Правовые источники регулирования в сфере защиты персональных данных



В законодательстве Российской Федерации в области защиты персональных данных закреплены все общепризнанные принципы обработки персональных данных с учетом общеевропейских принципов. Одной из главных целей в дальнейшем развитии законодательства Российской Федерации в области защиты персональных данных является, несомненно, принятие решения вопроса защиты персональных данных субъекта в связи с реализацией основного законодательного принципа свободы получать, обрабатывать, искать, передавать и распространять информацию.

Ключевые слова: защита персональных данных, международное право, Конституция Российской Федерации, нормативно-правовые акты Российской Федерации.

In the Russian legislation in the field of personal data protection enshrined all the generally recognized principles of personal data processing taking into account the common European principles. One of the main objectives in the further development of the Russian Federation in the field of personal data protection is undoubtedly the adoption of the decision on the protection of personal data subject in relation with the implementation of the basic legal principle of freedom to receive, process, search, share and disseminate information.

Keywords: protection of personal data, international law, Russian Federation Constitution, legal acts of the Russian Federation.

Правовое регулирование в сфере защиты персональных данных в Российской Федерации является одной из актуальных проблем правовой науки и практики. Классификация заключается в том, что необходимо создание правового механизма защиты персональных данных, учитывающего в равной степени публично-правовой интерес, как государства, так и общества в целом.

Институт защиты персональных данных имеет довольно долгую историю становления и правового оформления. Первоначально в российской системе права этот институт складывался стихийно лишь постольку, поскольку он являлся частью каких-либо иных общественных отношении, ставших предметом правового регулирования. Поэтому не было ни единого термина, обозначающего данный институт, ни определения, раскрывающего его суть [4]. Вопросы защиты персональных данных фрагментарно регулировались в основном отраслевым законодательством, а именно в уголовном, административном, гражданском и т. д. Естественно, что в отсутствие единого законодательного акта, регулирующего вопросы защиты персональных данных, правовое регулирование в этой сфере было не полным и не всегда согласованным.

Нормативное регулирование в области защиты персональных данных в странах ЕС, значительно преуспевало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Самое первое законодательство в области защиты персональных данных появилось в странах Европы еще в 80-х годах прошлого столетия.

В настоящее время систему источников правового регулирования в области защиты персональных данных можно представить в следующем виде.

Акты международного права заложили основу для появления соответствующего российского законодательства. Эти акты занимают в системе источников особое место, потому что процессы экономического пространства и появления единого информационного пространства требуют создания единых основ правового регулирования в информационной среде. Основополагающим актом является Окинавская хартия, принятая 22 июня 2000 года руководителями «Большой восьмерки» и т. д. [3]. В этом документе определены основы взаимодействия правительств и гражданского общества стран в условиях информационного общества.

Указанная хартия, положения которой были приняты государствами-членами «Большой восьмерки» и EC, указывает, в том числе, на необходимость развития эффективного и значимого механизма защиты частной жизни, в том числе, при обработке персональных данных.

В этой связи вопросы укрепления доверия и безопасности между участниками информационных процессов, в том числе, в рамках взаимодействия государства и субъекта, выходят на первый план и являются одной из основных предпосылок становления информационного общества.

Основным источником правового регулирования отношений, связанных непосредственно с защитой персональных данных, является Конвенция о защите личности при автоматизированной обработке персональных данных и Дополнительный протокол о защите личности при автоматизированной обработке персональных данных [1], касающийся надзорных органов и трансграничных потоков данных.

Конституция РФ [2] содержит два основополагающих принципа: право на неприкосновенность частной жизни, семейную и личную тайну, защиту своей чести и доброго имени, право на тайну переписки и иных сообщений, а также право свободно искать, получать, передавать, распространять и производить информацию. При этом сбор, хранение, использование информации о частной жизни лица без его согласия не допускаются.

В законодательстве Российской Федерации в области защиты персональных данных закреплены все общепризнанные принципы обработки персональных данных с учетом общеевропейских принципов [13]:

– законности способов и целей обработки персональных данных и добросовестности;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

– соответствия характера и объема обрабатываемых персональных данных;

– подлинности и полноты объема данных, необходимых для целей обработки персональных данных, а также невозможности получение сведений (персональных данных), более чем являющихся необходимым по отношению к целям, заявленным при обработке персональных данных;

– недопустимости интеграции несовместимых баз данных информационных систем персональных данных между собой, которые носят разные цели.

Среди иных законодательных актов Российской Федерации следует назвать, прежде всего, законодательный акт в области информации, информационных технологиях и защиты информации [12].

Данный акт заложил правовую основу и платформу для реализации информационных правоотношений в России. Акт закрепил за собой основные принципы реализации прав на поиск, получение, передачу, производство и распространение информации, применение информационных технологий и защиты информации. Данным актом устанавливается запрет требовать от субъекта передачи информации о его частной жизни, в том числе сведения, составляющие его семейную и личную тайну, а также запрет получения информации против воли самого субъекта, если иное не установлено законодательством Российской Федерации.

Среди подзаконных актов следует, прежде всего, отметить Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», согласно которому персональные данные субъекта относятся к сведениям конфиденциального характера [10].

В соответствии с Планом подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных», утвержденного распоряжением Правительства Российской Федерации 15.08.2007 № 1055 [9], было принято несколько постановлений Правительства и нормативных актов уполномоченных федеральных органов исполнительной власти по отдельным вопросам в сфере обработки персональных данных.

Кроме того, существует еще несколько подзаконных нормативных документов в рассматриваемой области:

1) требования к защите персональных данных при их обработке в информационных системах персональных данных [5].

В частности, в указанном документе, функции по контролю соблюдения требований безопасности теперь осуществляются оператором самостоятельно либо с привлечением на договорной основе негосударственной организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации, выдаваемой ФСТЭК России.

2) положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации [6].

Данный правовой акт предусматривает особенности организации обработки персональных данных и меры по обеспечению защищенности персональных данных при их обороте, осуществляемой без использования средств автоматизации.

3) требования к биометрическим персональным данным (материальным носителям) и технологиям хранения персональных данных вне информационных систем персональных данных [8].

Данные требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

В данных требованиях под материальным носителем понимается носитель информации, на котором осуществляются хранение и запись информации, составляющих физиологические особенности человека и на основе которых можно его идентифицировать.

Также Президентом Российской Федерации было утверждено положение о персональных данных государственного гражданского служащего, которое регулирует порядок работы с персональными данными государственных гражданских служащих [11].

Таким образом, на начальном этапе Российской Федерацией были приняты исчерпывающие меры по созданию национальной системы законодательства в области персональных данных.

Сфера персональных данных является динамично развивающейся областью и одним из критериев эффективности защиты прав и законных интересов граждан в условиях изменяющейся среды является актуальность действующей нормативной правовой базы, ее соответствие международным и общеевропейским актам.

В июле 2011 года в Федеральный закон о персональных данных были внесены изменения, которые коснулись сферы действия Федерального закона, используемых в нем основных понятий, принципов и условий обработки персональных данных.

Внесение данных изменений было обусловлено поручением Президента Российской Федерации от 31.05.2011 в части завершения процедуры приведения законодательства Российской Федерации в соответствие с требованиями Конвенции.

В целях подготовки предложений по внесению изменений и дополнений в законодательный акт Российской Федерации в области персональных данных была создана рабочая группа по совершенствованию и гармонизации законодательства в сфере персональных данных, в состав которой вошли представители федеральных органов исполнительной власти и общественность.

В рамках работы и деятельности рабочей группы был подготовлен ряд предложений о внесении изменений в законодательство Российской Федерации в области персональных данных.

Данные изменения позволили четко разграничить полномочия между уполномоченным органом по защите прав субъектов персональных данных, ФСБ и ФСТЭК России, как органов, занимающихся техническими мерами защиты информации, в том числе персональных данных.

Кроме того, на Правительство Российской Федерации были возложены полномочия по установлению уровней защищенности персональных данных при их обороте в информационных системах персональных данных, требований к их защите, к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем, а также ряд других.

В рамках внесенных изменений в законодательный акт Российской Федерации в области персональных данных Правительством Российской Федерации был утвержден перечень нормативных актов, необходимых для реализации Федерального закона о персональных данных.

Правительством Российской Федерации был разработан и принят перечень мер, направленных на обеспечение выполнения требований Федерального закона о персональных данных и принятых в соответствии с ним нормативных правовых актов операторами, являющимися государственными и муниципальными органами [7].

Согласно данному перечню мер на государственные и муниципальные органы возложена обязанность осуществлять обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе, созданных и функционирующих в рамках федеральных целевых программ, что существенно позволит снизить затраты для операторов на защиту информационной системы персональных данных и минимизировать риски нарушения прав и законных интересов граждан в случае утечки сведений персонального характера из такой информационной системы.

Помимо наличия законодательства Российской Федерации в области персональных данных одним из важнейших факторов эффективной защиты персональных данных субъектов является наличие средств правовой защиты и санкций в случае нарушения норм законодательства Российской Федерации в области персональных данных.

Законодательством Российской Федерации для субъектов предусмотрены такие возможности защиты своих прав как самостоятельно обращаться в суд общей юрисдикции, так и в уполномоченный орган по защите субъектов персональных данных.

Также к источникам толкования относятся иные подзаконные нормативные акты, акты органов исполнительной власти, акты локального регулирования, а также документы высших судебных органов.

Поскольку, согласно Конституции Российской Федерации, информация и связь относятся к исключительным предметам ведения Российской Федерации, то субъекты Российской Федерации не вправе принимать соответствующее законодательство и подзаконные акты.

Кроме того, несмотря на то, что уже сформирован значительный массив законодательства и подзаконных актов, нормотворческая деятельность в этой сфере продолжается [4].

Так на официальном сайте Государственной Думе Федерального Собрания Российской Федерации была опубликована новость, что вопросами защиты персональных данных россиян займется рабочая группа [14], которая будет готовить конкретные шаги (на законодательном уровне) по защите персональных данных россиян.

Литература:

1. Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации от 8 ноября 2001 г. ETS № 181 [Электронный ресурс]. URL: http://base.garant.ru.
2. Конституция Российской Федерации 1993 г. [Электронный ресурс]. URL: http://www.consultant.ru.
3. Окинавская Хартия, 2000 г. [Электронный ресурс]. URL: http://www.consultant.ru.
4. Петрыкина Н. И. Персональные данные личности: учеб. Пособие / Н. И. Петрыкина. Моск. гос. ин-т междунар. отношений (ун-т) МИД России, каф. административного и финансового права. — М.: МГИМО-Университет, 2012.
5. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Собрание законодательства РФ. — 05.11.2012. — № 45. — Ст. 6257.
6. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» // Собрание законодательства РФ. — 22.09.2008. — № 38. — Ст. 4320.
7. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» // Собрание законодательства РФ. — 02.04.2012. — № 14. — Ст. 1626.
8. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» // Собрание законодательства РФ. — 14.07.2008. — № 28. — Ст. 3384.
9. Распоряжение Правительства РФ от 15 августа 2007 г. № 1055-р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных» // Собрание законодательства РФ. — 20.08.2007. — № 34. — Ст. 4277.
10. Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» // Собрание законодательства РФ. — 10.03.1997. — № 10. — Ст. 1127.
11. Указ Президента РФ от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» // Собрание законодательства РФ. — 06.06.2005. — № 2. — Ст. 2242.
12. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. URL: http://www.consultant.ru.
13. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [Электронный ресурс]. URL: http://www.consultant.ru.
14. Официальный сайт Государственной Думы Федерального собрания Российской Федерации [Электронный ресурс]. URL: http://duma.gov.ru/news/45016/ (дата обращения: 21.05.2019).