Особенностью информационных правоотношений в сфере обработки персональных данных является право субъекта персональных данных (гражданина) предоставить оператору необходимую информацию и обязанность оператора ее принять, надлежащим образом обработать с соблюдением условий, а также существующих законных требований в порядке и в сроки, определяемые действующим информационным законодательством. По своему характеру данные отношения скорее регулятивные, несмотря на присутствие в этом институте информационного права большого количества охранительных норм. Следует отметить, что Федеральный закон "О персональных данных", исходя из существующих положений современного международного информационного права, скорее носит диспозитивный характер, что сказывается на содержании данного вида отношений. Вместе с тем государство в последнее время все чаще меняет существо данных взаимосвязей, придавая им все более публичные, императивные черты.
Раскроем статутные (основные) информационные права субъекта персональных данных.
1. Право субъекта персональных данных на доступ к своим персональным данным.
Субъект персональных данных имеет право на получение сведений об операторе обработки его данных, о месте его нахождения, о наличии у него своих сведений, а также на ознакомление с собственными персональными данными. Субъект также вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные неполные, устаревшие, недостоверные, незаконно полученные или не являются необходимыми для заявленной цели обработки; в этом случае лицо вправе принимать предусмотренные законом меры по защите своих прав.
Сами сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме. Подобная информация не должна содержать персональныеданные других лиц.
Предоставление персональных данных
1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных за исключением случаев, установленных законом. Персональные данные предоставляются субъектом лично либо через доверенное лицо.
2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, имеющих право на работу с персональными данными в пределах их компетенции.
3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.
Доступ субъекта к своим персональным данным
1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к субъекту персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных законодательством РФ.
2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации.
3. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам.
4. Персональные данные предоставляются их субъекту по его инициативе на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления.
5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.
Внесение субъектом изменений в свои персональные данные
При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные.
Блокирование и снятие блокирования персональных данных
Если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные.
Обжалование неправомерных действий в отношении персональных данных
Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо обратиться с жалобой в уполномоченный орган государственной власти по персональным данным.
Порядок обращения в уполномоченный орган государственной власти по персональным данным
Обращение (жалоба, заявление, предложение) должно быть пода но в письменной форме и содержать фамилию, имя, отчество и адрес субъекта персональных данных, наименование и адрес держателя (обладателя) массива персональных данных, чьи действия обжалуются изложение существа действий или решений, нарушивших, по мнению субъекта, его права.
Возмещение убытков и (или) компенсация морального вреда
В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с ними субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба ответственность несет каждый держатель (обладатель) этих данных.
Ограничение прав субъекта на предоставление и получение своих персональных данных
Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении:
1) права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных — для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных Законом РФ «О государственной тайне»;
2) права доступа субъекта к своим персональным данным, внесения в них изменений, блокирования своих персональных данных:
а) для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;
б) для персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия;
в) для иных персональных данных в случаях, предусмотренных действующим законодательством.
В процессе сбора информации оператор обязан предоставить субъекту персональных данных по его просьбе всю необходимую информацию, касающуюся целей, способов таких действий, а также сведения, предусмотренные ч. 4 ст. 14 Федерального закона "О персональных данных". Если персональные данные были получены не от субъекта персональных данных, оператор до начала их обработки обязан предоставить последнему следующую информацию:
— наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
— цель обработки персональных данных и ее правовое основание;
— предполагаемые пользователи персональных данных;
— установленные законом права субъекта персональных данных.
В случаях, когда федеральным законом установлена обязанность предоставления персональных данных, оператор обязан разъяснить лицу юридические последствия отказа в предоставлении таких сведений.
При обработке персональных данных оператор обязан принимать необходимые организационные и технические меры для защиты информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Правительство РФ устанавливает необходимые требования к обеспечению безопасности персональных данных при их обработке в государственных информационных системах.
В настоящее время постановлением Правительства РФ от 1 ноября 2012 г. № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных, согласно которым безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с ч. 5 ст. 19 Федерального закона "О персональных данных". Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и ФСБ России в пределах их полномочий.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Информационные обязанности оператора при непосредственном обращении к нему либо при получении запроса субъекта персональных данных:
Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Обязанность оператора уведомлять об обработке персональных данных уполномоченный орган по защите прав субъектов персональных данных. Такое уведомление в соответствии с информационным законодательством должно быть подписано уполномоченным лицом или направлено в электронной форме. Приказом Роскомнадзора от 19 августа 2011 г. № 706 утверждены Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных. Согласно действующему законодательству уведомление должно содержать следующие сведения:
— наименование (фамилия, имя, отчество), адрес оператора;
— цель обработки персональных данных;
— категории персональных данных;
— категории субъектов, персональные данные которых обрабатываются;
— правовое основание обработки персональных данных;
— перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
— описание мер, предусмотренных ст. 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
— фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
— дата начала обработки персональных данных;
— срок или условие прекращения обработки персональных данных;
— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
— сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
Уполномоченный орган по защите прав субъектов персональных данных в течение 30 дней с даты поступления уведомления вносит данные сведения в специальный реестр операторов. Сведения, содержащиеся в реестре операторов, являются общедоступными, за исключением информации о средствах обеспечения безопасности персональных данных при их обработке.