В качестве примера информации, подлежащей защите, в зависимости от ее содержания или обладателя, можно отнести конфиденциальную информацию.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" утвердил перечень сведений конфиденциального характера:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Персональные данные.
В соответствии с Федеральным законом от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"[1] Российская Федерация ратифицировала данную Конвенцию от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года и подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года и заявила, что будет применять Конвенцию и к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации.
Согласно Конвенции каждая сторона принимает необходимые меры для того, чтобы основные принципы защиты данных были реализованы в ее национальном праве. Поэтому важное значение имеет теоретико-правовой анализ развития отечественного законодательства в сфере персональных данных.
Необходимо отметить, что вопросам определения информационного содержания персональных данных, их правового статуса и мер защиты, законодатель уделял внимание и до присоединения к Конвенции, фактически в рамках становления информационного законодательства Российской Федерации. Так, в соответствии со ст.21 Федерального закона от 20 февраля 1995 г. N 24-ФЗ "Об информации, информатизации и защите информации"[2] (в настоящее время – не действует) в Российской Федерации защите подлежала любая документированная информация, неправомерное обращение с которой, может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Данный закон определял, что документированная информация (документ) - это зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать, и устанавливал режим защиты информации в отношении персональных данных.[3].
Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера"[4] утвердил перечень сведений конфиденциального характера, и в том числе включил в данный перечень:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
В Воздушный кодекс Российской Федерации от 19.03.1997 N 60-ФЗ[5] включена статья 85.1. «Персональные данные пассажиров воздушных судов»: В целях обеспечения авиационной безопасности перевозчики обеспечивают передачу персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с законодательством Российской Федерации о транспортной безопасности и законодательством Российской Федерации в области персональных данных, при международных воздушных перевозках также в уполномоченные органы иностранных государств в соответствии с международными договорами Российской Федерации или законодательством иностранных государств вылета, назначения или транзита в объеме, предусмотренном законодательством Российской Федерации, если иное не установлено международными договорами Российской Федерации (в ред. Федерального закона от 05.04.2011 N 50-ФЗ).
Согласно Федеральному закону от 15 ноября 1997 г. N 143-ФЗ «Об актах гражданского состояния»[6] сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ[7] содержит статью 13.11,.предусматривающую ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Важно отметить, что на момент введения в действие кодекса, «установленного законом порядка» не существовало.
Введенный в действие с 1 февраля 2002 г. Трудовой кодекс Российской Федерации[8] содержит главу 14 «Защита персональных данных работника». Согласно статьи 85 Кодекса персональными данными работника признается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. В статье 86 Кодекса определяются общие требования при обработке персональных данных работника и гарантии их защиты. Статьей 87 Кодекса установлено, что порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований Кодекса. В то же время в целях обеспечения защиты указанных данных, хранящихся у работодателя, статьей 89 Кодекса предусмотрены права работника. Статья 90 Кодекса установлено, что лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Указ Президента РФ от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"[9] в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации"[10] утвердил Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.
Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением.
Персональные данные, внесенные в личные дела гражданских служащих, иные сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
Конституционное положение о недопустимости сбора, хранения, использования и распространения информации о частной жизни лица является одной из гарантий закрепленного в Конституции права на неприкосновенность частной жизни. Оно призвано защитить частную жизнь, личную и семейную тайну от какого бы то ни было проникновения в нее со стороны, как государственных органов, органов местного самоуправления, так и негосударственных предприятий, учреждений, организаций, а также отдельных граждан.
Особое значение запрет собирать, хранить, использовать и распространять информацию о частной жизни лица приобретает в связи с созданием информационных систем на основе использования средств вычислительной техники и связи, позволяющих накапливать и определенным образом обрабатывать значительные массивы информации.
Установленный порядок обращения с информацией и информационными ресурсами при обработке их в автоматизированных системах обработки данных должен обеспечивать их защиту от утечки, хищения, утраты, искажения и подделки информации, несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию, других форм незаконного вмешательства в информационные ресурсы и информационные системы.
Важное значение для дальнейшего развития информационного законодательства России имело принятие Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[11]
В данном законе среди принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации, отмечен принцип неприкосновенности частной жизни, недопустимости сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
Определяя основания ограничения доступа к информации, закон запрещает требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами, а также уточнил, что порядок доступа к персональным данным граждан (физических лиц) устанавливается Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"[12].
Указанным Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
В данном Федеральном законе определено, что персональные данные это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
Таким образом, законодатель «избавился» от упоминания понятий «жизнь» или «частная жизнь» в определении персональных данных, как это ранее было в упомянутых выше нормативно-правовых актах 90-х годов, а конституционную гарантию запрета сбора, хранения, использования и распространения информации о частной жизни лица без его согласия отразил в содержании цели Федерального закона «О персональных данных» - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Персональные данные относятся к категории конфиденциальной информации. Конфиденциальность персональных данных означает обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
Федеральный закон «О персональных данных» в качестве условия обработки персональных данных, определяет, что обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением ряда случаев, имеющих непосредственное отношение к правоохранительной деятельности:
· обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
· обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
· обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Важнейшей обязанностью операторов и третьих лиц, получающих доступ к персональным данным, является обеспечение конфиденциальности таких данных, за исключением случаев обезличивания персональных данных, а также в отношении общедоступных персональных данных.
Федеральный закон «О персональных данных» предусматривает, что обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, перечисленных в законе.
Обработка специальных категорий персональных данных допускается в случаях (перечислим только те, которые могут возникнуть в ходе работы правоохранительных органов), если:
· субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
· персональные данные являются общедоступными;
· персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
· обработка персональных данных необходима в связи с осуществлением правосудия;
· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации;
Очевидно, что выполнение данных условий потребует внесения необходимых изменений в процессуальные и иные служебные документы, в которых, в ряде случаев, прежде всего, связанных с инициативным обращением граждан в правоохранительные органы, следует отразить согласие гражданина на обработку его персональных данных, в том числе персональных данных специальных категорий.
В соответствии с Федеральным законом «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. В настоящее время такие функции выполняются Информационными центрами МВД, ГУВД, УВД по субъектам Российской Федерации.
Что касается требования закона о том, что обработка специальных категорий персональных данных, осуществлявшаяся в случаях, когда субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных, либо персональные данные являются общедоступными, а также когда персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, следует отметить, что нужна строгая регламентация всех оснований продолжения обработки информации, снятия информации с учета, или, например, перевода ее в разряд архивной.
Важное значение в правоохранительной деятельности имеет использование биометрических персональных данных. К последним относят сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. К таким сведениям следует отнести дактилоскопическую и геномную информацию, все более активно используемые в практической деятельности. Биометрические персональные данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением ряда случаев, предусмотренных законом.
Так, обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Большое внимание в Федеральном законе «О персональных данных» уделяется вопросам обеспечения прав субъекта персональных данных на доступ к своим персональным данным.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, о которых будет сказано ниже. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
· способы обработки персональных данных, применяемые оператором;
· сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
· перечень обрабатываемых персональных данных и источник их получения;
· сроки обработки персональных данных, в том числе сроки их хранения;
· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
В каких случаях ограничивается право субъекта персональных данных на доступ к своим персональным данным? Прежде всего, в тех случаях, когда это связано с деятельностью правоохранительных органов:
· обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
· обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
· предоставление персональных данных нарушает конституционные права и свободы других лиц.
Задание:
Какие примеры информации, подлежащей защите вы можете привести в зависимости от ее содержания или обладателя?
[1] "Собрание законодательства РФ", 26.12.2005, N 52 (1 ч.), ст. 5573
[2] "Собрание законодательства РФ", 20.02.1995, N 8, ст. 609.
[3] Федеральный закон "О персональных данных" пришлось ждать еще 9 лет.
[4] "Собрание законодательства РФ", 10.03.1997, N 10, ст. 1127.
[5] "Собрание законодательства РФ", 24.03.1997, N 12, ст. 1383.
[6] "Собрание законодательства РФ", 24.11.1997, N 47, ст. 5340.
[7] "Собрание законодательства РФ", 07.01.2002, N 1 (ч. 1), ст. 1.
[8] "Собрание законодательства РФ", 07.01.2002, N 1 (ч. 1), ст. 3.
[9] "Собрание законодательства РФ", 06.06.2005, N 23, ст. 2242.
[10] "Собрание законодательства РФ", 02.08.2004, N 31, ст. 3215.
[11] "Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3448.
[12] "Собрание законодательства РФ", 31.07.2006, N 31 (1 ч.), ст. 3451.
