ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ Текст научной статьи по специальности «Право»

ОСОБЕННОСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИЙСКОЙ ФЕДЕРАЦИИ

Ю.В. Атнабаева, старший преподаватель Т.А. Салимова, студент Башкирский государственный университет (Россия, г. Уфа)

DOI:10.24412/2500-1000-2021-11-1-119-123

Аннотация. В данной статье на основе изучения нормативно-правовых актов, регулирующих сбор, хранение и использование информации, содержащей пресонифицирован-ные данные, представлен анализ правового института персональных данных в Российской Федерации. Рассмотрено взаимодействие субъектов персональных данных и операторов, а также возникающие из такого взаимодействия правовые последствия. Дана оценка соотношения развития информационного общества и законодательной инициативы, позволяющей своевременно реагировать на изменения, происходящие в данном правовом поле.

Ключевые слова: Персональные данные, субъект персональных данных, защита персональных данных.

Развитие информационных технологий, глобальная цифровизация вносят свои коррективы в современное общество, возросшая опасность использования персональных данных в мошеннических целях в связи с их утечкой, требует от законодателя совершенствования принятых законов и нормативно-правовых актов. Проблема правового контроля за процессом сбора, обработки и хранения таких данных становится особенно актуальной в контексте неприкосновенности частной жизни граждан.

Обращаясь к истории вопроса о правовом регулировании оборота персонифицированной информации, необходимо отметить, что один из первых международных законов о защите персональных данных был принят в 1981 году, в Страсбурге. Совет Европы, имея целью достижение большего единства между его членами, основанного, в частности, на уважении принципа господства права, а также соблюдении прав человека и основных свобод, учитывая желательность расширения гарантий прав и основных свобод для всех, и в частности права на уважение частной жизни, с учетом увеличения трансграничного потока персональных данных, подвергающихся автоматизированной обра-

ботке. Подтверждая вместе с тем свою приверженность свободе информации невзирая на границы, признавая необходимость согласования таких основных ценностей, как уважение частной жизни и свободное распространение информации между народами, принимает "Конвенцию о защите физических лиц при автоматизированной обработке персональных данных" [1].

Первые поправки к данному документу, одобренные Комитетом министров Совета Европы, позволяющие присоединение к Конвенции европейских сообществ были приняты уже 15 июня 1999 года [2].

Согласно Конвенции страна, подписывая документ, должна представить собственные требования технического характера к защите персональных данных, также необходимо принятие закона о защите таких данных, который позволит в полной мере зафиксировать предъявляемые условия.

Россия, ведущая переговоры о вступлении в ВТО с 1993 года, понимая, что это необходимый шаг для полноправного членства во Всемирной торговой организации, присоединяется к Конвенции 07 ноября 2001 года.

В целях исполнения международных

обязательств, появившихся в связи с подписанием и ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, 27 июля 2006 год в Российской Федерации был принят Федеральный закон № 152-ФЗ «О персональных данных» (далее -ФЗ), имеющий целью «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну» [3].

По мнению многих авторитетных специалистов, изучающих персональные данные, как правовую категорию, проблематика реализации норм данного закона заключается в том, что разработка и принятие документа были обусловлены мотивом, далеким от желания создать инструмент для регулирования области защиты персональных данных, которая на тот момент была новой для всех участников оборота персональных данных (далее - ПДн). Тем не менее, вступление в силу данного закона послужило началом постепенного формирования правовой культуры защиты персонифицированной информации.

Приняв ФЗ и дополнительные нормативно-правовые акты, призванные регулировать данную область, законодатель установил и специальный надзор за исполнением его положений, определив государственные организации, уполномоченные осуществлять контроль в данной сфере. Закон указывает на три ведомства Российской Федерации, на которые возложена данная обязанность: Федеральная служба по техническому и экспортному контролю [4] и Федеральная служба безопасности [5] (далее - ФСБ) ведут надзор за исполнением технических норм по защите ПДн, ФСБ дополнительно контролирует систему криптографической защиты информации, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций[6] (далее -Роскомнадзор) регулирует организационные меры и ведет реестр операторов, осуществляющих обработку персональных данных.

Таким образом, принятый 27 июля 2006 года закон о защите персональных данных, регламентируя подробный процесс обработки ПДн, практически не содержал положений, касающихся защиты таких данных.

Очевидно, что цифровые реалии меняются настолько стремительно, что законодатель не успевает своевременно реагировать на происходящие изменения. Персональная информация в эконмическом пространстве давно превратилась в товар, не смотря на приоритет защиты прав индивида, в том числе его конституционного права на неприкосновенность частной жизни.

Обратимся к статье 3 ФЗ «О персональных данных», в котором дается определение понятия «персональные данные».

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), указано в ФЗ. Там же, в части 2 дается понятие оператора, коим является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Данные отношения базируются на взаимодействии с одной стороны субъекта, обладающего некими персональными данными, с другой стороны оператора, который согласно ФЗ, получив от субъекта такие данные, передаст их обработчику, который обработает их в каких-либо целях по поручению оператора с помощью вычислительной техники, а при необходимости заблокирует или уничтожит полученную информацию. Предполагается, что согласие на обработку ПДн может быть отозвано (ч.2 ст.9 1ФЗ). В некоторых случаях субъект может выставить требование о прекращении действия согласия, направив обработчику требование по ч.2 ст.10.1 и по ч.2 ст.15 ФЗ. Следует учитывать, что

в случае отзыва согласия, оператор имеет возможность и далее обрабатывать полученные ранее данные, если имеются какие-либо иные основания, указанные в ч. 1 ст. 6 ФЗ, если же субъект выставил требование, то такая возможность исключается.

Согласно ч.4 ст.22.1 ФЗ ответственные за организацию обработки персональных данных несут определенные обязанности, например «организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов». Наличие у компании, осуществляющей обработку ПДн четкой процедуры по запросам и обращениям субъекта ПДн является важным элементом деятельности. Однако следует учитывать разницу между «ответственным за организацию обработки ПДн» и «ответственным за обеспечение безопасности ПДн в информационных системах», так как эти лица выполняют принципиально разную деятельность. Ответственный за организацию обработки ПДн назначается и выполняет свои обязанности в соответствии со ст. 22.1 ФЗ, осуществляя контроль по соблюдению положений ФЗ. Ответственный за обеспечение безопасности ПДн в информационных системах назначается в соответствии с п. 14 Постановления Правительства РФ №1119-П от 01.11.2012 г.[7], обеспечивая выполнение положений ст. 19 ФЗ применительно к конкретной информационной системе ПДн.

Проблема заключается в том, что субъекты данных отношений зачастую не имеют четкого понятия, какие данные являются персональными и подлежат обработке в соответствии с законодательством РФ. Например, некоторые коммерческие организации, пытаясь легализовать обработку ПДн, собирая только e-mail адреса, номера телефонов или только фамилии и инициалы субъектов - называют такие данные «обезличенными». Однако данные действия можно определить как минимизированный сбор ПДн (ст.5 ФЗ). Роскомнадзор неоднократно высказывал свою позицию касательно этого вопроса - обезличивание

ПДн возможно методами, которые определены законодательно. Коммерческие организации на настоящий момент таких методов не имеют. Кроме того, шифрование и хеширование, являясь одним из способов защиты ПДн, не являются методом обезличивания.

В данном случае нужно принимать во внимание тот факт, что информация в системе e-mail имеет серверную составляющую и, соответственно отвечает признакам определения «База данных», указанных в ч.2 ст.1260 ГК РФ [8] .

Система e-mail используемая для внутренних коммерческих процессов, попадает под признаки, указанные в определении информационных систем ПДн, а легализация обработки ПД в такой системе требует решения вопросов связанных с локализацией ПДн (ч.5 ст.18 ФЗ) и трансграничной передачей ПДн (ст.12 ФЗ). Безусловно, легализация e-mail системы напрямую зависит от ее объединения с иными информационными системами и в большей степени от тех целей и принципов, которые ставит перед собой конкретная организация в процессе использования такой системы.

При трансграничной передаче ПДн в страны с низким уровнем защиты прав субъектов ПДн (п.1 ч.4 ст.12 ФЗ), коммерческой компании необходимо получить согласие от субъекта ПДн в письменной форме. Однако возможна замена письменного согласия на безвозмездный договор с субъектом ПДн.

Трансграничная передача данных представляет собой передачу оператором ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или юридическому лицу.

Кроме трансграничной передачи данных коммерческой компании может потребоваться письменное согласие от субъекта ПДн в следующих случаях:

- обработка персональных данных, разрешенных субъектом ПДн для распространения (ст. 101 ФЗ)

- обработка специальных категорий ПДн (п. 1 ч. 2 ст. 10 ФЗ)

- обработка биометрических ПДн (ч. 1

ст.11 ФЗ)

- принятие решений, влекущих за собой юридические последствия в отношении субъекта ПДн иои иным образом затрагивающие его права и законные интересы, но основании исключительно автоматизированной обработки ПДн (ч. 2 ст. 16 ФЗ)

- включение в общедоступные источники.

Условия обработки персональных данных - договор с субъектом ПДн и согласие субъекта ПДн есть не равнозначные понятия, так как порождают разные правовые последствия как для оператора, так и для субъекта ПДн. Если в какой-либо договор вносится текст согласия, то оно (согласие) обретает статус договорного условия и возникающие вопросы по изменению или расторжению такого договора не регламентируются ФЗ. Если в согласия сторонами вносятся взаимные обязательства, то такое согласие наделяется признаками договора. В документы, при подготовке которых неявно отделены условия (основания) обработки ПДн, целесообразнее внести соответствующие изменения, поскольку в будущем могут возникнуть сложности в управлении правайси - соответствием или в работе регламента обращений - запросов.

Множество вопросов вызывают рекламные звонки или рекламная рассылка. В данном случае следует определить, является ли рекламное предложение персонифицированным. «Вы обращались к нам..», «вы являетесь нашим клиентом...» - это примеры отсылок к конкретной личности. Субъект ПДн в свою очередь имеет право проверить, дано ли им согласие на обработку ПДн (возможно наличие договора, пользовательского соглашения) и

при необходимости направить оператору требование о прекращении обработки персональных данных. Если оператор игнорирует требования, необходимо обратиться в контролирующий данные вопросы орган -Роскомнадзор.

В сложном информационно-цифровом пространстве каждый человек так или иначе оставляет цифровой след. Постоянное участие в обмене информацией, осознанное или вынужденное, приводит к тому, что персональные данные зачастую являются основным содержанием цифрового присутствия. Риск неконтролируемого использования ПДн в таком случае возрастает во много раз. Несовершенство законодательства, недобросовестные операторы, отсутствие должного контроля - все это создает предпосылки для множественных нарушений в сфере оборота персональных данных.

Развитие института защиты персональных данных в Российской Федерации происходит в сложных условиях быстро развивающегося информационного общества. Нормы, входящие в данный правовой институт, составляют совокупный комплекс, в структуру которого включены не только основы применения и использования информации, содержащей персональные данные, но и нормативно-правовые акты, призванные упорядочить данный процесс.

Учитывая, что персональные данные являются одним из видов конфиденциальной информации, совершенствование правовых механизмов, регулирующих и осуществляющих контроль за оборотом ПДн, совершенствование средств и механизмов защиты такой информации является актуальной задачей всего государственного аппарата Российской Федерации.

Библиографический список

1. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Заключена в г. Страсбурге 28.01.1981) (вместе с Поправками к Конвенции о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющими присоединение европейских сообществ, принятыми Комитетом Министров в Страсбурге 15.06.1999) // Официальный сайт Совета Европы [Электронный ресурс]. URL:https://www.coe.int/ru/web/conventions/full-list?module=treaty-detail&treatynum=108

2. Поправки к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ N 108), позволяющие присоединение Ев-

ропейских сообществ (приняты Комитетом министров в Страсбурге 15.06.1999 г.) // Официальный сайт Совета Европы [Электронный ресурс]. URL:https://www.coe.int/ru/web/conventions/full-list?module=treaty-detail&treatynum=108

3. Федеральный закон от 27.07.2006 N 152-ФЗ (с последними изм. и доп. от 02.07.2021 N 331-ФЗ ) "О персональных данных") // Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

4. Указ Президента РФ от 9 марта 2004 г. N 314 "О системе и структуре федеральных органов исполнительной власти" (в ред. от 20.11.2020 г. указ № 719) // Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

5. Указ Президента РФ от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" (в ред. от 01.06.2021 г. указ № 334) // Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

6. Постановление Правительства Российской Федерации от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (с изм. и доп. от 17.08.2021 г.) // Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

7. Постановление Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"// Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

8. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ (с изм. и доп., вступившими в силу 28.06.2021 N 225-ФЗ) // Официальный интернет-портал правовой информации [Электронный ресурс]. URL:http://www.pravo.gov.ru/ (дата обращения: 01.11.2021).

FEATURES OF PERSONAL DATA SECURITY IN THE RUSSIAN FEDERATION

Yu.V. Atnabaeva, Senior Lecturer T.A. Salimova, Student Bashkir State University (Russia, Ufa)

Abstract. This article presents an analysis of the legal institution of personal data in the Russian Federation based on the study of the regulatory legal acts governing the collection, storage and use of information containing personified data. The interaction of personal data subjects and operators, as well as the legal consequences arising from such interaction, is considered. An assessment of the correlation between the development of the information society and the legislative initiative is given, which makes it possible to respond in a timely manner to changes in this legal field.

Keywords: Personal data, subject of personal data, personal data protection.