Рассмотрим подробнее каждую
группу персональных данных и правовой
режим их оборота.
Общедоступные персональные
данные - это персональные данные, доступ
неограниченного круга лиц к которым предоставлен
с согласия субъекта персональных данных
или на которые в соответствии с федеральными
законами не распространяются требования
соблюдения конфиденциальности (п. 12 ст. 3 Закона о персональных данных).
Прежде всего отметим, что до настоящего
времени федеральными законами такие
требования не установлены. Далее, следуя
логике данного определения, можно сказать,
что общедоступными персональными данными
с согласия субъекта могут стать любые
персональные данные, в том числе биометрические
и относящиеся к специальным категориям.
Главным условием здесь является согласие
(или волеизъявление) субъекта персональных
данных. Действительно, каждый вправе
издать собственный политический манифест
или автобиографическую книгу с подробностями
личной жизни. Это есть не что иное, как
проявление свободы слова.
Дальнейшая правовая судьба
персональных данных, ставших общедоступными,
законодателем не регулируется. Согласно
логике рассматриваемого Закона персональные данные, один
раз раскрытые обладателем, автоматически
становятся открытыми для любых видов
дальнейшей обработки11.
Особую группу персональных
данных представляют собой специальные
категории персональных данных. Согласно ч. 1 ст. 10 Закона о персональных данных
к специальным категориям персональных
данных относятся сведения о расовой,
национальной принадлежности, политических
взглядах, религиозных или философских
убеждениях, состоянии здоровья, интимной
жизни.
Биометрические персональные
данные представляют собой особую и весьма
специфическую группу персональных данных,
характеризующих физиологические особенности
человека. К таким особенностям относятся
особенности строения частей тела, отпечатки
пальцев, ладони, сетчатка глаза, анализ
ДНК и т.п.
Общедоступные персональные
данные, специальные категории персональных
данных и биометрические персональные
данные объединены в группы исходя из
особенностей их правового режима. Такая
группировка проста по смыслу и удобна
в применении, однако для правоприменительной
практики ее все-таки вряд ли достаточно.
Разумеется, как на государственном
уровне, так и в частной сфере оборот персональных
данных происходит постоянно. В Законе нельзя учесть тысячи возможных
ситуаций и случаев сбора персональных
данных и закрепить перечни для каждого
конкретного случая. Как мы уже отмечали,
любая классификация персональных данных
является в известной мере условной. Тем
не менее дальнейшая теоретическая, а
затем и практическая работа в этом направлении
необходима. На основе различных классификаций
персональных данных можно, в частности,
установить дифференцированную систему
мер ответственности за нарушение законодательства
о персональных данных, о чем мы уже говорили,
а также использовать их при разработке
подзаконных нормативных актов. Такой
подход, на наш взгляд, будет способствовать
как развитию законодательства, так и
эффективной защите прав субъектов персональных
данных.
Наиболее логичной и ориентированной
на правоприменителя представляется группировка
персональных данных по признаку свободы
оборота. Можно сказать, что на уровне
обычая эта классификация уже частично
сложилась и используется. Исходя из этого
персональные данные можно разделить
на:
- свободно обращаемые;
- ограниченно обращаемые;
- обращаемые в специальных
целях;
- запрещенные к обороту12.
Свободно обращаемые персональные
данные - это имя, фамилия, отчество и пол
лица. В некоторых случаях к ним можно
добавить возраст, образование, адрес
места жительства, номер телефона, т.е.
все те минимальные сведения, которые
готов сообщить о себе субъект определенному
кругу лиц и организаций, составляющих
круг его каждодневного социального общения.
Как правило, несанкционированное использование
этих сведений не может причинить субъекту
какого-либо существенного вреда, поэтому
применение мер ответственности возможно
только в том случае, если нарушен порядок
сбора и обработки этой информации (в частности,
должностным лицом).
Ограниченно обращаемые персональные
данные - это различные виды персональных
данных, в том числе и данные регистрационных
номеров документов, сообщаемые субъектом
(с его согласия) различным организациям
и органам с целью совершения каких-либо
действий или получения каких-либо услуг.
Разглашение или иное несанкционированное
использование полученных персональных
данных есть грубое нарушение неприкосновенности
частной жизни субъекта персональных
данных, способное причинить ему моральный
и материальный ущерб. Субъектами мер
ответственности в данном случае будут
выступать преимущественно должностные
лица, что может влиять на тяжесть применяемых
мер ответственности.
Обращаемые в специальных целях
- это те персональные данные, в том числе
биометрические, которые собираются государственными,
муниципальными и иными уполномоченными
органами в рамках их полномочий в соответствии
с законодательством. Согласие субъекта
на сбор этих персональных данных требуется
не всегда. К таким сведениям относится,
например, информация об усыновлении.
Разглашение и иное несанкционированное
использование этих данных должно влечь
за собой жесткие меры ответственности.
Запрещенные к обороту - это
специальные категории персональных данных.
За нарушения положений законодательства
о защите специальных категорий 24 персональных
данных должны устанавливаться наиболее
жесткие меры ответственности, вплоть
до уголовной ответственности.
Персональные данные работника — информация,
необходимая работодателю в связи с трудовыми
отношениями и касающаяся конкретного
работника. Структурное выделение в ТК
РФ персональных данных вызвано необходимостью
упорядочения отношений по получению
и использованию работодателем информации
о работнике личного характера и установления
правил защиты этой информации от неправомерного
использования13.
Следует обратить внимание на то, что
определенные сведения о персональных
данных работодатель имеет право требовать,
а работник обязан их предоставить. Иные
сведения можно получить только с согласия
работника, что нередко важно для него
самого в целях реализации прав (в том
числе на льготы) и интересов; например,
о членстве в профсоюзе, инвалидности,
беременности. Работодатель не имеет права
запрашивать информацию о состоянии здоровья
работника за исключением тех сведений,
которые относятся к возможности выполнения
работником трудовой функции.
1.3. Правовое регулирование защиты
персональных данных
В соответствии со ст. 9 Федерального закона от 27 июля
2006 г. N 149-ФЗ "Об информации, информационных
технологиях и о защите информации"14, порядок доступа к персональным
данным граждан устанавливается федеральным
законом и запрещается требовать от гражданина
предоставления информации о его частной
жизни, а также получать такую информацию
помимо его воли.
Таким образом, Конституцией РФ и федеральным законодательством
информация о частной жизни отнесена к
охраняемой законом информации, доступ
к ней без согласия лица, к которому она
относится, не допускается. Другими словами,
информация о частной жизни лица, в том
числе персональные данные, признается
конфиденциальной.
Комплексное решение правового
обеспечения защиты персональных данных
должно учитывать двоякую природу этого
понятия. С одной стороны, персональные
данные являются составной частью понятия
"частная жизнь" индивида, а неприкосновенность
частной жизни, как известно, охраняется
законом. С другой стороны, персональные
данные есть необходимый элемент социализации
индивида. Они представляют собой его
своеобразную "визитную карточку"
в обществе и являются юридической основой
для реализации его право- и дееспособности,
поэтому не всегда могут и должны быть
конфиденциальными.
В силу вышеназванных причин
правовое регулирование оборота персональных
данных должно развиваться в трех основных
направлениях.
Первое направление, самое общее,
связано с защитой конфиденциальности
персональных данных в процессе социальной
жизни индивида (взаимоотношения с государственными
органами, профессиональная деятельность,
брачно-семейные отношения, финансовая
сфера, здравоохранение и медицина, получение
нотариальных, адвокатских услуг и т.п.),
т.е. с обработкой персональных данных
операторами информационных систем персональных
данных.
Второе направление связано
с обеспечением конфиденциальности персональных
данных личности в условиях свободы СМИ.
Третье направление - это правовые
изъятия из общего режима конфиденциальности
персональных данных, действующие во время
избирательных кампаний и в иных случаях.
Общие требования относительно
правил работы с персональными данными
работников операторов - юридических лиц
устанавливаются подзаконными актами,
например утвержденным Постановлением
Правительства РФ от 17 ноября 2007 г. N 781 Положением об обеспечении безопасности
персональных данных при их обработке
в информационных системах персональных
данных15.
Требования, содержащиеся в Положении и других подзаконных актах,
нуждаются в конкретизации в нормах, устанавливаемых
локальным нормативным регулированием.
В частности, для регламентации особенностей
трудовой функции работников, в чью компетенцию
входит работа с персональными данными,
можно использовать трудовой договор
(а также различные соглашения) с этими
работниками и другие локальные нормативные
акты организации. Так, принимая на работу
работников, в чью компетенцию будет входить
работа с персональными данными, необходимо
вносить в их трудовые договоры пункты
о порядке работы с персональными данными,
о соблюдении требований конфиденциальности,
о прохождении работником соответствующего
обучения и т.д. Работники должны быть
ознакомлены под роспись со всеми должностными
инструкциями и правилами, касающимися
работы с конфиденциальными данными16.
Работодатель обязан проводить
обучение и регулярный инструктаж этих
работников по работе с автоматизированной
информационной системой. В правилах внутреннего
трудового распорядка или ином локальном
нормативном акте (лучше всего - в специальном
положении о персональных данных) должен
быть закреплен порядок доступа сотрудников
к конфиденциальным сведениям, порядок
работы с ними и режим охраны этих сведений.
Словом, в локальном нормативном
регулировании, касающемся прав и обязанностей
как работника, так и работодателя, должен
быть закреплен весь спектр мер, направленных
на предупреждение возможности несанкционированного
доступа, использования и разглашения
персональных данных, а также дифференцированная
система мер ответственности за нарушение
соответствующих правил.
В России организационные и
технические требования, предъявляемые
к информационным системам персональных
данных, закреплены в подзаконных актах
Федеральной службы по техническому и
экспортному контролю (ФСТЭК России), Федеральной
службы безопасности (ФСБ России), Федеральной
службы по надзору в сфере связи, информационных
технологий и массовых коммуникаций (Роскомнадзора).
Таким образом, организационное и техническое
регулирование осуществляется не законодательными
(более высокими по иерархии), а подзаконными
актами.Такое подзаконное регулирование
обширно, неустойчиво и противоречиво.
Каждое ведомство "тянет одеяло на себя"
и преследует прежде всего свой собственный
интерес. Кроме того, система органов исполнительной
власти постоянно находится в состоянии
реформирования. Очевидно, что в условиях
перманентной реорганизации ведомство
не может эффективно работать. Все это
говорит о том, что организационные и технические
требования или хотя бы их некоторую часть
целесообразнее было бы закрепить в законе,
а не в подзаконном акте, как это сделано
во многих европейских странах17.
Статья 15 Закона о персональных данных
регулирует вопрос о защите прав субъектов
персональных данных при обработке их
персональных данных в целях продвижения
товаров, работ, услуг на рынке, а также
в целях политической агитации. По общему
правилу прямые контакты с потенциальным
потребителем - субъектом персональных
данных с помощью средств электронной
связи и с целью политагитации допускаются
с предварительного согласия субъекта
персональных данных. Обработка персональных
данных признается осуществляемой без
предварительного согласия субъекта персональных
данных, если оператор не докажет, что
такое согласие было получено. Оператор
обязан немедленно прекратить обработку
персональных данных субъекта по его требованию.
Согласно п. 7 ч. 2 ст. 6 Закона о персональных данных
от лиц, замещающих государственные должности,
должности государственной гражданской
службы, кандидатов на выборные государственные
или муниципальные должности, не требуется
согласия на опубликование их персональных
данных в соответствии с федеральными
законами.
Обобщая вышесказанное, нужно
отметить, что в целом Закон о персональных данных установил
лишь основные требования к порядку обеспечения
конфиденциальности персональных данных.
Однако некоторые важные вопросы, напрямую
связанные с обеспечением конфиденциальности
персональных данных, остались неурегулированными.
К ним относятся вопрос вторичного использования
персональных данных, проблема применения
идентификаторов, вопрос о правилах работы
закрытых информационных систем, вопрос
об организационных основах деятельности
операторов. В особом регулировании по-прежнему
нуждается проблема обеспечения конфиденциальности
(а также изъятий из нее) в условиях свободы
СМИ.
2. ОСОБЕННОСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ
ДАННЫХ
2.1. Субъект и объект
защиты персональных данных работников
Начиная рассмотрение субъекта
защиты персональных данных, сделаем небольшое
уточняющее дополнение. Работник для целей
настоящего исследования выступает как
субъект персональных данных, который
обладает определенными правами на защиту
своих данных имеющихся у работодателя.
В соответствии со ст. 89 ТК РФ работник
имеет право на полную информацию о его
персональных данных и обработке этих
данных, на свободный бесплатный доступ
ксвоим данным, включая право на получение
копий любой записи, содержащей персональные
данные работника, за исключением случаев,
предусмотренных федеральным законом18.
Субъектом защиты персональных
данных работников выступает его работодатель,
которому персональные данные работника
вверяются в связи с исполнением последним
трудовой функции, обусловленной трудовым
договором, заключенным с работодателем.