Законодательство РФ содержит нормативные акты, гарантирующие защиту личных данных граждан. Основным источником права соответствующего типа является Федеральный закон № 152-ФЗ. В нем содержатся положения, в достаточной мере детально регламентирующие осуществление оборота персональных данных россиян. Какие из них можно назвать ключевыми? В чем заключается смысл ФЗ № 152?
Сфера действия нормативного акта
Закон "О персональных данных" № 152-ФЗ распространяется на правоотношения, которые связаны с обработкой информации главным образом личного характера. К ней можно отнести Ф.И.О., адрес, телефон, паспортные данные человека. Персональные данные, которые защищает рассматриваемый закон, могут обрабатываться как юридическими, так и физическими лицами. ПД могут быть и биометрическими, то есть представлять собой отпечатки пальцев гражданина или снимок сетчатки его глаз.
В чем смысл регулирования оборота ПД?
Основная идея ФЗ № 152 "О персональных данных" в том, что гражданин, являющийся владельцем ПД, сам может определять то, кому он разрешает пользоваться соответствующими данными и каким образом. То есть, если соответствующего разрешения не получено, другое лицо не вправе каким-либо образом обрабатывать ПД, принадлежащие другому субъекту. Закон устанавливает ряд исключений из этого правила. Далее в статье мы рассмотрим данный аспект и иные особенности применения положений закона № 152-ФЗ подробнее.
Чаще всего оборот ПД осуществляют компании-работодатели, органы власти на различных уровнях, сервисные службы. Поэтому они должны наиболее внимательно изучать закон "О персональных данных" и обеспечивать соответствие своей работы его положениям. Рассмотрим то, на какие нормы, что содержатся в указанном нормативном акте, следует обращать внимание в первую очередь.
Основные нормы ФЗ № 152
Изучая закон "О персональных данных" (152-ФЗ), следует в первую очередь разобраться в терминологии, которая в нем отражена. Так, ключевыми понятиями, которые содержит соответствующий источник права, можно считать:
- собственно «персональные данные» - определяемые как любая информация, касающаяся физического лица;
- «оператор персональных данных» - организация или физлицо, осуществляющие обработку ПД;
- «информационная система» - ресурс, на котором размещаются ПД.
Можно отметить, что в законе приведена в достаточной мере широкая трактовка понятия ПД — нет каких-либо четких критериев их определения. Это, как считают многие юристы, значительно способствует повышению уровня защищенности личной информации граждан, поскольку, в силу положений закона, практически все ее виды могут быть классифицированы как персональные данные.
Операции с ПД
Законодательство о ПД регламентирует операции, которые могут быть, в принципе, осуществлены с соответствующими данными:
- распространение;
- предоставление;
- блокирование;
- обезличивание;
- трансграничная передача;
- уничтожение.
Закон "О персональных данных" требует от операторов ПД осуществления указанных действий при условии соблюдения:
- конфиденциальности ПД (если иное не установлено законом);
- целостности ПД.
То есть персональные данные должны быть защищены, во-первых, от несанкционированного просмотра, а во-вторых — от уничтожения или неправомерной корректировки. Изучим то, каким образом должна осуществляться собственно защита ПД в соответствии с нормами закона № 152-ФЗ.
Защита персональных данных по закону № 152-ФЗ
Выполнение главного обязательства, которое предусмотрено законом, оператор ПД должен осуществлять с помощью:
- внедрения передовых технологических решений, позволяющих защитить данные от несанкционированного прочтения и изменения;
- применения правовых методов защиты информации.
Решая указанные задачи, оператор ПД, как это предписывает закон "О защите персональных данных", должен:
- классифицировать информацию, обработку которой он осуществляет, по уровням защищенности;
- установить требования к качеству носителей персональных данных;
- определить особые критерии защищенности биометрических данных.
Прежде чем начать обработку ПД, их оператор должен получить соответствующую информацию в распоряжение. Как он может сделать это законным способом?
Как владельцу ПД разрешить их использование?
Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные — в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.
Закон "О персональных данных" в некоторых случаях не требует оформления соответствующего согласия — например, если речь идет об оформлении сотрудника на работу. Однако на практике многие компании, нанимающие работников, все же просят их предоставить согласие на обработку ПД. Это во многом связано с тем, что формально не все типы операций с кадровыми документами попадают под исключения, которые содержит закон "О защите персональных данных". Полезно будет рассмотреть их перечень отдельно.
В каких случаях ПД могут быть обработаны без согласия владельца?
Федеральный Закон 152 «О персональных данных» устанавливает, что оператору ПД не нужно запрашивать согласие у их владельца на обработку соответствующей информации, если она осуществляется:
- в силу положений какого-либо федерального закона;
- для исполнения договора, заключаемого между оператором ПД и их владельцем;
- в целях сбора статистических данных или при проведении научного исследования — но при условии, что ПД будут обезличены;
- в экстренной ситуации, когда это необходимо для оказания помощи владельцу ПД;
- в целях отправки почты;
- для осуществления расчетов между провайдерами и их клиентами, являющимися владельцами ПД;
- в рамках журналистской деятельности;
- в соответствии с законами, регулирующими деятельность государственных и муниципальных служащих.
Исполнение требований ФЗ № 152 операторами ПД может контролироваться компетентными государственными органами. Изучим данный аспект подробнее.
Контроль над исполнением положений ФЗ № 152
Закон "О персональных данных" (152-ФЗ) устанавливает, что контроль над исполнением его положений должен осуществлять компетентный орган власти. Он функционирует на федеральном уровне, и потому, ему подчинены различные региональные ведомства. Данный орган власти имеет право:
- получать у физлиц и организаций сведения, необходимые в целях реализации установленных для него полномочий;
- проверять сведения, включаемые в уведомления об обработке ПД;
- обращаться к другим государственным структурам за содействием в решении поставленных задач;
- предписывать оператору ПД корректировать, блокировать или же уничтожать данные, которые признаны недостоверными или получены в обработку незаконным путем;
- обращаться в судебные органы с исками в пользу защиты владельцев ПД, а также представлять их интересы в процессе слушаний;
- взаимодействовать с органами, выдающими лицензии для операторов ПД, на предмет аннулирования соответствующих разрешительных документов в тех случаях, если лицо, осуществляющее обработку ПД, нарушает требования закона;
- взаимодействовать с прокуратурой и силовыми структурами по вопросам защиты персональных данных граждан;
- предлагать правительству РФ меры по совершенствованию законодательства в области ПД;
- привлекать в административном порядке к ответственности тех лиц, что нарушают нормы ФЗ № 152.
Резюме
Таким образом, закон "О персональных данных" 152-ФЗ устанавливает детальный перечень правовых норм, защищающих оборот конфиденциальной информации о гражданах. Он определяет сущность ПД, статус их владельцев и операторов. Главная задача, которую решает федеральный закон "О персональных данных" — защита личной информации граждан от использования в интересах третьих лиц.
Положения соответствующего ФЗ предполагают, что человек сам должен давать согласие на обработку своих ПД, а оператор соответствующих данных получает право запрашивать ПД только в определенных законом случаях. Кроме того, рассматриваемый закон требует от лиц, использующих персональные данные граждан, обеспечения должного уровня их защиты.
Касательно первого критерия есть исключения - их тоже содержит закон. ФЗ «О персональных данных» - в достаточной мере прогрессивный нормативно-правовой акт, позволяющий вывести правовые механизмы защиты интересов граждан на новый уровень. Санкции за его нарушения могут быть предусмотрены весьма серьезные, поэтому операторам ПД: работодателям, сервисным службам и любым другим фирмам, работающим с личными данными гражданина - следует внимательно изучать положения соответствующего закона.