CC BY
135
7
УДК 004. 056
8.6 Правовое регулирование обработки персональных данных в России
©Машекуашева М. Х., Геляхова Л. А." Северо-Кавказский институт повышения квалификации (филиал) Краснодарского университета МВД России, г. Нальчик, Российская Федерация ae-mail: Lel4993@rambler.ru
a
Аннотация. В статье анализируются процедуры правового регулирования порядка обработки, хранения и передачи персональных данных. Цель написания статьи авторы видят в проведении анализа эффективности работы правовых механизмов, связанных с обработкой и хранением персональных данных, рассмотреть средства защиты информации, проанализировать информационный рынок, рассмотреть правовые механизмы защиты данных и степень разработанности обеспечения защиты данных. Авторы рассматривают и анализируют основные угрозы целостности информации и средства защиты от них. Действующее трудовое законодательство нацелено на обеспечение безопасности персональных данных независимо от формы собственности работодателя и его структурной организации. Авторы рассматривают динамику и масштабы преступлений информационной направленности, о чем свидетельствуют следующие данные, Главного информационного центра МВД России за последние 10 лет количество таких преступлений возросло в 22,3 раза и продолжает увеличиваться, в среднем в 3,5 раза ежегодно. Приводятся теоретический и методологический анализ на основе работ: Конева А.А., Сидоркина И.П., Коробейникова А.Г., Петренко С.А., Шилякиной Е.С., Киселева И.А., Никульченковой Е.В. сфере информационной безопасности, что позволит сделать заключение о том, что направление информационной безопасности в настоящее достаточно востребовано. На современном этапе развития общества именно защита персональных данных становится одним из самых актуальных вопросов. В заключении авторы делают вывод, что Трудовой кодекс Российской Федерации определяет общие положения защиты персональных данных работника: понятие, требования, особенности хранения, передачи, права работников и ответственность за нарушение норм, а возникающие в процессе трудовых отношений, вопросы защиты персональных данных работника регулируются отдельным документом Федеральный закон от 27.07.2006 N 152-ФЗ «О защите персональных данных».
Ключевые слова: персональные данные, хранение информации, оператор, работник, защита прав.
Для цитирования: Машекуашева М. Х., Геляхова Л. А. Правовое регулирование обработки персональных данных в России // Проблемы экономики и юридической практики. 2020. Т. 16. №5. С. 207-211.
Abstract. The article analyses the procedures of legal regulation of the procedure of processing, storage and transfer of personal data. The authors analyze the effectiveness of legal mechanisms related to the processing and storage of personal data. The current labor legislation is aimed at ensuring the personal data security regardless of the employer's form of ownership and its structural organization. The authors consider the dynamics and scale of crimes of information orientation, as evidenced by the following data, the Main Information Center of the Ministry of Internal Affairs of Russia over the past 10 years, the number of such crimes has increased by 22.3 times and continues to increase, on average, by 3.5 times annually. A work-based theoretical and methodological analysis is provided: Koneva A.A., Sidorkina I.P., Korobeinikova A.G., Petrenko S.A., Shilyakina E.S., Kiseleva I.A., Nikulchenkova E.V., which will allow us to conclude that the information security direction is currently in high demand. The article reviews and analyzes the main threats to information integrity and means of protection against them. Information protection means are considered, the information market is analyzed, legal mechanisms of data protection are considered, and the degree of data protection is developed. At the current stage of society development, it is personal data protection that is becoming one of the most important issues. Based on the results of the study, the authors conclude that the Labor Code of the Russian Federation defines the general provisions for the protection of personal data of an employee: the concept, requirements,
Legal regulation of personal data processing in Russia
©M. H. Mashekuasheva, ©L. A. Gelyakhova3 North-Caucasian Advanced Training Institute (branch) of the Krasnodar University of the Ministry of Internal Affairs of Russia, Nalchik, Russian Federation ae-mail: Lel4993@rambler.ru
а
specifics of storage, transfer, rights of employees and responsibility for violations of norms, and arising in the process of labor relations, the issues of employee data protection are regulated by a separate document of the Federal Law of 27.07.2006 N 152-FZ «On protection of personal data».
Keywords: personal data, information storage, operator, employee, protection of rights.
For citation: Mashekuasheva M. H., Gelyakhova L. A. Legal regulation of personal data processing in Russia // Economic problems and legal practice. 2020. Vol. 16. №5. P. 207-211.
ВВЕДЕНИЕ
С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и процессами глобализации информация приобретает цену, соответственно проблема надежного обеспечения сохранности информации является одной из актуальных проблем современности.
Теоретической и методологической основой исследования являются труды Конева А.А, Сидоркина И.П., Коробейникова А.Г., Петренко С.А., Шилякиной Е.С., Киселева И.А., Никульчен-ковой Е.В. сфере информационной безопасности и рассмотрены статистические данные. Этот анализ позволил сделать заключение о том, что направление информационной безопасности в настоящее достаточно востребовано. В исследовании рассмотрены и проанализированы основные угрозы целостности информации и средства защиты от них. Рассмотрены средства защиты информации, проанализирован информационный рынок, рассмотрены правовые механизмы защиты данных и степень разработанности обеспечения защиты данных.
ВОПРОСЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Защита персональных данных становится одним из самых актуальных вопросов современности. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) «О персональных данных» глава 3 дает следующее определение персональных данных - любая информация, относящаяся прямо или косвенно к определенному физическому лицу (субъекту персональных данных). В то же время, это очень широкое понятие, поскольку оно включает любую информацию, которая может быть использована самостоятельно или в сочетании с другими частями информации для идентификации человека. Персональные данные также может включать информацию, такую как финансовая информация или даже, в некоторых случаях, ^-адрес. Кроме того, некоторые категории персональных данных требуют более высокого уровня защиты при их обработке в информационных системах (Утв. Постановлением Правительства № 1119 от 01.11.2012) установлены 4 уровня защищенности персональных данных, различающихся перечнем необходимых к выполнению требований по защите информационных систем данных из-за их конфиденциального характера, например, отношение к религии, генетические данные, данные о состоянии здоровья, сведения о судимости и много другой информации.
Если брать во внимание зарубежный опыт, в Нидерландах, в частности, был принят специальный Декрет «Об особо уязвимых сведениях» 1993 года, согласно которому «ограничивается или запрещается сбор и обработка информации «деликатного» характера.
В Великобритании не допускается, за рядом исключений, сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и ум-
ственном здоровье, сексуальной жизни, судимости. В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников» [1, с. 32].
Важно отметить, что далеко не каждый гражданин четко понимает, какая информация считается персональными данными и как может быть передана другим людям. Граждане не всегда готовы предоставлять кому-то право обрабатывать их личные данные. Конфиденциальность часто воспринимается как эфемерная вещь, и люди не до конца осознают ее ценность, и есть риск, что личные данные будут поступать другим людям. По мнению специалистов по информационной безопасности, персональные данные можно сравнить с ключами от вашей квартиры, которые опрометчиво оставляют везде, как будто они раздают все ключи от собственного дома и надеются, что ими никто не воспользуется [2].
Таким образом, любая организация (оператор), имеющая доступ к данным своих сотрудников или других субъектов должна гарантировать безопасность и конфиденциальность информации о них.
В России основу правового регулирования в области защиты персональных данных составляет Федеральный закон от 27.07.2006 N 149-ФЗ, закрепляющий основополагающие личные права человека, порядок хранения информации. Порядок обработки персональных данных регулируется Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - ФЗ «О персональных данных»), согласно которому организации обязаны обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Контроль данных требований возложен на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральную службу по техническому и экспортному контролю и Федеральную службу безопасности.
Президентом Российской Федерации подписан Указ от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела». Важно отметить, что данные нормативные акты отражает принципы защиты и обработки персональных сведений, принятые в европейских странах.
Согласно Указу Презента РФ, от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» работодатель обязан обеспечить конфиденциальность персональных данных работников, а их передача третьи лица осуществляется только с согласия работника. Обеспечение конфиденциальности не требуется, если это касается информации являющейся общедоступной. На практике вопрос конфиденциальности сегодня достаточно актуален из-за масштабных негативных последствий незаконной передачи
208 Economic problems and legal practice
Vol. 16, №5,2020
ISSN 2541-8025(print) ISSN 2712-7605(online)
данных от оператора к третьему лицу и последующего распространения данных.
Важно отметить, что во многом результаты труда оператора персональных данных, является результатом служебной деятельности, так как в их ведении находится большой объем персональных данных лиц, находящихся в его подчинении. В связи с этим операторы могут использовать незаконно, путем продажи баз данных о клиентах и сотрудниках. Выше сказанное свидетельствует о наличии условий для нарушения прав работников, ах защита регулируется нормативными актами, так В Трудовом кодексе РФ выделена отдельная глава 14 регламентирующая данный вопрос, а статья87 ТК РФ обработка персональных данных работника, включает в себя хранение и использование информации.
Если обратиться к ФЗ «О персональных данных», то использование персональных данных рассматривается как одно из самостоятельных действий (операций) с персональными данными [4, с. 143]. Каждый оператор данных, который участвует в обработке любых категорий персональных данных на территории России, а также кто использует персональные данные информационных систем или баз персональных данных обязаны подать уведомление в Роскомнадзор в порядке регистрации в реестре операторов передачи данных. Согласно официальной позиции Роскомнадзора, требование уведомления/регистрации применяется российским юридическим лицам и представителям / филиалам иностранных юридических лиц, которые участвуют в обработке данных на территории России. В то же время иностранные юридические лица обязаны соблюдать иные нормы российского законодательства в отношении персональных данных.
С целью обеспечения политики безопасности организации, создания безопасной информационной среды, необходимы мероприятия по аудиту безопасности согласно Федерального закона «Об аудиторской деятельности» от 30.12.2008 N 307-ФЗ. Основные области аудита включают изучение доступных политик безопасности, стандартов, руководящих принципов выявление существующих пробелов и рисков в области безопасности; и рекомендации по обеспечению безопасности улучшения. Аудиты безопасности должны проводиться периодически для обеспечения соблюдения политики безопасности и защиты персональных данных работника [5].
В ТК РФ в ст. 65 закрепляется перечень документов, которые работник должен предоставить при поступлении на работу. Хотелось бы обратить внимание на тот факт, что в ст. 65 ТК РФ в перечне документов, которые должны быть представлены работником при поступлении на работу, отсутствуют анкета, автобиография, рекомендательные письма и т.д., следовательно, по общему правилу работодатель не может требовать их предъявления. Тем не нее работник, с целью предоставления максимальной информации о себе заполняет анкету, утверждённой формы которой нет, и тем самым предоставляет работодателю персональные данные о себе, которые он мог не предоставлять.
Ранее отмечалось, что информация о персональных данных может быть предоставлена третьим лицам только с письменного согласия работника.
Однако в статье 88 ТК РФ закрепляется положение исходя из которого, в исключительных случаях информация может быть предоставлена без согласия работника в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим кодексом или иными федеральными законами» [6, с. 71]. При этом в за-
коне не приводится список данных случаев, что вносит правовую неопределенность.
Так же, важно отметить, что оператор данных может заключить договор с третьей стороной и передать личные данные, которые необходимо обработать. В таком договоре стороны должны согласовать перечень операций, которые могут включать данные, цели обработки, конфиденциальность и обеспечение безопасности данных. Верховный Суд Российской Федерации в своем решении от 1 августа 2016 года по делу № 78-КГ17-45 указал, что согласие на передачу данных от оператора третьей стороне не является обязательным, когда оператор осуществляет свое право на назначать претензии по контракту или оператор передает данные при выполнении контракта (в котором субъект данных является стороной). В противном случае этот вид незаконной передачи данных от оператора третьей стороне (в этом случае данные были переданы в соответствии с агентским соглашением) представляет собой нарушение данных.
Информационно-коммуникационные технологии (ИКТ) в настоящее время играют значительную роль на предприятиях, так как используются во всех аспектах трудовой деятельности, обеспечивают расширение коммуникации и распространения информации в сети интернет. Как для работодателей, так и для наемных работников существуют определенные подводные камни. Новые технологии могут контролировать их в процессе трудовой деятельности (если работа отдаленная), а также аспекты их личной жизни, что актуализирует степень конфиденциальности и контроля. Персональные данные 5 миллионов граждан России были проданы на черном рынке в сентябре 2017 года [7]. СМИ сообщают, что данные в основном были перенесены из баз данных страховых компаний. Страховые компании нарушили процедуры обработки данных и передачи их третьим лицам, не обеспечив конфиденциальность, что и стало причиной нарушений данных. Как правило, страховые компании нарушают процедуры обработки и передачи данных, что может привести к подобным нарушениям. В результате: штрафные санкции, потеря клиентов, испорченная репутация.
Проблема несанкционированной обработки данных возникает не только в том случае, если данные относятся к конкретным субъектам данных, но и при обработке больших данных для пользователей, аффилированных с одной компанией другой компанией без какого-либо разрешения. Один из популярных российских соцсетей, «ВКонтакте», подал иск в Арбитражный суд Москвы против компании ООО «Дабл» (под брендом Double Data) и Национального Бюро Кредитных Историй в январе 2017 года. Компании были привлечены к ответственности за несанкционированный сбор общедоступной информации, касающейся пользователей ВКонтакте, с целью оценки их кредитоспособности и последующей продажи этой информации банкам. Двойные данные, извлеченные из информации «Вконтакте», об именах пользователей, местах их учебы и работы, их друзьях на их страницах, их датах рождения и местах жительства, фотографиях и информации о типах устройств, которые они используют для входа в социальные сети. Все эти действия были совершены без какого-либо разрешения со стороны «Вконтакте» или самих пользователей на сбор и использование такой коммерческой информации из сети. В соответствии с условиями использования Вконтакте, все пользователи дают согласие на обработку своих публичных данных «Вконтакте» в качестве оператора данных, но не на обработку данных, выполняемую третьими лицами. ООО «Дабл» и
«Вконтакте» заключили мировое соглашение, которое обязывало ООО «Дабл» не использовать большие данные из «Вконтакте» без получения разрешения, а вместе с этим Вконтакте не будет подавать никаких претензий в этом вопросе в отношении ООО «Дабл». Так что дело касалось спора между «Вконтакте» и ООО «Дабл» было частично урегулировано [8].
С 1 сентября 2015 года вступили в силу поправки в Федеральный закон «О персональных данных», касающиеся локализации данных. Ряд компаний по-прежнему находятся под угрозой принудительного прекращения всей своей деятельности в России, поскольку они не соблюдают правила локализации данных. Согласно поправкам, внесенным в ч. 5 ст. 18 рассматриваемый закон, операторы персональных данных должны обеспечить регистрацию, систематизацию, накопление, хранение, исправление (обновление и изменение) и извлечение персональных данных российских граждан на вебсерверах в базах данных, расположенных в России.
На практике возникают проблемы с неверным толкованием требования о «локализации» персональных данных российских граждан, т. е. как запрета на хранение их персональных данных за рубежом. Важно обеспечить, чтобы первоначальный сбор персональных данных российских граждан осуществлялся с использованием баз данных, расположенных в России; затем, в дальнейшем, в соответствии с соответствующими требованиями к трансграничной передаче данных, персональные данные могут быть переданы за рубеж, если это необходимо [9]. То же самое требование касается внесения изменений в персональные данные: сначала они должны быть внесены здесь, в России, а затем за рубежом.
Некоторые иностранные компании имеют филиалы или представительства в России, но обрабатывают данные российских граждан за рубежом в силу определенных глобальных внутрикорпоративных процессов. Такие компании должны соблюдать российское законодательство о хранении данных. Законы о хранении данных также накладывают обязательства на иностранные компании, не имеющие филиалов
или представительств в России, поскольку они собирают персональные данные о российских гражданах во время своей деятельности в России. За несоблюдение законодательства о хранении данных компании могут быть включены в специальный реестр компаний.
Дело против LinkedIn (a business-focused social media network) является знаковым случаем в вопросе локализации данных. Российские власти заблокировали LinkedIn за несоблюдение правил по локализации данных [10]. Суд признал сеть виновной в нарушении российского законодательства о хранении данных. Помимо этого, нарушения, суд выявил нарушения, связанные не только со сбором данных о пользователе, но и с обработкой и передачей данных без согласия пользователей.
Передача баз данных Facebook и Twitter в Россию, активно обсуждается, поскольку ранее Роскомнадзор объявил, что проверки будут проведены в 2018 году. Однако данные представлены не были, в связи, с чем Роскомнадзор завел административное дело против компаний, управляющих Facebook и Twitter [11].
ВЫВОДЫ
Пробелы, имеющиеся в законодательстве в рамках реализации мер по защите персональных данных, устраняются, так изменения в 2019 году внесены в статью КоАП РФ ист. 13.11 вместо одного состава правонарушения предусматривает семь, повышены штрафы за неправильную обработку персональных данных сотрудников и максимальный штраф составляет 75 тыс. рублей. Важно отметить, что Роскомнадзор также может инициировать блокировку сайтов за конкретные нарушения [12]. Например, в случае несоблюдения закона о хранении данных Роскомнадзор по решению суда вносит компанию в специальный реестр компаний, нарушивших правила локализации данных. После этого провайдеры услуг, основываясь на реестре и данных Роскомнадзор, требуют заблокировать сайт в России.
Статья проверена программой «Антиплагиат». Оригинальность 76,38%.
Список литературы:
Reference list:
1. Киселев, И.Я. Новый облик трудового права стран Запада / И.Я. Киселев // Трудовое право: Материалы Всероссийской научной конференции. Москва, 11 декабря 2013 г.; под ред. С.И. Свирьина, Т.В. Соколовского, М.Ю.Матвеева. М., 2013.
2. Internet blurs personal life: materials Cnews [electronic resource] // Details. - 2007. - 17 October. - Electron. Dan. (1) file. - Mode of access: http:// www. podrobnosti. ua / ptheme / internet / 2007/10/17/465 688. html (дата обращения: 07.02.2020)
3. Толокольникова Е.С. Защита персональных данных работника // Правовые проблемы укрепления российской государственности сборник статей. Томский государственный университет. Томск, 2010.
4. Шелякина Е.С. Понятие обработки персональных данных работника // Правовые проблемы укрепления российской государственности. 2009.
1. Kiselyov, I.Y. New face of labor law of Western countries / I.Y. Kiselyov // Labor law: Materials of the All-Russian Scientific Conference. Moscow, December 11, 2013; edited by S.I. Sviryina, T.V. Sokolovsky, M.I.Matveeva. M., 2013.
2. Internet blurs personal life: materials cnews [electronic resource] // Details. - 2007. - 17 October. - Electron. Dan. (1) file. - Mode of access: http:// www. podrobnosti. / ptheme / internet / 2007/10/17/465 688. html (conversion date: 07.02.2020)
3. E.S. Tolokolnikova Protection of employee's personal data / Legal problems of strengthening the Russian state-building articles. Tomsk State University. Tomsk, 2010.
4. Shelyakin E.S. The concept of processing the personal data of the employee / Legal problems of strengthening Russian statehood. 2009.
210 Economic problems and legal practice Vol. 16, №5,2020 ISSN 2541-8025(print)
ISSN 2712-7605(online)
5. Security risk assessment and audit guidelines, September 2012. [Электронный ресурс]. - Режим доступа: http://www.ogcio.gov.hk/en/information_security/policy_and_g uidelines/doc/g51_pub.pdf (дата обращения: 07.02.2020)
6. Никульченкова Е. В. Актуальные вопросы защиты персональных данных // Инновационное образование и экономика. 2016. № 22.
7. Личные данные пяти миллионов россиян попали на черный рынок [Электронный ресурс]. - Режим доступа: https://lenta.ru/news/2017/09/28/mfisoft/ (дата обращения: 07.02.2020)
8. Постановление суда по интеллектуальным правам по делу № А40-18827/2017 «Общества с ограниченной ответственностью «В Контакте» и общества с ограниченной ответственностью «ДАБЛ» // СПС «Консультант».
9. Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса. [Электронный ресурс]. - Режим доступа: https://www.garant.ru/article/748180/ (дата обращения: 07.02.2020)
10. В России заблокировали Linkedln. [Электронный ресурс]. -Режим доступа: https://lenta.ru/news/2016/11/17 /linkedin_block/ (дата обращения: 07.02.2020)
11. Чем для Facebook и Twitter обернется неисполнение российских законов РБК.[Электронный ресурс]. - Режим доступа: https://www.rbc.ru/technology_and_media/21 /01/2019/5c458c2b9a794798437e1036 (дата обращения: 07.02.2020).
12. Машекуашева М.Х., Кочесокова З.Х.Актуальные вопросы психологической подготовки сотрудников органов внутренних дел. Пробелы в российском законодательстве. 2018. № 4. С. 364-365.
5. Security risk assessment and audit guidelines, September 2012. «Electronic resource.» Access mode: http://www.ogcio.gov.hk/en/information_security/policy_and_g uidelines/doc/g51_pub.pdf (date: 07.02.2020)
6. Nikulchenkova E.V. Topical issues of personal data protection / Innovative education and economy. 2016. No 22.
7. The personal data of five million Russians has entered the black market. Access mode: https://lenta.ru/news/2017/09/28 /mfisoft/ (address date: 07.02.2020)
8. Intellectual Rights Court ruling in case No. A40-18827/2017 «In Contact Limited And Limited» - SPS Consultant.
9. Features of the application of the law on the localization of personal data in practice: recommendations for business. «Electronic resource.» Access mode: https://www.garant.ru/article/748180/ (address date: 07.02.2020)
10. LinkedIn was blocked in Russia. «Electronic resource.» Access mode: https://lenta.ru/news/2016/11/17/linkedin_block/ (address date: 07.02.2020)
11. What will the failure to comply with the Russian laws of RBC for Facebook and Twitter. «Electronic resource.» Access ode: https://www.rbc.ru/technology_and_media/21/01/2019/5c458c 2b9a794798437e1036 (address date: 07.02.2020).
12. Mashekuashev M.H., Kochesokova S.H. Topical issues of psychological training of police officers. Gaps in Russian law. 2018. No 4. S. 364-365.
Статья поступила в редакцию 23.09.2020, принята к публикации 19.10.2020 The article was received on 23.09.2020, accepted for publication 19.10.2020
ИНФОРМАЦИЯ ОБ АВТОРАХ
Машекуашева Маргарита Хасанбиевна, кандидат психологических наук, доцент кафедры ГиГПД, Северо-Кавказский институт повышения квалификации (филиал) Краснодарского университета МВД России, г. Нальчик, Российская Федерация
Геляхова Лейла Абдуллаховна, кандидат юридических наук, старший преподаватель кафедры ОПД, Северо-Кавказский институт повышения квалификации (филиал) Краснодарского университета МВД России, г. Нальчик, Российская Федерация, e-mail: Lel4993@rambler.ru
INFORMATION ABOUT THE AUTHORS
Maragarita H. Mashekuasheva, Cand. Sci. (Psychol.), Associate Professor of The Department of GGPD, North-Caucasian Advanced Training Institute (branch) of the Krasnodar University of the Ministry of Internal Affairs of Russia, Nalchik, Russian Federation
Leila A. Gelyakhova, Cand. Sci. (Law), Senior Lecturer of the Department of OPD, North-Caucasian Advanced Training Institute (branch) of the Krasnodar University of the Ministry of Internal Affairs of Russia, Nalchik, Russian Federation, e-mail: Lel4993@rambler.ru
