Теоретические основы защиты персональных данных Текст научной статьи по специальности «Право»

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

© Маслеха М.А.*

Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации, г. Орел

В статье исследуются теоретические основы защиты персональных данных, раскрывается понятие «персональные данные» как отдельная категория конфиденциальной информации, а также выявляются основные участники правоотношений в сфере защиты персональных данных.

Личные права и свободы составляют первооснову правового статуса человека и гражданина, являются важнейшим элементом всей системы прав и свобод и во многом характеризуют степень цивилизованности общества и государства [1, с. 6]. Одно из ведущих мест в системе личных конституционных прав и свобод человека занимает право на неприкосновенность частной жизни.

Происходящая в настоящее время стремительная информатизация общества делает частную жизнь человека весьма уязвимым объектом в плане получения и распространения другими лицами сведений о ней, поэтому проблемы обеспечения и защиты частной жизни граждан актуальны как никогда.

Право на частную жизнь предусмотрено в статьях 23 и 24 Конституции РФ и направлено на обеспечение автономии личности, гарантируя неприкосновенность частной жизни и запрет сбора, распространения информации о частной жизни лица без его согласия [2, с. 47].

Российское законодательство легального определения частной жизни не содержит. Нормативное закрепление и расшифровку этот институт получил в международных нормативных документах: Международном пакте о гражданских и политических правах и Европейской конвенции о защите прав человека и основных свобод.

Частная жизнь - это сфера, в которой существует каждая личность, состоящая из отношений, поступков, удовлетворяющих личные потребности индивида, свойственных его образу жизни, включающая сведения, касающиеся семейной, интимной жизни личности, его материального положения, состояния здоровья, характера, не представляющие значения для общества, но важные для самого индивида, так как они позволяют ему самоидентифицироваться, а также любую информацию, защищаемую от незаконного доступа и, тем более, разглашения [2, с. 49]. Государство не вмешивается в данную сферу, так как ее трудно заключить в четкие рамки норм права и регу-

* Студент.

лируется она в основном нормами морали. Кроме того, неприкосновенность частной жизни тесно связана с институтами неприкосновенности жилища, тайной корреспонденции, которые в принципе охватываются ею. Однако государство посредством своих правоохранительных органов в целях защиты прав и свобод многих лиц, общественного здоровья и нравственности может нарушить их, руководствуясь общесоциальными целями.

Поскольку Россия присоединилась к Международному пакту о гражданских и политических правах и Европейской конвенции о защите прав человека и основных свобод, то отечественный законодатель в силу действия п. 4 ст. 15 Конституции РФ не счел необходимым давать определение частной жизни в российском законодательстве, отсылая к международному праву. Гарантируя гражданину право на частную жизнь, государство, прежде всего, обеспечивает защиту частной жизни от постороннего в нее вмешательства и обеспечивает сохранение тайн, которые сопутствуют частной жизни гражданина.

Конституционный суд РФ в одном из определений (от 09.06.05 № 245-О) отметил, что под понятием частная жизнь охватывается та область жизнедеятельности человека, которая имеет отношение к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она в свою очередь не носит противоправного характера [3, с. 49].

Следует иметь в виду, что понятие «частная жизнь» охватывает собой: жизнедеятельность человека в сфере семейных, бытовых, личных, интимных отношений, не подлежащих контролю государства, общественных организаций, граждан; свободу уединения, размышлений, вступления в контакты с другими людьми или воздержание от таких контактов; свободу высказываний и правомерных поступков вне сферы служебных отношений; тайну жилища, переписки, других почтовых отправлений, содержание телефонных и иных переговоров; тайну усыновления, гарантированную возможность доверить свои личные и семейные тайны священнику, врачу, адвокату, нотариусу без опасения их разглашения [4, с. 265]. Вопрос разглашения таких сведений каждый решает самостоятельно, и они не должны подлежать прямому государственному контролю [5, с. 119].

Право на защиту персональных данных является составляющим права на неприкосновенность частной жизни, гарантированного Конституцией РФ.

Понятие персональных данных относительно недавно вошло в российское законодательство. В Федеральном законе от 20.02.1995 г. «Об информации, информатизации и защите информации» (утратил силу) персональные данные были определены как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его как личность. Данное определение критиковалось в специальной литературе, так как, исходя из него, к персональным данным могли относиться только те сведения, которые собирались с целью идентификации ранее неизвест-

ного лица, в то время как информация может собираться и об уже известном лице [6, с. 21].

Более правильный подход отражен в Федеральном законе от 27.07.06 № 152-ФЗ «О персональных данных», в котором персональные данные определены как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Дефиницию «персональные данные» включает Конвенция о защите физических лиц при автоматизированной обработке персональных данных: персональные данные - информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных») [7, с. 35].

Документы личного характера и персональные данные можно сравнить по уровню индивидуализации, объему сведений и содержанию, источнику закрепления. Персональные данные содержат информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу, а личные документы могут содержать и иную информацию, и тогда они становятся личными в силу факта обладания отдельным лицом. По своей сути персональные данные многократно передаются и обрабатываются добровольно или принудительно в силу закона, некоторые личные документы могут быть исключены их владельцем из гражданского оборота и (или) исключены из оборота в силу закона. Каждый документ личного характера - это единое целое в виде текста, изображения, звукозаписи и проч. (например, свидетельство о рождении); персональные данные могут быть извлечены из личного или иного документа, но при этом сохранять свою ценность и являться объектом защиты (например, данные о дате рождения).

Максимальная защита сведений гражданина необходима для обеспечения безопасности, сохранности имущества гражданина и его близких.

Право на тайну и неприкосновенность персональных данных возникает у граждан с момента рождения. Тайну частной жизни можно представить как общую родовую категорию, включающую профессиональные и непрофессиональные (иные) тайны. Тайна персональных данных - одна из видов тайн [8, с. 18]. Такой вывод вытекает из ст. 2 Закона «О персональных данных», согласно которой его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты на неприкосновенность частной жизни, личную и семейную тайну. Следовательно, законодатель рассматривает действия по обработке персональных данных в режиме права на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные относятся к категории конфиденциальной информации. Речь идет о документированной информации, доступ к которой

ограничен законодателем. В Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», включены, в том числе, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Конфиденциальность персональных данных означает обязательное соблюдение лицом, получившим доступ к ним, требования о недопустимости их распространения без согласия субъекта персональных данных или наличия иного законного основания.

В ст. 85 Трудового кодекса РФ также дается определение персональных данных работника. К ним относится информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Персональные данные - это определенная информация. Согласно ст. 2 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация - сведения (сообщения, данные) независимо от формы их представления.

Информация в зависимости от категории доступа к ней подразделяется [9, ст. 5. п. 2] на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных [10, ст. 3. п. 3].

По общему правилу обработка персональных данных осуществляется операторами с согласия субъекта персональных данных. При этом обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагаются на оператора. Часть сведений собирается независимо от воли гражданина без его уведомления, но в соответствии с федеральными законами. Сбор и обработка биометрических персональных данных без согласия на то субъекта допускаются в случаях, предусмотренных законодательством Российской Федерации при осуществлении правосудия, законодательством о безопасности, об оперативно-розыскной деятельности, о государственной службе и др.

Существуют различные категории персональных данных.

Общедоступные источники персональных данных (в том числе справочники, адресные книги) могут создаваться в целях информационного обеспечения. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Специальные категории персональных данных - это данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, - включают отпечатки пальцев, результаты анализа ДНК, сетчатку глаза, различные отклонения в развитии и др.

Субъект персональных данных - физическое лицо.

Представляется, что право субъекта персональных данных на их тайну и неприкосновенность содержит правомочия требовать от третьих лиц не нарушать тайну персональных данных, представить соответствующую информацию (или ее часть) другим лицам, определять содержание и судьбу персональных данных, которые в силу тех или иных обстоятельств стали известными третьим лицам, в установленных законом пределах. Так, гражданин имеет право дать согласие на обработку персональных данных, отозвать согласие на обработку; получить сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных; осуществить доступ к своим персональным данным; требовать уточнения своих персональных данных, их блокирования или уничтожения в установленных случаях.

Субъектами, обязанными соблюдать тайну и неприкосновенность персональных данных, считаются: а) специальные субъекты - операторы, иные лица, получившие доступ согласно договору с оператором; б) иные любые граждане, юридические лица, которым в силу тех или иных обстоятельств стали известны чужие персональные данные.

Операторами [10, ст. 3] считаются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Если оператор

на основании договора поручает обработку персональных данных другому лицу, условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (п. 3 ст. 6 Закона «О персональных данных»).

На практике отмечаются случаи утечки информации из государственных и муниципальных информационных систем, т.е. из закрытых баз данных, предназначенных для служебного пользования [11, с. 8]. Анализ опыта эксплуатации различных информационных систем показывает, что в основном такая утечка происходит либо из-за нарушения правил о конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в прикладных системах.

Обязанность защиты обрабатываемых персональных данных от неправомерных действий третьих лиц возлагается на оператора.

Законодатель определяет защиту информации как принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа, 3) реализацию права на доступ к информации.

Эффективные меры [12, с. 15], предпринимаемые в целях безопасности и предотвращения работ с личными данными человека частными лицами и государством, которые по закону не надлежит обрабатывать, получать и использовать данный вид информации, получило свое терминологическое обозначение в виде понятия «защита персональных данных».

Защита персональных данных - комплекс мероприятий правового, организационного и технического характера, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу.

Практически все государственные и муниципальные органы создают в пределах своих полномочий государственные или муниципальные информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве государственных и муниципальных органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты.

Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.

В первую очередь оператором должен быть выполнен ряд организационных мер, направленных на защиту персональных данных. Обязательно

должно быть введено в действие положение, регламентирующее основные вопросы обработки и защиты персональных данных, а также устанавливающее ответственность сотрудников за несоблюдение требований.

Помимо этого, необходимо определить перечень обрабатываемых персональных данных и цели их обработки, а также персонал, допущенный согласно своим должностным обязанностям к этой обработке. При этом целесообразно определить, всем ли сотрудникам, на данный момент допущенным к персональным данным, действительно для выполнения работы необходим такой доступ, или же можно сузить этот круг лиц.

Для документов, содержащих персональные данные на бумажных носителях также необходимо выполнить ряд мер, направленных на обеспечение безопасной обработки и хранения персональных данных. В целом для персональных данных, обрабатываемых оператором, обязательно должна быть разработана модель угроз, оценивающая, какие из существующих угроз актуальны для оператора и как эти угрозы могут быть реализованы. Также должны быть определены цели, средства и методы по созданию системы защиты персональных данных, охватывающие как организационные, так и технические требования.

Выполнение организационных мер по защите персональных данных не влечет за собой чрезмерно высоких затрат, однако позволяет организации проконтролировать и несколько упорядочить работу сотрудников, выполнить требования законодательства.

Оператор обязан опубликовывать или иным образом обеспечивать неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

Лица, работающие со сведениями о гражданах без использования автоматизированных средств, должны знать о способе и особенностях их обработки, категориях данных. При этом в отношении каждой категории следует определить место хранения материальных носителей и установить перечень лиц, причастных к обработке. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированны доступ к ним. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

В целях реализации конституционного права граждан на неприкосновенность частной жизни, личную и семейную тайну установлены требования к обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, бло-

кирование, копирование, распространение персональных данных, а также иные несанкционированные действия.

Безопасность персональных данных при их обработке обеспечивается различными средствами защиты информации (в том числе, шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам и т.п.). Средства защиты информации в установленном порядке проходят процедуру оценки соответствия. Методы и способы защиты информации устанавливаются ФСТЭК России и ФСБ России.

Работы по обеспечению безопасности персональных данных при их обработке являются неотъемлемой частью работ по созданию соответствующих информационных систем. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Выбор методов и способов защиты информации зависит от определяемых оператором угроз безопасности персональных данных и от класса применяемой информационной системы.

Для защиты персональных данных могут привлекаться специализированные организации. Последние должны иметь лицензию на деятельность по технической защите конфиденциальной информации.

Среди методов и способов защиты персональных данных можно выделить следующие: наличие разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам; ограничение доступа в помещения, где размещены технические средства для обработки персональных данных; регистрация и контроль действий пользователей персональными данными. Можно также учитывать и хранить съемные носители информации, использовать защищенные каналы связи.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств, в том числе при необходимости шифровальных (криптографических) средств: средств шифрования, электронной цифровой подписи, кодирования.

К государственным органам, уполномоченным Федеральным законом «О персональных данных» по применению специальных мер государственной защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных относятся: федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, осуществляющий контроль и надзор за обеспечением безопасности персональных данных при их обработке в информаци-

онных системах; федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, осуществляющий контроль за обеспечением безопасности персональных данных при их обработке в информационных системах. В настоящее время такими органами являются ФСБ и ФСТЭК.

Итак, создание режима защиты персональных данных включает следующие основные этапы: создание внутренней документации по работе с персональными данными; создание организационной системы защиты персональных данных; внедрение технических мер защиты; получение лицензий регулирующих органов (ФСБ, ФСТЭК); получение сертификатов регулирующих органов (ФСБ, ФСТЭК) на средства защиты информации. Лицензия ФСТЭК России на техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными - данная лицензия не нужна.

Уполномоченным органом исполнительной власти по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям действующего законодательства, является Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнад-зор). Роскомнадзор рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

Таким образом, Конституцией РФ и федеральным законодательством информация о частной жизни лица, в том числе персональные данные, отнесены к информации, охраняемой законом, доступ к которой без согласия лица, к которому она относится, или наличия иного законного основания, не допускается. Обеспечение безопасности персональных данных достигается путем принятия оператором обработки персональных данных комплекса мер правового, организационного и технического характера, направленных на недопущение неправомерных действий с персональными данными, обеспечение конфиденциальности персональных данных. Участниками общественных отношений по защите персональных данных выступают: субъект (носитель) персональных данных, оператор обработки персональных данных, государственные органы, осуществляющие контроль и надзор за соблюдением прав субъектов персональных данных, а также положений законодательства по вопросам защиты персональных данных.

Список литературы:

1. Андрианова В.В. Право на личную неприкосновенность в России (теоретико-правовые основы) / В.В. Андрианова // Государственная власть и местное самоуправление. - 2011. - № 7. - С. 5-7.

2. Тарло Е.Г. Право на частную жизнь / Е.Г. Тарло // Политика и общество. - 2007. - № 10. С. 47-50.

3. Новиков В. Понятие частной жизни и уголовно-правовая охрана ее неприкосновенности / В. Новиков // Уголовное право. - 2011. - № 1. - С. 43-48.

4. Комментарий к Трудовому кодексу Российской Федерации / Отв. ред. В.Л. Гейхман, Е.Н. Сидоренко. - 7-е изд., испр. и доп. - М.: Юрайт, 2011. - С. 943.

5. Фролова О.С. Частная жизнь в свете Конвенции о защите прав человека и основных свобод / О.С. Фролова // Журнал Российского права. -2008. - № 10. - С. 119.

6. Чаннов С.Е. Правовой режим персональных данных на государственной и муниципальной службе / С.Е. Чаннов // Российская юстиция. -2008. - № 1. - С. 21-23.

7. Корейко Е.В. Права человека в международно-правовых актах: проблемы дефинирования / Е.В. Корейко //Международное публичное и частное право. - 2010. - № 1. - С. 33-36.

8. Малеина М.Н. Право на тайну и неприкосновенность / М.Н. Мале-ина // Журнал Российского права. - 2010. - № 11. - С. 18-28.

9. Об информации, информационных технологиях и о защите информации. ФЗ от 27.07.2006 № 149-ФЗ (в ред. от 06.04.2011) // СЗ РФ. - 2006. -№ 31 (1 ч.). - Ст. 3448; 2011. - № 15. - Ст. 2038. - Ст. 5. п. 2.

10. О персональных данных. ФЗ от 27.07.2006 № 152-ФЗ (в ред. 25.07.11) // СЗ РФ. - 2006. - № 31 (1 ч.). - Ст. 3451; 2011. - № 31. - Ст. 4701.

11. Терещенко Л.К. О соблюдении баланса интересов при установлении мер защиты персональных данных / Л.К. Терещенко // Журнал российского права. - 2011. - № 5. - С. 5-12.

12. Цадыкова Э.А. Гарантии охраны и защиты персональных данных человека и гражданина / Э.А. Цадыкова // Конституционное и муниципальное право. - 2007. - № 14. - С. 15-18.

ВОПРОСЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИЗБИРАТЕЛЬНОЙ СФЕРЕ

© Маслеха С.С.*

Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации, г. Орел

В статье исследуются вопросы безопасности персональных данных основных участников избирательного процесса - избирателей и кандидатов. Особое внимание данным вопросам уделяется в связи с автоматизацией проведения избирательных кампаний.

* Студент.