Информация о частной жизни человека начала актуализироваться в период массовой информатизации жизни, когда эти сведения необходимо было вводить в автоматизированные информационные системы в целях повышения эффективности функционирования государственных органов и хозяйственных организаций (корпораций). В связи с этим возникла угроза в виде несанкционированного проникновения в такие системы, что нарушает принцип неприкосновенности частной жизни. Поэтому постепенно в российской системе права стал формироваться институт защиты персональных данных. Причем нередко это было вызвано интересами государства, общества и человека.
Природу и сущность персональных данных определяют следующие их признаки.
Первым признаком персональных данных является то, что это сведения о личностных свойствах человека, т.е. налицо их природная связанность с человеком. Однако связь с человеком и личностью подчеркивает только родовую обусловленность информации, ее наиболее общий характер. «Персональность» человека и личности определяется уже индивидуальными признаками конкретного лица, каковыми обладает каждый.
Легальное определение понятия «персональные данные» дается в ст. 3 Закона «О персональных данных»: «любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)».
Таким образом, главным признаком, определяющим содержание понятия «персональные данные», является то, что это любая информация, относящаяся к определенному или определяемому физическому лицу (человеку), т.е. сведения, на основании которых можно не только выделить человека из множества других, но и точно его установить (идентифицировать). Такие индивидуальные признаки конкретного человека отражаются в сведениях о нем независимо от их формы (алфавитной, графической, цифровой, биометрической и др.). Иначе говоря, первый признак подчеркивает функциональное значение персональных данных.
Вторым признаком персональных данных является то, что это особо важные сведения о фактах, событиях и обстоятельствах жизни человека или личности. Не все сведения о человеке обладают ценностными характеристиками, а лишь те, которые определяют его внешние качества и деятельностные (поведенческие) признаки, а также внутренние (сущностные) свойства, в том числе физиологические особенности, многие из которых представляются в биометрической форме (дактилоскопическая и геномная информация). Жизненно важный характер персональных данных подчеркивает их особую ценность для конкретного человека, а потому они требуют высокой степени защиты.
Человек приходит в мир с набором индивидуальных признаков, основой которых являются его историческая природа, традиции, принципы, моральные и нравственные императивы. От родителей индивид получает генетическую информацию в виде молекул ДНК, что обусловливает его индивидуальные физиологические и биологические качества. Но обладая набором персональных данных, физическое лицо проявляет себя как человек, как конкретная личность с определенным уровнем образования, культуры, профессиональными навыками и креативным поведением. Такой личностный потенциал является основой для включения человека в социум. «Персональные данные — это нити, связывающие человека с обществом и всеми его институциями, в первую очередь с теми, которые для себя выбирает каждый отдельный человек».
Следовательно, второй признак подчеркивает ценностное значение персональных данных. Персональные сведения человека представляют собой не что иное, как его визитную карточку в окружающей среде, т.е. в условиях, в которой ему приходится пребывать в течение отведенного ему периода жизни (и даже после него, если он оставит больший или меньший след своего пребывания на земле для следующих поколений). Говоря современным языком, персональные данные человека — это персональный портал в окружающей действительности.
Третьим признаком персональных данных является конфиденциальность (защищенное состояние) сведений о человеке. Персональные данные — это информация ограниченного доступа, но не тайна (ст. 11 Закона РФ «Об информации»), хотя по уровню требований режим защиты персональных данных не менее строг, чем режим коммерческой или государственной тайны. В отличие от тайны, конфиденциальность персональных данных не носит абсолютного характера, поскольку при согласии субъекта сведения, их составляющие, могут распространяться и передаваться третьим лицам. Более того, в Законе названы условия, при которых персональные данные могут распространяться и без согласия граждан.
Законодательство определяет различные категории персональных данных (ПНд). К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.
Общедоступные ПДн.
Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории ПДн.
К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
- субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных;
- персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Категории персональных данных, обрабатываемых в ИСПДн.
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» определяет следующие категории персональных данных, которые обрабатываются в ИСПДн:
Категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Категория 2 - персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПДн.
Категория 4 - обезличенные и (или) общедоступные персональные данные.
Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе. Этот параметр может принимать следующие значения:
1. В информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или Российской Федерации в целом.
2. В информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования.
3. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.
Биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством.
Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения и т.п.
3. Технологии обработки персональных данных
Условия обработки персональных данных определяются ст. 6 ФЗ №152 «О персональных данных».
Главным таким условием являются цели обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона «О персональных данных» такими целями являются:
- осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- осуществление правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- исполнение полномочий государственных органов и органов местного самоуправления и функций по предоставлению государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- в статистических или иных исследовательских целях, за исключением случаев, указанных в ст. 15 Закона «О персональных данных», при условии обязательного обезличивания персональных данных и др.
Вторым важным условием при обработке персональных данных является согласие на нее субъекта персональных данных (ст. 9 ФЗ №152 «О персональных данных»).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по своей воле и в собственных интересах. Согласие на обработку персональных данных должно быть конкретным. Оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, если иное не установлено федеральным законом.
В случаях, предусмотренных федеральным законом, согласие на обработку персональных данных дается только в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством РФ.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель, а в случае смерти субъекта — наследники, если такое согласие не было дано субъектом персональных данных при жизни.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае такого отзыва оператор вправе продолжить обработку персональных данных без согласия их субъекта при наличии оснований, указанных в подп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ №152 «О персональных данных».
Такими основаниями являются реализация международных договоров Российской Федерации о реадмиссии (согласии государства на прием обратно на свою территорию своих граждан, которые подлежат депортации из другого государства), осуществление правосудия и исполнение судебных актов, а также случаи, предусмотренные законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Третье важное условие обработки персональных данных — соблюдение их конфиденциальности (ст. 7 ФЗ №152 «О персональных данных»). Это означает, что все операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В частности, оператор персональных данных обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям ФЗ №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, а также требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных и локальным актам оператора (ст. 18.1 ФЗ №152 «О персональных данных»).
На оператора возлагается обязанность принимать правовые, организационные и технические меры, направленные на обеспечение безопасности персональных данных. К этим мерам в соответствии со ст. 19 Закона «О персональных данных» относятся:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) организационные и технические меры, необходимые для выполнения требований по защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни их защищенности;
3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительство РФ с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого они обрабатываются, актуальности угроз их безопасности устанавливает:
- уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
- требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни их защищенности;
- требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных, а также требования к материальным носителям биометрических персональных данных устанавливает Правительство РФ.