Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБОРОТА
ПЕРСОНАЛЬНЫХ ДАННЫХ. ТЕОРИЯ И ПРАКТИКА
Н.И. ПЕТРЫКИНА
ВВЕДЕНИЕ
Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики. Специфика ее заключается в необходимости создания оптимального правового механизма оборота и защиты персональных данных, учитывающего в равной степени публично-правовой интерес государства и частноправовой интерес индивида. Решению этой проблемы должны послужить как глубокие теоретические исследования, в том числе сравнительно-правовые, так и анализ накопленной правоприменительной практики. Решение этой проблемы невозможно также без мониторинга состояния рынка информационных технологий, продуктов и услуг и отслеживания общих тенденций развития информационного общества.
Настоящая работа представляет собой одну из первых попыток обобщения и системного анализа правовых проблем, связанных с оборотом персональных данных личности в России. Правовой анализ проведен автором на основе действующего российского и зарубежного законодательства. В работе уделяется равное внимание как теоретическим, научным основам правового регулирования данного института, так и сугубо практическим вопросам применения соответствующего законодательства и подзаконных актов. В связи с этим автор выражает надежду, что данная монография будет интересна как ученым-правоведам, так и практическим работникам - юристам, кадровикам, бухгалтерам и представителям других профессий, которые столкнулись с проблемой обеспечения защиты персональных данных личности.
26 января 2007 г. вступил в силу Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" <1>, заложивший общие основы правового регулирования оборота персональных данных в России. Это не означает, однако, что до вступления в силу данного Закона персональные данные граждан не собирались и не использовались в различных целях различными субъектами. Напротив, сбор и обработку персональных данных осуществляли и государственные органы, и органы местного самоуправления, и общественные организации, и частные юридические и физические лица. При этом строгая правовая регламентация этой деятельности отсутствовала.
--------------------------------
<1> СЗ РФ. 2006. N 31 (ч. I). Ст. 3451.
На особенности оборота персональных данных в советский и постсоветский периоды истории нашего государства значительное влияние оказала господствующая административно-правовая концепция управленческой деятельности как деятельности, основанной на безусловном приоритете публичных интересов государства над частными интересами отдельного лица. В центре внимания ученых-административистов находились вопросы организации исполнительно-распорядительной деятельности государства. Проблемы же разработки эффективных правовых процедур взаимодействия органов государственной власти с частными лицами и гарантии защиты прав последних попали в фокус общественного внимания только после принятия Конституции РФ 1993 г., которая закрепила революционный для нашего государства принцип приоритета прав и свобод человека и гражданина.
Поэтому персональные данные личности долгое время рассматривались исключительно как необходимый для осуществления государственной управленческой деятельности информационный ресурс. В отсутствие соответствующего механизма правового регулирования возникали различные злоупотребления: дублирование полномочий государственных и иных органов в части сбора и обработки персональных данных, сбор избыточных персональных данных и т.п. О необходимости обеспечения конфиденциальности персональных данных никто даже не задумывался.
Распространение компьютерной техники серьезно усугубило проблему. Слабый контроль за использованием персональных данных и отсутствие специальных мер юридической ответственности привели к тому, что сформировался теневой рынок информационных баз данных и любой желающий мог по сходной цене приобрести для собственных (как правило, незаконных) целей базы персональных данных ГИБДД, МГТС и т.п.
Степень демократичности любого государства во многом определяется тем, насколько защищены в нем права и свободы отдельного индивида. Персональные данные личности являются конфиденциальной информацией, и оборот ее в демократическом государстве, коим провозгласила себя Россия, должен осуществляться в рамках жесткой правовой процедуры.
В настоящее время проблема правового регулирования персональных данных личности остро нуждается в дальнейшей научной разработке. Несмотря на довольно большое число ученых, занимающихся этой проблематикой (А.Б. Агапов, И.Л. Бачило, Л.А. Василенко, Е.К. Волчинская, С.А. Глотов, И.Ш. Килясханов, М.А. Лапина, В.Н. Лопатин, М.В. Лушникова, А.С. Маркевич, Е.К. Миндрова, М.М. Рассолов, Е.А. Степанов, Л.А. Сергиенко, Л.Н. Подшибихин, М.Е. Петросян, И.Л. Петрухин, А.А. Фатьянов и др.), тема правового регулирования оборота и защиты персональных данных личности остается по-прежнему недостаточно исследованной.
Предваряя настоящее исследование, необходимо отметить, что институт персональных данных относится к новой для российской системы права отрасли - информационному праву. Доктринальное и законодательное оформление информационного права в самостоятельную правовую отрасль началось в 80-х гг. XX в., а в последнее десятилетие, в связи со стремительным развитием информационных технологий и повсеместным распространением компьютерной техники, оно получило новый толчок к развитию. В настоящее время информационное право продолжает свое становление, и уже сейчас о нем можно говорить как о молодой, но достаточно сформировавшейся комплексной правовой отрасли.
Институт персональных данных, являющийся одним из институтов информационного права, в силу комплексного характера всей отрасли тоже является комплексным. Его составляют нормы информационного, конституционного, административного, гражданского, уголовного, трудового, семейного, финансового и иных отраслей права. Особая роль в правовом регулировании института персональных данных принадлежит нормам международного права.
В настоящее время по уровню правовой защиты персональных данных Россия значительно отстает от развитых западных стран, в которых соответствующее законодательство было принято на несколько десятилетий раньше. Однако стремительный темп процессов европейской интеграции и всеобщей глобализации диктует необходимость скорейшего приведения российского законодательства и практики в соответствие с международными нормами. Это делает проблему создания эффективного механизма правового регулирования оборота персональных данных особенно актуальной.
Глава 1. ОБЩАЯ ХАРАКТЕРИСТИКА
ИНСТИТУТА ПЕРСОНАЛЬНЫХ ДАННЫХ
§ 1. Предпосылки возникновения института
персональных данных личности
Предпосылки возникновения института персональных данных связаны как с объективными тенденциями развития общества и государства, так и с субъективными потребностями конкретного индивида. Именно поэтому специалисты, занимающиеся данной проблематикой, как правило, делятся на два "лагеря": сторонников приоритета обеспечения публично-правовых интересов государства и сторонников приоритета обеспечения частноправовых интересов личности. Эти два подхода по сути своей диаметрально противоположны, но тем не менее представляют собой две стороны одной медали. Государство заинтересовано в получении максимально полной информации о гражданах, а гражданин - в обеспечении защиты своего личного пространства, прайвеси (англ. privacy). От того, чей интерес ставится во главу угла, зависит характер правового регулирования оборота персональных данных. Автор данной работы придерживается "частноправового" подхода, полагая, что опыт защиты интересов государства в нашей стране отработан до совершенства, чего, к сожалению, пока нельзя сказать о защите интересов личности.
Исследование правового регулирования оборота персональных данных следует начать с уяснения сути самого феномена "персональные данные". Иными словами, речь идет о необходимости определения предмета правового регулирования. Это важно еще и потому, что до недавнего времени в действующем российском законодательстве не только не существовало единого подхода к этой проблеме, но не было даже единого термина, обозначающего изучаемое явление.
Подобное положение дел вполне объяснимо. Ведь в советское время проблемы оборота и защиты персональных данных личности не существовало и не могло существовать. Приоритет общественного над личным предполагал "прозрачность" частной жизни индивида для общества и государства.
Сегодня ситуация коренным образом изменилась. Конституция РФ 1993 г. закрепила принцип приоритета прав и свобод человека и гражданина, право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиты чести и доброго имени (ст. 2, п. 1 ст. 23).
Демократизация всех сфер общественной жизни в России создала благоприятные условия для свободного информационного обмена, а прорывное развитие новых технологий сделало сам информационный обмен как никогда более интенсивным. Применение компьютерных технологий значительно облегчило сбор, накопление, обработку и распространение информации, в том числе и информации личного характера - персональных данных, однако одновременно с этим значительно повысило риск их утечки и несанкционированного использования. В связи с этим возникла необходимость в создании правового механизма защиты информации.
Как известно, человек - существо социальное. Являясь частью общества, он строит свою жизнь в соответствии с его традициями и законами, вследствие чего он неизбежно должен в некоторой степени ограничивать свою свободу и вырабатывать адекватные принципы взаимоотношений с другими людьми и обществом в целом. В то же время, являясь частью человеческого сообщества, каждый индивид нуждается в собственной персонификации, т.е. в установлении отличий от других индивидов и некоторой обособленности личности. То есть для благополучной и стабильной социальной и личной жизни человеку необходима гармонизация своих собственных интересов с интересами общества.
Вышеизложенное относится ко всем сферам проявления человеческой личности, в том числе и к сфере личной свободы и информации. Любой человек, являясь частью социума, не может быть единственным и безусловным обладателем информации о самом себе. Информация о человеке неизбежно циркулирует в обществе, объективно существуя как в виде документов, так и в сознании других людей, а оборот ее часто осуществляется независимо от воли индивида. В то же время очевидно, что индивид должен иметь право быть осведомленным о том, какая информация о нем накапливается в обществе, и иметь право влиять на этот процесс: "Любой психически здоровый человек с момента осознания себя личностью существует как бы в двух параллельных плоскостях - перед самим собой он предстает в одной ипостаси, перед окружающими, внешней средой - в иной. Подавляющее большинство людей не горят желанием демонстрировать свой внутренний мир, его интимные закоулки и ту совокупность информации, которую по разным причинам человек желает скрыть от окружающих... Более углубленное проникновение в причины такой поведенческой модели человека - дело психологии. Для юридической науки важно, что данная поведенческая модель является распространенным повторяющимся поведением - нормой. Причем отклонение от этой нормы воспринимается обществом негативно и, более того, в ряде случаев вынужденная потеря индивидом своей "информационной одежды" может привести к трагическим последствиям: преступлениям или самоубийствам" <1>.
--------------------------------
<1> Фатьянов А.А. Правовое обеспечение безопасности информации в Российской Федерации: Учеб. пособие. М., 2001. С. 219.
Таким образом, одной из важнейших предпосылок возникновения института персональных данных в условиях информационного общества служит естественная потребность каждого индивида защитить неприкосновенность своей частной жизни и самостоятельно регулировать процессы движения информации личного характера, а также иметь рычаги контроля за ее распространением. Ведь Всемирная паутина не только предоставляет колоссальные возможности для интерактивного общения и обмена информацией, но и ставит под сомнение такое понятие, как неприкосновенность частной жизни.
Наряду с этим нельзя отрицать, что персонификация личности представляет собой необходимый и исходный элемент ее социализации в государстве, является важнейшей предпосылкой для включения личности в социальные контакты и создает юридическую платформу для реализации ее право- и дееспособности: "Реализуя порядок оформления и представления своих персональных данных, гражданин создает ступени, условия включения его в юридический порядок реализации своих прав, обеспечения своих интересов, а также защиты прав в случае их нарушения. Персональные данные человека исполняют роль инструмента контроля за соблюдением его прав и законных интересов. Документированное свидетельство об образовании, профессии, благонадежности и т.п. не позволит нарушить законные права субъекта персональных данных" <1>.
--------------------------------
<1> Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006. С. 12.
В информации о гражданах в силу объективных причин нуждается и государство. Динамичное социально-экономическое развитие общества невозможно без обеспечения органов государственной власти и органов местного самоуправления достоверной информацией о гражданах Российской Федерации, а также об иностранных гражданах и лицах без гражданства, временно или постоянно проживающих в Российской Федерации. Создание подобной информационной системы, как отмечается в Концепции создания системы персонального учета населения Российской Федерации, одобренной распоряжением Правительства РФ от 9 июня 2005 г. N 748-р, необходимо государству для обеспечения адресности и эффективности социальной поддержки граждан, охраны общественного порядка, противодействия терроризму, а также обеспечения конституционных прав и свобод граждан <1>.
--------------------------------
<1> СЗ РФ. 2005. N 24. Ст. 2414.
Общеизвестно, что информация всегда была и остается важнейшим атрибутом государственного управления. С древнейших времен светская власть собирала информацию о населении с помощью фискальных органов. Власть духовная использовала другие средства: церковные книги, где отмечались факты рождений, смертей, венчаний, были источником сведений о прихожанах для духовных правителей.
Государство, осуществляя присущие ему функции управления, испытывает объективную потребность в получении сведений о населении. Любой управленческий цикл начинается со сбора и обработки информации и заканчивается получением аналитической информации, являющейся исходной для нового цикла управления.
Таким образом, три объективных фактора - потребность государства в полной и достоверной информации о населении, потребность индивида в неприкосновенности частной жизни на фоне стремительной интеграции и глобализации и прорывное развитие информационных технологий - обусловили появление в правовой науке специальной юридической категории, получившей название "персональные данные личности".
Термин "институт" часто употребляется в неопределенно широком смысле: говорят, например, о социальных, политических, экономических институтах общества. При этом могут подразумеваться самые разнообразные и разнородные явления. Однако в данном случае речь идет о сугубо юридическом понятии института, которое традиционно рассматривается как совокупность правовых норм, составляющих часть отрасли права и регулирующих определенный вид или сторону однородных общественных отношений <1>.
--------------------------------
<1> Лазарев В.В., Липень С.В. Теория государства и права: Учебник для вузов. 2-е изд. М., 2000.
Нормативное оформление института персональных данных имеет достаточно долгую историю. Первые научные исследования в области оборота информации и защиты отдельных ее видов от несанкционированного использования появились в западных странах в 60 - 70-е гг. прошлого века и были обусловлены появлением первой компьютерной техники и ее применением при обработке информации. Примерно тогда же, т.е. в 60 - 70-е гг., стало формироваться и первое зарубежное национальное законодательство в этой области. Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа "никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию". Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод.
28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных <1> (далее - Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европейского парламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам - членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.) <2>.
--------------------------------
<1> См.: Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М., 1998.
<2> См.: Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. С. 14.
Нормативное регулирование в рассматриваемой области в западных странах, в частности в странах ЕС, значительно опережало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Законы о защите персональных данных были приняты в большинстве европейских стран, причем в настоящее время во многих странах эти законы действуют в уже обновленных редакциях. Первый закон о защите персональных данных был принят в 1970 г. в Германии, в земле Гессен. До этого подобных законов нигде в мире не было <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования / Сост. Е.К. Волчинская. М., 2001. С. 70.
У нас в стране проблемы оборота информации и ее защиты впервые попали в фокус общественного внимания в 80-х гг. XX в. Конечно, соответствующие исследования велись и раньше, однако это были единичные работы специалистов в области теории информации, информационной безопасности, компьютерного права. Их разработки помогли отечественной науке информационного права сформироваться как таковой.
Более позднее развитие науки информационного права было обусловлено особенностями развития нашего государства: во-первых, значительно более поздним распространением компьютерной техники; во-вторых, отсутствием сильных демократических традиций, относительно недавним избавлением от цензуры и обретением свободы СМИ.
В России впервые основные права и свободы человека и гражданина, в том числе права и свободы в области информации, были закреплены в Конституции РФ 1993 г. В частности, Конституцией закреплены два основополагающих принципа: право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений; и право свободно искать, получать, передавать, производить и распространять информацию. При этом сбор, хранение, использование информации о частной жизни лица без его согласия согласно Конституции не допускаются.
20 февраля 1995 г. был принят Федеральный закон N 24-ФЗ "Об информации, информатизации и защите информации" <1>, непосредственно регулирующий права граждан в сфере информации, а 4 июля 1996 г. - Федеральный закон N 85-ФЗ "Об участии в международном информационном обмене" <2>.
--------------------------------
<1> СЗ РФ. 1995. N 8. Ст. 609.
<2> СЗ РФ. 1996. N 28. Ст. 3347.
Эти нормативные акты заложили основы правового регулирования оборота информации и подготовили базу для разработки специализированного законодательства.
"Персональные данные" (лат. personal data) - термин, используемый в европейском законодательстве, обозначает одновременно группу правоотношений и объект защиты.
Первоначально в российской системе права этот правовой институт складывался стихийно лишь постольку, поскольку являлся частью каких-либо иных общественных отношений, ставших предметом правового регулирования. Вопросы защиты персональных данных фрагментарно регулировались в основном отраслевым законодательством: Семейным кодексом РФ <1> (далее - СК РФ), Трудовым кодексом РФ <2> (далее - ТК РФ), Кодексом РФ об административных правонарушениях <3> (далее - КоАП РФ), Гражданским кодексом РФ <4> (далее - ГК РФ), Уголовным кодексом РФ <5> (далее - УК РФ). Поэтому не было, как уже отмечалось, ни единого термина, обозначающего данный институт, ни определения, раскрывающего его суть, ни единого согласованного подхода к данной проблеме вообще. Однако, как известно, и для нормотворческой, и для правоприменительной практики такой подход чрезвычайно важен. В отсутствие единого законодательного акта, регулирующего общие принципы оборота и защиты персональных данных, правовое регулирование в этой сфере было неполным и не отличалось согласованностью.
--------------------------------
<1> СЗ РФ. 1996. N 1. Ст. 16.
<2> СЗ РФ. 2002. N 1 (ч. I). Ст. 3.
<3> Там же. Ст. 1.
<4> СЗ РФ. 1994. N 32. Ст. 3301.
<5> СЗ РФ. 1996. N 25. Ст. 2954.
Первый шаг в создании комплексного правового регулирования института персональных данных личности был сделан путем ратификации Россией Конвенции о защите физических лиц <1>.
--------------------------------
<1> Федеральный закон от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" // СЗ РФ. 2005. N 52 (ч. I). Ст. 5573.
Конвенция о защите физических лиц содержит определения основных понятий в сфере персональных данных и их защиты (персональные данные, автоматизированная база данных, автоматическая обработка) и устанавливает общие принципы автоматизированной обработки данных и их защиты. К числу таких принципов относятся добросовестность, законность, целевое соответствие, точность получения и обработки данных, их защита от несанкционированного использования, усиленный режим охраны особых категорий сведений (о национальной принадлежности, взглядах и убеждениях, здоровье и интимной жизни, судимости и др.).
Основной целью Конвенции является обеспечение на территории государства, подписавшего Конвенцию, уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства, создание правовых основ обеспечения прав и свобод граждан, и в первую очередь права на неприкосновенность личной сферы в связи с автоматической обработкой персональных данных.
Конвенция о защите физических лиц послужила отправной точкой для разработки российского Закона о персональных данных. В этом Законе отечественный законодатель стремился установить общее правовое регулирование института персональных данных и развить большинство положений Конвенции, таких, например, как понятие персональных данных, принципы и порядок их обработки, права субъектов персональных данных, полномочия операторов, создание специального уполномоченного органа по защите прав субъектов персональных данных и т.п.
К моменту подготовки российского законопроекта в странах ЕС уже давно действовали соответствующие законы и был накоплен определенный нормотворческий опыт, который частично был учтен российскими законодателями.
В результате был принят Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", вступивший в силу 26 января 2007 г. (далее - Закон о персональных данных).
Закон о персональных данных состоит из шести глав и 25 статей. В Законе даны определения таких понятий, как "персональные данные", "оператор", "обработка персональных данных", "конфиденциальность персональных данных" и др.; закреплен достаточно эффективный механизм противодействия нарушениям прав физических лиц в сфере оборота персональных данных. Закон обеспечивает правовую защищенность личности в условиях информационного общества и создает предпосылки для укрепления внешнеполитических позиций нашего государства; способствует решению таких задач, как эффективное управление информационными ресурсами и информационное обеспечение государственных органов и органов местного самоуправления. На базе этого Закона к настоящему времени принято немало подзаконных актов.
Вместе с тем Закон имеет и недостатки. Так, нельзя не отметить, что основное внимание в нем уделено технологическим вопросам обработки персональных данных и порядку деятельности операторов. Значительно хуже разработаны исходные общетеоретические положения о целях и задачах Закона, о статусе персональных данных как таковых, об общих принципах оборота персональных данных в Российской Федерации. В настоящей работе мы еще не раз вернемся к этим проблемам. Сейчас же отметим два принципиальных, на наш взгляд, момента.
Во-первых, недостаточная теоретическая разработка основных понятий и принципов вкупе с явным перекосом в сторону технических и технологических проблем обработки персональных данных вольно или невольно смещает акценты с принципиальных вопросов защиты прав и свобод человека и гражданина в сфере оборота информации личного характера на более специальные проблемы ее обработки и оптимального использования в государственных или иных интересах.
Поэтому, ничуть не умаляя значимость применения современных технологий в деле обработки информации, все же заметим, что главной целью Закона о защите персональных данных должно быть урегулирование противоречивых интересов, связанных с защитой неприкосновенности частной жизни, личной и семейной тайны, с одной стороны, и конституционным принципом свободы слова и информации - с другой.
Во-вторых, в рассматриваемом Законе не слишком удачно применен термин "обработка персональных данных". Согласно тексту Закона он обозначает все возможные действия (операции) с персональными данными, а именно: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (п. 3 ст. 3). Однако в русском языке слово "обработка" обычно используется в более узком значении и семантически обозначает только одно - действие от глагола "обрабатывать", "обработать" <1>.
--------------------------------
<1> Словарь русского языка. 3-е изд. М., 1986. Т. 2. С. 559.
По нашему мнению, для обозначения всех вышеперечисленных действий с персональными данными идеально подходит термин "оборот", который к тому же достаточно широко используется в российском законодательстве <1>. Слово "оборот" обычно означает "полный повторяющийся цикл в каком-либо процессе, употреблении, применении, использовании" <2>. Далее в настоящей работе термин "оборот" будет использоваться как синоним термина "обработка" в том смысле, которым его наделяет Закон о персональных данных.
--------------------------------
<1> Например: Федеральный закон от 24 июля 2002 г. N 101-ФЗ "Об обороте земель сельскохозяйственного назначения" // СЗ РФ. 2002. N 30. Ст. 3018.
<2> Словарь русского языка. Т. 2. С. 556 - 557.
Закон имеет и другие недостатки, о которых еще будет сказано в данной работе. Тем не менее в целом принятие Закона о персональных данных можно рассматривать как значительный шаг в сторону демократизации и формирования гражданского общества.
§ 2. Понятие и виды персональных данных
Согласно определению, содержащемуся в ст. 2 Конвенции о защите физических лиц "персональные данные" - это информация, касающаяся конкретного или могущего быть идентифицированным лица".
Несмотря на широту данной формулировки, смысл ее достаточно точен. Согласно этому определению к персональным данным относится как любая информация о конкретном лице, так и информация, с помощью которой лицо можно идентифицировать, т.е. установить.
Согласно ст. 3 Закона о персональных данных "персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Ключевым понятием в дефиниции, содержащейся в Законе о персональных данных, является "информация об определенном или определяемом лице", и по смыслу оно тождественно использованному в Конвенции понятию "информация о конкретном или могущем быть идентифицированным лице". Несомненно, в рассматриваемом контексте слово "идентифицирован" более уместно, так как точнее передает смысл формулировки. Именно слово "идентифицирован" использовалось в некоторых редакциях российского законопроекта, однако позднее законодатель отказался от него в пользу слова "определен".
Надо отметить, что разработка определения такого сложного и несколько абстрактного понятия, как персональные данные, не могла не вызвать затруднений, однако закрепленное в Законе о персональных данных определение, главным смысловым звеном которого является понятие "определение" (или "идентификация"), представляется все же вполне удачным. Именно свойство идентификации (определения) является тем признаком, который позволяет вычленить из общего массива сведений об индивиде те данные, с помощью которых он (индивид) может быть с точностью идентифицирован (определен). Например, личные беседы, которые ведет лицо с кем-либо, относятся к отношениям, охватываемым понятием "частная жизнь", однако не относятся к персональным данным, так как не позволяют идентифицировать субъекта.
Итак, персональными данными является любая информация, с помощью которой лицо можно определить (идентифицировать). Далее в определении уточняется, что к информации о лице относится фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация.
В качестве "другой" информации может выступать биометрическая информация о лице; данные о супруге, детях, других членах семьи; индивидуальные средства коммуникации (номер телефона, адрес электронной почты, ICQ, персональный сайт или иной личный ресурс в Интернете, например блог или страница в социальной сети); сведения о событиях и обстоятельствах жизни лица, позволяющие его идентифицировать, в том числе аудио- и видеофайлы, и т.д. Перечень сведений, которые могут быть отнесены к персональным данным, является открытым.
Как следует из определения персональных данных, их субъектом может быть только физическое лицо (живущее или умершее). Реквизиты юридических лиц персональными данными не являются! Хотя на стадии подготовки законопроекта отдельными исследователями высказывались мнения, что персональными данными могут обладать и юридические лица. Однако в итоге российский законодатель справедливо рассудил, что в создании нового для российской системы права института логичнее и целесообразнее придерживаться уже сформировавшейся концепции, существующей в других странах.
В законодательных актах различных европейских стран персональные данные рассматриваются как информации, с помощью которой лицо можно идентифицировать, причем субъектами персональных данных могут быть исключительно физические лица.
В Законе Франции "Об информатике, картотеках и свободах" 1978 г. под персональными данными понимаются "сведения, позволяющие в любой форме, прямо или косвенно, идентифицировать физическое лицо, к которому эти сведения относятся и обработка которых производится физическим или юридическим лицом".
Согласно Органическому закону Испании "О защите персональных данных" 1999 г. "к персональным данным относится любая информация о конкретном человеке, которая отождествлена или может быть отождествлена с ним, в том числе и видео- и аудиоматериалы" <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 108.
Как мы видим, эти определения весьма схожи и основаны на широком подходе к персональным данным, использованным и отечественным законодателем.
В то же время формулировка, предложенная российскими разработчиками, более подробная, нежели формулировка Конвенции о защите физических лиц и вышеупомянутых законов, и это, несомненно, оправданно. Как справедливо отмечается в юридической литературе, отечественный правоприменитель, не сталкиваясь ранее с данной правовой категорией и не обладая пока устоявшейся традицией реализации законодательства через призму соблюдения прав и свобод человека и гражданина, не сможет обеспечить комплексную защиту персональных данных исходя только лишь из абстрактных определений <1>.
--------------------------------
<1> См.: Малюк А.А. Замечания и предложения по законопроектам "Об информации персонального характера". М., 2000. С. 1.
Отмечая бесспорную ценность предложенного законодателем определения персональных данных, необходимо тем не менее обратить внимание на следующие обстоятельства.
Первое. Не вся информация имеет одинаковое значение для идентификации того или иного лица. Если, например, фамилия, имя, отчество, дата и место рождения в своей совокупности, как правило, позволяют идентифицировать лицо, то такие данные, как семейное, социальное, имущественное положение, образование, профессия и др., не позволяют, как правило, сами по себе этого сделать. Для того чтобы с их помощью идентифицировать лицо, нужно их "привязать" к номинативной, т.е. знаковой в этом смысле информации, а именно к фамилии, имени, отчеству, дате и месту рождения.
Второе. Свободный оборот номинативной информации (иногда в литературе ее называют первичными идентификационными данными), как правило, не может причинить какого-либо ущерба индивиду. В то же время оборот номинативной информации вкупе, например, с информацией о доходах, судимости, перенесенных заболеваниях и т.п., безусловно, такой ущерб может нанести. Из этого следует, что далеко не всякая информация о лице и ее свободный оборот представляют для него угрозу, а только ее определенный набор. Именно такой набор данных о конкретном лице не должен находиться в свободном обороте.
Изложенные соображения имеют большое значение для правоприменительной практики. В каждом конкретном случае привлечения к ответственности за нарушения требований Закона о персональных данных правоприменитель должен учитывать эти обстоятельства, т.е., образно говоря, определять для каждого конкретного случая "недопустимо опасную" для оборота совокупность персональных данных. Коль скоро это так, то, безусловно, данное обстоятельство должно найти соответствующее отражение в законодательстве.
На наш взгляд, первый шаг в этом направлении законодательством сделан: в определении персональных данных перечислен ряд признаков, характеризующих человека (имя, дата и место рождения и т.д.).
Персональные данные исключительно разнообразны и разнородны. Их можно по-разному классифицировать, объединять в различные группы в зависимости от избранного критерия и цели классификации. При этом любая классификация будет достаточно условной, так как некоторые сведения могут в равной степени относиться сразу к нескольким группам. Поэтому правовое регулирование такого сложного института, как институт персональных данных, должно быть гибким и многовариантным.
Закон о персональных данных выделяет три вида персональных данных:
- общедоступные персональные данные;
- специальные категории персональных данных;
- биометрические персональные данные.
В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования.
"Информационное право есть комплексная отрасль права, имеющая свой особый предмет правового регулирования - информационные отношения и использующая весь набор традиционных методов правового регулирования в пределах одной предметной отрасли" <1>.
--------------------------------
<1> Лапина М.А., Ревин А.Г., Лапин В.И. Информационное право: Учеб. пособие / Под ред. И.Ш. Килясханова. М., 2004. С. 20. 18
В связи с тем что общественные отношения по защите персональных данных возникают и развиваются в различных сферах общественной жизни и, следовательно, регулируются различными отраслями права, то и применяемые методы правового регулирования также различны - используются и убеждение, и принуждение, а также дозволение, обязывание и запрет.
Таким образом, все персональные данные разделены законодателем на: персональные данные, сбор которых по общему правилу запрещен (специальные категории персональных данных); персональные данные, сбор которых осуществляется на основании предписания (обязывания) федеральных законов государственными и муниципальными органами (различные категории персональных данных, в том числе биометрические и специальные категории персональных данных); персональные данные, к сбору и обработке которых установлен дозволительный подход, т.е. они могут собираться с согласия субъекта персональных данных операторами и иными лицами (общедоступные персональные данные и другие персональные данные). Тем самым законодатель устанавливает различные правовые режимы для каждой категории персональных данных.
Рассмотрим подробнее каждую группу персональных данных и правовой режим их оборота.
Общедоступные персональные данные - это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности (п. 12 ст. 3 Закона о персональных данных). Прежде всего отметим, что до настоящего времени федеральными законами такие требования не установлены. Далее, следуя логике данного определения, можно сказать, что общедоступными персональными данными с согласия субъекта могут стать любые персональные данные, в том числе биометрические и относящиеся к специальным категориям. Главным условием здесь является согласие (или волеизъявление) субъекта персональных данных. Действительно, каждый вправе издать собственный политический манифест или автобиографическую книгу с подробностями личной жизни. Это есть не что иное, как проявление свободы слова.
Статья 8 Закона о персональных данных закрепляет термин "общедоступные источники персональных данных". К ним относятся телефонные и адресные книги, энциклопедии известных личностей и т.п. В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, ученых степенях и званиях и иные персональные данные, предоставленные субъектом персональных данных и отвечающие тематике общедоступного источника персональных данных. По требованию субъекта сведения о нем могут быть в любое время исключены из общедоступных источников персональных данных. Законом не устанавливается форма отзыва персональных данных их обладателем, однако логично предположить, что он должен быть сделан в письменной форме, как и согласие.
Дальнейшая правовая судьба персональных данных, ставших общедоступными, законодателем не регулируется. Согласно логике рассматриваемого Закона персональные данные, один раз раскрытые обладателем, автоматически становятся открытыми для любых видов дальнейшей обработки.
Особую группу персональных данных представляют собой специальные категории персональных данных. Согласно ч. 1 ст. 10 Закона о персональных данных к специальным категориям персональных данных относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
Очевидно, что к специальным категориям персональных данных законодатель отнес наиболее "чувствительную" (sensitive - общепринятый термин, используемый в иностранном законодательстве применительно к информации, несанкционированное распространение которой способно нанести наибольший вред лицу. - Н.П.) информацию. Гарантии защиты этой информации являются важнейшими гарантиями обеспечения неприкосновенности частной жизни, личной и семейной тайны. Обработка специальных категорий персональных данных запрещена, кроме случаев, специально оговоренных в Законе.
Нельзя не заметить, что данная статья порождает больше вопросов, чем ответов. Во-первых, в статье нет определения специальных категорий персональных данных, а просто приведен их перечень. Во-вторых, из анализа ч. 1 статьи не ясно, является ли этот перечень закрытым, так как далее, в ч. 3, говорится об обработке персональных данных о судимости лица, в связи с чем остается непонятным, относится ли информация о судимости к специальным категориям персональных данных или нет. Отметим, что во многих европейских странах, в частности в Венгрии и Испании, вся информация, связанная со сферой уголовных правонарушений лица, отнесена к особоохраняемой информации <1>. По всей видимости, тот факт, что норма об информации о судимости лица содержится в данной статье, говорит о том, что законодатель рассматривает информацию о судимости лица как один из видов специальных категорий персональных данных.
--------------------------------
<1> Персональные данные. Опыт правового регулирования. С. 98, 111.
В-третьих, нам представляется, что сам перечень специальных категорий персональных данных нуждается в расширении. Формулировка, содержащаяся в Законе, дословно воспроизводит аналогичные положения национальных законов о защите персональных данных некоторых европейских стран. Однако нужно учитывать, что в Европе в рамках демократической традиции уважение к частной жизни лица воспитывается уже не первое столетие. Российское же общество пока только делает первые шаги в этом направлении. Нам представляется, что разглашение сведений о религиозных или политических убеждениях индивида, несмотря на свободу вероисповедания и политический плюрализм, способно в некоторых случаях нанести ему определенную психологическую травму или причинить некоторый ущерб. В то же время разглашение сведений об усыновлении (удочерении), погашенной судимости, участии в уголовном судопроизводстве в качестве подозреваемого, оказанной или принятой финансовой помощи или услугах действительно может привести к серьезным негативным последствиям для чести и доброго имени индивида, его репутации и самооценки. При заполнении всевозможных стандартных анкет, разработанных еще в советское время и используемых до сих пор без оглядки на нормы Конституции РФ, вопрос о наличии судимости у лица или его близких родственников вызывает чувство дискомфорта даже у тех, кто может ответить на него отрицательно. Между тем такие вопросы есть не что иное, как грубое вмешательство в частную жизнь лица. Поэтому право на сбор подобной информации любым субъектом должно быть не только оправданным, но и прямо закрепленным в Законе в виде полномочия этого субъекта.
Именно поэтому очевидно, что перечень специальных категорий персональных данных, запрещенных к сбору и обработке, нуждается в расширении. На наш взгляд, в него должны быть включены сведения о погашенной или снятой судимости, об участии в уголовном судопроизводстве в качестве подозреваемого, о фактах усыновления (удочерения), о полученной или оказанной финансовой помощи или услугах, словом, вся та информация, которая способна весьма существенно повлиять на "информационный портрет" индивида в глазах окружающих, должна быть отнесена к специальным категориям персональных данных.
Биометрические персональные данные представляют собой особую и весьма специфическую группу персональных данных, характеризующих физиологические особенности человека. К таким особенностям относятся особенности строения частей тела, отпечатки пальцев, ладони, сетчатка глаза, анализ ДНК и т.п.
Идентификация личности по совокупности биометрических признаков издавна практикуется в криминалистике - достаточно вспомнить знаменитый метод антропометрии (бертильонажа), использовавшийся европейской полицией в конце XIX в. и позволявший идентифицировать лиц, совершивших повторные преступления.
В соответствии со ст. 11 Закона о персональных данных сбор и обработка биометрических персональных данных осуществляются, как правило, в рамках реализации полномочий государственных органов в области безопасности, оперативно-розыскной деятельности, уголовно-исполнительного производства, исполнения законодательства Российской Федерации о порядке въезда в страну и выезда из страны и о государственной службе.
Такова классификация персональных данных в Законе о персональных данных. Различные классификации персональных данных содержатся и в национальном законодательстве европейских стран. Например, Закон Франции "Об информатике, картотеках и свободах" объединяет в отдельную категорию медицинскую информацию о личности (за исключением данных, накапливаемых с целью терапевтического или медицинского контроля за пациентом и для исследовательских целей) и в отдельной главе выделяет порядок сбора и оборота такой информации. В отдельную категорию выделены также данные о здоровье, накапливаемые и обрабатываемые с целью развития профилактической и попечительской деятельности <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 91.
Согласно Закону Венгрии "О защите персональных данных и публикации данных, представляющих общественный интерес" в отдельную категорию публичных персональных данных выделены сведения об именах и должностях физических лиц, действующих в центральных и местных органах власти <1>.
--------------------------------
<1> См. там же. С. 99.
В Органическом законе Испании "О защите персональных данных" особыми положениями регулируется обработка таких категорий персональных данных, как: а) регулируемых законодательством о выборах; б) имеющих целью хранение сведений, содержащихся в личных отчетах об уровне квалификации, о которых идет речь в законах о военной службе; в) картотеки изображений и звуков, полученных посредством использования видеокамер органами безопасности, согласно соответствующему законодательству <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 114.
Как мы видим, законодатели этих стран учитывают возможные перспективы свободного обращения тех или иных персональных данных и устанавливают для них особые правила оборота. В российском Законе о персональных данных никаких особенностей в отношении оборота медицинской информации или персональных данных публичных лиц, занимающих высокие государственные посты, не установлено.
Общедоступные персональные данные, специальные категории персональных данных и биометрические персональные данные объединены в группы исходя из особенностей их правового режима. Такая группировка проста по смыслу и удобна в применении, однако для правоприменительной практики ее все-таки вряд ли достаточно.
Разумеется, как на государственном уровне, так и в частной сфере оборот персональных данных происходит постоянно. В Законе нельзя учесть тысячи возможных ситуаций и случаев сбора персональных данных и закрепить перечни для каждого конкретного случая. Как мы уже отмечали, любая классификация персональных данных является в известной мере условной. Тем не менее дальнейшая теоретическая, а затем и практическая работа в этом направлении необходима. На основе различных классификаций персональных данных можно, в частности, установить дифференцированную систему мер ответственности за нарушение законодательства о персональных данных, о чем мы уже говорили, а также использовать их при разработке подзаконных нормативных актов. Такой подход, на наш взгляд, будет способствовать как развитию законодательства, так и эффективной защите прав субъектов персональных данных.
Наиболее логичной и ориентированной на правоприменителя представляется группировка персональных данных по признаку свободы оборота. Можно сказать, что на уровне обычая эта классификация уже частично сложилась и используется. Исходя из этого персональные данные можно разделить на:
- свободно обращаемые;
- ограниченно обращаемые;
- обращаемые в специальных целях;
- запрещенные к обороту.
Свободно обращаемые персональные данные - это имя, фамилия, отчество и пол лица. В некоторых случаях к ним можно добавить возраст, образование, адрес места жительства, номер телефона, т.е. все те минимальные сведения, которые готов сообщить о себе субъект определенному кругу лиц и организаций, составляющих круг его каждодневного социального общения. Как правило, несанкционированное использование этих сведений не может причинить субъекту какого-либо существенного вреда, поэтому применение мер ответственности возможно только в том случае, если нарушен порядок сбора и обработки этой информации (в частности, должностным лицом).
Ограниченно обращаемые персональные данные - это различные виды персональных данных, в том числе и данные регистрационных номеров документов, сообщаемые субъектом (с его согласия) различным организациям и органам с целью совершения каких-либо действий или получения каких-либо услуг. Например, для оформления потребительского кредита заемщик должен сообщить помимо прочих данные о месте работы, должности, размере заработной платы, наличии движимого и недвижимого имущества и т.п. Разглашение или иное несанкционированное использование полученных персональных данных есть грубое нарушение неприкосновенности частной жизни субъекта персональных данных, способное причинить ему моральный и материальный ущерб. Субъектами мер ответственности в данном случае будут выступать преимущественно должностные лица, что может влиять на тяжесть применяемых мер ответственности.
Обращаемые в специальных целях - это те персональные данные, в том числе биометрические, которые собираются государственными, муниципальными и иными уполномоченными органами в рамках их полномочий в соответствии с законодательством. Согласие субъекта на сбор этих персональных данных требуется не всегда. К таким сведениям относится, например, информация об усыновлении. Разглашение и иное несанкционированное использование этих данных должно влечь за собой жесткие меры ответственности.
Запрещенные к обороту - это наиболее чувствительная информация, т.е. специальные категории персональных данных. За нарушения положений законодательства о защите специальных категорий 24 персональных данных должны устанавливаться наиболее жесткие меры ответственности, вплоть до уголовной ответственности.
В соответствии с Законом о персональных данных к персональным данным относится весь спектр информации о личности, с помощью которой личность можно идентифицировать. Возникает закономерный вопрос: допустимо ли весь круг сведений личного и интимного характера вовлекать в сферу публично-правовых отношений и не нужно ли хотя бы на первоначальном этапе правового регулирования установить закрытый перечень персональных данных?
Этот вопрос был дискуссионным при подготовке законопроекта. Неоднократно высказывались предложения установить закрытый перечень персональных данных, в связи с тем что институт персональных данных является новым для отечественной нормотворческой и правоприменительной практики и в силу этого маловероятно, что правоприменители смогут самостоятельно разработать адекватные заявленным целям перечни персональных данных без четких ориентиров, изложенных в Законе.
Попробуем разобраться, насколько такая позиция обоснованна. Действительно, информация личного характера очень разнообразна. Она включает в себя в том числе и сведения об интимных сторонах жизни индивида, и сведения, которые могут быть расценены как порочащие и компрометирующие. При широком подходе к понятию персональных данных вся эта информация может быть вовлечена в сферу правового регулирования и стать объектом публично-правовых отношений. Возникает вопрос: этично ли вовлекать в сферу публично-правового регулирования сведения о сугубо личных и даже интимных сторонах жизни индивида? Ответ на этот вопрос следует искать не столько в области юридической науки, сколько в области психологии, социологии, этики.
Ключевыми категориями этики являются благо, честь, достоинство. Под благом принято понимать все, что служит добру и идет на пользу человеку. Достоинство - это категория этики, означающая особое моральное отношение человека к самому себе и отношение к нему общества и окружающих, основанное на уважении к его личности. Честь - это отношение человека к самому себе и окружающих к нему, связанное с его нравственными заслугами. Таким образом, сама сущность защиты личной сферы человека, неотъемлемой частью которой являются его персональные данные, от недобросовестного или некорректного вмешательства напрямую связана с защитой его достоинства и чести и тем самым с обеспечением его блага <1>.
--------------------------------
<1> См.: Кобликов А.С. Юридическая этика: Учебник. 2-е изд. М., 2004. С. 20.
Если есть некий заранее установленный круг сведений, именуемых персональными данными, есть правовой механизм оборота и защиты этих сведений от недобросовестного использования, то как быть с той частью информации личного характера, которая в него не вошла и которая, скорее всего, и будет являться наиболее "чувствительной"? Как защитить эти сведения от недобросовестного использования? Достаточно ли в данном случае только норм Конституции РФ (ст. ст. 22 - 24) и Гражданского кодекса РФ (ст. ст. 150 - 152) о защите чести и достоинства? Очевидно, что нет. Значит, необходим комплексный механизм защиты всей совокупности информации личного характера. Более того, полноценная правовая защита чести и достоинства человека и гражданина без этого просто невозможна.
Таким образом, любое ограничение содержания понятия персональных данных выльется в ограничение прав субъекта персональных данных в части той информации личного характера, которая осталась за рамками перечня, а значит, и за рамками правовой защиты.
Широкий подход к понятию персональных данных не является новеллой отечественного законодателя. Такой же принцип лежит в основе законодательства Европейского союза и внутреннего законодательства по защите персональных данных многих стран ЕС. Об этом свидетельствуют рассмотренные нами в данном параграфе дефиниции понятия "персональные данные", содержащиеся в Конвенции о защите физических лиц и в законах Швеции, Франции и Испании. Понимание бесперспективности законодательно установленного исчерпывающего перечня персональных данных, взаимосвязи и взаимодополняемости разных данных, относящихся к частной жизни и участию индивида в социальной жизни, обусловило развитие международного и национального законодательства в направлении регулирования обобщающего института персональных данных.
Учитывая, что Россия сравнительно недавно начала законодательную работу в данном направлении, целесообразно воспользоваться опытом этих стран. Следование единой теоретической концепции помогает избежать ошибок на начальном этапе правового регулирования и позволяет в короткий срок обеспечить необходимый уровень правовой защиты персональных данных в России. Кроме того, использование единой модели правового регулирования, несомненно, послужит залогом эффективного международного сотрудничества в области защиты персональных данных.
Широкий подход к понятию персональных данных позволяет ответить на вопрос, занимающий многих специалистов по информационному и гражданскому праву: как соотносятся персональные данные и информация о частной жизни индивида? По этому поводу высказываются различные мнения: совпадают, не совпадают, включаются одно в другое <1>.
--------------------------------
<1> См.: Арешев А.Г., Бачило И.Л., Сергиенко Л.А. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. 2-е изд., доп. и перераб. М., 2006. С. 75.
Большинство ученых сходятся в том, что категория "частная жизнь" является более общей, оценочной. Она включает в себя право индивида на защиту от любопытных глаз государства и других индивидов и подразумевает право на анонимность и уединение: "В гражданском обществе реализация человеком частных интересов и потребностей в рамках закона не подлежит контролю со стороны государства, каких-либо организаций, в том числе и тех, с которыми гражданин связан по службе. Сведения о частной жизни, личные, семейные тайны могут быть доверены священнику, врачу, адвокату, нотариусу без опасения их разглашения, поскольку эти лица несут юридическую (врач, нотариус), корпоративную (адвокат) или религиозную (священник) ответственность" <1>.
--------------------------------
<1> Садовникова Т.Д. Комментарий к Конституции РФ: постатейный. М., 2001. С. 21.
Как справедливо отмечается в правовой литературе, право на неприкосновенность частной жизни представляет собой сложный по составу правовой институт, состоящий из множества правомочий индивида. Так, по мнению Е.А. Миндровой, персональные данные являются по своему содержанию сегментом информации о частной жизни лица <1>.
--------------------------------
<1> См.: Миндрова Е.К. Коллизия права граждан на доступ к информации и права на неприкосновенность частной жизни в условиях информационного общества: Автореф. дис. ... канд. юрид. наук. М., 2007. С. 8.
По нашему мнению, можно согласиться с такой точкой зрения и заключить, что право на защиту персональных данных есть одно из правомочий индивида в сфере охраны его частной жизни. Таким образом, исследуемые понятия ("частная жизнь" и "персональные данные") частично пересекаются, однако не всегда совпадают. По нашему мнению, важнее то, что исследуемые категории представляют собой два различных (хотя и смежных) правовых института. Следовательно, правовое регулирование этих двух институтов будет различным.
Правоотношения, складывающиеся по поводу персональных данных, весьма разнообразны и образуют, как уже было не раз отмечено, отдельный правовой институт, субъектный состав которого достаточно широк. Согласно Закону о персональных данных субъектами данных правоотношений являются:
- субъекты персональных данных;
- операторы информационных систем персональных данных - государственные органы, муниципальные органы, юридические и физические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки;
- уполномоченный по защите прав субъектов персональных данных;
- так называемые третьи лица, или пользователи, не относящиеся ни к одной из перечисленных категорий и получающие на законном основании персональные данные от оператора или из общедоступных источников.
Можно выделить и еще одну потенциальную группу субъектов рассматриваемых правоотношений - это физические и юридические лица, нарушившие установленный порядок оборота и защиты персональных данных. Другими словами, это субъекты административной, гражданской, уголовной, дисциплинарной и иной ответственности, установленной за правонарушения в указанной области.
В рамках рассматриваемой темы нас интересует прежде всего вопрос о субъекте персональных данных. Рассмотрим его подробнее.
Согласно п. 1 ст. 3 Закону о персональных данных субъект персональных данных - это "определенное" физическое лицо, к которому они относятся, или лицо, которое с помощью этих данных может быть установлено ("определено").
Законом не установлено никаких ограничений или уточнений в отношении характеристик субъекта персональных данных, значит, субъектом персональных данных является любое физическое лицо, независимо от возраста, право- и дееспособности, гражданства и других индивидуальных характеристик. Отметим, что гражданство лица может влиять на правовой режим его персональных данных, но не на саму его способность быть субъектом персональных данных в Российской Федерации.
Тем не менее правовой режим персональных данных различных субъектов персональных данных может быть неодинаков. Как мы уже говорили, Закон о персональных данных не устанавливает никаких особенностей в отношении правил оборота персональных данных публичных лиц, т.е. лиц, занимающих высокие государственные посты (президента, депутата, министра, судьи и т.п.). Тем не менее очевидно, что такие особенности должны быть. Этот факт, как мы уже говорили, учтен в соответствующих законах некоторых европейских стран, например Испании и Венгрии. Подобную практику следовало бы закрепить и в нашей стране. Этот вопрос тесно связан с вопросом обеспечения конфиденциальности персональных данных, о котором речь пойдет дальше.
§ 3. Конфиденциальность персональных данных
Конституцией РФ провозглашено право каждого на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 23, п. 1 ст. 24 Конституции РФ).
В соответствии со ст. 9 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <1>, порядок доступа к персональным данным граждан устанавливается федеральным законом и запрещается требовать от гражданина предоставления информации о его частной жизни, а также получать такую информацию помимо его воли.
--------------------------------
<1> СЗ РФ. 2006. N 31 (ч. I). Ст. 3448.
Таким образом, Конституцией РФ и федеральным законодательством информация о частной жизни отнесена к охраняемой законом информации, доступ к ней без согласия лица, к которому она относится, не допускается. Другими словами, информация о частной жизни лица, в том числе персональные данные, признается конфиденциальной.
Слово "конфиденциальность" происходит от латинского confidential - доверие, доверительный <1>. В информационном праве, как и в других отраслях права, этот термин используется достаточно широко. Закон о персональных данных определяет конфиденциальность информации как обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ч. 1 ст. 7).
--------------------------------
<1> Словарь русского языка. Т. 2. С. 598.
Применительно к такому информационному ресурсу, как персональные данные, проблема конфиденциальности приобретает совершенно особое значение. Не будет преувеличением сказать, что проблема обеспечения конфиденциальности персональных данных является одной из важнейших теоретических и практических проблем, подлежащих разрешению специалистами в области права и информационной безопасности. Согласно данным, приведенным журналом "Управление персоналом", одним из наиболее востребованных видов инсайдерской информации в настоящее время являются персональные данные сотрудников компаний <1>.
--------------------------------
<1> См.: Инсайдер - вариант с заклеиванием usb-порта не поможет: Интервью с Е. Преображенским // Управление персоналом. 2009. N 7.
Комплексное решение правового обеспечения конфиденциальности персональных данных должно учитывать двоякую природу этого понятия. С одной стороны, персональные данные являются составной частью понятия "частная жизнь" индивида, а неприкосновенность частной жизни, как известно, охраняется законом. С другой стороны, персональные данные есть необходимый элемент социализации индивида. Они представляют собой его своеобразную "визитную карточку" в обществе и являются юридической основой для реализации его право- и дееспособности, поэтому не всегда могут и должны быть конфиденциальными.
В силу вышеназванных причин правовое регулирование оборота персональных данных должно развиваться в трех основных направлениях.
Первое направление, самое общее, связано с защитой конфиденциальности персональных данных в процессе социальной жизни индивида (взаимоотношения с государственными органами, профессиональная деятельность, брачно-семейные отношения, финансовая сфера, здравоохранение и медицина, получение нотариальных, адвокатских услуг и т.п.), т.е. с обработкой персональных данных операторами информационных систем персональных данных.
Второе направление связано с обеспечением конфиденциальности персональных данных личности в условиях свободы СМИ.
Третье направление - это правовые изъятия из общего режима конфиденциальности персональных данных, действующие во время избирательных кампаний и в иных случаях.
Рассмотрим подробнее каждое из трех направлений.
Каждый из нас постоянно использует свои персональные данные для реализации своих прав, исполнения обязанностей, получения гарантий и т.п. В данном случае персональные данные служат инструментом социализации, и раскрытие их конфиденциальности необходимо человеку для реализации его право- и дееспособности. Обеспечивать конфиденциальность персональных данных, добровольно и в собственных интересах раскрытых субъектом, обязаны операторы. Напомним, что согласно ст. 3 Закона о персональных данных оператором признается государственный или муниципальный орган, физическое или юридическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание этой обработки. Таким образом, фактически оператором признается любой субъект, осуществляющий сбор и обработку персональных данных с определенной целью, но (как правило) не для личных или семейных нужд.
Рассмотрим в самом общем виде такую ситуацию: лицо реализует свое право на труд. В процессе прохождения необходимых предварительных собеседований и при оформлении документов при приеме на работу лицо обязано представить целый ряд документов, содержащих его персональные данные: сведения об образовании, квалификации, прошлой профессиональной деятельности и доходах, а также о месте жительства, семейном положении и т.д. Иногда лицо обязано представить данные о состоянии здоровья. Обязанность представления этих сведений одновременно служит гарантией лица на получение работы, соответствующей его профессиональному опыту и уровню квалификации. При этом кадровая служба организации, являющаяся по смыслу закона оператором, получает значительный объем сведений о лице и обязана обеспечить их конфиденциальность.
Описанная ситуация типична. Современный человек, взаимодействуя с различными государственными и общественными организациями, постоянно представляет свои персональные данные. Соответственно, огромные массивы персональных данных накапливаются у многочисленных операторов. Нарушение оператором режима конфиденциальности может нанести субъекту персональных данных моральный и материальный ущерб, поэтому эффективное обеспечение конфиденциальности персональных данных операторами - один из важнейших элементов механизма защиты персональных данных, имеющих огромное практическое значение. Ведь именно то, насколько хорошо будут защищены персональные данные граждан в процессе их обработки, во многом определит общую степень защиты персональных данных в России.
Одновременно это является и главной трудностью в реализации Закона: ведь если раньше сбор персональных данных мог осуществляться свободно и неограниченно (за некоторыми законодательными изъятиями, естественно), то теперь эта деятельность сопряжена с большими организационными, техническими и финансовыми затратами. Чрезмерная зарегулированность здесь может только навредить. Операторы попросту не будут исполнять предписания закона.
В Законе о персональных данных закреплена обязанность операторов, должностных лиц уполномоченного органа по защите прав субъектов персональных данных и третьих лиц, получивших доступ к персональным данным, обеспечивать конфиденциальность этих данных, за исключением случаев обезличивания персональных данных и общедоступных персональных данных (ст. 7 и ч. 4 ст. 23).
В случае обезличивания персональных данных становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных (п. 8 ст. 3) и тем самым обеспечивается конфиденциальность этих данных.
В случае с общедоступными персональными данными все не так просто. Согласно нынешней редакции Закона, будучи один раз (и с определенными целями!) обнародованными, они в дальнейшем могут использоваться абсолютно бесконтрольно.
Проблема обеспечения конфиденциальности персональных данных тесно связана с другой, весьма сложной проблемой так называемого рутинного (или вторичного) использования персональных данных.
"Рутинное использование", впервые примененное в США, представляет собой исключение из общих правил обеспечения режима конфиденциальности персональных данных и создает широкие возможности для обмена персональной информацией между различными государственными ведомствами. Эта оговорка разрешает ведомству использовать персональные данные и раскрывать их для целей, совместимых (но не обязательно совпадающих) с той целью, для которой была собрана информация <1>.
--------------------------------
<1> См.: Петросян М.Е. Защита персональных данных. Американская модель // США - Канада. 2000. N 6.
Именно оговорка о "рутинном использовании" позволила внедрить в информационную практику государственных ведомств компьютерную сверку, т.е. проводимое с помощью компьютерных технологий сопоставление двух или более систем персональных данных. Такое сопоставление позволяет объединить имеющуюся в разных системах персональную информацию в единый банк данных и получить более полный "информационный портрет" индивида.
Впервые эта операция была использована в 1977 г. Департаментом здравоохранения, образования и социального обеспечения США, которое рассматривало ее как эффективный способ обнаружения обмана или злоупотреблений со стороны лиц, получающих пособия и услуги одновременно по нескольким программам социальной помощи. Общественная реакция была резко отрицательной. Противники компьютерной сверки указывали на то, что она, по существу, представляет собой "электронный обыск", проводимый с нарушением презумпции невиновности. Практика показала к тому же, что эффективность такого "обыска" не слишком высока.
Дискуссии по поводу компьютерной сверки в США завершились тем, что в 80-е гг. она была санкционирована законом, и это, во всяком случае, позволило ввести ее в рамки "надлежащей правовой процедуры" и упорядочить осуществление сверочных программ. Было предусмотрено, в частности, что между ведомством, проводящим сверку, и ведомством - партнером по сверочной программе должно быть заключено соглашение, в котором указываются цель и правовое основание сверочной программы, дается точное описание сопоставляемой информации, предусматриваются процедуры верификации полученных результатов, определяется дальнейшая судьба вновь созданных персональных данных. Соглашение должно быть санкционировано конгрессом и открыто для доступа общественности.
Возвращаясь к анализу российского Закона о персональных данных, отметим, что проблема вторичного использования персональных данных и компьютерной сверки в нем никак не урегулирована и это, бесспорно, является существенным недостатком Закона. Ведь, строго говоря, вторичное использование персональных данных, включая компьютерную сверку, нельзя признать полностью соответствующим как принципам обработки персональных данных, установленным в Законе, так и конституционному принципу неприкосновенности частной жизни. Однако, с другой стороны, государственные ведомства могут испытывать объективную потребность во вторичном использовании персональных данных, и можно не сомневаться, что подобная практика между государственными ведомствами существует и будет существовать. Поэтому было бы целесообразно эту проблему нормативно урегулировать, т.е. разработать и законодательно закрепить жесткие условия, принципы и порядок вторичного использования персональных данных, а также меры ответственности за их нарушение.
Во многих европейских странах вторичное использование персональных данных осуществляется в рамках установленной законом процедуры. В частности, в Органическом законе Испании "О защите персональных данных" закреплен следующий порядок вторичного использования персональных данных: "Персональные данные, собираемые и обрабатываемые государственными органами для исполнения своих полномочий, не должны передаваться другим государственным органам для выполнения иных задач или с компетенцией, относящейся к другой сфере, за исключением случаев, когда такая передача была предусмотрена распоряжениями по созданию картотеки или распоряжениями высшего ранга, регулирующими ее применение" <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 117.
Следует сказать о технических мерах, используемых для защиты персональных данных в информационных системах. В Законе о персональных данных устанавливается обязанность операторов при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (ч. 1 ст. 19). Этот вопрос будет подробно рассмотрен в следующем параграфе, посвященном проблемам обработки персональных данных. Сейчас же отметим вот что.
Краеугольным камнем любой, даже самой технически совершенной информационной системы, является профессионализм и ответственность обслуживающего ее персонала. Как отмечается специалистами по информационной безопасности, человеческий фактор должен учитываться и являться основным элементом построения эффективной системы защиты автоматизированных информационных систем <1>.
--------------------------------
<1> См.: Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учеб. пособие. М., 2001. С. 42.
Эта мысль особенно актуальна в современных российских условиях. Низкая экономическая и социальная защищенность населения часто приводит к тому, что добросовестное отношение к делу заменяется стремлением добиться успеха и благосостояния любой ценой. Бурная коммерциализация на фоне отсутствия традиции уважения к закону привела к массовым нарушениям трудового законодательства. Обычным делом стало необоснованное увеличение продолжительности рабочего времени, отсутствие соблюдения правил охраны труда и низкий уровень локального правового регулирования трудовых отношений. Все вышеизложенное представляет собой определенный "фактор риска" в деле обеспечения безопасности персональных данных. Торговля персональными данными может стать (и часто становится!) прибыльным делом для ущемленного в правах сотрудника.
Общие требования относительно правил работы с персональными данными работников операторов - юридических лиц устанавливаются подзаконными актами, например утвержденным Постановлением Правительства РФ от 17 ноября 2007 г. N 781 Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
Требования, содержащиеся в Положении и других подзаконных актах, нуждаются в конкретизации в нормах, устанавливаемых локальным нормативным регулированием. В частности, для регламентации особенностей трудовой функции работников, в чью компетенцию входит работа с персональными данными, можно использовать трудовой договор (а также различные соглашения) с этими работниками и другие локальные нормативные акты организации. Так, принимая на работу работников, в чью компетенцию будет входить работа с персональными данными, необходимо вносить в их трудовые договоры пункты о порядке работы с персональными данными, о соблюдении требований конфиденциальности, о прохождении работником соответствующего обучения и т.д. Работники должны быть ознакомлены под роспись со всеми должностными инструкциями и правилами, касающимися работы с конфиденциальными данными. Работодатель обязан проводить обучение и регулярный инструктаж этих работников по работе с автоматизированной информационной системой. В правилах внутреннего трудового распорядка или ином локальном нормативном акте (лучше всего - в специальном положении о персональных данных) должен быть закреплен порядок доступа сотрудников к конфиденциальным сведениям, порядок работы с ними и режим охраны этих сведений.
Словом, в локальном нормативном регулировании, касающемся прав и обязанностей как работника, так и работодателя, должен быть закреплен весь спектр мер, направленных на предупреждение возможности несанкционированного доступа, использования и разглашения персональных данных, а также дифференцированная система мер ответственности за нарушение соответствующих правил.
Сравнивая российский Закон о персональных данных в части вопросов обеспечения конфиденциальности персональных данных с аналогичными законами других европейских стран, можно отметить следующее.
Российский Закон о персональных данных в отличие от аналогичных законов, например, таких стран, как Швеция, Дания и Испания, содержит прямое указание на то, что персональные данные граждан представляют собой конфиденциальную информацию. Тем не менее порядок обеспечения конфиденциальности в данном Законе отражен достаточно поверхностно. В Законах о защите персональных данных перечисленных государств, напротив, прямое указание на конфиденциальность персональных данных отсутствует, однако порядку обеспечения безопасности персональных данных уделено значительное внимание.
Так, Органическим законом Испании "О защите персональных данных" предусмотрено создание специальных типовых кодексов профессиональной практики, в которых регламентируются "правила организации, порядок функционирования, применяемые процедуры, нормы безопасности, программы или оборудование, обязанности лиц, вовлеченных в обработку и использование персональных данных". Тем же Законом предусматривается обязанность всех лиц, участвующих в обработке персональных данных, сохранения профессиональной тайны <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 120, 113.
Закон Швеции устанавливает особые критерии мер технического и организационного характера для защиты персональных данных при их обработке. Эти меры, согласно Закону, должны обеспечивать необходимый уровень безопасности, учитывающий имеющиеся технические возможности, стоимость соответствующих мероприятий, особые риски, связанные с обработкой персональных данных, и степень деликатности обрабатываемых данных <1>.
--------------------------------
<1> См.: Там же. С. 79.
В России организационные и технические требования, предъявляемые к информационным системам персональных данных, закреплены в подзаконных актах Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности (ФСБ России), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора). Таким образом, организационное и техническое регулирование осуществляется не законодательными (более высокими по иерархии), а подзаконными актами. Любой специалист по государственному управлению или юрист-административист знает, насколько такое подзаконное регулирование обширно, неустойчиво и противоречиво. Каждое ведомство "тянет одеяло на себя" и преследует прежде всего свой собственный интерес. Кроме того, система органов исполнительной власти постоянно находится в состоянии реформирования. Очевидно, что в условиях перманентной реорганизации ведомство не может эффективно работать. Все это говорит о том, что организационные и технические требования или хотя бы их некоторую часть целесообразнее было бы закрепить в законе, а не в подзаконном акте, как это сделано во многих европейских странах.
Статья 15 Закона о персональных данных регулирует вопрос о защите прав субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. По общему правилу прямые контакты с потенциальным потребителем - субъектом персональных данных с помощью средств электронной связи и с целью политагитации допускаются с предварительного согласия субъекта персональных данных. Обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить обработку персональных данных субъекта по его требованию.
На практике ни одного случая запрашивания предварительного согласия субъекта персональных данных на рассылку рекламной или иной подобной корреспонденции (спама) автору не известно. В некоторых европейских государствах, в частности в Испании, лиц, занимающихся рассылкой рекламной и иной подобной корреспонденции, закон обязывает в каждом письме субъекту указывать не только источник получения персональных данных субъекта и его права в отношении их использования, но также и сведения о личности держателя (т.е. автора корреспонденции) <1>. Думается, что эта простая мера, будучи закрепленной в Законе о персональных данных и подкрепленная соответствующими мерами ответственности, могла бы в значительной степени ограничить ставший чересчур навязчивым поток почтовой рекламной рассылки, в том числе в Интернете.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 119.
Проблемы распространения персональных данных в Интернете в определенной степени регулируются общеевропейскими нормативными документами. Так, Директива Европейского парламента и Совета Европейского союза от 15 декабря 1997 г. N 97/66/ЕС обязывает соответствующие государства на уровне национального законодательства "обеспечивать конфиденциальность коммуникаций, осуществляемых посредством общедоступной телекоммуникационной сети и общедоступных телекоммуникационных услуг" <1>. Кроме того, к настоящему моменту в международной юридической практике уже накоплен некоторый "внесудебный" опыт урегулирования подобных дел.
--------------------------------
<1> Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М., 1998. С. 117.
Более чем в 20 странах мира действуют различные независимые органы (уполномоченные, комиссии, агентства) по защите прав субъектов персональных данных. Деятельность этих структур обеспечивает дополнительные гарантии прав субъектов персональных данных наряду с системой мер юридической ответственности, установленной законодательством. В России эти функции возложены на Роскомнадзор. И конечно же, обеспечение конфиденциальности интернет-коммуникаций невозможно без активного содействия самих участников интернет-сообщества - интернет-провайдеров, собственников сайтов, пользователей и их саморегулируемых организаций.
Теперь несколько соображений, касающихся использования идентификаторов. Пунктами 2 и 3 ст. 13 Закона о персональных данных установлено, что федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных конкретному субъекту персональных данных. На стадии подготовки законопроект, как известно, включал в себя статью о присвоении персональным данным субъектов индивидуальных идентификационных номеров (идентификаторов). Однако эта статья подверглась активной критике главным образом со стороны представителей верующих, полагавших, что факт присвоения идентификаторов персональным данным граждан унизит их человеческое достоинство <1>. Под давлением общественного мнения термин "идентификатор персональных данных" был исключен из законопроекта, а вместо него появилась туманная формулировка "различные способы обозначения персональных данных", которые на самом деле есть не что иное, как формы идентификаторов.
--------------------------------
<1> Ведомости. 2006. 15 марта. N 67.
Ничуть не умаляя как чувства верующих, так и право каждого на выражение своих взглядов и убеждений, все же заметим, что, по нашему мнению, данная дискуссия вынудила разработчиков Закона отойти от сугубо юридических вопросов в сторону проблем более абстрактных. Фактическое "замалчивание" в Законе использования идентификаторов (а можно не сомневаться, что идентификаторы персональных данных будут применяться на практике) привело к тому, что правовой порядок их использования не был установлен. В то же время если бы этот термин вошел в окончательную редакцию, законодателем, скорее всего, был бы установлен и правовой режим присвоения и использования идентификаторов, а возможно, и различные ограничения в части их использования и обмена между ведомствами. Нынешняя же редакция Закона из-за неопределенности формулировки, с одной стороны, фактически легализует применение идентификаторов, а с другой - не устанавливает никаких правил их применения, что, без сомнения, может привести к злоупотреблениям и путанице в их использовании. Нелишним будет напомнить чересчур щепетильному законотворцу и о том, что российским законодательством, в частности налоговым, уже давно предусмотрено присвоение персональных идентификационных номеров налогоплательщикам (ст. 84 НК РФ).
Во многих европейских странах эта проблема уже нашла свое положительное решение. Так, Закон Финляндии "О персональных данных" закрепляет все случаи возможного использования персонального идентификационного номера субъекта. В соответствии с ним персональный идентификационный номер субъекта может обрабатываться при однозначно выраженном согласии субъекта или в случаях, когда это необходимо для однозначной идентификации субъекта (для совершения действия, предусмотренного законом, для реализации прав и обязанностей субъекта или контролера и т.п.). Персональный идентификационный номер может также использоваться при действиях, относящихся к предоставлению кредита и истребованию задолженности, страховании, аренде, нуждам здравоохранения и социального обеспечения <1>.
--------------------------------
<1> См.: Персональные данные в структуре информационных ресурсов. Основы правового регулирования / Под ред. И.Л. Бачило. 2-е изд. С. 86.
Рассматривая проблему обеспечения конфиденциальности персональных данных в России, нельзя не затронуть вопрос о закрытых информационных системах, формируемых органами безопасности и правопорядка. Специфика деятельности этих органов предполагает известную степень секретности, продиктованную в значительной мере интересами общественной безопасности, однако это не означает, что в этом случае порядок сбора и обработки персональных данных может быть произвольным. Анализ ч. 1 ст. 1 Закона о персональных данных позволяет сделать вывод, что нормы Закона распространяются на эти отношения. Однако, по нашему мнению, в целях обеспечения дополнительных гарантий защиты персональных данных граждан было бы нелишним прямо установить в рассматриваемом Законе некоторые особенности в отношении сбора и обработки персональных данных органами безопасности и правопорядка, как это сделано, например, в Законе Испании. В нем предусматривается, что картотеки органов безопасности хотя и создаются на общих основаниях, однако должны быть предметом постоянного контроля. Сбор и обработка персональных данных в политических целях и целях конкретного расследования органами безопасности без согласия субъекта ограничиваются категориями данных, необходимых для предотвращения реальной угрозы государственной безопасности или уголовных преступлений. Такая информация должна храниться в специальных картотеках, классифицированных по степени их надежности. Регулируется также порядок уничтожения такой информации в случае утраты необходимости в ней в связи с завершением расследования <1>.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. С. 116.
Правовое регулирование проблемы конфиденциальности персональных данных в Законе о персональных данных исчерпывается рассмотренными нами статьями, причем, как нетрудно заметить, все они касаются вопросов обеспечения конфиденциальности персональных данных в процессе их обработки. Вместе с тем обращение персональных данных осуществляется в процессе функционирования многих общественных институтов, в частности средств массовой информации, или во время проведения избирательных кампаний. Сбор и обработка персональных данных в этих случаях имеют свои особенности, связанные как с обеспечением конфиденциальности, так и, напротив, с изъятиями из общих правил о соблюдении конфиденциальности.
Произошедший в XX в. скачок в развитии телекоммуникационных технологий очень сильно повлиял не только на организацию работы СМИ, но и на их социальную роль в обществе.
СМИ обеспечивают мгновенное распространение новостей. Располагая электронными средствами коммуникации и банками информации, они имеют возможность мгновенно обрабатывать поступающую информацию, анализировать ее, сопоставлять. В результате обществу предлагается не просто новость, а вполне законченный, подвергшийся многостороннему анализу, а иногда и идеологической и политической цензуре информационный продукт с соответствующими комментариями и прогнозами развития ситуации.
Появление Интернета обусловило возникновение новых видов СМИ - так называемых интернет-изданий. Они более оперативны, менее политически ангажированы, имеют огромную аудиторию.
В нашей стране деятельность СМИ регулируется Законом РФ от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации" <1> (далее - Закон о СМИ), который к настоящему времени претерпел 22 изменения и дополнения. Закон этот принимался в исключительно нестабильной политической обстановке, еще до принятия ныне действующей Конституции РФ. Все это отразилось на его содержании. В частности, указанный Закон в недостаточной степени уделяет внимание информационной безопасности личности, общества и государства. Это объясняется тем фактом, что в 90-е гг. эта проблема еще не находилась в фокусе общественного внимания, что вполне объяснимо - экономика была в упадке, шел активный передел собственности, сопровождаемый волной заказных убийств, страна была во власти социального, экономического и политического кризиса. Все это привело к тому, что принятый Закон отличался крайне низким уровнем юридической техники, слабой концептуальной разработкой и содержал множество пробелов. Внесенные позже изменения и дополнения частично исправили положение.
--------------------------------
<1> Ведомости СНД И ВС РФ. 1992. N 7. Ст. 300.
В нынешней редакции Закон о СМИ содержит отдельные нормы, обеспечивающие конфиденциальность информации, в том числе и информации личного характера. Однако, как мы увидим, имеются и концептуальные различия в трактовке защиты информации личного характера в Законе о СМИ и в Законе о персональных данных, и прямые противоречия. Для того чтобы защита конфиденциальности персональных данных личности в условиях свободы СМИ была эффективной, она должна стать одним из принципов журналистской деятельности.
Некоторые гарантии защиты персональных данных вытекают из содержания правового статуса журналиста. Так, правовой статус журналиста, основанный на конституционных нормах о свободе поиска, получения и распространения информации и о свободе творческой деятельности, состоит также из норм о юридической ответственности за нарушение правовых предписаний.
Журналист вправе:
- получать доступ к документам и материалам, за исключением фрагментов, содержащих сведения, составляющие государственную, коммерческую или иную специально охраняемую законом тайну;
- копировать, публиковать, оглашать или иным способом воспроизводить документы и материалы при условии соблюдения государственной или иной охраняемой законом тайны;
- производить записи, в том числе с использованием аудио-видеотехники, кино- и фотосъемки, за исключением случаев, предусмотренных законом.
Журналист обязан:
- сохранять конфиденциальность информации и ее источника;
- получать согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в СМИ сведений о личной жизни гражданина от самого гражданина или его законных представителей;
- при получении информации от граждан и должностных лиц ставить их в известность о проведении аудиовидеозаписи или кино- и фотосъемки.
При осуществлении профессиональной деятельности журналист обязан уважать права, законные интересы, честь и достоинство граждан и организаций.
В Законе о СМИ есть нормы, регулирующие распространение материалов и сообщений, сделанных с использованием скрытой аудио-, видеозаписи, кино- и фотосъемки. Скрытая запись и съемка допускаются:
- если это не нарушает конституционных права и свобод человека и гражданина;
- если это необходимо для защиты общественных интересов и приняты меры против возможной идентификации посторонних лиц;
- если демонстрация записи производится по решению суда (ст. 50).
Данную норму можно использовать в качестве хрестоматийного примера того, как нельзя формулировать тексты законов.
Во-первых, может ли вообще скрытая запись каких-либо действий субъекта не нарушать его прав? Вряд ли. Как вообще лицо может узнать о нарушении, если запись скрытая?
Во-вторых, журналист - не оперативник и не следователь, каким образом он может определить, какие лица посторонние, а какие нет?
В Законе о СМИ предусмотрено право лица на опровержение: "Гражданин или организация вправе потребовать от редакции опровержения не соответствующих действительности и порочащих честь и достоинство сведений, распространенных данным СМИ, если редакция не докажет их соответствие действительности". То же самое можно сказать и о так называемом праве на ответ, т.е. комментарий, реплику в том же СМИ. Правом на ответ могут воспользоваться граждане и организации, в отношении которых в СМИ были распространены сведения, не соответствующие действительности или ущемляющие их права и законные интересы.
Право на опровержение и право на ответ не являются средством защиты персональных данных лица, поскольку основаны на гражданско-правовом институте защиты чести и достоинства лица как его личных неимущественных благ. Лицо может им воспользоваться, только если распространенные сведения не соответствуют действительности. А как быть с распространенными сведениями, соответствующими действительности, т.е. с персональными данными? Данный вопрос остался за пределами правового регулирования.
Проблема защиты тайны личной жизни в условиях свободы СМИ имеет и другую сторону. Подробности частной жизни рядового гражданина, как правило, важны только для него самого и его ближайшего окружения. Совершенно иное дело, когда речь идет о публичной персоне, занимающей высокий государственный пост, - государственном служащем, министре, депутате, президенте. Эти люди по своему статусу не только наделены большими полномочиями, но и выполняют представительские функции, выступая от лица граждан в органах государственной власти и на международной арене. Избранное или назначенное для выполнения таких функций лицо не имеет права дискредитировать государственную власть и своих избирателей собственной сомнительной биографией. Все это, в свою очередь, предполагает известную степень открытости частной жизни политиков и иных государственных деятелей. И в данном случае роль СМИ состоит не в том, чтобы поддерживать искусственно созданный политический имидж той или иной публичной персоны, а в том, чтобы с помощью достоверной и объективной информации представлять гражданам действительный портрет такого лица. Достаточно полная и объективная информация о кандидатах на выборные должности, представленная в СМИ, дает возможность избирателям принять решение об избрании или неизбрании того или иного кандидата. При этом деятельность СМИ должна осуществляться строго в рамках закона, а сам закон - предоставлять необходимые правовые условия для "знакомства" граждан с фактами биографии и частной жизни политиков и иных государственных деятелей.
Согласно п. 7 ч. 2 ст. 6 Закона о персональных данных от лиц, замещающих государственные должности, должности государственной гражданской службы, кандидатов на выборные государственные или муниципальные должности, не требуется согласия на опубликование их персональных данных в соответствии с федеральными законами.
В частности, в процессе выдвижения кандидата в депутаты законодательных органов, в соответствии со ст. 38 Федерального закона от 18 мая 2005 г. N 51-ФЗ "О выборах депутатов Государственной Думы Федерального Собрания Российской Федерации" <1> при составлении списка кандидатов избирательной комиссией кандидат обязан сообщить о себе следующие сведения: фамилия, имя, отчество; дата и место рождения; адрес места жительства; серия, номер и дата выдачи паспорта или документа, заменяющего паспорт; гражданство; образование; основное место работы или службы; занимаемая должность. Кандидат также вправе указать свою принадлежность к той или иной политической партии или иному общественному объединению. В случае наличия у кандидата иностранного гражданства указываются сведения о его приобретении. В случае наличия у кандидата неснятой и непогашенной судимости указываются сведения о судимости. Кроме того, в избирательную комиссию кандидат обязан представить сведения о размере и источниках доходов, о принадлежащем ему имуществе, в том числе денежных вкладах и ценных бумагах. Вся предоставленная кандидатом информация должна проверяться. Отсутствие документов, содержащих вышеперечисленные сведения, является основанием для отказа в регистрации кандидата. Таким образом, вся информация о кандидате, которая должна предоставляться во время выборов, обнародуется с целью оценки кандидата избирателями и обеспечения гласности и открытости избирательного процесса.
--------------------------------
<1> СЗ РФ. 2005. N 21. Ст. 1919.
Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела <1> установлено, что средствам массовой информации по их обращениям предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера гражданских служащих:
--------------------------------
<1> Указ Президента РФ от 30 мая 2005 г. N 609 // Российская газета. 2005. 7 июня.
а) декларированный годовой доход;
б) перечень объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них;
в) перечень транспортных средств и суммарная декларированная стоимость ценных бумаг, принадлежащих гражданскому служащему на праве собственности.
В предоставляемых средствам массовой информации сведениях запрещается указывать:
а) иные данные о доходах, имуществе и обязательствах имущественного характера гражданского служащего, кроме вышеперечисленных;
б) данные о супруге, детях и иных членах семьи гражданского служащего;
в) данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи;
г) информацию, отнесенную к государственной тайне или являющуюся конфиденциальной.
Таким образом, Положением установлен как порядок предоставления СМИ публичной информации государственного гражданского служащего, так и необходимые ограничения, связанные с обеспечением прайвеси публичных персон.
В сущности, любое публичное лицо, активно участвующее в общественной жизни, должно быть готово к тому, что подробности его частной жизни будут объектом интереса со стороны общественности и СМИ и обусловлен этот интерес не любопытством, а стремлением удостовериться, что тот, кто берет на себя смелость принимать решения и выступать от имени народа, сам является его достойным представителем. Поэтому частичный отказ от конфиденциальности частной жизни и персональных данных этих лиц является частью их профессии. Думается, что полностью заключить этот процесс в правовые рамки невозможно. Однако с помощью закона можно и нужно устанавливать общие принципы как защиты конфиденциальности персональных данных индивида, так и необходимые, диктуемые общественными интересами изъятия из этих правил. Данная проблема является, несомненно, одной из самых интересных и актуальных в российской правовой практике и нуждается в дальнейшей теоретической и практической разработке.
Обобщая вышесказанное, нужно отметить, что в целом Закон о персональных данных установил лишь основные требования к порядку обеспечения конфиденциальности персональных данных. Однако некоторые важные вопросы, напрямую связанные с обеспечением конфиденциальности персональных данных, остались неурегулированными. К ним относятся вопрос вторичного использования персональных данных, проблема применения идентификаторов, вопрос о правилах работы закрытых информационных систем, вопрос об организационных основах деятельности операторов. В особом регулировании по-прежнему нуждается проблема обеспечения конфиденциальности (а также изъятий из нее) в условиях свободы СМИ.
§ 4. Обработка персональных данных
В настоящее время необходимость создания комплексного правового регулирования вопросов сбора, хранения, обработки и передачи персональных данных граждан очевидна и не подвергается сомнению, однако так было не всегда. С началом применения технологии в деле сбора и обработки информации выявились два различных подхода к этому вопросу: позитивный и негативный <1>. Сторонники негативного подхода считали, что разработка специальной правовой процедуры для сбора и обработки персональных данных не требуется. По их мнению, информатика не внесла ничего нового в эту область. Сведения о населении собирались всегда, и в чисто техническом отношении не было резкого перехода от ручных картотек к электронным.
--------------------------------
<1> Пилипенко А.Н. Законодательство Франции об электронной обработке информации о гражданах в аспекте основных прав. С. 26.
Аргументация сторонников позитивного подхода строилась на одном из основных законов материалистической диалектики о переходе количественных изменений в качественные. В соответствии с ним применение информатики создало качественно новую ситуацию в обработке информации, в том числе информации о гражданах. Возможность быстрого аккумулирования, группировки, сопоставления и распространения данных средствами электронной коммуникации создает условия для легкого доступа к этим данным. В связи с этим необходимо создание качественно нового правового регулирования вопросов сбора и обработки информации о гражданах, учитывающего особенности автоматизированной обработки этой информации <1>.
--------------------------------
<1> Пилипенко А.Н. Законодательство Франции об электронной обработке информации о гражданах в аспекте основных прав. С. 8.
Итак, как мы уже говорили, именно с началом применения автоматизированной обработки информации, т.е. обработки с помощью средств электронной техники и технологии, появилась необходимость в особой правовой регламентации этой деятельности.
Появление Интернета с его неограниченными возможностями накопления, передачи и синтеза информации поставило вопрос о защите персональных данных, содержащихся в автоматизированных информационных системах, на качественно иной уровень.
Закон о персональных данных регулирует отношения, связанные с обработкой персональных данных, осуществляемые с использованием средств автоматизации или без использования таких средств, если последнее соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации (ст. 1).
Согласно п. 9 ст. 3 данного Закона информационная система персональных данных - это совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В целях обеспечения защиты персональных данных граждан в информационных системах персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны, законодательством установлен специальный порядок (правовой режим) обработки этих данных. Специальный порядок обработки включает в себя перечень субъектов, уполномоченных вести сбор и обработку персональных данных, права и обязанности субъектов персональных данных, принципы и условия этой обработки, меры контроля и ответственности за нарушение законодательства в этой области.
Действие рассматриваемого Закона не распространяется, во-первых, на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных, т.е. в данном случае действует правило "разрешено все, что не запрещено", и законодатель не вмешивается в частную деятельность лиц по сбору персональных данных до тех пор, пока эти действия не нарушают прав и свобод субъекта персональных данных и не содержат признаков правонарушения.
Во-вторых, действие рассматриваемого Закона не распространяется на организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле.
В-третьих, Законом не регулируется правовой режим обработки подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя.
В-четвертых, Закон не распространяется на обработку персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну. Порядок обработки этих сведений регулируется законодательством о государственной тайне.
В-пятых, действие Закона не распространяется на информационные отношения, возникающие при реализации Федерального закона от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Вышеперечисленная часть сведений, выведенная из сферы действия Закона о персональных данных, регулируется специальными законодательными и иными нормативными актами.
Как уже отмечалось, значительная часть Закона о персональных данных посвящена регулированию вопросов обработки персональных данных. Что представляет собой обработка персональных данных?
Уже отмечалось, что законодатель придал этому термину слишком широкое содержание, ему не свойственное. В связи с этим нельзя не отметить, что непременным условием правильного понимания, толкования и применения Закона является его изложение терминами и категориями, адекватно отражающими смысл и содержание понятий в соответствующем (в нашем случае - русском) языке. Кто, в самом деле, будет считать сбор каких-либо предметов, вещей их обработкой? А как быть, когда персональные данные собирают журналисты? Нельзя же назвать обработкой персональных данных сбор сведений об известных людях, например трагически закончившееся преследование принцессы Дианы? Все вышеизложенное равным образом относится и к трактовке термина "обработка" как уничтожение. Разве "наводя порядок" в персональном компьютере и удаляя ненужные файлы, мы считаем это обработкой?
Таким образом, фактически в Законе о персональных данных идет речь о двух понятиях - "оборот" и "обработка". Оборот как более широкое понятие охватывает весь цикл движения персональных данных - от сбора до уничтожения. Обработкой же следует считать действия с уже собранными для определенных целей персональными данными (хранение, обновление, уточнение, блокирование, использование, распространение и т.п.).
Использование наряду с термином "обработка" термина "оборот" больше соответствовало бы и заявленной цели Закона: обеспечению защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.
Согласно ст. 3 Закона о персональных данных под обработкой персональных данных следует понимать действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
При этом согласно той же статье под распространением персональных данных подразумеваются действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных - это действия с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных - это временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Уничтожение персональных данных - это действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обезличивание персональных данных - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Подробное раскрытие содержания отдельных операций с персональными данными, охватываемых термином "обработка", является безусловным плюсом рассматриваемого Закона. Однако возникает вопрос: почему законодатель детализирует содержание только этих операций, а остальные (сбор, систематизация, накопление, хранение, уточнение, обновление) остаются за пределами его внимания и содержание их остается нераскрытым? Ведь при осуществлении указанных операций столь же возможны различные нарушения, поэтому раскрытие в Законе их содержания обеспечило бы дополнительные гарантии соблюдения законности в процессе правоприменения. Особенно это касается такой операции, как сбор, без которой немыслимы практически все остальные.
Недостаток рассматриваемого Закона, связанный с использованием термина "обработка", уже привлек к себе внимание специалистов. Так, А.С. Маркевич в своем научном исследовании справедливо отмечает, "что объединяя все эти действия (операции) под одним определением "обработка", законодатель уже... создает путаницу, которая способна привести к невозможности исполнения этого закона с необходимой степенью эффективности. В нормах Закона о персональных данных неоднократно приводится требование о согласии гражданина на обработку его персональных данных, но без уточнения того, в чем эта обработка заключается. Например, если человек дает согласие на сбор его персональных данных, то, опять же, это вовсе не означает, что он согласен и на дальнейшее распространение этих данных, однако, в силу рассматриваемого закона, и сбор, и распространение являются обработкой. Согласие гражданина потребуется и на любые дальнейшие манипуляции с этими персональными данными, включая их обезличивание и статистические исследования, что на практике означает необходимость получения от гражданина (работника) его предварительного согласия при каждом последующем действии с персональными данными. Получается, что если на обработку персональных данных определенного характера требуется согласие гражданина, то это теоретически позволит защитить его право на защиту информации только во время сбора персональных данных. Соответственно, соглашаясь на обработку своих персональных данных, человек может оказаться в полной зависимости от того, насколько добросовестно и разумно будет трактовать слово "обработка" тот, кто эти данные собирает" <1>.
--------------------------------
<1> Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. дис. ... канд. юрид. наук. Воронеж, 2007.
Прежде чем приступить к рассмотрению вопросов, связанных с собственно обработкой персональных данных, затронем вопрос о принципах обработки персональных данных (ст. 5 Закона о персональных данных). К ним, в частности, относятся:
- принцип законности целей и способов обработки персональных данных и добросовестности;
- принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- принцип соответствия объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;
- принцип достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к заявленным оператором целям;
- принцип недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Перечисленные принципы обработки персональных данных являются, по сути, лишь принципами деятельности операторов информационных систем персональных данных. Соблюдение этих принципов обеспечивает законность обработки персональных данных граждан и является гарантией защиты от злоупотреблений со стороны операторов. Однако принципы обработки не есть принципы оборота. Если принять во внимание, что целью рассматриваемого Закона является "обеспечение защиты прав и свобод человека и гражданина, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну", то можно сделать вывод о том, что принципами данного Закона должны, скорее, являться более общие и основополагающие положения. Такими принципами могут быть, например, принцип добровольности предоставления персональных данных субъектом, принцип законности деятельности операторов и т.п.
Главным, на наш взгляд, принципом обработки персональных данных должна являться добровольность их предоставления для обработки субъектом персональных данных (ст. 6 Закона о персональных данных). По общему правилу лицо вправе давать или не давать согласие на обработку своих персональных данных тому или иному оператору. Субъект персональных данных имеет также право свое согласие отозвать. В ряде случаев, например для создания общедоступных источников персональных данных, согласие должно быть выражено в письменной форме.
Законодатель признает, что вопрос о согласии субъекта персональных данных является принципиально важным. В готовящемся в настоящее время законопроекте о внесении изменений и дополнений в Закон о персональных данных предложена даже более строгая формулировка - "письменное соглашение" о предоставлении персональных данных субъекта, включающее все условия их обработки, цели и виды действий <1>.
--------------------------------
<1> Законопроект N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" // www.fz-152.org.
В соответствии со ст. 6 Закона о персональных данных согласия субъекта персональных данных не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
1.1) обработка персональных данных осуществляется в связи с реализацией международных договоров Российской Федерации о реадмиссии (реадмиссия - это согласие государства на прием на свою территорию своих граждан (или иностранцев, ранее проживавших в этом государстве), подлежащих депортации из другого государства. - Н.И);
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Таким образом, согласия субъекта персональных данных на предоставление его персональных данных не требуется в случаях, когда речь идет об обеспечении государственных или иных жизненно важных интересов самого субъекта персональных данных, а именно защиты конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обороны и безопасности страны и т.п. (ст. 9 Закона о персональных данных). Такая позиция законодателя является полностью обоснованной. Однако именно поэтому вызывает сомнение необходимость предоставления персональных данных субъектами для осуществления профессиональной деятельности журналиста, а также в целях литературной, научной или иной творческой деятельности. Осуществление подобных видов деятельности, как правило, не связано напрямую с обеспечением каких бы то ни было государственных, общественных или личных интересов как самого субъекта персональных данных, так и других лиц. Напротив, практика осуществления журналистской деятельности в современной России, скорее, свидетельствует об обратном. Обилие заказных материалов, поиск дешевых сенсаций и "война компроматов" в СМИ тому пример. В связи с этим норма об обязательности предоставления персональных данных для этих целей нам кажется излишне строгой и, самое главное, нарушающей права человека на неприкосновенность частной жизни. По нашему мнению, субъект персональных данных должен иметь право самостоятельно решать вопрос о предоставлении своих персональных данных для целей осуществления журналистской, литературной, научной и иной творческой деятельности.
Кстати, в Конституции РФ ведь не случайно на первое место поставлен термин "искать информацию", а не "получать информацию" (ч. 4 ст. 29). Думается, это напрямую связано с правами гражданина в отношении информации личного характера: предоставить какую-либо ее часть для использования, например журналисту, или отказать.
Анализ ст. 6 Закона о персональных данных позволяет сделать вывод о том, что далеко не во всех случаях законодателю удалось успешно осуществить гармонизацию прав человека на неприкосновенность частной жизни, личную и семейную тайну и права на свободный поиск и получение информации. По-видимому, на этот недостаток Закона уже обратили внимание специалисты, потому что в готовящихся законопроектах о внесении изменений в Закон о персональных данных пункт об обязательном предоставлении данных для журналистской и иной подобной деятельности исключен <1>.
--------------------------------
<1> Законопроект N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" // www.-fz-152.org.
Согласно ст. 8 Закона о персональных данных общедоступные источники персональных данных могут включать с письменного согласия субъекта персональных данных его фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и другие данные по желанию субъекта. Персональные данные субъекта по его требованию могут быть в любое время исключены из общедоступных источников.
Обработка специальных категорий персональных данных по общему правилу запрещена (ст. 10 Закона о персональных данных). Этой нормой ограничивается включение наиболее "чувствительной" информации личного характера в область публично-правовых отношений.
Однако существует целый ряд исключений из этого правила, которые, кстати, довольно существенно снижают эффективность этой нормы. Обработка допускается, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
1.1) обработка персональных данных требуется в связи с реализацией международных договоров Российской Федерации о реадмиссии;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, при условии что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
5) обработка персональных данных участников общественного объединения или религиозной организации осуществляется ими для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.
Нам представляется, что возможность обработки специальных категорий персональных данных с письменного согласия индивида может привести к злоупотреблениям.
Попробуем представить, как эта норма будет реализовываться на практике. Прежде всего возникает вопрос: кому и с какой целью потребовалось собирать специальные категории персональных данных, если это в целом запрещено законом? Понимал ли субъект персональных данных правовые последствия своего согласия? Добросовестно ли это согласие получено (вспомним, что в теории права есть специальное понятие "порок воли")?
Фактически разрешение сбора специальных категорий персональных данных с письменного согласия их обладателя сводит на нет запрет на сбор и обработку специальных категорий персональных данных, установленный в ч. 1 ст. 10, что открывает дорогу самым разнообразным злоупотреблениям.
По нашему мнению, любые действия (операции) с персональными данными, относящимися к специальным категориям, за исключением случаев, связанных с обеспечением общественной безопасности и правопорядка и отправлением правосудия (п. п. 6 и 7 ч. 2, ч. 3 ст. 10 Закона о персональных данных), должны осуществляться не с письменного согласия, а с письменного волеизъявления субъекта персональных данных, т.е. инициатива в отношении совершения любых действий (операций) со специальными категориями персональных данных субъекта должна исходить от него самого и выражаться в виде его прямого волеизъявления (обращения, заявления), составленного в письменной форме.
В отношении обработки биометрических персональных данных также установлены некоторые ограничения. Так, биометрические персональные данные могут обрабатываться только при наличии письменного согласия субъекта персональных данных, за исключением случаев, когда они обрабатываются в связи с осуществлением правосудия, реализацией международных договоров Российской Федерации о реадмиссии, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством, законодательством о порядке въезда в Российскую Федерацию и выезда из нее (ст. 11 Закона о персональных данных).
Обработка персональных данных, осуществляемая в государственных и муниципальных информационных системах персональных данных, может иметь особенности, установленные федеральными законами. К этим особенностям мы можем отнести и рутинное использование, и применение идентификаторов, и создание закрытых информационных систем, т.е. многое из того, что Законом о персональных данных по тем или иным причинам не урегулировано.
Важной теоретической и практической проблемой, связанной с вопросом обработки персональных данных, является проблема правового статуса оператора. Как известно, правовой статус складывается из право- и дееспособности и комплекса прав и обязанностей.
Надо сказать, в нынешней редакции Закона о персональных данных правовой статус оператора разработан слабо. Об этом свидетельствует огромное количество вопросов, поступающих специалистам по правовому регулированию оборота персональных данных.
Прежде всего необходимо определить, какие лица и органы по смыслу Закона являются операторами. Согласно п. 2 ст. 3 Закона о персональных данных оператором признается государственный или муниципальный орган, физическое или юридическое лицо, организующее и (или) осуществляющее обработку персональных данных и определяющее цели и содержание этой обработки.
Из этого определения следует, что оператором может быть признано любое лицо или орган, осуществляющие сбор и обработку персональных данных не для личных целей.
Согласно нормам Закона оператор обладает следующими правами:
- правом устанавливать цели сбора персональных данных;
- правом устанавливать сроки хранения и способы обработки персональных данных;
- правом определять в установленных Законом пределах средства и методы защиты информационных систем данных, определять регламент работы информационных систем данных;
- правом собирать персональные данные из общедоступных источников или с согласия субъекта персональных данных.
Очевидно, что государственные и муниципальные органы в качестве операторов обладают дополнительными правами, связанными с реализацией возложенных на них полномочий.
Обязанности оператора можно условно разделить на несколько групп: обязанности при сборе персональных данных, обязанности собственно при обработке персональных данных, обязанности по отношению к субъектам персональных данных, обязанности по устранению нарушений порядка обработки персональных данных.
При сборе персональных данных оператор обязан предоставить субъекту персональных данных (а последний имеет право требовать получения) информацию:
1) о факте обработки персональных данных субъекта и цели обработки;
2) о способах обработки персональных данных оператором;
3) о лицах, имеющих доступ к персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) о сроках обработки и хранения персональных данных;
6) о возможных юридических последствиях обработки персональных данных субъекта.
В обязанности оператора при сборе персональных данных входит также обязанность предоставить субъекту персональных данных по его запросу информацию о находящихся в информационной системе персональных данных субъекта (ст. 18 Закона о персональных данных).
Если данные были получены не от самого субъекта, за исключением случаев, когда персональные данные получены оператором на основании федерального закона или из общедоступных источников, оператор до начала обработки должен предоставить субъекту следующую информацию:
1) наименование и адрес оператора;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) права субъекта персональных данных.
Здесь необходимо сделать небольшое отступление. В рассматриваемой статье появляется новый субъект правоотношений по обороту персональных данных - пользователь персональных данных. Нужно отметить, что больше нигде в тексте рассматриваемого Закона этот термин не встречается и значение его не разъяснено. Исходя из контекста Закона можно сделать вывод, что он обозначает группу лиц, имеющих право на доступ и использование собранных персональных данных на законных основаниях.
И здесь мы подходим к очень важной теоретической и практической проблеме, которая по непонятным причинам ускользнула от внимания разработчиков Закона.
Проблема эта заключается в неопределенности трактовки понятия "оператор". Ведь, во-первых, персональные данные могут собираться оператором как подрядчиком, а затем созданный информационный продукт может передаваться для использования другому лицу - пользователю. Пользователями могут быть государственные и муниципальные органы, организации различных форм собственности, а также лица, осуществляющие журналистскую, научную и иную творческую деятельность.
Во-вторых, и это еще более вероятно, оператор, устанавливающий цели сбора персональных данных (он же пользователь), может поручать их обработку и хранение специализированному подрядчику. Учитывая значительные технические, организационные и материальные затраты, необходимые для обработки персональных данных, легко предположить, что этим будут заниматься специализированные организации в качестве предпринимательской деятельности.
За рубежом такая практика широко распространена. Если у нас государственные органы и частные лица вдруг, с принятием нового Закона, получили статус операторов и спешно пытаются привести свою деятельность в соответствие с новыми требованиями, параллельно разбираясь с возникающими вопросами, то зарубежная практика, давно прошедшая этот этап, обогатилась новыми формами предпринимательской деятельности на этом поприще. В Европе и США существует особый и весьма доходный вид предпринимательской деятельности, связанный с организацией хранения и обработки персональных данных операторов специальным подрядчиком. Строятся и функционируют Data-хранилища - огромные помещения, оснащенные сертифицированным электронным оборудованием, системами защиты, необходимыми программами обработки файлов. Работа этих центров прекрасно обеспечена не только с технической, но и с организационной точки зрения. Разрабатываются целые пакеты внутренних документов, регламентирующих все этапы и виды работы с файлами данных, мониторинг состояния телекоммуникационного и иного технического оборудования, систем внутренней защиты. Особое внимание уделяется подготовке и обучению персонала. Подрядчик, которому принадлежит центр, принимает на хранение файлы данных у операторов и обеспечивает весь комплекс мероприятий по их обработке, хранению и защите. Такие центры скоро появятся и у нас в стране. Вероятно, в скором времени сформируется целый рынок подобного рода услуг. Хочется надеяться, что отечественные инвесторы не упустят возможность занять на этом рынке лидирующее положение. Пока же, насколько известно автору, инициатива в этом отношении находится полностью в руках крупных западных, в частности американских, компаний.
Российский Закон о персональных данных понятие "оператор" не дифференцирует, поэтому возникает еще одна проблема. Сейчас по смыслу Закона признается оператором и тот, кто определяет цели, и тот, кто осуществляет собственно обработку. Тогда, впрочем, не ясно, кто же такой пользователь. Получается, что и он тоже является оператором, раз использует персональные данные для собственных целей.
Отечественные специалисты уже обратили внимание на этот недостаток Закона. Как отмечает в своей статье О. Сухарева, "множество проблем породил слишком широкий подход к понятию оператора персональных данных. На практике обычно существуют заказчик и подрядчики, организующие в интересах заказчика проведение маркетинговых акций и в том числе обработку персональных данных потребителей. При этом обычно задействовано множество подрядчиков и субподрядчиков, между которыми происходит обмен данными: центр организует одна фирма, рассылку - другая, коммуникации через сайт - третья, а сводные базы данных потребителей хранятся еще где-то. В таких условиях заказчик не имеет реальной возможности контролировать обработку данных. Поскольку по Закону именно оператор персональных данных несет всю полноту ответственности за соблюдение прав субъекта, и заказчики, и подрядчики всеми силами стремятся избежать звания оператора. Законодатель тем не менее причесал под одну гребенку всех: введенный им термин позволяет причислить к операторам и тех, кто непосредственно обрабатывает данные, и тех, в чьих интересах осуществляется обработка.
В экспертном сообществе существует точка зрения, согласно которой разграничение между оператором и неоператором ("обработчиком", "третьим лицом") все же можно провести. Критерием служит определение целей обработки. Компания, определяющая цели, и является оператором. Все остальные относятся к третьим лицам, которым оператор поручает обработку данных на основании договора <1>.
--------------------------------
<1> Кадровая служба и управление персоналом предприятия. 2010. N 1 // СПС "КонсультантПлюс".
Думается, можно согласиться с таким подходом. Оператор тот, кто определяет цели сбора персональных данных. Однако если оператор по закону и несет всю полноту ответственности, то подрядчик, берущий на себя всю техническую и организационную сторону, связан требованиями Закона не меньше, поэтому крайне важно установить в Законе правовой статус обоих и формы их взаимодействия и контроля, как это сделано в большинстве европейских законов, предусматривающих возможность передачи оператором чисто технических функций обработки и хранения персональных данных специальной организации-обработчику и устанавливающих специальные нормы, позволяющие обеспечивать конфиденциальность персональных данных при передаче их обработчику.
Например, Закон об обработке персональных данных Дании предусматривает, что "если оператор разрешает осуществлять обработку данных обработчику, то он должен удостовериться, что обработчик удовлетворяет техническим и организационным мерам безопасности, установленным в законе, и должен гарантировать соответствие этим мерам. Осуществление обработки обработчиком регламентируется договором, в котором указывается, что обработчик должен действовать только по инструкции оператора" <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 257.
В Испании обработка персональных данных пользователями должна регулироваться специальным договором, составленным в письменной или в какой-либо другой форме, позволяющей удостовериться в его подписании и содержании. В договоре должно быть четко установлено, что уполномоченное лицо должно обрабатывать персональные данные в строгом соответствии с инструкциями оператора, что это лицо не будет применять или использовать эту информацию в целях, отличных от тех, которые указаны в данном договоре, а также не будет ее сообщать, даже для ее сохранения, другим лицам <1>.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. С. 110.
Так или иначе, но возможность передачи оператором части функций по обработке персональных данных специальному обработчику законодателем не учтена и это, пожалуй, самый серьезный недостаток Закона о персональных данных в его нынешней редакции. Без продуманного механизма реализации, закрепленного в его нормах, Закон становится не более чем декларацией.
К сожалению, в готовящихся законопроектах никаких дополнений относительно статуса оператора не планируется. Непонятно, почему столь важный и очевидный вопрос ускользнул от внимания создателей Закона, особенно если учесть, что разграничения в статусе операторов предусмотрены большинством европейских законов. Данная проблема тоже нуждается в дальнейшем правовом регулировании, которое обеспечило бы надежные гарантии безопасности персональных данных в процессе работы с ними операторов и обработчиков.
Возвращаемся к обязанностям оператора. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
Важнейшей обязанностью оператора при осуществлении обработки персональных данных является организационная и техническая защита баз персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий (ст. 19 Закона о персональных данных).
Требования к обеспечению безопасности, в том числе требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем, установлены Постановлениями Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" <1>. Данными нормативными актами установлены общие и специальные технические и организационные требования к защите содержащихся в информационных системах персональных данных, в том числе биометрических. Конкретные средства и методы защиты (включая криптографические) устанавливаются ФСТЭК России и ФСБ России. Информационные системы должны проходить обязательную процедуру классификации в зависимости от объема обрабатываемых данных и степени возможных угроз. Порядок прохождения классификации установлен в совместном приказе этих ведомств и Мининформсвязи России <2>. Нормативно-методические документы ФСТЭК России определяют порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации). Нормативно-методические документы ФСБ России регламентируют порядок применения криптографических средств для защиты персональных данных и содержат рекомендации по выполнению этих работ.
--------------------------------
<1> СЗ РФ. 2008. N 28. Ст. 3384.
<2> Приказ ФСТЭК, ФСБ, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" // Российская газета. 2008. 12 апреля.
Вышеупомянутое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных содержит развернутый комплекс требований к регламенту работы информационной системы и организации работы персонала, в совокупности обеспечивающих безопасность данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
- определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- учет лиц, допущенных к работе с персональными данными в информационной системе;
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, снижающим уровень их защищенности, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание системы защиты персональных данных.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и их устранения.
Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков. В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования. Конкретные сроки проведения контрольных тематических исследований определяются ФСБ России.
Как мы видим, обязанности оператора по организационной и технической защите весьма обширны и требуют значительных материальных и административных ресурсов.
Рассмотрим другие обязанности операторов. При обращении либо при получении запроса от субъекта персональных данных оператор обязан безвозмездно сообщить ему информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними либо, в случае отказа в предоставлении субъекту персональных данных информации, в течение семи рабочих дней дать мотивированный ответ со ссылкой на федеральный закон, являющийся основанием для отказа (ст. 20 Закона о персональных данных).
Оператор обязан внести изменения, уничтожить или блокировать соответствующие персональные данные по предоставлению субъектом персональных данных сведений, подтверждающих, что персональные данные этого субъекта являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях оператор обязан уведомить субъекта персональных данных (ст. 20 Закона о персональных данных).
В некоторых европейских законах, в частности в Законе Франции "Об информатике, картотеках и свободах", предусмотрена обязанность оператора известить о внесенных исправлениях или уничтожении данных третьих лиц, которым были переданы данные <1>.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. С. 91.
В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, на период проверки. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, предоставленных субъектом или уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан произвести уточнение персональных данных и снять их блокирование. В случае выявления неправомерных действий с персональными данными оператор обязан устранить допущенные нарушения. В случае невозможности устранения нарушений персональные данные уничтожаются. Об устранении нарушений или уничтожении персональных данных оператор уведомляет соответствующего субъекта персональных данных. Оператор обязан прекращать обработку персональных данных и уничтожать их незамедлительно по достижении цели обработки или в случае отзыва согласия соответствующим субъектом персональных данных (ст. 21 Закона о персональных данных).
Контроль и надзор в указанной сфере осуществляются ФСБ России и ФСТЭК России.
Перед началом осуществления деятельности по обработке персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (ч. ч. 1 и 3 ст. 22 Закона о персональных данных), функции которого в настоящее время осуществляет Роскомнадзор. Законом устанавливается, что уведомление, составленное в письменной форме и подписанное уполномоченным лицом, должно содержать:
1) наименование (ФИО) и адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер безопасности при обработке персональных данных;
8) дату начала обработки;
9) срок или условие прекращения обработки.
Приказом Минкомсвязи России и Роскомнадзора утвержден образец формы уведомления с рекомендациями по его заполнению <1>.
--------------------------------
<1> Приказ Минкомсвязи России и Роскомнадзора от 17 июля 2008 г. N 08 "Об утверждении образца формы уведомления об обработке персональных данных" // СПС "КонсультантПлюс".
Роскомнадзор вносит указанные в уведомлении сведения в реестр операторов. Сведения являются общедоступными.
В ряде случаев оператор вправе осуществлять деятельность по обработке персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных. Анализ случаев, указанных в ч. 2 ст. 22 Закона о персональных данных, показывает, что к ним относятся: обработка персональных данных субъекта, связанного с оператором трудовыми отношениями, отношениями договорного характера; обработка общедоступных персональных данных; обработка данных, включенных в государственные информационные системы обеспечения безопасности.
Следует обратить внимание на то, что в п. 7 Рекомендаций по заполнению образца уведомления в качестве разъяснения указано, что к "категориям субъектов персональных данных" относятся в том числе работники, состоящие в трудовых отношениях с оператором. При этом в п. 1 ч. 2 ст. 22 Закона о персональных данных прямо говорится, что оператор вправе осуществлять без уведомления обработку персональных данных субъектов, связанных с оператором трудовыми отношениями. У правоприменителя может возникнуть закономерный вопрос: как же правильно поступить в этом случае, уведомлять или нет?
Термин "вправе" в юриспруденции означает "может, но не обязан". То есть, по смыслу Закона, оператор может уведомить уполномоченный орган о начале обработки персональных данных своих сотрудников, но не обязан этого делать. Однако из текста Рекомендаций можно, скорее, заключить обратное.
Использование в нормативных актах формулировок, допускающих неоднозначное толкование, совершенно недопустимо, является свидетельством низкого уровня правовой грамотности законодателя и помимо прочего сильно затрудняет правоприменение. Итак, несмотря на некорректную формулировку Рекомендаций, оператор именно вправе, но не обязан уведомлять уполномоченный орган об обработке персональных данных субъектов, связанных с ним трудовыми отношениями.
Необходимо особо отметить, что Закон о персональных данных закрепляет дозволительный метод правового регулирования в отношении операторов персональных данных: прежде чем начать свою деятельность, они обязаны уведомить о своем намерении уполномоченный орган по защите прав субъектов персональных данных. В ряде случаев не требуется и уведомления.
Трудно сказать, насколько такой либеральный подход оправдан. С одной стороны, наше государство изобилует примерами чрезмерного "зарегулирования" тех или иных сфер экономики (например, малого бизнеса), чем мешает их развитию. С другой стороны, слабые механизмы контроля могут свести на нет защиту прав субъектов персональных данных.
В некоторых странах, например в Швеции, законодатель более строго относится в порядку деятельности операторов. Имеется специальный уполномоченный орган, именуемый Комиссией по проверке данных, который выдает специальные свидетельства (лицензии) на ведение файлов персональных данных всем контролерам файлов (т.е. операторам. - Н.П.), причем установлены различные требования для операторов - государственных органов и операторов - частных лиц. Разрешения на создание и ведение файлов персональных данных, касающихся лиц, не являющихся членами, сотрудниками или клиентами контролера файлов, или лиц, находящихся с контролером файлов в аналогичных отношениях, могут выдаваться только при наличии особых на то оснований <1>. Похожий порядок установлен во Франции и некоторых других европейских странах <2>. Нужно отметить, что на стадии подготовки российского законопроекта "О персональных данных" условие о лицензировании деятельности операторов фигурировало в некоторых его редакциях, но затем, как мы видим, было заменено более мягким уведомительным порядком.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. С. 79.
<2> Там же. С. 86.
Особого внимания заслуживает тема прав субъекта персональных данных в отношении обработки персональных данных. Ведь именно обеспечение прав личности является одной из важнейших целей законодательства о персональных данных.
Права субъекта персональных данных можно условно разделить на три группы: права в отношении оператора (например, право на отказ в предоставлении персональных данных); права в отношении обработки персональных данных (например, право на блокирование данных); права по обжалованию и защите интересов (например, право на возмещение вреда). Все эти права позволяют самому субъекту осуществлять контроль за сбором и обработкой его персональных данных на разных стадиях этого процесса.
Прежде всего, как мы уже говорили, в ряде случаев субъект персональных данных имеет право отказаться от обработки своих персональных данных или отозвать уже данное согласие (ст. 9 Закона о персональных данных). Далее, субъект персональных данных имеет право на информацию об операторе (о месте его нахождения, о наличии у него персональных данных, относящихся к соответствующему субъекту персональных данных), а также имеет право на ознакомление с этими данными. Если, по мнению субъекта персональных данных, его данные являются устаревшими, неполными, недостоверными, незаконно полученными или являются избыточными для заявленной цели обработки, субъект персональных данных имеет право путем обращения или направления соответствующего запроса оператору требовать уточнения, блокирования или уничтожения содержащихся у оператора персональных данных.
В некоторых случаях право субъекта на доступ к своим персональным данным может быть ограничено. Эти ограничения действуют, когда обработка персональных данных субъекта производится в целях обеспечения обороны и безопасности страны и охраны правопорядка. Однако надо признать, что эти ограничения незначительны. В некоторых европейских странах эти ограничения более существенные. Например, в Венгрии и Франции доступ к своим персональным данным субъект получает на возмездной основе, и этот доступ ограничен определенным числом обращений в год <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. М., 2001. С. 90, 112.
Обработка персональных данных в целях продвижения товаров и услуг (прямой маркетинг), а также в целях политической агитации допускается только при наличии согласия субъекта персональных данных (ст. 15 Закона о персональных данных).
Интересно отметить, что такой порядок, безусловно, защищает интересы субъектов персональных данных, однако практически парализует деятельность маркетинговых служб. Маркетологи привыкли к свободному обороту информации о потребителе, которая необходима им не только для осуществления прямого маркетинга, но и для более широких целей, например для разработки концепции продвижения того или иного бренда. Вновь принятый Закон создал для них немало проблем, связанных с получением письменных согласий субъектов персональных данных.
Впрочем, если судить по количеству почтовой (как электронной, так и обычной) рекламной информации, приходящей на адрес автора этой работы, маркетологи пока не приняли новые законодательные требования всерьез. Количество адресных звонков из банков и страховых компаний ("Здравствуйте, Наталья Ивановна! Мы хотим предложить вам то-то и то-то") с предложениями различных услуг ничуть не сократилось. Автор не перестает удивляться, сколько страховых и банковских организаций осведомлены о его скромной персоне. На вопрос, откуда получены персональные данные, операторы не дают никакого вразумительного ответа и спешат распрощаться.
И все-таки, несмотря на то что новые требования серьезно усложнили маркетинговую деятельность, хочется напомнить, что времена дикого капитализма миновали, а защита персональных данных личности - это норма в любом развитом демократическом государстве.
По общему правилу в отношении субъекта персональных данных запрещается принятие решений, порождающих для него юридические последствия, на основании автоматизированной обработки персональных данных (ст. 16 Закона о персональных данных). Лишь в некоторых случаях такое решение может быть принято при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами. При этом на оператора возлагается обязанность разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения. Оператор также обязан предоставить возможность заявить возражение против принятия такого решения и разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Субъект персональных данных имеет право на защиту своих интересов в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, а также на возмещение убытков и (или) компенсацию морального вреда (ст. 17 Закона о персональных данных). Отметим, что прямой корреспондирующей обязанности оператора возместить ущерб субъекту персональных данных Закон о персональных данных не содержит. В нем говорится лишь, что при нарушении соответствующих норм субъекты несут юридическую ответственность, в том числе и гражданско-правовую.
Статьей 12 Закона о персональных данных предусмотрена возможность трансграничной передачи персональных данных. Она представляет собой передачу персональных данных оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
По общему правилу трансграничная передача персональных данных возможна, только если на территории государства, в которое осуществляется передача, обеспечивается адекватная защита прав субъектов персональных данных. Если адекватный уровень защиты прав субъектов персональных данных в иностранном государстве отсутствует, то передача возможна в следующих случаях:
1) наличия письменного согласия субъекта персональных данных, а при его отсутствии - в целях защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц;
2) предусмотренных различными международными договорами Российской Федерации об оказании правовой помощи;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства.
Закон о персональных данных не содержит, к сожалению, никаких установлений о том, на какой орган возлагается обязанность проведения экспертизы степени защиты персональных данных в иностранных государствах, какова ее процедура и как оформляется результат. Вероятно, это обязанность органа или лица, осуществляющих трансграничную передачу, либо уполномоченного органа по защите прав субъектов персональных данных. Очевидно, что располагать возможностями определить уровень защиты в иностранном государстве может лишь государственный (или иной публичный) орган. У физического или юридического лица такие возможности ограничены.
По вопросу применения этой весьма туманной нормы Мининформсвязи России издало не менее туманное письмо от 13 мая 2009 г. N ДС-П11-2502 "Об осуществлении трансграничной передачи персональных данных" <1>, где фактически было сказано о том, что Министерство не знает, как применять эту норму, и может лишь предложить некоторые рекомендации. В частности, в письме говорится, что "оценка законодательной базы иностранных государств на предмет адекватности обеспечения защиты прав субъектов персональных данных в компетенцию Министерства не входит. Вместе с тем исходя из общего смысла норм Федерального закона часть 1 статьи 12 устанавливает обязанность оператора предварительно убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается уровень защищенности прав субъектов персональных данных не ниже, чем в Российской Федерации".
--------------------------------
<1> СПС "КонсультантПлюс".
Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите физических лиц. На сегодняшний день в число стран, подписавших и ратифицировавших указанную Конвенцию, входят Австрия, Андорра, Бельгия, Болгария, Дания, Великобритания, Венгрия, Германия, Греция, Израиль, Ирландия, Исландия, Испания, Италия, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Румыния, Сербия, Словакия, Словения, Финляндия, Франция, Хорватия, Черногория, Чехия, Швейцария, Швеция, Эстония.
В настоящее время прорабатывается вопрос подготовки проекта федерального закона "О внесении изменений в Федеральный закон "О персональных данных". Предполагаемые поправки будут касаться совершенствования механизмов контроля и надзора за обработкой персональных данных, в том числе вопросов, связанных с определением порядка и условий трансграничной передачи данных.
Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Постановлении Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" <1>.
--------------------------------
<1> СЗ РФ. 2008. N 38. Ст. 4320.
Согласно этому нормативному акту обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
При неавтоматизированной обработке персональные данные должны фиксироваться на определенных материальных носителях и быть отделены от иной информации. Персональные данные, собранные для несовместимых целей, должны фиксироваться на различных материальных носителях.
При использовании типовых форм документов должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
Много практических вопросов связано с обработкой персональных данных, собираемых для однократного пропуска на территорию того или иного объекта. Общеизвестно, что этот порядок у нас широко используется и зачастую совершенно необоснованно. Положением устанавливаются следующие требования:
а) необходимость ведения журнала (реестра, книги) персональных данных должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
Поэтому, если у вас требуют паспортные данные для пропуска на территорию какого-нибудь богом забытого объекта, можете смело требовать акт оператора, на основании которого происходят сбор и обработка персональных данных. Впрочем, зная российскую действительность, легко предположить, что такого акта не окажется, но без документов вас тем не менее не пустят.
При осуществлении обработки персональных данных должны обеспечиваться соответствующие организационные меры безопасности, связанные с обеспечением конфиденциальности персональных данных. Эти меры в общем аналогичны мерам безопасности, применяемым при обработке персональных данных в автоматизированных информационных системах (за исключением, естественно, требований к техническим системам). Они включают в себя, как правило, регламент работы персонала, порядок доступа в помещение, где хранятся персональные данные, и т.п.
Контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется уполномоченным органом по защите прав субъектов персональных данных. Как уже говорилось, в настоящее время его функции выполняет Роскомнадзор. Автор вынужден постоянно делать оговорку "в настоящее время", так как система органов исполнительной власти постоянно реформируется, и не исключено, что к моменту выхода книги эти функции уже будет выполнять другое ведомство или то же ведомство, но с другим названием.
Итак, этот исполнительный орган будет наделен традиционным набором контрольно-надзорных функций, таких как право производить проверки, запрашивать необходимую информацию, требовать устранения нарушений, обращаться по факту нарушений в суд и т.п.
Тот факт, что контролирующий орган не является независимым, а относится к исполнительной ветви власти, говорит о потенциально невысоком уровне правозащиты. Ведь не случайно большинство европейских стран учреждают независимый контролирующий орган - по аналогии с институтом омбудсмена. Создание независимого института обусловлено необходимостью контроля за деятельностью различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.
Во Франции контроль и надзор за соблюдением законодательства в области защиты персональных данных осуществляется Национальной комиссией по информатике и свободам, которая является административно независимым органом. Порядок ее работы и полномочия, состав и статус ее членов закреплены отдельными статьями в Законе "Об информатике, картотеках и свободах", который регулирует обработку персональных данных во Франции <1>. В Испании, как мы уже говорили, аналогичные функции выполняет Агентство по защите персональных данных.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. М. 2001.
Правовой режим обработки персональных данных, установленный Законом, обеспечивается в случае его нарушения применением мер гражданской, уголовной, административной, дисциплинарной, материальной ответственности. Вопросы ответственности будут подробно рассмотрены в гл. 2 настоящей работы.
Анализируя отношения субъектов в исследуемой сфере, можно обратить внимание на следующее. Отношения между одними и теми же субъектами в зависимости от стороны, их инициировавшей, могут носить различный характер. По этому признаку соответствующие отношения можно условно разделить на три группы:
- отношения "оператор - субъект";
- отношения "субъект - оператор";
- отношения "оператор - оператор".
Каждая из этих групп имеет свои особенности, обусловленные характером взаимосвязей участников отношений. Отношения "оператор - субъект" охватывают процесс сбора персональных данных и являются в основном неравноправными, так как строятся в большинстве случаев на базе властных полномочий государственных органов и их должностных лиц. Реализация этих правоотношений направлена прежде всего на обеспечение информационными ресурсами государственного аппарата, который нуждается в них для выполнения таких функций, как защита безопасности и правопорядка, налоговый контроль, медицинское и пенсионное страхование, социальная поддержка и т.п.
В отношениях "субъект - оператор" положение сторон другое. Участники этих отношений практически равноправны. В основе этих отношений лежит возможность контроля со стороны личности за использованием информации о ней. Реализация этих правоотношений служит интересам субъекта персональных данных, который имеет возможность контролировать процесс накопления сведений о нем, имеет право доступа к своим персональным данным, хранящимся у оператора, и имеет право требовать уточнения, блокирования или уничтожения этих данных в установленных законом случаях. Фактически речь идет о защите прав субъекта персональных данных, которая, как известно, является приоритетной.
Третья группа отношений "оператор - оператор" обеспечивает реализацию функций операторов, государственных органов и, в некоторых случаях, субъекта персональных данных. Возможности контроля со стороны субъекта персональных данных при реализации этих правоотношений ограниченны, несмотря на то что, как правило, напрямую затрагивают его интересы.
Правовое регулирование защиты персональных данных должно строиться на балансе вышеуказанных групп отношений "оператор - субъект", "субъект - оператор", "оператор - оператор". Баланс этот представляет собой баланс интересов государства и личности.
В сущности, проблема защиты персональных данных граждан представляет собой проблему согласования интересов личности и государства. Гражданин стремится максимально оградить свою частную сферу от вмешательства государства. Государство же для осуществления своих функций нуждается в информации о гражданах. Следовательно, задача правового регулирования в этой области состоит в том, чтобы при минимальном нарушении приватности частной жизни обеспечить государство необходимыми информационными ресурсами.
Однако граница между частной жизнью и жизнью, имеющей социальный характер, достаточно условна и зависит от многих факторов. Поэтому при оценке риска вмешательства в частную жизнь должны учитываться многие составляющие, в частности характер и объем информации, подлежащей включению в автоматизированную систему, то, из каких источников предполагается получать такую информацию, а также отношение или вероятное отношение субъектов к обработке своих персональных данных. Как гласит Закон Венгрии "О защите персональных данных и публикации данных, представляющих общественный интерес", "любые... интересы, связанные с использованием данных, не могут нарушать прав, относящихся к защите персональных данных, а также права заинтересованного лица на неприкосновенность частной жизни" <1>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. С. 105.
В связи с этим именно оценка риска вмешательства в частную жизнь индивида и степень причиненного таким вмешательством ущерба (как материального, так и морального) должны стать для законодателя своеобразным камертоном, помогающим оценить и уравновесить интересы личности и государства в сфере обработки персональных данных. Однако, как показало статистическое исследование, проведенное оргкомитетом общественных слушаний по правовым проблемам обработки персональных данных, большинство опрошенных полагают, что в данном вопросе приоритетными являются интересы государства <1>. К сожалению, это свидетельствует о том, что менталитет российского общества пока не готов к восприятию либерально-демократических ценностей современного мира.
--------------------------------
<1> Интернет-источник www.fz-152.org.
На основе Закона о персональных данных уже принято немало подзаконных актов. Это говорит о том, что правовое регулирование в данной сфере развивается. В частности, принят в обновленной редакции уже упомянутый Указ Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела". В Положении конкретизируются требования к сбору и обработке персональных данных государственных гражданских служащих и даже цели этой деятельности. Например, установлено, что обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, в целях обеспечения личной безопасности гражданского служащего и членов его семьи, а также для обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей.
Рядом федеральных органов исполнительной власти приняты нормативные акты, устанавливающие порядок обработки персональных данных служащих этих органов, например Федеральным космическим агентством принято Положение об организации работы с персональными данными государственного гражданского служащего Федерального космического агентства и ведении его личного дела и Список должностей государственных гражданских служащих, уполномоченных на обработку персональных данных и несущих ответственность в соответствии с законодательством РФ за нарушение режима защиты этих персональных данных <1>. Принятие таких актов исключительно важно, так как с их помощью устанавливаются специальные нормы, учитывающие специфику правового регулирования обработки персональных данных в отдельных сферах государственного управления и общественной жизни, а иногда и специальный порядок ответственности. Например, в упомянутом Положении закреплено, что гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" и другими федеральными законами. Это означает, что виновное лицо за соответствующие нарушения может понести дисциплинарную ответственность в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации". Наличие таких норм, общих и специальных, и создает в совокупности эффективный механизм реализации законодательства о защите персональных данных.
--------------------------------
<1> Приказ Федерального космического агентства от 1 февраля 2007 г. N 29к "О защите персональных данных государственных гражданских служащих Федерального космического агентства" // СПС "КонсультантПлюс".
Завершая тему обработки персональных данных, остановимся на тех положениях Закона, которые, на наш взгляд, нуждаются в доработке.
Передача персональных данных для целей профессиональной деятельности журналиста, литературной, научной или иной творческой деятельности должна осуществляться с согласия субъекта персональных данных. Поскольку подобные виды деятельности не связаны напрямую с обеспечением государственных, общественных и личных интересов как самого субъекта персональных данных, так и других лиц, по нашему мнению, субъект персональных данных должен иметь право самостоятельно решать вопрос о предоставлении своих персональных данных для названных целей.
В перечень специальных категорий персональных данных, по нашему мнению, следует включить сведения об усыновлении (удочерении), сведения о погашенной судимости, об участии в уголовном судопроизводстве в качестве подозреваемого, о финансовой помощи и об услугах. Обработку этих сведений должны быть вправе осуществлять только специально уполномоченные органы.
Закон о персональных данных нуждается в дальнейшей доработке правового статуса оператора и должен быть дополнен понятием "обработчик персональных данных".
В дальнейшей разработке, причем безотлагательной, нуждаются нормы о трансграничной передаче персональных данных в части проведения экспертизы уровня защиты персональных данных в иностранных государствах. До настоящего времени не определен ни полномочный орган, который будет осуществлять экспертизу, ни порядок ее проведения.
Кроме того, с принятием Закона о персональных данных необходимо проанализировать законодательство об ответственности за нарушения в этой сфере и выработать положения по его корректировке, к чему мы далее и переходим.
Глава 2. ПРОБЛЕМЫ ПРИМЕНЕНИЯ ЮРИДИЧЕСКОЙ ОТВЕТСТВЕННОСТИ
ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
§ 1. Применение административной ответственности
Проблема применения мер ответственности за нарушение законодательства о защите персональных данных является новой как для юридической науки, так и для правоприменительной практики. Комплексные исследования на эту тему пока не проводились. Правоприменительная практика пока невелика. В то же время сегодня эта проблема, как никогда, актуальна. Закон эффективен лишь в том случае, если в нем заложен оптимальный механизм его реализации. Одним из самых главных элементов механизма реализации закона является институт юридической ответственности. В связи с этим всесторонняя разработка проблемы юридической ответственности в сфере оборота и защиты персональных данных имеет огромное значение. Только будучи подкрепленными соответствующими мерами ответственности могут быть достигнуты те цели, которые законодатель предусмотрел в Законе о персональных данных. Это тем более важно, если принять во внимание особенности менталитета российского общества. Отсутствие укоренившихся традиций уважения к приватности частной жизни, к строгому соблюдению норм закона создает серьезные трудности в его реализации.
Правосознание большей части российского общества формировалось под влиянием советской идеологии, которая провозглашала приоритет коллективных интересов над личными. Поэтому в настоящее время отсутствие привычки охранять собственную частную жизнь от неправомерного вмешательства является благоприятной почвой для деятельности разного рода мошенников, незаконно пользующихся персональными данными для рекламных и прочих целей. В таких условиях последовательная политика по применению мер юридической ответственности за соответствующие правонарушения является насущной необходимостью.
В рамках настоящей главы будет предпринята попытка систематизировать соответствующие составы правонарушений по правовым отраслям, указать на проблемы совершенствования законодательства об ответственности, осветить некоторые теоретические и практические вопросы, могущие возникнуть при применении тех или иных санкций за нарушение законодательства о защите персональных данных в свете принятого недавно Закона о персональных данных.
Следует отметить, что отдельные нормы, устанавливающие меры ответственности за нарушение правил обработки персональных данных, существовали и до принятия этого Закона. Однако из-за того, что институт персональных данных находился в стадии формирования, санкции практически не применялись.
В настоящее время существует необходимость в разработке целого комплекса мер ответственности, применяемых за правонарушения, предметом которых непосредственно выступают персональные данные личности, и включения их в соответствующие кодексы.
Сначала коснемся некоторых общих вопросов, связанных с проблемой юридической ответственности как таковой.
В праве неправомерные действия (бездействие), являющиеся правонарушениями, влекут наступление юридической ответственности, в рамках которой на виновное лицо возлагается обязанность претерпеть неблагоприятные последствия. В большинстве случаев ответственность наступает в случае виновного нарушения норм. Вина, т.е. психическое отношение лица к своему противоправному поведению (действию или бездействию) и его последствиям, является субъективной стороной состава любого правонарушения (дисциплинарного, административного, гражданско-правового, уголовного) и (чаще всего) условием юридической ответственности. Вина может проявляться в форме умысла (прямого или косвенного) и неосторожности (самонадеянности или небрежности).
Обратимся теперь к краткому анализу понятия "санкция". Как справедливо отмечается в специальной литературе, оно имеет несколько значений. В одном случае - это утверждение, разрешение, в другом - одобрение. В юридических словарях понятие санкции раскрывается в связи с учением о правовой норме. Санкция определяется как часть нормы права, указывающая либо на те меры государственного принуждения, которые применяются к нарушителям диспозиции данной нормы, либо на те последствия, которые должны наступить для лиц, нарушивших предписания данной нормы <1>.
--------------------------------
<1> См.: Энциклопедический словарь правовых знаний. М. 1964. С. 259.
Важным является вопрос о соотношении понятий санкции и государственного принуждения. Охрана правопорядка предполагает осуществление многих принудительных мер, которые, однако, далеко не всегда связаны с применением санкций. Право содержит целый ряд принудительных мер (задержание, арест имущества, досмотр, применение средств физического воздействия), которые хотя и применяются в связи с правонарушениями, однако санкциями правовых норм не являются. Речь идет о принудительных мерах, получивших в теории права название мер пресечения. Основанием для применения этих мер, как и для применения санкций, является правонарушение. Вместе с тем эти меры преследуют обеспечительные, вспомогательные цели и направлены либо на пресечение правонарушения, либо на обеспечение рассмотрения обстоятельств дела. Санкция же представляет собой "последнюю инстанцию" в борьбе с правонарушением. В результате ее применения государство в соответствии со степенью общественной опасности и вредности правонарушения либо карает правонарушителя, либо принуждает его выполнить соответствующую правовую обязанность или устранить причиненный вред <1>. Именно в этом смысле используется термин "санкция" в данной работе.
--------------------------------
<1> Веремеенко И.И. Административно-правовые санкции. М. 1975.
В Законе о персональных данных статья об ответственности сформулирована лаконично: "Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность" (ст. 24). Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности должно регулироваться иными нормативными актами.
В настоящее время меры ответственности за нарушение законодательства о защите персональных данных "разбросаны" по различным отраслям законодательства - административному, уголовному, гражданскому, трудовому. Причем ни в одной отрасли они пока не систематизированы должным образом, не выделены в отдельную группу как правонарушения, посягающие на конкретный вид общественных отношений. Однако, по всей видимости, в ближайшем будущем потребуется как совершенствование и систематизация уже существующих составов, так и разработка новых.
Интересно отметить, что во многих европейских странах демонстрируется иной подход к установлению мер ответственности за нарушения законодательства о защите персональных данных. Так, в соответствующих законах Дании, Испании и Швеции вопросы применения мер ответственности урегулированы этими законами, содержащими перечни составов правонарушений и соответствующие виды санкций <1>. В России же традиционно нормы об ответственности содержатся в другом нормативном акте.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. М. 2001.
Меры административной ответственности за нарушения законодательства в сфере персональных данных содержатся в КоАП РФ.
В соответствии со ст. 2.1 КоАП административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
Сразу отметим, что поскольку в соответствии с п. "к" ст. 72 Конституции РФ административно-правовые отношения относятся к сфере совместного ведения, то субъекты РФ вправе издавать законы, содержащие дополнительные к федеральным составы административных правонарушений, т.е. субъекты РФ вправе устанавливать специальные меры ответственности за нарушения законодательства о персональных данных.
Как следует из понятия административного правонарушения, субъектами административной ответственности могут быть как физические, так и юридические лица.
Административная ответственность как форма юридической ответственности граждан, должностных лиц, а также юридических лиц за совершенное ими административное правонарушение реализуется путем применения к правонарушителю административных наказаний в установленном порядке. Виновные привлекаются к ответственности на основании законодательства, действующего во время и по месту совершения правонарушения. Находящиеся на территории Российской Федерации иностранные граждане и лица без гражданства подлежат административной ответственности на общих основаниях с гражданами Российской Федерации.
Дела об административных правонарушениях, предусмотренных КоАП РФ, рассматриваются в пределах компетенции, установленной гл. 23 КоАП РФ: судьями (мировыми судьями); комиссиями по делам несовершеннолетних и защите их прав; федеральными органами исполнительной власти, их учреждениями, структурными подразделениями и территориальными органами, а также иными государственными органами, уполномоченными на то исходя из задач и функций, возложенных на них федеральными законами либо нормативно-правовыми актами Президента РФ или Правительства РФ <1>.
--------------------------------
<1> См.: Комментарий к Кодексу РФ об административных правонарушениях / Под ред. Е.Н. Сидоренко. 5-е изд. М., 2006. Гл. 23. С. 730.
Дела об административных правонарушениях, предусмотренных законами субъектов РФ, рассматриваются в пределах полномочий, установленных этими законами: мировыми судьями; комиссиями по делам несовершеннолетних и защите их прав; уполномоченными органами и учреждениями органов исполнительной власти субъектов РФ; административными комиссиями, иными коллегиальными органами, создаваемыми в соответствии с законами субъектов РФ <1>.
--------------------------------
<1> См. там же. С. 732.
Производство по делам об административных правонарушениях осуществляется в рамках установленной гл. 24 - 30 КоАП РФ процедуры <1>.
--------------------------------
<1> См. там же. С. 830.
Общественные отношения, связанные с защитой персональных данных, относятся преимущественно к сфере государственного управления, что обусловливает потенциально большое число составов административных правонарушений в этой сфере в будущем. В настоящее время гл. 13 "правонарушения в области связи и информации" Особенной части КоАП РФ содержит несколько составов административных правонарушений, объектом которых являются отношения, связанные с оборотом и защитой персональных данных граждан.
Один из таких составов - "нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" (ст. 13.11 КоАП РФ).
Ответственность наступает в виде предупреждения или наложения штрафа на граждан - в размере от 300 до 500 руб.; на должностных лиц - от 500 до 1000 руб.; на юридических лиц - от 5000 до 10000 руб. Если размер штрафа для юридических лиц еще можно признать существенным, то для должностных лиц он просто смехотворный. Именно в связи с этим правонарушением в сфере оборота персональных данных чаще всего привлекаются к ответственности юридические и физические лица. Объектом правонарушения являются общественные отношения в области защиты персональных данных граждан.
Поскольку персональные данные - это обширный массив различной информации, то предметом данного правонарушения могут являться: нарушение личной и семейной тайны, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, распространение сведений, порочащих честь, достоинство и деловую репутацию лица, а также нарушения установленного порядка ведения деятельности операторами информационных систем, в том числе работодателями, ведущими сбор персональных данных сотрудников в рамках трудовых отношений, нарушение правил журналистской деятельности в части сбора и обработки информации о гражданах и т.п.
Данной нормой обеспечивается один из важнейших принципов работы с персональными данными - принцип обеспечения их конфиденциальности (ст. 7 Закона о персональных данных).
Субъектами данного правонарушения могут быть операторы информационных систем, должностные лица уполномоченных государственных и муниципальных органов, лица, получившие на законном основании доступ к персональным данным в связи с исполнением своих профессиональных обязанностей (сотрудники кадровых служб, банковские служащие, журналисты, медики, страховщики, нотариусы, адвокаты и иные лица), а также все иные физические и юридические лица, нарушившие установленный порядок оборота персональных данных.
Рассмотрим такой случай. Физическое лицо обратилось в банк с заявлением о предоставлении кредита. Банку были представлены необходимые сведения о лице: паспортные данные, информация о прописке, сведения о доходах и имуществе и т.п. Банк в предоставлении кредита отказал, однако на адрес и телефон заемщика стали поступать предложения от других банков. В этом случае банком было нарушено требование обеспечения конфиденциальности персональных данных, а также принцип соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора.
Таким образом, налицо состав правонарушения, предусмотренного ст. 13.11 КоАП РФ.
Если, напротив, банк обращается в организацию с целью проверки сведений о лице, обратившемся за кредитом: работает ли данное лицо в этой организации, какой имеет размер зарплаты и т.п., а организация предоставляет информацию о работнике без его письменного согласия, то это деяние тоже подпадает под признаки административного правонарушения, предусмотренного ст. 13.11 КоАП РФ.
Квалифицирующим признаком в данном правонарушении выступает совершение его должностным лицом, т.е. лицом, получившим доступ к персональным данным в связи с исполнением должностных обязанностей. Обязанность обеспечивать конфиденциальность информации может вытекать как из должностных обязанностей, так и из профессиональных (например, для священника, нотариуса).
Профессиональные тайны образуют одну из самых интересных и в то же время слабо разработанных систем ограничений в доступе к информации. Профессиональная тайна, если представить ее как обобщенный правовой институт, имеет следующие отличительные черты:
- первичным обладателем защищаемых в данном режиме сведений всегда является иной субъект, а не лицо, обязанное хранить тайну;
- необходимость сохранения сведений от распространения возникает у субъекта в качестве обязанности, существующей в силу выполняемых им профессиональных функций.
В данном случае речь идет не о занимаемом должностном положении, а именно о профессии как о роде деятельности. При этом в качестве субъекта, обязанного соблюдать профессиональную тайну, может выступать как физическое, так и юридическое лицо.
Соблюдение тайны представителями определенных профессий является их обязанностью вне зависимости от того, установлена она какими-либо юридическими нормами или нет, а в силу самой природы данной профессиональной деятельности. Вряд ли кто-то обратится к адвокату, нотариусу, врачу, в страховую компанию или в банк, если не будет уверен в том, что доверенные сведения не будут сохранены в тайне от любых третьих лиц, в том числе и от родственников индивида.
Надо сказать, что тема профессиональных тайн настолько же обширна, насколько и мало исследована специалистами. Однако с появлением в российской системе права института персональных данных эта проблема, безусловно, получит стимул к дальнейшему развитию.
Еще одним административным правонарушением в сфере защиты персональных данных является Отказ в предоставлении информации (ст. 5.39 КоАП РФ). "Отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации" (ст. 5.39 КоАП РФ);
Совершение данного правонарушения влечет наложение на должностных лиц штрафа в размере от 1000 до 3000 руб.
Закрепленное в данной статье условие о непосредственной связи информации с правами и свободами запрашивающего ее лица сформулировано слишком широко. Однако такой информацией может быть и информация персонального характера <1>. Поэтому данная норма обеспечивает выполнение ч. 4 ст. 14 Закона о персональных данных, закрепляющей право субъекта персональных данных на получение сведений, касающихся подтверждения факта обработки персональных данных, ее цели и способах и т.п.
--------------------------------
<1> Комментарий к Кодексу РФ об административных правонарушениях / Под ред. Е.Н. Сидоренко. Ст. 128.
Объектом правонарушений, предусмотренных в ст. 5.39 КоАП РФ, являются общественные отношения, складывающиеся по поводу получения и предоставления информации гражданами. Субъектами данных правонарушений являются должностные лица.
Если ваши персональные данные используются в целях прямого маркетинга и ваш запрос оператору относительно источника получения и способов обработки персональных данных остается без ответа, можете обращаться с заявлением в Роскомнадзор, который должен провести проверку и привлечь нарушителя к административной ответственности по данной статье.
Еще один состав, "разглашение информации с ограниченным доступом" (ст. 13.14 КоАП РФ), предусматривает ответственность за разглашение конфиденциальной информации лицом, которому эта информация стала известна в связи с исполнением служебных или профессиональных обязанностей. В числе такой информации могут быть и персональные данные. Объектом правонарушения являются общественные отношения в сфере защиты информации ограниченного доступа (за исключением сведений, составляющих государственную тайну). Субъектами правонарушения являются граждане и должностные лица. Ответственность наступает в виде штрафа для граждан - в размере от 500 до 1000 руб.; для должностных лиц - в размере от 4000 до 5000 руб.
На сегодняшний день только эти три состава правонарушения, содержащиеся в КоАП РФ, имеют своим непосредственным объектом персональные данные личности. В совокупности они обеспечивают выполнение самых основополагающих правил - соблюдение порядка сбора и обработки персональных данных, обеспечение их конфиденциальности и осуществление права субъекта персональных данных на доступ к своим персональным данным.
Кроме того, КоАП РФ содержит ряд составов правонарушений, предмет которых тесно взаимосвязан с понятием "персональные данные". В числе таких составов можно назвать правонарушения в сфере банковской деятельности, информационной безопасности и т.д. Например, "незаконные действия по получению и (или) распространению информации, составляющей кредитную историю" (ст. 5.53 КоАП РФ). Данные действия влекут ответственность в виде штрафа для граждан - в размере от 1000 до 2500 руб.; для должностных лиц - от 2500 до 5000 руб. или дисквалификацию на срок до трех лет; на юридических лиц - от 30 000 до 50000 руб.
Данный состав правонарушения был введен в Кодекс в связи с принятием Федерального закона от 30 декабря 2004 г. N 218-ФЗ "О кредитных историях" <1>.
--------------------------------
<1> СЗ РФ. 2005. N 1 (ч. I). Ст. 44.
Кредитная история включает в себя информацию, которая характеризует исполнение заемщиком (субъектом кредитной истории) принятых на себя обязательств по договорам займа (кредита) и хранится в бюро кредитных историй. Бюро кредитных историй является зарегистрированным в соответствии с законодательством РФ юридическим лицом - коммерческой организацией, оказывающей услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг. Пользователь кредитной истории - это индивидуальный предприниматель или юридическое лицо, получившие согласие субъекта кредитной истории на получение кредитного отчета для заключения договора займа (кредита) (ст. 4 Федерального закона "О кредитных историях").
Объектом правонарушения в данном случае выступает нарушение порядка получения и распространения конфиденциальной информации - кредитной истории.
Субъектами данного правонарушения являются юридические лица - бюро кредитных историй, а также виновные должностные лица, осуществляющие организационно-распорядительные или административно-хозяйственные функции в организациях, имеющих статус бюро кредитных историй.
Закон о персональных данных не выделяет в общем массиве персональных данных информацию о финансовой сфере лица. Вместе с тем эту информацию можно отнести к "чувствительной", так как несанкционированный доступ к ней и разглашение фактов, характеризующих финансовое положение лица, может причинить ему немалый материальный и моральный ущерб.
Установление административной ответственности за незаконные действия по получению и (или) распространению информации, составляющей кредитную историю, обеспечивает гарантии охраны конфиденциальности информации о финансовом положении лица и тем самым способствует поддержанию правопорядка сразу в двух сферах - кредитно-финансовой и относящейся к правам и свободам человека и гражданина.
Статья 13.12 КоАП РФ устанавливает ответственность за "нарушение правил защиты информации".
В частности, п. 2 указанной статьи предусмотрена ответственность за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации.
Статья 19 Закона о персональных данных устанавливает обязанность операторов при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения и т.д. Если оператор использует криптографические средства защиты, то он должен выполнить условие об их обязательной сертификации. Это требование установлено п. 5 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. N 781. Ответственность за совершение данного правонарушения заключается в наложении штрафа на граждан - в размере от 300 до 500 руб. с возможной конфискацией несертифицированных средств защиты; на должностных лиц - от 1000 до 2000 руб.; на юридических лиц - от 10000 до 20000 руб. с возможной конфискацией несертифицированных средств защиты. Как мы видим, штрафы достаточно существенные.
Остальные рассмотренные нами составы обеспечивают защиту персональных данных в рамках общественных отношений, имеющих иной объект защиты. В общем и этих действующих в настоящее время норм достаточно, чтобы начала складываться соответствующая правоприменительная практика, хотя очевидно, что для эффективной реализации Закона о персональных данных необходима дифференциация действующих и разработка новых составов административных правонарушений.
В частности, особый правовой режим, установленный законодателем в отношении специальных категорий персональных данных, нуждается в последовательном закреплении в виде особых мер административной ответственности за незаконный сбор, хранение, использование и разглашение информации, относящейся к специальным категориям персональных данных. Наличие дополнительных квалифицирующих признаков могло бы переводить эти деяния в категорию уголовно наказуемых деяний, т.е. преступлений.
С принятием Закона о персональных данных ст. 13.11 КоАП РФ "Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)" кажется сформулированной слишком широко, и для эффективного правоприменения в отношении таких субъектов, как операторы информационных систем, возможно, нуждается в некоторой корректировке, а именно во включении в нее некоторых квалифицирующих признаков.
Например, в Законе Испании устанавливается ответственность операторов за ведение деятельности по сбору и обработке персональных данных без соответствующего разрешения (уведомления); за осуществление данной деятельности без явно выраженного согласия субъекта персональных данных, если получение его необходимо; за нарушение правил о внесении уточнений и исправлений; за препятствование доступу субъекта персональных данных к своим персональным данным; за нарушение конфиденциальности и т.п. <1>. Все эти обязанности возложены и на российских операторов. Так почему бы не установить и соответствующие меры ответственности, не провести дифференциацию размеров штрафов в зависимости от вида правонарушения, его субъекта, повторности и неоднократности деяния?
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. М., 2001. С. 75.
Особую важность представляет собой проблема выбора санкций. Разнообразный характер управленческих отношений определяет неодинаковый характер государственно-правовой реакции на их нарушение, поэтому все административные санкции делятся на три вида: административные взыскания (карательные санкции), правовосстановительные санкции и санкции реального исполнения <1>.
--------------------------------
<1> См.: Бахрах Д.Н., Российский Б.В., Старилов Ю.Н. Административное право: Учебник для вузов. 2-е изд. М., 2006. С. 234.
Карательные санкции охраняют правопорядок в сфере управления. Их целью служит наказание правонарушителя. Правовосстановительные санкции в административном праве встречаются редко. С их помощью осуществляется восстановление нарушенного правопорядка, устранение ущерба, причиненного правонарушением. Санкции реального исполнения юридических обязанностей используются в административном праве очень широко. Их применение либо непосредственно направлено на исполнение невыполненных обязанностей в сфере государственного управления, либо создает действенные гарантии такого исполнения <1>.
--------------------------------
<1> См.: Веремеенко И.И. Административно-правовые санкции. М. 1975. С. 77.
Во всех рассмотренных нами составах административных правонарушений, затрагивающих права граждан в области защиты персональных данных, предусмотрены карательные санкции, а именно штрафы. В двух составах помимо штрафов установлены санкции в виде предупреждения и дисквалификации (они также носят карательный характер).
Штраф представляет собой неблагоприятное имущественное последствие для виновника нарушения, т.е. является наказанием. Помимо этого штраф служит превентивной мерой по отношению к будущим правонарушениям. Судя по тому, какой интерес начала вызывать проблема защиты персональных данных в организациях различных форм собственности в последнее время, штраф как мера превенции действует весьма эффективно.
Вместе с тем нельзя не отметить тот факт, что в такой сфере, как защита прав и свобод граждан в области неприкосновенности их частной жизни и защиты персональных данных, такая мера представляется совершенно недостаточной. В случаях подобных правонарушений не менее важным, чем наказание виновного, является восстановление нарушенных прав потерпевшего. Поэтому применение в данном случае наряду с карательными санкциями (штрафами) санкций реального исполнения представляется наиболее желательным. Применительно к защите персональных данных это означает, что виновное лицо должно восстановить установленный федеральным законодательством нарушенный порядок оборота персональных данных и обеспечить тем самым соблюдение прав субъекта персональных данных. Например, ст. 13.11 Особенной части КоАП РФ, предусматривающая ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), в части санкции должна предусматривать восстановление нарушенных правил этой деятельности, например обязанность виновного лица в трехдневный срок исключить незаконно полученные персональные данные потерпевшего из информационной системы и направить ему соответствующее письменное уведомление о восстановлении нарушенных прав.
По нашему мнению, подобные санкции необходимы, в противном случае никакого серьезного эффекта, кроме пополнения соответствующего бюджета, не будет. Кроме того, для виновного лица, вынужденного не только заплатить штраф, но и затратить время и силы на восстановление нарушенного порядка, это будет дополнительным аргументом придерживаться буквы закона в будущем.
Опыт законодательного регулирования вопросов ответственности в сфере защиты персональных данных в европейских странах показывает, что к разным субъектам юридической ответственности могут применяться и разные виды ответственности. Речь идет о должностных лицах государственных органов, чей статус требует повышенной ответственности и требовательности к качеству выполняемой ими работы. Так, Закон о персональных данных Испании предусматривает, что если нарушения порядка сбора и обработки персональных данных происходят в государственных картотеках персональных данных, то меры ответственности к виновным должностным лицам применяются непосредственно директором Агентства по защите персональных данных <1>.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. М. 2001.
Обобщая вышесказанное, нужно отметить следующее. По нашему мнению, тех административных составов, что содержит сейчас КоАП, достаточно для создания первых прецедентов в области защиты персональных данных граждан, однако недостаточно для эффективной реализации Закона о персональных данных. Принятие этого Закона, несомненно, потребует дифференциации действующих и разработки новых составов, нацеленных на обеспечение интересов граждан в процессе оборота персональных данных. Кроме того, в настоящее время имеется настоятельная необходимость применения новых подходов к установлению санкций в указанной сфере. Цель нового подхода должна состоять в том, чтобы добиться не только карательного эффекта от применения санкций, но и реального исполнения невыполненной или ненадлежащим образом выполненной обязанности и восстановить нарушенные права потерпевшего.
Рассматривая вопрос об административной ответственности в сфере оборота и защиты персональных данных, нельзя обойти вниманием проблему разработки и внедрения эффективных административных процедур, обеспечивающих обжалование нарушенных прав частных лиц - физических и юридических, а также реализацию правонаделительных функций уполномоченных органов в сфере оборота и защиты персональных данных.
Административные процедуры составляют один из центральных институтов административного права зарубежных стран, особенно стран общего права (США, Великобритании, Австралии и т.д.), и являются механизмом защиты прав частных лиц от произвола публичной власти.
Частное лицо, вступая во взаимоотношения с органами публичной администрации (государственными, муниципальными органами и др.), оказывается один на один с мощнейшим аппаратом, имеющим в своем распоряжении властные, финансовые, кадровые ресурсы. Детально разработанные административные процедуры (в частности, процедура обжалования неправомерных действий и решений органов власти) позволяют "уравновесить" правовые возможности частного лица и эффективно защищать его интересы в споре с органом публичной администрации.
Российское административное право традиционно гораздо большее внимание уделяет правовому статусу органов государственной власти и эффективности их деятельности. Административная ответственность по российскому праву - это прежде всего ответственность, наступающая перед государством, а не перед потерпевшей стороной. Отсюда и злоупотребление карательными санкциями, и слабые правовые возможности защиты прав частных лиц. Проблема эта уже давно обсуждается специалистами, тем не менее законопроект об административных процедурах бродит в недрах Государственной Думы около 10 лет и до сих пор не принят.
По общему правилу лицо, чьи права нарушены действиями или решениями органов государственной власти, органами местного самоуправления, предприятиями, учреждениями, их должностными лицами, имеет право обратиться в вышестоящий орган с обжалованием этих действий или решений или обратиться с исковым заявлением в суд (Закон РФ "Об обжаловании в суд действий и решений, нарушающих права и свободы граждан").
Именно этот орган наделен полномочиями рассматривать обращения и жалобы субъектов персональных данных и юридических лиц по вопросам законности обработки персональных данных, рассматривать уведомления об обработке персональных данных, вести реестр операторов и т.д. Данный орган имеет право проводить проверки, запрашивать документы, проверять соответствие деятельности оператора условиям лицензии (в части обработки и передачи персональных данных), обращаться с исковыми заявлениями в суд. Он также наделен правом законодательной инициативы. В случае нарушения прав субъекта персональных данных оператором лицо имеет право обратиться в Роскомнадзор или его территориальный орган с соответствующим обращением или жалобой либо с исковым заявлением в суд. К сожалению, четкой процедуры рассмотрения дела, порядка истребования материалов, заслушивания мнения сторон российское законодательство пока не содержит. Все это негативно сказывается на действенности и эффективности института обжалования как такового. Тем не менее именно процедура обжалования неправомерных действий считается в западных демократиях наиболее эффективной в части защиты прав и свобод частных лиц.
§ 2. Применение уголовной ответственности
Общеизвестно, что уголовная ответственность предусматривается за совершение наиболее тяжких и опасных правонарушений и является самой крайней карательной мерой со стороны государства.
Преступлением признается виновно совершенное общественно опасное деяние, запрещенное УК РФ под угрозой наказания (п. 1 ст. 14). В соответствии со ст. 8 УК РФ единственным основанием уголовной ответственности является совершение деяния, содержащего признаки состава преступления, предусмотренного Особенной частью УК РФ.
Любой состав преступления состоит из четырех элементов: объекта, объективной стороны, субъекта и субъективной стороны. Объект представляет собой общественные отношения, на которые посягает правонарушитель. Объективную сторону преступления составляют само деяние, совершенное в виде действия или бездействия, причинная связь между деянием и наступившими общественно опасными последствиями, а также время, место, способ и орудие совершения преступления. Субъектом преступления может быть физическое лицо, вменяемое и достигшее установленного законом возраста уголовной ответственности. Субъективная сторона преступления характеризуется формой вины, т.е. умыслом (прямым или косвенным) или неосторожностью преступника <1>. Уголовная ответственность состоит в применении к лицу, виновному в совершении преступления и способному нести уголовную ответственность, меры государственного принуждения в форме уголовного наказания, предусмотренного УК РФ.
--------------------------------
<1> См.: Коряковцев В.В., Питулько К.В. Уголовное право: Особенная часть. СПб., 2006. С. 102.
В соответствии со ст. 24 Закона о персональных данных к лицам, виновным в нарушении данного Закона, могут быть применены меры уголовной ответственности.
На сегодняшний день такое понятие, как "персональные данные", в УК РФ отсутствует. Соответственно нет в нем и специальных составов преступлений, предусматривающих ответственность за нарушения в сфере оборота и защиты персональных данных. Тем не менее в УК РФ есть ряд статей, предусматривающих ответственность за преступления, объект посягательства которых тесно связан с персональными данными. Думается, что со временем на основе этих составов будут разработаны специальные составы, имеющие своим непосредственным объектом защиты персональные данные личности.
"Нарушение неприкосновенности частной жизни" (ст. 137 УК РФ).
Данное преступление заключается в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
Объектом данного преступления являются общественные отношения, обеспечивающие неприкосновенность частной жизни.
Как уже отмечалось, понятия "частная жизнь" и "персональные данные" не тождественны. Однако очень часто персональные данные выступают как неотъемлемая часть сведений о частной жизни, являются личной или семейной тайной и т.д. Поэтому незаконный сбор или распространение информации о частной жизни лица могут самым непосредственным образом нарушать его права в сфере оборота и защиты персональных данных.
Характер действий правонарушителя (собирание, распространение) в совокупности с мотивацией (личная заинтересованность) в большинстве случаев предопределяют форму вины правонарушителя как прямой умысел. Субъектом преступления может быть любое лицо, достигшее возраста 16 лет, в том числе и специальный субъект - лицо, наделенное соответствующими полномочиями (ч. 2 ст. 137 УК РФ) <1>.
--------------------------------
<1> См.: Коряковцев В.В., Питулько К.В. Уголовное право: Особенная часть. СПб., 2006. С. 124.
Действительно, должностные лица многих государственных органов наделены правом в рамках своей профессиональной деятельности собирать информацию о гражданах. Эта традиция имеет давнюю историю.
В Англии королевские чиновники объезжали графства, собирали представителей общин (дюжину и более) и выведывали у них сведения об образе жизни, связях, занятиях заподозренных лиц. В средневековой России средством добывания сведений о частной жизни заподозренного был обыск, который состоял в том, что губной староста или целовальник собирал из общины 10 - 20 "добрых мужей" и выведывал, "кто у них в губе, на посаде или в уезде лихих людей, татей и разбойников привечает и к кому разбойники и тати приезжают и разбойную рухлядь привозят" <1>.
--------------------------------
<1> Кистяковский А. О пресечении обвиняемому способов уклоняться от следствия и суда. СПб., 1868.
Наблюдение за частной жизнью в России усилилось после введения института фискалов. Указом от 2 марта 1711 г. Петр I повелел "учинить фискалов во всяких делах", которые должны были "только проведывать и доносить и при суде обличать". Задачей фискалов было "прилежно проведывать, не обретаются ли какие беглые, гулящие, подозреваемые и другие оным подобные люди... не прокрадываются ли какие беглые люди за рубеж" <1>. Петр I учредил прокуратуру и передал в ее подчинение фискалов. Деятельность прокуратуры по надзору за исполнением царских указов и регламентов, поступлением налогов и сборов в казну (ныне это ассоциируется с общим надзором) была невозможна без глубокого вторжения в частную жизнь подданных.
--------------------------------
<1> См. там же. С. 177.
В царской России, даже после принятия Судебных уставов 1864 г., наблюдение за частной жизнью подданных, слежка, сыск входили в обязанность жандармерии и полиции и применялись довольно часто, особенно по политическим делам. Этим занимались "голубые мундиры" и широкая сеть агентов и осведомителей. После Октябрьской революции понятие "защита неприкосновенности частной жизни" вообще надолго исчезло из юридического лексикона. Произвольные, несанкционированные обыски в жилищах, иные вторжения в частную жизнь граждан стали обыденным явлением; они широко практиковались органами ЧК, ОГПУ, НКВД, КГБ <1>.
--------------------------------
<1> См.: Иллеш А., Руднев В. У меня зазвонил телефон... // Известия. 1990. 17 дек.
В настоящее время правом собирать информацию о частной жизни лица наделены, в частности, работники правоохранительных органов в рамках осуществления оперативно-розыскной деятельности. Согласно ст. 1 Федерального закона от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" <1> под оперативно-розыскной деятельностью следует понимать комплекс мероприятий, как правило, негласного характера, осуществляемых уполномоченными на то правоохранительными органами в целях защиты жизни, здоровья, прав и свобод человека и гражданина, собственности, обеспечения безопасности общества и государства от преступных посягательств.
--------------------------------
<1> СЗ РФ. 1995. N 33. Ст. 3349.
Статья 10 Федерального закона "Об оперативно-розыскной деятельности" позволяет органам, осуществляющим оперативно-розыскную деятельность, "создавать и использовать информационные системы, а также заводить дела оперативного учета... в целях собирания и систематизации сведений, проверки и оценки результатов оперативно-розыскной деятельности, а также принятия на их основе соответствующих решений...". Характер и объем этих сведений не уточняется, однако понятно, что значительную часть их составляют персональные данные лиц, попавших в поле зрения правоохранительных органов.
Специфика оперативно-розыскной деятельности требует значительных изъятий из права на неприкосновенность частной жизни, что обусловлено прежде всего интересами общественной безопасности. Безусловно, с точки зрения защиты прав и свобод человека и гражданина данная деятельность никогда не была и не будет безупречной, поскольку эффективное ее проведение без этих ограничений вообще невозможно. С другой стороны, именно на защиту прав и свобод человека и гражданина эта деятельность и направлена: "Что лучше - принудить лицо к выдаче личных или профессиональных тайн и благодаря этому раскрыть преступление, установить истину по уголовному делу или сохранить неприкосновенными эти тайны, т.е. защитить личность вопреки интересам раскрытия преступления, изобличения или наказания виновного? Для ответа на этот вопрос законодатель использует метод взвешивания ценностей и построения системы приоритетов, действуя по принципу крайней необходимости: приносится в жертву меньшая социальная ценность ради сохранения большей ценности. При этом принимается во внимание, что задача раскрытия преступления далеко не всегда должна решаться ценой отказа от гарантий неприкосновенности частной жизни" <1>.
--------------------------------
<1> Петрухин И.Л. Личные тайны (человек и власть). М., 1998. С. 11.
Придерживаясь принципа приоритета прав и свобод личности в любых сферах государственной жизни, мы все-таки полагаем, что излишняя формализация оперативно-розыскной и иной правоохранительной деятельности, даже в плане защиты персональных данных личности, может отрицательно сказаться на эффективности этой деятельности. Высокий уровень преступности в современной России не позволяет пока, к сожалению, обеспечить необходимый баланс интересов в этой области, и приходится "из двух зол выбирать меньшее". Поэтому, по нашему мнению, в настоящий момент более важным является обеспечение соблюдения уже действующих норм, направленных на защиту неприкосновенности частной жизни в условиях проведения оперативно-розыскных мероприятий, чем переработка этих норм с целью усиления охраны персональных данных в указанной сфере.
В соответствии с Законом РФ от 11 марта 1992 г. N 2487-1 "О частной детективной и охранной деятельности" <1> сбор информации о гражданах может осуществляться физическими и юридическими лицами, работающими в данной сфере. Данный Закон содержит множество обтекаемых формулировок и различных оговорок ("сбор информации для деловых переговоров", "изучение рынка", "выяснение биографических подробностей субъекта с его письменного согласия", "запрет прибегать к действиям, посягающим на права и свободы граждан", и т.п.), которые представляют собой серьезный "фактор риска" с точки зрения охраны конфиденциальности персональных данных. В то же время Законом предусматривается обязанность частных детективов обеспечивать защиту информации, относящейся к личной жизни граждан. Грубым нарушением правил осуществления детективной деятельности являются действия, направленные против неприкосновенности частной жизни лица.
--------------------------------
<1> Ведомости СНД И ВС РФ. 1992. N 17. Ст. 888.
Частным детективам запрещается собирать сведения о личной жизни, религиозных и политических убеждениях отдельных граждан. Видимо, имеются в виду политики и иные публичные персоны. Конечно же, такая формулировка недопустима. Либо нужно распространить запрет на всех субъектов, либо перечислить конкретно тех, на кого он распространяется. Установлено, что проведение сыскных мероприятий, нарушающих гарантии неприкосновенности частной жизни, влекут применение мер ответственности, в частности по ст. 137 УК РФ.
"Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений" (ст. 138 УК РФ).
Объектом этих преступлений являются общественные отношения, связанные с охраной тайны переписки, телефонных и иных переговоров и сообщений. Преступление совершается в форме ознакомления лица с корреспонденцией и сообщениями, содержащими конфиденциальную информацию (персональные данные), без согласия субъекта персональных данных, а также без законных оснований (например, соответствующего решения суда). Субъектом данного преступления может быть любое лицо, достигшее возраста 16 лет, в том числе и специальный субъект - должностное лицо.
Статьей 138 УК РФ обеспечивается конституционное право каждого на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (ст. 23 Конституции РФ). Заметим, что проведение оперативно-розыскных мероприятий, которые ограничивают конституционные права граждан на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, допускается на основании судебного решения в случае наличия информации: о признаках подготавливаемого, совершаемого или совершенного противоправного деяния, по которому производство предварительного следствия обязательно; о лицах, подготавливающих, совершающих противоправное деяние, по которому производство предварительного следствия обязательно; о событиях или действиях, создающих угрозу государственной, экономической или экологической безопасности Российской Федерации.
В случаях, которые не терпят отлагательства и могут привести к совершению тяжкого преступления, а также при наличии информации о событиях и действиях, создающих угрозу государственной, военной или экологической безопасности Российской Федерации, на основании мотивированного постановления одного из руководителей органов, осуществляющих оперативно-розыскную деятельность, допускается проведение оперативно-розыскных мероприятий, предусмотренных ч. 2 ст. 8 ФЗ "Об оперативно-розыскной деятельности", с обязательным уведомлением суда (судьи) в течение 24 часов. В течение 48 часов с момента начала проведения оперативно-розыскного мероприятия орган, его осуществляющий, обязан получить судебное решение о проведении такого оперативно-розыскного мероприятия либо прекратить его проведение.
Таким образом, как мы видим, данная деятельность довольно жестко регламентирована и поставлена под судебный контроль, что позволяет обеспечить баланс между правом гражданина на тайну коммуникаций и реализацией обязанности государства обеспечить раскрытие и пресечение преступлений.
Уголовно-правовая охрана неприкосновенности частной жизни предусматривается и законодательством многих европейских стран. Так, Уголовный кодекс Испании содержит комплексную уголовно-правовую норму, охватывающую оба рассмотренных нами выше состава преступления и сформулированную следующим образом.
"1. Тот, кто в целях раскрытия тайных сведений или нарушения неприкосновенности частной жизни другого лица без его ведома завладевает его бумагами, письмами, сообщениями по электронной почте или другими документами либо перехватывает его телефонные разговоры, либо использует различные технические средства для прослушивания передачи, записи или воспроизведения звука или изображения либо другие средства связи, наказывается лишением свободы на срок от года до четырех лет и штрафом...
5. Если вследствие деяний, предусмотренных предыдущими частями, были раскрыты сведения личного характера, обнаруживающие идеологию, религию, верования, состояние здоровья, происхождение или сексуальную жизнь лица, назначаются предусмотренные наказания в их верхнем пределе" <1>.
--------------------------------
<1> Уголовный кодекс Испании / Под ред. Н.Ф. Кузнецовой, Ф.М. Решетникова. М., 1993. С. 66 - 68.
"Отказ в предоставлении гражданину информации" (ст. 140 УК РФ).
Данное преступление представляет собой неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации при условии, если эти деяния причинили вред правам и законным интересам граждан.
Под уголовную ответственность, предусмотренную ст. 140 УК РФ, подпадает и неисполнение обязанности оператором - физическим лицом или должностным лицом оператора - юридического лица по предоставлению информации субъекту персональных данных, предусмотренной ст. 18 Закона о персональных данных, при условии, что правам и свободам субъекта персональных данных был причинен вред.
Субъектом данного преступления может быть должностное лицо.
Проблема доступа граждан к информации о деятельности государственных органов, включающая и право на доступ к своим персональным данным, содержащимся в картотеках государственных органов, лишь совсем недавно стала предметом изучения и обсуждения. Между тем во многих зарубежных странах уже давно действуют законы, регулирующие порядок доступа и получения публичной информации гражданами. Например, Закон Венгрии "О персональных данных и об опубликовании данных, представляющих общественный интерес" содержит специальную главу, устанавливающую порядок ознакомления граждан с информацией, представляющей общественный интерес. В этом Законе, в частности, предусмотрено, что "органы и лица, выполняющие функции центральных или местных органов власти... обязаны публиковать или иным образом обеспечивать общественный доступ к важнейшим данным о своей деятельности, в частности к типам находящихся в их распоряжении данных" <1>.
--------------------------------
<1> Защита персональных данных. Опыт правового регулирования. М. 2001.
"Разглашение тайны усыновления (удочерения)" (ст. 155 УК РФ). Данное преступление заключается в разглашении сведений об усыновлении (удочерении) вопреки воле усыновителя лицом, обязанным хранить факт усыновления (удочерения) как служебную или профессиональную тайну.
Объектом данного преступления являются общественные отношения, обеспечивающие охрану семьи, личную и семейную тайну. Субъектом данного преступления является должностное лицо.
В настоящее время охрана персональных данных, связанных с тайной усыновления, осуществляется с помощью ст. 155 УК РФ.
Согласно ст. 139 СК РФ "тайна усыновления ребенка охраняется законом. Судьи, вынесшие решение об усыновлении ребенка, или должностные лица, осуществившие государственную регистрацию усыновления, а также лица, иным образом осведомленные об усыновлении, обязаны сохранять тайну усыновления ребенка. Лица, разгласившие тайну усыновления ребенка против воли его усыновителей, привлекаются к ответственности в установленном законом порядке".
Таким образом, нормы СК РФ устанавливают объем сведений, подлежащих защите, круг обязанных субъектов и основание наступления ответственности, которым является распространение сведений против воли усыновителей (несанкционированное распространение).
Тайна усыновления (удочерения) относится к числу профессиональных тайн. Как отмечает в своей работе "Личные тайны (человек и власть)" И.Л. Петрухин, "если представить право на частную жизнь граждан как совокупность гарантированных им тайн, то среди них можно различать тайны личные (никому не доверенные) и тайны профессиональные (доверенные представителям определенных профессий для защиты прав и законных интересов граждан). В основе профессиональных тайн лежат личные тайны, защищенные от разглашения правовыми запретами, адресованными тем, кому эти тайны по необходимости доверены" <1>.
--------------------------------
<1> Петрухин И.Л. Личные тайны (человек и власть). М., 1998. С. 11.
"Неправомерный доступ к компьютерной информации" (ст. 272 УК РФ).
Данный состав преступления заключается в неправомерном доступе к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Объектом данного правонарушения выступают общественные отношения в сфере охраны доступа к компьютерной информации, а также в сфере обеспечения нормальной работы ЭВМ и их сетей. Преступное деяние заключается в неправомерном доступе к компьютерной информации, в результате которого эта информация становится известной виновному лицу и может быть использована им. Субъектом данного преступления может быть любое лицо, достигшее возраста 16 лет <1>.
--------------------------------
<1> См.: Коряковцев В.В., Питулько К.В. Уголовное право: Особенная часть. СПб., 2006. С. 102.
Компьютерной информацией, ставшей предметом преступного посягательства, могут оказаться и персональные данные лица или группы лиц, и в этом случае данный вид преступления будет представлять особую общественную опасность.
Увеличение числа компьютерных преступлений является негативным последствием компьютеризации общества в целом. Специалистами отмечается, что диапазон такого рода действий чрезвычайно широк: от преступлений достаточно традиционного типа до действий, требующих высокой математической и технической подготовки <1>. С распространением персональных компьютеров, используемых дома, при наличии развитых коммуникаций даже преступники-дилетанты могут проникать в самые разные компьютерные системы. Хотя действующие в большинстве стран уголовные законы достаточно гибки и позволяют квалифицировать правонарушения этого типа, социальные и технические изменения создают все новые и новые проблемы, часть которых оказывается вне рамок любой из существующих правовых систем. Специалисты отмечают, что компьютерных преступлений как преступлений специфических в юридическом смысле не существует. Правильнее говорить о компьютерных аспектах преступлений. Для уголовного права это некоторые особенности квалификации преступлений, имеющих компьютерные аспекты, для криминалистики - приемы раскрытия и расследования <2>.
--------------------------------
<1> См.: Батурин Ю.М. Проблемы компьютерного права. М., 1991. С. 86.
<2> См. там же. С. 127.
Для подавляющего большинства компьютерных преступлений характерны корыстные цели. Однако бывает и иначе. Особый интерес представляют компьютерные преступления, совершаемые специалистами-профессионалами по ЭВМ. Люди, работающие в этой области, обычно весьма любознательны и обладают острым умом, а также склонны к озорству. Они нередко воспринимают меры по обеспечению безопасности компьютерных систем как вызов своему профессионализму и стараются найти технические пути, которые доказали бы их личное превосходство. Компьютерные пираты являются профессионалами <1>.
--------------------------------
<1> См. там же. С. 128.
Поскольку деятельность операторов информационных систем персональных данных в большинстве случаев автоматизирована и функционирует на основе компьютерного оборудования и программ, то в будущем возможно широкое распространение преступных посягательств именно на этот объект - на компьютеризированную информацию о гражданах. В связи с этим было бы целесообразно разработать и включить в УК РФ специальный состав, предусматривающий уголовную ответственность за неправомерный доступ к информационным системам персональных данных.
Состав преступления, предусмотренного ст. 272 УК РФ, материальный, т.е. преступление считается совершенным с момента наступления следующих последствий: уничтожение компьютерной информации (т.е. утрата ее без возможности восстановления); блокирование информации (т.е. невозможность получить к ней доступ в течение значительного промежутка времени); модификация информации (любого изменения компьютерной информации); копирование информации (т.е. размножение ее на любых материальных носителях); нарушение работы ЭВМ <1>.
--------------------------------
<1> См.: Коряковцев В.В., Питулько К.В. Уголовное право: Особенная часть. СПб., 2006. С. 123.
Думается, что состав преступления, предусматривающий уголовную ответственность за неправомерный доступ к информационным системам персональных данных, должен быть формальным, т.е. преступление должно считаться законченным, а виновный привлекаться к ответственности независимо от наступления общественно опасных последствий. Причиной этого служит высокая степень общественной опасности деяния, а также тот факт, что совершение данного преступления возможно только с прямым умыслом, так как случайное или неосторожное проникновение в защищенные информационные системы невозможно.
Информационные системы персональных данных представляют собой своеобразное хранилище информации о гражданах, в том числе и весьма специальной информации (например, данных о платежеспособности или медицинской информации), поэтому незаконное завладение этими данными представляет собой угрозу правам и свободам тех лиц, чьи персональные данные стали предметом преступного посягательства. Установление мер уголовной ответственности за подобные действия может рассматриваться и как важная превентивная мера в отношении разного рода "компьютерных гениев", особенно из числа молодежи, которые из чисто спортивного интереса взламывают компьютерные сети государственных учреждений, банков и т.п. Наконец, включение в УК РФ специальной статьи, устанавливающей ответственность за неправомерный доступ к информационным системам персональных данных, будет означать признание государством высокой степени важности данной сферы общественных отношений.
Как мы видим, несмотря на то что Законом о персональных данных прямо предусмотрена возможность применения к виновному лицу мер уголовной ответственности, ни одного состава преступления, имеющего своим непосредственным предметом защиты персональные данные, в УК РФ на сегодняшний день не существует. Это создает чисто практические трудности для правильной квалификации деяний судьями, а также лицами и органами, уполномоченными рассматривать дела об административных правонарушениях. До тех пор, пока в УК РФ не появятся составы, прямо предусматривающие ответственность за нарушение законодательства о персональных данных, применение уголовной ответственности в этой сфере будет ограниченно.
Вместе с тем в качестве превентивной меры роль уголовных наказаний трудно переоценить. Осознание потенциальным преступником того факта, что за совершение правонарушения к нему могут быть применены меры уголовной ответственности, может послужить достаточно сильным аргументом против совершения преступления. Особенно это касается компьютерных хулиганов (хакеров), которые ради забавы и удовлетворения профессиональных амбиций могут проникать в защищенные компьютерные системы государственных и иных органов и организаций и получать доступ к конфиденциальной информации, хранящейся на их серверах.
Уголовно-правовая охрана необходима, но не должна становиться доминирующей. Ведь уголовные меры ответственности направлены прежде всего на наказание преступника. Однако, как мы уже отмечали, в деле обеспечения защиты персональных данных важно не только наказать правонарушителя, но и восстановить нарушенное право потерпевшего.
Государственная политика, направленная на обеспечение правопорядка в той или иной области общественных отношений, должна быть разумной и последовательной, что предполагает не только применение мер ответственности к виновным, но и создание необходимых условий и процедур, направленных на добросовестную реализацию закрепленных в законе норм. Другими словами, требуется создание в обществе необходимых экономических, законодательных и социально-психологических условий для соблюдения законности в сфере оборота персональных данных. Важное значение имеет и простая популяризация в обществе идеи уважения к частной жизни гражданина, ведь и компьютерный хакер, и недобросовестный нотариус, и оперативник МВД России в своей частной жизни являются простыми обывателями, так же как и все заинтересованными в защите своего "домашнего" мира от посторонних глаз.
Что же касается собственно применения мер уголовной ответственности как наиболее сурового вида наказания, то это было оправданно в отношении незаконного сбора и распространения информации, относящейся к специальным категориям персональных данных, т.е. сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, если такие действия повлекли причинение морального или материального вреда. Установление уголовно-правовой охраны данной категории информации вполне уместно в современной России, где традиции уважения к частной жизни лица пока еще недостаточно укоренились. Кроме того, нужно учитывать и значительный моральный и материальный ущерб, который наносится лицу при распространении такого рода сведений.
§ 3. Применение гражданско-правовой ответственности
Статьей 24 Закона о персональных данных предусмотрено, что к лицам, нарушившим требования данного Закона, применяются в том числе меры гражданско-правовой ответственности.
Основным признаком гражданско-правовой ответственности является ее имущественный характер, который выражается в возмещении виновным причиненных убытков. Даже в случаях, когда правонарушение затрагивает личные неимущественные права и (или) причиняет потерпевшему лицу - субъекту нарушенного гражданского права - моральный вред, применение мер гражданско-правовой ответственности будет означать присуждение потерпевшему лицу соответствующей денежной компенсации.
Вторым признаком гражданско-правовой ответственности является равноправие субъектов, т.е. ответственность по гражданскому праву представляет собой ответственность одного участника гражданско-правовых отношений перед другим, ответственность правонарушителя перед потерпевшим. Это предопределяет активную роль субъекта персональных данных. Он сам наделен правом защищать свои права и привлекать к ответственности виновного путем предъявления требований о возмещении ущерба и (или) подачи искового заявления в суд.
Третьим признаком гражданско-правовой ответственности является соответствие размера ответственности размеру причиненного ущерба или убытков.
Согласно ст. 150 ГК РФ нематериальные блага, к числу которых Гражданский кодекс относит жизнь и здоровье, достоинство личности, личную неприкосновенность, честь и доброе имя, деловую репутацию, неприкосновенность частной жизни, личную и семейную тайну, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, защищаются в соответствии с ГК РФ и другими законами в случаях и порядке, ими предусмотренными, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав вытекает из существа нарушенного нематериального права и характера последствий этого нарушения.
Поскольку в ст. 150 ГК РФ персональные данные личности как объект гражданско-правовой защиты не поименованы, следует рассмотреть вопрос о том, как соотносятся персональные данные личности и перечисленные в ст. 150 ГК РФ неимущественные права и нематериальные блага.
Надо сказать, что нематериальные блага и неимущественные права (жизнь, здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна) охватывают широкий круг самых разнообразных проявлений человеческой жизни. Иногда персональные данные как информация (сведения, данные) об определенном или определяемом лице сами непосредственно являются нематериальным благом и неимущественным правом, подлежащим защите (например, личная или семейная тайна), а иногда они выступают опосредованным инструментом защиты этих благ и прав, например правовой режим конфиденциальности персональных данных обеспечивает соблюдение чести, достоинства, доброго имени индивида, а в более широком плане - неприкосновенности частной жизни.
Поскольку Закон о персональных данных предусматривает гражданско-правовую защиту отношений, связанных с оборотом персональных данных, логично хотя бы в теоретическом плане считать их самостоятельным объектом гражданско-правовой защиты, так как они являются элементом права на неприкосновенность частной жизни, личную и семейную тайну и т.д.
Для возникновения обязательства по возмещению вреда (гражданско-правовой ответственности) одного факта причинения вреда недостаточно. Статья 1064 ГК РФ содержит общие условия (основания), которые в совокупности с фактом причинения вреда порождают соответствующее обязательство. Условия эти следующие: противоправность деяния, причинная связь между деянием и наступившим результатом (причинение вреда) и вина причинителя.
Таким образом, если в случае виновного противоправного деяния причинен имущественный или моральный вред субъекту персональных данных, он имеет право на гражданско-правовую защиту своих прав.
Основными способами защиты неимущественных прав и благ нематериального свойства являются возмещение ущерба, компенсация морального вреда и возложение обязанности опровержения сведений, порочащих честь, достоинство и деловую репутацию граждан. Рассмотрим их поочередно.
Гражданское законодательство устанавливает принцип возмещения ущерба в полном объеме (ст. 1082 ГК РФ, т.е. вред может быть возмещен в натуре путем предоставления вещи того же рода и качества, исправления поврежденной вещи и т.п. либо путем возмещения убытков) <1>. В соответствии с п. 2 ст. 15 ГК РФ под убытками понимаются реальный ущерб (стоимость утраченного имущества, иные расходы, которые лицо произвело или должно будет произвести для восстановления нарушенного права), а также упущенная выгода (неполученные доходы, которые потерпевший получил бы при обычных условиях гражданского оборота, если бы его право не было нарушено).
--------------------------------
<1> См.: Комментарий части второй Гражданского кодекса Российской Федерации для предпринимателей / Под ред. Т. Брагинской, В. Кузнецова, Л. Синюхиной. М., 1996. С. 415.
Неправомерными действиями, связанными с нарушением порядка оборота и защиты персональных данных, гражданину может быть причинен не столько имущественный, сколько моральный вред. По всей видимости, в сфере оборота и защиты персональных данных именно компенсация морального вреда станет основной формой гражданско-правовой защиты указанных общественных отношений.
Как оценить вред, причиненный индивиду незаконным сбором и использованием его персональных данных, нарушением его права на доступ к персональным данным или несанкционированным разглашением конфиденциальных сведений о частной жизни? В данном случае критерием оценки будут служить моральные (нравственные) переживания лица, вызванные незаконным вмешательством в его частную жизнь, невозможностью контролировать им распространение и использование личной информации, а также психологическая травма, нанесенная лицу разглашением данных о нем личного или интимного свойства. В переводе на язык юридических терминов нравственные переживания лица вследствие нарушения тех или иных его прав и составляют моральный вред.
Пленум Верховного Суда РФ в Постановлении от 20 декабря 1994 г. N 10 "Некоторые вопросы применения законодательства о компенсации морального вреда" дает следующее разъяснение понятия "моральный вред": это нравственные или физические страдания, причиненные действиями (бездействием), посягающими на принадлежащие гражданину от рождения или в силу закона нематериальные блага, такие как жизнь, здоровье, достоинство личности, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна и т.п., или нарушающими его личные неимущественные права: право на пользование своим именем, право авторства и т.д. Моральный вред, как разъясняет далее Пленум, может "заключаться в нравственных переживаниях в связи с... раскрытием семейной, врачебной тайны..." <1>. Более лаконичное определение понятия "моральный вред" содержится в ст. 151 ГК РФ. В соответствии с ней моральный вред - это "нравственные или физические страдания".
--------------------------------
<1> СПС "КонсультантПлюс".
Понятие "моральный вред" появилось в российском гражданском праве относительно недавно, в связи с чем среди ученых-процессуалистов нет единого мнения относительно его определения и правомерности использования самого термина "моральный вред". Некоторые ученые, например, предлагают заменить понятие "моральный вред" на более емкое и удачное понятие "психологический вред", используемое в США и Великобритании. Нам представляется, что различные интерпретации данного понятия в какой-то мере способствуют успешному раскрытию его содержания, однако и в настоящее время понятие "моральный вред" применяется вполне успешно, а приведенное выше разъяснение Пленума Верховного Суда РФ позволяет достаточно ясно понять его содержание и очертить границы использования.
Согласно ст. 151 ГК РФ, если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные имущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации морального вреда. Таким образом, если незаконными действиями, связанными с нарушениями порядка оборота и защиты персональных данных, субъекту персональных данных причинены нравственные страдания, он имеет право на компенсацию морального вреда в денежной форме. Более того, согласно ст. 1100 ГК РФ моральный вред, причиненный нарушением чести, достоинства и деловой репутации гражданина, возмещается независимо от наличия вины причинителя.
Подчеркнем, что законом выделяется лишь один вид компенсации - денежный. Определение размеров компенсации полностью зависит от решения суда, так как на уровень причиненного вреда влияет множество факторов, которые должны рассматриваться в совокупности: тяжесть деяния, степени вины нарушителя, восприимчивость психики потерпевшего, негативные последствия во внешней среде, последствия материального свойства (смена места жительства, места работы) и иные заслуживающие внимания обстоятельства. Среди таких заслуживающих внимания обстоятельств важное место занимает вопрос об имущественном положении причинителя.
Надо сказать, что проблема исполнения судебного решения в части взыскания денежных сумм в пользу потерпевшего продолжает быть актуальной. Как отмечается специалистами <1>, механизм, предлагаемый законодателем, функционирует не слишком эффективно. Нередко на практике встречаются случаи, когда решение суда о взыскании с виновного определенной денежной суммы в счет компенсации морального вреда не может быть исполнено по причине отсутствия у виновного имущества и денежных средств. Складывается общая ситуация, когда из-за финансовой несостоятельности причинителя потерпевший лишается какой бы то ни было возможности компенсировать свои моральные потери. Отсутствие экономических условий делает норму закона о компенсации морального вреда во многом декларативной. Данная ситуация могла бы быть частично исправлена, если бы гражданским законодательством была предусмотрена возможность не только денежной, но и иных форм компенсации морального вреда потерпевшему. Другими словами, виновное лицо должно иметь возможность компенсировать моральный вред не только в денежном выражении, а по договоренности с потерпевшим - в ином соразмерном виде.
--------------------------------
<1> См.: Владимирова В.В. Компенсация морального вреда - мера реабилитации потерпевшего в российском уголовном процессе. М., 2007. С. 95.
Известный российский правовед Г.Ф. Шершеневич полагал, что "личное оскорбление не допускает никакой имущественной оценки, потому что оно причиняет нравственный, а не имущественный вред. Разве какой-нибудь порядочный человек позволит себе ценой собственного достоинства получить мнимое возмещение? Только принесение извинений будет достойной компенсацией нравственных страданий" <1>.
--------------------------------
<1> Шершеневич Г.Ф. Учебник русского гражданского права. М., 1995. С. 402.
К сожалению, в современных российских условиях это высказывание видного ученого кажется чересчур идеалистическим. Однако возвращаясь к юридическому аспекту данной проблемы, отметим, что существует и некая альтернатива денежной и иной материальной компенсации морального вреда.
Извинение как официально установленная мера ответственности при нанесении личной обиды использовалась в российском праве со времен Петра I. Так, согласно Артикулу воинскому, если виновный отказывался извиняться, то наказание ужесточалось: "Ежели оный поупрямится... то он может быть денежным наказанием и заключением к тому принужден" <1>.
--------------------------------
<1> Российское законодательство X - XX веков. Т. 4. М., 1986.
Гражданский кодекс РФ с 1 января 1995 г. оставил возможность компенсации морального вреда только в денежной форме. Вместе с тем извинение как форма компенсации морального вреда вполне могла бы стать достойной альтернативой материальному возмещению, тем более что оно в значительно большей степени способствует психологической реабилитации потерпевшего. Не будем забывать, что моральный вред потому и моральный (т.е. душевный, психологический), поскольку влияет негативно именно на душевное состояние потерпевшего. Это тем более важно, когда нарушаются права личности в области конфиденциальности личной информации.
Возмещение вреда гражданину, причиненное нарушением порядка оборота и защиты персональных данных, предусматривается законами о персональных данных многих европейских государств. Право субъекта персональных данных на возмещение, которому вследствие невыполнения правил обработки персональных данных держателем картотек причинен материальный ущерб или чьи права были ущемлены, предусмотрено Законом Испании о защите персональных данных <1>. Законом Дании об обработке персональных данных предусмотрена обязанность операторов возмещать любые убытки, вызванные нарушением правил обработки данных, если не будет установлено, что проявленная осторожность и старательность оператора не могли предотвратить убытки <2>.
--------------------------------
<1> См.: Защита персональных данных. Опыт правового регулирования. М., 2001.
<2> См. там же. С. 340.
В ст. 152 ГК РФ представлен ряд способов защиты чести, достоинства и деловой репутации гражданина. Все они имеют нематериальный характер и поэтому могут быть реализованы наряду с возмещением убытков и компенсацией морального вреда. Согласно нормам этой статьи "гражданин вправе потребовать по суду опровержения порочащих его честь, достоинство и деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности", а при распространении таких сведений в средствах массовой информации - опровержение в тех же СМИ (ст. 43 Закона о СМИ).
А как быть, если сведения соответствуют действительности? Значит ли это, что достоверная, но компрометирующая информация может свободно и безнаказанно распространяться любым лицом?
Разумеется, нет. Ограничения вводит Закон о персональных данных. Лицо, распространившее сведения, порочащие честь и достоинство гражданина, во-первых, должно будет доказать, что эти сведения получены законным путем, т.е. что способ получения сведений не образует состава правонарушения - административного, дисциплинарного или уголовного. И во-вторых, что лицо имеет право на распространение этих сведений, т.е. не нарушает служебную, профессиональную тайну и т.п., что в отношении порочащих и компрометирующих сведений в ряде случаев представляется маловероятным. В противном случае согласно нормам Закона о персональных данных виновное лицо подлежит юридической ответственности.
В завершение отметим, что в судебной практике иски о компенсации морального вреда и опровержении порочащих сведений имеют достаточно широкое распространение, особенно часто они исходят от представителей политического истеблишмента. Однако следует иметь в виду, что гражданско-правовые санкции далеко не во всех случаях являются адекватными уровню наступивших для гражданина вредных последствий. Поэтому не менее важными элементами системы обеспечения защиты персональных данных являются административно-правовые и уголовно-правовые санкции.
Глава 3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ В КАДРОВОМ ДОКУМЕНТООБОРОТЕ
§ 1. Актуальные проблемы сбора и обработки персональных
данных в трудовых отношениях
Применение законодательства о персональных данных в трудовых отношениях стало одной из самых обширных, актуальных и широко обсуждаемых проблем, возникших после принятия Закона о персональных данных. Связано это в первую очередь с тем, что в нашей стране в трудовые отношения вовлечено огромное количество людей и организаций. С принятием Закона все работодатели получили статус операторов информационных систем персональных данных, и это наложило на них целый комплекс дополнительных обязанностей, потребовало организационной перестройки кадрового дела и документооборота. В этом параграфе мы попробуем разобраться в возникших проблемах и найти их решение, принимая во внимание интересы как работодателей, так и работников.
Интересно отметить, что вступивший в силу в 2002 г. Трудовой кодекс РФ содержал систематизированный и закрепленный в отдельной главе комплекс норм, регулирующий вопросы защиты персональных данных работника. Это явилось важной новеллой в законодательстве в целом, поскольку в тот период времени еще ни одна отрасль права и законодательства не содержала более или менее систематизированного правового регулирования данной сферы общественных отношений.
Изучая практику, можно с полной уверенностью сказать, что 90% всех вопросов, связанных с применением законодательства о персональных данных, связано именно с трудовыми отношениями. О причинах этого было сказано выше.
Прежде всего следует сразу оговориться, что под трудовыми отношениями мы будем подразумевать и служебные отношения (с учетом имеющихся отличий, естественно), т.е. отношения, возникающие в рамках государственной службы, поскольку и защита персональных данных, и организация работы с ними, и применение мер взыскания и в трудовых, и в служебных отношениях практически одинаковы, за исключением некоторых особенностей, установленных законодательством и подзаконными актами о государственной службе.
Итак, проблема защиты персональных данных в трудовых отношениях имеет два аспекта.
Первый аспект связан с комплексом мер по защите персональных данных работников в организации. Во-первых, он включает в себя обязательства работодателя - оператора по организации и реализации соответствующего порядка работы с персональными данными сотрудников и их защите. Во-вторых, в него входят и обязательства самих сотрудников, непосредственно осуществляющих обработку персональных данных в организации. Этот аспект урегулирован правом в достаточной степени.
Второй аспект данной проблемы связан с обработкой персональных данных соискателей, т.е. лиц, устраивающихся на работу. Специальная правовая регламентация этих процедур на данный момент отсутствует.
С установлением в России рыночных отношений вопросы эффективного подбора кадров приобрели особую актуальность и это дало мощный стимул развитию кадрового дела и оформлению его в отдельную специализированную сферу деятельности - кадровый менеджмент.
За последние годы процесс устройства на работу значительно усложнился. Сначала кандидат с помощью телекоммуникационных средств связи рассылает свои резюме широкому кругу лиц, затем посещает многочисленные интервью, заполняет анкеты, проходит профессиональное и психологическое тестирование, наконец, подвергается проверке службой безопасности. В отдельных организациях даже предлагается пройти проверку на полиграфе (более известном как детектор лжи). К счастью, такие случаи не часты, но если вдруг вам "посчастливилось" получить такое предложение, то можете с полным правом возмущенно отказаться (если хотите). Хотя с формально-юридической точки зрения работодатель закон не нарушает. Проверка может быть проведена при наличии вашего письменного согласия.
В результате всех этих мероприятий в различных организациях накапливается огромное количество персональных данных кандидатов.
Однако Трудовой кодекс РФ оставляет все эти продолжительные по времени и весьма интенсивные по обмену информацией процедуры за рамками правового регулирования. Как правило, кандидат предоставляет в кадровые службы объем персональных данных, значительно превышающий тот, что необходим собственно для поступления на работу. При этом закрепленное в п. 4 ст. 86 ТК РФ требование об обязательном согласии работника на обработку своих персональных данных при буквальном толковании действительно только в отношении работника, но не в отношении соискателя. Формально соискатель (обозначенный в ТК РФ как лицо, поступающее на работу) попадает в сферу действия ТК РФ только при заключении трудового договора, а до этого момента его правовой статус в трудовых отношениях остается неопределенным, что, конечно же, не отвечает современным требованиям к уровню правовой защиты прав граждан. Тем не менее нельзя не признать такую ситуацию выгодной для работодателей, которые ею и пользуются, зачастую требуя от соискателей предоставления совершенно лишней информации, не имеющей никакого отношения к будущей трудовой деятельности.
Практика истребования дополнительных документов у соискателей широко распространена в кадровом менеджменте, и это нельзя автоматически признавать нарушением трудового законодательства, в том числе и в части защиты персональных данных. Соискателю предоставление дополнительных документов (аттестатов, характеристик, рекомендаций) дает возможность показать себя с наилучшей стороны как профессионала, а рекрутеру - всесторонне оценить кандидата.
Дополнительные документы у соискателей могут быть истребованы при соблюдении двух условий. Во-первых, объем и характер обрабатываемых персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных данных (п. п. 3, 4 ст. 5 Закона о персональных данных). Это значит, что организации не вправе требовать от соискателей предоставления сведений о близких родственниках и местах их работы, о личных привычках соискателя, его личной жизни и т.п., что делается довольно часто. Эти сведения чаще всего никак не связаны с будущими трудовыми функциями соискателя, не отвечают целям сбора персональных данных и избыточны по отношению к ним. Согласно п. 5 ст. 86 ТК РФ работодатель вправе в исключительных случаях обрабатывать сведения о частной жизни лица, но только при условии, что они непосредственно связаны с трудовыми отношениями. Во-вторых, собирать дополнительную информацию работодатель вправе только при наличии письменного согласия соискателя на предоставление сведений, касающихся его частной жизни (п. 4 ст. 86 ТК РФ). Причем второе условие - дополнительное и оно не позволяет обойти первое, как это может показаться на первый взгляд.
В принципе сам соискатель должен не бояться защищать свое право на частную жизнь и не позволять посторонним в нее вторгаться без достаточных на то оснований. Если вы боитесь не получить эту работу и поэтому готовы пойти на компромиссы, то стоит задуматься о том, насколько щепетилен в отношении соблюдения трудового законодательства окажется работодатель, который уже на стадии собеседований его нарушает, не боясь огласки и испорченной репутации.
С точки зрения закона неправомерные действия работодателя могут стать основанием для привлечения его к административной ответственности по ст. 13.11 КоАП РФ, о чем мы подробно говорили в предыдущей главе.
Если, например, работодатель желает получить характеристику с места прежней работы сотрудника, он вправе ее затребовать, а бывший работодатель ее предоставить при условии письменного согласия сотрудника. В этом случае все формальности относительно защиты персональных данных будут соблюдены.
В настоящее время ТК РФ нуждается в дополнении нормами, регулирующими отношения между соискателем и работодателем, а до этого момента права соискателя на защиту персональных данных могут быть обеспечены нормами Закона о персональных данных и по аналогии - нормами ТК РФ, касающимися защиты персональных данных работников.
Порядок сбора и обработки персональных данных работников, установленный в гл. 14 ТК РФ, в целом позволяет определить те основные принципы и правила, которые необходимы работодателю, чтобы "наладить" работу с персональными данными сотрудников на уровне, соответствующем Закону о персональных данных.
По определению ст. 85 ТК РФ персональные данные работника - это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Безусловно, такая формулировка несколько неопределенна. Отсутствие исчерпывающего перечня необходимых работодателю персональных данных является одним из факторов, затрудняющих правоприменение. Вместе с тем установить перечень необходимых персональных данных можно, используя ст. 65 ТК РФ, в которой перечислены документы, предоставляемые для заключения трудового договора. К ним относятся:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка (за исключением случаев, установленных законом);
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета;
- документы об образовании, квалификации и т.п.
На практике для ведения бухгалтерской и иной отчетности работодателю, как правило, необходимы сведения о семейном положении, наличии детей и т.п. Для установления профессиональной и квалификационной пригодности требуются не только документы об образовании (основном и дополнительном), но и о профессиональном опыте, стаже работы, т.е. та информация, которая обычно указывается в резюме соискателя и трудовой книжке. Кроме того, существует дополнительная информация, которую сам работник предоставляет по собственной инициативе с целью получения льгот, компенсаций, гарантий и т.п. (например, матери-одиночки, беременные женщины).
Приведенный перечень документов является общим. Законодательством могут устанавливаться дополнения к нему, связанные со спецификой трудовой (служебной) деятельности. Следует иметь в виду, что к настоящему времени многие органы исполнительной власти имеют нормативные акты (положения) о порядке обработки персональных данных своих служащих и ведении их личных дел. Например, в ранее упомянутом Положении об организации работы государственного гражданского служащего Федерального космического агентства установлен довольно обширный перечень дополнительных к основным документов гражданского служащего, приобщаемых к его личному делу:
- собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;
- документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);
- копии решений о награждении государственными наградами, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);
- копия акта государственного органа о назначении на должность гражданской службы;
- копия акта государственного органа об освобождении гражданского служащего от замещаемой должности гражданской службы, о прекращении служебного контракта или его приостановлении;
- аттестационный лист гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;
- экзаменационный лист гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы Российской Федерации;
- копии документов о присвоении гражданскому служащему классного чина государственной гражданской службы Российской Федерации (иного классного чина, квалификационного разряда, дипломатического ранга);
- копии документов о включении гражданского служащего в кадровый резерв, а также об исключении его из кадрового резерва;
- копии решений о поощрении гражданского служащего, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;
- копии документов о начале служебной проверки, ее результатах, об отстранении гражданского служащего от замещаемой должности гражданской службы;
- документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений;
- сведения о доходах, имуществе и обязательствах имущественного характера гражданского служащего;
- медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;
- справка о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами.
В данном нормативном акте также установлен порядок хранения личных дел служащих после их увольнения с государственной службы. Личные дела хранятся Управлением кадров и безопасности Федерального космического агентства в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив.
Личные дела гражданских служащих, содержащие сведения, составляющие государственную тайну, хранятся Управлением кадров и безопасности Федерального космического агентства в соответствии с законодательством Российской Федерации о государственной тайне.
Как уже упоминалось, согласно п. 4 ст. 86 ТК РФ в случаях, непосредственно связанных с трудовыми отношениями, работодатель вправе с письменного согласия работника получать и обрабатывать персональные данные о частной жизни. Границы для применения столь расплывчатой нормы поможет установить ст. 86 ТК РФ, где определены следующие цели получения и обработки персональных данных работника:
1) соблюдение законов и иных нормативно-правовых актов;
2) содействие в трудоустройстве, обучении и продвижении по службе;
3) обеспечение личной безопасности работников;
4) контроль объема и качества выполняемой работы;
5) обеспечение сохранности имущества;
а также сказано, что при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией РФ, ТК РФ и иными федеральными законами.
Вышеперечисленные правила регулируют предоставление сведений, необходимых для заключения трудового договора, оформления работника в кадровой службе организации, осуществления им трудовой деятельности. Еще раз подчеркнем, что при отсутствии иного специального регулирования эти же нормы могут быть применены при сборе и обработке персональных данных соискателей. К сожалению, ТК РФ не содержит никаких установлений относительно сроков хранения персональных данных. До внесения соответствующих дополнений следует руководствоваться нормами Закона о персональных данных, устанавливающих, что персональные данные должны быть уничтожены по достижении целей обработки.
В свете принятия Закона о персональных данных возникла и еще одна проблема, на которую пока мало кто из специалистов обратил внимание. Дело в том, что работодатель собирает и обрабатывает персональные данные работников не только в процессе их устройства на работу, но часто еще более активно - в процессе их работы, причем сбор этих данных имеет цели, весьма отдаленно связанные с трудовой деятельностью, и работодатель не только не спрашивает согласия сотрудников на это, но часто даже не считает нужным ставить их в известность о проводимых мероприятиях.
На что только не идут работодатели, чтобы обезопасить себя от реальных и мнимых угроз. Установление камер видеонаблюдения во всех доступных помещениях объясняется необходимостью предотвращения случаев расхищения имущества, употребления наркотиков, сексуальных домогательств на рабочем месте, но главное - контролем качества работы. Интересно отметить, что при "ближайшем рассмотрении" ни одна из этих "причин" не может служить основанием для ведения видеонаблюдения. Факт расхищения имущества с помощью одной видеозаписи не докажешь. Употребление наркотиков и сексуальные домогательства в большинстве случаев относятся к частной жизни работников, которая работодателя интересовать не должна. А поведение сотрудников в столовой, курилке или туалетной комнате ни малейшего отношения к качеству работы не имеет.
Кроме того, многие работодатели считают мониторинг пользования сотрудниками сетью Интернет незаменимым средством для поддержания трудовой дисциплины. Проверка электронной корреспонденции и прослушка телефонных переговоров объясняются необходимостью предотвращения распространения инсайдерской информации.
Разумеется, чаще всего никто не заботится о том, чтобы поставить в известность работников обо всех этих мероприятиях, как и о том, чтобы взять у них на это письменное согласие. Впрочем, даже при наличии письменного согласия признать эти действия законными нельзя.
Во-первых, даже полученное на первый взгляд добровольно письменное согласие может содержать порок воли, попросту говоря, работника могут принудить к даче согласия под угрозой увольнения или применения взысканий. Но и при отсутствии прямого давления со стороны работодателя очевидно, что работник даст свое согласие исключительно из-за опасения показаться нелояльным. Стремление человека хотя бы в минимальной степени оградить свое частное пространство на рабочем месте совершенно естественно и вовсе не свидетельствует о каких-либо преступных намерениях.
Европейский суд по правам человека неоднократно подчеркивал, что даже в публичной сфере существует зона взаимодействия человека с другими людьми, которая может относиться к "частной жизни" (Постановление Европейского суда от 28 января 2003 г. по делу "Пек против Соединенного Королевства" (Peck v. United Kingdom); Постановление Европейского суда по правам человека от 24 июня 2004 г. "Дело "Фон Ганновер (Принцесса Ганноверская) (Von Hannover) против Германии") <1>.
--------------------------------
<1> Романова Э.Е. Использование видеонаблюдения для контроля за поведением работников // Кадровая служба и управление персоналом предприятия. 2006. N 12.
Во-вторых, собранные такими способами персональные данные будут, скорее всего, больше связаны с частной жизнью сотрудников, чем с выполняемыми ими трудовыми функциями. А это будет нарушением норм ТК РФ о запрете сбора дополнительных персональных данных работодателем (п. 5 ст. 86 ТК РФ) и нарушением принципа, закрепленного в ст. 5 Закона о персональных данных, согласно которому объем, характер и способы обработки персональных данных должны соответствовать целям обработки и недопустимости сбора избыточных персональных данных.
Стремление работодателей обезопасить бизнес от информационных и иных угроз вполне объяснимо, особенно если учесть, какое распространение получила в последнее время торговля инсайдерской информацией. Вместе с тем никто не отменял конституционного права на неприкосновенность частной жизни и основанного на нем права на защиту персональных данных.
Думается, что для того чтобы ввести этот процесс в правовые рамки, требуется определенная гражданская сознательность со стороны самих работников, потому что российский бизнес таков, что добровольно от этой удобной практики вряд ли откажется. Именно работники могут инициировать в защиту своих прав соответствующие проверки органами исполнительной власти, судебные иски и т.п. Конечно же, большое значение имеют эффективная деятельность государственных контролирующих органов и последовательная политика в отношении применения санкций.
Впрочем, существуют ситуации, а точнее, виды производственной и иной деятельности, где постоянный видеомониторинг необходим. Например, стойки регистрации и зоны прохождения таможенного досмотра и контроля в аэропортах; военное, химическое, бактериологическое, ядерное производство и т.п. Использование видеонаблюдения здесь помогает оперативно отслеживать качество продукции и безопасность производства. Но даже в таких случаях работники должны быть ознакомлены под роспись со специальным регламентом, закрепляющим цели и основания видеонаблюдения. Что же касается ведения негласного наблюдения, то это сфера деятельности оперативно-розыскных и иных правоохранительных служб, она регулируется специальным законодательством и с трудовыми отношениями никак не связана.
Завершая эту тему, хотелось бы подчеркнуть, что трудовые отношения - это та область, которую новое законодательство о защите персональных данных коснулось самым непосредственным образом. Проблем в этой области немало и вряд ли стоит рассчитывать на их быстрое решение. Однако автор убежден, что именно в этой сфере решающая роль в защите своих прав принадлежит не государству, а нам самим.
§ 2. Регламентация работы с персональными
данными сотрудников в организации
Правила обработки персональных данных работников регулируются гл. 14 ТК РФ, Законом о персональных данных, отраслевыми подзаконными нормативными актами и локальными нормативными актами организации. Следует сразу оговориться, что положения гл. 14 ТК РФ правом на защиту персональных данных наделяют только работника. Не только соискатель, но и бывший работник в Кодексе не упоминаются. Таким образом, если в локальном нормативном акте не установлено иное, после увольнения работника его персональные данные подлежат правовой защите на общих основаниях, предусмотренных Законом о персональных данных. Закон предписывает уничтожение персональных данных по достижении целей обработки (п. 2 ст. 5 Закона о персональных данных).
Обратите внимание, если одним из направлений деятельности организации является сбор и обработка персональных данных (например, маркетинговая компания), то вся работа с персональными данными сотрудников и работа с персональными данными, собираемыми для осуществления деятельности компании, ведется отдельно. Сейчас мы говорим об организации работы с персональными данными сотрудников.
Так как же привести в соответствие с требованиями закона работу с персональными данными в организации? Для этого необходимо решить несколько задач:
1) разработать соответствующее локальное нормативное регулирование;
2) проинформировать и обучить персонал;
3) обеспечить организационные и материально-технические условия для работы с персональными данными;
4) в случае необходимости обеспечить техническую защиту информационной системы персональных данных.
Разработка локального нормативного регулирования
В контексте Закона о персональных данных все работодатели являются операторами информационных систем персональных данных работников, что налагает на них целый ряд обязанностей. Нарушение требований законодательства грозит применением мер ответственности, в частности административной.
Итак, первый шаг - это разработка специального локального нормативного регулирования. Оно имеет целью имплементировать требования закона в локальные нормы конкретной организации с учетом ее особенностей. Прежде всего в организации должен быть разработан и принят единый нормативный акт, регулирующий работу с персональными данными. Назовем его Положение о персональных данных. Несмотря на то что ни в Законе о персональных данных, ни в ТК РФ прямо такая обязанность не предусмотрена, отсутствие такого акта судебная практика расценивает как нарушение, и организация может быть привлечена к административной ответственности по ч. 1 ст. 5.27 КоАП РФ.
Так, ФАС Московского округа в Постановлении от 1 ноября 2006 г., 8 ноября 2006 г. N КА-А40/10787-06 установил, что организация в период своей деятельности нарушила требование ст. ст. 85 - 87 ТК РФ, что выразилось в неиздании локального нормативного акта, которым устанавливается порядок обработки персональных данных работников, а также их права и обязанности в этой области. Работники знакомятся с таким актом под расписку. В связи с этим суд посчитал привлечение организации к административной ответственности по ч. 1 ст. 5.27 КоАП РФ правильным <1>.
--------------------------------
<1> СПС "КонсультантПлюс".
Положение о персональных данных должно содержать следующие сведения.
1. Определение персональных данных работника; правовое основание, цель и перечень подлежащих сбору и обработке персональных данных; перечень документов, содержащих персональные данные; способы получения персональных данных.
Обратите внимание, что персональные данные собираются не только при оформлении на работу. Таких перечней, как и целей, может быть несколько. Один перечень - для соискателей, другой - для оформляемых на работу, третий - для направляемых на стажировку, переподготовку и т.п., четвертый - для оформления льгот и т.д. Главное, чтобы все основания сбора персональных данных не были забыты. Если работодатель ведет видеонаблюдение, мониторинг почтовой корреспонденции, прослушку телефонных разговоров, то он также обязан прописать правовое основание, цель и перечень собираемых с помощью этих мероприятий персональных данных (если сможет).
При составлении перечней персональных данных и документов, их содержащих, нужно руководствоваться правилами ТК РФ, о которых мы уже говорили в предыдущем параграфе. Главное, чтобы собираемые сведения и документы имели прямое отношение к трудовым функциям работника и не были избыточны по отношению к ним.
2. Круг должностей, допущенных к работе с персональными данными.
Круг должностей не должен быть неоправданно широким. К работе с персональными данными допускаются руководители организаций и их заместители, руководители структурных подразделений - к персональным данным своих работников; работники кадровой службы, бухгалтерия, сотрудники юридического отдела.
3. Регламент работы с персональными данными, обеспечивающий их конфиденциальность.
Он включает в себя несколько пунктов: описание действий (операций) с персональными данными; описание организационной защиты; описание технической защиты; порядок внутреннего и внешнего допуска к персональным данным; контроль и отчетность.
Особое значение имеют правила внешнего допуска к персональным данным. Организация обязана предоставлять персональные данные работников (без их согласия) государственным и муниципальным органам, а также членам семьи работника в случаях, установленных законом. В остальных случаях согласие работника обязательно (например, при выдаче характеристики бывшему работнику).
Передача персональных данных контрагентам в процессе реализации договорных отношений должна учитывать общие требования к обеспечению конфиденциальности персональных данных, установленных Законом о персональных данных (передача по защищенным каналам, доступ только уполномоченных лиц, особый регламент работы с персональными данными). Можно включить в соответствующий договор условия об ответственности за нарушения обработки персональных данных.
4. Перечень лиц, ответственных за работу с персональными данными.
5. Меры ответственности.
Имеются в виду дисциплинарные взыскания, правом наложения которых наделен работодатель. Порядок их применения мы рассмотрим в § 3 настоящей работы.
Положение о персональных данных может состоять из двух частей - основной и дополнительной (конфиденциальных приложений). В основной части излагаются общие требования, а в конфиденциальных приложениях - подробные характеристики технической защиты баз данных, пароли доступа, места хранения ключей от запирающихся шкафов с бумажными носителями персональных данных, описание действия систем охраны помещений и т.д. С конфиденциальными приложениями работодатель знакомит только тех работников, в чьи обязанности непосредственно входит работа с персональными данными. Такой порядок позволяет лучше обеспечивать конфиденциальность персональных данных. Он вытекает из принципа защиты информации, согласно которому нельзя "держать все яйца в одной корзине". Информация делится на блоки, каждый из которых подлежит отдельной защите.
Кроме Положения о персональных данных в организации должен быть принят приказ о назначении лиц, ответственных за работу с персональными данными. В должностные инструкции и трудовые договоры работников, в чьи обязанности входит работа с персональными данными, внесены соответствующие пункты об охране конфиденциальности и соблюдении правил работы с персональными данными и о мерах ответственности.
Некоторые специалисты рекомендуют брать у работников письменное согласие на сбор и обработку их персональных данных, однако закон этого не требует. Сам факт заключения трудового договора выступает свидетельством согласия работника на обработку персональных данных, а гарантией законности обработки служат вышеперечисленные документы.
Инструктаж персонала
Его целью является обучение работников правилам работы с персональными данными и их информационными системами, позволяющими обеспечить охрану их конфиденциальности. Без этого невозможна эффективная защита персональных данных в организации хотя бы потому, что не проинформированный должным образом работник виновным в нарушении правил работы с персональными данными не признается. Виновным будет считаться работодатель как не обеспечивший необходимую правовую защиту.
На работодателе лежит обязанность ознакомить всех работников организации (а не только тех, в чьи обязанности непосредственно входит работа с персональными данными) с правилами обработки и защиты персональных данных в организации, а также с правами и обязанностями работников в этой области. Сделать это проще всего, ознакомив работников с основным текстом Положения о защите персональных данных под роспись.
Те работники, в чьи обязанности непосредственно входит работа с персональными данными, должны быть ознакомлены с полным текстом Положения о защите персональных данных работников или с теми его частями, которые затрагивают порядок исполнения их трудовых функций. Например, кадровика не обязательно знакомить с особенностями работы систем технической защиты, зато просто необходимо - с организационными правилами работы с персональными данными.
Работники, обеспечивающие функционирование автоматизированной информационной системы, должны быть проинструктированы относительно технических характеристик системы, средств ее защиты и правил эксплуатации и контроля.
Обязанности по информированию и инструктажу персонала лежат на работодателе.
Организационные меры защиты персональных данных
Это комплекс мер, направленных на создание фактических условий для работы с персональными данными в организации, позволяющих обеспечить их конфиденциальность. Работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключить возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Персональные данные могут храниться как на бумажных (журналы учета командировок, личные карточки), так и на электронных носителях. Различные носители персональных данных требуют различных подходов к их охране.
Закон о персональных данных требует от работодателя раздельного хранения материальных носителей персональных данных, собранных для различных целей. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Поэтому прежде всего нужно выделить изолированное помещение, предназначенное для работы с персональными данными, оснащенное всеми необходимыми техническими средствами: компьютером, ксероксом, сканером. Если такой возможности нет, то сотрудники во время работы с персональными данными должны соблюдать ряд нехитрых правил: не оставлять без присмотра на столе соответствующие документы, убирать их после работы в запирающиеся шкафы, не допускать посторонних в помещение во время работы с персональными данными.
В любой организации есть работники, которые постоянно обрабатывают персональные данные (кадровики), а есть те, которым персональные данные требуются лишь для выполнения разовых функций (заполнения договора). Для контроля за последними должен вестись специальный журнал учета, в котором фиксируются вид персональных данных или документа, их содержащего, дата, основание и ФИО сотрудника, работавшего с персональными данными. Вести журнал должно ответственное за защиту персональных данных в организации лицо. Периодически нужно проводить проверки соблюдения правил хранения и учета персональных данных. Носители персональных данных бывших работников должны храниться отдельно в течение срока, установленного Положением о персональных данных, а затем уничтожаться.
Технические меры защиты персональных данных
Комплекс этих мер обеспечивает защиту персональных данных в автоматизированных информационных системах и каналах передачи данных через телекоммуникационные сети. Подробно об установлении технических средств защиты информационных систем мы говорили в § 4 гл. 1.
Электронные носители персональных данных - базы данных, содержащие персональные данные работников организации, - хранятся на электронных носителях, которые обрабатываются техническими средствами. Согласно упомянутому Постановлению Правительства РФ N 781 это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. Работодатель должен обеспечить контроль за исправной работой этих средств.
Как отмечается в статье А. Щетининой "Персональные данные: а вы готовы к проверке?", опубликованной в журнале "Кадровая служба и управление персоналом предприятия" (2010 г. N 1), "безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий".
Для обеспечения безопасности работодатель должен, во-первых, классифицировать информационную систему в зависимости от объема обрабатываемых персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Целью классификации является определение адекватных методов и средств защиты для содержащихся в системе данных. Решение о присвоении того или иного класса системы определяет сам оператор (работодатель). Пересмотреть решение имеет право Роскомнадзор. Затем, в зависимости от присвоенного класса, работодатель на основе нормативно-методических документов ФСТЭК определяет мероприятия по защите используемых персональных данных.
В-третьих, работодатель должен обеспечить в информационной системе следующие возможности:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
Помимо всего этого работодателю нельзя забывать об общих правилах сбора и обработки персональных данных, установленных в гл. 14 ТК РФ.
Так, все персональные данные работника должны быть получены у него самого (а если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие). При этом работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. В данном положении главным является то, что именно работник как субъект персональных данных должен принимать решение относительно возможной передачи своих строго определенных персональных данных от третьего лица к работодателю. Истребование необходимой информации без соответствующего согласия, равно как и истребование какой-либо информации сверх той, что оговорена в письменном согласии, является основанием для применения мер дисциплинарной ответственности к работнику, осуществляющему сбор персональных данных, или административной ответственности - к работодателю.
По общему правилу работодатель не имеет права собирать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. Эти запреты, установленные в п. п. 4 - 5 ст. 86 ТК РФ, позволяют обеспечить защиту работника от возможной дискриминации по признаку религиозных, политических или иных убеждений, принадлежности к общественным объединениям и т.д.
Решения, затрагивающие права и интересы работника, не могут приниматься работодателем на основании исключительно автоматизированной обработки его персональных данных. Данная норма предупреждает принятие необоснованных решений, нарушающих права и интересы работника, основанных исключительно на информации, почерпнутой из автоматизированных систем, так как такая "обезличенная" информация может содержать неточности и ошибки. Если тем не менее работодателем принимается решение на основании исключительно автоматизированной обработки его персональных данных, то при нарушении прав и интересов работника такое решение может быть им обжаловано. Одновременно работник вправе потребовать: а) исключения или исправления неверных или неполных персональных данных; б) если они были кому-либо сообщены, - известить этих лиц обо всех произведенных в них исключениях, исправлениях или дополнениях. При отказе работодателя исключить или исправить персональные данные работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.
Порядок хранения и использования персональных данных работников должен устанавливаться работодателем с учетом требований ст. 86, ст. ст. 88 - 90 ТК РФ и отвечать целям защиты. Этот порядок конкретизируется в ряде специальных законов, регламентирующих деятельность различных органов и организаций применительно к персональным данным работающих в них работников. Например, в ст. 41.2 Федерального закона от 17 января 1992 г. N 2202-1 "О прокуратуре Российской Федерации" <1> установлено, что порядок ведения личного дела прокурорского работника, содержащего сведения об указанном работнике, о прохождении им службы в органах и учреждениях прокуратуры, повышении квалификации, устанавливается Генеральным прокурором РФ.
--------------------------------
<1> СЗ РФ. 1995. N 47. Ст. 4472.
Обязанность по обеспечению защиты персональных данных работника от неправомерного их использования или утраты возлагается на работодателя в силу того факта, что он является лицом, ответственным за получение, хранение, комбинирование, передачу и любое другое использование персональных данных работника, т.е. лицом, в соответствии с законом производящим обработку этих данных. В связи с этим работодатель обязан принять все меры по обеспечению сохранности персональных данных, их недоступности для третьих лиц без предварительного разрешения работника.
Установленное в ст. 86 ТК РФ правило об обязательном ознакомлении работников и их представителей с соответствующими документами организации, отражающими порядок обработки персональных данных, их права и обязанности, позволяет облегчить реализацию гарантированного права работника на доступ к полной информации о персональных данных и их обработке, а также права представителей работника на доступ к той информации, которая необходима им для защиты интересов работника. Это также дает возможность работнику вовремя обжаловать неправомерные действия, допущенные работодателем в отношении использования персональных данных работника.
Согласно ст. 89 ТК РФ в целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на полную информацию об их персональных данных и обработке этих данных; свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом; определение своих представителей для защиты своих персональных данных; доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ; требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях; обжалование в суд любых неправомерных действий или бездействия работодателя. Все эти права работника помогают ему осуществлять контроль за обеспечением конфиденциальности его персональных данных и за соблюдением правил их обработки.
В § 3 настоящей работы мы рассмотрим особенности применения мер ответственности за нарушения законодательства о персональных данных и начнем с мер дисциплинарной ответственности, действующей в рамках трудовых и служебных отношений.
§ 3. Применение мер дисциплинарной ответственности
Дисциплинарная ответственность как вид юридической ответственности применяется к работникам в рамках трудовых отношений согласно правилам ТК РФ и, как специализированный вид ответственности, к государственным служащим в соответствии с законодательством о государственной службе. Порядок применения мер ответственности в обоих случаях имеет много общего.
В трудовых отношениях, как и в служебных (под служебными отношениями мы в данном случае понимаем отношения, складывающиеся в сфере государственной службы и регулируемые специальным законодательством. - Н.П.) основанием для применения дисциплинарной ответственности выступает совершение работником (государственным служащим) дисциплинарного проступка, т.е. виновного неисполнения или ненадлежащего исполнения трудовых (служебных) обязанностей. Меры дисциплинарной ответственности применяются в случае совершения деяния, не причиняющего существенного вреда и не являющегося общественно опасным. Если же совершенное деяние повлекло за собой общественно опасные последствия и существенный материальный вред, могут быть применены другие меры юридической ответственности в соответствии с законодательством.
В рамках отношений государственной службы порядок обработки персональных данных государственных служащих регулируется гл. 7 Федерального закона "О государственной гражданской службе".
В трудовых отношениях меры дисциплинарной ответственности за нарушение правил обработки персональных данных могут быть применены к работнику только в том случае, если обработка персональных данных являлась трудовой функцией этого работника и была закреплена в трудовом договоре этого работника, его должностной инструкции, иных локальных нормативных актах, а перед вступлением в должность работник был ознакомлен под расписку с этими документами, а также с документами, устанавливающими порядок работы с персональными данными. В противном случае работник будет считаться невиновным, а ответственность за соответствующее правонарушение будет возложена на работодателя как не обеспечившего необходимую охрану персональных данных.
В случае же вины работника он может быть подвергнут дисциплинарному взысканию. Виды взысканий установлены в ст. 192 ТК РФ - это замечание, выговор или увольнение. Подпункт "в" п. 6 ст. 81 ТК РФ наделяет работодателя правом расторжения трудового договора по своей инициативе при разглашении работником охраняемой законом тайны, ставшей ему известной в связи с исполнением им трудовых обязанностей. Таким образом, за разглашение персональных данных работник может быть уволен.
Необходимо подчеркнуть, что поскольку применение мер дисциплинарной ответственности является правом (а не обязанностью) работодателя, именно от него зависит, насколько эффективно будет использоваться эта мера ответственности. Ведь конкретные составы проступков в законе не определены. Они устанавливаются на основе норм ТК РФ, трудового договора работника и документов локального нормативного регулирования. Можно сказать, что именно в этом и видится основная проблема применения данного вида ответственности. Российские работодатели традиционно не уделяют достаточно внимания внутреннему нормативному регулированию деятельности организации, что применительно к защите персональных данных работников может обернуться многочисленными нарушениями действующего законодательства. Ситуация усугубляется еще и тем, что применение мер дисциплинарной ответственности является внутренним делом работодателя, и для того чтобы применить взыскание к недисциплинированному работнику, требуется как минимум дисциплинированный работодатель.