Какими нормами и законами регулируется защита персональных данных?

Kate

Administrator
Команда форума
Категория защиты персональных данных тесно связана с таким фундаментальным правом человека, как право на защиту неприкосновенности частной жизни, что прямо указывается в ст. 2 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О защите персональных данных». Хотя не всегда право на защиту персональных данных по своему объему совпадает с правом на защиту неприкосновенности частной жизни, положения его закрепляющие, а также некоторые положения гарантирующие иные основные права и свободы в Конституции РФ по существу включают и право на защиту персональных данных. Учитывая положения международных документов в области прав человека, опыта ЕС и других государств, в качестве примера таких положений Конституции охватывающих право на приватность и защиту персональных данных можно назвать ст. 23, 24, ч. 1 ст. 26.

При анализе текста Конституции, помимо отсутствия явно выраженного права на защиту персональных данных, обнаруживается непоследовательность в соответствующих положениях. Так, в случае ч. 2 ст. 23 Конституция предоставляет широкую защиту коммуникаций человека – «право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений». А в ч. 1 ст. 24 закреплено требование получения согласия лица при обработке информации о его частной жизни (Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются), пределы которой не являются объективными: как неоднократно указывал Конституционный Суд РФ в своих решениях: «лишь само лицо вправе определить, какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне». Похожая на положение ч. 1 ст. 24 Конституции РФ формулировка возведена также и в принцип регулирования отношений в сфере информации, информационных технологий и защиты информации (п. 7 ст. 3 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

Ст. 152.2 ГК РФ предусматривающая деликтную ответственность, в своей формулировке по большей части повторяет положения ч. 1 ст. 24 Конституции РФ, дополняя что к информации о частной жизни относятся в том числе сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни гражданина. Однако абзацем 1 п. 1 ст. 152.2 ГК РФ предусмотрено исключение из запрета на сбор, распространение и использование информации о частной жизни без согласия гражданина по ряду исчерпывающих оснований: в государственных, общественных или иных публичных интересах и в случаях, если такая информация ранее стала общедоступной либо была раскрыта самим гражданином или по его воле.

Если государственный интерес обычно связывается с деятельностью государственных органов, то публичный и общественный интерес увязывается с личностью частного лица: является ли он публичной фигурой и представляет ли собой интерес к его личности общественно значимым или он способствует политической или общественной дискуссии. С защитой ПД эта статья перекликается в п. 4, предусматривающим право гражданина требовать в судебном порядке удаления информации о частной жизни, а также уничтожения или изъятия из оборота материальных носителей содержащих такую информацию.

Тем не менее, сложность защиты этого нематериального права заключается в том, что в каждом отдельном случае требуется установить факт нарушения частной жизни с учетом существующих правомерных исключений, из-за чего не всегда возможно однозначно предсказать исход судебного разбирательства.

В этом смысле, там где невозможно или крайне затруднительно реализовать свое право на защиту неприкосновенности частной жизни, можно прибегнуть к праву на защиту ПД, которое конкретизировано в специализированном законодательстве, а именно в Федеральном законе от 27 июля 2006 г. N 152-ФЗ «О защите персональных данных». В его ключевом термине «персональные данные» нет ограничения «частная жизнь», поэтому его регулирования и защита распространяются на любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Вдобавок, основания по которым ПД могут обрабатываться, не ограничиваются согласием на их обработку или их сообщением.

Если кратко, то этот закон закладывает основу защиты персональных данных, начиная с общих принципов и условия обработки персональных данных, прав субъекта персональных данных и, заканчивая полномочиями государственного надзорного органа и ответственностью за несоблюдения требований закона. При этом остальные законы РФ не могут противоречить его положениям. Требования этого закона распространяются как на случаи обработки персональных данных государственными и муниципальными органами, так и частными лицами и, независимо от средств обработки.

Законодательство РФ в сфере защиты персональных данных не ограничивается только одним ФЗ, хотя в большинстве случаев остальные ФЗ ограничиваются лишь общими, несущественными формулировками и отсылочными нормами (напр. ст. 15.10 Федерального закона от 29 декабря 2012 г. N 275-ФЗ «О государственном оборонном заказе» или в ст. 29 Федерального закона от 2 марта 2007 № 25-ФЗ «О муниципальной службе в Российской Федерации») либо лишь некоторыми незначительными уточнениями

В качестве наиболее актуальных для широкого круга лиц, можно упомянуть следующие нормативно-правовые источники. Во-первых, в Трудовом Кодексе РФ защите персональных данных в сфере трудовых отношений отведена отдельная глава. Несмотря на повторение в ней некоторых положений ФЗ «О персональных данных», можно отметить положения, ограничивающие возможности работодателя по получению и передаче персональных данных, а также положения переносящие финансовую нагрузку на выполнение требований законодательства по защите ПД на работодателя.

Во-вторых, недавно принятый, но еще полностью не вступивший в силу Федеральный закон от 8 июня 2020 г. N 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации», устанавливает порядок сбора и обработки и защиты любой информации (в том числе ПД) о гражданах и резидентах РФ государственными органами, Пенсионным фондом РФ, а также фондами медицинского и социального страхования. В частности, закон перечисляет меры, которые государственный оператор этого регистра должен предпринять для защиты сведений регистра, а также предусматривает право граждан на изменение сведений в регистре.

Актуальным для широкого круга лиц будет также и Федеральный закон от 28 марта 1998 г. N 53-ФЗ «О воинской обязанности и военной службе», который, устанавливая круг собираемых сведений органами воинского учета, явным образом налагает на них обязанность при обработке ПД соблюдать требования ФЗ «О персональных данных».

Постановление Правительства РФ от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», содержит конкретные требования к типовым формам, ведению реестров и книг (напр. часто используемые для пропуска на территорию), обращению с материальными носителями содержащими персональные данные.

Важным для выполнения требований требований ФЗ-152 является Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое предоставляет операторам ПД критерии необходимые для выполнения требований федерального законодательства по обеспечению защиты ПД.

Что же касается ведомственного регулирования, то приказы министерств и других ФОИВов касаются обработки персональных данных служащих, членов их семей, а также сотрудников подведомственных организаций, лиц претендующих на замещение вакантных должностей, в некоторых случаях лиц обратившихся в то или иное ведомство для получения государственной услуги. Ввиду того, что круг лиц в ведомственном нормативном регулировании всегда определен, то в каждом отдельно взятом случае он, как правило, различен.

Ответственность за нарушение законодательства в сфере защиты ПД, может быть как административная, гражданская, так и уголовная.

Диапазон административных штрафов предусмотренных ст. 13.11 КоАП РФ, с учетом поправок вступающих в силу с 27 марта 2021 г. составляет от 1500 руб. до 18 млн. руб., в зависимости от характера самого правонарушения, того, совершено ли оно впервые, а также от статуса правонарушителя (штрафы для юридических лиц — самые высокие).

Привлечение к гражданской ответственности возможно в порядке ранее упомянутой ст. 152.2 ГК РФ.

Говоря об уголовной ответственности, то это могут быть либо те составы где явным образом предусмотрена ответственность за незаконное использование ПД (ч. 2, ст. 173.1 УК РФ), либо же составы под действие которых могут подпадать, помимо прочего, нарушения прав граждан при обработке ПД (напр. cт.ст. 137, 138, 140, 155, 272 УК РФ).

Дополнительно к санкциям административного и уголовного характера, законодательством РФ предусмотрен также механизм ограничения доступа к информации в Интернете нарушающей законодательство в области ПД, в порядке предусмотренном ст. 15.5 Федерального закона от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». Так, частное лицо может обратиться в Роскомнадзор с заявлением о блокировке информации обрабатываемой с нарушением законодательства в области персональных данных, на основании вступившего в законную силу судебного акта.

Таким образом, защита ПД и права на неприкосновенность частной жизни взаимно дополняют друг друга. Ввиду того, что персональные данные могут обрабатываться по другим основаниям, кроме как по согласию субъекта персональных данных, а сами ПД определены в российском законодательстве довольно широко, в некоторых случаях защита ПД может служить альтернативным методом защиты права на неприкосновенность частной жизни. Соответственно, может сложиться и обратная ситуация, когда ПД обрабатываются в соответствии с законодательством в области защиты ПД, но такая обработка нарушает неприкосновенность частной жизни.

Защита персональных данных регулируется значительным количеством нормативно-правовых актов, здесь были упомянуты лишь самые основные. На практике руководствоваться лишь одним ФЗ-152 невозможно, так как он не содержит некоторых деталей связанных со сбором ПД в специфических областях деятельности, а конкретных организационно-технических мер по обеспечению безопасности ПД (по этим причинам в нем самом встречаются бланкетные нормы).

 
Сверху