Основные положения Федерального закона «О персональных данных»

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором, а также цель такой обработки
• способы обработки персональных данных, применяемые оператором
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ
• перечень обрабатываемых персональных данных и источник их получения
• сроки обработки персональных данных, в том числе сроки их хранения
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных

В некоторых случаях, право субъекта на доступ к своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц. Особо отметим права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.

Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Оператор обязан рассмотреть возражение в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

Существует также право на обжалование действий или бездействия оператора. Руководствуясь этим правом , если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Также закон регламентирует и обязанности оператора, которые неразделимо связаны с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя
• цель обработки персональных данных и ее правовое основание
• предполагаемые пользователи персональных данных
• установленные настоящим Федеральным законом права субъекта персональных данных.

1.4 Контроль и надзор за обработкой персональных данных.

Федеральными органами исполнительной власти возлагается обязанность по осуществлению защиты прав субъектов персональных данных, контроля и надзора за соответствием обработки персональных данных. Об Уполномоченном органе по защите прав субъектов персональных данных подробно говорится в ст. 21 законопроекта, а в некоторых других статьях законопроекта есть на него ссылки.

Как уже было изложено, во многих странах мира существуют уполномоченные по защите персональных данных и частной жизни или соответствующие комиссии/комитеты. Их главная задача – контроль над исполнением законодательства в этой области. Статус, структура и компетенция уполномоченных органов определяются в тех же законах о персональных данных и частной жизни.

Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, которые я излагаю далее:

• запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию
• осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий
• требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных
• принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона "О персональных данных"
• обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде
• направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных
• направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
• вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных
• привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона

Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.

Уполномоченному органу также должна обеспечиваться конфиденциальность.

Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:

• организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
• рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
• вести реестр операторов;
• осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
• принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
• информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
• выполнять иные предусмотренные законодательством Российской Федерации обязанности

Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

1.5 Требования  к защите персональных данных  при их обработке в информационных  системах персональных данных.

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".

В данную систему включаются организационные и технические меры осуществляемых с помощью информационных технологий для предотвращения различного рода угроз влияющих на безопасность персональных данных субъекта.

На операторов системы, в которой обрабатываются персональные данные субъекта, возлагается обязанность по безопасности персональных данных при их обработке в информационной системе. Средства защиты выбираются оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных:

1 уровень  защищенности персональных данных  обеспечивается:

При наличии актуальной угрозы 1-го типа, когда информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данные.