В современных условиях одним из важнейших направлений защиты прав личности в информационной сфере является регулирование отношений в области персональных данных. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту персональных данных (ПДн).
В 1981 году Совет Европы принял Конвенцию «О защите личности в связи с автоматической обработкой персональных данных». 25 ноября 2005 г. Государственная Дума ратифицировала данную Конвенцию (Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматической обработке персональных данных») [1], возложив на Российскую Федерацию обязательства по приведению в соответствие с нормами европейского законодательства деятельность в области защиты прав субъектов ПДн. Первым шагом в реализации взятых обязательств стало принятие Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» [2]. Закон вступил в силу в конце января 2007 года.
Законодательство Российской Федерации в области ПДн основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из вышесказанного Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», других нормативных правовых актов, определяющих порядок обработки и защиты персональных данных.
Федеральный закон № 152-ФЗ определил обязательные требования по обработке и защите персональных данных, которые затем были конкретизированы в нормативных правовых актах Правительства Российской Федерации и Минкомсвязи России, нормативных и методических документах регуляторов данной области: Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по надзору в сфере связи, массовых коммуникаций и информационных технологий (Роскомнадзор).
За небольшой промежуток времени с 2007 года, было принято достаточное количество нормативных правовых актов, регулирующих правовые отношения в данной области деятельности – обработки и защиты персональных данных человека.
Сложившаяся иерархия нормативных правовых актов в данной области представлена на рис. 1.
Целью российского законодательства в области защиты персональных данных является обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Законодательством регулируются отношения, связанные с обработкой ПДн, осуществляемой государственными органами власти, органами местного самоуправления, юридическими лицами и физическими лицами.
Сущность и содержание обработки и защиты персональных данных в России
Анализ сущности и содержание нормативных правовых актов Российской Федерации в области защиты персональных данных позволило сформировать модель обработки персональных данных (ПДн) и их защиты (рис. 2), которая поможет более полно понять правовые отношения, возникающие в области обработки персональных данных и их защиты, сложившиеся в России.
Рис. 1. Иерархия нормативных правовых актов в области обработки и защиты персональных данных
Из модели обработки персональных данных и их защиты следует:
во-первых, субъектом персональных данных является человек, которому могут принадлежать или принадлежат следующие персональные данные: специальные, биометрические, геномные; общедоступные, обезличенные и общие персональные данные. Субъект персональных данных имеет права и обязанности в отношении обработки его персональных данных и их защите;
во-вторых, персональные данные человека могут обрабатывать и при этом обязательно их защищать, государственные и муниципальные органы, юридические или физические лица, являющиеся операторами, которые также имеют права и обязанности в отношении субъекта персональных данных по обработке его персональных данных. Операторы должны исключить или уменьшить угрозы в отношении персональных данных субъектов персональных данных;
Рис. 2. Модель обработки и защиты персональных данных
в-третьих, при обработке персональных данных операторы должны выполнять обязательные требования, которые определены в нормативных правовых актах, регулирующих эту область деятельности;
в-четвертых, за выполнением обязательных требований в данной области осуществляется государственный надзор (контроль). Такими основными органами государственного надзора (контроля) в Российской Федерации являются: Федеральная служба безопасности России, Федеральная служба технического и экспортного контроля России и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций;
в-пятых, в ходе проведения проверок операторов, обрабатывающих персональные данные, указанные органы власти в обязательном порядке должны руководствоваться и выполнять требования административных регламентов;
в-шестых, в соответствии с требованиями нормативных правовых актов субъекты защиты информации обладают обязанностями, имеют права и несут ответственность за нарушения требований законодательства в данной области – дисциплинарную, гражданско-правовую, административную и уголовную. Вид ответственности для операторов, обрабатывающих персональные данные, определяется по результатам проверок, исходя из тяжести выявленных нарушений в области обработки и защиты персональных данных и их вины.
Содержание обработки персональных данных и их защиты будем рассматривать с ключевых понятий в данной области, приведенных в нормативных правовых актах, стандартах и методических документах ФСБ России, ФСТЭК России и Роскомнадзора.
Обработка персональных данных и их защиты должна осуществляться на основе определенных принципов и условий (рис. 3).
Рис. 3. Принципы и условия обработки и защиты персональных данных
В статье 5 Федерального закона «О персональных данных» определены принципы обработки и защиты персональных данных, к которым относятся:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Обработка и защита персональных данных должна выполняться с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных».
При этом обработка персональных данных допускается, если при этом соблюдаются условия.
Таким образом, целями обработки и защиты персональных данных является создание правовых условий по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
При этом задачей операторов, обрабатывающих персональные данные, и органов, осуществляющих государственный надзор и контроль, является выполнение требований нормативных правовых актов в сфере персональных данных, принятых в России [4].