Предоставление персональных данных

1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных за исключением случаев, установленных законом.

Персональные данные предоставляются субъектом лично либо через доверенное лицо.

2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, имеющих право на работу с персональными данными в пределах их компетенции.

3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.

Доступ субъекта к своим персональным данным

1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к субъекту персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных законодательством РФ.

2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации.

3. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам.

4. Персональные данные предоставляются их субъекту по его инициативе на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления.

5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.

Внесение субъектом изменений в свои персональные данные

При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные.

Блокирование и снятие блокирования персональных данных

Если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные.

Обжалование неправомерных действий в отношении персональных данных

Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо обратиться с жалобой в уполномоченный орган государственной власти по персональным данным.

Порядок обращения в уполномоченный орган государственной власти по персональным данным

Обращение (жалоба, заявление, предложение) должно быть пода но в письменной форме и содержать фамилию, имя, отчество и адрес субъекта персональных данных, наименование и адрес держателя (обладателя) массива персональных данных, чьи действия обжалуются изложение существа действий или решений, нарушивших, по мнению субъекта, его права.

Возмещение убытков и (или) компенсация морального вреда

В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с ними субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба ответственность несет каждый держатель (обладатель) этих данных.

Ограничение прав субъекта на предоставление и получение своих персональных данных

Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении:

1) права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных - для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, - в пределах, установленных Законом РФ «О государственной тайне»;

2) права доступа субъекта к своим персональным данным, внесения в них изменений, блокирования своих персональных данных:

а) для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;

б) для персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия;

в) для иных персональных данных в случаях, предусмотренных действующим законодательством.

Еще по теме 18.4. Права субъекта персональных данных:

1. 18.7. Уполномоченный по правам субъектов персональных данных
2. 18.5. Права и обязанности держателя (обладателя) по работе с массивами персональных данных
3. ГЛАВА 18 ПРАВОВОЕ РЕГУЛИРОВАНИЕ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. 18.1. Особенности информационных правоотношений, возникающих при производстве, передаче и потреблении персональных данных

Статья 9 . Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в , части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6 , части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

Введение.

Актуальность этой темы, на наш взгляд, велика, потому что принятие и вступление в силу Федерального закона «О персональных данных» можно рассматривать как очень серьезный и существенный шаг России на пути к информационному обществу, которое немыслимо без законодательного регулирования в сфере конфиденциальной информации и прежде всего персональных данных. Я считаю, что данная сфера правового регулирования является одной из важнейших частей закрепленного в Конституции права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, что повлияло на выбор моей темы. Кроме того, моя последняя работа была непосредственно связана с информацией, которая непосредственно относится к персональным данным.

Процесс перехода к информационному сложен и каждая его составляющая - и правовая, и организационно-техническая - является важным и неотъемлемым элементом. Если говорить конкретно о технической защите персональных данных, то касающиеся ее требования законодательства являются ключевыми. Их значение особенно возрастает, учитывая рост угроз информационной безопасности вообще, свойственный современному миру высоких технологий.

Целью этой работы является выявление наиболее общих, определяющих, главенствующих положений этого закона, их толкование, а также поиск пробелов или проблем правого регулирования, которые так или иначе могли появиться в результате принятия этого закона, а также поиск путей их решения.

Законодательством в сфере защиты персональных данных в Евросоюзе озаботились уже более двадцати лет назад, когда были заложены основные принципы в »Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных». А в 1995 и 1997 гг. были приняты Директивы Совета Европы, детализирующие требования и учитывающие развитие средств коммуникаций, обработки и хранения данных. В этих документах прямо указано, что любые личные сведения, содержащиеся и обрабатываемые в автоматизированных базах данных, должны быть защищены от несанкционированного доступа и нецелевого использования. Следует отметить, что директивы Совета Европы учитывают очень быстрое развитие различных технических средств, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных.

История и общие положения.

Федеральный закон Российской Федерации № 152-ФЗ “О персональных данных” (далее по тексту закон) был принят 27 июля 2006 года и на фоне других ярких событий ушедшего года остался почти незамеченным. Основным поводом для его принятия послужили многочисленные факты кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. Еще одной целью принятия данного закона явилась необходимость устранения определенных барьеров в торговле со странами Евросоюза.

Принятие российского закона “О персональных данных” стало следст­вием присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Эта Конвенция и последовавшие за ней несколько Директив Евросоюза сформулировали в общих чертах те задачи, которые национальное законодательство должно решать при ­регулировании работы с персональными данными:

· защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий;

· обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи;

· обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных;

· обеспечение контроля над использованием персональных данных со стороны самого гражданина;

· создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).

Наш закон во многом повторяет основные положения европейского законодательства в данной сфере, которое считается одним из самых жест­ких в мире. Хотя в 2006 году о законе достаточно часто говорили, но в содержание его положений мало кто внимательно вчитывался. А ведь для того чтобы обеспечить соблюдение его требований, придется существенно изменить работу с информацией и документацией, содержащих персональные данные.

Он регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). На первый взгляд кажется несовсем ясной формулировка данной статьи. Формулировка кажется допускающей самые разные интерпретации. Как на основе подобного текста ответить, например, на вопрос о том, подпадают ли под действие закона данные, записанные в свободной форме в деловой записной книжке? Если же такая записная книжка хранится в компьютере или в мобильном телефоне - считается ли это ­«использованием средств автоматизации? Однако подобный вопрос можно решить, если посмотреть Конвенцию “О защите физических лиц в отношении автоматизированной обработки данных личного характера”, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных. Это очень важно, поскольку за прошедшие 10 лет появились и получили широкое распространение такие технологии передачи данных, как Bluetooth, WiFi. Сделать такой вывод позволяют пункты “b”, “c” статьи 2 этой конвенции.

Прежде всего разберемся, что относится к персональным данным и что подразумевается под их обработкой. В соответствии с Законом от 27.07.06 к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.

Следует иметь ввиду то что в соответствии со ст.1 п.2 к персональным данным не относятся отношения, возникающие:

· при обработке персональных данных для личных и семейных нужд;

· при обработке персональных данных в документах Архивного фонда РФ;

· при обработке персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП);

· при обработке персональных данных, отнесенных к государственной тайне.

Законом предусмотрены следующие способы обработки персональных данных (для ряда из них в статье 3 даны подробные разъяснения):

· сбор;

· систематизация;

· накопление;

· хранение;

· уточнение (обновление, изменение);

· использование - “действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта ­персональных данных или других лиц”;

· распространение (в том числе передача) - “действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом”;

· обезличивание - “действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных”;

· блокирование - «временное прекращение сбора, систематизации, накопления, использования, распространения персональных ­данных, в том числе их передачи»;

· уничтожение персональных данных - “действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных”.

Особого внимания заслуживают такие способы обработки, как блокировка и уничтожение персональных данных. В законе на наш взгляд хороша формулировка об уничтожении - именно такой подход сейчас рекомендуется отечественными и зарубежными стандартами. Что касается блокирования персональных данных, то такой способ обработки в отечественной практике введен впервые, и его исполнение может значительно осложнить жизнь организациям, использующим ранее разработанные информационные системы и базы данных, в которых подобная операция не предусмотрена.

Принципы.

1. Обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Одним из самых неприятных для организаций, осуществляющих сбор и обработку персональных данных, является требование статьи 6 о необходимости получить согласие субъекта на их обработку. Не требуется получения согласия лишь в следующих случаях:

· на основании федерального законодательства;

· в целях исполнения договора с субъектом персональных данных;

· в статистических или научных целях;

· для защиты жизни, здоровья субъекта персональных данных;

· для доставки почтовых отправлений организациями почтовой связи;

· в ходе профессиональной деятельности журналиста, ученого и т.д.;

· в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения ­обороны страны и безопасности государства.

Первыми на проблемы, связанные с соблюдением нового закона, обратили внимание страховые компании. По их мнению, закон о персональных данных способен серьезно затруднить реализацию закона об обязательном страховании автогражданской ответственности (ОСАГО) из-за запрета передавать третьим лицам полученные при заключении договора ОСАГО персональные данные клиента без его согласия. В результате страховая компания не сможет получить полную информацию о своих клиентах из единой базы данных (да и ведение такой базы также оказывается под вопросом), в данной ситуации риски страховщиков повышаются.

Уже сейчас страховые компании пытаются решить эту важную для них проблему, рассматривая следующие варианты:

· Внесение соответствующих поправок в закон об ОСАГО и создание для страховщиков обязанности обмениваться данными о страховых случаях.

· Определение части персональных данных как публичных. Сведения, которые физическое лицо указывает при оформлении договора ОСАГО, по мнению страховщиков, являются публичными. Однако закон «О персональных данных» требует получать согласие и на сбор публичных данных.

Вызывает сомнения пункт 6 статьи 6 о предоставлении права обрабатывать персональные данные журналистам, ученым и представителям иных творческих профессий без согласия субъекта. Казалось бы вполне реально (особенно в коммерческих структурах) ввести штатную должность “представителя творческой профессии” и “записать на нее” все базы данных, содержащие персональную информацию. Однако там же есть ссылка на то, что сбор, хранение и иные действия не должны нарушать права и свободы субъекта.

Мероприятия по охране конфиденциальной информации подразделяются на:

- Внешние мероприятия . Это изучение партнеров, клиентов, с которыми приходится вести хозяйственную, коммерческую деятельность, собирать информацию об их надежности, платежеспособности и другие данные. При необходимости производится изучение связей сотрудников частной фирмы. Выясняются лица, проявляющие интерес к предприятию, его деятельности, сотрудникам, не относятся ли они к конкурирующей организации или к преступной группе. По возможности желательно установить, в чем суть этого интереса и кому понадобилась та или иная информация. Не повторится ли он в будущем, т.е. что можно ожидать от конкурента или преступных элементов.

- Внутренние мероприятия . Это подбор, проверка лиц, желающих поступить на работу в частное предприятие. Изучение их анкетных данных, поведения по месту жительства и прежней работы, личные и деловые качества, положительные и отрицательные стороны изучаемого лица, межличностные отношения, наличие судимостей, административных задержаний. В ходе анализа собранных материалов выясняется, нет ли каких-либо в них противоречий. Дополнительно может проводиться тестирование лица для выяснения моральных или других качеств. Обращается внимание на возможную работу в конкурирующей фирме и причины ухода. После этого делается вывод о пригодности кандидата к работе в данной фирме. На этом этапе изучения сотрудника интерес к нему не заканчивается. Периодически или в зависимости от поведения продолжают изучаться и анализироваться его поступки, затрагивающие интерес (секреты) предприятия. Не исключено, что конкурент может специально направить своих людей для устройства на работу в интересующее его предприятие с целью получения о нем ценных сведений.

Права субъекта персональных данных

Прежде всего субъект персональных данных вправе получить следующую информацию:

· сведения об операторе,

· сведения о месте нахождения оператора,

· сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,

· субъект также имеет право на ознакомление со своими ­персональными данными, имеющимися у оператора.

От оператора субъект персональных данных может потребовать:

· уточнения своих персональных данных,

· их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Спам под запретом

Отдельная статья Закона посвящена назойливому распространению любой рекламы. Термин “спам” в ней не содержится, однако ясно указано, что адресное направление рекламы любыми средствами коммуникаций допускается только с заранее полученного согласия человека. В противном случае рекламодатель обязан удалить из базы любые имеющиеся у него данные о человеке. Очень хорошее положение, однако для его реализации в Законе не предусмотрено конкретных механизмов. Есть общие положения о федеральном органе по надзору и об ответственности оператора - нарушителя в установленном порядке.

Порядок сертификации средств связи, баз данных, информационных систем

Итак, чтобы получить право на работу с персональными данными, оператор должен пройти процедуру сертификации своих аппаратных и программных средств, к которым относятся:

· автоматизированные системы различного уровня и назначения;

· системы связи, приема, обработки и передачи данных;

· системы отображения и размножения;

· помещения, предназначенные для размещения аппаратно-программных комплексов.

Обыденная ситуация - мы делаем заказ DVD на сайте. Указываем адрес доставки и контактный телефон. Мы не подозреваем ничего плохого, так надо, чтобы курьер привез выбранные фильмы к нам домой. Через некоторое время в почтовый ящик начинает приходить спам (очень частые и поэтому назойливые предложения рекламного характера), незнакомые фирмы шлют свои предложения и звонят, называют по имени. Неприятно. Бывают ситуации и с криминальным оттенком. Например, многие пользуются сейчас интернет-банкингом, и случаи воровства данных счетов, пластиковых карт хорошо известны.

Для получения доступа к своим персональным данным нашим соотечественникам необходимо:

· обратиться лично либо

· прислать запрос, который должен содержать:

· номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя,

· сведения о дате выдачи указанного документа и выдавшем его органе и

· собственноручную подпись субъекта персональных данных или его законного представителя.

Данный запрос может быть направлен в электронной форме и подписан электронной цифровой подписью. Таким образом, формально закон предоставляет возможность обратиться за своими персональными данными по электронным каналам связи. Вот только физических лиц, имеющих собственную ЭЦП, соответствующую закону об ЭЦП, у нас пока нет (в подавляющем большинстве случаев ЭЦП в нашей стране используется в соответствии со статьей 160 Гражданского кодекса, предусматривающей предварительное соглашение сторон).

Объем информации, который может запросить субъект персональных данных, демонстрирует заботу о наших гражданах. Организациям, ведущим содержащие персональные данные базы данных, рекомендуется обратить особое внимание на пункт 4 статьи 14 нового закона, чтобы заранее продумать и закрепить во внутренних нормативных актах порядок предоставления информации:

· о факте обработки персональных данных оператором, а также целях такой обработки;

· о способах обработки персональных данных, применяемых оператором;

· о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (чтобы быть в состоянии отчитаться в том, кому и какие персональные данные предоставлялись, необходимо наладить работу по учету персональных данных и контролю доступа к ним, иначе организации-оператору будет довольно сложно выполнить данное требование);

· перечень обрабатываемых персональных данных и источники их получения;

· сроки обработки персональных данных, в том числе сроки их хранения (стоит обратить особое внимание на это требование, т.к. фактически оно обязывает оператора закреплять внутренними нормативными документами сроки обработки и хранения, которые могут различаться в зависимости от целей обработки персональных данных);

· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных (чтобы выполнить данное требование, организациям стоит заранее поручить своим юристам сформулировать обоснования всех возможных юридических последствий обработки персональных данных)

Также запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы» (статья 16).

Данная норма является необходимой и своевременной. Но наши законодатели, формулируя ее, спутали два разных понятия: “автоматический” (т.е. идущий без участия человека) и “автоматизированный” (т.е. идущий с участием человека). В результате данная статья вместо того, чтобы устанавливать дополнительные ограничения в тех и только тех случаях, когда информационная система принимает какие-либо решения без участия человека (например, о начислении штрафа, о запрете выезда за пределы страны и т.д.), может толковаться как устанавливающая ограничения на все виды обработки персональных данных, поскольку под автоматизированной обработкой можно понимать даже использование калькулятора!

В этой же статье нового закона сказано, что оператор сможет принимать решения на основании только “автоматизированной” обработки, если:

· получит на это согласие в письменной форме от субъекта ­персональных данных или

· если данные правила установлены федеральными законами.

В некоторых нормативных документах данные требования закона уже учтены. Так, в образцах заявлений о выдаче паспорта нового поколения содержится специальный раздел, в котором заявитель дает свое согласие на “автоматизированную” обработку указанных в заявлении данных. Звучит он следующим образом: “С автоматизированной обработкой, передачей и хранением данных, указанных в заявлении, в целях изготовления, ­оформления и контроля паспорта в течение срока его действия согласен”.

Оператор также должен будет предварительно предоставить гражданину следующую информацию:

· порядок принятия решения на основании исключительно “автоматизированной” обработки его персональных данных и

· возможные юридические последствия такого решения;

· порядок защиты субъектом персональных данных своих прав и ­законных интересов;

· возможность заявить возражение против такого решения.

В случае спора именно оператор должен будет доказать, что он выполнил все требования закона. Это означает, что ему придется тщательно собирать и хранить подтверждающие документы.

Обязанности оператора

Одной из важнейших норм Закона от 27.07.06 является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т. е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.

Итак, на обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме – в зависимости от категории персональных данных, а также характера их обработки.

Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:

· при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;

· при обработке биометрических персональных данных – сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т.д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;

· при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.

В соответствии с законом письменное согласие субъекта на обработку его персональных данных должно включать:

· фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

· наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

· цель обработки персональных данных;

· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

· срок, в течение которого действует согласие, а также порядок его отзыва.

Интересно, что независимо от того, в письменной или устной форме получено согласие субъекта на обработку его персональных данных, на оператора возлагается обязанность по доказыванию факта получения такого согласия.

Пунктом 2 статьи 18 устанавливается обязанность оператора разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если предоставление персональных данных субъектом установлена федеральным законом. К таким случаям относится обработка персональных данных, проводимая на основании федерального закона определяющего цели и условия получения персональных данных, а также круг субъектов, персональные данные которых подлежат обработке и полномочия оператора.

В отдельных случаях для субъекта может предусматриваться необходимость предъявления дополнительных документов оператору.

Кроме того, Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела (утв. Указом Президента РФ от 30 мая 2005 г. N 609) предусматривает порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации, а также ведение его личного дела. Так же данным Указом предусматривается что, представитель нанимателя или уполномоченное им лицо вправе подвергать обработке, в том числе автоматизированной, персональные данные гражданских служащих при формировании кадрового резерва.

В личное дело гражданского служащего вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа. Персональные данные, внесенные в личные дела гражданских служащих, другие сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации. А в случаях, установленных федеральными законами и нормативными правовыми актами Российской Федерации - к сведениям, составляющим государственную тайну.

Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных. При проведении определенных исследований возникает необходимость в статистических данных, например, по возрастной группе населения без идентификации субъектов персональных данных. А также в случае, когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

В соответствии со ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему возрасте для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.

Также в обязанности оператора входит разъяснение субъекту персональных данных юридические последствия отказа предоставить свои персональные данные оператор обязан, в случае если обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи. Одной из целей поставленных ФЗ "О связи" является защита интересов пользователей услугами связи и осуществляющих деятельность в области связи хозяйствующих субъектов. Пользователем услугами связи является лицо, заказывающее и (или) использующее услуги связи. Услуги связи - это деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений. К таким сведениям относятся - фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.

А также если обработка персональных данных осуществляется в целях профессиональной деятельности журналиста или в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Здесь примером может служить Федеральный закон "Об информации, информационных технологиях и о защите информации" регулирующий отношения при возникновении права на поиск, получение, передачу, производство, распространение и защиту информации с использованием информационных технологий.

Кроме того, Закон РФ "Об авторском праве и смежных правах" регулирует отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм исполнений, постановок, передач организаций эфирного или кабельного вещания.

Еще одной немаловажной обязанностью оператора является разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в случае, если осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Так в соответствии с Указом Президента РФ "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом Российской Федерации или Правительством Российской Федерации, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих. А сведения о доходах, имуществе и обязательствах имущественного характера гражданских служащих субъекта Российской Федерации предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.

Средствам массовой информации по их обращениям предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера выше указанных гражданских служащих - декларированный годовой доход, перечень объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них, перечень транспортных средств и суммарная декларированная стоимость ценных бумаг, принадлежащих гражданскому служащему на праве собственности.

В предоставляемых средствам массовой информации сведениях запрещается указывать данные о супруге, детях и иных членах семьи гражданского служащего; данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи; данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании; информацию, отнесенную к государственной тайне или являющуюся конфиденциальной.

В статье 19 представлены меры по обеспечению безопасности персональных данных при их обработке.

Пункт 1 данной статьи обязывает оператора при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, вплоть до применения шифровальных (криптографических) средств.

©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-26

Основные понятия информационной безопасности

Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.

Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;

Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [2 ,3 ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы.

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);

по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход. Выделяют следующие уровни защиты информации:

законодательный – законы, нормативные акты и прочие документы государства и международного сообщества;

административный – комплекс мер, предпринимаемых локально руководством организации;

процедурный уровень – меры безопасности, реализуемые людьми;

программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность.

1.2. Закон регулирует отношения, возникающие при:

осуществлении права на поиск, получение, передачу, производство и распространение информации;

применении информационных технологий;

обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

информация - сведения (сообщения, данные) независимо от формы их представления;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

установление ограничений доступа к информации только федеральными законами;

открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;

равноправие языков народов при создании информационных систем и их эксплуатации;

обеспечение безопасности при создании информационных систем, их эксплуатации и защите содержащейся в них информации;

достоверность информации и своевременность ее предоставления;

неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;

недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В законе, определяется информация, к которой нельзя ограничить доступ, например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

информацию, свободно распространяемую;

информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

информацию, распространение которой ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных, обязаны обеспечить:

предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

своевременное обнаружение фактов несанкционированного доступа к информации;

предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в государства и определяет права и обязанности его субъектов.

Персональные данные

Необходимость обеспечения безопасности персональных данных в наше время - объективная реальность. Современный человек не может самостоятельно противодействовать посягательству на его частную жизнь. Возросшие технические возможности по сбору и обработке персональной информации, развитие средств электронной коммерции и социальных сетей делают необходимым принятие мер по защите персональных данных.

Рассмотрим несколько примеров из повседневной жизни, когда нарушаются права человека на конфиденциальность персональных данных. Бывает так, что при оформлении дисконтной карты в магазине покупатель указывает следующие сведения: фамилию, номер телефона, электронный адрес, а затем получает сообщения и письма совершенно из других магазинов, в которых даже никогда не бывал. То есть магазин без согласия покупателя передал его данные третьим лицам. Если газета печатает ФИО и суммы выигрыша победителей лотереи без их ведома, или ТСЖ вывешивает на подъезде списки должников и сумму их долга - это примеры "безобидных " утечек. Кража персональных данных может нанести правообладателю ощутимый материальный ущерб, если речь идет о кредитных картах или информации о сбережениях в банке. Злоумышленники, обладающие достаточными техническими знаниями, похищают реквизиты банковских карт (скиминг) или имитируют сайты финансовых учреждений, чтобы заставить пользователя показать свою личную информацию (фишинг). На самом деле зачастую даже трудно установить источник утечки персональных данных вследствие высокой информатизации современного общества.

В соответствии с Законом персональные данные - любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПД). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПД.

Операторами персональных данных являются государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Информационная система персональных данных (далее ИСПД) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств [7 ].

Регуляторами называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований федерального закона.

2.2. Категории персональных данных

ФЗ "О персональных данных" выделяет следующие категории персональных данных.

Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

субъект ПД дал согласие в письменной форме на обработку своих персональных данных;

персональные данные являются общедоступными;

персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну;

обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;

обработка персональных данных осуществляется в соответствии с законодательством определяет следующие категории персональных данных , которые обрабатываются в ИСПД:

2.3. Права субъекта персональных данных

Субъект персональных данных – это физическое лицо, которое может быть однозначно идентифицировано на основе персональных данных, то есть фактически тот, чьи данные необходимо защищать. Рассмотрим основные права субъекта ПД, установленные ФЗ-№152.

Право субъекта персональных данных на доступ к своим персональным данным. Это предполагает право субъекта на получение сведений об операторе персональных данных и о том, какие ПД, относящие к этому субъекту, он обрабатывает, а также непосредственный доступ к этим ПД. Субъект вправе требовать от оператора уточнения ПД, их блокирования или уничтожения, если они устаревшие, неполные или не являются необходимыми для заявленной цели обработки. Доступ к своим ПД предоставляется субъекту(или его представителю) при обращении либо на основании запроса. Полученная информация может содержать следующие сведения:

цель обработки ПД

способы обработки ПД

сроки обработки ПД

перечень допущенных к обработке ПД лиц

перечень обрабатываемых ПД и источник их получения

сведения о возможных юридических последствиях обработки ПД для субъекта ПД.

Закон определяет случаи, когда данное право субъекта ПД ограничивается, например, если речь идет о безопасности страны, нарушении конституционных прав и свобод других лиц или оперативно-розыскной деятельности.

Права субъектов ПД при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. В данном случае обработка осуществляется только при условии предварительного согласия субъекта. При этом важно отметить, что обработка признается осуществленной без согласия субъекта, если оператор не доказал обратное. Оператор обязан немедленно прекратить обработку ПД по требованию субъекта.

Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Закон запрещает принятие решений в отношении субъекта ПД исключительно на основании автоматизированной обработки, если не получено его согласия в письменной форме или в случаях, предусмотренных федеральными законами.

Право на обжалование действий или бездействия оператора. Если субъект ПД считает, что оператор обрабатывает его ПД ненадлежащим образом, то есть нарушает его права, он может обратиться в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Необходимо отметить, что субъект ПД имеет право на возмещение убытков и компенсацию материального вреда в судебном порядке.

Важно отметить, что оговаривается обязанность оператора не передавать персональные данные третьим лицам.

При этом многие организации допускают ошибку в том, что если они не обязаны уведомлять уполномоченный орган об обработке ПД, то можно не выполнять обязанности, возлагаемые законом на операторов ПД. Такие действия являются противозаконными, однозначно трактуются как невыполнение требований законодательства и караются мерами, предусмотренными Законом.

Рассмотрим основные обязанности оператора персональных данных:

Обеспечение безопасности обработки персональных данных, что означает обязанность "принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".

Уведомительный характер обработки персональных данных. При получении персональных данных (в том числе от третьих лиц) оператор ПД до начала обработки обязан получить у субъекта этих ПД письменное разрешение на их обработку (за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если они являются общедоступными). Важно отметить, что субъект имеет право отозвать данное разрешение.

Оператор обязан предоставить субъекту ПД по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его персональных данных.

Оператор также должен уничтожить или блокировать соответствующие персональные данные, внести в них необходимые изменения по предоставлении субъектом ПД или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных персональных данных на него возлагается обязанность доказать, что обрабатываемые ПД являются общедоступными.

Подконтрольность и поднадзорность деятельности операторов персональных данных государственным органам. Это означает обязанность оператора сообщать в уполномоченный орган по защите прав субъектов ПД по его запросу информацию, необходимую для осуществления деятельности указанного органа. Законом также предусмотрены случаи, когда не требуется согласие субъекта ПД на обработку сведений о нем:

обработка персональных данных осуществляется на основании других федеральных законов, например, некоторыми Федеральными законами предусматриваются случаи обязательного предоставления субъектом ПД своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства;

оператор и субъект ПД связаны договором на выполнение действий, которые требуют обработки персональных данных этого субъекта, например, договор, по которому туристическая фирма (оператор) имеет право использовать персональные данные субъекта для бронирования гостиницы;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно, например, госпитализация человека при несчастном случае;

обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;

осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности[7 ].

Во всех других случаях оператор должен соблюдать требования законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований.

Автоматизированная и неавтоматизированная обработка персональных данных

Существует два вида обработки персональных данных: автоматизированный и неавтоматизированный .

Обработка персональных данных является неавтоматизированной , если осуществляется при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПД для каждой из них должен использоваться отдельный материальный носитель[10 ].

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

При этом оператор также может совершить ошибку, неправильно трактуя данные пункты. Дело в том, что почти во всех операциях по обработке ПД участвует человек, но это не значит, что обработка неавтоматизированная. Достаточно просто сохранить информацию в виде файла на компьютере – и обработка тут же станет автоматизированной. Примером неавтоматизированной обработки может стать выдача бумажного одноразового пропуска на территорию организации или талончика к врачу.

Данный документ вводит понятие "автоматизированный файл" – любой комплекс данных, подвергающихся автоматизированной обработке. И, соответственно, "автоматизированная обработка " включает следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение [11 ].

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.