Защита персональных данных личности как информационная функция современного государства
(Туркиашвили А. М.)
(«Современный юрист», 2013, N 4 (Октябрь-Декабрь))
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЧНОСТИ
КАК ИНФОРМАЦИОННАЯ ФУНКЦИЯ СОВРЕМЕННОГО ГОСУДАРСТВА
А. М. ТУРКИАШВИЛИ
Туркиашвили Анна Михайловна, студентка 4 курс СЮ4-3А юридического факультета Финансового университета при Правительстве Российской Федерации, Москва.
В данной статье рассматривается механизм государственно-правовой защиты персональных данных личности на базе действующих статей Кодекса об административных правонарушениях РФ. Раскрывается конституционная значимость охраны персональных данных. Анализируются и обобщаются данные уполномоченного органа по защите прав субъектов персональных данных за последние годы. На их основе вносятся соответствующие предложения по изменению и дополнению правовых норм в рамках рассматриваемой отрасли.
Ключевые слова: персональные данные, уполномоченный орган по защите прав субъектов персональных данных, Кодекс об административных правонарушениях РФ, исковая давность, система штрафов, полномочия, административная ответственность.
Protection of personal data of the person as an informational function of the modern state
A. M. Turkiashvili
This article discusses the mechanism of state-legal protection of personal data of personality based on the existing articles of the Code of administrative offences of the Russian Federation. It expands the importance of the constitutional protection of personal data. Analyzed and summarized data to the authorized body for protection of rights of personal data in recent years. Based on them, make appropriate proposals on changes and amendments of legal provisions in the framework of branch of law.
Key words: personal data, the authorized body to protect human subjects of personal data, the Code of administrative offences of the Russian Federation, the offenses are fines, legal imitation, administrative responsibility.
Еще в прошлом столетии английский писатель-фантаст Нил Гейман назвал информацию одной из валют, никогда не выходящих из моды. С этим, на мой взгляд, сложно не согласиться. Безусловно, XXI век по праву можно назвать информационным, поскольку все сферы человеческой жизни так или иначе связаны с движением информационных потоков. Государство, как единый централизованный механизм управления, призвано обеспечивать всестороннюю правовую защиту граждан, в том числе и от несанкционированного доступа к информации третьих лиц в неправомерных целях. Как показывает практика, грубое нарушение информационных прав становится слишком частым явлением в современном обществе, что, без всякого сомнения, подчеркивает значимость выполнения информационной защиты со стороны государства. Главным образом, это касается вопроса наличия соответствующей нормативно-правовой базы и эффективной системы ее применения. В связи с чем видится актуальным рассмотрение государственно-правового механизма защиты информации, а именно института обращения персональных данных.
Конституция РФ, как Основной Закон государства, в соответствии со ст. 29 гарантирует право каждого на свободный поиск, получение, передачу, производство и распространение информации любым законным способом [1]. Право на информацию закреплялось и в ст. 62 предыдущей Конституции, однако механизм его реализации на практике не был предусмотрен, в связи с чем далеко не всегда им могли воспользоваться [2].
Ныне действующая Конституция расширяет перечень информационных прав, конкретизируя их в ст. 23 (право на неприкосновенность частной жизни и защиту личной и семейной тайны) и ст. 24 (запрет обработки информации о лице без его согласия) [3]. Эти нормы полностью распространяются на персональные данные. Согласно ст. 3 Федерального закона N 152-ФЗ «О персональных данных», к персональным данным относится любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) [4]. Разбираясь в данном понятии, стоит отметить, что информация, содержащая, к примеру, место, дату рождения или отдельный адрес, не считается персональными данными. Под указанную категорию она подпадет исключительно при наличии связи с конкретной фамилией, именем и отчеством.
В развитых странах персональные данные давно защищаются на государственном уровне при помощи различных законов и правовых актов. В России же соответствующее законодательство стало работать лишь только с 2007 года, что, на мой взгляд, объясняет наличие определенных юридических пробелов и, как следствие, несовершенство государственно-правового механизма регулирования [5].
Российская практика указывает на серьезную необходимость устранения «правовых ям» в данной области. Прежде всего об этом свидетельствуют существующие показатели совершенных правонарушений за последние несколько лет, приведенные уполномоченным органом по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Так, в 2012 году было составлено 5359 протоколов об административных правонарушениях, связанных с обращением персональных данных, в 2011 году эта цифра составляла 4901, что в 2 раза превышает показатели 2010 года (рис. 1).
6000
5000
4000
3000
2000 / *
/ *
* / *
* / * /
1000 / * / * / *
/ * / * / *
* / * / * / *
/ * / * / * / *
0
/ Проверки
* Предписания
Протоколы
Рис. 1. Показатели действий государственных органов
в области защиты персональных данных, направленных
на соблюдение норм законодательства
Из этих же материалов следует, что чаще всего нарушаются:
1) нормы Федерального закона N 152-ФЗ «О персональных данных»:
а) ст. 7 — требования «закрытой» обработки данных личного характера;
б) ч. 3 ст. 18 — неуведомление гражданина о процессе обработки его данных;
2) п. 15 Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ [6].
За 2011 год мировыми судьями по 4315 случаям были вынесены постановления о привлечении операторов, осуществляющих обработку персональных данных с нарушениями норм действующего законодательства, к административной ответственности на общую сумму 7,9 млн. рублей. Что касается минувшего 2012 года, то показатели выросли до 4786 случаев с общей суммой в 8680150 рублей, что подтверждает наличие тенденции к увеличению противоправных деяний (рис. 2) [7, 8].
Рис. 2. Общая сумма штрафов, взысканных с нарушителей
законодательства по защите персональных данных
Законодательная база в рамках Кодекса об административных правонарушениях предусматривает целый ряд статей, регулирующих правоотношения в сфере обращения персональных данных. Рассмотрим их более детально на примере соотношения субъекта-нарушителя и применимой к нему меры административной ответственности (табл. 1).
Таблица 1
Правонарушения при обработке персональных данных
13.11. Нарушение порядка Физ. лицо Штраф до 500 руб.
сбора, хранения, Должн. лицо Штраф до 1 тыс. руб.
использования или Юридич. лицо Штраф до 10 тыс. руб.
распространения п/д
13.12. Нарушение правил Физ. лицо Штраф до 1 тыс. руб.
защиты информации Должн. лицо Штраф до 4 тыс. руб.
Юридич. лицо Штраф до 30 тыс. руб.
13.13. Незаконная Физ. лицо Штраф до 1 тыс. руб.
деятельность по защите Должн. лицо Штраф до 5 тыс. руб.
информации Юридич. лицо Штраф до 40 тыс. руб.
13.14. Разглашение Физ. лицо Штраф до 1 тыс. руб.
информации с ограниченным Должн. лицо Штраф до 5 тыс. руб.
доступом
19.4. Неповиновение Физ. лицо Штраф до 2 тыс. руб.
законному распоряжению Должн. Лицо Штраф до 20 тыс. руб.
должностного лица Юридич. лицо Штраф до 40 тыс. руб.
органа, осуществляющего
государственный надзор
19.5. Невыполнение в срок Физ. лицо Штраф до 500 руб.
законного предписания Должн. лицо Штраф до 2 тыс. руб.
органа, осуществляющего Дисквалиф. до 3 лет
государственный надзор Юридич. лицо Штраф до 20 тыс. руб.
(Роскомнадзор)
19.6. Непринятие мер по Должн. лицо Штраф до 5 тыс. руб.
устранению причин и
условий правонарушения
19.7. Непредставление или Физ. лицо Штраф до 300 руб.
несвоевременное Должн. лицо Штраф до 500 руб.
представление в гос. орган Юридич. лицо Штраф до 5 тыс. руб.
(Роскомнадзор) [9]
19.20. Осуществление Физ. лицо Штраф до 1 тыс. руб.
деятельности без лицензии Предприниматель Штраф до 20 тыс. руб.
или с нарушением ее условий Должн. лицо Штраф до 50 тыс. руб.
[10]
Юридич. лицо Штраф до 150 тыс. руб.
[11]
Анализируя данные статьи, видится целесообразным внесение изменений в части применения штрафных санкций. На мой взгляд, по некоторым из приведенных составов они не столь значительны, поэтому нарушителю на сегодняшний день гораздо выгодней заплатить установленный штраф, чем исполнить все необходимые технические и нормативные требования. Также предлагается не только увеличить сумму штрафа, но и ввести уровневую систему ее исчисления.
Например, некоторое юридическое лицо было привлечено к административной ответственности по ст. 13.11 КоАП, за что в качестве меры наказания ему был назначен соответствующий штраф. Однако через год был установлен факт повторного нарушения этим юридическим лицом вышеуказанной нормы. В таком случае стоит применять более строгую административную меру наказания, так как налицо рецидив нарушения. Для потенциального нарушителя штраф должен служить своего рода мотиватором отказа от нарушения действующих правовых норм, а не законным способом уклонения от лишних затрат.
Статья 13.11 приводится в качестве примера неслучайно. Как показывает практика, большинство правонарушений, связанных с оборотом персональных данных, подпадает именно под ее действие. За 2011 год по данной статье Роскомнадзором в органы прокуратуры было направлено около 900 материалов. В результате проверки по 167 случаям суд вынес постановления о привлечении операторов к административной ответственности. Несмотря на то что в остальных случаях также имелось фактическое нарушение закона, к злоумышленникам не удалось применить соответствующее наказание в связи с истечением срока давности (для ст. 13.11 он равен трем месяцам). Аналогичная ситуация наблюдалась в 2012 году: из 710 материалов, направленных в прокуратуру, по 164 были возбуждены дела по нарушению ст. 13.11 КоАП РФ, о чем судом были вынесены соответствующие постановления. В 113 случаях органы прокуратуры приняли иные меры воздействия (предписания и т. д.). Однако стоит отметить, что по остальным случаям с аналогичными составами нарушений мер реагирования предпринято не было из-за пропуска срока давности [12].
С точки зрения правоприменения такого временного отрезка недостаточно для привлечения к ответственности всех нарушителей. По этой причине видится разумным возложить полномочия по возбуждению административного производства по ст. 13.11 КоАП РФ также и на уполномоченный орган по защите прав субъектов персональных данных. Такой механизм сотрудничества Роскомнадзора, правоохранительных органов и прокуратуры позволит обеспечить реализацию принципа неотвратимости наказания и одновременно предотвратить значительное число нарушений в будущем.
Граждане, несмотря на достаточно широкие возможности защиты своих прав (самозащита путем прямого обращения к оператору с требованием устранения нарушения их информационных прав; обращение в суд), предпочитают обращаться именно в уполномоченный орган по защите прав субъектов персональных данных. Ежегодное количество жалоб, поступающих в Роскомнадзор, позволяет сделать вывод об эффективности работы этого государственного органа (так, если в 2008 году насчитывалось всего 146 обращений, то в 2011 это число достигло почти 4000-й отметки). Относительно непосредственной деятельности, уполномоченный орган за 2012 год провел 267 плановых проверок (в 2011 году — 184 проверки) коллекторских и кадровых агентств, а также служб по авиаперевозкам пассажиров. В результате по факту несоответствия деятельности по обработке личных данных действующему законодательству операторам было выдано 193 предписания (в 2011 году — 176 предписаний) по устранению всех недочетов, 533 протокола были направлены на судебное рассмотрение (на 2011 год протоколов было примерно в 8 раз меньше) [13].
Безусловно, значимость работы Роскомнадзора неоспорима, однако эффективность осуществления информационной функции государством остается неполной ввиду ранее обозначенных проблем в законодательстве. На мой взгляд, введение в действие предложенных решений позволит значительно снизить количество потенциальных операторов-нарушителей, уклоняющихся от справедливого наказания. И как следствие, обеспечит полную защиту прав и интересов субъектов персональных данных в современном государстве.
В заключение отметим ряд изменений, произошедших в первой половине 2013 года в законодательстве, которые так или иначе затрагивают права субъектов персональных данных. Прежде всего раздел «Защита персональных данных» в Трудовом кодексе РФ претерпел некоторые корректировки. В частности, статья 85, характеризующая понятие и обработку персональных данных, утратила свою силу [14]. Следовательно, на сегодняшний день определение персональных данных, закрепленное в Федеральном законе N 152-ФЗ, будет применимо и к отрасли трудового права. На мой взгляд, указанное изменение ужесточит ответственность работодателей — операторов персональных данных, что будет способствовать большей защищенности данного института.
Внесение поправок в Федеральный закон N 126-ФЗ «О связи» также коснулось сферы защиты личной информации [15]. Так, согласно ст. 53 вышеупомянутого Закона, операторы получают право создавать базы с использованием персональных данных гражданина, включающих его имя, фамилию, отчество. Касательно юридических лиц можно указывать данные о руководителе, юридический адрес, наименование организации и т. д. Однако любая информация, затрагивающая интересы абонента, должна быть исключена оператором из таких баз на основании письменного заявления. В редакции от 07.05.2013 Закон предусматривает право оператора возлагать обработку данных гражданина, который является абонентом связи, на третьих лиц. Но отметим, что вместе с тем законодатель возложил именно на оператора обязанность доказывания наличия у него согласия на раскрытие данных абонента третьим лицам.
Введение части 6.1 статьи 29 Гражданского процессуального кодекса РФ позволяет субъектам персональных данных подавать исковые заявления для обеспечения защиты своих интересов путем возмещения ущерба и морального вреда в случаях нарушения их прав (также по месту, где проживает истец) [16, 17].
Анализируя указанные изменения, справедливо признать наличие тенденции к ужесточению правовых норм, затрагивающих права и интересы непосредственно самих субъектов персональных данных. В процессе принятия значимых новелл в исследуемой области видится логичным внесение ранее названных предложений относительно компетенции Роскомнадзора, исковой давности КоАП, а также увеличения суммы штрафов за нарушение норм соответствующих статей. Такая динамика изменений позволит, на мой взгляд, достичь более эффективного функционирования правового механизма защиты личной информации как неотъемлемого атрибута современного государства.
Список литературы
1. Родичев Ю. А. Правовая защита персональных данных. Самара: Самарский университет, 2010. С. 39.
2. Конституция (Основной Закон) Российской Федерации — России (принята ВС РСФСР 12.04.1978) (ред. от 10.12.1992) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=ESU;n=1739 (дата обращения: 01.10.2013).
3. Конституция Российской Федерации от 12.12.1993 // Российская газета. 25.12.2009. N 197.
4. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (в ред. от 23.07.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=149747 (дата обращения: 01.10.2013).
5. Кухаренко Т. А. Персональные данные: кто, что и зачем должен о нас знать. М.: Эксмо, 2010. С. 5.
6. Постановление Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=80028 (дата обращения: 01.10.2013).
7. Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2011 год // Сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций // URL: http://www. rsoc. ru (дата обращения: 01.10.2013).
8. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год // Сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: URL: http://www. rsoc. ru (дата обращения: 01.10.2013).
9. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 30.09.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=152529 (дата обращения: 01.10.2013).
10. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 30.09.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=152529 (дата обращения: 01.10.2013).
11. Родичев Ю. А. Правовая защита персональных данных. Самара: Самарский университет, 2010. С. 60.
12. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных за 2012 год // Сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: URL: http://www. rsoc. ru (дата обращения: 01.10.2013).
13. Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2011 год // Сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций: URL: http://www. rsoc. ru (дата обращения: 01.10.2013).
14. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 23.07.2013) (с изм. и доп., вступающими в силу с 01.09.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=148790 (дата обращения: 01.10.2013).
15. Федеральный закон от 07.07.2003 N 126-ФЗ «О связи» (ред. от 02.07.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=148670 (дата обращения: 01.10.2013).
16. Путин подписал закон, усиливающий защиту персональных данных // Сайт «Бухгалтерский учет. Налогообложение. Аудит»: URL: http://www. audit-it. ru/news/ personnel/ 587931.html (дата обращения: 01.10.2013).
17. Гражданский процессуальный кодекс Российской Федерации от 14.11.2002 N 138-ФЗ (ред. от 02.07.2013) (с изм. и доп., вступающими в силу с 02.10.2013) // СПС «КонсультантПлюс». URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=149004 (дата обращения: 04.10.2013).
References
1. Rodichev Y. A. Legal assistance of personal data. Samara: University of Samara, 2010. P. 39.
2. The Constitution of the Russian Federation (Fundamental law) (enacted by ALL-Union Congress of RSFSR 12.04.1978) (as revised of 10.12.1992) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=ESU;n=1739 (inquiry date: 01.10.2013).
3. The Constitution of the Russian Federation of 12.12.1993 // Rossiyskaya gazeta. 25.12.2009. N 197.
4. Federal law of 27.07.2006 N 152-FZ «Personal data» (as revised of 23.07.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=149747 (inquiry date: 01.10.2013).
5. Kuharenko T. A. Personal data: who, what and why somebody should about us. Moscow: Eksmo, 2010. P. 5.
6. Decree of the Government of Russian Federation of 15.09.2008 N 687 Approval by not-automate data processing statement // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=80028 (inquiry date: 01.10.2013).
7. Report on activity of authorized body for security of personal data subject for 2011 // The site of the Federal service for supervision in the sphere of telecom, information technologies and mass communications (Roskomnadzor): URL: http://www. rsoc. ru (inquiry date: 01.10.2013).
8. Report on activity of authorized body for security of personal data subject for 2012 // The site of the Federal service for supervision in the sphere of telecom, information technologies and mass communications (Roskomnadzor): URL: http://www. rsoc. ru (inquiry date: 01.10.2013).
9. The Russian Federation Code of Administrative offences of 30.12.2001 N 195-FZ (as revised of 30.09.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=152529 (inquiry date: 01.10.2013).
10. The Russian Federation Code of Administrative offences of 30.12.2001 N 195-FZ (as revised of 30.09.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=152529 (inquiry date: 01.10.2013).
11. Rodichev Y. A. Legal assistance of personal data. Samara: University of Samara, 2010. P. 60.
12. Report on activity of authorized body for security of personal data subject for 2012 // The site of the Federal service for supervision in the sphere of telecom, information technologies and mass communications (Roskomnadzor): URL: http://www. rsoc. ru (inquiry date: 01.10.2013).
13. Report on activity of authorized body for security of personal data subject for 2011 // The site of the Federal service for supervision in the sphere of telecom, information technologies and mass communications (Roskomnadzor): URL: http://www. rsoc. ru (inquiry date: 01.10.2013).
14. Labour Code of the Russian Federation of 30.12.2001 N 197-FZ (as revised of 23.07.2013) (as revised and amended as of 01.09.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=148790 (inquiry date: 01.10.2013).
15. Federal law of 07.07.2003 N 126-FZ «Telecommunications law» (as revised 02.07.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=148670 (inquiry date: 01.10.2013).
16. President Putin signed Personal Data increase Act // Web Site «Buhgalterskiy uchet. Nalogooblozhenie. Audit»: URL: http://www. audit-it. ru/ news/personnel/ 587931.html (inquiry date: 01.10.2013).
17. Civil Procedure Code of the Russian Federation of 14.11.2002 N 138-FZ (as revised of 02.07.2013) (as revised and amended as of 02.10.2013) // ConsultantPlus. URL: http://base. consultant. ru/ cons/cgi/ online. cgi? req=doc; base=LAW;n=149004 (inquiry date: 01.10.2013).
——————————————————————