Персональные данные как объект правовой охраны

Размещено на http://www.allbest.ru/

Частное образовательное учреждение высшего профессионального образования

«Институт социальных и гуманитарных знаний»

ЧОУ ВПО «ИСГЗ»

Факультет очного и заочного обучения

Кафедра гражданского права и процесса

Выпускная квалификационная работа

на тему

«Персональные данные как объект правовой охраны»

студента 3 курса, группы 26.6.13-3.1, Иткинова Г.Р.

Научный руководитель Ситдикова Р.И.

Заведующий кафедрой

К.э.н., доцент Абрамов Н.А.

Казань - 2016



ВВЕДЕНИЕ

Еще в прошлом столетии английский писатель-фантаст Нил Гейман назвал информацию одной из валют, никогда не выходящим из моды. С этим сложно не согласиться. XXI век по праву можно назвать информационным, поскольку все сферы человеческой жизни так или иначе связаны с движением информационных потоков. Государство, как единый централизованный механизм управления, призвано обеспечивать всестороннюю правовую защиту граждан, в том числе и от несанкционированного доступа к информации третьих лиц в неправомерных целях. Как показывает практика, грубое нарушение информационных прав становится слишком частым явлением в современном обществе, что, без всякого сомнения, подчеркивает значимость выполнения информационной защиты со стороны государства. Главным образом, это касается вопроса наличия соответствующей нормативно-правовой базы и эффективной системы ее применения. В связи с чем видится актуальным рассмотрение государственно-правового механизма защиты информации, а именно института обращения персональных данных.

Охрана персональных данных - одно из направлений защиты информационных правоотношений.

По данным Академии IT более 50 % информации утекает из-за случайных причин и около 40% похищается умышленно. Больше всего (около 80%) происходит утечек персональных данных, а утечки коммерческой информации составляют только 2 % от общего числа потерь.

Одна из острых проблем защиты персональных данных в государственных и муниципальных органах - это утечка персональных данных из их информационных ресурсов. Практически все государственные и муниципальные органы создают в пределах своих полномочий информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве этих органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты. Анализ практики функционирования различных информационных систем показывает, что в основном утечка происходила либо из-за нарушения правил конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в принимаемых мерах защиты в системах.

С учетом особой роли информации в информационном обществе особое внимание уделяется защите информации от умышленных и неумышленных воздействий, уменьшающих прагматические и иные свойства информации.

Информационная безопасность - механизм защиты, обеспечивающий актуальность следующих прагматических свойств информации:

- конфиденциальность: доступ к информации только авторизованных пользователей;

- целостность: достоверность и полноту информации и методов ее обработки;

- доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.

Исторически сложились следующие направления защиты информации:

- организационная защита - комплекс мер по регламентации деятельности организации и ее работников, которая осуществляется посредством принятия нормативно-правовых актов, уменьшающих риск негативного воздействия на информацию, используемую в деятельности организации;

- техническая защита - использование специальных аппаратов, программных средств в этих же целях;

- правовая защита - принятие совокупности законодательных актов, нормативных документов, устанавливающих особый правовой статус определенной информации, правила ее создания, изменения, использования и удаления.

Следует подчеркнуть, что только комплексные меры по защите информации могут стать предпосылкой успешного решения задачи защиты информации.

Правовая защита информации всегда базируется на понятии права как общественного договора, поэтому на государство возложен мониторинг проблем в сфере оборота информации, в зависимости от общественной значимости этих проблем формулирование общеобязательных правил и норм поведения, фиксация этих правил и норм в законодательных и нормативных актах.

В настоящее время, характеризуемое бурным развитием информационных технологий, на первый план встает вопрос защиты персональных данных при их накоплении, обработке и передаче с использованием средств информатизации. Для регулирования информационных правоотношений в области персональных данных законодателем установлен целый ряд нормативно-правовых актов. Исходя из вышеизложенного, можно сказать, что вопрос защиты персональных данных в информационных системах очень актуален.

Цель данной работы рассмотреть основные нормативно-правовые акты, которые используются в сфере персональных данных для определения их правового статуса. Эта цель достигается за счет решения следующих задач: определения понятия персональных данных и их особенностей в нормативно-правовых актах, выделения основных источников законодательства, включающего в себя нормы права в области персональных данных.

Предметом работы являются нормативные правовые акты, регламентирующие охрану персональных данных, и регулирующие особенности обработки персональных данных в информационных системах.

Задачами работы является:

* Исследовать понятие и правовой режим персональных данных;

* Рассмотреть правовое регулирование охраны персональных данных;

* Изучить порядок обработки и передачи персональных данных;

* Исследовать законодательное регулирование обработки и передачи персональных данных;

* Проанализировать актуальные практические вопросы обработки и передачи персональных данных;

* Выявить проблемы правового регулирования охраны персональных данных;

* Определить перспективы правового регулирования охраны персональных данных.

Данная тема привлекает внимание таких исследователей как: Анисимов Л. Н., Гусов К. Н., Толкунова В. Н., Демидов Н. В., Егоров В. И., Харитонова Ю. В. Орловский Ю. П., Коссов И. А., Костян И. А., Михайлов И., Петров А. Я., Тихомиров М. Ю., Щур Д. Л., Щур-Труханович Л. В. и многих других.

Нормативно-правовой основой данной работы являются следующие нормативно-правовые акты: Конституция РФ, Трудовой кодекс РФ, Гражданский кодекс РФ и другие нормативно-правовые акты.

В работе применяются общие и частные методы исследования, в том числе описательный, историко-юридический, системно-правовой, формально-юридический, метод сравнительного анализа.

Работа состоит из введения, трех глав, заключения и библиографического списка, приложений.



Глава I. Теоретические основы правового регулирования в области персональных данных

1.1 Понятие, сущность и правовая природа персональных данных

Введенные в правовой оборот Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» и получившие значительное распространение в связи с принятием нового Трудового кодекса РФ персональные данные постепенно становятся неотъемлемой частью информационных процессов, связанных с обработкой, использованием и защитой сведений конфиденциального характера.

Персональные данные по смыслу Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» представляются в качестве информации, неразрывно связанной с личностью ее обладателя. Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления (ст. 2 ФЗ от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации), законодатель тем самым сохранил возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути. В основу такого рода системы по смыслу ст. 2 положены: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию).Городов О.А. Информационное право. - М.: Проспект, 2009 г., с.43

Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина.

Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.

Представленные в качестве динамичной монолитной категории, персональные имеют достаточно четкое внутреннее структурирование. Формирование в их составе ряда самостоятельных групп сведений обусловлено необходимостью их повышенной правовой защиты. В этой связи принято различать:

1) общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.

Федеральный закон «О персональных данных» предусматривает, что требование о конфиденциальности информации не распространяется применительно к персональным данным в случаях, прямо оговоренных федеральным законом. Следует отметить, что в настоящее время ни один из действующих федеральных законов не содержит прямого указания на возможность свободного использования конфиденциальной информации;

2) биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;

3) персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.

При этом следует отметить, что Федеральный закон «О персональных данных» не проводит принципиальных различий относительно внутреннего содержания персональных данных, представляя последние в качестве единого самостоятельного объекта правовой защиты. Подход такого рода вполне объясним целями, сформулированными разработчиками рассматриваемого нормативного акта, - обеспечением защиты конфиденциальности всего массива персональных данных без учета их содержания и степени относимости к личности обладателя.Городов О.А. Информационное право. - М.: Проспект, 2009 г., с.44

Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах.Бачило И.Л. Информационное право. - М.: Высшее образование, 2009 г., с.37 В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. Шалыгина Л.С. Нормативно-правовое регулирование работы с информационными системами и персональными данными. - М.: «Медицинское право», № 2, 2010 г., с.14

В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу Закона РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.



1.2 Права субъекта персональных данных

акт персональный конфиденциальный информация

Субъектом персональных данных может являться только физическое лицо. Одним из важнейших прав субъекта является право субъекта персональных данных на доступ к своим персональным данным.

Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

· подтверждение факта обработки персональных данных оператором, а также цель такой обработки

· способы обработки персональных данных, применяемые оператором

· сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ

· перечень обрабатываемых персональных данных и источник их получения

· сроки обработки персональных данных, в том числе сроки их хранения

· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных

В некоторых случаях, право субъекта на доступ к своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц. Стрельников В. Персональным данным - особую защиту // ЭЖ-Юрист. 2013. N 12, с. 6.

Особо отметим права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор обязан рассмотреть возражение в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Существует также право на обжалование действий или бездействия оператора. Руководствуясь этим правом, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Также закон регламентирует и обязанности оператора, которые неразделимо связаны с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

· наименование (фамилия, имя, отчество) и адрес оператора или его представителя

· цель обработки персональных данных и ее правовое основание

· предполагаемые пользователи персональных данных

· установленные настоящим Федеральным законом права субъекта персональных данных.



Глава II. Правовые основы защиты персональных данных

2.1 Базовые нормативные документы по защите конфиденциальной информации

Международные нормы.

В современном мире, в котором велики тенденции к интеграции между странами, международные нормы в значительной степени влияют на национальное законодательство. Законодательные органы большинства цивилизованных стран стремятся согласовать свои законы с международными нормами. Поэтому сначала рассмотрим международные нормы, направленные на защиту персональных данных.

В 1979 году была принята Резолюция Европарламента «О защите прав личности в связи с прогрессом информатизации». Резолюция предложила Совету и Комиссии Европейских сообществ разработать и принять правовые акты по защите данных о личности в связи с техническим прогрессом в области информатики.

В 1980 году принята Конвенция Европейского Союза «О защите лиц при автоматизированной обработке данных персонального характера».

Согласно этому документу, персональные данные, подвергающиеся автоматизированной обработке:

а) собираются и обрабатываются на справедливой и законной основе;

б) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;

в) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;

г) являются точными и, когда это необходимо, обновляются;

д) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных.

В 1980 году были приняты Рекомендации организации по сотрудничеству стран-членов Европейского Союза «О руководящих направлениях по защите частной жизни при межгосударственном обмене данными персонального характера».

В 1981 году государства-участники Европейского Союза одписали в Страсбурге Конвенцию «О защите физических лиц в отношении автоматической обработки персональных данных».

В Конвенции декларированы гарантии частным лицам соблюдения права на личную жизнь в аспекте автоматизированной обработки данных личного характера, в т.ч. при передаче таких данных через государственные границы, независимо от способа передачи.

В настоящее время вопросы защиты персональных данных детально регламентируются директивами Европарламента и Совета Европейского Союза. Это Директивы №95/46/ЕС и №2002/58/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», Директива №97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникации.

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

В соответствии со статьей 24 Конституции, органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечивать каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Статья 41 гарантирует право на знание фактов и обстоятельств, создающих угрозу для жизни и здоровья людей, статья 42- право на знание достоверной информации о состоянии окружающей среды.

В принципе, право на информацию может реализовываться средствами бумажных технологий, но в современных условиях наиболее практичным и удобным для граждан является создание соответствующими законодательными, исполнительными и судебными органами информационных серверов и поддержание доступности и целостности представленных на них сведений, то есть обеспечение их информационной безопасности.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, статья 29- право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации. Пфеффер А. Законодательство РФ в области персональных данных // Кадровый вопрос. 2014. N 5. С. 39.

Определяющим документом в сфере законодательства информации является Доктрина информационной безопасности Российской Федерации ПР-1895 от 09 сентября 2000 года.

Согласно этой Доктрины выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:

1. Соблюдение конституционных прав и свобод человека и гражданина.

2. Информационное обеспечение государственной политики Российской Федерации.

3. Развитие современных информационных технологий.

4. Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

В Доктрине перечислены угрозы, связанные с защитой персональных данных:

- противоправные сбор и использование информации;

- нарушения технологии обработки информации;

- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

- разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно- телекоммуникационных систем, в том числе систем защиты информации;

- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

- воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

- утечка информации по техническим каналам;

- уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

- перехват информации в сетях передачи данных и на линях связи, дешифрование этой информации и навязывание ложной информации;

- несанкционированный доступ к информации, находящейся в банках и базах данных и т.д.

2.2 Федеральные нормативные акты по обеспечению защиты информации и персональных данных

Следующим по значимости в сфере регулирования правоотношении в сфере компьютерной информации является Федеральный Закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Настоящий Федеральный закон регулирует отношения, возникающие при:

- осуществлений права на поиск, получение, передачу, производство и распространение информации;

- применений информационных технологии;

- обеспечений защиты информации;

Однако положения настоящего закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Этот закон устанавливает, что информация может являться объектом правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.

Классификация информации согласно категории доступа: общедоступная информация и информация ограниченного доступа. В этом смысле персональные данные граждан, если не оговорено иное в других законодательных актах, являются информацией ограниченного доступа.

Классификация информации согласно порядка ее предоставления и распространения:

1) Информация, свободно распространяемая;

2) Информация, предоставляемая по соглашению лиц, участвующих в соответствующих отношениях;

3) Информация, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

4) Информация, распространение которой в Российской Федерации ограничивается или запрещается.

Очевидно, что по этой классификации персональные данные относятся ко второму классу.

Закон вводит понятие обладателя информации.

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

В этом смысле лица или организации (в дальнейшем - операторы), которые хранят и обрабатывают персональные данные являются обладателями информации, поскольку именно они создали и структурировали данную информацию в электронном виде.

Закон устанавливает его права и обязанности обладателя информации.

Права обладателя информации:

1) Разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) Использовать информацию, в том числе распространять ее, по своему усмотрению;

3) Передавать информацию другим лицам по договору или на ином установленном законом основании;

4) Защищать установленным законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) Осуществлять иные действия с информацией или разрешать осуществление таких действий.

Обязанности обладателя информации:

1) Соблюдать права и законные интересы иных лиц;

2) Принимать меры по защите информации;

3) Ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Именно в связи с этими обязанностями и требуется осуществлять систему мероприятий по защите персональных данных, которые у него хранятся и обрабатываются, а именно обеспечить конфиденциальность и в то же время доступность этих данных, а в случае, если на основании этой информации системой автоматически принимается решения, влекущие юридические последствия, то и целостность информации.

В связи с этим, согласно данному закону, обладатель информации, оператор информационной системы в случаях, установленных законодательством РФ, обязаны обеспечить:

1) Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) Своевременное обнаружение фактов несанкционированного доступа к информации;

3) Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) Постоянный контроль над обеспечением уровня защищенности информации.

Федеральный Закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» является основным законом, рассматриваемым в моей работе. Поэтому его положения будут рассмотрены наиболее подробно.

Утверждение в обществе уважения к личности, ее достоинству на основе создания и соблюдения правовых норм, направленных на защиту прав и интересов человека и гражданина, в частности права на неприкосновенность частной жизни, требует выделения следующих основных приоритетов, обозначенных законодателем в настоящей статье 2 этого закона:

а) защита персональных данных (ПДн) лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных служб и органов, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;

б) обеспечение сохранности, целостности и достоверности данных на основе

- установления режима конфиденциальности соответствующих персональных данных;

- регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными;

в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности на основе прямого маркетинга.

В статье даются основные понятия, используемые в законе, с точки зрения юриспруденции. В частности, что такое персональные данные конкретно. Об этом было написано в начале работы.

В основу понятия «оператор» в процессе ее формирования законодателем было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Закон требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку.

Обработка персональных данных в информационных системах, в том числе их обнародования в средствах массовой информации, размещения в информационно-телекоммуникационных сетях осуществляется в соответствии с действующими требованиями к обеспечению безопасности конфиденциальной информации. Кроме получения согласия субъекта персональных данных на их обработку, до момента распространения, использования, блокирования, уничтожения, обезличивания информации, оператор обязан поставить в известность уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Письменное согласие на обработку персональных данных должно быть получено в случаях:

- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности. Политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

- обработки сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные);

- трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

В случаях нахождения в информационных системах неполных, устаревших, недостоверных и незаконно полученных персональных данных, право инициировать их блокирование или уничтожение, по смыслу настоящего Закона, наряду с оператором предоставляется субъекту персональных данных, который тем самым реализует возможности своего доступа к ним.

Требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности. Здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме этого, обеспечение конфиденциальности не требуется: в случае обезличивания персональных данных и в отношении общедоступных персональных данных. Последнее справедливо для лиц, занимающихся публичной деятельностью, в частности депутатов законодательных собраний.

Так же осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства - получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни.

Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. Такими являются: Федеральная служба безопасности (ФСБ), Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникации.

Законом вводятся пять основных принципов обработки персональных данных:

- Законность целей и способов обработки персональных данных и добросовестности;

- Соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- Соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- Недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Декларируя необходимость получения достоверных сведений для целей их обработки, закон допускает возможность проверки персональных данных на предмет соответствия их содержания объективной действительности. Таким образом, получение в указанном случае данных от третьих лиц не требует согласия на их обработку со стороны обладателя.

Закон возлагает бремя доказывания получения согласия субъекта персональных данных на их обработку на оператора (ст. 9 ч. 3).

В следующих случаях обязательно предоставление персональных данных к обработке:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности;

- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;

- обработка персональных данных необходима в связи с осуществлением правосудия;

- обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ;

- обработка персональных данных при осуществлении первичного воинского учета.

По запросу субъекта ПДн ему должны быть представлены его персональные данные, хранящиеся и обрабатывающиеся в ИС, кроме случаев предусмотренных иными законодательными актами. Кроме того, субъекту персональных данных могут быть предоставлены и дополнительные сведения, касающиеся обработки его персональных данных, независимо от того, были ли они обозначены в запросе или нет. В состав такого рода сведений включены:

- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

- способы обработки персональных данных, применяемые оператором;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В целях организации защиты персональных данных в информационных системах оператор должен придерживаться следующей схемы действии:

- уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (как правило, это Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникации).

- разработать документы, регламентирующие обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).

- создать систему защиты персональных данных, в т.ч. выполнить требования по инженерно- технической защите помещений.

- аттестовать или декларировать соответствие информационной системы персональных данных требованиям безопасности информации.

- систематически повышать квалификацию сотрудников в области защиты персональных данных.

Информационные системы персональных данных (ИСПД) представляют собой подкласс автоматизированных информационных систем (АИС).

Поэтому основные определяющие положения следует брать не только из нормативных актов, предназначенных для регулирования отношений в области оборота ПДн, но и для АИС.

Федеральный закон от 27 декабря 2002 года №184-ФЗ «О техническом регулировании» принят с целью регулирования правоотношений, возникающих при разработке, принятии и эксплуатации технических средств, применение которых связано с безопасностью.

Федеральный закон от 4 мая 2011 года №99-ФЗ «О лицензировании отдельных видов деятельности» служит для стандартизации в области соответствия требованиям безопасности и услуг, в том числе и информационных.

В совокупности эти законы позволяют создать правовую основу системы гарантирующей, что системы и услуги хранения, обработки, передачи и защиты персональных данных находятся на должном уровне и обеспечивают соблюдение интересов, как субъектов, так и потребителей персональных данных.



Глава 3. Персональные данные в актах гражданского состояния и обеспечение их защиты в органах ЗАГС

В системе органов ЗАГС накапливается важнейшая информация, связанная с различными этапами в жизни человека: рождением, установлением отцовства, бракосочетанием, разводом, усыновлением (удочерением) детей, переменой имени, смертью. Документы, создаваемые в органах ЗАГС, содержат информацию о личности, необходимую для социально-демографической статистики, для подтверждения различных прав (права собственности, наследования, на оформление пенсий и пособий), для доказательства юридически значимых фактов в суде и для выполнения социально-правовых запросов граждан.

Сведения о конкретных лицах, связанных с их личной жизнью, относятся к категории конфиденциальной информации и не подлежат разглашению. А.И. Исаченкова. Акты гражданского состояния как документная система: история и современность. НОУ ВПО «Западно-Уральский институт экономики и права. - Пермь, 2013., с. 231

В дореволюционной России основным источником информации о человеке, его рождении, семейном положении и смерти являлись метрические книги (приложение 1). Однако метрические книги мы можем рассматривать не с позиции разглашения и защиты персональных данных, содержащихся в них, а с точки зрения охраны от возможной фальсификации в записях и обеспечения сохранности самих книг.

Как отмечают исследователи, процесс внедрения мер по охране метрик происходил с большим трудом и был весьма длительным, так как «священники без должной ответственности относились к правовой стороне дела, не входившей в их культовые обязанности»Антонов Д.Н. Метрические книги: система защиты от фальсификации/Д.Н. Антонова, И.А. Антонова//Делопроизводство.1999.№1.с.67-72..

Разнообразие приемов и способов защиты информации метрических книг от фальсификации позволяет говорить о существовании целой системы такой защиты. Основными способами защиты метрических книг были: прежде всего ведение их в двух экземплярах (приходском и консисторском), а также наличие скрепы (общей и частной), полистная нумерация метрических тетрадей с заверительной надписью о количестве листов, шнур и сургучная консисторская печать. Одним из традиционных средств защиты российских метрических книг от подделки стал специальный типографский бланк с церковно-славянским шрифтом заголовков и водяными знаками. Следует упомянуть и о контроле правильности ведения метрик со стороны органов церковного управления: дважды в год (с 1779 года) записи проверял благочинный и удостоверял просмотр подписью. Логичным продолжением мер защиты метрик после окончания их заполнения была проверка наличия и физического состояния книг в архивах в течение всего периода хранения.

Таким образом, ценность метрических книг как одного из главных источников персональных данных заключалось в том, что они превращались в инструмент юридической доказательности.

В советский период защита ПДн в органах ЗАГС была связана с тайной усыновления. Правоведы считают, что первым нормативным документом, предусматривающим обеспечение тайны усыновления, был Кодекс о браке и семье РСФСР. В статье 110 КоБС содержались положения, гарантирующие тайну усыновления. Это изменение места и даты рождения усыновленного ребенка; запрет без согласия усыновителей, а в случае их смерти без согласия органов опеки и попечительства, сообщать какие-либо сведения об усыновлении или выдавать выписки из книг регистрации АГС, из которых было видно, что усыновители не являются кровными родителями усыновленного. А.И. Исаченкова. Акты гражданского состояния как документная система: история и современность. НОУ ВПО «Западно-Уральский институт экономики и права. - Пермь, 2013., с. 233

Специальные меры, обеспечивающие тайну усыновления, в российском праве закреплены в ряде статей (ст. 134, 135, 139) Семейного кодекса 1995 года. Лица, разгласившие тайну усыновления ребенка против воли усыновителей, могут быть привлечены к уголовной ответственности (ст. 155 УК РФ).

Обеспечению тайны усыновления органами ЗАГС посвящена статья 47 ФЗ от 15.11.1997 №143-ФЗ «Об актах гражданского состояния». В качестве общего правила установлено, что сведения, ставшие известными работнику органа ЗАГС в связи с государственной регистрацией АГС, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат (ст. 12, п. 1).

Вместе с тем в соответствии с этим законом руководитель органа ЗАГС обязан сообщать в орган социальной защиты населения, в налоговый орган, в орган, осуществляющий регистрацию юридических лиц и индивидуальных предпринимателей, в орган Пенсионного фонда РФ, в орган Фонда социального страхования РФ и в территориальный фонд обязательного страхования сведения о государственной регистрации смерти (ст. 12 п. 2) в порядке, установленном нормативными правовыми актами РФ. Федеральный закон от 15.11.1997 N 143-ФЗ (ред. от 28.11.2015) "Об актах гражданского состояния"//http://www.consultant.ru/