Обязанности оператора при сборе персональных данных.
При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию[14]. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
· наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
· цель обработки персональных данных и ее правовое основание;
· предполагаемые пользователи персональных данных.
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий[15].
Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Контроль и надзор за выполнением требований, установленных Правительством РФ осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСО), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Уполномоченный орган по защите прав субъектов персональных данных.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи[16].
Субъекты персональных данных могут обращаться в уполномоченный орган по поводу содержания персональных данных, а также способов их обработки. Уполномоченный орган рассматривает обращения субъектов и принимает решение о коррекции персональных данных или изменении порядка их обработки.
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
· запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
· осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
· требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
· принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
· обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
· направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
· направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
· вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
· привлекать к административной ответственности лиц, виновных в нарушении законодательства в области персональных данных.
В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных обязан:
· организовывать в соответствии с требованиями законодательства РФ защиту прав субъектов персональных данных;
· рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
· вести реестр операторов;
· осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
· принимать в установленном законодательством РФ порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
· информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
· выполнять иные предусмотренные законодательством РФ обязанности.
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту РФ, в Правительство РФ и Федеральное Собрание РФ. Указанный отчет подлежит опубликованию в средствах массовой информации. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Лица, виновные в нарушении требований законодательства РФ о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность[17].
Подводя итог вышесказанному, сегодня можно говорить о том, что персональные данные – это информация о человеке, которая при помощи определенных способов, которыми располагает владелец массива данных или любой другой субъект, способна определить ее принадлежность к конкретному индивиду. Персональные данные – это не всегда конфиденциальная информация. Конфиденциальность следует рассматривать не как собственно признак информации персонального характера, а как необходимое условие правоотношений, складывающихся в связи и по поводу сбора, хранения, использования, распространения и иных операций с персональными данными. Персональные данные как объект правовой защиты целесообразно рассматривать в неразрывной связи с их материальным представлением, так как только в этом случае они приобретают статус юридически значимой информации. Наиболее сконцентрированное и обширное отражение персональных данных, являющееся объектом регулирования в трудовой сфере, находят в разнообразной по составу и значительной по объему кадровой документации (документации по личному составу), образующей соответствующую информационно-документацион-ную систему, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями, организациями, предприятиями и фирмами. Эта система имеет не только текущее, оперативное назначение в осуществление кадровых функций, но и является одновременно ценным социологическим, биографическим и археографическим источником для исследования и обобщения сложных социальных процессов, протекающих в современной России.
Контрольные вопросы:
1. Опишите историю правового регулирования персональных данных.
2. Дайте понятие персональных данных.
3. Перечислите принципы обработки персональных данных.
4. В каких случаях не требуется согласия субъекта персональных данных на обработку персональных данных о них.
5. Охарактеризуйте права субъекта персональных данных.
6. Охарактеризуйте обязанности оператора при сборе и обработке персональных данных.
7. Каковы права и обязанности уполномоченного органа по защите прав субъектов персональных данных?
[1] Официальный Журнал Европейских сообществ от 23.11.1995. № L.281. С. 31.
[2] Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. - М.: СПАРК, 1998. С. 106-114.
[3] Об информации, информатизации и защите информации: Федеральный закон от 20.02.1995 № 24-Фз. Ст. 2 // СЗ РФ. 20.02.1995. № 8. Ст. 609.
[4] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 3 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[5] Об информации, информатизации и защите информации: Федеральный закон от 20.02.1995 № 24-ФЗ. Ст. 21 // СЗ РФ. 20.02.1995. № 8. Ст. 609.
[6] ГОСТ 50922-96. Защита информации. Основные термины и определения. – М., 1996.
[7] ГОСТ 9327-60. Бумага и изделия из бумаги. Потребительские форматы // Госстандарт СССР. – М., 1960.
[8] Об информации, информатизации и защите информации: Федеральный закон от 20.02.1995 № 24-ФЗ. Ст. 2 // СЗ РФ. 20.02.1995. № 8. Ст. 609.
[9] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 5 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[10] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 6 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[11] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 8 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[12] Там же, Ст. 10.
[13] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 14 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[14] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 18 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[15] Там же, Ст. 19.
[16] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 23 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.
[17] О персональных данных: Федеральный закон от 27.07.2006 № 152-ФЗ. Ст. 24 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3451.