Закон о сборе информации

Закон о сборе информации

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях
  • Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

    Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим. Подробнее о локализации данных рассказывается в статье.

    Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

    Какая информация должна быть в соглашении об обработке персональных данных

    Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

      наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

    цель обработки персональных данных;

    перечень персональных данных , на обработку которых дается согласие субъекта персональных данных;

    наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

    перечень действий с персональными данными , на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

    срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

    Также нужно указать информацию о том, как физическое лицо может отозвать свое согласие на обработку персональных данных (ч.2 ст. 9 152-ФЗ «О персональных данных»).

    tilda.education

    Закон о сборе информации

    Защита прав субъектов персональных данных

    Основным нормативно-правовым актом, регулирующим отношения, связанные с обработкой персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

    Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    В соответствии с ч. 1 ст. 23 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»), Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

    На территории Тверской области, в соответствии с Положением об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по тверской области, утвержденным Приказом Роскомнадзора от 25.01.2016 № 71, полномочия по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных возложены на Управление Роскомнадзора по Тверской области.

    Закон «О персональных данных» установил следующие основные понятия:

    — персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    — оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данных;

    — обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    — распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    — предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    — информационная система персональных данных — совокупность содержащихся в базе данных персональных данных обеспечивающих их обработку информационных технологий и технических средств.

    Также Федеральный закон № 152-ФЗ установил принципы обработки персональных данных, условия и порядок обработки персональных данных, права субъектов персональных данных, обязанности оператора, права и обязанности уполномоченного органа в ходе осуществлениям им своей деятельности, а также ответственность за нарушение требований данного Федерального закона.

    Основными законодательными и нормативно-правовыми актами в области обработки персональных данных являются:

    Конституция Российской Федерации от 12.12.1993;

    Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

    Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

    Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;

    Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

    Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

    Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

    Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

    Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения

    Уполномоченный орган по защите прав субъектов персональных данных имеет право:

    запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

    осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах своих полномочий;

    требовать от оператора уточнения, блокирования или уточнения недостоверных или полученных незаконным путем персональных данных;

    принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

    обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

    направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

    направлять в органы прокуратуры, правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

    привлекать к административной ответственности лиц, виновных в нарушении Закона «О персональных данных».

    Права субъектов персональных данных

    Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

    Данное право человека и гражданина установлено статьей 23 Конституции Российской Федерации.

    Глава 3 Закона «О персональных данных» устанавливает следующие права субъектов персональных данных:

    1. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

    2. Сведения, должны быть представлены субъекту персональных данных оператором в доступной форме.

    3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    подтверждение факта обработки персональных данных оператором;

    правовые основания и цели обработки персональных данных;

    цели и применяемые оператором способы обработки персональных данных;

    наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;

    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

    сроки обработки персональных данных, в том числе сроки их хранения;

    информацию об осуществленной или о предполагаемой трансграничной передаче данных;

    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена таковому лицу;

    иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.

    4. Субъект персональных данных вправе обжаловать действия (бездействия) оператора, осуществляющего обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушающего его права и свободы, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    Уведомление оператора об обработке персональных данных

    В соответствии с ч. 1 ст. 22 Закона «О персональных данных» операторы обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Уведомление, предусмотренное ч. 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

    1) наименование (фамилия, имя, отчество), адрес оператора;

    2) цель обработки персональных данных;

    3) категории персональных данных;

    4) категории субъектов, персональные данные которых обрабатываются;

    5) правовое основание обработки персональных данных;

    6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

    7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

    7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

    8) дата начала обработки персональных данных;

    9) срок или условие прекращения обработки персональных данных;

    10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

    10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

    11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

    В случае представления оператором уведомления, содержащего неполные или недостоверные сведения, Управление вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

    В соответствии с ч. 7 ст. 22 Закона «О персональных данных в случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

    Уведомление об изменении сведений представляется Оператором в территориальное управление Службы на бланке оператора в виде информационного письма с указанием основания изменения сведений в письменной форме, подписанное уполномоченным лицом, с указанием сведений в соответствии с ч. 3 ст. 22 Закона «О персональных данных».

    Статьей 24 Закона «О персональных данных» установлено, что лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

    Административная ответственность за невыполнение требований законодательства в области обработки персональных данных установлена статьями:

    — ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), (влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей).

    — ст. 13.14. Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц — от четырех тысяч до пяти тысяч рублей).

    Кроме того, статья 19.7 Кодекса Российской Федерации об административных правонарушениях устанавливает ответственность за непредставление или несвоевременное представление в государственный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности, а равно представление таких сведений в неполном объеме или искаженном виде (влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей).

    Дела об административных правонарушениях предусмотренных статьями 13.11, 13.14 КоАП РФ, возбуждаются прокурором и рассматриваются судом.

    Дела об административных правонарушениях предусмотренных статьей 19.7 КоАП РФ, возбуждаются уполномоченным органом и рассматриваются судом.

    По состоянию на 31 декабря 2015 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных составляет 4716.

    По состоянию на 31 декабря 2016 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных составляет 5151.

    По состоянию на 31 декабря 2016 г. количество операторов, осуществляющих обработку персональных данных на территории Тверской области и внесенных в реестр операторов, осуществляющих обработку персональных данных составляет 5624.

    69.rkn.gov.ru

    Инструкция: как уберечь компанию от штрафов по закону о персональных данных

    Рекомендации от юриста, основателя сервиса по защите интернет-бизнеса E-docs Анара Костенко.

    Роскомнадзор продолжает свою деятельность по «спасению» интернета, и на этот раз под прицелом оказались почти все владельцы сайтов. С 1 июля 2017 года в силу вступают новые изменения в Кодексе об административных правонарушениях (КоАП), которые ужесточат санкции по отношению ко всем лицам, собирающим персональные данные. Теперь штрафы будут достигать 295 тысяч рублей.

    Чем это грозит владельцам сайтов

    Начать стоит с разъяснения того, что такое персональные данные. В первую очередь под эту категорию попадают электронная почта, имя, фамилия и номер телефона. А с недавних пор Роскомнадзор начал относить к персональным данным адрес места жительства, IP и даже сведения, получаемые при помощи cookies.

    Так, если ваш сайт собирает такую информацию, то Роскомнадзор автоматически относит вас к операторам персональных данных. То есть вы обязаны уведомить ведомство о наличии специальной документации, которая регламентирует вашу деятельность. А теперь подумайте, много ли осталось сайтов, в которых нет личного кабинета или формы сбора информации?

    Неужели начнут штрафовать?

    Штрафовали и раньше. Один из самых интересных кейсов произошел в октябре 2016 года, когда Тамбовская городская юридическая компания была оштрафована за сбор персональных данных. Уже тогда суд занял позицию Роскомнадзора, приравнял электронную почту и номер телефона к персональным данным и обязал компанию выплатить административный штраф в размере 1 тысячи рублей.

    Да, всё верно, одна тысяча. И если раньше нарушители выплачивали не больше 10 тысяч, то с 1 июля штрафы смогут достигать 295 тысяч рублей для юридических лиц и 75 тысяч рублей — для физических лиц.

    Что может послужить основанием для проверки сайта

    Существуют два ключевых основания: жалоба и проведение плановых проверок. Согласно данным Роскомнадзора, по сравнению с 2013 годом количество жалоб выросло практически на 60% — c 10 016 обращений до 33 814. Стоит учитывать, что никто не застрахован от жалобы со стороны конкурентов. Растет и количество проводимых проверок: если в 2013 году их было 743, то в 2016 году — уже 2053.

    Какие еще могут быть последствия

    Помимо вышеупомянутых штрафов, сайт будет внесен в «Реестр нарушителей прав субъектов персональных данных», что грозит повышенным вниманием со стороны Роскомнадзора. Также следует приготовиться к проверкам документов о порядке обработки персональных данных, даже если вы внесены в «Единый реестр субъектов малого и среднего предпринимательства».

    Как защитить себя от штрафов

    К счастью, если все персональные данные вы получаете через сайт, то можете защитить себя от большинства штрафов и претензий самостоятельно. Чтобы сделать сбор персональных данных полностью легальным, достаточно выполнить ряд действий:

  • ​Если ваш сайт расположен на зарубежных серверах, то вам следует перевести его на сервера на территории РФ. Адрес нахождения вашего сервера, если он вам неизвестен, можно узнать у хостинг-провайдера.
  • Составьте «Политику обработки персональных данных», соответствующую законодательству и подходящую для вашего сайта. Этот документ регламентирует и описывает все действия, осуществляемые с персональной информацией пользователей сайта.
  • Составьте локальные акты, регулирующие действия с персональными данными. Этот пункт поможет избежать большинства штрафов в случае проведения проверок со стороны Роскомнадзора.
  • Добавьте во все формы обратной связи на сайте кнопку или галочку с текстом «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Подтверждение желательно сделать обязательным. Не стоит думать, что посетители перестанут оставлять свои данные — это только повысит доверие к сайту.
  • Для полной защиты удостоверьтесь в том, что сайт собирает информацию посредством cookies только с разрешения посетителя (данные с IP и cookies Роскомнадзор также признает персональными).
  • Предоставьте посетителям сайта возможности по распоряжению своими персональными данными через обращения по электронной почте. Для этого укажите email-адрес в «Политике обработки персональных данных» и опубликуйте его на сайте для общего доступа, чтобы каждый посетитель мог ознакомиться с правилами.
  • Заполните и подайте уведомление в Роскомнадзор. Обязанность в уведомлении есть у многих владельцев сайтов и организаций (исключения описаны в п. 2 ст. 22 ФЗ «О персональных данных» №152-ФЗ). Форма уведомления есть на сайте РКН. Особое внимание обратите на порядок подачи уведомления.
  • Как правильно составить политику конфиденциальности

    • Укажите термины. В политике обработки персональных данных нужно сразу обозначить понятия, которые вы будете использовать: администрация сайта, пользователь, персональные данные, обработка персональных данных, конфиденциальность персональных данных, cookies, IP-адрес.
    • Перечислите категории персональных данных, которые вы собираете и обрабатываете (имя, электронная почта, номер телефона и так далее). Учитывайте все категории персональных данных, которые будете собирать и использовать.
    • Укажите цели сбора персональных данных. Основная цель — выполнение условий договора с пользователем, а также предоставление доступа к функциональности сайта.
    • Установите условия обработки персональных данных. Укажите сроки обработки, порядок охраны и основные нормативные акты, на основе которых составлен режим обработки персональных данных.
    • Предоставьте пользователям возможность удалить свои персональные данные при обращении. Опишите порядок предоставления такой возможности и способ связи с оператором персональных данных.
    • Укажите меры по защите персональных данных. Это может быть шифрование, установка паролей, хранение в защищенных местах и другие способы защиты информации.
    • Добавьте дополнительную информацию. Например, порядок изменения условий политики и разрешения споров.
    • Ознакомиться с шаблоном политики можно здесь.

      Как заполнить и подать уведомление в Роскомнадзор

      Уведомление об обработке персональных данных направляется в территориальный орган Роскомнадзора в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

      Перед отправкой уведомления советую проверить полноту и правильность его заполнения. Уведомление должно содержать следующую информацию:

      1. ​Наименование (фамилия, имя, отчество), адрес оператора.
      2. Цель обработки персональных данных.
      3. Категории персональных данных.
      4. Категории субъектов, персональные данные которых обрабатываются.
      5. Правовое основание обработки персональных данных.
      6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки.
      7. Описание мер, предусмотренных статьями Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
      8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, номера их контактных телефонов, почтовые адреса и адреса электронной почты.
      9. Дата начала обработки персональных данных.
      10. Срок или условие прекращения обработки персональных данных.
      11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
      12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
      13. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями, установленными Правительством Российской Федерации.
      14. Для подачи уведомления нужно:

      15. Перейти по ссылке на сайт Роскомнадзора и заполнить форму.
      16. После заполнения отправить форму, нажав на соответствующую кнопку на сайте. Одновременно с отправкой вы получите форму для печати.
      17. Распечатать форму в двух экземплярах. Формы должны быть подписаны руководителем организации.
      18. Отправить подписанный бумажный вариант формы в территориальный орган РКН по месту регистрации (по почте или лично).
      19. Дождаться ответа от Роскомнадзора по почте (как правило, занимает не больше месяца). Также можно узнать о статусе заявки по телефону или с помощью специального сервиса на сайте Роскомнадзора.
      20. vc.ru

        Статья 24 Конституции РФ

        1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

        2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

        Комментарий к Статье 24 Конституции РФ

        1. Часть 1 комментируемой статьи 24 придает особое значение защите информации о частной жизни лица, поскольку любое несанкционированное информационное вмешательство в сферу частных отношений не только умаляет достоинство личности (ч. 1 ст. 21 Конституции), делая ее объектом внешнего манипулирования, но и представляет реальную угрозу праву на неприкосновенность частной жизни, личной и семейной тайны (ст. 23, 25 Конституции), иным правам и свободам, связанным с самоопределением личности (ст. 26, 28-30 и др.).

        Характерно, что само понимание и развитие права на информационную защиту частной жизни было обострено примерами тоталитарных режимов ХХ в. с их стремлением к всеобщему наблюдению и тотальному контролю за личностью, наиболее провидчески описанному в известном романе Дж. Оруэлла «1984 год». Не менее актуальна эта проблема и в настоящее время в связи с изобретением и развитием технических средств наблюдения, которые позволяют без труда анонимно вторгаться в частную жизнь, с распространением электронно-компьютерных систем и информационных сетей, способных накапливать, хранить и использовать неограниченные базы индивидуальных данных и не дающих абсолютных гарантий их сохранности, с повышением чисто коммерческой ценности любой информации, в том числе информации о частной жизни.

        Право на частную жизнь, в том числе на информационное невмешательство в нее, основывается на идее самоопределения и автономности личности, свободе индивида в приватной, интимной сфере его жизни от внешнего контроля со стороны государства и общества. Это сфера, куда не должна проникать правовая регламентация, но граница которой должна быть защищена законом. И хотя границу эту определить чрезвычайно трудно, она должна толковаться максимально широко в пользу личных прав.

        В американской конституционной практике право на неприкосновенность частной жизни (прайвеси), иногда определяемое как «право быть оставленным в покое», первоначально возникло как потребность в защите от так называемой желтой прессы и в дальнейшем стало трактоваться весьма широко, включая защиту от произвольного вмешательства власти в частные отношения. Немецкая правовая доктрина сформулировала по этому поводу идею информационного суверенитета личности. Практика толкования Европейским Судом по правам человека ст. 8 Конвенции о защите прав человека и основных свобод, предусматривающей право на неприкосновенность частной жизни, пошла по пути признания в этой норме весьма широкого объема правомочий, образующих «хартию личной независимости», подводя под понятие «частная жизнь» практически неограниченный круг отношений.*(247)

        Американский ученый А. Вестин в книге «Приватность и свобода» сформулировал четыре формы приватности: «уединение», исходящее из потребности быть избавленным от наблюдения посторонних; «интимность», предполагающая замкнутость и добровольность общения; «сдержанность» как форма соблюдения психологического барьера с окружающими»; «анонимность» как стремление остаться неузнанным в общественном месте.*(248) Таким образом, частная, приватная сторона жизни покоится на естественных человеческих потребностях и интересах, противостоящих публичному вмешательству и контролю. Человек вправе контролировать свою личную жизнь и ограничивать доступ к ней кого бы то ни было.

        Действующий в настоящее время Закон об информации, информационных технологиях и защите информации определяет информацию как сведения (сообщения, данные) независимо от формы их предоставления. Конфиденциальность информации определяется как обязательное требование не передавать такую информацию третьим лицам без согласия ее обладателя (ст. 2). Очевидно, что всякие сведения о частной жизни лица обладают конфиденциальным характером, однако определить их перечень в законе было бы затруднительно и вряд ли целесообразно, поскольку это неминуемо сужало бы понятие частной жизни и объем гарантий ее защиты. Бесспорно, что право на неприкосновенность частной жизни связано с целым рядом других основных прав и свобод, определяющих индивидуальность и автономию человеческой личности. Во всяком случае к конфиденциальной информации о частной жизни следует отнести сведения о расовом, национальном и социальном происхождении лица, данные о его духовном мире, об отношении к религии, о взглядах, мнениях и убеждениях, о морально-значимом поведении, данные о неофициальном общении и межличностных связях, семейных и интимных отношениях, сведения о принадлежности его к общественным объединениям, о здоровье, имуществе, доходах, о профессиональной деятельности, иные факты его биографии и жизни, которые он не считает возможным опубликовать. Лишь само лицо вправе определять, какие именно сведения имеют отношение к его частной жизни и какова степень чувствительности для него той информации о ней, раскрытие которой повлечет для него душевную боль или моральный ущерб.

        Между тем существует другая проблема. Множество государственных и муниципальных органов, юридических и физических лиц в силу своей компетенции или характера и целей деятельности накапливают у себя, хранят и используют данные, в том числе в виде компьютерных баз и информационных систем, которые содержат сведения, относящиеся к частной жизни граждан, а в определенных случаях обязывают их предоставлять им информацию такого рода. Это прежде всего правоохранительные органы, органы специального учета и регистрации, налоговые службы, медицинские пенсионные учреждения, работодатели службы бытовых услуг, банковские, страховые, маркетинговые и иные коммерческие организации и службы и т.д.

        Информация подобного рода может составлять содержание государственной, налоговой, врачебной, коммерческой, служебной, личной или семейной тайны. Специалисты насчитывают более 20 видов конфиденциальной информации, регулируемой сотнями законов и иных нормативных актов.*(249) С точки зрения требований ч. 1 ст. 24 Конституции РФ наиболее уязвимой является такая информация, по которой можно персонифицировать отдельную личность и которая находится вне пределов постоянного контроля данного лица. Законодательство РФ выделяет информацию такого рода в отдельную категорию персональные данные, которая хотя и пересекается с формулой «информация о частной жизни», но не вполне идентична ей.

        Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» относит к персональным данным любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию (ст. 3). Отдельно Закон выделяет биометрические персональные данные (ст. 11). Указанный Закон регулирует порядок обработки (сбора, систематизации, накопления, хранения, использования и распространения) персональных данных, в том числе с использованием средств автоматизации, для всех операторов, включая органы государственной власти и местного самоуправления, юридических и физических лиц.

        Принципы и условия обработки персональных данных соответствуют основным требованиям международных актов — Конвенции «О защите личности в связи с автоматической обработкой персональных данных», принятой в 1981 г. Советом Европы, а также рекомендациями Комитета Министров государств — членов Совета Европы 1986 и 1987 г., касающихся использования и защиты персональных данных. Так, персональная информация относится к категории конфиденциальной и не может распространяться без согласия субъекта. Обработка персональных данных допускается только с согласия субъектов персональных данных, за исключением случаев, перечисленных в законе. Сбор персональных данных должен осуществляться законным и добросовестным образом, исключительно в соответствии с определенными и заявленными целями и законными полномочиями оператора. Сведения должны носить точный и достоверный характер и не превышать необходимого для данных целей объема и срока хранения (ст. 6, 7).

        Закон особо оговаривает недопустимость обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Хотя и здесь предусмотрены определенные исключения (ст. 10). Одним из условий автоматизированной обработки персональных данных является то, что такая обработка сама по себе не может порождать юридические последствия в отношении субъекта этих данных (ч. 1 ст. 16).

        Субъект персональных данных при определенных условиях имеет право доступа к своим персональным данным, право на получение сведений об их содержании, источнике получения и иных лицах, имеющих доступ к его данным от оператора, о целях и способах обработки данных, право требовать их уточнения, блокирования или уничтожения. Он также дает письменное согласие на включение своих персональных данных в общедоступные источники (справочники, адресные книги и т.п.) (ст. 8, 14-17).

        Закон налагает на оператора обязанность принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Контроль и надзор за обработкой персональных данных возлагается также на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (ст. 23).

        Следует отметить, что конфиденциальность и защита персональных данных и информации о частной жизни предусматривается и целым рядом других федеральных законов: гл. 14 ТК, ст. 61, 68 Основ законодательства РФ об охране здоровья граждан, ст. 9 Закона РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании», ст. 139 СК, ст. 41 Закона о СМИ, ст. 3 Закона свободе совести и о религиозных объединениях, ст. 53 Федерального закона «О связи», ст. 16 Федерального закона от 02.12.1990 N 395-1 «О банках и банковской деятельности» (в ред. от 08.04.2008) и т.д.

        За нарушение требований по обеспечению безопасности персональных данных и конфиденциальности информации о частной жизни лица законодательство предусматривает гражданскую, административную (ст. 13.11 КоАП и др.), дисциплинарную и иную ответственность. Наиболее опасные посягательства в этой сфере влекут ответственность по УК: за нарушение неприкосновенности частной жизни, включая незаконное собирание или распространение сведений о частной жизни лица без его согласия (ст. 137), нарушение тайны связи (ст. 135), незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183), неправомерный доступ к компьютерной информации и иные преступления в этой сфере (ст. 272-274).

        Вместе с тем тогда, когда это представляет собой необходимую в демократическом обществе меру, направленную на защиту основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны и безопасности государства, федеральным законом в силу ч. 3 ст. 55 Конституции могут быть предусмотрены определенные ограничения права каждого на защиту информации о его частной жизни, которые не могут посягать при этом на существо конституционного права.

        Так, Федеральный закон «О персональных данных» делает исключение из общего требования о согласии субъектов на обработку их персональных данных для случаев, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения и круг субъектов персональных данных, а также определяет полномочия оператора. Кроме того, предусмотрен ряд случаев, когда это оправдано публичными интересами или интересами самого субъекта (ст. 6, 10). Исключения, в частности, допускаются, когда обработка персональных данных необходима в связи с осуществлением правосудия или осуществляется в соответствии с законодательством о безопасности, об оперативно-розыскной деятельности, в соответствии с уголовно-процессуальным или уголовно-исполнительным законодательством (ст. 10, 11, 14 и др.).

        При этом, однако, всеми государственными органами и должностными лицами должны соблюдаться указанные выше общие принципы сбора и обработки информации о частной жизни граждан, включая законность целей и полномочий, добросовестность, достоверность, достаточность соответствующих сведений и т.п., а у граждан должна оставаться возможность контроля за такой информацией и судебной защиты своих прав.

        Наиболее уязвимой с этой точки зрения представляется сфера оперативно-розыскной деятельности, которой в настоящее время занимается значительное количество специальных служб, а способы их деятельности сами по себе предполагают конспиративный, негласный, тайный характер, включая сбор информации о частной жизни. Практика и ряд исследований отмечают при этом недопустимую неопределенность и размытость правового регулирования оперативно-розыскной деятельности, отсутствие законной процедуры, неадекватно широкое усмотрение спецслужб в определении своих полномочий, неэффективность контроля и судебной защиты от возможного произвола, что существенно снижает уровень гарантий неприкосновенности частной жизни.*(250)

        Следует отметить, что право на конфиденциальность частной жизни в определенных случаях может вступать в конфликт с правом свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч. 4 ст. 29 Конституции РФ). Речь идет о государственных и общественных деятелях, известных личностях и популярных персонах, представляющих общественный интерес. Судебная практика, в том числе практика Европейского Суда по правам человека, признает, что личная жизнь таких лиц должна быть более открыта для публики, однако поиск пределов этой открытости и баланса интересов представляется пока незаконченным.

        2. Часть 2 комментируемой статьи 24 Конституции России закрепляет право каждого на доступ не только к своей персональной информации, но к любым другим сведениям, непосредственно затрагивающим права и свободы, обязывая органы государственной власти и местного самоуправления, а также их должностных лиц обеспечивать возможность ознакомления с соответствующими документами и материалами. Указанное право корреспондирует не только принципу свободы информации (ч. 4 ст. 29 КРФ), но и праву каждого защищать свои права и свободы всеми способами, не запрещенными законом, в том числе и в суде (ст. 45, 46 Конституции).

        Закон об информации, информационных технологиях и защите информации разделяет информацию на общедоступную и информацию, доступ к которой может быть ограничен федеральными законами. К информации ограниченного доступа относятся сведения, составляющие государственную и иную тайну. Критерии отнесения к соответствующей категории тайны и перечни конфиденциальных сведений должны быть установлены федеральными законами. Вместе с тем не может быть ограничен доступ:

        — к нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

        — информации о состоянии окружающей среды;

        — информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (кроме сведений, составляющих государственную или служебную тайну);

        — информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан и организаций такой информацией;

        — иной информации, недопустимость ограничения доступа к которой установлена федеральными законами (ч. 4 ст. 8).

        Статья 140 УК устанавливает уголовную ответственность должностных лиц за неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан. А ст. 237 УК вводит уголовную ответственность за сокрытие информации об обстоятельствах, создающих опасность для жизни и здоровья людей.

        В Постановлении от 18.02.2000 N 3-П*(251) Конституционный Суд сформулировал важные позиции, касающиеся получения информации (речь шла о материалах прокурорской проверки), непосредственно затрагивающей права и интересы заявителя. Конституционный Суд РФ указал, в частности, что право каждого на получение информации, непосредственно затрагивающей его права и свободы, и корреспондирующая этому праву обязанность органов государственной власти и их должностных лиц предоставить такую информацию не могут быть полностью исключены, что привело бы к недопустимому умалению самого конституционного права. Установленные пределы ограничения должны быть соразмерны и могут быть обусловлены исключительно содержанием информации. Рациональная организация деятельности органов власти не может служить основанием для ограничения этого права. При этом суд не может быть лишен возможности определять, обоснованно ли по существу признание тех или иных сведений не подлежащими распространению.

        constrf.ru

    admin

    Обсуждение закрыто.