, накапливаются ли в
автоматизированной базе данных
касающиеся его ПД, и получать информацию
о таких данных в доступной форме;
- требовать уточнения или уничтожения
таких данных, если они были обработаны с
нарушением положений национального
права, реализующих основные принципы,
изложенные в статьях Конвенции;
- прибегнуть к судебной защите
нарушенного права, если его запрос либо
требование о предоставлении информации,
уточнении или уничтожении данных не были
удовлетворены.
4. В ч.4
комментируемой статьи определяется
порядок рассмотрения оператором ПД
возражения против принятия решения на
основании исключительно
автоматизированной обработки ПД,
направленного ему субъектом ПД. Таким
образом, по смыслу анализируемой нормы
права такое возражение должно быть
оформлено в письменном виде.
Указанный срок составляет тридцать дней.
Порядок действий оператора ПД при
получении возражения следующий:
- возражение рассматривается оператором
в течение тридцати дней со дня его
получения;
- далее субъекту ПД предоставляется
уведомление о результатах рассмотрения
такого возражения.
Комментарий к статье 17. Право на обжалование действий или бездействия оператора
1.
Норма, содержащаяся в ч.1 комментируемой
статьи, предоставляет право субъекту ПД
обжаловать действия или бездействие
оператора ПД, если тот осуществляет
обработку данных с нарушением
требований законодательства о ПД.
Субъект ПД может защитить свои права
путем направления жалобы по своему
выбору:
- в уполномоченный орган по защите прав
субъектов персональных данных;
- в суд.
В настоящее время уполномоченным
органом по защите прав субъектов ПД
является Федеральная служба по надзору в
сфере связи, информационных технологий и
массовых коммуникаций (Роскомнадзор).
Как указывается в постановлении
Правительства РФ от 16 марта 2009 года N 228
"О Федеральной службе по надзору в
сфере связи, информационных технологий и
массовых коммуникаций", Роскомнадзор
является федеральным органом
исполнительной власти, осуществляющим
функции по контролю и надзору в сфере
средств массовой информации, в том числе
электронных, и массовых коммуникаций,
информационных технологий и связи,
функции по контролю и надзору за
соответствием обработки ПД требованиям
законодательства РФ в области ПД, а также
функции по организации деятельности
радиочастотной службы. Кроме того,
Федеральная служба по надзору в сфере
связи, информационных технологий и
массовых коммуникаций является
уполномоченным федеральным органом
исполнительной власти по защите прав
субъектов ПД.
Таким образом, с жалобами о нарушении
прав граждан в отношении их ПД можно
обратиться по адресу: 109074, г.Москва,
Китайгородский проезд, д.7, стр.2 или по
факсу (495) 987-68-01. В Роскомнадзор можно
направить жалобу заказным письмом или
заполнить соответствующую форму в
Интернете по адресу: URL:
https://rkn.gov.ru/treatments/ask-question/.
Работа с обращениями граждан,
объединений граждан и юридических лиц
осуществляется в соответствии с
Федеральным законом от 2 мая 2006 года N 59-ФЗ
"О порядке рассмотрения обращений
граждан Российской Федерации" и
приказом Роскомнадзора от 10 февраля 2015
года N 13 "Об утверждении Инструкции по
работе с обращениями граждан,
объединений граждан и юридических лиц в
Федеральной службе по надзору в сфере
связи, информационных технологий и
массовых коммуникаций и ее
территориальных органах".
Обращения граждан, объединений граждан и
юридических лиц поступившие в
электронном виде, в соответствии с
действующим законодательством могут
быть направлены в управления
Роскомнадзора, к непосредственному
ведению которых относится разрешение
поставленных в обращениях вопросов.
В обращении гражданин в обязательном
порядке указывает свои фамилию, имя,
отчество (последнее - при наличии), адрес
электронной почты, если ответ должен
быть направлен в форме электронного
документа, или почтовый адрес, если ответ
должен быть направлен в письменной
форме. Гражданин вправе приложить к
такому обращению необходимые документы
и материалы в электронной форме либо
направить указанные документы и
материалы или их копии в письменной
форме.
Обращение, содержащее нецензурные либо
оскорбительные выражения, угрозы жизни,
здоровью и имуществу должностного лица,
а также членов его семьи может быть
оставлено без ответа по существу
поставленных в нём вопросов.
Обращение не принимается к рассмотрению,
если текст написан по-русски с
использованием латиницы или набран
целиком заглавными буквами и не разбит
на предложения.
Срок рассмотрения обращения - 30 дней. В
случаях, когда для рассмотрения
обращения гражданина требуется больше
времени, то срок может быть продлен, но не
более чем на 30 дней.
Информация о персональных данных
граждан, направивших запрос в
электронном виде, хранится и
обрабатывается с соблюдением требований
российского законодательства о
персональных данных.
Роскомнадзор осуществляет свои
полномочия непосредственно и через
территориальные органы. Для
оперативного решения вопросов при
рассмотрении жалоб и обращений граждан
целесообразно обращаться в
территориальные органы Роскомнадзора.
Контактная информация для направления
обращения в территориальные органы
размещена в разделе "О
Роскомнадзоре" - "Территориальные
органы".
На официальном сайте Роскомнадзора см.
Отчет об итогах работы с обращениями
граждан в Роскомнадзоре в I квартале 2016
года (размещен: 12.04.2016, URL:
https://rkn.gov.ru/docs/doc_1436.rtf), Итоги работы с
обращениями граждан в Роскомнадзоре в 2015
году (URL: https://rkn.gov.ru/docs/doc_1389.docx).
Согласно ст.3 ГПК РФ заинтересованное
лицо вправе обратиться в суд за защитой
нарушенных либо оспариваемых прав,
свобод или законных интересов.
При обращении в суд субъектам ПД следует
учитывать, что исковое заявление
подается в письменной форме и в нем
должны быть указаны:
- наименование суда, в который подается
заявление;
- наименование истца, его место
жительства или, если истцом является
организация, ее место нахождения, а также
наименование представителя и его адрес,
если заявление подается
представителем;
- наименование ответчика, его место
жительства;
- в чем заключается нарушение либо угроза
нарушения прав, свобод или законных
интересов истца и его требования;
- обстоятельства, на которых истец
основывает свои требования, и
доказательства, подтверждающие эти
обстоятельства;
- цена иска, если он подлежит оценке, а
также расчет взыскиваемых или
оспариваемых денежных сумм;
- сведения о соблюдении досудебного
порядка обращения к ответчику, если это
установлено федеральным законом или
предусмотрено договором сторон;
- перечень прилагаемых к заявлению
документов.
В заявлении могут быть указаны номера
телефонов, факсов, адреса электронной
почты истца, его представителя,
ответчика, иные сведения, имеющие
значение для рассмотрения и разрешения
дела, а также изложены ходатайства истца.
Исковое заявление подписывается истцом
или его представителем при наличии у
него полномочий на подписание заявления
и предъявление его в суд.
Кроме того к исковому заявлению должны
быть приложены:
- его копии в соответствии с количеством
ответчиков и третьих лиц;
- документ, подтверждающий уплату
государственной пошлины;
- доверенность или иной документ,
удостоверяющие полномочия
представителя истца;
- документы, подтверждающие
обстоятельства, на которых истец
основывает свои требования, копии этих
документов для ответчиков и третьих лиц,
если копии у них отсутствуют;
- текст опубликованного нормативного
правового акта в случае его
оспаривания;
- доказательство, подтверждающее
выполнение обязательного досудебного
порядка урегулирования спора, если такой
порядок предусмотрен федеральным
законом или договором;
- расчет взыскиваемой или оспариваемой
денежной суммы, подписанный истцом, его
представителем, с копиями в соответствии
с количеством ответчиков и третьих лиц.
2.
Субъект ПД в судебном порядке может
требовать также возмещения убытков;
компенсации морального вреда.
Так, ст.12 ГК РФ установлено, что защита
гражданских прав осуществляется путем:
- признания права;
- восстановления положения,
существовавшего до нарушения права, и
пресечения действий, нарушающих право
или создающих угрозу его нарушения;
- признания оспоримой сделки
недействительной и применения
последствий ее недействительности,
применения последствий
недействительности ничтожной сделки;
- признания недействительным акта
государственного органа или органа
местного самоуправления;
- самозащиты права и т.д.
Убытками называются расходы, которые
лицо, чье право нарушено, произвело или
должно будет произвести для
восстановления нарушенного права,
утрата или повреждение его имущества
(реальный ущерб), а также неполученные
доходы, которые это лицо получило бы при
обычных условиях гражданского оборота,
если бы его право не было нарушено
(упущенная выгода). При этом если лицо,
нарушившее право, получило вследствие
этого доходы, лицо, право которого
нарушено, вправе требовать возмещения
наряду с другими убытками упущенной
выгоды в размере не меньшем, чем такие
доходы.
Кроме того субъект ПД вправе требовать
возмещения убытков, причиненных ему в
результате незаконных действий
(бездействия) государственных органов,
органов местного самоуправления или
должностных лиц этих органов в отношении
обработки ПД этого субъекта. Такие
убытки подлежат возмещению РФ,
соответствующим субъектом РФ или
муниципальным образованием.
Если субъекту ПД причинен моральный вред
(физические или нравственные страдания)
действиями, нарушающими его права при
обработке ПД, суд может возложить на
нарушителя обязанность денежной
компенсации указанного вреда.
Рассмотрим примеры из судебной практики,
касающиеся защиты прав субъектов ПД.
Пример 1.
Гражданин в судебном порядке потребовал
признание сделки недействительной и
компенсации ему морального вреда в связи
с тем, что не подписывал договор с
ответчиком. Судом было установлено, что
договор действительно не подписывался
истцом, в связи с чем были нарушены его
права на защиту ПД и подорвана репутация
добросовестного заемщика, а также
причинен моральный вред (см.
апелляционное определение Ростовского
областного суда от 9 декабря 2015 года по
делу N 33-18941/2015).
Пример 2.
Суд удовлетворил требования истца о
компенсации ему морального вреда, так
как было установлено, что ответчики
совершили действия, направленные на
сбор, обработку, распространение ПД
истца без согласия субъекта ПД (см.
апелляционное определение Алтайского
краевого суда от 29 сентября 2015 года по
делу N 33-9241/2015).
Комментарий к главе 4. Обязанности оператора
Комментарий к статье 18. Обязанности оператора при сборе персональных данных
1. Со
ст.18 начинается новая глава
комментируемого Закона, устанавливающая
обязанности оператора ПД.
Частью 1 комментируемой статьи
законодатель закрепляет за оператором
ПД обязанность предоставить субъекту ПД
по его просьбе следующую информацию:
- подтверждение факта обработки
персональных данных оператором;
- правовые основания и цели обработки
персональных данных;
- цели и применяемые оператором способы
обработки персональных данных;
- наименование и место нахождения
оператора, сведения о лицах (за
исключением работников оператора),
которые имеют доступ к персональным
данным или которым могут быть раскрыты
персональные данные на основании
договора с оператором или на основании
федерального закона;
- обрабатываемые персональные данные,
относящиеся к соответствующему субъекту
персональных данных, источник их
получения, если иной порядок
представления таких данных не
предусмотрен федеральным законом;
- сроки обработки персональных данных, в
том числе сроки их хранения;
- порядок осуществления субъектом
персональных данных прав,
предусмотренных комментируемым
Законом;
- информацию об осуществленной или о
предполагаемой трансграничной передаче
данных;
- наименование или фамилию, имя, отчество
и адрес лица, осуществляющего обработку
персональных данных по поручению
оператора, если обработка поручена или
будет поручена такому лицу;
- иные сведения, предусмотренные
комментируемым Законом или другими
федеральными законами.
Законодатель не устанавливает, в какой
форме (письменной или устной) оператор ПД
должен предоставить субъекту данных
вышеуказанную информацию.
Следовательно, ответ на такой запрос
может быть выдан в любой форме,
согласованной сторонами.
Данная информация должна быть
предоставлена оператором ПД при устном
обращении к нему субъекта ПД или при
получении от субъекта ПД
соответствующего письменного запроса, а
также запроса в форме электронного
документа.
2. Частью 2 комментируемой статьи установлено, что в том случае, когда предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту данных юридические последствия отказа предоставить его персональные данные.
Например, в ст.308 УК РФ предусмотрено
наказание за отказ свидетеля или
потерпевшего от дачи показаний либо
уклонение потерпевшего от прохождения
освидетельствования, от производства в
отношении его судебной экспертизы в
случаях, когда не требуется его согласие,
или от предоставления образцов почерка и
иных образцов для сравнительного
исследования.
Однако лицо не подлежит уголовной
ответственности за отказ от дачи
показаний против себя самого, своего
супруга или своих близких родственников.
Следователь, привлекая к участию в
следственных действиях участников
уголовного судопроизводства:
- удостоверяется в их личности;
- разъясняет им права, ответственность, а
также порядок производства.
Согласно ст.189 УПК РФ по инициативе
следователя или по ходатайству
допрашиваемого лица в ходе допроса могут
быть проведены фотографирование, аудио-
и (или) видеозапись, киносъемка,
материалы которых хранятся при
уголовном деле и по окончании
предварительного следствия
опечатываются.
3. В ч.3
комментируемой статьи законодатель
определяет обязанности оператора ПД при
обработке данных, которые были получены
у третьих лиц.
В случае невыполнения требования,
предусмотренного ч.3 комментируемой
статьи, оператор ПД может быть привлечен
к административной ответственности.
Приведем
пример из судебной практики. В связи
с неисполнением заемщиком (истцом)
обязательств по кредитному договору
между ответчиками был заключен
агентский договор, по которому были
переданы ПД заемщика. При этом лицо,
принявшее ПД, нарушило требования ч.3
комментируемой статьи. В связи с этим суд
пришел к выводу о том, что истцу
указанными действиями были причинены
нравственные страдания (см.
апелляционное определение Тульского
областного суда от 28 апреля 2015 года по
делу N 33-850).
4.
Законодатель определил перечень
случаев, когда оператор освобождается от
обязанности предоставить субъекту
персональных данных сведения,
предусмотренные ч.3 комментируемой
статьи. Это возможно, если персональные
данные получены оператором на основании
федерального закона или в связи с
исполнением договора, стороной которого
либо выгодоприобретателем или
поручителем по которому является
субъект персональных данных. Так,
например, уполномоченные
государственные органы, осуществляющие
оперативно-розыскную деятельность или
обеспечение безопасности РФ, могут на
основании ст.64 Федерального закона от 7
июля 2003 года N 126-ФЗ "О связи"
получать у операторов связи информацию о
пользователях услугами связи и об
оказанных им услугах связи, а также иную
информацию, необходимую для выполнения
возложенных на эти органы задач.
Из общедоступных источников информации,
т.е. из баз, содержащих ПД, доступ
неограниченного круга лиц к которым
предоставлен с согласия субъекта данных,
операторы также могут получать данные
без уведомления субъекта ПД об обработке
такой информации.
Оператор освобождается от обязанности
предоставить субъекту ПД сведения,
предусмотренные ч.3 комментируемой
статьи, также в следующих случаях,
когда:
- субъект персональных данных уведомлен
об осуществлении обработки его
персональных данных соответствующим
оператором;
- оператор осуществляет обработку
персональных данных для статистических
или иных исследовательских целей, для
осуществления профессиональной
деятельности журналиста либо научной,
литературной или иной творческой
деятельности, если при этом не
нарушаются права и законные интересы
субъекта персональных данных;
- предоставление субъекту персональных
данных таких сведений нарушает права и
законные интересы третьих лиц.
5.
Федеральным законом от 21 июля 2014 года N
242-ФЗ "О внесении изменений в отдельные
законодательные акты Российской
Федерации в части уточнения порядка
обработки персональных данных в
информационно-телекоммуникационных
сетях" в комментируемую статью
добавлена ч.5, которая обязывает
операторов ПД с 1 сентября 2015 года
обеспечить обработку ПД российских
граждан (в том числе данных, собранных
посредством сети Интернет) в базах
данных, находящихся на территории РФ.
Исключение из этого правила составляют
случаи, когда обработка ПД
осуществляется:
- для достижения целей, предусмотренных
международным договором РФ или законом,
для осуществления и выполнения
возложенных законодательством РФ на
оператора функций, полномочий и
обязанностей;
- для осуществления правосудия,
исполнения судебного акта, акта другого
органа или должностного лица, подлежащих
исполнению в соответствии с
законодательством РФ об исполнительном
производстве;
- для исполнения полномочий федеральных
органов исполнительной власти, органов
государственных внебюджетных фондов,
исполнительных органов государственной
власти субъектов РФ, органов местного
самоуправления и функций организаций,
участвующих в предоставлении
соответственно государственных и
муниципальных услуг, предусмотренных
Федеральным законом от 27 июля 2010 года N
210-ФЗ "Об организации предоставления
государственных и муниципальных
услуг", включая регистрацию субъекта
персональных данных на едином портале
государственных и муниципальных услуг и
(или) региональных порталах
государственных и муниципальных услуг;
- для осуществления профессиональной
деятельности журналиста и (или) законной
деятельности средства массовой
информации либо научной, литературной
или иной творческой деятельности при
условии, что при этом не нарушаются права
и законные интересы субъекта
персональных данных.
С указанной выше даты в уведомлении (ст.22
комментируемого Закона) оператору ПД
придется указывать сведения о месте
нахождения базы данных, содержащей ПД
российских граждан. При этом доступ к
информационным ресурсам в сети Интернет,
в том числе к сетевому адресу, доменному
имени, указателю страниц, позволяющим
идентифицировать информацию,
обрабатываемую с нарушениями
вышеуказанных требований, может быть
ограничен на основании вступившего в
силу судебного акта. В связи с этим
создан Реестр нарушителей прав
субъектов ПД. Но после того, как будут
устранены нарушения, либо вступит в силу
судебное решение об отмене ранее
принятого судебного акта, доменное имя,
указатель страницы или сетевой адрес
будут исключены из реестра. За
невыполнение этих требований
законодатель предусмотрел
административную ответственность.
На практике это означает, что до 1
сентября 2015 года иностранные компании,
работающие с ПД российских граждан,
должны были обеспечить нахождение баз
данных на территории РФ.
Порядок создания и ведения Реестра
нарушителей прав субъектов ПД
устанавливается постановлением
Правительства РФ от 19 августа 2015 года N 857
"Об автоматизированной
информационной системе "Реестр
нарушителей прав субъектов персональных
данных". В постановлении, в частности,
указывается, что создание, формирование
и ведение реестра осуществляется
Роскомнадзором.
Реестр включает в себя:
- доменные имена и (или) указатели страниц
сайтов в сети "Интернет", содержащих
информацию, обрабатываемую с нарушением
законодательства;
- сетевые адреса, позволяющие
идентифицировать сайты в сети
"Интернет", содержащие информацию,
обрабатываемую с нарушением
законодательства;
- указание на вступивший в законную силу
судебный акт о принятии мер по
ограничению доступа к информации,
обрабатываемой с нарушением
законодательства;
- дату и время направления
Роскомнадзором операторам связи
вышеуказанных сведений для
осуществления мероприятий,
ограничивающих доступ к информации,
обрабатываемой с нарушением
законодательства;
- информацию об устранении нарушения
законодательства РФ в области
персональных данных.
При этом информация об устранении
нарушения законодательства РФ в области
ПД включает в себя:
- дату и время получения Роскомнадзором
акта об ограничении доступа;
- сведения о провайдере хостинга или ином
лице, обеспечивающих обработку
информации в сети "Интернет" с
нарушением законодательства;
- дату и время направления провайдеру
уведомления о нарушении
законодательства;
- дату и время внесения доменного имени в
реестр;
- дату и время внесения сетевого адреса в
реестр;
- сведения о вступившем в законную силу
судебном акте об отмене ранее принятого
судебного акта об ограничении доступа;
- сведения о решении Роскомнадзора об
исключении доменного имени и сетевого
адреса из реестра;
- дату и время внесения в реестр сведений
об исключении доменного имени из
реестра;
- дату и время внесения в реестр сведений
об исключении сетевого адреса из
реестра.
Аналогичные положения включены в ФЗ
"Об информации, информационных
технологиях и о защите информации"
(ст.15.5).
Также следует отметить следующие
документы:
- приказ Роскомнадзора от 22 июля 2015 года N
84 "Об утверждении Порядка
взаимодействия оператора реестра
нарушителей прав субъектов персональных
данных с провайдером хостинга и Порядка
получения доступа к информации,
содержащейся в реестре нарушителей прав
субъектов персональных данных,
оператором связи";
- приказ Роскомнадзора от 22 июля 2015 года N
85 "Об утверждении формы заявления
субъекта персональных данных о принятии
мер по ограничению доступа к информации,
обрабатываемой с нарушением
законодательства Российской Федерации в
области персональных данных".
Так, приказом Роскомнадзора от 22 июля 2015
года N 84 были утверждены:
- порядок взаимодействия оператора
реестра нарушителей прав субъектов ПД с
провайдером хостинга;
- порядок получения доступа к информации,
содержащейся в реестре нарушителей прав
субъектов ПД, оператором связи.
Согласно указанному документу
взаимодействие оператора реестра с
провайдером хостинга осуществляется в
следующих случаях:
- направления провайдеру хостинга
уведомления о нарушении
законодательства РФ в области ПД;
- направления провайдером хостинга
оператору реестра обращения об
исключении информации о доменном имени и
(или) указателях страниц сайтов в сети
"Интернет", сетевом адресе,
позволяющем идентифицировать сайты в
сети "Интернет", содержащие
информацию, обрабатываемую с нарушением
прав субъектов ПД, из реестра;
- направления провайдеру хостинга
оператором реестра уведомления об
исключении из реестра доменного имени и
(или) указателя страницы сайта в сети
"Интернет", а также сетевого адреса;
- получения от провайдера хостинга
оператором реестра информации,
необходимой для организации
взаимодействия в рамках ведения реестра.
При этом уведомление провайдеру
хостинга о нарушении законодательства
РФ в области ПД направляется оператором
реестра одновременно с включением в
реестр информации о соответствующем
доменном имени и (или) указателе страницы
сайта в сети "Интернет", а также
сетевом адресе.
Предоставление операторам связи
информации об информационных ресурсах, в
отношении которых требуется принятие
рассматриваемых выше мер,
осуществляется посредством
информационной системы взаимодействия
круглосуточно в автоматическом режиме. А
оператору связи обеспечивается
предоставление следующей информации из
реестра:
- доменное имя, сетевой адрес, указатели
страниц сайта в сети Интернет, на котором
осуществляется обработка информации с
нарушением законодательства РФ о ПД;
- номер дела и дата принятия судебного
акта, на основании которого данные об
информационном ресурсе были включены в
реестр.
При определении понятия "база
данных" следует учитывать, что в
законодательстве существует много
понятий баз данных, тем не менее все они
сводятся к одному общему значению,
согласно которому база данных - это
упорядоченный массив данных,
независимый от вида материального
носителя информации и используемых
средств его обработки (архивы, картотеки,
электронные базы данных). Так, базой
данных можно считать таблицу в формате
Excel, Word, в которой содержатся ПД.
Если иностранное лицо предоставляет
свои услуги на территории РФ, а
российский гражданин акцептирует
публичную оферту на территории РФ, то на
такие отношения распространяется
российское законодательство о ПД. Такое
понимание применения законодательства
соответствует принципам международного
частного права. То есть запись,
систематизация, накопление, хранение,
уточнение (обновление, изменение),
извлечение ПД граждан РФ иностранными
компаниями, предоставляющими свои
услуги на территории иностранного
государства, может осуществляться в
базах данных, находящихся на территории
иностранных государств, в случае если
правоотношение возникло на территории
иностранного государства. Например,
забронировать номер в гостинице
возможно посредством интернет-сайта
иностранной гостиницы, который заявил
публичную оферту, в том числе, для
территории РФ. Таким образом,
юридическое лицо предоставит свою
услугу по бронированию на территории РФ,
а российский гражданин, находящийся на
территории РФ, посредством интернета
акцептирует данную услугу на территории
России. В связи с этим иностранное
юридическое лицо, которое желает
оказывать услугу по бронированию в РФ,
должно будет соблюдать установленные
требования. В случае если при
предоставлении данной услуги
задействован посредник, использующий
систему бронирования для оказания услуг
гражданам России на территории России по
бронированию иностранных гостиниц, то
такой посредник должен также соблюдать
эти требования. Однако при этом
посредник может передать ПД иностранной
гостинице в установленном порядке
трансграничной передачи данных. Таким
образом, посредник должен хранить ПД
граждан России в базах данных,
расположенных на российской территории,
и передавать эти данные иностранному
контрагенту в соответствии с правилами
трансграничной передачи данных и иных
положений, касающихся обработки ПД.
Комментарий к статье 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. В силу ч.1 комментируемой статьи на оператора ПД возлагается обязанность принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных комментируемым Законом и принятыми в соответствии с ним нормативными правовыми актами. При этом оператору предоставлено право самостоятельно определять состав и перечень мер. Исключения составляют случаи, предусмотренные комментируемым Законом или иными нормативно-правовыми актами, о которых будет рассказано ниже.
Далее законодатель в рекомендательном
порядке называет ряд таких мер. Одной из
важнейших мер является издание оператором ПД,
являющимся юридическим лицом, локальных
документов по вопросам обработки и
защиты персональных данных в
организации. Закон не устанавливает четкого перечня
документов. Но сложившаяся практика
позволяет назвать тот минимум
документов, который должна разработать и
утвердить каждая организация. Это:
- приказ о создании комиссии по защите
персональных данных с наделением ее
полномочиями по проведению всех
мероприятий, касающихся организации
защиты персональных данных;
- положение об обработке персональных
данных и их защите;
- приказ об утверждении Положения об
обработке персональных данных и их
защите;
- инструкция по обеспечению безопасности
персональных данных;
- инструкция по обработке, хранению и
движению документов;
- приказы о возложении персональной
ответственности за обработку и защиту
персональных данных;
- методические документы, детализирующие
процессы защиты персональных данных
конкретными сотрудниками или
отделениями организации;
- типовая форма письменных согласий на
обработку персональных данных, в
случаях, когда такая форма требуется в
соответствии с комментируемым Законом;
- типовая форма договоров на обработку
персональных данных третьим лицом;
- перечень обрабатываемых персональных
данных;
- перечень информационных систем,
обрабатывающих персональные данные;
- документы, определяющие порядок
автоматизированной обработки
персональных данных, если такая
обработка данных ведется в организации;
- регламент допуска сотрудников к
обработке персональных данных;
- перечень допущенных сотрудников к
обработке персональных данных;
- должностные инструкции сотрудников,
имеющих отношение к обработке
персональных данных.
Важно учитывать, что требования,
установленные комментируемой статьей к
оператору ПД, являющемуся юридическим
лицом, должны быть выполнены оператором
ПД даже в том случае, если:
- в организации работает всего 1-2
сотрудника;
- организация не обязана направлять в
Роскомнадзор уведомление о начале
обработки ПД согласно ст.22
комментируемого Закона;
- организация осуществляет только
неавтоматизированную обработку ПД;
- организация осуществляет обработку
только той категории ПД, для обработки
которой получения согласия субъекта ПД
не требуется.
Одним из важнейших требований к
обработке ПД является требование об
осуществлении внутреннего контроля и
(или) аудита соответствия обработки ПД
комментируемому Закону и принятым в
соответствии с ним нормативным правовым
актам, требованиям к защите ПД, политике
оператора в отношении обработки
персональных данных, локальным актам
оператора. Поэтому операторы должны
позаботиться о регулярном проведении
соответствующих проверок внутри своей
организации.
Рекомендуется любым организациям,
обрабатывающим ПД, при разработке
собственных мер, направленных на защиту
ПД в организации, учитывать также
некоторые рекомендации, изложенные для
государственных и муниципальных органов
в комментарии к ч.3 анализируемого
Закона.
По мнению некоторых исследователей,
реализация на практике мер,
перечисленных в комментируемой статье,
может быть затруднительна. Так, по мнению
А.И.Савельева, применительно к сфере
электронной коммерции "в качестве
обязательной меры для реализации всеми
субъектами электронной коммерции
выступает мера N 2. В соответствии с ч.2
ст.18.1 комментируемого Закона оператор,
осуществляющий сбор персональных данных
с использованием
информационно-телекоммуникационных
сетей, обязан опубликовать в
соответствующей
информационно-телекоммуникационной
сети документ, определяющий его политику
в отношении обработки ПД, и сведения о
реализуемых требованиях к защите
персональных данных, а также обеспечить
возможность доступа к указанному
документу с использованием средств
соответствующей
информационно-телекоммуникационной
сети. Таким образом, наличие на веб-сайте
субъекта, осуществляющего
предпринимательскую деятельность в сети
Интернет, которая так или иначе связана с
обработкой ПД, политики
конфиденциальности (privacy policy) является не
просто отражением современных "лучших
практик" (best practices), но и требованием
комментируемого Закона. Однако
наибольшие сложности в практическом
плане представляет реализация меры N 3, а
именно определение необходимого уровня
принимаемых организационных и
технических мер по защите персональных
данных от неправомерного или случайного
доступа к ним, уничтожения, изменения,
блокирования, копирования,
распространения, а также от иных
неправомерных действий.
Савельев А.И. Электронная
коммерция в России и за рубежом: правовое
регулирование. М.: Статут, 2014.
2. Частью 2 комментируемой статьи на оператора ПД возлагается обязанность обеспечить неограниченный доступ к Положению о порядке защиты и обработки персональных данных и иным локальным документам оператора ПД, определяющим его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите персональных данных.
Такой доступ может быть предоставлен:
- путем опубликования указанных
документов;
- любым иным образом на усмотрение
оператора ПД.
Однако на
оператора ПД, осуществляющего сбор
персональных данных с использованием
информационно-телекоммуникационных
сетей, законодатель возлагает
дополнительную обязанность -
опубликовать указанные выше документы в
соответствующей
информационно-телекоммуникационной
сети и обеспечить возможность доступа к
указанному документу с использованием
средств соответствующей
информационно-телекоммуникационной
сети. То есть, владельцы веб-сайтов
обязаны опубликовать Положение о защите
и порядке обработки персональных данных
посетителей их ресурсов на
соответствующем сайте и обеспечить
доступ к таким документам
неограниченного круга лиц.
3. Постановлением Правительства РФ от 21 марта 2012 года N 211 утвержден перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных комментируемым Законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. Рекомендуется иным организациям, обрабатывающим ПД, также учитывать рекомендации упомянутого выше документа при разработке собственных мер, направленных на защиту ПД в организации.
Указанный документ возлагает на
операторов ПД, являющихся
государственными или муниципальными
органами, обязанность назначать ответственного за
организацию обработки персональных
данных в государственном или
муниципальном органе из числа служащих
данного органа.
Актом руководителя государственного или
муниципального органа утверждаются следующие
документы:
- правила обработки персональных данных,
устанавливающие процедуры, направленные
на выявление и предотвращение нарушений
законодательства РФ в сфере
персональных данных, а также
определяющие для каждой цели обработки
персональных данных содержание
обрабатываемых персональных данных,
категории субъектов, персональные
данные которых обрабатываются, сроки их
обработки и хранения, порядок
уничтожения при достижении целей
обработки или при наступлении иных
законных оснований;
- правила рассмотрения запросов
субъектов персональных данных или их
представителей;
- правила осуществления внутреннего
контроля соответствия обработки
персональных данных требованиям к
защите персональных данных,
установленным комментируемым Законом,
принятыми в соответствии с ним
нормативными правовыми актами и
локальными актами оператора;
- правила работы с обезличенными
данными;
- перечень информационных систем
персональных данных;
- перечни персональных данных,
обрабатываемых в государственном или
муниципальном органе в связи с
реализацией трудовых отношений, а также
в связи с оказанием государственных или
муниципальных услуг и осуществлением
государственных или муниципальных
функций;
- перечень должностей служащих
государственного или муниципального
органа, ответственных за проведение
мероприятий по обезличиванию
обрабатываемых персональных данных;
- перечень должностей служащих
государственного или муниципального
органа, замещение которых
предусматривает осуществление
обработки персональных данных либо
осуществление доступа к персональным
данным;
- должностная инструкция ответственного
за организацию обработки персональных
данных в государственном или
муниципальном органе;
- типовое обязательство служащего
государственного или муниципального
органа, непосредственно осуществляющего
обработку персональных данных, в случае
расторжения с ним государственного или
муниципального контракта прекратить
обработку персональных данных, ставших
известными ему в связи с исполнением
должностных обязанностей;
- типовая форма согласия на обработку
персональных данных служащих
государственного или муниципального
органа, иных субъектов персональных
данных, а также типовая форма
разъяснения субъекту персональных
данных юридических последствий отказа
предоставить свои персональные данные;
- порядок доступа служащих
государственного или муниципального
органа в помещения, в которых ведется
обработка персональных данных.
Если государственный или муниципальный
орган является оператором информационных
систем, то он обязан принимать правовые,
организационные и технические меры по
обеспечению безопасности персональных
данных при их обработке,
предусмотренные, в частности:
- постановлением Правительства РФ от 1
декабря 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных";
- приказом ФСТЭК России от 11 февраля 2013
года N 17 "Об утверждении Требований о
защите информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах";
- приказом ФСБ РФ от 9 февраля 2005 года N 66
"Об утверждении Положения о
разработке, производстве, реализации и
эксплуатации шифровальных
(криптографических) средств защиты
информации (Положение ПКЗ-2005)".
При
обработке персональных данных,
осуществляемой без использования
средств автоматизации,
государственные или муниципальные
органы выполняют требования,
установленные постановлением
Правительства РФ от 15 сентября 2008 года N
687 "Об утверждении Положения об
особенностях обработки персональных
данных, осуществляемой без
использования средств
автоматизации".
Государственный или муниципальный орган
также обязан организовывать проведение
периодических проверок условий
обработки персональных данных. Такие
проверки осуществляются ответственным
за организацию обработки персональных
данных в государственном или
муниципальном органе либо комиссией,
образуемой руководителем
государственного или муниципального
органа. О результатах проведенной
проверки и мерах, необходимых для
устранения выявленных нарушений,
руководителю органа докладывает
ответственный за организацию обработки
персональных данных либо председатель
комиссии.
Государственный или муниципальный
орган, являющийся оператором ПД, должен
знакомить
своих служащих с положениями
законодательства РФ о персональных
данных (в том числе с требованиями к
защите персональных данных), локальными
актами по вопросам обработки
персональных данных и (или) организовать
обучение указанных служащих.
В случаях, предусмотренных ст.22
комментируемого Закона, государственный
или муниципальный орган также уведомляет
Роскомнадзор об обработке (намерении
осуществлять обработку) персональных
данных.
Государственный или муниципальный орган
в соответствии с требованиями,
установленными Роскомнадзором, осуществляет
обезличивание персональных данных,
обрабатываемых в информационных
системах персональных данных, в том
числе созданных и функционирующих в
рамках реализации федеральных целевых
программ.
Документы, определяющие политику в
отношении обработки персональных
данных, подлежат опубликованию на
официальном сайте государственного
или муниципального органа в течение 10
дней после их утверждения.
4. В том
случае, если от представителя
Роскомнадзора в адрес оператора ПД
поступит запрос о необходимости
предоставить документы, перечисленные в
ч.1 комментируемой статьи, а также
доказательства того, что меры по защите
персональных данных в соответствии с
комментируемым Законом приняты, то
оператор ПД в силу ч.4 комментируемой
статьи обязан будет это сделать в
указанные в запросе сроки.
Комментарий к статье 19. Меры по обеспечению безопасности персональных данных при их обработке
1.
Законодатель возлагает на оператора ПД
обязанность принимать необходимые
правовые, организационные и технические
меры для защиты данных или обеспечивать
их принятие:
- от неправомерного или случайного
доступа к ним;
- от уничтожения, изменения,
блокирования, копирования,
распространения;
- от иных неправомерных действий.
2. Частью 2 комментируемой статьи законодатель определяет перечень мер, обеспечивающих безопасность персональных данных.
При этом обеспечение безопасности ПД
должно осуществляться в соответствии с
методическими документами Федеральной
службы по техническому и экспортному
контролю (ФСТЭК России), такими, как:
- приказ Федеральной службы по
техническому и экспортному контролю от 18
февраля 2013 года N 21 "Об утверждении
Состава и содержания организационных и
технических мер по обеспечению
безопасности персональных данных при их
обработке в информационных системах
персональных данных";
- Методика определения актуальных угроз
безопасности персональных данных при их
обработке в информационных системах
персональных данных (утв. Федеральной
службой по техническому и экспортному
контролю 14 февраля 2008 года);
- "Базовая модель угроз безопасности
персональных данных при их обработке в
информационных системах персональных
данных" от 15 февраля 2008 года.
Кроме того, для обеспечения безопасности
ПД должны применяться следующие
нормативные правовые акты:
- приказ ФСБ России от 10 июля 2014 года N 378
"Об утверждении Состава и содержания
организационных и технических мер по
обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных с
использованием средств
криптографической защиты информации,
необходимых для выполнения
установленных Правительством
Российской Федерации требований к
защите персональных данных для каждого
из уровней защищенности";
- постановление Правительства РФ от 1
декабря 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных";
- приказ ФСТЭК России от 11 февраля 2013 года
N 17 "Об утверждении Требований о защите
информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах".
На основании анализа комментируемого
Закона выделим некоторые требования,
которые должен учитывать оператор ПД для
обеспечения безопасности и защиты
данных в процессе их обработки.
Во-первых, всем операторам ПД необходимо
закрепить документально основные
понятия обработки ПД, такие как цель
обработки; способы обработки; сведения о
лицах, имеющих доступ к ПД; перечень
обрабатываемых ПД; источник получения;
сроки обработки и хранения ПД и т.п.
Во-вторых, организациям следует
установить сроки хранения ПД. При этом
необходимо заранее продумать
обоснование выбранных сроков хранения.
В-третьих, мероприятия по обеспечению
безопасности ПД при их обработке в
информационных системах должны включать
в себя учет лиц, допущенных к работе с ПД
в информационных системах. Нужно
помнить, что лица, доступ которых к ПД,
обрабатываемым в информационной
системе, необходим для выполнения
служебных обязанностей, должны
допускаться к таким данным на основании
списка, утвержденного уполномоченным
лицом оператора ПД.
В-четвертых, оператором ПД должны быть
реализованы следующие механизмы
защиты:
- регистрация и учет;
- обеспечение целостности;
- обеспечение антивирусной защиты.
Функционал, который должны выполнять
данные механизмы, определен в
методических документах ФСБ России и
ФСТЭК России по защите ПД. Такие
механизмы призваны предотвращать
несанкционированный доступ к ПД и
обеспечивать своевременное обнаружение
фактов несанкционированного доступа к
ним.
В-пятых, оператору ПД следует
разработать ряд локальных документов, о
которых рассказывалось в комментарии к
статье 18.1 Закона.
3.
Частью 3 комментируемой статьи
законодатель предоставляет
Правительству РФ право устанавливать:
- уровни
защищенности персональных данных
при их обработке в информационных
системах персональных данных в
зависимости от угроз безопасности этих
данных;
- требования к защите персональных
данных при
их обработке в информационных системах
персональных данных, исполнение
которых обеспечивает установленные
уровни защищенности персональных
данных;
- требования
к материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных.
Основные требования к обеспечению
безопасности ПД при их обработке в
информационных системах содержатся в
постановлении Правительства РФ от 1
декабря 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных".
Обеспечение безопасности ПД при их
обработке в информационной системе
возлагается на оператора этой системы
или лицо, осуществляющее обработку
данных по поручению оператора на
основании заключаемого с этим лицом
договора.
При этом под актуальными угрозами
безопасности ПД понимается совокупность
условий и факторов, создающих актуальную
опасность несанкционированного, в том
числе случайного, доступа к ПД при их
обработке в информационной системе,
результатом которого могут стать
уничтожение, изменение, блокирование,
копирование, предоставление,
распространение ПД, а также иные
неправомерные действия.
Выделяют три типа угроз:
- угрозы 1-го типа актуальны для
информационной системы, если для нее в
том числе актуальны угрозы, связанные с
наличием недокументированных
(недекларированных) возможностей в
системном программном обеспечении,
используемом в информационной системе;
- угрозы 2-го типа актуальны для
информационной системы, если для нее в
том числе актуальны угрозы, связанные с
наличием недокументированных
(недекларированных) возможностей в
прикладном программном обеспечении,
используемом в информационной системе;
- угрозы 3-го типа актуальны для
информационной системы, если для нее
актуальны угрозы, не связанные с
наличием недокументированных
(недекларированных) возможностей в
системном и прикладном программном
обеспечении, используемом в
информационной системе.
При обработке ПД в информационных
системах устанавливаются 4 уровня
защищенности ПД. Так, необходимость
обеспечения 1-го уровня защищенности ПД
устанавливается при наличии хотя бы
одного из следующих условий:
- для информационной системы актуальны
угрозы 1-го типа и информационная система
обрабатывает либо специальные категории
ПД, либо биометрические ПД, либо иные
категории ПД;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает специальные категории ПД
более чем 100000 субъектов ПД, не являющихся
сотрудниками оператора.
Необходимость обеспечения 2-го уровня
защищенности ПД устанавливается при
наличии хотя бы одного из следующих
условий:
- для информационной системы актуальны
угрозы 1-го типа и информационная система
обрабатывает общедоступные ПД;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает специальные категории ПД
сотрудников оператора или специальные
категории ПД менее чем 100000 субъектов ПД,
не являющихся сотрудниками оператора;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает биометрические ПД;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает общедоступные ПД более чем
100000 субъектов персональных данных, не
являющихся сотрудниками оператора;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает иные категории ПД более чем
100000 субъектов ПД, не являющихся
сотрудниками оператора;
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает специальные категории ПД
более чем 100000 субъектов персональных
данных, не являющихся сотрудниками
оператора.
Необходимость обеспечения 3-го уровня
защищенности ПД устанавливается при
наличии хотя бы одного из следующих
условий:
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает общедоступные ПД
сотрудников оператора или общедоступные
ПД менее чем 100000 субъектов персональных
данных, не являющихся сотрудниками
оператора;
- для информационной системы актуальны
угрозы 2-го типа и информационная система
обрабатывает иные категории ПД
сотрудников оператора или иные
категории ПД менее чем 100000 субъектов ПД,
не являющихся сотрудниками оператора;
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает специальные категории ПД
сотрудников оператора или специальные
категории ПД менее чем 100000 субъектов
персональных данных, не являющихся
сотрудниками оператора;
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает биометрические ПД;
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает иные категории ПД более чем
100000 субъектов ПД, не являющихся
сотрудниками оператора.
И, наконец, необходимость обеспечения
4-го уровня защищенности ПД
устанавливается при наличии хотя бы
одного из следующих условий:
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает общедоступные ПД;
- для информационной системы актуальны
угрозы 3-го типа и информационная система
обрабатывает иные категории ПД
сотрудников оператора или иные
категории ПД менее чем 100000 субъектов ПД,
не являющихся сотрудниками оператора.
Специальные требования к обеспечению
безопасности разного уровня
защищенности ПД при их обработке в
информационных системах установлены в
п.13-16 Требований к защите ПД при их
обработке в информационных системах
персональных данных, утвержденных
постановлением Правительства РФ от 1
декабря 2012 года N 1119 "Об утверждении
требований к защите персональных данных
при их обработке в информационных
системах персональных данных".
Кроме того состав и содержания
организационных и технических мер по
обеспечению безопасности ПД при их
обработке в информационных системах с
использованием средств
криптографической защиты информации,
для каждого из уровней защищенности,
утверждены приказом ФСБ России от 10 июля
2014 года N 378. Указанным документом следует
руководствоваться операторам,
использующим средства
криптографической защиты информации для
обеспечения безопасности ПД при их
обработке в информационных системах.
Требования к материальным носителям
биометрических персональных данных и
технологиям хранения таких данных вне
информационных систем персональных
данных содержатся в постановление
Правительства РФ от 6 июля 2008 года N 512
"Об утверждении требований к
материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных".
Состав и содержание организационных и
технических мер по обеспечению
безопасности ПД при их обработке в
информационных системах ПД утверждены
также приказом ФСТЭК России от 18 февраля
2013 года N 21. В силу указанного документа в
состав мер по обеспечению безопасности
ПД, реализуемых в рамках системы защиты
ПД с учетом актуальных угроз
безопасности ПД и применяемых
информационных технологий, входят:
- идентификация и аутентификация
субъектов доступа и объектов доступа;
- управление доступом субъектов доступа
к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации,
на которых хранятся и (или)
обрабатываются персональные данные
(далее - машинные носители персональных
данных);
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение)
вторжений;
- контроль (анализ) защищенности
персональных данных;
- обеспечение целостности
информационной системы и персональных
данных;
- обеспечение доступности персональных
данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее
средств, систем связи и передачи
данных;
- выявление инцидентов (одного события
или группы событий), которые могут
привести к сбоям или нарушению
функционирования информационной
системы и (или) к возникновению угроз
безопасности персональных данных (далее
- инциденты), и реагирование на них;
- управление конфигурацией
информационной системы и системы защиты
персональных данных.
Необходимо учитывать, что требования о
защите информации, не составляющей
государственную тайну, содержащейся в
государственных информационных
системах, утверждены приказом ФСТЭК
России от 11 февраля 2013 года N 17. При
обработке в государственной
информационной системе информации,
содержащей ПД, указанный документ
применяется вместе с постановлением
Правительства РФ от 1 ноября 2012 года N 1119.
В приказе ФСТЭК России от 11 февраля 2013
года N 17, в частности, указывается, что в
информационной системе объектами защиты
являются:
- информация, содержащаяся в
информационной системе;
- технические средства (в том числе
средства вычислительной техники,
машинные носители информации, средства и
системы связи и передачи данных,
технические средства обработки
буквенно-цифровой, графической, видео- и
речевой информации);
- общесистемное, прикладное, специальное
программное обеспечение;
- информационные технологии;
- средства защиты информации.
При этом организационные и технические
меры защиты в зависимости от информации,
содержащейся в информационной системе,
целей создания информационной системы и
задач, решаемых этой информационной
системой, должны быть направлены на
исключение:
- неправомерных доступа, копирования,
предоставления или распространения
информации (обеспечение
конфиденциальности информации);
- неправомерных уничтожения или
модифицирования информации (обеспечение
целостности информации);
- неправомерного блокирования
информации (обеспечение доступности
информации).
Для обеспечения защиты информации,
содержащейся в информационной системе,
проводятся следующие мероприятия:
- формирование требований к защите
информации, содержащейся в
информационной системе;
- разработка системы защиты информации
информационной системы;
- внедрение системы защиты информации
информационной системы;
- аттестация информационной системы по
требованиям защиты информации (далее -
аттестация информационной системы) и
ввод ее в действие;
- обеспечение защиты информации в ходе
эксплуатации аттестованной
информационной системы;
- обеспечение защиты информации при
выводе из эксплуатации аттестованной
информационной системы или после
принятия решения об окончании обработки
информации.
Обращаем внимание, что выбор и
реализация методов и способов защиты
информации в информационной системе
осуществляются на основе определяемых
оператором (уполномоченным лицом) угроз
безопасности ПД (модели угроз) и в
зависимости от класса информационной
системы, определенного в соответствии с
Порядком проведения классификации
информационных систем персональных
данных, утвержденным приказом ФСТЭК
России, ФСБ России и Мининформсвязи
России от 13 февраля 2008 года N 55/86/20.
Таким образом, при обработке ПД в
информационной системе должно быть
обеспечено:
- проведение мероприятий, направленных
на предотвращение несанкционированного
доступа к ПД и (или) передачи их лицам, не
имеющим права доступа к такой
информации;
- своевременное обнаружение фактов
несанкционированного доступа к ПД;
- недопущение воздействия на технические
средства автоматизированной обработки
ПД, в результате которого может быть
нарушено их функционирование;
- возможность незамедлительного
восстановления ПД, модифицированных или
уничтоженных вследствие
несанкционированного доступа к ним;
- постоянный контроль за обеспечением
уровня защищенности ПД.
Обработка ПД может осуществляться как в
информационных системах ПД, так и без
использования средств автоматизации.
Часто операторы ПД, владея большими
базами данных, все же не могут
определиться, обрабатывать ли им данные
вручную или с помощью средств
автоматизации. Из содержания
комментируемого Закона улавливается,
что оператор должен самостоятельно
принимать решение о форме обработки ПД.
Особые требования предъявляются
законодателем и к материальным
носителям биометрических ПД, а также к
технологиям хранения таких данных вне
информационных систем ПД. Такие
требования установлены в постановлении
Правительства РФ от 6 июля 2008 года N 512
"Об утверждении требований к
материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных".
4. В ч.4 комментируемой статьи определяются органы, которые наделяются правом устанавливать состав и содержание требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ПД. Такими органами являются:
- Федеральная служба безопасности
Российской Федерации;
- Федеральная служба по техническому и
экспортному контролю.
В целях реализации обозначенных
полномочий указанными органами были
приняты следующие акты:
- приказ ФСБ России от 10 июля 2014 года N 378
"Об утверждении Состава и содержания
организационных и технических мер по
обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных с
использованием средств
криптографической защиты информации,
необходимых для выполнения
установленных Правительством
Российской Федерации требований к
защите персональных данных для каждого
из уровней защищенности";
- приказ Федеральной службы по
техническому и экспортному контролю от 18
февраля 2013 года N 21 "Об утверждении
Состава и содержания организационных и
технических мер по обеспечению
безопасности персональных данных при их
обработке в информационных системах
персональных данных".
5. Частью 5 комментируемой статьи законодатель определяет органы, имеющие право в пределах своих полномочий принимать нормативные правовые акты, в которых определяются угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах ПД, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания ПД, характера и способов их обработки. Такими органами являются:
- федеральные органы исполнительной
власти, осуществляющие функции по
выработке государственной политики и
нормативно-правовому регулированию в
установленной сфере деятельности;
- органы государственной власти
субъектов РФ;
- Банк России;
- органы государственных внебюджетных
фондов;
- иные государственные органы.
6. В ч.6 комментируемой статьи законодатель предоставляет дополнительные права ассоциациям, союзам и иным объединениям операторов ПД. Они могут своими решениями самостоятельно определить дополнительные угрозы безопасности ПД, актуальные при обработке персональных данных в информационных системах ПД, эксплуатируемых при осуществлении определенных видов деятельности членами таких организаций.
7.
Согласно ч.7 комментируемой статьи
подлежат согласованию с ФСТЭК России и
ФСБ России:
- проекты нормативных правовых актов,
которые вправе принимать органы,
перечисленные в ч.5 комментируемой
статьи;
- проекты решений, указанных в ч.6
комментируемой статьи.
В случае, если ФСТЭК России и ФСБ России
отказали в согласовании вышеуказанных
проектов и решений, то такой отказ должен
быть мотивированным.
8. Частью 8 комментируемой статьи ФСТЭК России и ФСБ России наделяются также правом осуществлять контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности ПД при обработке данных в государственных информационных системах персональных данных без права ознакомления с указанными персональными данными.
9. В
силу ч.9 комментируемой статьи ФСТЭК
России и ФСБ России могут наделяться
полномочиями по контролю за выполнением
организационных и технических мер по
обеспечению безопасности ПД при их
обработке в информационных системах
персональных данных, эксплуатируемых
при осуществлении определенных видов
деятельности и не являющихся государственными
информационными системами персональных
данных, без права ознакомления с
указанными персональными данными.
10.
Часть 10 комментируемой статьи
определяет условия использования и
хранения биометрических ПД вне
информационных систем ПД. Такими
условиями являются:
- использование биометрических ПД может
осуществляться только на материальных
носителях информации;
- должна применяться технология хранения
информации, которая будет обеспечивать
защиту этих данных от неправомерного или
случайного доступа к ним, уничтожения,
изменения, блокирования, копирования,
распространения.
Порядок использования и хранения
биометрических ПД вне информационных
систем ПД закреплен также в
постановлении Правительства РФ от 6 июля
2008 года N 512 "Об утверждении требований
к материальным носителям биометрических
персональных данных и технологиям
хранения таких данных вне
информационных систем персональных
данных" и анализировался в
комментарии к ст.11 Закона.
11. В ч.11
комментируемой статьи для целей
комментируемого Закона раскрываются
понятия "угрозы безопасности
персональных данных" и "уровень
защищенности персональных данных".
Комментарий к статье 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1.
Комментируемая статья по своей сути
дополняет ст.14, 18 Закона. Так, в ответ на
запрос субъекта ПД или его представителя
о предоставлении информации о ПД,
относящихся к этому субъекту, оператор
ПД обязан:
- сообщить субъекту ПД или его
представителю информацию о наличии
данных, относящихся к соответствующему
субъекту ПД;
- предоставить возможность ознакомления
с этими данными.
Предоставление возможности
ознакомления с ПД должно быть
организовано оператором:
- при обращении субъекта ПД или его
представителя;
- либо в течение тридцати дней с даты
получения запроса субъекта ПД или его
представителя.
В случае невыполнения указанных выше
требований субъект ПД вправе обратиться
за защитой своих прав в суд. Рассмотрим
примеры из судебной практики.
Пример 1.
Истица обратилась в суд с требованием о
возложении обязанности на ответчика
предоставить ей информацию об обработке
ПД, и о взыскании денежной компенсации
морального вреда в связи с тем, что ей
ответчиком не была предоставлена
запрашиваемая ею информация по
истечении 30 дней со дня направления
запроса. Однако, по мнению суда,
доказательств личного обращения истицы
к ответчику с предъявлением паспорта, а
также оформления запроса в соответствии
с требованиями закона представлено не
было, поэтому каких-либо нарушений прав
истицы и злоупотребления своими правами
со стороны ответчика судом не было
установлено. На основании указанного суд
отказал в удовлетворении требований
истицы (см. апелляционное определение
Московского городского суда от 16 декабря
2015 года по делу N 33-47309/2015).
Пример 2.
Истец обратился в суд по аналогичному
делу: непредоставление ему от оператора
ПД запрашиваемой информации по
истечении 30 дней со дня направления
запроса. Истец посчитал такие действия
ответчика незаконными и потребовал
исполнения обязанности в натуре, а также
возмещения морального вреда. Суд
апелляционной инстанции удовлетворил
требования истца (см. апелляционное
определение Московского городского суда
от 14 декабря 2015 года по делу N 33-47059/2015).
2. В
ряде случаев субъекту ПД оператором
может быть отказано в предоставлении
информации о данных субъекта ПД.
Это возможно если:
- обработка персональных данных, включая
персональные данные, полученные в
результате оперативно-розыскной,
контрразведывательной и
разведывательной деятельности,
осуществляется в целях обороны страны,
безопасности государства и охраны
правопорядка;
- обработка персональных данных
осуществляется органами, осуществившими
задержание субъекта персональных данных
по подозрению в совершении преступления,
либо предъявившими субъекту
персональных данных обвинение по
уголовному делу, либо применившими к
субъекту персональных данных меру
пресечения до предъявления обвинения, за
исключением предусмотренных
уголовно-процессуальным
законодательством РФ случаев, если
допускается ознакомление
подозреваемого или обвиняемого с такими
персональными данными;
- обработка персональных данных
осуществляется в соответствии с
законодательством о противодействии
легализации (отмыванию) доходов,
полученных преступным путем, и
финансированию терроризма;
- доступ субъекта персональных данных к
его персональным данным нарушает права и
законные интересы третьих лиц;
- обработка персональных данных
осуществляется в случаях,
предусмотренных законодательством РФ о
транспортной безопасности, в целях
обеспечения устойчивого и безопасного
функционирования транспортного
комплекса, защиты интересов личности,
общества и государства в сфере
транспортного комплекса от актов
незаконного вмешательства.
Отказ в предоставлении информации о ПД
должен быть:
- мотивированным;
- оформленным в письменном виде;
- содержать ссылку на положение ч.8 ст.14
комментируемого Закона или иного
федерального закона, являющееся
основанием для такого отказа;
- должен быть передан субъекту ПД или его
законному представителю в срок, не
превышающий тридцати дней со дня
обращения субъекта ПД или его
представителя, либо с даты получения
запроса субъекта ПД или его
представителя.
3.
Оператор обязан:
- безвозмездно предоставить субъекту ПД
или его представителю возможность
ознакомления с данными, относящимися к
соответствующему субъекту ПД;
- в срок, не
превышающий семи рабочих дней со дня
предоставления субъектом ПД или его
представителем сведений,
подтверждающих, что данные являются
неполными, неточными или неактуальными,
внести в них необходимые изменения;
- в срок, не
превышающий семи рабочих дней со дня
представления субъектом ПД или его
представителем сведений,
подтверждающих, что такие данные
являются незаконно полученными или не
являются необходимыми для заявленной
цели обработки, уничтожить такие
данные;
- уведомить субъекта ПД или его
представителя о внесенных изменениях и
предпринятых мерах и принять разумные
меры для уведомления третьих лиц,
которым персональные данные этого
субъекта были переданы.
4. В том
случае, если оператором получен запрос
от Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций (Роскомнадзор), то
оператор обязан предоставить
необходимую информацию в течение
тридцати дней с даты получения такого
запроса. Например, в силу ч.4 ст.18.1
комментируемого Закона по запросу
Роскомнадзора оператор обязан
представить документы и локальные акты,
указанные в ч.1 ст.18.1.
Невыполнение в установленный законом
срок требования Роскомнадзора,
предусмотренного ч.4 комментируемой
статьи, может привести к привлечению
оператора ПД к административной
ответственности по ст.19.7 КоАП РФ (см.,
например, постановление Верховного суда
Республики Саха (Якутия) от 14 июля 2015 года
N 4а-339/2015).
Комментарий к статье 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
1. В ч.1
комментируемой статьи законодатель
определяет порядок действий оператора
ПД при обращении или по запросу субъекта
данных или его представителя либо
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций (Роскомнадзор) в
случаях:
- выявления неточных ПД;
- выявления неправомерных действий с
ПД.
В первом из указанных случаев оператор
ПД обязан осуществить блокирование
персональных данных, относящихся к этому
субъекту ПД, или обеспечить их
блокирование (если обработка
персональных данных осуществляется
другим лицом, действующим по поручению
оператора). Указанные действия оператор
ПД осуществляет с момента такого
обращения или получения указанного
запроса на период проверки при условии,
что блокирование ПД не нарушает права и
законные интересы субъекта ПД или
третьих лиц.
Во втором из указанных выше случаев
оператор ПД обязан осуществить
блокирование неправомерно
обрабатываемых ПД, относящихся к этому
субъекту данных, или обеспечить их
блокирование (если обработка
персональных данных осуществляется
другим лицом, действующим по поручению
оператора) так же, как и первом случае, с
момента такого обращения или получения
указанного запроса на период проверки.
В случае невыполнения оператором ПД
указанных выше требований субъект ПД
вправе обратиться в суд за защитой своих
прав.
Пример из
судебной практики. Истец обратился в
суд с иском к банку о признании его
действий незаконными, взыскании
морального вреда. Истец указал, что
договор банковского вклада является
договором присоединения, поэтому у него
не было возможности участвовать в
определении условий договора,
касающихся обработки его ПД. Поэтому он
направил ответчику заявление об отзыве
своего согласия на обработку ПД, но
ответчик ответа на заявление не
предоставил. Кроме того после этого на
мобильный телефон истца поступило
SMS-сообщение от банка, содержащее
информацию рекламного характера. Истцом
в адрес ответчика была направлена
претензия с требованием прекратить
обработку его ПД, не допускать
направление ему рекламы ответчика,
возместить убытки, понесенные в связи с
направлением сообщения, компенсировать
моральный вред, которая была оставлена
без ответа. Изучив материалы дела, суд
удовлетворил требование частично,
поскольку истец воспользовался своим
правом отказаться от согласия на
рассылку информации рекламного
характера, в деле представлено письмо,
направленное ответчику, об отказе в
обработке данных и ответ ответчика на
полученное письмо (см. апелляционное
определение Новосибирского областного
суда от 2 апреля 2015 года по делу N 33-2034/2015).
2.
Получив информацию о неточности ПД, в
соответствии с ч.1 комментируемой статьи
оператор обязан:
- блокировать ПД;
- на основании сведений или иных
необходимых документов, представленных
субъектом ПД или его представителем либо
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций (Роскомнадзор),
осуществить проверку данных на предмет
подтверждения (опровержения) факта
неточности ПД;
- уточнить ПД в течение семи рабочих дней со дня
представления сведений;
- снять блокирование с ПД.
В случае, если обработка ПД
осуществляется другим лицом,
действующим по поручению оператора, то
оператор ПД обязан в указанный выше срок
обеспечить уточнение таких персональных
данных.
3. Частью 3 комментируемой статьи законодатель устанавливает сроки, в течение которых оператор ПД обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора в случае неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора. Оператор ПД обязан это сделать в течение трех рабочих дней с даты выявления неправомерных действий. Если устранить допущенные нарушения по каким-либо причинам не представляется возможным, оператор обязан в течение десяти рабочих дней уничтожить ПД или обеспечить их уничтожение.
Напомним, что уничтожение ПД - это
действия, в результате которых
невозможно восстановить содержание ПД в
информационной системе данных (и) или в
результате которых уничтожаются
материальные носители ПД.
После устранения допущенных нарушений
или после уничтожения ПД оператор обязан
об этом уведомить субъекта ПД или его
представителя, а в случае, если обращение
или запрос были направлены Федеральной
службой по надзору в сфере связи,
информационных технологий и массовых
коммуникаций (Роскомнадзор), то также
указанный орган.
4. Часть
4 комментируемой статьи конкретизирует
один из принципов обработки ПД,
изложенный в ч.2 ст.5 Закона, - обработка
персональных данных должна
ограничиваться достижением конкретных,
заранее определенных и законных целей.
Как упоминалось выше, по сравнению с
предыдущей редакцией комментируемой
статьи изменился общий срок уничтожения
персональных данных оператором в случае
достижения цели обработки персональных
данных. Поэтому применительно к
правоотношениям до 1 июля 2011 года
указанный срок составляет три рабочих дня с даты
достижения цели обработки персональных
данных, а к правоотношениям, возникшим
после 1 июля 2011 года, - тридцать дней.
Так, например, если гражданин обратился в
кадровое агентство с целью содействия в
трудоустройстве и с этой целью
предоставил свои ПД, то после получения
гражданином работы кадровое агентство
обязано удалить его данные.
Законодатель предусмотрел исключения из
правила, содержащегося в ч.4
комментируемой статьи. Иные условия могут быть
предусмотрены договором, стороной
которого, выгодоприобретателем или
поручителем по которому является
субъект персональных данных, иным
соглашением между оператором и
субъектом персональных данных либо если
оператор не вправе осуществлять
обработку персональных данных без
согласия субъекта ПД на основаниях,
предусмотренных комментируемым Законом
или другими федеральными законами.
5.
Согласно ч.2 ст.9 комментируемого Закона
согласие на обработку ПД может быть
отозвано субъектом ПД. В том случае, если
согласие на обработку ПД
предоставлялось в письменной форме,
порядок отзыва согласия должен
фиксироваться в содержании этого
документа. Частью 5 комментируемой
статьи законодатель регламентирует
дальнейшие действия оператора ПД после
получения им отзыва субъектом данных
согласия на обработку своих данных.
Оператор ПД обязан:
- прекратить обработку данных;
- уничтожить данные в срок, не
превышающий тридцати дней с даты
поступления указанного отзыва, если иное
не предусмотрено соглашением между
оператором и субъектом персональных
данных, или договором, стороной которого,
выгодоприобретателем или поручителем по
которому является субъект ПД, либо если
оператор не вправе осуществлять
обработку ПД без согласия субъекта
данных на основаниях, предусмотренных
комментируемым Законом или другими
федеральными законами.
Ситуации, когда оператор ПД имеет право
продолжить обработку данных в случае
отзыва субъектом ПД согласия,
перечислены в ч.2 ст.9 комментируемого
Закона.
Вместе с тем буквальный анализ
представленной нормы позволяет
отметить, что законодатель позволяет
оператору ПД и субъекту ПД
самостоятельно определять порядок
действий с ПД на основании соглашения,
заключенного сторонами.
В случаях, указанных в ч.4, 5
комментируемой статьи, Закон не
обязывает оператора уведомлять субъекта
ПД об уничтожении его данных. Это
остается на усмотрение оператора ПД.
Таким образом, применительно к
правоотношениям, возникшим до 1 июля 2011
года, срок для уничтожения персональных
данных составляет три рабочих дня с даты
поступления отзыва согласие на
обработку ПД, к правоотношениям,
возникшим после 1 июля 2011 года, - тридцать
дней с даты поступления отзыва.
6. Иной
срок уничтожения ПД предусмотрен для
случаев, когда невозможно уничтожить ПД
в течение срока, указанного в ч.3-5
комментируемой статьи. Оператор в этом
случае обеспечивает уничтожение
персональных данных в срок не более чем шесть
месяцев, предварительно осуществив
блокирование таких персональных данных.
Другой срок может быть предусмотрен
федеральными законами.
Комментарий к статье 22. Уведомление об обработке персональных данных
1. По
общему правилу, до начала обработки
персональных данных оператор обязан
уведомить уполномоченный орган по
защите прав субъектов персональных
данных о своем намерении осуществлять
обработку персональных данных.
2. В
ряде случаев законодатель позволяет
осуществлять обработку ПД без
предварительного уведомления о том
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций (Роскомнадзор).
Рассмотрим эти случаи.
Во-первых, оператор вправе осуществлять
без уведомления Роскомнадзора обработку
ПД, если такая обработка осуществляется
в соответствии с трудовым
законодательством.
Таким образом, если организация
обрабатывает только ПД своих
сотрудников, уведомлять Роскомнадзор ей
не потребуется. Однако, полагаем, в этом
контексте речь не идет о
гражданско-правовых отношениях. Поэтому
в отношении лиц, которые работают в
организации по договорам подряда или
возмездного оказания услуг,
воспользоваться данной нормой нельзя.
Во-вторых, оператор вправе не уведомлять
Роскомнадзор, если он обрабатывает ПД,
полученные в связи с заключением
договора, стороной которого является
субъект ПД. Но здесь существует ряд
ограничений. Воспользоваться этой
нормой права оператор может лишь при
выполнении ряда условий:
- ПД не должны распространяться;
- ПД не должны предоставляться третьим
лицам без согласия субъекта ПД;
- ПД должны использоваться оператором
исключительно для исполнения указанного
договора и заключения договоров с
субъектом ПД.
Например, если организация заключает с
рядом работников договоры
гражданско-правового характера и
выполняет вышеперечисленные условия,
уведомлять уполномоченный орган также
не потребуется.
В-третьих, не обязаны уведомлять
Роскомнадзор общественные объединения
или религиозные организации,
действующие в соответствии с
законодательством РФ, если:
- они обрабатывают только данные своих
членов (участников) для достижения
законных целей, предусмотренных их
учредительными документами;
- такие ПД не распространяются или не
раскрываются третьим лицам без согласия
в письменной форме субъектов ПД.
В-четвертых, не требуется уведомлять
Роскомнадзор, если оператор
обрабатывает только общедоступные
персональные данные, т.е. такие данные,
доступ неограниченного круга лиц к
которым предоставлен субъектом
персональных данных либо по его просьбе.
В-пятых, требования об уведомлении
Роскомнадзора перед началом обработки
ПД не распространяются на операторов,
обрабатывающих данные, содержащие
только фамилии, имена и отчества
субъектов ПД. Так, например, если
ресторан, резервируя столики за
посетителями, просит у граждан сообщить
их фамилию, имя и отчество, то такая
обработка данных может осуществляться
без уведомления Роскомнадзора.
В-шестых, в целях однократного пропуска
субъекта ПД на определенную территорию,
на которой находится оператор (например,
в гостиницу), или в иных аналогичных
целях (например, при выдаче гражданину
пропуска для разового посещения
организации) уведомлять уполномоченный
орган также не нужно.
В-седьмых, требование, указанное в
комментируемой статье, не
распространяется на обработку данных,
включенных в:
- информационные системы ПД, имеющие в
соответствии с федеральными законами
статус государственных
автоматизированных информационных
систем;
- в государственные информационные
системы ПД, созданные в целях защиты
безопасности государства и
общественного порядка.
В-восьмых, возможна обработка ПД без
предварительного уведомления
Роскомнадзора, если обработка
осуществляется без использования
средств автоматизации в соответствии с
требованиями постановления
Правительства РФ от 15 сентября 2008 года N
687 "Об утверждении Положения об
особенностях обработки персональных
данных, осуществляемой без
использования средств автоматизации".
Содержание этого документа
анализировалось в комментарии к ст.1
Закона.
Рассмотрим
пример из судебной практики. Истец
обратился в суд с исковым заявлением о
признании незаконным предписания об
устранении выявленного нарушения. Суд
установил, что в отношении истца было
вынесено предписание об устранении
нарушения по непредоставлению
уведомления по обработке ПД. Истец не
согласился с указанным предписанием, так
как считал, что им осуществляется
обработка ПД без использования средств
автоматизации. Изучив материалы дела,
суд удовлетворил требования истца,
указав, что поскольку ПД обрабатываются
истцом без использования средств
автоматизации, то отсутствует
необходимость направления уведомления
(см., например, апелляционное определение
Владимирского областного суда от 20
января 2015 года по делу N 33-139/2015).
Без предварительного уведомления
Роскомнадзора возможна обработка
персональных данных, обрабатываемых в
случаях, предусмотренных
законодательством РФ о транспортной
безопасности, в целях обеспечения
устойчивого и безопасного
функционирования транспортного
комплекса, защиты интересов личности,
общества и государства в сфере
транспортного комплекса от актов
незаконного вмешательства.
Кроме того государствам-участникам
разрешается оговорить, что об отдельных
либо всех неавтоматизированных
операциях по обработке, касающихся ПД,
должно делаться уведомление, либо
установить для таких операций
упрощенное уведомление.
3.
Частью 3 комментируемой статьи
законодателем устанавливаются
требования к содержанию уведомления,
которое в соответствии с ч.1 направляется
оператором ПД в Роскомнадзор.
Приказом Минкомсвязи России от 21 декабря
2011 года N 346 "Об утверждении
Административного регламента
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций по предоставлению
государственной услуги "Ведение
реестра операторов, осуществляющих
обработку персональных данных"
утверждена форма Уведомления об
обработке (о намерении осуществить
обработку) персональных данных. Этот же
документ определяет порядок по предоставлению
государственной услуги "Ведение
реестра операторов, осуществляющих
обработку персональных данных".
Рекомендации по заполнению формы
уведомления об обработке (о намерении
осуществлять обработку) ПД утверждены
Роскомнадзором 29 января 2016 года.
4.
Согласно Административному регламенту
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций по предоставлению
государственной услуги "Ведение
реестра операторов, осуществляющих
обработку персональных данных",
утвержденному приказом Минкомсвязи
России от 21 декабря 2011 года N 346 (далее по
тексту - Административный регламент
Роскомнадзора) общий срок внесения
сведений об операторе в Реестр
операторов ПД составляет 15 дней с
момента регистрации Уведомления.
Документом для рассмотрения вопроса о
внесении сведений об операторе в Реестр
является Уведомление, предусмотренное
ч.3 комментируемой статьи. При этом
сотрудники Роскомнадзора и его
территориальных органов не вправе
требовать от заявителя:
- представления документов и информации
или осуществления действий,
представление или осуществление которых
не предусмотрено нормативными правовыми
актами, регулирующими отношения,
возникающие в связи с предоставлением
государственной услуги;
- представления документов и информации,
которые в соответствии с нормативными
правовыми актами РФ, нормативными
правовыми актами субъектов РФ и
муниципальными правовыми актами
находятся в распоряжении
государственных органов,
предоставляющих государственную услугу,
иных государственных органов, органов
местного самоуправления и (или)
подведомственных государственным
органам и органам местного
самоуправления организаций, участвующих
в предоставлении государственных или
муниципальных услуг.
Основания для отказа в приеме
документов, необходимых для
предоставления государственной услуги,
отсутствуют. Основанием для
приостановления предоставления
государственной услуги является
несоблюдение Оператором требований к
содержанию Уведомления, предусмотренных
ч.3 комментируемой статьи.
Административный регламент
Роскомнадзора устанавливает, что
Уведомление регистрируется в срок не
позднее дня, следующего за днем его
поступления в Роскомнадзор
(территориальный орган Роскомнадзора).
При поступлении Уведомления на бумажном
носителе сотрудник Роскомнадзора
(территориального органа Роскомнадзора),
ответственный за делопроизводство,
проводит его регистрацию в системе
электронного документооборота
Роскомнадзора с присвоением входящего
номера и даты. При поступлении
Уведомления в электронном виде регистрация
осуществляется сотрудником
Роскомнадзора (территориального органа
Роскомнадзора) путем присвоения
регистрационного номера и даты в
информационной системе Роскомнадзора,
при этом на странице личного кабинета на
Едином портале государственных и
муниципальных услуг Оператор получает
сообщение об изменении статуса
Уведомления.
Информация о ходе предоставления
государственной услуги
предоставляется:
- на Едином портале государственных и
муниципальных услуг;
- официальном сайте Роскомнадзора;
- через справочно-информационный центр
центрального аппарата Роскомнадзора.
Сотрудник Роскомнадзора
(территориального органа Роскомнадзора)
в срок, не превышающий 5 дней с момента
перевода Уведомления в статус "На
включение в приказ", готовит проект
приказа о внесении сведений об операторе
в Реестр. В течение 5 дней с момента
подготовки проекта приказа о внесении
сведений об операторе в Реестр
руководитель Роскомнадзора
(руководитель территориального органа
Роскомнадзора) издает приказ о внесении
сведений об операторе в Реестр. На
основании данного приказа в Реестр
вносится запись об операторе. Указанной
записи присваивается регистрационный
номер. Сведения, содержащиеся в Реестре,
за
исключением сведений о средствах
обеспечения безопасности персональных
данных при их обработке, размещаются
на официальном сайте Роскомнадзора не позднее 3
дней с даты подписания приказа о
внесении сведений об Операторе в Реестр,
поскольку в силу ч.4 комментируемой
статьи эти сведения являются
общедоступными.
При необходимости заявитель вправе
обратиться за получением выписки из
Реестра операторов.
5.
Операторы ПД должны помнить, что на них
не могут быть возложены расходы,
связанные с рассмотрением уведомления
об обработке ПД и внесением изменений в
реестр операторов ПД. Так, в
постановлении Правительства РФ от 16
марта 2009 года N 228 "О Федеральной службе
по надзору в сфере связи, информационных
технологий и массовых коммуникаций"
указывается, что Роскомнадзор не вправе
оказывать платные услуги в
установленной сфере ведения, кроме
случаев, установленных федеральными
законами, указами Президента РФ и
постановлениями Правительства РФ.
6. Согласно Административному регламенту Роскомнадзора в случае предоставления оператором неполных или недостоверных сведений, предусмотренных ч.3 комментируемой статьи, сотрудник Роскомнадзора (территориального органа Роскомнадзора) направляет оператору письмо с уведомлением о его вручении, содержащее запрос с указанием перечня недостающих сведений. При этом оператор обязан сообщить в территориальный орган Роскомнадзора по его запросу уточненные сведения, необходимые для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса. Если в течение 30 дней с даты получения запроса оператор не представил уточненные сведения, то по истечении указанного срока Уведомление с неполными или недостоверными сведениями возвращается оператору без внесения сведений о нем в Реестр операторов.
Кроме того операторы ПД могут быть
привлечены к административной
ответственности в соответствии со ст.19.7
КоАП РФ в случае непредставления или
несвоевременного представления в
Роскомнадзор уведомления об обработке
ПД. Такое уведомление должно быть
предоставлено в уполномоченный орган до
начала обработки ПД.
7. В
случае изменения сведений, содержащихся
в представленном ранее уведомлении, а
также в случае прекращения обработки
персональных данных, оператор ПД обязан
уведомить территориальное управление
Роскомнадзора об этом в течение 10
рабочих дней.
Административным регламентом
Роскомнадзора установлено, что
документом для рассмотрения вопроса о внесении
изменений в сведения об операторе в
Реестре операторов является информационное письмо
оператора. Форма письма приведена в
приложении N 3 к Административному
регламенту Роскомнадзора. Документом
для рассмотрения вопроса об исключении
сведений об операторе из Реестра
операторов является заявление оператора об исключении
сведений о нем из Реестра операторов.
Основанием для рассмотрения вопроса о внесении
изменений в сведения, содержащиеся в
Реестре операторов, является
направление оператором в Роскомнадзор
(территориальный орган Роскомнадзора)
или поступление в информационную
систему Роскомнадзора с Единого портала
государственных и муниципальных услуг
информационного письма с указанием
основания изменения сведений. При
поступлении информационного письма на бумажном
носителе сотрудник Роскомнадзора
(территориального органа Роскомнадзора),
ответственный за делопроизводство,
проводит регистрацию информационного
письма с измененными сведениями.
Сотрудник Роскомнадзора
(территориального органа Роскомнадзора)
не позднее 5
дней со дня присвоения
информационному письму с измененными
сведениями регистрационного номера
рассматривает и переводит указанное
информационное письмо с измененными
сведениями в статус "На включение в
приказ" для включения в проект приказа
о внесении изменений в сведения об
операторе в Реестре операторов и готовит
проект приказа об изменении сведений. В течение 5
дней подготовленный проект приказа
согласовывается в структурных
подразделениях Роскомнадзора (в отделах
территориальных органов Роскомнадзора)
и подписывается руководителем
Роскомнадзора (руководителем
территориального органа Роскомнадзора).
На основании данного приказа в Реестр
операторов вносится запись о внесении
изменений в сведения об операторе. Ранее
присвоенный регистрационный номер
записи об операторе в Реестре не
изменяется. Информация о внесении
изменений в сведения об операторе в
Реестр операторов размещается на
официальном сайте Роскомнадзора в срок не
позднее 3 дней с даты подписания
приказа о внесении изменений.
Вопрос об
исключении сведений об операторе из
Реестра операторов рассматривается в
случаях:
- поступление в Роскомнадзор или
территориальные органы Роскомнадзора
заявления от оператора, сведения о
котором внесены в Реестр операторов, об
исключении сведений о нем;
- принятие Роскомнадзором
(территориальным органом Роскомнадзора)
мер по приостановлению или прекращению
оператором обработки персональных
данных, осуществляемой с нарушением
требований комментируемого Закона;
- поступление в Роскомнадзор
(территориальный орган Роскомнадзора)
информации от других органов
государственной власти, юридических или
физических лиц о прекращении оператором
обработки персональных данных;
- выявление в Реестре операторов
недостоверной информации, указанной
оператором в Уведомлении;
- аннулирование лицензий на
осуществление лицензируемой
деятельности оператора, если условием
лицензии на осуществление такой
деятельности является запрет на
передачу персональных данных третьим
лицам без согласия в письменной форме
субъекта персональных данных;
- наступление срока или условия
прекращения обработки персональных
данных, указанных в Уведомлении;
- вступившее в законную силу решение суда
о прекращении оператором деятельности
по обработке персональных данных;
- выявление в Реестре операторов
сведений об операторе, внесенных
повторно.
Кроме того операторы исключаются из
Реестра операторов при наступлении
одного из следующих условий:
- ликвидация оператора;
- прекращение деятельности оператора в
результате его реорганизации;
- прекращение оператором деятельности по
обработке персональных данных.
При поступлении заявления от Оператора
об исключении сведений о нем из Реестра
на бумажном
носителе сотрудник Роскомнадзора
(территориального органа Роскомнадзора),
ответственный за делопроизводство,
проводит регистрацию данного заявления
и направляет его заместителю
руководителя Роскомнадзора
(руководителю территориального органа
Роскомнадзора). Также оператор может
оформить заявление об исключении из
Реестра операторов на Едином портале
государственных и муниципальных услуг и
направить в информационную систему
Роскомнадзора. К заявлению прилагаются
отсканированные документы,
обосновывающие исключение оператора из
Реестра операторов.
Получить информацию о данных реестра
операторов, осуществляющих обработку
персональных данных по состоянию на 13
апреля 2016 года, можно в Интернете по
адресу: URL: http://pd.rkn.gov.ru/operators-registry/operators-list/.
Комментарий к статье 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
1. Комментируемая статья развивает положение, содержащееся в п.1 ч.1 ст.18.1 комментируемого Закона, где на оператора ПД, являющегося юридическим лицом, возлагается обязанность назначить ответственного за организацию обработки персональных данных. Думается, что таким ответственным лицом может быть как сотрудник организации, так и другое лицо, оказывающее соответствующие услуги по договору.
2. В силу ч.2 комментируемой статьи лицо, ответственное за организацию обработки персональных данных, подчиняется исполнительному органу юридического лица, являющегося оператором ПД. Исполнительный орган осуществляет текущее руководство деятельностью организации и подотчетен высшему органу управления организацией.
Ответственное за организацию обработки
персональных данных лицо может быть
назначено приказом исполнительного
органа.
3.
Согласно ч.3 комментируемой статьи
оператор предоставляет лицу,
ответственному за организацию обработки
персональных данных в организации
следующие сведения:
- наименование (фамилия, имя, отчество),
адрес оператора;
- цель обработки персональных данных;
- категории персональных данных;
- категории субъектов, персональные
данные которых обрабатываются;
- правовое основание обработки
персональных данных;
- перечень действий с персональными
данными, общее описание используемых
оператором способов обработки
персональных данных;
- описание мер, предусмотренных ст.ст.18.1 и
19 комментируемого Закона, в том числе
сведения о наличии шифровальных
(криптографических) средств и
наименования этих средств;
- дата начала обработки персональных
данных;
- срок или условие прекращения обработки
персональных данных;
- сведения о наличии или об отсутствии
трансграничной передачи персональных
данных в процессе их обработки;
- сведения об обеспечении безопасности
персональных данных в соответствии с
требованиями к защите персональных
данных, установленными Правительством
РФ;
- сведения о месте нахождения базы данных
информации, содержащей персональные
данные граждан РФ.
В силу положения ч.3 ст.22 в Уведомлении об
обработке персональных данных, которое
подлежит отправке в Роскомнадзор, также
указываются сведения о лице, ответственном за
обработку персональных данных в
организации, а именно:
- фамилия, имя, отчество физического лица
или наименование юридического лица,
ответственных за организацию обработки
персональных данных;
- номера их контактных телефонов;
- почтовые адреса;
- адреса электронной почты.
4.
Частью 4 комментируемой статьи определен
перечень обязанностей лица,
ответственного за обработку
персональных данных в организации. На
наш взгляд, эти обязанности должны быть
зафиксированы в должностной инструкции
такого лица, если им является сотрудник
организации-оператора, или в договоре об
оказании услуг, если ответственным лицом
за обработку ПД является другая
организация.
Комментарий к главе 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Комментарий к статье 23. Уполномоченный орган по защите прав субъектов персональных данных
1.
Комментируемой статьей начинается
последняя глава Закона, определяющая
порядок контроля и надзора за обработкой
ПД, а также устанавливающая
ответственность за нарушение требований
Закона.
Уполномоченным органом по защите прав
субъектов ПД, на который возлагается
обеспечение контроля и надзора за
соответствием обработки ПД требованиям
комментируемого Закона, является
Федеральная служба по надзору в сфере
связи, информационных технологий и
массовых коммуникаций (Роскомнадзор,
далее по тексту также - Служба). Положение
о Роскомнадзоре утверждено
постановлением Правительства РФ от 16
марта 2009 года N 228 "О Федеральной службе
по надзору в сфере связи, информационных
технологий и массовых коммуникаций".
Роскомнадзор осуществляет свою
деятельность непосредственно и через
свои территориальные органы во
взаимодействии с другими федеральными
органами исполнительной власти,
органами исполнительной власти
субъектов РФ, органами местного
самоуправления, общественными
объединениями и иными организациями.
Официальный сайт Роскомнадзора
находится в сети Интернет по адресу: URL:
https://rkn.gov.ru/.
Рассмотрим некоторые полномочия
Роскомнадзора. Роскомнадзор кроме всего
прочего осуществляет государственный
контроль и надзор за соблюдением
законодательства РФ в сфере
информационных технологий:
- за соблюдением требований обязательной
сертификации или декларирования
соответствия информационных технологий,
предназначенных для обработки
государственного банка данных о детях,
оставшихся без попечения родителей;
- за соответствием обработки ПД
требованиям законодательства РФ в
области ПД;
- за представлением обязательного
федерального экземпляра документов в
установленной сфере деятельности
Службы.
Роскомнадзор ведет следующие реестры:
- реестр операторов, занимающих
существенное положение в сети связи
общего пользования;
- единые общероссийские реестры средств
массовой информации;
- реестры лицензий;
- реестр операторов, осуществляющих
обработку ПД;
- реестр нарушителей прав субъектов ПД.
Роскомнадзор организует также
формирование и ведение реестра
федеральных государственных
информационных систем, осуществляет
прием граждан и обеспечивает
своевременное и полное рассмотрение
устных и письменных обращений граждан,
принятие по ним решений и направление
заявителям ответов в установленный
законодательством РФ срок, обеспечивает
защиту сведений, составляющих
государственную тайну, в процессе
деятельности Службы, а также контроль за
деятельностью ее территориальных
органов и подведомственных
организаций.
Роскомнадзор взаимодействует в
установленном порядке с органами
государственной власти иностранных
государств и международными
организациями в установленной сфере
ведения, осуществляет в соответствии с
законодательством РФ работу по
комплектованию, хранению, учету и
использованию архивных документов,
образовавшихся в процессе деятельности
Службы.
Отметим также, что Роскомнадзор
возглавляет руководитель, назначаемый
на должность и освобождаемый от
должности Правительством РФ по
представлению Министра связи и массовых
коммуникаций РФ. Руководитель
Федеральной службы по надзору в сфере
связи, информационных технологий и
массовых коммуникаций несет
персональную ответственность за
осуществление возложенных на Службу
полномочий. Руководитель Службы имеет
заместителей, назначаемых на должность и
освобождаемых от должности Министром
связи и массовых коммуникаций РФ по
представлению руководителя Службы.
Количество заместителей руководителя
Службы устанавливается Правительством
РФ.
Роскомнадзор осуществляет
государственный контроль и надзор за
соответствием обработки персональных
данных требованиям законодательства РФ
в области персональных данных в
соответствии с Административным
регламентом, утвержденным приказом
Минкомсвязи РФ от 14 ноября 2011 года N 312.
Согласно требованиям Роскомнадзора к
операторам, осуществляющим обработку ПД,
при осуществлении этим органом
государственного контроля (надзора)
руководитель, иной уполномоченный
представитель оператора должен:
- обеспечить необходимые условия для
проведения проверки;
- по требованию должностных лиц,
проводящих проверку, организовать
доступ к оборудованию, в помещения, где
осуществляется обработка персональных
данных;
- предоставить необходимую информацию и
документацию для достижения целей
проверки.
В ходе осуществления проверки проверяется, в том
числе:
- факт уведомления уполномоченного
органа об обработке персональных
данных;
- наличие документов, необходимых для
проверки фактов, содержащих признаки
нарушения законодательства РФ в области
персональных данных, изложенных в
обращениях граждан и информации,
поступившей в Роскомнадзор;
- наличие документов, подтверждающих
выполнение оператором предписания об
устранении ранее выявленных нарушений
законодательства РФ в области
персональных данных;
- наличие документов, подтверждающих
наличие в установленных
законодательством РФ в области
персональных данных случаях согласия
субъекта персональных данных на
обработку его персональных данных в
письменной или иной форме;
- наличие документов, подтверждающих
соблюдение обязательных требований в
области персональных данных, в том числе
при обработке специальных категорий и
биометрических персональных данных;
- наличие документов, подтверждающих
уничтожение оператором персональных
данных субъектов персональных данных по
достижении цели обработки;
- наличие локальных актов, определяющих
политику Оператора в отношении
обработки персональных данных, по
вопросам обработки персональных данных,
а также устанавливающих процедуры,
направленные на предотвращение и
выявление нарушений обязательных
требований в области персональных
данных, устранение последствий таких
нарушений;
- соблюдения установленного порядка и
условий обработки персональных данных в
информационных системах персональных
данных.
2. Одной
из основных функций Роскомнадзора
является рассмотрение обращений
субъектов ПД о соответствии содержания
ПД и способов обработки их целям. В
результате рассмотрения таких обращений
Роскомнадзор принимает соответствующее
решение.
Порядок подачи субъектом ПД обращения
или заявления в Роскомнадзор
рассматривался в комментарии к ст.17
Закона.
3. Часть
3 комментируемой статьи определяет
основные права Роскомнадзора, которыми
он обладает, осуществляя контроль и
надзор в сфере обеспечения защиты ПД.
Следует также учитывать, что
Роскомнадзор обладает правами,
перечисленными в постановлении
Правительства РФ от 16 марта 2009 года N 228
"О Федеральной службе по надзору в
сфере связи, информационных технологий и
массовых коммуникаций". Итак,
Роскомнадзор имеет право:
- запрашивать и получать в установленном
порядке сведения, необходимые для
принятия решений по вопросам, отнесенным
к компетенции Роскомнадзора;
- проводить необходимые расследования,
испытания, экспертизы, анализы и оценки,
а также научные исследования по
вопросам, отнесенным к компетенции
Роскомнадзора;
- привлекать в установленном порядке для
проработки вопросов, отнесенных к
компетенции Роскомнадзора, научные и
иные организации, а также ученых и
специалистов;
- давать государственным органам,
органам местного самоуправления,
юридическим и физическим лицам
разъяснения по вопросам, отнесенным к
компетенции Роскомнадзора;
- в порядке и случаях, которые
установлены законодательством РФ,
применять в установленной сфере ведения
меры профилактического и
пресекательного характера, направленные
на недопущение нарушений юридическими
лицами и гражданами обязательных
требований в этой сфере и (или)
ликвидацию последствий таких
нарушений;
- создавать совещательные и экспертные
органы (советы, комиссии, группы и
коллегии), в том числе межведомственные,
в установленной сфере ведения;
- осуществлять контроль за деятельностью
территориальных органов Роскомнадзора,
а также за деятельностью
подведомственных организаций;
- утверждать образцы служебных
удостоверений.
Обеспечивая контроль и надзор за
выполнение операторами ПД действующего
законодательства в области защиты ПД и
комментируемого Закона, Роскомнадзор
обладает следующими правами:
- правом запрашивать у физических или
юридических лиц информацию, необходимую
для реализации своих полномочий, и
безвозмездно получать такую информацию
(при получении обращения субъекта ПД о
нарушении его прав Роскомнадзор может
потребовать от оператора ПД, жалоба в
отношении которого поступила,
представить некоторые документы для
проведения проверки);
- правом осуществлять проверку сведений,
содержащихся в уведомлении об обработке
персональных данных, или привлекать для
осуществления такой проверки иные
государственные органы в пределах их
полномочий (например, при получении
уведомления об обработке ПД,
направленного в Роскомнадзор оператором
ПД и содержащего неполные сведении,
Роскомнадзор может потребовать от
оператора представить дополнительную
информацию о себе);
- правом требовать от оператора
уточнения, блокирования или уничтожения
недостоверных или полученных незаконным
путем персональных данных (такое
требование может быть отправлено
операторам ПД в форме предписания);
- правом принимать в установленном
законодательством РФ порядке меры по
приостановлению или прекращению
обработки ПД, осуществляемой с
нарушением требований комментируемого
Закона (виновные лица могут быть
привлечены к административной и
уголовной ответственности, деятельность
организаций может быть
приостановлена);
- правом обращаться в суд с исковыми
заявлениями в защиту прав субъектов ПД, в
том числе в защиту прав неопределенного
круга лиц, и представлять интересы
субъектов ПД в суде (например, после
получения жалобы от субъекта ПД и
проведения соответствующей проверки
Роскомнадзор может обратиться в суд за
защитой прав этого субъекта данных).
Кроме того, Роскомнадзор обладает правом
направлять заявление в орган,
осуществляющий лицензирование
деятельности оператора, для
рассмотрения вопроса о принятии мер по
приостановлению действия или
аннулированию соответствующей лицензии
в установленном законодательством РФ
порядке, если условием лицензии на
осуществление такой деятельности
является запрет на передачу ПД третьим
лицам без согласия в письменной форме
субъекта ПД.
Роскомнадзор также вправе направлять в
органы прокуратуры, другие
правоохранительные органы материалы для
решения вопроса о возбуждении уголовных
дел по признакам преступлений, связанных
с нарушением прав субъектов ПД, в
соответствии с подведомственностью.
Роскомнадзор обладает правом вносить в
Правительство РФ предложения о
совершенствовании нормативного
правового регулирования защиты прав
субъектов ПД. В соответствии с
Федеральным конституционным законом от
17 декабря 1997 года N 2-ФКЗ "О
Правительстве Российской Федерации"
Правительство РФ является органом
государственной власти РФ, осуществляет
исполнительную власть РФ, в пределах
своих полномочий организует исполнение
Конституции РФ, федеральных
конституционных законов, федеральных
законов, указов Президента РФ,
международных договоров РФ,
осуществляет систематический контроль
за их исполнением федеральными органами
исполнительной власти и органами
исполнительной власти субъектов РФ,
принимает меры по устранению нарушений
законодательства РФ.
Роскомнадзор вправе привлекать к
административной ответственности лиц,
виновных в нарушении комментируемого
Закона. В РФ административным
правонарушением признается
противоправное, виновное действие
(бездействие) физического или
юридического лица, за которое КоАП РФ или
законами субъектов РФ об
административных правонарушениях
установлена административная
ответственность. Юридическое лицо
признается виновным в совершении
административного правонарушения, если
будет установлено, что у него имелась
возможность для соблюдения правил и
норм, за нарушение которых КоАП РФ или
законами субъекта РФ предусмотрена
административная ответственность, но
данным лицом не были приняты все
зависящие от него меры по их соблюдению.
Роскомнадзор имеет право направлять в
ФСБ России и ФСТЭК России применительно
к сфере их деятельности сведения об
операторах ПД, касающиеся описания мер,
предусмотренных ст.18.1, 19 комментируемого
Закона, в том числе сведения о наличии
шифровальных (криптографических)
средств и наименования этих средств.
Роскомнадзор вправе ограничивать доступ
к информации, обрабатываемой с
нарушением законодательства РФ в
области ПД. За нарушение данных
требований доступ к информационным
ресурсам в сети Интернет, в том числе к
сетевому адресу, доменному имени,
указателю страниц, позволяющим
идентифицировать информацию,
обрабатываемую с нарушениями
вышеуказанных требований, может быть
ограничен на основании вступившего в
силу судебного акта. Нарушители вносятся
в Реестр нарушителей прав субъектов ПД,
созданный в соответствии со ст.15.5 ФЗ
"Об информации, информационных
технологиях и о защите информации" и
постановлением Правительства РФ от 19
августа 2015 года N 857.
По умолчанию создание, формирование и
ведение реестра нарушителей
осуществляются Роскомнадзором, но он в
свою очередь вправе привлечь к
формированию и ведению реестра
организацию, зарегистрированную на
территории РФ. Критерии к определению
такой организации установлены
постановлением Правительства РФ от 19
августа 2015 года N 857:
- наличие технической возможности для
приема обращений субъектов ПД о принятии
мер по ограничению доступа к информации,
обрабатываемой с нарушением
законодательства РФ в области
персональных данных;
- наличие технических и организационных
возможностей для ведения
автоматизированной информационной
системы "Реестр нарушителей прав
субъектов персональных данных",
включая возможность взаимодействия с
провайдерами хостинга и операторами
связи, оказывающими услуги по
предоставлению доступа к сети
"Интернет".
Субъекту ПД законодатель предоставляет
право обратиться в Роскомнадзор с
заявлением о принятии мер по ограничению
доступа к информации, обрабатываемой с
нарушением законодательства. Форма
заявления утверждена приказом
Роскомнадзора от 22 июля 2015 года N 85 "Об
утверждении формы заявления субъекта
персональных данных о принятии мер по
ограничению доступа к информации,
обрабатываемой с нарушением
законодательства Российской Федерации в
области персональных данных".
Действия Роскомнадзора, провайдеров,
владельцев сайтов после получения
вступившего в законную силу судебного
акта будут следующими.
В течение
трех рабочих дней Роскомнадзор:
- определяет провайдера хостинга или
иное лицо, обеспечивающее обработку
информации в
информационно-телекоммуникационной
сети, в том числе в сети "Интернет", с
нарушением законодательства РФ в
области ПД;
- направляет провайдеру в электронном
виде уведомление на русском и английском
языках о нарушении с информацией о
вступившем в законную силу судебном
акте, доменном имени и сетевом адресе,
позволяющих идентифицировать сайт в
сети "Интернет", на котором
осуществляется обработка информации с
нарушением законодательства РФ, а также
об указателях страниц сайта, позволяющих
идентифицировать такую информацию, и с
требованием принять меры по устранению
нарушения, указанные в решении суда;
- фиксирует дату и время направления
уведомления провайдеру хостинга.
Далее в
течение одного рабочего дня с
момента получения уведомления провайдер
обязан проинформировать об этом
обслуживаемого им владельца
информационного ресурса (сайта) и
уведомить его о необходимости принять
меры по устранению нарушения или принять
меры по ограничению доступа к такой
незаконной информации.
После этого в течение одного рабочего дня с
момента получения от провайдера
хостинга уведомления владелец сайта
обязан принять соответствующие меры. В
случае отказа или бездействия владельца
сайта провайдер хостинга не позднее истечения трех
рабочих дней с момента получения
уведомления ограничивает доступ к
соответствующему сайту. В том случае,
если провайдером и (или) владельцем
информационного ресурса не приняты
вышеуказанные меры, доменное имя сайта,
его сетевой адрес, указатели страниц
сайта в сети "Интернет", позволяющие
идентифицировать информацию,
обрабатываемую с нарушением
законодательства РФ в области ПД, а также
иные сведения об этом сайте направляются
по автоматизированной информационной
системе операторам связи для принятия мер по
ограничению доступа к данному
ресурсу.
Реестр размещен на официальном сайте
Роскомнадзора по адресу: URL:
http://pd.rkn.gov.ru/registerOffenders/viewregistry. Анализ
нормы, содержащейся в ст.15.5 ФЗ "Об
информации, информационных технологиях
и о защите информации" позволяет
прийти к выводу о том, что факт нарушения
законодательства в области ПД должен
быть обязательно установлен вступившим
в законную силу решением суда.
Следовательно, субъекты ПД, чьи права
нарушены, могут защитить свои права в
следующем порядке:
- отправить владельцу сайта, на котором
размещена информация, нарушающая права
субъекта ПД, запрос об удалении
незаконно размещенной информации;
- в случае отказа или игнорирования этой
просьбы владельцем сайта, обратиться в
суд либо по месту жительства истца, либо
по месту жительства ответчика;
- после вступления в силу решения суда
обратиться в Роскомнадзор с заявлением,
которое можно заполнить и отправить, в
том числе на официальном сайте
Роскомнадзора по адресу: URL:
http://pd.rkn.gov.ru/registerOffenders/personalSubjects.
4.
Законодатель обязывает сотрудников
Роскомнадзора обеспечивать
конфиденциальность в отношении
персональных данных, ставших известными
уполномоченному органу по защите прав
субъектов персональных данных в ходе
осуществления им своей деятельности,
должна обеспечиваться
конфиденциальность персональных
данных.
5. В ч.5
комментируемой статьи законодатель
устанавливает обязанности
Роскомнадзора, как уполномоченного
органа по защите прав субъектов ПД.
Роскомнадзор также осуществляет
сотрудничество с органами,
уполномоченными по защите прав
субъектов ПД в иностранных государствах,
в частности международный обмен
информацией о защите прав субъектов
персональных данных, а также утверждает
перечень иностранных государств,
обеспечивающих адекватную защиту прав
субъектов персональных данных.
6.
Правовые акты Роскомнадзора, действия
(бездействие) его должностных лиц, а
также принимаемые ими решения могут быть
обжалованы в судебном и
административном порядках. Вышестоящим
органом государственной власти,
которому может быть адресована жалоба,
является Министерство связи и массовых
коммуникаций РФ.
7. На
Роскомнадзор возлагается обязанность
направлять отчет о своей деятельности
Президенту РФ, в Правительство РФ и
Федеральное Собрание РФ. Такой отчет
подлежит опубликованию в средствах
массовой информации.
8. В
соответствии с постановлением
Правительства РФ от 16 марта 2009 года N 228
"О Федеральной службе по надзору в
сфере связи, информационных технологий и
массовых коммуникаций" финансовое
обеспечение расходов на содержание
центрального аппарата Роскомнадзора и
территориальных органов осуществляется
в пределах бюджетных ассигнований,
предусмотренных в федеральном бюджете.
Роскомнадзор является юридическим
лицом, имеет печать с изображением
Государственного герба РФ и со своим
наименованием, иные печати, штампы и
бланки установленного образца, а также
лицевые счета, открываемые в
соответствии с бюджетным
законодательством РФ в Федеральном
казначействе и его территориальных
органах в валюте РФ, а также счета в
кредитных организациях, открываемые для
учета операций в соответствии с валютным
законодательством РФ.
9.
Частью 9 комментируемой статьи
законодатель устанавливает, что при
Роскомнадзоре создается на общественных
началах Консультативный совет. Порядок
формирования и порядок деятельности
этого органа определяются
Роскомнадзором. В настоящее время
Положение о Консультативном совете при
уполномоченном органе по защите прав
субъектов персональных данных утв.
приказом Федеральной службы по надзору в
сфере связи, информационных технологий и
массовых коммуникаций от 29 января 2016
года N 82.
Комментарий к статье 24. Ответственность за нарушение требований настоящего Федерального закона
1. Лица,
виновные в нарушении требований
комментируемого Закона, несут
предусмотренную законодательством
Российской Федерации ответственность.
Рассмотрим данный аспект подробнее.
Уголовная
ответственность.
Так, согласно ч.1 ст.137 УК РФ за незаконное
собирание или распространение сведений
о частной жизни лица, составляющих его
личную или семейную тайну, без его
согласия либо распространение этих
сведений в публичном выступлении,
публично демонстрирующемся
произведении или средствах массовой
информации наказываются штрафом в
размере до двухсот тысяч рублей или в
размере заработной платы или иного
дохода осужденного за период до
восемнадцати месяцев, либо
обязательными работами на срок до
трехсот шестидесяти часов, либо
исправительными работами на срок до
одного года, либо принудительными
работами на срок до двух лет с лишением
права занимать определенные должности
или заниматься определенной
деятельностью на срок до трех лет или без
такового, либо арестом на срок до четырех
месяцев, либо лишением свободы на срок до
двух лет с лишением права занимать
определенные должности или заниматься
определенной деятельностью на срок до
трех лет.
В силу ч.3 ст.137 УК РФ незаконное
распространение в публичном
выступлении, публично демонстрирующемся
произведении, средствах массовой
информации или
информационно-телекоммуникационных
сетях информации, указывающей на
личность несовершеннолетнего
потерпевшего, не достигшего
шестнадцатилетнего возраста, по
уголовному делу, либо информации,
содержащей описание полученных им в
связи с преступлением физических или
нравственных страданий, повлекшее
причинение вреда здоровью
несовершеннолетнего, или психическое
расстройство несовершеннолетнего, или
иные тяжкие последствия, наказывается
штрафом в размере от ста пятидесяти
тысяч до трехсот пятидесяти тысяч рублей
или в размере заработной платы или иного
дохода осужденного за период от
восемнадцати месяцев до трех лет, либо
лишением права занимать определенные
должности или заниматься определенной
деятельностью на срок от трех до пяти
лет, либо принудительными работами на
срок до пяти лет с лишением права
занимать определенные должности или
заниматься определенной деятельностью
на срок до шести лет или без такового,
либо арестом на срок до шести месяцев,
либо лишением свободы на срок до пяти лет
с лишением права занимать определенные
должности или заниматься определенной
деятельностью на срок до шести лет.
Должностные лица могут быть привлечены к
уголовной ответственности по ст.140 УК РФ,
если неправомерно откажут гражданину в
предоставлении собранных в
установленном порядке документов и
материалов, непосредственно
затрагивающих права и свободы
гражданина, либо предоставят гражданину
неполную или заведомо ложную информацию,
если эти деяния причинили вред правам и
законным интересам граждан.
За неправомерный доступ к компьютерной
информации также предусмотрена
уголовная ответственность. Виновные
лица будут наказаны по ч.1 ст.272 УК РФ, если
это деяние повлекло уничтожение,
блокирование, модификацию либо
копирование компьютерной информации.
За нарушение тайны переписки, телефонных
переговоров, почтовых, телеграфных или
иных сообщений (ч.1 ст.138 УК РФ) виновные
лица наказывается штрафом в размере до
восьмидесяти тысяч рублей или в размере
заработной платы или иного дохода
осужденного за период до шести месяцев,
либо обязательными работами на срок до
трехсот шестидесяти часов, либо
исправительными работами на срок до
одного года.
Административная
ответственность.
За неправомерный отказ в предоставлении
гражданину и (или) организации
информации, предоставление которой
предусмотрено федеральными законами,
несвоевременное ее предоставление либо
предоставление заведомо недостоверной
информации виновное лицо будет
привлечено к ответственности по ст.5.39
КоАП РФ.
Нарушение установленного законом
порядка сбора, хранения, использования
или распространения информации о
гражданах (персональных данных) влечет
предупреждение или наложение
административного штрафа в соответствии
со ст.13.11 КоАП РФ.
Кроме того административная
ответственность предусмотрена за
разглашение информации, доступ к которой
ограничен федеральным законом (за
исключением случаев, если разглашение
такой информации влечет уголовную
ответственность), лицом, получившим
доступ к такой информации в связи с
исполнением служебных или
профессиональных обязанностей. В этом
случае виновный будет наказан в
соответствии со ст.13.14 КоАП РФ.
Операторам ПД следует учитывать, что за
нарушение правил защиты информации
наступает ответственность в
соответствии со ст.13.12 КоАП РФ.
Статьей 13.13 КоАП РФ предусматривается
ответственность за незаконную
деятельность в области защиты
информации.
Дисциплинарная ответственность.
Статья 192 ТК РФ предусматривает
следующие виды дисциплинарных
взысканий: замечание; выговор;
увольнение по соответствующим
основаниям.
С работниками организации, имеющими
доступ к ПД сотрудников, партнеров или
клиентов организации следует заключать
соглашения об обеспечении
конфиденциальности данных. В случае
нарушения взятых на себя обязательств
работник, имеющий доступ к чужим ПД,
может быть уволен по основаниям пункта
"в" ст.81 ТК РФ - за разглашение
охраняемой законом тайны, в т.ч.
разглашение ПД другого работника.
2. Субъект ПД имеет право на возмещение морального вреда, если его права были нарушены, независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков. Таким образом, при обращении в суд субъект ПД вправе требовать компенсации причиненного ему морального вреда в соответствии с положениями ст.151 ГК РФ, поскольку он причинен действиями, которые нарушают личные неимущественные права гражданина (ст.150 ГК РФ), а именно право на неприкосновенность частной жизни и право на защиту ПД. Так, согласно ст.151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства.
В настоящее время имеется достаточно
обширная судебная практика в отношении
возмещения гражданам морального ущерба в связи с
нарушением их прав как субъектов ПД.
Но, обращаясь в суд, субъектам ПД
необходимо учитывать, что, как
упоминалось выше, размер компенсации
морального вреда определяется судом в
зависимости от характера причиненных
потерпевшему физических и нравственных
страданий, а также степени вины
причинителя вреда. При этом закон
обязывает суд руководствоваться
требованиями разумности и
справедливости. Суд при рассмотрении
дела оценивает фактические
обстоятельства, при которых был причинен
моральный вред, и индивидуальные
особенности потерпевшего. Надо отметить,
что исходя из российской судебной
практики, можно сделать вывод, что в
большинстве случаев истцы получают
компенсацию за моральный вред гораздо
меньшего размера, чем они требовали в
исковом заявлении.
Приведем примеры судебной практики,
касающейся возмещения ущерба за нарушения
законодательства и ПД.
Пример 1.
Гражданин в судебном порядке потребовал
возместить ему моральный вред в связи с
тем, что были нарушены его права,
гарантирующие защиту при обработке ПД, а
именно, ответчики совершили действия,
направленные на сбор, обработку,
распространение ПД истца без его
согласия. Суд посчитал требования
обоснованными и частично удовлетворил
требование о возмещение морального
ущерба (см. апелляционное определение
Алтайского краевого суда от 29 сентября
2015 года по делу N 33-9241/2015).
Пример 2.
Ответчик распространил об истце, как о
заемщике, в бюро кредитных историй
информацию, не соответствующую
действительности, а также порочащую
честь, достоинство и деловую репутацию
истца. При рассмотрении дела судом был
установлен факт распространения
указанной информации и принято решение о
возмещении морального ущерба. При этом
размер компенсации был определен с
учетом конкретных обстоятельств дела,
наступления негативных последствий,
характера, содержания и объема
распространенных сведений (см.
апелляционное определение Кемеровского
областного суда от 27 августа 2015 года по
делу N 33-8786/2015).
Комментарий к главе 6. Заключительные положения
Комментарий к статье 25. Заключительные положения
1.
Частью 1 комментируемой статьи
законодатель определяет срок вступления
в силу Закона. Комментируемый Закон
вступил в силу по истечении ста
восьмидесяти дней после дня его
официального опубликования.
Первоначальный текст Закона был
опубликован в "Российской газете"
от 29 июля 2006 года N 165, в "Парламентской
газете" от 3 августа 2006 года N 126-127, в
Собрании законодательства Российской
Федерации от 31 июля 2006 года N 31 (часть I)
ст.3451.
2.
Частью 2 комментируемой статьи
законодатель устанавливает, что
обработка тех ПД, которые были включены в
информационные системы ПД до дня
вступления в силу данного Закона, также
должна осуществляться в соответствии с
положениями комментируемого Закона.
3. Часть
4 комментируемой статьи регламентирует
действия оператора ПД, которые начали
осуществлять обработку ПД до вступления
в силу рассматриваемого Закона. На таких
операторов Закон возлагал обязанность
направить не позднее 1 января 2008 года
уведомление об обработке ПД в
уполномоченный орган в соответствии со
ст.22 комментируемого Закона.
4. В
силу ч.5 комментируемой статьи отношения,
связанные с обработкой персональных
данных, осуществляемой государственными
органами, юридическими лицами,
физическими лицами при предоставлении
государственных и муниципальных услуг,
исполнении государственных и
муниципальных функций в субъекте
Российской Федерации - городе
федерального значения Москве,
регулируются настоящим Федеральным
законом, если иное не предусмотрено
Федеральным законом от 5 апреля 2013 года N
43-ФЗ "Об особенностях регулирования
отдельных правоотношений в связи с
присоединением к субъекту Российской
Федерации - городу федерального значения
Москве территорий и о внесении изменений
в отдельные законодательные акты
Российской Федерации".
Так, например, в ст.21 упомянутого закона
указывается, что обработка ПД в связи с
информационным взаимодействием
различных органов при предоставлении
государственных и муниципальных услуг и
исполнении государственных и
муниципальных функций в субъекте РФ -
Москве осуществляется в соответствии с
п.2 и 4 ч.1 ст.6 комментируемого Закона. То
есть обработка ПД осуществляется без согласия
субъекта ПД, если она необходима:
- для достижения целей, предусмотренных
международным договором РФ или законом,
для осуществления и выполнения
возложенных законодательством РФ на
оператора функций, полномочий и
обязанностей;
- для исполнения полномочий федеральных
органов исполнительной власти, органов
государственных внебюджетных фондов,
исполнительных органов государственной
власти субъектов РФ, органов местного
самоуправления и функций организаций,
участвующих в предоставлении
государственных и муниципальных услуг.
При этом на межведомственные запросы о
предоставлении документов и информации
при таком обмене не распространяются
требования к содержанию
межведомственных запросов,
установленные ч.1 ст.7.2 Федерального
закона от 27 июля 2010 года N 210-ФЗ "Об
организации предоставления
государственных и муниципальных
услуг". В процессе возмещения
правообладателям стоимости изымаемого
недвижимого имущества и убытков
статистическая информация об общем
количестве сделок с недвижимым
имуществом, прошедших государственную
регистрацию и заключенных на
определенной территории за определенный
период, предоставляется по запросам
заинтересованных оценочных организаций
без указания
ПД субъектов этих сделок.
Ссылается на
- О средствах массовой информации (с изменениями на 11 марта 2024 года)
- Об организации страхового дела в Российской Федерации (с изменениями на 22 июля 2024 года) (редакция, действующая с 1 октября 2024 года)
- Основы законодательства Российской Федерации о нотариате (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- О прокуратуре Российской Федерации (в редакции Федерального закона от 17 ноября 1995 года N 168-ФЗ) (с изменениями на 30 сентября 2024 года)
- Конституция Российской Федерации (с изменениями на 4 октября 2022 года)
- О занятости населения в Российской Федерации (в редакции Федерального Закона от 20 апреля 1996 года N 36-ФЗ) (с изменениями на 25 декабря 2023 года) (редакция, действующая с 1 сентября 2024 года)
- О профессиональных союзах, их правах и гарантиях деятельности (с изменениями на 21 декабря 2021 года)
- Семейный кодекс Российской Федерации (с изменениями на 31 июля 2023 года) (редакция, действующая с 26 октября 2023 года)
- Уголовный кодекс Российской Федерации (с изменениями на 8 августа 2024 года)
- Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования (с изменениями на 25 декабря 2023 года)
- Гражданский кодекс Российской Федерации (часть первая) (статьи 1 - 453) (с изменениями на 8 августа 2024 года)
- Уголовно-исполнительный кодекс Российской Федерации (с изменениями на 23 марта 2024 года)
- Воздушный кодекс Российской Федерации (с изменениями на 8 августа 2024 года)
- Об актах гражданского состояния (с изменениями на 8 августа 2024 года) (редакция, действующая с 19 августа 2024 года)
- О Правительстве Российской Федерации (с изменениями на 28 декабря 2016 года) (утратил силу на основании Федерального конституционного закона от 06.11.2020 N 4-ФКЗ)
- О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях (с изменениями на 31 декабря 2014 года)
- О внесении изменений в отдельные законодательные акты Российской Федерации в связи с уточнением полномочий органов прокуратуры Российской Федерации по вопросам обработки персональных данных
- О потребительском кредите (займе) (с изменениями на 22 июня 2024 года)
- О страховых пенсиях (с изменениями на 29 мая 2024 года)
- Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний (с изменениями на 29 мая 2024 года)
- О государственной дактилоскопической регистрации в Российской Федерации (с изменениями на 25 декабря 2023 года) (редакция, действующая с 23 июня 2024 года)
- Налоговый кодекс Российской Федерации (часть первая) (с изменениями на 8 августа 2024 года) (редакция, действующая с 8 сентября 2024 года)
- О государственной социальной помощи (с изменениями на 29 мая 2024 года) (редакция, действующая с 1 июля 2024 года)
- Об основах обязательного социального страхования (с изменениями на 14 июля 2022 года)
- О государственной регистрации юридических лиц и индивидуальных предпринимателей (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- Уголовно-процессуальный кодекс Российской Федерации (с изменениями на 29 мая 2024 года) (редакция, действующая с 1 июля 2024 года)
- Об обязательном пенсионном страховании в Российской Федерации (с изменениями на 25 декабря 2023 года)
- О государственном пенсионном обеспечении в Российской Федерации (с изменениями на 13 июля 2024 года)
- Трудовой кодекс Российской Федерации (с изменениями на 8 августа 2024 года)
- Кодекс Российской Федерации об административных правонарушениях (с изменениями на 8 августа 2024 года) (редакция, действующая с 8 сентября 2024 года)
- Об обязательном страховании гражданской ответственности владельцев транспортных средств (с изменениями на 25 декабря 2023 года) (редакция, действующая с 1 октября 2024 года)
- О гражданстве Российской Федерации (с изменениями на 28 декабря 2022 года) (утратил силу с 26.10.2023 на основании Федерального закона от 28.04.2023 N 138-ФЗ)
- Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации (с изменениями на 8 августа 2024 года)
- О Центральном банке Российской Федерации (Банке России) (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 октября 2024 года)
- О несостоятельности (банкротстве) (с изменениями на 8 августа 2024 года) (редакция, действующая с 8 сентября 2024 года)
- О связи (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- Об общих принципах организации местного самоуправления в Российской Федерации (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- О страховании вкладов в банках Российской Федерации (с изменениями на 8 августа 2024 года) (редакция, действубщая с 21 сентября 2024 года)
- Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты (не нуждается в госрегистрации)
- О кредитных историях (с изменениями на 8 августа 2024 года)
- Жилищный кодекс Российской Федерации (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- О порядке рассмотрения обращений граждан Российской Федерации (с изменениями на 4 августа 2023 года)
- О персональных данных (с изменениями на 8 августа 2024 года)
- Об информации, информационных технологиях и о защите информации (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 октября 2024 года)
- Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством (с изменениями на 25 декабря 2023 года) (редакция, действующая с 1 января 2024 года)
- О транспортной безопасности (с изменениями на 8 августа 2024 года) (редакция, действующая с 1 сентября 2024 года)
- Об исполнительном производстве (с изменениями на 8 августа 2024 года)
- О физической культуре и спорте в Российской Федерации (с изменениями на 24 июля 2024 года)
- О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (с изменениями на 18 июля 2024 года) (редакция, действующая с 1 сентября 2024 года)
- Об организации предоставления государственных и муниципальных услуг (с изменениями на 8 июля 2024 года)
- Об обязательном медицинском страховании в Российской Федерации (с изменениями на 25 декабря 2023 года) (редакция, действующая с 1 января 2024 года)
- Об электронной подписи (с изменениями на 4 августа 2023 года) (редакция, действующая с 5 августа 2024 года)
- Об утверждении перечня услуг, которые являются необходимыми и обязательными для предоставления федеральными органами исполнительной власти, органами государственных внебюджетных фондов, государственными корпорациями, наделенными в соответствии с федеральными законами полномочиями по предоставлению государственных услуг в установленной сфере деятельности, государственных услуг и предоставляются организациями и уполномоченными в соответствии с законодательством Российской Федерации экспертами, участвующими в предоставлении государственных услуг, и определении размера платы за их оказание (с изменениями на 29 июня 2024 года) (редакция, действующая с 1 сентября 2024 года)
- О разработке и утверждении административных регламентов осуществления государственного контроля (надзора) и административных регламентов предоставления государственных услуг (с изменениями на 20 июля 2021 года)
- Об основах охраны здоровья граждан в Российской Федерации (с изменениями на 26 сентября 2024 года)
- О лицензировании медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра "Сколково") (с изменениями на 28 ноября 2020 года) (утратило силу с 01.09.2021 на основании постановления Правительства Российской Федерации от 01.06.2021 N 852)
- О видах электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг (с изменениями на 13 марта 2023 года)