Правовой режим персональных данных и безопасность личности

(Терещенко Л. К.) («Закон», 2013, N 6)

ПРАВОВОЙ РЕЖИМ ПЕРСОНАЛЬНЫХ ДАННЫХ И БЕЗОПАСНОСТЬ ЛИЧНОСТИ <*>

Л. К. ТЕРЕЩЕНКО

——————————— <*> Статья подготовлена при информационной поддержке СПС «КонсультантПлюс».

Терещенко Людмила Константиновна, заместитель заведующего отделом административного законодательства и процесса Института законодательства и сравнительного правоведения при Правительстве РФ, доктор юридических наук.

В статье рассматриваются актуальные вопросы правового режима персональных данных и особенности его реализации в отдельных сферах.

Ключевые слова: персональные данные, защита информации, неприкосновенность частной жизни, тайна, конфиденциальность, безопасность личности.

Правовой режим персональных данных — объемная и сложная тема. В рамках настоящей статьи представляется возможным остановиться лишь на отдельных проблемных аспектах и существующих тенденциях, которые необходимо учитывать в процессе совершенствования законодательства о персональных данных. Термин «персональные данные», тесно связанный с частной жизнью человека, появился в российском законодательстве в середине 1990-х гг., тогда же были определены основные черты правового режима персональных данных. Федеральным законом от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации», который в настоящее время утратил силу, персональные данные были отнесены к категории конфиденциальной информации, установлен запрет на сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения. При этом содержание понятия «персональные данные» в названном Федеральном законе не было раскрыто. Спустя два года был издан Указ Президента РФ от 06.03.1997 N 188, которым был утвержден Перечень сведений конфиденциального характера. Согласно ему персональные данные включают в себя сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Основы правового режима персональных данных, установленные в Федеральном законе «Об информации, информатизации и защите информации», содержали ряд черт, характерных для европейской модели защиты персональных данных. Принципиальным сохранившимся до настоящего времени отличием от европейской модели правового регулирования является упор на защиту информации персонального характера в отрыве от защиты прав субъектов персональных данных и их интересов. Указанный подход был реализован и в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) и принятых в его исполнение подзаконных актах. В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 г.), взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках этих обязательств был принят Закон о персональных данных, который закрепляет общие принципы их охраны, а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые нехарактерны для законодательства и практики других стран, подписавших Конвенцию. Кроме того, следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось, и страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы. Согласно этим документам юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству. Специалисты-правоведы обращают внимание на дисбаланс интересов в российском законодательстве и перекос в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностей операторов персональных данных <1>. Этим существенно различаются положения Закона о персональных данных и Конвенции о защите физических лиц при автоматизированной обработке персональных данных. ——————————— <1> См.: Назарова Д. Н. Проблемы правовой охраны операторами персональных данных // Информационное право. 2010. N 1. С. 14 — 19.

В странах, ратифицировавших названную Конвенцию, от операторов не требуется применения каких-либо специальных мер защиты, кроме общепринятых. Им необходимо в первую очередь обращать внимание на управление информационной безопасностью, на обучение персонала. Выбор конкретных мер защиты, технических решений, стандартов, которыми необходимо руководствоваться, архитектур информационных систем остается в компетенции оператора, как и непосредственная оценка риска нарушения безопасности данных. Операторы сами определяют требуемые меры защиты данных с учетом их природы и объема, стоимости применения мер защиты, характеристик своих информационных систем. Кроме того, в большей части законодательных актов стран Европейского сообщества имеется норма, прямо указывающая на необходимость соблюдения экономической целесообразности мер по защите персональных данных при отсутствии требований по применению конкретных технических мер. Иными словами, в нормативных документах зарубежных государств присутствуют требования к содержательной характеристике защиты персональных данных, в то время как в России подзаконными нормативными правовыми актами установлены формальные требования, не имеющие отношения к содержательному обеспечению защиты персональных данных. Общим правилом обработки персональных данных, в том числе и в Российской Федерации, является наличие согласия субъекта этих данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. При этом согласие на обработку персональных данных не является необратимым, оно может быть отозвано субъектом персональных данных без объяснения причины своего решения или выполнения каких-либо условий, достаточно только уведомить оператора об этом. Вопрос о последствиях отзыва субъектом согласия на обработку своих данных в российском законодательстве претерпел определенные изменения (ст. ст. 9, 21 Закона о персональных данных). В первоначальной редакции Закона в случае отзыва субъектом персональных данных согласия на обработку своих данных оператор был обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не было предусмотрено соглашением между оператором и названным субъектом. Об уничтожении персональных данных оператор обязан уведомить их субъекта. Такая жесткая и в ряде случаев слабо реализуемая норма существенно осложняла деятельность операторов в целом ряде сфер, где обработка персональных данных осуществляется в больших объемах (банковская сфера, железнодорожные и авиационные перевозки, страхование и др.). В результате Федеральным законом от 25.07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» в ст. ст. 9 и 21 были внесены изменения, направленные на обеспечение баланса интересов субъекта персональных данных и оператора, осуществляющего их обработку. В соответствии с новой редакцией согласие на обработку персональных данных, как и ранее, может быть отозвано их субъектом. Но срок выполнения оператором требования о прекращении обработки стал более реальным — он увеличен до 30 дней. Кроме того, в определенных случаях при отзыве субъектом согласия на обработку его персональных данных оператор вправе продолжить делать это без согласия субъекта. Такая возможность возникает при наличии оснований, указанных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных. Обработка персональных данных может быть продолжена после отзыва согласия субъекта, даже если речь идет о специальных категориях персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в случаях, предусмотренных ч. 2 ст. 10 Закона о персональных данных. Обработка биометрических персональных данных может осуществляться без согласия (либо после отзыва согласия) субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством, законодательством о порядке выезда из Российской Федерации и въезда в нее. Право отзыва согласия на обработку персональных данных не распространяется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации). Требование об уничтожении персональных данных, в том числе по достижению заявленных целей, как представляется, нуждается в корректировке, в частности в связи с соблюдением законодательства об архивном деле, которое устанавливает требования и порядок обращения с документами, в том числе содержащими персональные данные. На данный момент законодательство о персональных данных и законодательство об архивном деле не согласованы друг с другом. Внесенные в Закон о персональных данных изменения сближают российское законодательство с законодательством стран, где предусмотрен дифференцированный подход к обработке персональных данных в зависимости от целей такой обработки. Еще одна проблема связана с доступом к персональным данным. Практика показывает, что официально получить персональные данные о конкретном человеке бывает затруднительно, а порой и невозможно, поскольку баланс интересов в Законе о персональных данных, как уже отмечалось, не вполне обеспечен. Вопрос о соотношении интересов гражданина и общества, общественных и частных интересов решен формально в пользу гражданина, т. е. частных интересов, но, по существу, и частные интересы далеко не всегда оказываются защищенными. Как представляется, должен быть создан механизм, обеспечивающий возможность соблюдения интересов других лиц. Например, можно обязать оператора персональных данных в подобных случаях обращаться к их субъекту для получения согласия на передачу третьему лицу его персональных данных (либо отказа в такой передаче). Схожая ситуация складывается и в области нотариата. Принятие Закона о персональных данных и отсутствие в нем указания на нотариуса как субъекта, имеющего право запрашивать соответствующую информацию, на практике привело к появлению отказов со стороны отделов УФМС России в предоставлении нотариусам информации о месте жительства наследников. Такое положение не способствует реализации конституционных наследственных прав граждан и не дает нотариату возможности выполнять возложенные на него государством публично-властные функции в целях защиты прав и законных интересов физических и юридических лиц. Иногда складывается ситуация, когда нормы Закона, по сути, защищают нарушителей чужих прав, давая им возможность остаться безнаказанными. Проблемы с получением персональных данных возникают достаточно часто, в том числе и у государственных органов исполнительной власти. Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. Законодательно определенный перечень лиц и органов, которым могут передаваться персональные данные без согласия работника, не вполне соответствует закрепленным за соответствующим органом функциям. Так, учреждения службы занятости населения не наделены правом получать персональные данные работника без его согласия. В ряде случаев нормы Закона о персональных данных, призванные защищать интересы субъектов персональных данных, могут создавать проблемы для самих субъектов. Например, когда речь идет о получении работником кредита. Одна из острых проблем защиты персональных данных в государственных и муниципальных органах — это утечка персональных данных из их информационных ресурсов. Практически все государственные и муниципальные органы создают в пределах своих полномочий информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве этих органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты. Анализ практики функционирования различных информационных систем показывает, что в основном утечка происходила либо из-за нарушения правил конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в принимаемых мерах защиты в системах. Очевидно, что вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день оно наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит огромные доходы. Проверки Роскомнадзора показали, что во многих организациях существуют все условия для потенциального инсайдерства, в том числе нарушаются требования конфиденциальности из-за отсутствия утвержденного перечня лиц, имеющих доступ к информационным базам, внутренним документам, регламентирующим режим и порядок доступа к информационным системам. Полученная в результате утечки информация размещается на частных интернет-сайтах, распространяется или продается в Интернете, на дисках. К сожалению, нельзя не согласиться с той точкой зрения, что действующая законодательная база направлена на обеспечение защиты собственно информации, а не прав граждан при обработке их персональных данных в информационных системах <2>. ——————————— <2> См.: Курченко А. В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. N 4.

Нарушения требований Закона о персональных данных связаны прежде всего с отсутствием согласия субъектов персональных данных на размещение информации о них в Интернете: на некоторых интернет-сайтах неограниченному кругу лиц предоставлялся доступ к персональным данным граждан, в частности проживающих в Москве и Московской области граждан РФ (фамилии, имена, отчества, даты рождения и адреса места жительства). По поручению Генеральной прокуратуры РФ органы прокуратуры Москвы вынесли провайдерам, находящимся на территории города, предостережение о недопустимости нарушения требований Закона о персональных данных. Однако нередко встречается ситуация, когда сайты, на которых размещена информация, нарушающая права граждан на защиту персональных данных, зарегистрированы в других странах. В таких случаях может помочь запрос о правовой помощи в целях принятия мер по блокированию доступа пользователей к этим интернет-ресурсам. В том, что касается защиты персональных данных, проблемы правоприменения разнообразны. Особо важной для гражданина является сфера трудовой деятельности. Практика показывает, что во многих случаях персональные данные охраняются в коммерческих структурах как коммерческая тайна. Следует согласиться с мнением, что сведения о персонале не могут являться коммерческой тайной, а составляют персональные данные и должны защищаться в соответствии с гл. 14 Трудового кодекса РФ и Законом о персональных данных <3>. ——————————— <3> См.: Станскова У. М. Правовой анализ локальных нормативных актов работодателя по защите информации ограниченного доступа // Трудовое право в России и за рубежом. 2011. N 2. С. 30 — 32.

Спорным является отнесение к коммерческой тайне сведений о должностных окладах, системе премирования и иного поощрения. В перечне сведений, которые не могут составлять коммерческую тайну, названы сведения о системе оплаты труда (п. 5 ст. 5 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне») и об оплате труда работников некоммерческих организаций (п. 9 ст. 5 этого Закона). По мнению некоторых авторов, размер заработной платы работников формально может быть отнесен к коммерческой тайне организации <4>. Однако в соответствии с п. 1 ст. 3 Закона о персональных данных сведения о доходах физического лица составляют его персональные данные. Возникает вопрос о возможных правовых последствиях разглашения информации о своей заработной плате самим работником. Если признать, что эти сведения составляют коммерческую тайну, то в соответствии с подп. «в» п. 6 ст. 81 ТК РФ ему грозит увольнение. При условии, что эти данные охраняются в режиме персональных, работник вправе самостоятельно определять порядок их распространения. Установление режима коммерческой тайны в отношении сведений о заработной плате влечет за собой ряд запретов для работников, включая запрет на разглашение информации о своих доходах третьим лицам, в том числе и членам семьи. ——————————— <4> См.: Баркова С., Барсегян А. Может ли размер заработной платы работников коммерческой организации являться коммерческой тайной? // http://www. garant. ru/consult/work_law/293449.

Защита персональных данных в трудовых отношениях не ограничивается проблемой разграничения сведений, составляющих коммерческую тайну, и персональных данных. Зачастую возникает вопрос: что именно относится к персональным данным в трудовых отношениях и что следует рассматривать как вторжение в личную сферу человека, его частную жизнь? Этот вопрос актуален применительно к целому ряду отношений, возникающих в трудовой сфере, таких как видеонаблюдение, прослушивание служебного телефона, использование и просмотр электронной почты и др. В рамках трудовых отношений остро стоит вопрос о праве работодателя контролировать, осуществлять мониторинг работников и о пределах этого мониторинга. ТК РФ, с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не запрещает работодателю осуществлять тотальный мониторинг его деятельности. В качестве оснований, оправдывающих такой мониторинг, называется защита конфиденциальных данных организации, если работник допущен к ним. В российском трудовом законодательстве механизмы защиты права неприкосновенности частной жизни работника регламентированы весьма неполно, пределы вторжения работодателя в частную жизнь работника на рабочем месте не регламентированы. Пределы допустимости осуществления работодателем контроля и мониторинга действий работников в рабочее время (перлюстрации электронной почты, отслеживания интернет-активности, использования офисного оборудования и в целом поведения работников на рабочих местах и вне их) — проблема не только российского, но и зарубежного законодательства. За рубежом работники достаточно часто обращаются в суд с исковыми заявлениями о нарушении их частной жизни, конфиденциальности переписки. Однако если работодатель может доказать целесообразность таких действий для эффективности ведения его бизнеса, ограниченность сферы контроля исключительно вопросами, непосредственно связанными с трудовыми функциями работников, и отсутствие в этом личных мотивов, то в таких случаях суды встают на сторону работодателя. Статья 8 Европейской конвенции о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) предусматривает обязанность государства уважать личную, семейную жизнь человека, что проявляется в воздержании от необоснованного вторжения в личную сферу человека государственными органами, организации контроля над деятельностью лиц, связанной с конфиденциальной информацией. Частная жизнь, с точки зрения Европейского суда по правам человека, включает в себя физическую и психологическую неприкосновенность: «…гарантия, предоставляемая статьей 8 Конвенции, в первую очередь направлена на обеспечение развития, без внешнего вмешательства, личности каждого человека в его отношениях с другими людьми» <5>. И даже в публичной сфере существует зона взаимодействия человека с другими людьми, которая может относиться к сфере частной жизни. ——————————— <5> Постановление Европейского суда по правам человека от 24.06.2004 по делу «Фон Ганновер (Принцесса Ганноверская) против Германии» (Von Hannover v. Germany), жалоба N 59320/00 // СПС «КонсультантПлюс».

Все большую актуальность набирают проблемы защиты персональных данных в Интернете, в том числе в социальных сетях. В настоящее время эти сети используются для общения, маркетинговых исследований и продвижения продукции и услуг. Одним из стандартных атрибутов социальной сети является профиль пользователя. Например, в профиле пользователя «ВКонтакте» предлагается указать: пол, возраст, фамилию, имя, отчество, место жительства, место учебы, факультет, специальность, место работы, данные о родственниках пользователя и т. д. Необходимо отметить, что эта информация публикуется пользователями добровольно и достоверность большей части публикуемых сведений не проверяется. Но при этом данные об адресе электронной почты, номере телефона, фамилии, имени обязательны при регистрации. В определенных случаях требуется отсканированный паспорт. Естественно, что все публикуемые персональные данные легко могут быть использованы другими лицами в недобросовестных, в том числе корыстных, целях. Но этот факт редко останавливает пользователей социальных сетей при публикации своей персональной информации. Размещенные в социальных сетях сведения становятся доступны гораздо более широкому кругу лиц, нежели пользователи себе представляют. Сбор данных может осуществляться разными способами — с помощью как вредоносных программ, так и стандартных функций, предоставляемых самими социальными сервисами. Сбор персональных данных в Интернете осуществляется в том числе с помощью специальных файлов, называемых куки (от англ. cookie — печенье), которые находятся на диске компьютера пользователя и содержат текстовую информацию, необходимую серверу для функционирования какого-либо сайта. Пользователь Интернета может отключать поддержку куки на своем компьютере и подключать ее снова. Однако чаще всего пользователи Интернета об этом не знают. С момента своего появления куки вызывают обеспокоенность пользователей Интернета, поскольку позволяют отслеживать их действия и предпочтения, что ставит под угрозу тайну личной жизни, персональные данные. Как результат, в Европейском союзе, Соединенных Штатах и в других странах проводятся реформы, регулирующие применение куки. Закон Евросоюза о куки <6> вступил в силу в 2011 г. Новые правила требуют, чтобы владелец веб-сайта получал разрешение от посетителей, прежде чем записывать куки на их компьютеры, и четко объяснял, какие куки для чего используются. Владельцам сайтов запрещено скрывать информацию в рамках «политики конфиденциальности». ——————————— <6> См.: http://www. onlinemarketingacademy. uk. com/eu-cookie-law.

Предусмотрено исключение из этого правила — это куки, необходимые для обеспечения функций, о которых пользователи просили сами. Согласно новым правилам крайне важно, чтобы пользователи получали четкие и всеобъемлющие разъяснения при осуществлении любой деятельности, которая позволяет хранить информацию или получать доступ к ней. Разъяснения и возможность оставлять за собой право отказа должны быть максимально удобными для пользователя. Исключения должны быть только в тех случаях, когда техническое хранение или доступ являются необходимыми для того, чтобы обеспечить пользователю по его просьбе возможность выполнения конкретной услуги. Следует уточнить, что в российском законодательстве нет норм, регламентирующих использование куки и устанавливающих требования, направленные на защиту персональных данных, более того, сам термин законодателю неизвестен. Как видим, формирование законодательства о персональных данных нельзя признать завершенным, а безопасность личности обеспеченной, однако в ряде случаев это не только правовая проблема, часть вопросов может быть снята техническими средствами, а значительная часть — нашим сознательным поведением, особенно в сети Интернет.

——————————————————————