Понятие и виды персональных данных. Порядок обработки персональных данных

ГЛАВА 10. ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОТНОШЕНИЙ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

План главы

1. Понятие и виды персональных данных. Порядок обработки пер­сональных данных.

2.Права и обязанности субъекта персональных данных.

3. Права и обязанности оператора при обработке персональных данных.

4. Контроль и надзор за обработкой персональных данных.

5. Ответственность за нарушение положений законодательства о персональных данных.

Понятие и виды персональных данных. Порядок обработки персональных данных

Появление и повсеместное использование информационно-теле­коммуникационных технологий в современном информационном обществе, с одной стороны, существенно упростили сбор, обработку, хранение и передачу данных, а с другой — создали очевидные угро­зы их незаконного оборота, что ведет к нарушениям прав личности. Информационные права и в их составе права субъектов персональных данных — неотъемлемая часть фундаментальных прав человека.

Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 г. Основные положения о защите неприкосновенности частной жизни и междуна­родных обменов персональными данными, в которых были зафикси­рованы основные принципы работы с персональными данными. Эти принципы получили развитие и конкретизацию в Конвенции Совета Европы «О защите физических лиц при автоматизированной обработ­ке персональных данных» (1981 г.). Затем система защиты персональ­ных данных развивалась в Директиве Европейского союза и Парла­мента 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц при­менительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997 г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. В 2001 г. Советом Европы был принят Дополни­тельный протокол к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, опре­деляющий статус наблюдательного органа, обеспечивающего защиту прав и фундаментальных свобод человека в отношении его персональ­ных данных.

В 2005 г. Россия ратифицировала Европейскую конвенцию «О защи­те физических лиц при автоматизированной обработке персональных данных». Согласно ее положениям наше государство должно было соз­дать адекватное национальное законодательство, реализующее прин­ципы этого международного акта. В 2006 г. был принят Федеральный закон «О персональных данных»[1]. Целью данного Федерального зако­на является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные могут охраняться и охраняются в настоя­щее время в различных режимах ограниченного доступа. Например, в режиме государственной тайны охраняются персональные данные лиц, имеющих отношение к государственным секретам, в режиме про­фессиональной тайны (врачебной тайны, нотариальной, адвокатской и т. п.) — персональные данные пользователей предоставляемых ус­луг, в режиме личной тайны — сведения о пристрастиях, привычках, интересах личности, в режиме семейной тайны — сведения о взаи­моотношениях членов семьи. Сферой действия Федерального закона «О персональных данных» являются отношения, связанные с обработ­кой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, орга­нами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуни­кационных сетях, или без использования таких средств, если обработ­ка персональных данных без использования таких средств соответ­ствует характеру действий (операций), совершаемых с персональны­ми данными с использованием средств автоматизации, т. е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персо­нальных данных, зафиксированных на материальном носителе и со­держащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Действие данного Федерального закона не распространяется на от­ношения, возникающие при:

1) обработке персональных данных физическими лицами исклю­чительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Рос­сийской Федерации и других архивных документов;

3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

4) предоставлении уполномоченными органами информации о де­ятельности судов в Российской Федерации.

Под персональными данными понимается любая информация, от­носящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, системати­зацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставле­ние, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

При этом, если обработка персональных данных происходит с по­мощью средств вычислительной техники, то речь идет об автоматизи­рованной обработке персональных данных.

Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных дан­ных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Фе­дерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществле­ния правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с за­конодательством Российской Федерации об исполнительном произ­водстве;

4) обработка персональных данных необходима для предостав­ления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»[2], для обе­спечения предоставления такой услуги, для регистрации субъекта пер­сональных данных на едином портале государственных и муниципаль­ных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или пору­чителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных дан­ных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональ­ных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для до­стижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной дея­тельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не на­рушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статисти­ческих или иных исследовательских целях, за исключением случаев, когда обработка осуществляется в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации, при условии обязательного обезличивания персональных данных;

10)осуществляется обработка персональных данных, доступ не­ограниченного круга лиц к которым предоставлен субъектом персо­нальных данных либо по его просьбе;

11)осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с феде­ральным законом.

Обработка персональных данных основывается на следующих принципах:

1. Обработка персональных данных должна осуществляться на за­конной и справедливой основе.

2. Обработка персональных данных должна ограничиваться дости­жением конкретных, заранее определенных и законных целей. Не до­пускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персо­нальные данные, обработка которых осуществляется в целях, несо­вместимых между собой.

4. Обработке подлежат только персональные данные, которые от­вечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатывае­мые персональные данные не должны быть избыточными по отноше­нию к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональ­ных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в фор­ме, позволяющей определить субъекта персональных данных, не доль­ше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка специальных категорий персональных данных, касающих­ся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, ин­тимной жизни, не допускается, за исключением случаев, когда:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом пер­сональных данных;

3) обработка персональных данных необходима в связи с реализа­цией международных договоров Российской Федерации о реадмиссии;

4)обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссий­ской переписи населения»;

5) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудо­вым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональ­ных данных либо жизни, здоровья или иных жизненно важных инте­ресов других лиц и получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных осуществляется в медико-про­филактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессио­нально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

8) обработка персональных данных членов (участников) обще­ственного объединения или религиозной организации осуществляет­ся соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмо­тренных их учредительными документами, при условии, что персо­нальные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

9) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасно­сти, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельно­сти, об исполнительном производстве, уголовно-исполнительным за­ конодательством Российской Федерации;

11) обработка персональных данных осуществляется в соответ­ствии с законодательством об обязательных видах страхования, со страховым законодательством;

12) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, госу­дарственными органами, муниципальными органами или организа­циями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

Обработка персональных данных о судимости может осущест­вляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законо­дательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

Обработка специальных категорий персональных данных, осу­ществлявшаяся в указанных случаях должна быть незамедлительно прекращена, если устранены причины, вследствие которых осущест­влялась обработка, если иное не установлено федеральным законом.

Особый порядок обработки установлен для биометрических персо­нальных данных — сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Биометрические персональные данные и сведения, которые ис­пользуются оператором для установления личности субъекта персо­нальных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, когда обработка осуществляться в связи с реализацией меж­дународных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а так­же в случаях, предусмотренных законодательством Российской Феде­рации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об опера­тивно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законо­дательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.

Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, установлены в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлени­ем Правительства РФ от 15 сентября 2008 г. № 687.

Обработка персональных данных, содержащихся в информацион­ной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными дан­ными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональ­ных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осу­ществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Федеральные органы исполнительной власти, органы исполни­тельной власти субъектов Российской Федерации, а также организа­ции вправе соответствующими нормативными актами устанавливать правила обработки персональных данных, осуществляемой без ис­пользования средств автоматизации, при обязательном учете требова­ний данного Положения.

Персональные данные при их обработке, осуществляемой без ис­пользования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных матери­альных носителях персональных данных, в специальных разделах или на полях форм (бланков). При этом не допускается фиксация на одном материальном носителе персональных данных, цели обработки кото­рых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без ис­пользования средств автоматизации (в том числе сотрудники органи­зации-оператора или лица, осуществляющие такую обработку по до­говору с оператором), должны быть проинформированы о факте обра­ботки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях об­рабатываемых персональных данных, а также об особенностях и пра­вилах осуществления такой обработки, установленных нормативны­ми правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

При использовании типовых форм документов, характер инфор­мации в которых предполагает или допускает включение в них персо­нальных данных, должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать све­дения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данны­ми, которые будут совершаться в процессе их обработки, общее опи­сание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменно­ го согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в доку­менте, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки кото­рых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональ­ные данные, необходимые для однократного пропуска субъекта персо­нальных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, за­прашиваемой у субъектов персональных данных, перечень лиц (по­ именно или по должностям), имеющих доступ к материальным но­сителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персо­нальных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на террито­рию, на которой находится оператор.

При несовместимости целей обработки персональных данных, за­фиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональ­ных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

Обработка персональных данных, осуществляемая без использо­вания средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. Необходимо обе­спечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.