Лекции по "Информационное право"

3. При получении персональных данных (в том числе от третьих лиц)  оператор ПД до начала обработки  обязан получить у субъекта  этих ПД письменное разрешение  на их обработку (за исключением  случаев, если персональные данные  были предоставлены оператору  на основании федерального закона  или если они являются общедоступными). Важно отметить, что субъект имеет  право отозвать данное разрешение.

4. Оператор обязан предоставить  субъекту ПД по требованию  все имеющиеся сведения о нем,  целях и условиях обработки,  способах защиты его персональных  данных.

Оператор  также должен уничтожить или блокировать  соответствующие персональные данные, внести в них необходимые изменения  по предоставлении субъектом ПД или  его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых  осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно  полученными или не являются необходимыми для заявленной цели обработки.

Более того, оператор ПД обязан предоставить доказательство получения согласия субъекта ПД на обработку его персональных данных, а в случае обработки общедоступных  персональных данных на него возлагается  обязанность доказать, что обрабатываемые ПД являются общедоступными.

5. Подконтрольность и поднадзорность  деятельности операторов персональных  данных государственным органам.  Это означает обязанность оператора  сообщать в уполномоченный орган  по защите прав субъектов ПД  по его запросу информацию, необходимую  для осуществления деятельности  указанного органа. Функциями контроля  и надзора государство наделило  Роскомнадзор, ФСТЭК и ФСБ3[9].

Законом также предусмотрены случаи, когда  не требуется согласие субъекта ПД на обработку сведений о нем:

1. обработка персональных данных  осуществляется на основании  других федеральных законов, например, некоторыми Федеральными законами  предусматриваются случаи обязательного  предоставления субъектом ПД  своих персональных данных в  целях защиты основ конституционного  строя, нравственности, здоровья, прав  и законных интересов других  лиц, обеспечения обороны страны  и безопасности государства;

2. оператор и субъект ПД связаны  договором на выполнение действий, которые требуют

3. обработки персональных данных  этого субъекта, например, договор,  по которому туристическая фирма  (оператор) имеет право использовать  персональные данные субъекта  для бронирования гостиницы;

4. обработка персональных данных  необходима для защиты жизни,  здоровья или иных жизненно  важных интересов субъекта ПД, если получение его согласия  невозможно, например, госпитализация  человека при несчастном случае;

5. обработка персональных данных  необходима для доставки почтовых  отправлений организациями почтовой  связи, для осуществления операторами  электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

6. обработка персональных данных  осуществляется в целях профессиональной  деятельности журналиста либо  в целях научной, литературной  или иной творческой деятельности  при условии, что при этом  не нарушаются права и свободы  субъекта ПД;

7. осуществляется обработка персональных  данных, подлежащих опубликованию  в соответствии с федеральными  законами, в том числе ПД лиц,  замещающих государственные должности,  должности государственной гражданской  службы, персональных данных кандидатов  на выборные государственные  или муниципальные должности.

Во  всех других случаях оператор должен соблюдать требования российского  законодательства по обработке персональных данных. Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение  его требований.

Так, Кодекс об административных правонарушениях  предусматривает максимальный штраф  в 500000 рублей за невыполнение законного  предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП).

В уголовном кодексе говорится  о штрафе в 300000 руб., обязательных работах  на срок до 1_го года, аресте до 6_ти месяцев  и лишении права занимать должность  на срок до 5_ти лет в случае осуществления  защиты персональных данных без лицензии в случаях, если это деяние причинило  крупный ущерб гражданам (ст. 171 УК).

При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

автоматизированный  безопасность персональный защищенность

23. Биометрические данные.

Можно весьма условно разделить  такие данные на:

• физиологические;
• поведенческие.

К первой категории относятся  такие данные, как изображение  человека (как правило, его лица - «открытой» части тела), отпечатки  пальцев, изображение сетчатки глаза, генетические данные,  «биология» кожных выделений и т.п.

Ко второй категории можно  отнести походку человека, его  почерк, манеру говорить (голос в  целом), психофизические характеристики и т.д.

Однако, так или иначе, это «всего лишь» свойства человека - его биологические характеристики - являющиеся, безусловно, его персональными  данными, но имеющие «прикладное» значение только в том случае, если они:

• будут соответствующим образом «измерены» и/или зафиксированы;
• обработаны с применением автоматизированных (как правило, компьютерных или электронно-цифровых) средств.

В этом случае очевидно, что  подобная обработка «первоначальных» данных (биологических характеристик) безусловно подпадает под действие законодательства о персональных данных.

Более того, поскольку результаты такой обработки - персональные данные, не только относящиеся к человеку, но и характеризующие его - могут  использоваться для того, чтобы отличить одно лицо от другого, следует говорить, что в прикладном смысле биометрические данные в подавляющем большинстве  случаев служат для целей идентификации.

С другой стороны, неизбежно  автоматизированный характер обработки  заставляет говорить не столько о  самих биометрических данных (изначальных  характеристиках), сколько о системах обработки (биометрических системах).

Для того, чтобы «биометрическая  система» имела реальные прикладные свойства, предварительная процедура  обработки разделяется на несколько  этапов:

• получение т.н. образца от человека. Это может быть изображение его лица, отпечатки пальцев, био-образец (например, кожные выделения), сканированное изображение сетчатки глаза и т.п.;
• создание т.н. шаблона. На этом этапе производится автоматизированная обработка полученных на первом этапе данных и превращение их в уникальный код.
• фиксация полученного шаблона на соответствующем носителе информации и/или в специализированной базе данных (регистрация).

Впоследствии использование  зарегистрированных данных  сводится к их сравнению с теми образцами, которые «предъявляют» биометрической системе (сам человек или кто-либо другой). Например, при проходе в закрытую зону или получая доступ к компьютерной системе.

Целями обработки с  точки зрения идентификации могут  быть:

• идентификация как таковая. В этом случае идет разговор о сравнении «предъявленного» образца с теми данными, которые относятся ко многим лицам. Это может быть, например, сравнение (обработанных) отпечатков пальцев с теми данными, которые хранятся в базе данных криминальной полиции (милиции).
• верификация. В этом случае шаблон (обработанный и зарегистрированный образец) находится на носителе информации, находящемся в распоряжении у лица, «предъявляющего» считывающему устройству свой «образец» (скажем, форму ладони). Таким носителем может быть, например, смарт-карта. В таком случае идет разговор об удостоверении того, что предъявляющее лицо является законным владельцем носителя информации (смарт-карты, пропуска и т.п.).

Следует обратить внимание на то, что все процедуры предварительной  обработки биометрических характеристик  и обработки «предъявляемого» образца  носят числовой «оценочный» характер и поэтому, каким бы совершенным  не был алгоритм числовой «оценки», его результат заведомо несет  в себе определенную меру погрешности.

Биологические характеристики человека могут измениться также:

• с возрастом;
• в результате перенесенных операций;
• в результате полученных травм.

Эти свойства биометрических систем и биометрических характеристик  заставляют говорить о вероятностном  характере решения, принимаемого на основании обработки биометрических данных.

Все перечисленное требует  также от разработчиков биометрических систем и их владельцев самым тщательным образом соотнести создание биометрической системы, а также ее функционирование со всеми ключевыми положениями  законодательства о персональных данных (целями обработки, остальными принципами обработки, правовыми основаниями, правами субъектов персональных данных и т.д.).

Кроме этого, поскольку сам  процесс обработки биометрических характеристик человека преследует цель его предельной «объективизации» (а иногда и при неизбежном вторжении  в его тело), то сама обработка (включая  сбор информации) должна в подавляющем  большинстве случаев проводиться  с его согласия.

Наконец, поскольку в определенных случаях дополнительными сведениями, получаемыми в процессе «объективизации» могут стать сведения, относящиеся, в частности, к состоянию его  здоровья (например, при обработке  изображения сетчатки глаза), то это  обстоятельство должно быть тщательно  учтено владельцами биометрических систем, если целью таких систем является идентификация/верификация..

24. Ответственность в сфере персональных данных.

К федеральным законам, раскрывающим ответственность за нарушения в  сфере защиты персональных данных, можно отнести:

1. Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (в ред. от 23.12.2010).
2. Федеральный закон от 27 июля 2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
3. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ (ред. от 07.02.2011) (с изменениями и дополнениями, вступившими в силу с 07.04.2011).
4. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (ред. от 07.03.2011).
5. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ред. от 29.12.2010).
6. Гражданский кодекс РФ.

Виды ответственности

Статья 24 закона № 152-ФЗ "О персональных данных" прямо определяет виды ответственности  за нарушение требований федерального закона. Лица, виновные в нарушении  требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и  иную предусмотренную законодательством  Российской Федерации ответственность. Рассмотрим ответственность по перечисленным  законам с акцентом на ответственности  за нарушения требований по защите персональных данных.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение "тайны  страхования". Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Уголовный кодекс РФ

Уголовный кодекс РФ предусматривает  наказание по ст. 137, 140 и 272.

По ст. 137 наступает ответственность  за нарушение неприкосновенности частной  жизни, выражающееся в незаконном собирании  или распространении сведений о  частной жизни лица, составляющих его личную или семейную тайну, без  его согласия либо распространении  этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. По статье предусмотрен штраф в размере  до 200 тысяч рублей или лишение  свободы на срок до 2 лет. Те же деяния, совершенные лицом с использованием своего служебного положения, предусматривают  штраф в размере от 100 тысяч  до лишения свободы на срок до 4 лет. Как следует из диспозиции статьи, правоприменимость статьи не зависит от наличия средств защиты персональных данных.