| ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Фомченков С.М. (sergey@admin.smolensk.ru),
заместитель начальника отдела телекоммуникаций
Управления информатики и телекоммуникаций
Аппарата Администрации Смоелнской области
(Комментарий к
Федеральному закону от 27 июля 2006 г. N 152-ФЗ)
Федеральный закон от 27
июля 2006 г. N 152-ФЗ "О персональных данных".
Опубликован в Российской газете 29 июля 2006 г.,
вступил в силу 26 января 2007 года.
Общий обзор
Согласно Закону персональные
данные - это любая информация, относящаяся к
определенному или определяемому на основании
такой информации физическому лицу (субъекту
персональных данных). К таким данным, в частности,
относятся фамилия, имя, отчество, год, месяц, дата
и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия,
доходы.
Помимо этого установлены
некоторые специальные категории персональных
данных, в отношении которых действуют повышенные
меры защиты от несанкционированной обработки и
распространения. Это информация, касающаяся
расовой, национальной принадлежности,
политических взглядов, религиозных или
философских убеждений, состояния здоровья,
интимной жизни физического лица, а также биометрические
персональные данные - сведения, характеризующие
физиологические особенности человека (ст. ст. 10
и 11 Закона).
Согласно глоссарию,
содержащемуся в ст. 3 Закона, термин "обработка
персональных данных" включает в себя весь
спектр действий с персональными данными, в том
числе сбор, систематизацию, накопление, хранение,
уточнение, использование, распространение,
обезличивание, блокирование и уничтожение. По
общему правилу (п. 1 ст. 6 Закона) обработка данных
возможна только с согласия субъекта
персональных данных (далее - субъект), однако
перечень исключений из этого правила достаточно
широк. Так, согласие субъекта не требуется, когда
обработка данных:
- ведется на основании
федерального закона, устанавливающего ее цель,
условия получения данных и круг субъектов,
персональные данные которых подлежат обработке,
а также определяющего полномочия оператора;
- проводится в целях
исполнения договора, одной из сторон которого
является субъект;
- ведется для
статистических или иных научных целей при
условии обязательного обезличивания
персональных данных;
- необходима для защиты
жизни, здоровья или иных жизненно важных
интересов субъекта, если получение его согласия
на обработку данных невозможно;
- необходима для доставки
почтовых отправлений организациями почтовой
связи, для расчетов операторами электросвязи с
пользователями за оказанные услуги связи, а
также для рассмотрения претензий пользователей
услугами связи;
- ведется в целях
профессиональной деятельности журналиста либо в
целях научной, литературной или иной творческой
деятельности при условии, что при этом не
нарушаются права и свободы субъекта.
Также не требуется
согласия субъекта на обработку данных,
подлежащих опубликованию в соответствии с
федеральными законами, в том числе персональных
данных кандидатов на выборные государственные
или муниципальные должности, а также лиц,
замещающих государственные должности, должности
государственной гражданской службы.
Одним из
основополагающих принципов обработки
персональных данных является соответствие
способа обработки и объема обрабатываемых
данных законным целям, определенным
оператором до начала обработки. В частности, сбор
информации о социальном положении физического
лица явно не имеет отношения к доставке почтовых
отправлений организациями связи. Также одним из основных
принципов является обоснованность срока
обработки персональных данных. Например, при
смене абонента обслуживаемого телефонного
номера оператор телефонной связи, законно и
целесообразно обрабатывающий персональные
данные своих клиентов, обязан своевременно
прекратить обработку и уничтожить все
персональные данные предыдущего абонента.
Действие Закона
распространяется на все отношения, связанные с
обработкой персональных данных, за исключением:
- обработка персональных
данных физическими лицами исключительно для
личных и семейных нужд, если при этом не
нарушаются права субъекта;
- организация хранения,
комплектования, учета и использования
содержащих персональные данные документов
Архивного фонда Российской Федерации и других
архивных документов в соответствии с
законодательством об архивном деле в РФ;
- обработка подлежащих
включению в Единый государственный реестр
индивидуальных предпринимателей сведений о
физических лицах, если она проводится в
соответствии с законодательством РФ в связи с
деятельностью физического лица в качестве
индивидуального предпринимателя;
- обработка персональных
данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну.
Персональные данные
являются строго конфиденциальными, любые лица,
получившие к ним доступ, обязаны хранить эти
данные втайне. Однако и из этого правила
существуют два исключения:
- обезличенные
персональные данные - данные, в отношении которых
невозможно определить их принадлежность
конкретному физическому лицу. Такие данные могут
собираться, например, для статистического учета;
- общедоступные
персональные данные - Закон прямо
предусматривает возможность размещать
персональные данные в общедоступных источниках
(например, в телефонных книгах) исключительно с
согласия субъекта.
Для размещения
персональных данных в общедоступных источниках
необходимо письменное согласие, в котором
субъект среди прочего указывает адрес и все
сведения об основном документе, удостоверяющем
его личность. Письменное согласие необходимо
также в случае:
- обработки специальных
персональных данных;
- принятия на основании
исключительно автоматизированной обработки
персональных данных решений, порождающих
юридические последствия в отношении субъекта
или иным образом затрагивающих его права и
законные интересы.
Форма письменного
согласия приведена в законе:
При обработке
персональных данных работников в связи с
трудовыми отношениями работодателям следует
руководствоваться положениями Закона, а также
гл. 14 Трудового кодекса Российской Федерации.
Действия оператора при
обработке персональных данных
Оператор -
государственный, муниципальный орган,
юридическое или физическое лицо, организующие и
(или) осуществляющие обработку персональных
данных, а также определяющие ее цели и
содержание. При необходимости обработки
персональных данных оператор должен выполнять
следующие действия.
1. Уведомить по форме,
предусмотренной п. 3 ст. 22 Закона, уполномоченный
орган по защите прав субъектов персональных
данных о намерении осуществлять обработку
данных. Согласно п. 2 той же статьи такое уведомление
не требуется при обработке персональных
данных собственных работников, общедоступных
сведений, содержащих только фамилию, имя и
отчество, а также в некоторых других случаях.
2. Предпринять
предусмотренные Законом и подзаконными актами
меры для защиты конфиденциальности полученных
персональных данных (подробные требования к
обеспечению безопасности персональных данных
при их обработке устанавливает Правительство
РФ).
Статья 19. Меры по
обеспечению безопасности персональных данных
при их обработке
1. Оператор при обработке
персональных данных обязан принимать
необходимые организационные и технические меры,
в том числе использовать шифровальные
(криптографические) средства, для защиты
персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, распространения
персональных данных, а также от иных
неправомерных действий.
2. Правительство
Российской Федерации устанавливает требования к
обеспечению безопасности персональных данных
при их обработке в информационных системах
персональных данных, требования к материальным
носителям биометрических персональных данных и
технологиям хранения таких данных вне
информационных систем персональных данных.
3. Контроль и надзор за
выполнением требований, установленных
Правительством Российской Федерации в
соответствии с частью 2 настоящей статьи,
осуществляются федеральным органом
исполнительной власти, уполномоченным в области
обеспечения безопасности, и федеральным органом
исполнительной власти, уполномоченным в области
противодействия техническим разведкам и
технической защиты информации.
Средства ЗИ подлежат
обязательной сертификации. Криптографические
средства должны быть отечественного
производства и выполнены на основе
криптографических алгоритмов, рекомендованных
ФСБ
Программные продукты для
обработки персональных данных должны быть
сертифицированы, а поставщик должен иметь
соответствующую лицензию.
Существует ряд ситуаций,
когда оператор обязан прекратить обработку и
уничтожить собранные персональные данные:
- по достижении целей
обработки или при утрате необходимости в их
достижении (п. 2 ст. 5 Закона);
- требованию субъекта или
уполномоченного органа по защите прав субъектов
персональных данных - если персональные данные
являются неполными, устаревшими, недостоверными,
незаконно полученными или не являются
необходимыми для заявленной цели обработки (п. 1
ст. 14 Закона);
- при невозможности
устранить допущенные нарушения в отношении
обработки персональных данных оператор в срок,
не превышающий трех рабочих дней с даты
выявления неправомерности действий с
персональными данными (п. 3 ст. 21 Закона);
- отзыве субъектом
согласия на обработку своих персональных данных
(п. 4 ст. 21 Закона).
Ранее созданные
информационные системы персональных данных
должны быть приведены в соответствие с
требованиями Закона не позднее 1 января 2010 г.
|
