О соблюдении баланса интересов при установлении мер защиты персональных данных
(Терещенко Л. К.) («Журнал российского права», 2011, N 5)
О СОБЛЮДЕНИИ БАЛАНСА ИНТЕРЕСОВ ПРИ УСТАНОВЛЕНИИ МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Л. К. ТЕРЕЩЕНКО
Терещенко Людмила Константиновна, заместитель заведующего отделом административного законодательства и процесса ИЗиСП, заслуженный юрист РФ, кандидат юридических наук.
Рассматриваются вопросы правового режима персональных данных, применения российского законодательства о персональных данных и его согласованности с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных.
Ключевые слова: персональные данные, право на неприкосновенность частной жизни, ограничения прав, судебная практика.
On maintenance of balance of interests in institution of measures of personal data protection L. K. Tereschenko
The article is devoted to the issues of legal status of personal data, to problems appearing in the process of application of legislation on personal data, concordance of Russian legislation on personal data with the Convention for the protection of individuals with regard to automatic processing of personal data.
Key words: personal data, privacy, restriction of rights, judicial practice.
В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных», а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию. Следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось, и страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/EC и 97/66/EC Европейского Парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. При установлении требований по защите персональных данных принципиальным моментом является обеспечение баланса интересов личности, общества и бизнес-структур, что предполагает соразмерность, обоснованность и выполнимость этих требований. Указанное положение реализуется в национальном законодательстве стран Европейского сообщества, которое, как правило, включает требование по обеспечению адекватной защиты персональных данных. Значение понятия «адекватность защиты» может отличаться в разных странах, но несущественно. Следует отметить, что право на неприкосновенность частной жизни и, как следствие, право на защиту персональных данных — это право относительное, а не абсолютное <1>. Об этом свидетельствуют как нормы Конвенции о защите физических лиц при автоматизированной обработке персональных данных, Европейской конвенции о защите прав человека и основных свобод 1950 г., так и нормы Конституции РФ. ——————————— <1> См.: Терещенко Л. К. К вопросу о правовом режиме информации // Информационное право. 2008. N 1.
Европейская конвенция о защите прав человека и основных свобод содержит ст. 8, устанавливающую право на уважение частной и семейной жизни, включая запрет на вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц. Конституция РФ содержит близкие по смыслу нормы, непосредственно затрагивающие защиту персональных данных. Так, согласно ст. 23 (ч. 1) каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а в соответствии со ст. 24 (ч. 1) сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. По сути, норма, установленная ч. 1 ст. 24, Конституции РФ является одной из норм, составляющих понятие неприкосновенности частной жизни. Из приведенных норм Конституции РФ прямо не следует вывод о необходимости нахождения баланса интересов личности и общества, как это вытекает из положений Европейской конвенции о защите прав человека и основных свобод. Однако следует учитывать, что Конституция РФ содержит норму, согласно которой права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ст. 55). Таким образом, можно утверждать, что установленные Конституцией РФ основы правового режима персональных данных близки по своему содержанию к режиму, установленному европейскими актами <2>. ——————————— <2> См.: Волчинская Е. К. Роль государства в обеспечении информационной безопасности // Информационное право. 2008. N 4.
Вместе с тем наблюдается тенденция рассматривать защиту персональных данных как самостоятельное право гражданина, т. е. отдельно от более широкого права на уважение частной и семейной жизни. К персональным данным российское законодательство причисляет любую информацию, относящуюся к определенному (или определяемому на основании такой информации) физическому лицу — субъекту персональных данных, в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы <3>. Перечень персональных данных не является исчерпывающим: он может включать любую другую информацию, позволяющую идентифицировать личность человека <4>. ——————————— <3> См.: Бундин М. В. Персональные данные как термин российского законодательства // Правовые вопросы связи. 2009. N 1. <4> См.: Корейво Е. В. Права человека в международно-правовых актах: проблемы дефинирования // Международное публичное и частное право. 2010. N 1.
В отношении персональных данных установлен режим конфиденциальности, исключения из которого содержатся как в самом Федеральном законе «О персональных данных», так и в других федеральных законах. Субъекты РФ не вправе принимать законы, изменяющие установленный федеральным законодателем режим персональных данных. Обработка персональных данных, под которой понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение, может осуществляться только с согласия субъектов персональных данных. Согласия субъекта персональных данных не требуется в случаях, когда обработка персональных данных: 1) осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных; 4) необходима для защиты жизни, здоровья или иных жизненно важных интересов самого субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 5) необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи; 6) осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 7) касается персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности. Кроме того, законодателем установлены особенности обработки специальных категорий персональных данных, которые, по сути, также являются исключениями из общего режима, но в сторону введения больших ограничений и запретов. Такой подход вполне оправдан, поскольку специальные категории персональных данных касаются наиболее значимых для любого человека сведений, в частности его религиозных и политических убеждений, расовой и национальной принадлежности, состояния его здоровья и т. д. Таким образом, общим правилом является наличие согласия субъекта персональных данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. Данное субъектом персональных данных согласие на их обработку не является окончательным. Оно может быть отозвано субъектом персональных данных. При этом ему не нужно объяснять причины своего решения или выполнять какие-либо условия, необходимо только уведомить оператора персональных данных о своем решении. В случае отзыва субъектом персональных данных согласия на обработку своих данных оператор обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. Право отзыва согласия на обработку персональных данных не распространяется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации). Практически все государственные и муниципальные органы создают в пределах своих полномочий государственные или муниципальные информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве государственных и муниципальных органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты. Вместе с тем нередки случаи утечки информации из государственных и муниципальных информационных систем, т. е. из закрытых баз данных, предназначенных для служебного пользования. В частности, это касается информации, которая собирается и обрабатывается в финансовых и налоговых службах, информации о недвижимости и ее собственниках, о регистрации автотранспортных средств и их владельцах. Анализ практики эксплуатации различных информационных систем показывает, что в основном такая утечка происходила либо из-за нарушения правил о конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в прикладных системах. Очевидно, что вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день инсайдерство наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит огромные доходы. Обновлением баз данных занимаются инсайдеры. Проверки Роскомнадзора показали, что во многих организациях созданы все условия для потенциального инсайдерства, в том числе в форме нарушения требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к информационным базам, внутренним документам, регламентирующим режим и порядок доступа к информационным системам. Полученная в результате утечки информация размещается на частных интернет-сайтах, распространяется или продается в сети Интернет, на дисках. Нет уверенности в том, что сведения, предоставленные государственным или муниципальным органам и имеющие режим конфиденциальности, не получат общественной огласки и не станут доступны любому пользователю Интернета. Данная проблема неоднократно была предметом рассмотрения на заседаниях и слушаниях в парламенте. Ее решение возможно путем комплексного подхода, направленного на предотвращение деятельности всех участников цепочки нелегальной утечки информации: от инсайдера до продавца баз данных. Однако положительных изменений пока не наблюдается. Действующая законодательная база направлена на обеспечение защиты собственно информации, а не прав граждан при обработке их персональных данных в информационных системах <5>. ——————————— <5> См.: Кучеренко А. В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. N 4.
Вместе с тем официально получить персональные данные о конкретном человеке бывает затруднительно, а порой и невозможно, поскольку баланс интересов в Федеральном законе «О персональных данных» не соблюден. Вопрос о соотношении интересов гражданина и общества, общественных и частных интересов решен в пользу гражданина, т. е. частных интересов. В этом плане показателен судебный процесс, проходивший в г. Москве, когда лицу, а потом и его адвокату органы государственной власти отказали в предоставлении сведений о месте регистрации физического лица, к которому должен был быть предъявлен иск о возмещении ущерба. Суд счел такой отказ правомерным, сославшись на Федеральный закон «О персональных данных», где установлен режим конфиденциальности в отношении персональных данных, на необходимость получения согласия субъекта персональных данных на их передачу и обработку и на отсутствие в указанном Законе исключений, под которые подпадал бы данный случай. Однако такая трактовка норм Федерального закона «О персональных данных» лишает гражданина возможности реализовать свое конституционное право на судебную защиту нарушенных прав. Одна из гарантий защиты прав субъектов персональных данных, предусмотренная ст. 22 названного Закона, — обязанность оператора до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения; полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей; предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; являющихся общедоступными персональными данными; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Один из принципов обработки персональных данных — обработка только в установленных и заранее объявленных целях, по достижении которых оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, а также уведомить об этом субъекта персональных данных или его законного представителя. Данное требование представляется вполне справедливым, но на практике реализация указанной нормы проблематична в части соблюдения столь короткого срока. Это касается тех операторов, которые имеют большое число клиентов (кредитные организации, операторы связи и т. д.). Происходит столкновение законных интересов как минимум двух сторон: того, кто обладает теми или иными сведениями и желал бы распространить на них свой суверенитет, и того, кто имеет правомерные основания на получение этих сведений. В таких случаях важно соблюсти баланс интересов. Специалисты-правоведы обращают внимание на дисбаланс интересов в российском законодательстве в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностей операторов <6>. Этим существенно различаются положения Федерального закона «О персональных данных» и Конвенции о защите физических лиц при автоматизированной обработке персональных данных. ——————————— <6> См.: Назарова Д. Н. Проблемы правовой охраны операторами персональных данных // Информационное право. 2010. N 1.
В странах, ратифицировавших данную Конвенцию, от операторов не требуется применения каких-либо специальных мер защиты, кроме общепринятых. Им необходимо в первую очередь обращать внимание на управление информационной безопасностью, на обучение персонала. Выбор конкретных мер защиты, технических решений, стандартов, которыми необходимо руководствоваться, архитектур информационных систем остается в компетенции оператора, как и непосредственная оценка риска нарушения безопасности данных. Операторы сами определяют требуемые меры защиты данных с учетом их природы и объема, стоимости применения мер защиты, характеристик информационных систем оператора. Кроме того, в большей части законодательных актов стран Европейского сообщества имеется норма, прямо указывающая на необходимость соблюдения экономической целесообразности мер по защите персональных данных при отсутствии требований по установлению конкретных технических мер по защите персональных данных. Иными словами, в нормативных документах зарубежных государств устанавливаются требования относительно содержательной характеристики защиты персональных данных, в то время как в России подзаконными нормативными правовыми актами установлены формальные требования, не имеющие отношения к содержательному обеспечению защиты персональных данных. Безопасность персональных данных должна быть достигнута путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Согласно Постановлению Правительства РФ от 17 ноября 2007 г. N 781 операторы обеспечивают безопасность персональных данных при их обработке в информационных системах с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны соответствовать установленным требованиям, обеспечивающим защиту информации. Методы и способы ее защиты в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Степень достаточности принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается во время проведения государственного контроля и надзора. При этом нет необходимости в обязательной реализации всех предусмотренных мер с точки зрения величины возможного ущерба, который может быть нанесен субъектам персональных данных вследствие непринятия этих мер. Федеральный закон «О персональных данных» построен достаточно четко и логично. Однако персональные данные включают настолько различную информацию, что сформировать единый правовой режим персональных данных для всех случаев оказывается невозможным. В качестве подтверждения этому приведем Определение Верховного Суда РФ от 27 февраля 2008 г. N 3-Г08-3 по иску прокурора Республики Коми о признании ряда норм Положения об аккредитации представителей средств массовой информации при Главе Республики Коми, утвержденного Указом Главы Республики Коми от 19 декабря 2006 г. N 143 «Об аккредитации представителей средств массовой информации при Главе Республики Коми», противоречащими требованиям федерального законодательства и признании их недействующими со дня принятия. В частности, обращаясь в суд, прокурор указал на подп. 1 п. 9 о необходимости представления редакцией средства массовой информации в Управление по связям с общественностью и информации администрации Главы Республики Коми и Правительства Республики Коми сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов; подп. 2 п. 15 в той части, в какой он предусматривает возможность отказа в аккредитации при представлении средством массовой информации заявки, не содержащей сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов. Оспаривая указанные нормы, прокурор ссылался на Федеральный закон «О персональных данных», который не относит Главу Республики Коми к операторам, осуществляющим обработку персональных данных, и при этом запрещает обработку таких данных без согласия аккредитуемого журналиста. На стороне ответчика выступали представители Главы Республики Коми, которые не соглашались с заявленными требованиями прокурора Республики Коми. Изучив материалы дела, Судебная коллегия по гражданским делам ВС РФ пришла к следующим выводам. Суд не установил противоречия действующему федеральному законодательству положений подп. 1 п. 9 в той части, в какой он предусматривает представление редакцией средства массовой информации в Управление по связям с общественностью и информации администрации Главы Республики Коми и Правительства Республики Коми сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов, и подп. 2 п. 15 в той части, в какой он предусматривает возможность отказа в аккредитации при представлении средством массовой информации заявки, не содержащей сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов. В силу ст. 1, 38, 39, 48 Закона РФ «О средствах массовой информации» аккредитация по заявкам редакций средств массовой информации журналистов при государственных органах, организациях, учреждениях, органах общественных объединений направлена, прежде всего, на оперативное получение полной информации о деятельности данных органов, организаций, учреждений и доведение этой информации до неопределенного круга лиц. В связи с этим аккредитовавшие журналистов органы, организации, учреждения обязаны предварительно извещать их о заседаниях, совещаниях и других мероприятиях, обеспечивать стенограммами, протоколами и иными документами, создавать благоприятные условия для производства записи. Для исполнения же указанной обязанности уполномоченные должностные лица органов, организаций и учреждений должны располагать сведениями о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитованных журналистов, поскольку непредставление редакцией средства массовой информации данного минимума персональных данных может привести как к нарушению предусмотренных ст. 47, 48 Закона РФ «О средствах массовой информации» прав журналистов, так и к ущемлению права граждан на получение оперативной и достоверной информации о деятельности органов, организаций и учреждений, аккредитовавших журналистов. Существенное значение в данном случае имеет и то обстоятельство, что в силу требований Закона РФ «О средствах массовой информации» аккредитация журналиста по правилам, установленным соответствующими органами, организациями и учреждениями, возможна только на основании его волеизъявления, в связи с чем предполагается согласие этого журналиста на передачу редакцией сведений о его фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов. Судом также было обращено внимание на то, что аккредитация журналиста при органах, организациях и учреждениях непосредственно связана с его профессиональной деятельностью по поиску, получению и распространению информации и поэтому в соответствии с п. 6 ч. 2 ст. 6 Федерального закона «О персональных данных» необходимый для реализации требований ст. 48 Закона РФ «О средствах массовой информации» минимум персональных данных журналиста может передаваться в орган, осуществляющий его аккредитацию, и без согласия этого журналиста. Таким образом, вопрос о защите персональных данных во многих случаях следует решать с учетом специального статуса субъекта персональных данных; принимаемые меры защиты должны быть выполнимыми и соответствовать природе обрабатываемых данных и масштабам обработки. Однако в любом случае за субъектом персональных данных сохраняется право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, в частности, если субъект персональных данных считает, что оператор осуществляет обработку его данных с нарушением требований, касающихся защиты прав и свобод.
Библиографический список
Бундин М. В. Персональные данные как термин российского законодательства // Правовые вопросы связи. 2009. N 1. Волчинская Е. К. Роль государства в обеспечении информационной безопасности // Информационное право. 2008. N 4. Корейво Е. В. Права человека в международно-правовых актах: проблемы дефинирования // Международное публичное и частное право. 2010. N 1. Кучеренко А. В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. N 4. Назарова Д. Н. Проблемы правовой охраны операторами персональных данных // Информационное право. 2010. N 1. Терещенко Л. К. К вопросу о правовом режиме информации // Информационное право. 2008. N 1.
——————————————————————