российский и зарубежный опыт в области защиты персональных данных*
д. Г. коровяковский,
кандидат юридических наук, доцент
Обработка персональных данных. Указанная операция может осуществляться как без использования средств автоматизации, так и в информационных системах персональных данных. И к первому, и ко второму случаю применяются специальные меры безопасности обработки персональных данных.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований положения утвержденного постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ^
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации,
* Окончание. Начало см. в журнале № 4 (37) за 2009 г.
1 Российская газета, № 200, 24.09.2008.
в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, а также локальными правовыми актами организации (при их наличии).
При обработке персональных данных в информационных системах персональных данных используются технические средства, позволяющие осуществлять такую обработку с использованием средств автоматизации. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные уст-
роиства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатами которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, обеспечивающим защиту информации. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий.
Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе работодателем или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
В феврале 2008 г. был принят совместный приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13.02.2008 «Об утверждении порядка проведения классификации информационных сис-
тем персональных данных» , который определяет порядок проведения классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
Также в целях реализации ч. 1, 3 ст. 22, а также ч. 4 ст. 25 Федерального закона от 27 июля 2006 г. № 152 — ФЗ «О персональных данных» 3 утвержден образец формы уведомления об обработке персональных данных. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 224 Федерального закона «О персональных данных».
Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в ч. 3 ст. 22 вышеназванного Закона, а также сведения о дате направления указанного уведомления в реестр
2 Российская газета, № 80, 12.04.2008.
3 Собрание законодательства Российской Федерации, 31.07.2006, № 31 (I ч.), ст. 3451.
4 Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; являющихся общедоступными персональными данными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
Образец
Руководителю Управления Федеральной службы по надзору в сфере связи и массовых коммуникаций по
УВЕДОМЛЕНИЕ
об обработке (о намерении осуществлять обработку) персональных данных
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь с целью _
(правовое основание обработки персональных данных)
осуществляет обработку:
(цель обработки персональных данных)
(категории персональных данных)
принадлежащих:
(категории субъектов, персональные данные которых
обрабатываются)
Обработка вышеуказанных персональных данных будет осуществляться путем
(перечень действий с персональными данными, общее описание используемых оператором
способов обработки персональных данных)
(описание мер, которые оператор обязуется осуществлять при обработке
персональных данных, по обеспечению безопасности персональных данных при их обработке) Дата начала обработки персональных данных:_
Срок или условие прекращения обработки персональных данных:
(должность)
200 г.
(подпись)
(расшифровка подписи)
операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов. В случае предоставления неполных или недостоверных сведений, указанных в ч. 3 ст. 22 названного Закона, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, указанных в ч. 3 ст. 22 Закона, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Приказом Федеральной службы по надзору в сфере связи и массовых коммуникаций Министерства
50 -
связи и массовых коммуникаций РФ от 17.07.2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных» 5 утверждены также рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных.
За нарушение обработки персональных данных предусматривается административная и уголовная ответственность в соответствии с действующим законодательством.
Правовое регулирование персональных данных в зарубежных странах
ГЕРМАНИЯ. В Европе лидером в сфере правового регулирования персональных данных является Германия. Статья 10 Основного закона (с поправ-
5 Документ опубликован не был. По заключению Минюста России данный документ в государственной регистрации не нуждается. — Письмо Минюста России от 06.08.2008 г. № 01/7830-АС.
ками от 24 июня 1968 г.) гласит: «Письма, почтовые отправления и телекоммуникации являются неприкосновенными. Любые ограничения могут вводиться только соответствующим законодательным актом. Если то или иное ограничение направлено на защиту свободного демократического строя или существования или безопасности Федерации, то законодательный акт может предусматривать, что лицо, на которое оно распространяется, может не уведомляться о наличии такого ограничения, а обращение в суд может заменяться рассмотрением дела органами или вспомогательными структурами, назначаемыми парламентом». Попытки включить в Основной закон положение о защите информации обсуждались при пересмотре Конституции после воссоединения Западной и Восточной Германии, но были успешно заблокированы консервативно настроенным тогда политическим большинством. Первый закон о защите персональных данных был принят в Германии в земле Гессен в 1970 г. До этого подобных законов нигде в мире не было. За ним последовало принятие в 1977 г. Федерального закона «О защите персональных данных», который в 1990 г. был пересмотрен. Главная цель этого закона — «защищать индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными». Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами (в отсутствие механизмов государственного регулирования) и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. В связи с развитием телекоммуникаций в нормативные акты были внесены соответствующие дополнения и изменения. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. В частном секторе надзор осуществляется органом, указанным в законе, действующим в каждой из земель (обычно назначается комиссар по защите персональных данных). Кроме того, почти все германские законы, которые прямо или через поправки затрагивают проблему обращения с персональными данными физических лиц, содержат либо ссылки на соответствующий закон о защите персональных данных, либо специальные положения о правилах обращения с персональными данными, отражающие право на неприкосновенность частной жизни.
За последние 30 лет более чем в 20 европейских государствах были приняты нормативные акты по защите персональных данных, в которых были
закреплены реальные механизмы правового регулирования оборота персональных данных. Следует отметить, что создание нормативных актов в данной сфере шло самостоятельно наряду с развитием законодательства о защите права на неприкосновенность частной жизни.
С 1998 г. в странах Европейского союза был взят курс на создание унифицированной системы защиты персональных данных. В целом можно выделить следующие общие черты национального законодательства европейских стран, регулирующего отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных:
1) защита персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;
2) обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;
3) обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных;
4) обеспечение контроля за использованием персональных данных со стороны самого субъекта;
5) создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав субъекта персональных данных (например, Уполномоченный по защите персональных данных).
Германия является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных (ETS № 108). Она подписала и ратифицировала Европейскую конвенцию о защите прав и основных свобод человека. Германия также является членом Организации по экономическому сотрудничеству и развитию, принявшим Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.
США. Рассматривая вопрос о правовом регулировании автоматизированной обработки персональных данных в США, следует отметить, что в тексте Конституции США нет отдельного положения, закрепляющего право на неприкосновенность частной жизни. Согласно постановлению Верховного Суда, граждане имеют ограниченное конституционное право на неприкосновенность частной жизни, основанное на ряде положений Билля о правах. Речь
- 51
идет, в частности, о свободе от государственного надзора за теми сферами деятельности индивидуума, которые «в силу очевидных причин принято относить к частной жизни», а также о праве самостоятельно решать вопросы, касающиеся женитьбы, деторождения, контрацепции, семейных отношений, воспитания детей и образования. Однако учетные записи, находящиеся в распоряжении третьих сторон, в том числе книги финансового учета или счета за телефонные переговоры, чаще всего под защиту не подпадают, за исключением тех случаев, когда законодательный орган принимает специальный закон. Суд также признал право на анонимность и право политических организаций не раскрывать имен своих членов государственным органам.
США не имеют закона, обеспечивающего всестороннюю защиту неприкосновенности частной жизни. Закон о неприкосновенности частной жизни, принятый в 1974 г., охраняет учетные записи американских государственных ведомств и обязывает эти ведомства придерживаться практики обменов правдивой и объективной информацией. Действенность этого закона существенно ослабляется административным толкованием положения, разрешающего раскрывать персональные данные в целях «повседневного использования», не противоречащего тем целям, в которых соответствующая информация собиралась первоначально. В последние годы по разным причинам были частично сняты и многие ограничения на использование номера карточки социального обеспечения. Также в США существуют общие принципы, распространенные на все системы обработки персональных данных:
1) не должно существовать секретных баз с персональными данными;
2) должны быть определены механизмы, которые позволили бы отдельным гражданам проверить, какая информация личного характера находится в соответствующих базах данных и как она используется;
3) должны быть определены методы, позволяющие отдельным гражданам предотвратить использование информации, собранной в базах персональных данных для одних целей в других целях без их согласия;
4) должны быть разработаны процедуры, позволяющие индивидуумам скорректировать или отменить информацию о себе в базах с персональными данными;
5) организации, создающие, хранящие или передающие третьей стороне идентифицируемые персональные данные, должны обеспечить и быть уверенными в том, что эти данные используются
52 -
только для определенных целей и должны принять меры предосторожности для предотвращения злоумышленного их использования.
Впоследствии данные принципы легли в основу Акта о защите личной жизни США 1974 г., который предусматривает обязанность каждого учреждения, занимающегося ведением системы данных, по любому запросу любого физического лица предоставлять ему доступ к данным о нем, содержащимся в системе, разрешать ему, и по его просьбе, выбранному им самим сопровождающему лиц изучать данные и получать копии всех данных или любой их части в доступной его пониманию форме, а также разрешать физическому лицу обращаться с просьбами об изменении данных о нем. Более того, в США за незаконный перехват или доступ к электронной почте предусмотрена уголовная ответственность в виде тюремного заключения до одного года или штрафа до 10 тыс. долл. Таким образом, указанные положения практически аналогичны принципам, лежащим в основе европейской системы защиты персональных данных. Тем не менее практика защиты персональных данных в США не является безупречной, чем, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных, соответствующий порядок предусмотрен п. 4 ст. 25 Директивы ЕС 95/46/ЕС6.
В последние годы в Соединенных Штатах идут оживленные дебаты по вопросу о необходимости разработки законов о неприкосновенности частной жизни для частного сектора. Предыдущему составу конгресса было представлено более сотни законопроектов о невмешательстве в частную жизнь, в том числе о неприкосновенности генетических и медицинских данных; информации, распространяемой по сети Интернет; частной жизни детей и т. п. Одобрен был лишь один законопроект, касающийся получения персональной информации через Интернет от детей. В настоящее время Белый дом и частный сектор всецело полагаются на саморегулирование и считают, что новые законы не нужны — кроме небольших поправок к правилам ведения медицинского учета. Сейчас конгрессмены пытаются улучшить закон о неприкосновенности финансовой жизни граждан, запретив банкам продавать персональные данные клиентов без их разрешения, однако это предложение встретило серьезное сопротивление со стороны банкиров. В ряде штатов, в том числе в Калифорнии,
6 Если Комиссия в соответствии с процедурой, установленной в ст. 31 Директивы, определит, что третья страна не обеспечивает адекватного уровня защиты в значении п. 2 статьи Директивы, государства-участники примут необходимые меры для предотвращения любой передачи данных того же типа соответствующей третьей стране.
Нью-Йорке и Массачусетсе, наблюдается всплеск общественной активности в связи с рассмотрением там законопроектов о всесторонней защите частной жизни граждан. Закон о свободе информации был принят в 1966 г. Он обеспечивает любому гражданину широкий доступ к информации, имеющейся в распоряжении федеральных государственных структур; закрытыми являются лишь архивы судебных органов и Белого дома. Поправки, связанные с принятием в 1996 г. Закона о свободе электронной информации, обеспечили гражданам свободный доступ к электронным базам данных. Кроме того, в каждом штате действует собственный закон о доступе к правительственной информации.
КАНАДА. С практической точки зрения большой интерес вызывает канадский Закон об охране персональной информации, который предусматривает реальные механизмы защиты персональных данных и реализации права на доступ к сведениям о себе. В соответствии с этим актом под персональной понимается информация о конкретном индивиде, записанная в любой форме, в том числе данные о национальности, расе, цвете кожи, религии, возрасте, образовании, состоянии здоровья, финансах, личных взглядах и т. п. Под действие акта не попадает информация об индивиде, который был или является сотрудником государственного учреждения, его должности, служебном адресе и телефоне, уровне зарплаты и служебных обязанностях. Персональная информация не может быть использована без согласия индивида и помимо целей, ради которых она собиралась. В ряде случаев персональная информация может быть раскрыта, например по решению суда, для члена парламента, который помогает этому индивиду, в целях передачи в архив, сбора статистических данных.
В Канаде каждый гражданин или постоянно проживающий человек может получить доступ к информации о себе, содержащейся в учреждениях, и исправить ее, если считает ее неверной. В случае возникновения спорных ситуаций граждане могут опротестовать действия властей в офисе Комиссара по защите персональной информации, который является специальным чиновником, назначаемым и ответственным перед парламентом. Он наблюдает за исполнением данного закона, т. е. за сбором, использованием и распространением государством персональной информации о клиентах и работниках, а также рассматривает жалобы. Стоит отметить, что данная структура выполняет огромный объем работы: Комиссар ежегодно делает доклады, обрабатываются многочисленные запросы, проводятся расследования, рассмотрение жалоб, органи-
зация и проведение публичных дебатов по работе с данными, использованию номера социального страхования, воздействию биотехнологии на частную жизнь. Обращает на себя внимание тот факт, что данная работа проводится небольшим штатом сотрудников — около трех десятков людей. Важное значение имеет тот факт, что сами канадцы уделяют большое внимание вопросам сбора, хранения и обработки персональных данных. Социологические опросы показывают высокий уровень правовой грамотности канадцев как в отношении своих прав в данной области, так и в отношении механизмов их защиты. Закон также возлагает на правительство ответственность за правомерность сбора, хранения и целей использования персональных данных.
ВЕЛИКОБРИТАНИЯ. В июле 1998 г. парламент Великобритании принял Закон о защите информации, приводящий аналогичный закон 1984 г. в соответствие с требованиями Директивы о защите информации, принятой Европейским Союзом. Действие закона распространяется на учетные записи, ведущиеся государственными учреждениями и частными компаниями. Он налагает ряд ограничений на использование персональных данных и на доступ к учетным записям, а также обязывает юридические лица, ведущие такие записи, регистрироваться в Комиссариате по защите информации. Комиссариат по защите информации является независимым агентством, обеспечивающим соблюдение требований закона. Положения о неприкосновенности частной жизни содержатся и в ряде других законодательных актов, например в законах, регламентирующих ведение медицинских записей и хранение информации о потребительских кредитах. В эту же группу входят Закон «О реабилитации правонарушителей» (1974 г.), Закон «О телекоммуникациях» (1984 г.), Закон «О полиции» (1997 г.), Раздел VI Закона «О вещании» (1996 г.) и Закон «О защите от преследований» (1997 г.). Некоторые положения перечисленных законов исправлены или частично отменены в связи с принятием Закона о защите информации в редакции 1998 г. Закон «О свидетельских показаниях для полиции и органов следствия по уголовным делам» (1984 г.) дает полиции право входить в частные жилища и производить там обыски без ордера в случае ареста хозяина за совершение любого правонарушения. И хотя до ареста полиция не вправе требовать от человека предъявления документов, ей разрешено останавливать и обыскивать на улице всякого, кто вызывает подозрения. Каждый арестованный сдает пробу ДНК для включения в национальную базу данных. Каждый из британских протекторатов — остров Мэн, остров Гернси и остров Джерси — имеет собс-
- 53
твенный закон и собственную комиссию по защите персональных данных. Соединенное Королевство является членом Совета Европы, подписавшим и ратифицировавшим Конвенцию о защите частных лиц в отношении автоматической обработки персональных данных (ETS № 108) вместе с Европейской конвенцией о защите прав и основных свобод человека. Кроме того, Великобритания входит в Организацию по экономическому сотрудничеству и развитию; она приняла Директиву ОЭСР о защите неприкосновенности частной жизни и международных обменов персональными данными.
ФРАНЦИЯ. Во Франции действует Закон № 78—17 от 6 января 1978 г. «Об информатике, картотеках и свободах» (принят Национальной Ассамблеей и Сенатом). Данный закон регламентирует права граждан на доступ к персональной информации, ее автоматизированную обработку и т. д. В данном законе под «персональными данными» понимаются сведения, позволяющие в любой форме, прямо или косвенно, идентифицировать физическое лицо, к которому эти сведения относятся и обработка которых производится физическим или юридическим лицом, а под «автоматизированной обработкой персональных данных» понимаются любые операции, произведенные автоматическими средствами, связанные со сбором, регистрацией, обработкой, изменением, хранением и уничтожением персональных данных, а также любые операции такого же рода, связанные с использованием картотек или баз данных, содержащих персональные данные, и особенно сети связи.
Законом учреждена Национальная комиссия по информатике и свободам. Комиссия должна следить за исполнением положений закона, информировать заинтересованных лиц об их правах и обязанностях, контролировать использование средств автоматизации при обработке персональных данных. В этой связи Комиссия располагает нормативными полномочиями в случаях, предусмотренных законом. Каждый, подтвердивший свою личность, имеет право обращаться в службы и организации, производящие автоматизированную обработку данных, список которых общедоступен в соответствии со ст. 22 Закона7, для выяснения, осу-
7 Ст. 22 Закона: Комиссия обнародует список систем обработки данных, включающий следующие сведения о каждой из них: закон или нормативный акт с датой его принятия или вступления в силу, разрешающий обработку данных; название и цель обработки данных; служба, обеспечивающая право доступа, определенное в главе V Закона; категории внесенных в список персональных данных, получатели или категории получателей, имеющих право получать эти данные. Комиссия в порядке, предусмотренном декретом, обнародует решения и рекомендации, знание которых полезно для применения и толкования Закона.
ществляется ли обработка его персональных данных, и при необходимости получать эти данные.
Таким образом, следует отметить, что в мире имеются реальные правовые механизмы регулирования оборота и защиты персональных данных. При этом контроль за соблюдением соответствующих требований и деятельностью держателей баз данных, содержащих информацию персонального характера, как правило, осуществляют независимые органы (уполномоченный орган либо комиссар по защите персональных данных).
В заключение отметим, что закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки практически не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти, органами государственной власти субъектов РФ, органами местного самоуправления данных о физических лицах (персональных данных). Нет четкой концепции формирования российского информационного пространства и перехода к информационному обществу. Недостаточно разработана ноырмативно-правовая база, регулирующая информационные отношения в целом и оборот персональных данных в частности. Необходимо дальнейшее совершенствование механизмов защиты персональных данных, находящихся в распоряжении федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления.
Информация, содержащая персональные данные, должна иметь гарантированный уровень правовой, организационно-технической защиты независимо от того, в базе данных государственной или частной организации она находится. Кроме того, проблема защиты персональных данных связана со степенью развитости институтов гражданского общества. В настоящее время вопросы защиты персональных данных обсуждаются и прорабатываются сравнительно небольшой группой специалистов и правозащитных организаций, при этом сами граждане либо не считают эти вопросы значимыми, либо, чаще всего, просто не знают о наличии своих прав, их нарушениях и о том, как можно их защитить. При этом ущерб при неправомерном доступе и распространении информации о персональных данных наносится, в первую очередь, интересам самих граждан. Наряду с правовыми и организационно-техническими мероприятиями, необходимо повышать степень открытости власти и уровень информированности граждан о своих правах, законных интересах и о методах их защиты.