Персонифицированная информация как объект информационных отношений

1) быть  осведомленным о существовании  автоматизированного файла персональных  данных, о его главных целях,  а также о контролере этого  файла, его месте жительства, либо  юридическом адресе (право на  информацию о наличии собранного  на индивида файла персональных  данных);

2) получать  через разумные интервалы времени,  без излишних затрат времени  и средств, как в ответ на  свой запрос, так и без запроса,  сообщение о том, накапливаются  ли персональные данные о нем  в автоматизированном файле данных (право на извещение о сборе  данных);

3) получать  доступ к личным персональным  данным, хранимым держателем или  пользователем данных (право на  доступ к личным персональным  данным);

4) требовать  исправления или уничтожения  недостоверных персональных данных, а также персональных данных, обработанных с нарушением положений  национального права, реализующих  принципы защиты данных (право  на исправление или уничтожение  недостоверных или незаконно  обработанных личных данных);

5) прибегать  к судебной защите нарушенного  права субъекта данных (право  судебной защиты).

Рассматривая  принципы качества, нетрудно заметить, что принципы (1) и (2) обеспечивают соответствие персональных данных критерию законности данных и целей их обработки; принцип (3) -соответствие данных критерию адекватности и релевантности; принцип (4) - соответствие данных критерию достоверности и  актуальности; принцип (5) - соответствие данных критерию регулируемой анонимности. Если принципы качества (3) и (4) применимы  к любым данным, то принципы (1), (2) и (5) являются специфичными для персональных данных и вытекают из их природы атрибутов частной сферы человека, с присущим им особым свойством "чувствительности" для субъекта данных[7].

Что касается прав субъекта данных, то они конкретизируют (применительно к сфере автоматизированной обработки данных) право индивида контролировать циркуляцию "чувствительной" информации о самом себе, столь  важное для правовой защиты сферы  частной жизни, что оно вошло  во многие определения как "право  на невмешательство в частную  жизнь".

Кроме того, необходимо отметить, что существует еще одно право субъекта данных, которое признается и применяется  далеко не во всех национальных и международных  системах защиты персональных данных, - принцип согласия субъекта данных как критерия допустимости обработки  и использования данных. Этот принцип  представляет собой право индивида контролировать циркуляцию "чувствительной" информации о самом себе как права  самостоятельно решать, предоставлять  или не предоставлять кому-либо сведения о своей частной жизни (т.е. персональные данные).

Основной  дилеммой "компьютерного информационного  общества" стало противоречие между  стремлением как можно больше использовать компьютерные персональные данные в интересах всего общества и желанием максимально защитить право субъекта данных на невмешательство  в его частную жизнь. Отражением этой дилеммы является дуализм целей  правового регулирования обработки  и использования персональных данных, направленный на решение двойственной задачи сбалансированной защиты сферы частной жизни субъекта данных, с одной стороны, и права других индивидов и всего общества на свободу доступа к информации, с другой стороны. Вышеназванное положение можно сформулировать в виде принципа дуализма целей следующим образом: "Целью правового регулирования обработки и использования персональных данных является обеспечение сбалансированной защиты права субъекта данных на контроль за относящимися к нему персональными данными и законных интересов общества в осуществлении права свободного доступа к информации".

Конвенция 108 Совета Европы прямо указывает  на необходимость выделения группы "высокочувствительных" данных (данные о расовом или национальном происхождении, политических взглядах, религиозных  или иных убеждениях, а также данные, касающиеся здоровья, сексуальной жизни, судимости) в особую категорию данных и создания для них особого режима правовой защиты[7].

Ст. 7 Конвенции 108 Совета Европы обязывает стран-участниц принимать надлежащие меры для обеспечения  безопасности хранящихся персональных данных от случайного или несанкционированного уничтожения или случайной утраты, а равно и от несанкционированного доступа, изменения или распространения[7]. Во исполнение этой статьи Конвенции большинство стран-участниц закрепило в своих национальных законах о защите данных принцип ответственности держателя и пользователя данных за принятие ненадлежащих мер обеспечения безопасности персональных данных. В этом плане самого пристального внимания заслуживает опыт Германии, где в ст. 9 специального Приложения к Федеральному закону 1990 г. о защите данных[7], закреплены основные организационно-технические меры обеспечения безопасности персональных данных, тем самым унифицируя их для всех субъектов федерации (федеральных земель), ведомств, отраслей и секторов экономики. Принцип безопасности включает следующие формы защиты персональных данных:

Если  информация о личности (персональные данные) обрабатывается автоматизированными  средствами, то в обязательном порядке  принимается совокупность определенных ниже организационно-технических мер  обеспечения безопасности данных, зависящая  от категории обрабатываемых персональных данных (высокочувствительные, чувствительные, обычные) и конкретных этапов обработки (сбор, хранение, централизованная машинная обработка, децентрализованная обработка  с применением удаленных терминалов, передача на магнитных или иных носителях, передача по телекоммуникационным линиям) - принцип дифференцированной защиты. 

Ответственность за принятие ненадлежащих мер обеспечения  безопасности на каждом конкретном этапе  обработки и/или использования  персональных данных возлагается на физическое или юридическое лицо, осуществляющее данный этап обработки  и/или использования - принцип адресной ответственности. 

Запрещается несанкционированный доступ посторонних  лиц к устройствам, обрабатывающим персональные данные - принцип контроля доступа к устройствам обработки  данных.

Ответственное лицо должно обеспечить необходимые  и достаточные меры безопасности, предотвращающие незаконное считывание, копирование, изменение или удаление данных с их магнитных или иных носителей - принцип контроля носителей  данных.

Ответственное лицо должно обеспечить необходимые  и достаточные меры безопасности, предотвращающие незаконный ввод данных в накопитель (устройства памяти ЭВМ), а также незаконное ознакомление, изменение или уничтожение персональных данных -принцип контроля накопителя. 

Ответственное лицо должно обеспечить необходимые  и достаточные меры безопасности, предотвращающие использование  неправомочными лицами систем по обработке  данных с помощью устройств передачи данных - принцип контроля пользователя.

Ответственное лицо должно обеспечить необходимые  и достаточные меры безопасности, гарантирующие, чтобы лицо, полномочное  пользоваться системой обработки данных, имело доступ только к тем данным, которые подлежат его праву доступа - принцип контроля доступа к надлежащим данным.

Ответственное лицо обязано при помощи соответствующих  программно-технических средств  и организационных мероприятий  обеспечить возможность проверки и  определения, каким адресатам передаются конкретные персональные данные через  устройства по передаче данных - принцип  контроля передачи.

Ответственное лицо обязано при помощи соответствующих  программно-технических средств  и организационных мероприятий  обеспечить возможность проверки и  установления того, какие персональные данные, в какое время и кем  были введены в систему обработки  данных - принцип контроля ввода.

Ответственное лицо должно обеспечить необходимые  и достаточные меры безопасности, гарантирующие, чтобы данные о личности, которые обрабатываются по поручению, обрабатывались бы только по указанию заказчика - принцип контроля поручения.  

Ответственное лицо должно предпринимать надлежащие меры безопасности, чтобы при телекоммуникационной передаче данных, а также при транспортировке  носителей данных, персональные данные не могли быть незаконно прочитаны, скопированы, изменены или уничтожены - принцип контроля транспортировки  данных.

Внутренняя  организация учреждения или предприятия, где осуществляется обработка, передача или использование персональных данных, должна быть устроена таким  образом, чтобы соответствовать  специальным требованиям защиты данных - принцип организационного контроля.

Таким образом, формула состава принципов  защиты данных подлежит дальнейшему  расширению: принципы защиты данных = принципы качества + права субъекта данных + принцип  дуализма целей + особый режим защиты "высокочувствительных" данных + принципы безопасности данных.

2. Правовые основы работы с персональными данными

    Работа  с персональными данными может  осуществляться держателем (обладателем) массива персональных данных только в случаях:

    если  субъект персональных данных недвусмысленно дал согласие на ее проведение;

    если  она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов  Федерации, органами местного самоуправления своей компетенции, установленной  действующим законодательством;

    если  она нужна для достижения законных интересов держателей (обладателей) или третьей стороны, которой  раскрыты персональные данные, имеющей  лицензию на проведение работ с персональными  данными, когда реализация этих интересов  не препятствует осуществлению прав и свобод субъектов персональных данных применительно к их обработке;

    когда она необходима для защиты жизненных  интересов субъекта персональных данных;

    когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для  принятия требуемых мер до заключения договора по просьбе субъекта;

    если  она необходима для выполнения задач  правоохранительных органов на законных основаниях.

    Правовой  режим персональных данных

    1. Персональные данные, находящиеся  в ведении держателя (обладателя), относятся к конфиденциальной  информации, кроме случаев, определенных  законодательством РФ.

    2. Держатель (обладатель) персональных  данных обязан обеспечивать охрану  персональных данных во избежание  несанкционированного доступа к  ним, их блокирования или передачи, а равно их случайного или  несанкционированного уничтожения,  изменения или утраты.

    3. Режим конфиденциальности персональных  данных снимается и случаях:

    обезличивания персональных данных;

    по  желанию субъекта персональных данных;

    по  истечении семидесятипятилетнего  срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим  законодательством.

    4. Правовой режим персональных  данных, полученных в результате  деятельности правоохранительных  органов, устанавливается в соответствии  с действующим законодательством.

    5. Для некоторых категорий персональных  данных лиц, занимающих высшие  государственные должности, и  кандидатов на эти должности  в соответствующие периоды, в  частности в период предвыборной  кампании, может устанавливаться  специальный правовой режим их  персональных данных, обеспечивающий  открытость персональных данных, имеющих общественную значимость.

    6. По желанию субъекта для его  персональных данных может быть  установлен режим общедоступной  информации (библиографические справочники,  телефонные книги, адресные книги,  частные объявления, массивы данных  для осуществления прямого маркетинга  и т.д.).

    7. С момента смерти субъекта  персональных данных их правовой  режим подлежит замене на режим  архивного хранения или иной  правовой режим, предусмотренный  действующим законодательством.

    8. Защита персональных данных умершего  лица может осуществляться другими  лицами, в том числе наследниками, в порядке, предусмотренном действующим  законодательством о защите чести,  достоинства и деловой репутации,  защите личной и семейной тайн.

    Общедоступные массивы персональных данных

    1. В целях информационного обеспечения  общества могут создаваться общедоступные  массивы персональных данных (справочники,  телефонные книги, адресные книги  и т.п.).