ЖАНРЫ

Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"
Шрифт:

4. По общему правилу оператор должен лично осуществлять обработку персональных данных, однако законодатель допускает возможность передоверия совершения операций с персональными данными другому лицу на основании договора. Следует отметить, что комментируемый Закон не определяет перечень случаев, равно как порядок и условия такого рода передоверия. Предположительно передача исключительных прав на обработку персональных данных должна осуществляться в случаях объективно необходимых в силу сложившихся обстоятельств для защиты интересов субъекта персональных данных.

Передача полномочий оператора по обработке персональных данных на основании договора третьему лицу допустима при соблюдении следующих условий:

наличие согласия субъекта персональных данных;

уведомление субъекта о предстоящей или состоявшейся передачи с обязательным сообщением сведений о личности нового оператора и иных данных, имеющих значение в целях обеспечения адекватной защиты прав субъектов персональных данных;

передача прав на обработку персональных данных обусловлена силой обстоятельств для охраны интересов субъекта персональных данных;

обеспечение условий конфиденциальности персональных данных, подвергающихся обработке.

Существенным условием договора передачи персональных данных по смыслу комментируемой статьи является обязанность обеспечения доверенным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору. В случае если иное не установлено договором, контрагент в соответствии с законодательством РФ самостоятельно определяет способы защиты персональных данных, переданных ему по договору. Передача персональных данных доверенному лицу осуществляется в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для оператора персональных данных.

Контрагент обязан незамедлительно сообщить субъекту персональных данных о ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании персональных данных третьими лицами. Оператор персональных данных, переданных им контрагенту, до окончания срока действия договора не может разглашать указанную информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности персональных данных, переданных по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.

Статья 7.

Конфиденциальность персональных данных

Комментарий к статье 7

1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.

Меры по охране конфиденциальности персональных данных, принимаемые оператором, должны включать в себя:

1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера" структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных [15] ;

15

См.: Волчинская Е.К. Правовая защита персональных данных: проблемы развития российского законодательства // Владивостокский центр исследования организованной преступности при Юридическом институте ДВГУ // crime.vl.ru. 

2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ [16] .

Меры по охране конфиденциальности информации признаются разумно достаточными,

16

См.: Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" // СЗ РФ. 2006. N 34; Постановление Правительства РФ от 15 июля 2002г. N 526 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность" // СЗ РФ. 2002. N 29. Ст.2965. 

если:

1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов [17] .

17

См.: Мэггс П.Б., Сергеев А.П.Интеллектуальная собственность. М., 2000. С. 50. 

Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.

Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.

Поделиться с друзьями: