Механизм защиты права на неприкосновенность частной жизни при обработке персональных данных в информационных системах Текст научной статьи по специальности «Право»

УДК 342.72:004.7:004.056.5

Болотин В.С.,

доцент кафедры административного и финансового права Орловского филиала РАНХиГС при Президенте РФ, кандидат юридических наук, доцент

Маслёха М.А.,

главный специалист — эксперт отдела по защите прав субъектов персональных данных и надзора в сфере массовых коммуникаций

Управления Роскомнадзора по Орловской области

МЕХАНИЗМ ЗАЩИТЫ ПРАВА

на неприкосновенность

ЧАСТНОЙ жИЗНИ ПРИ ОБРАБОТКЕ

персональных данных

В ИНФОРМАЦИОННЫХ СИСТЕМАХ

Статья посвящена вопросам теории и практики, правового регулирования защиты. персональных данных в сфере частной жизни, человека в условиях стремительного развития технологий, и. изменений в законодательстве.

Ключевые слова: защита, неприкосновенность частной жизни, персональные данные, механизм, автоматизированные информационные системы,, оператор.

Содержание права на защиту персональных данных составляет исключение возможности каких-либо действий с персональными данными без согласия субъекта, а также обеспечение возможности субъектов персональных данных контролировать действия операторов обработки с их персональными данными1. Причем в данном случае презюмируется, что получение персональных данных осуществлено операторами с согласия их носителя либо иным законным способом.

Механизм защиты права на неприкосновенность частной жизни при обработке персональных данных в автоматизированных информационных системах включает следующие элементы: 1) объект защиты; 2) субъекты защиты; 3) меры защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных; 4) нормативно определенные процедуры реализации мер защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных.

Объектом защиты в данном случае выступает элемент комплексного конституционного права на неприкосновенность частной жизни граждан РФ — право на защиту персональных данных. К субъектам защиты права относятся органы государственной власти, общественные организации, а также сами граждане, носители персональных данных (субъекты персональных данных).

Государственной защите права отводится ведущая роль в механизме защиты права на неприкосновенность частной жизни при обработке персональных данных в автоматизированных информационных системах2.

Защита права на неприкосновенность частной жизни при автоматизированной обработке персональных данных общественными организациями и самозащита субъектов дополняют государственную защиту и носят факультативный характер. Обеспечение надлежащей защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных имеет для Российского государства значение обеспечения национальных интересов в информационной сфере.

Органы государственной власти, являющиеся субъектами государственной защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных, можно разделить на 2 группы:

1. Государственные органы, выполняющие общую правозащитную функцию; применяемые ими меры используются для защиты широкого круга конституционных прав и имеют универсальный характер. К данной группе относятся: органы судебной власти, прокуратура, органы внутренних дел.

2. Государственные органы, уполномоченные Федеральным законом «О персональных данных» по применению специальных мер государственной защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных. К данной группе относятся: федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, уполномоченный по защите прав субъектов персональных данных (Роскомнад-зор3); федеральный орган исполнительной

власти, уполномоченный в области обеспечения безопасности, осуществляющий контроль и надзор за обеспечением безопасности персональных данных при их обработке в информационных системах (ФСБ России4), федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, осуществляющий контроль и надзор за обеспечением безопасности персональных данных при их обработке в информационных системах (ФСТЭК России).

Анализ законодательства в сфере автоматизированной обработки персональных данных позволяет выделить следующие меры государственной защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных5:

— учет операторов обработки персональных данных в государственном реестре;

— контроль выполнения требований безопасности при обработке персональных данных в автоматизированных информационных системах;

— лицензирование и контроль соблюдения лицензиатами соответствующих требований и условий при осуществлении деятельности по технической защите персональных данных как вида информации ограниченного распространения;

— приостановление действия или аннулирование лицензии организации — оператора обработки, нарушившей конфиденциальность персональных данных, если условием лицензии является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

— административное приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований законодательства;

— привлечение лиц, виновных в нарушении законодательства в сфере защиты персональных данных, к гражданской, административной, уголовной ответственности;

— опубликование отчетов о состоянии защиты персональных данных в Российской Федерации в средствах массовой информации.

Некоторые из вышеперечисленных мер в силу нормативной неопределенности

процедур их реализации в настоящее время не могут быть применимы.

Учет операторов обработки имеет принципиальное значение в организации государственной защиты права на неприкосновенность частной жизни в условиях неконтролируемого роста объемов информации о гражданах в электронной форме, циркулирующей в информационных системах коммерческих и некоммерческих организаций, индивидуальных предпринимателей, государственных и муниципальных органов, учреждений. Совокупность данной информации позволит идентифицировать оператора обработки, нарушившего конфиденциальность персональных данных, установить ущерб нарушенным правам, проверить законность обработки персональных данных, ее соответствие заявленным целям.

Одна из гарантий защиты прав субъектов персональных данных6 — обязанность оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Федеральный закон «О персональных данных» закрепляет широкий перечень случаев осуществления обработки персональных данных без уведомления уполномоченного органа по защите персональных данных7.

Еще одной из основных процедур применения мер защиты права на неприкосновенность частной жизни при обработке персональных данных является обращение специально уполномоченного государственного органа с исковыми заявлениями в защиту прав субъектов персональных данных, представительство их интересов в суде (п. 5 ч. 3 ст. 23). На основании рассмотрения материалов формирующейся в настоящее время судебной практики представляется важным вопрос компенсации субъекту персональных данных морального вреда, так как в случае распространения персональных данных в отсутствие согласия субъекта невозможно возвратить ситуацию в первоначальное состояние, поскольку информация имеет свойства безвозвратного ресурса и ее получение другими лицами в большинстве случаев исключает возможность ее изъятия у них.

К основным правам субъекта персональных данных, подлежащим защите, относятся:

а) право на отзыв согласия на обработку его персональных данных (ст.ст. 6, 9);

б) право на доступ к информации об обрабатываемых персональных данных (ст. 14);

в) право требовать блокирования и уничтожения оператором персональных данных субъекта персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними, а также по достижении цели обработки (ст. 21).

Степень достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается во время проведения государственного контроля и надзора. При этом нет необходимости в обязательной реализации всех предусмотренных мер с точки зрения величины возможного ущерба, который может быть нанесен субъектам персональным данных вследствие непринятия этих мер.

Другая мера защиты права на неприкосновенность частной жизни при автоматизированной обработке персональных данных, процедура применения которой в настоящее время осложнена ввиду пробелов в законодательстве, — приостановление действия или аннулирование лицензии лицензиата — оператора обработки персональных данных, нарушившего конфиденциальность персональных данных. На основании анализа положений действующего законодательства можно сделать вывод, что для реализации указанной меры необходимо, чтобы нарушение конфиденциальности персональных данных было установлено в качестве грубого нарушения условий лицензии нормативным актом Правительства РФ в отношении конкретных лицензируемых видов деятельности, предусматривающих создание автоматизированных баз персональных данных.

В соответствии с Федеральным законом «О лицензировании» подлежат лицензированию такие виды деятельности, как: разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, вы-

полнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств; разработка и производство средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации8.

На практике нарушение требований Федерального закона «О персональных данных» может привести к конфискации несертифицированных средств защиты ин-формации9. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное программное обеспечение, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные.

Действенной защитой права является установление мер ответственности за нарушение законодательства о персональных данных. Виновные лица несут гражданскую, уголовную, административную, дисциплинарную ответственность.

Активная и успешная правовая самозащита личности предусматривает опору на органы прокурорского надзора10.

Гражданин может обратиться в суд с заявлением о восстановлении случайно или умышленно утраченных (уничтоженных, стертых) персональных данных в любых базах данных, об исправлении (замене) части персональных данных.

Гражданин также имеет право письменно направить обращение непосредственно в тот государственный орган, орган местного самоуправления или тому должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов11.

Анализ обращений граждан в Конституционный суд РФ за защитой нарушенных прав в сфере персональных данных показывает, что предметом обращений в Конституционный суд РФ были нормы Закона «О персональных данных».

Так, к примеру, оспаривались нормы, касающиеся права адвоката получать необходимые документы и сведения по его за-просам12. По мнению заявителя, отдельные нормы Закона «О персональных данных»,

определяющего категории персональных данных, условия обработки которых предусматривают специальный правовой режим доступа к ним, неконституционны, поскольку не позволяют адвокату самостоятельно истребовать сведения, которые содержат персональные данные, для предоставления их суду в качестве доказательств по делу.

Конституционный суд РФ отклонил эти доводы и разъяснил, что суд неоднократно указывал, что в силу ст. 24 ч. 2 Конституции РФ любая затрагивающая права и свободы гражданина информация (за исключением сведений, содержащих государственную тайну, сведений о частной жизни, а также конфиденциальных сведений, связанных со служебной, коммерческой, профессиональной и изобретательской деятельностью) должна быть ему доступна при условии, что законодателем не предусмотрен специальный правовой статус такой информации в соответствии с конституционными принципами, обосновывающими необходимость и соразмерность ее особой защиты. При этом Конституция РФ допускает возможность установления в отношении той или иной информации специального правового режима, в том числе режима ограничения свободного доступа к ней со стороны граждан (определения от 12.05.2003 № 173-О, от 29.01.2009 № 3-О-О13). С учетом этого исключение информации (относящейся к персональным данным), которая была запрошена заявителем, из режима свободного доступа полностью соответствует конституционным предписаниям. В противном случае под угрозой оказалось бы право на неприкосновенность частной жизни. Кроме того, адвокат не лишен возможности при рассмотрении конкретного дела с участием его доверителя обратиться к суду с ходатайством об истребовании доказательств, в т. ч. сведений, содержащих конфиденциальную информацию. В связи с этим оспариваемые нормы не затрагивают право граждан на получение квалифицированной юридической помощи и не являются препятствием для ее оказания.

Следует отметить, что аналогичный подход прослеживается и в некоторых актах Верховного суда РФ. В частности, подобный вывод был ранее сформулирован в определении СК по гражданским делам ВС РФ (от 12.05.2010 № 49-В10-5). То, что персональ-

ные данные относятся к специально охраняемой законом тайной, подтверждается также позицией Верховного суда РФ14.

Итак, все вышеизложенное позволяет сделать вывод, что механизм защиты права на неприкосновенность частной жизни при обработке персональных данных в ав-

томатизированных информационных системах включает: объект, субъекты, меры защиты права, а также нормативно определенные процедуры реализации мер защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных.

1 Федосин А.С. Защита конституционного права человека и гражданина на неприкосновенность частной жизни при автоматизированной обработке персональных данных в Российской Федерации. Автореф. ... дис. канд. юрид. наук. — М.: Изд-во Мордовского университета, 2009. — С. 7.

2 Ст. ст. 2, 45 Конституции Российской Федерации.

3 О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций. Постановление Правительства РФ от 16.03.2009 № 228 (в ред. 34.10.2011) // СЗ РФ. - 2009.

- № 12. - Ст. 1431; 2011. - № 21. - Ст. 2965.

4 О федеральной службе безопасности. ФЗ от 03.04.1995 № 40-ФЗ // СЗ РФ. - 1995. - № 15. -Ст. 1269; 2011. - № 50. - Ст. 7362.

5 См.: О персональных данных. ФЗ от 27.07.2006 № 152-ФЗ (в ред. 25.07.2011) // СЗ РФ. - 2006. -№ 31 (1 ч.). - Ст. 3451; 2011. - № 31. - Ст. 4701. - Ст.ст. 23, 24.

6 Терещенко Л.К. О соблюдении баланса интересов при установлении мер защиты персональных данных / Л.К. Терещенко // Журнал российского права. - 2011. - № 5. - С. 10.

7 О персональных данных. ФЗ от 27.07.2006 № 152-ФЗ (в ред. 25.07.2011) // СЗ РФ. - 2006. -№ 31 (1 ч.). - Ст. 3451; 2011. - № 31. - Ст. 4701. - Ст. 22, ч. 2.

8 О лицензировании отдельных видов деятельности. ФЗ от 04.05.2011 № 99-ФЗ // СЗ РФ. - 2011.

- № 19. - Ст. 2716. - Ст. 12, ч. 1, п.п. 1, 4, 5.

9 См.: Сердюк В. Практические аспекты реализации положений Федерального закона «О персональных данных» / В. Сердюк // Бухгалтерия и банки. - 2010. - № 5. - С. 35.

10 Смоленский М.Б., Колюшкина Л.Ю. Конституционное право Российской Федерации: Учебное пособие. - М.: Издательско-торговая корпорация «Дашков и К°»; Ростов н/Д: Наука-Пресс, 2006. - С. 141.

11 О порядке рассмотрения обращений граждан Российской Федерации. ФЗ от 02.05.2006 № 59-ФЗ // СЗ РФ. - 2006. -№ 19. - Ст. 2060. - Ст. 9, ч. 1.

12 Об отказе в принятии к рассмотрению жалобы гражданина Багадурова Магомеда Магомедовича на нарушение его конституционных прав подпунктом 1 пункта 3 статьи 6 Федерального закона «Об адвокатской деятельности и адвокатуре в РФ», статьей 10 Федерального закона «О персональных данных» и частью второй ст. 57 ГПК РФ [Электронный ресурс]. Определение Конституционного суда РФ от 29.09.2011 № 1063-О-О / Режим доступа http://www.ksrf.ru

13 Об отказе в принятии к рассмотрению жалобы гражданина Глушкова Николая Петровича на нарушение его конституционных прав статьями 3, 5, 6 и 9 Федерального закона «Об информации, информационных технологиях и о защите информации» и статьями 8 и 9 Федерального закона «О персональных данных» [Электронный ресурс]. Определение Конституционного суда РФ от 29.09.2011 № 1063-О-О / Режим доступа http://www.ksrf.ru

14 О практике применения судами Закона Российской Федерации «О средствах массовой информации». Постановление Пленума Верховного суда РФ от 15.06.2010 № 16 // Бюллетень Верховного суда РФ. - 2010. - № 8, п.п.15, 26.

Bolotin V.S., e-mail: bolt150586@mail.ru

Associate professor of the department of administrative and financial law of the Orel branch of RANE and CS under the President of the RF, Candidate of Juridical Sciences, associate professor. Masleha M.A., e-mail: vestnik.gmu@yandex.ru

Senior specialist-expert of the department of subjects' personal data protection and supervision in the sphere of mass communications of Roscomnadzor in the Orel region.

the mechanism of protection of the right of privacy in the processing

OF PERSONAL DATA IN INFORMATION SYSTEMS

The article is devoted to the theory and practice of legal regulation of personal data protection in the area of privacy rights in the face of rapid technological development and changes in legislation.

Key words: protection, privacy, personal data, mechanism, automated information systems, operator.