Современный этап развития информационного общества предполагает открытость большинства источников данных. Однако, несмотря на то, что увеличение объемов обмена информацией и прозрачность деятельности субъектов вносят существенный вклад в дальнейшее развитие современного общества, они же представляют собой серьезную проблему в случае злоупотребления, особенно в отношении специальных категорий данных. Одной из таких категорий, относящихся к конфиденциальной информации, выступают персональные данные.
Выделяют следующие признаки персональных данных.
Первым признаком персональных данных является то, что это сведения о личностных свойствах человека, т.е. налицо их природная связанность с человеком. Однако связь с человеком и личностью подчеркивает только родовую обусловленность информации, ее наиболее общий характер. «Персональность» человека и личности определяется уже индивидуальными признаками конкретного лица, каковыми обладает каждый.
Легальное определение понятия «персональные данные» дается в ст. 3 Закона «О персональных данных»: «любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)».
Таким образом, главным признаком, определяющим содержание понятия «персональные данные», является то, что это любая информация, относящаяся к определенному или определяемому физическому лицу (человеку), т.е. сведения, на основании которых можно не только выделить человека из множества других, но и точно его установить (идентифицировать). Такие индивидуальные признаки конкретного человека отражаются в сведениях о нем независимо от их формы (алфавитной, графической, цифровой, биометрической и др.). Иначе говоря, первый признак подчеркивает функциональное значение персональных данных.
Вторым признаком персональных данных является то, что это особо важные сведения о фактах, событиях и обстоятельствах жизни человека или личности. Не все сведения о человеке обладают ценностными характеристиками, а лишь те, которые определяют его внешние качества и деятельностные (поведенческие) признаки, а также внутренние (сущностные) свойства, в том числе физиологические особенности, многие из которых представляются в биометрической форме (дактилоскопическая и геномная информация). Жизненно важный характер персональных данных подчеркивает их особую ценность для конкретного человека, а потому они требуют высокой степени защиты.
Человек приходит в мир с набором индивидуальных признаков, основой которых являются его историческая природа, традиции, принципы, моральные и нравственные императивы. От родителей индивид получает генетическую информацию в виде молекул ДНК, что обусловливает его индивидуальные физиологические и биологические качества. Но обладая набором персональных данных, физическое лицо проявляет себя как человек, как конкретная личность с определенным уровнем образования, культуры, профессиональными навыками и креативным поведением. Такой личностный потенциал является основой для включения человека в социум. «Персональные данные — это нити, связывающие человека с обществом и всеми его институциями, в первую очередь с теми, которые для себя выбирает каждый отдельный человек».
Следовательно, второй признак подчеркивает ценностное значение персональных данных. Персональные сведения человека представляют собой не что иное, как его визитную карточку в окружающей среде, т.е. в условиях, в которой ему приходится пребывать в течение отведенного ему периода жизни (и даже после него, если он оставит больший или меньший след своего пребывания на земле для следующих поколений). Говоря современным языком, персональные данные человека — это персональный портал в окружающей действительности.
Третьим признаком персональных данных является конфиденциальность (защищенное состояние) сведений о человеке. Персональные данные — это информация ограниченного доступа, но не тайна (ст. 11 Закона РФ «Об информации»), хотя по уровню требований режим защиты персональных данных не менее строг, чем режим коммерческой или государственной тайны. В отличие от тайны, конфиденциальность персональных данных не носит абсолютного характера, поскольку при согласии субъекта сведения, их составляющие, могут распространяться и передаваться третьим лицам. Более того, в Законе названы условия, при которых персональные данные могут распространяться и без согласия граждан.
Сегодня законодатель определяет множество видов персональных данных: обезличенные, общедоступные, специальные и другие. Но наиболее чувствительными являются биометрические персональные данные, ввиду их неразрывной связи с их носителем – человеком. Специфика биометрических персональных данных связана с тем, что большинство их разновидностей трудно поддаются изменению. Так, например, обычному человеку будет проблематично изменить свой основные характеристики отпечатков пальцев, либо сетчатки глаза, не говоря уже о ДНК. Указанные особенности человека, ввиду их стабильности, представляют определенную ценность для государства, например, биометрические персональные данные могут использоваться государственными органами в целях выявления и предотвращения преступлений, идентификации человека. Именно благодаря увеличению использования информационных средств обмена и развитию современных технологий, встает вопрос о правовом регулировании получения, передачи, хранения и использования биометрических персональных данных. В настоящее время научно-технический прогресс способствует созданию новых видов междисциплинарных наук, необходимых для глубокого исследования проблем, которые невозможно решить в рамках одного направления исследований. Одной из таких наук является биометрика.
ФЗ "О персональных данных" выделяет следующие категории персональных данных.
Общедоступные персональные данные - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
Важно отметить, что сведения о субъекте ПД могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.
Специальные категории ПД - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:
субъект ПД дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта ПД и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПД;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации или необходима в связи с осуществлением правосудия.
Совместный приказ ФСТЭК, ФСБ и Министерства информационных технологий и связи РФ от 13 февраля 2008 года N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" определяет следующие категории персональных данных, которые обрабатываются в ИСПД:
Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1.
Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПД.
Категория 4 – обезличенные и (или) общедоступные персональные данные.
Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПД. Обработка биометрических персональных данных без согласия субъекта ПД может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно - розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в Российскую Федерацию, уголовно-исполнительным законодательством [7].
Определение биометрических данных в российском законодательстве предоставляет оператору персональных данных возможность принятия самостоятельного решения об отнесении тех или иных данных к биометрическим. Исходя из определения биометрических ПДн, к ним относятся фотографии и видеизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения - в системах видеонаблюдения и т.п.
Слово «режим» весьма богато и многозначно по своему содержанию, употребляется в самых различных смыслах и контекстах. В переводе с французского и латинского оно означает:
1) государственный строй, совокупность средств, методов, способов осуществления власти;
2) строго установленный распорядок жизни (труда, отдыха, питания, лечения, сна);
3) систему обязательных правил, требований, норм, принципов, установленных для какого-либо вида деятельности (например, судоходства, лесо-, водо-, землепользования, охоты, рыболовства и т. д.);
4) определенное состояние, положение, статус кого-либо или чего-либо (отсюда выражения: «режимный завод», «режимный объект», «режимное производство»).
В теории сложилось два основных подхода к пониманию категории «правового режима» в юридической науке: функциональная характеристика права,особый порядок правового регулирования (Н.И. Матузов, А.В. Малько, О.С. Радионов); система норм, регулирующих определенную деятельность разных субъектов, их отношения по поводу определенного объекта (Д.Н. Бахрах, И.Л. Бачило).
В литературе правовой режим определяется как:
- социальный режим некоторого объекта, закрепленный правовыми нормами и обеспеченный совокупностью юридических средств;
- порядок регулирования, выраженный в комплексе правовых средств, которые характеризуют особое сочетание взаимодействующих между собой дозволений, запретов, а также позитивных обязываний и создают особую направленность регулирования[;
- результат регулятивного воздействия на общественные отношения системы (определенного набора) юридических средств, присущих конкретной отрасли права и обеспечивающих нормальное функционирование данного комплекса общественных отношений.
Учитывая сказанное, правовой режим - это особый порядок правового регулирования, выражающийся в определенном сочетании юридических средств и создающий желаемое социальное состояние и конкретную степень благоприятности либо неблагоприятности для удовлетворения интересов субъектов права.
Правовой режим информации - это объектный режим, вводимый законодательным актом и позволяющий обеспечить комплексность воздействия в информационной сфере посредством совокупности регулятивных, охранительных, процессуально-процедурных средств, характеризующих особое сочетание дозволений, запретов и обязываний, а также гарантий по его соблюдению.
Правовой режим информации определяется нормами, устанавливающими:
порядок документирования информации;
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах;
категорию информации по уровню доступа к ней;
порядок правовой защиты информации.
Если регулирование информационных отношений характеризуется мерой возрастания дозволений, что равнозначно мере убывания запретов, мы можем говорить о льготном информационном режиме.
Если регулирование информационных отношений характеризуется мерой убывания дозволений, что равнозначно мере возрастания запретов, мы может говорить об ограниченном информационном режиме.
Правовой режим персональных данных - нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных.
Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации, кроме случаев, определенных Законом о персональных данных.
Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных, не противоречащих национальному законодательству; включения персональных данных в общедоступные базы данных.
По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био-, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.).
С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный национальным законодательством.
Правовой режим для персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с национальным законодательством.
Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном национальным законодательством о защите чести, достоинства, деловой репутации, личной и семейной тайн.
Правовой режим персональных данных закрепляют нормы права, которые определяют:
состав сведений, составляющих персональные данные;
состав субъектов деятельности в области обработки персональных данных и их правовой статус;
принципы обработки персональных данных;
правила и условия обработки персональных данных, а также требования к защите персональных данных при их обработке в информационных системах;
меры ответственности за нарушения конфиденциальности персональных данных.
Применяя рациональный подход при закреплении норм, регулирующих правоотношения, складывающиеся в ходе использования информации персонального характера, законодатель предусмотрел единое понятие «обработка персональных данных», объединяющее все формы действий (операций) со сведениями, составляющими персональные данные.
В этих целях в ст. 3 Закона «О персональных данных» дано такое определение: обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» в ст. 94 закрепляет перечень сведений персонального характера о лицах, которым оказываются медицинские услуги:
1) фамилия, имя, отчество;
2) пол; дата и место рождения;
3) гражданство;
4) данные документа, удостоверяющего личность;
5) место жительства; место и дата регистрации;
6) анамнез и диагноз;
7) сведения об организации и о медицинском работнике, оказавших медицинские услуги;
8) вид и условия оказанной медицинской помощи;
9) сроки и объем оказания медицинской помощи и др.
Субъектами деятельности в области обработки персональных данных являются:
субъект персональных данных — физическое лицо (человек, личность), которому принадлежат сведения, составляющие персональные данные;
оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
лица, ответственные за организацию обработки персональных данных в организациях, — работники государственного органа, муниципального органа, юридического или физического лица, назначенные оператором в рамках осуществления трудовых функций по организации обработки персональных данных (ст. 22 Закона «О персональных данных»);
пользователи — работники государственных и муниципальных органов, юридических или физических лиц, которые в силу своих трудовых функций допущены к сведениям, составляющим персональные данные;
иные лица, действующие по поручению оператора и с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (ст. 6 Закона «О персональных данных»);
уполномоченный орган по защите прав субъектов персональных данных — федеральный орган исполнительной власти, осуществляющий функции в сфере информационных технологий и связи, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям, установленным законом (ст. 23 Закона «О персональных данных»).
Систему нормативных актов, регламентирующих процессы формирования и использования персональных данных, составляют Конституция Российской Федерации, международные договоры Российской Федерации, федеральные законы и подзаконные акты.
Конституция РФ закрепляет следующие принципиальные положения: «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» (ст. 23); «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются» (ст. 24).
Очень важным источником в этой сфере является Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108 (Страсбург, 28 января 1981 г.), которую Россия ратифицировала 19 декабря 2005 г. с рядом таких оговорок:
1) Россия не будет применять Конвенцию к персональным данным:
а) обрабатываемым физическим лицом исключительно для личных и семейных нужд;
б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
2) Россия будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;
3) Россия оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
Президент РФ подписал 10 февраля 2006 г. распоряжение № 54- РП «О подписании дополнительного протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, касающегося наблюдательных органов и трансграничной передачи данных»1.
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» определяет условия общего правового режима персональных данных, а отраслевые законы — условия специальных правовых режимов их обработки в трудовых и служебных отношениях, а также ответственность за их нарушение.
В соответствии со ст. 2 Закона «О персональных данных» его целью является обеспечение защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Пределы действия Закона — отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, т.е. позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Действие названного Закона не распространяется на отношения, возникающие:
при обработке персональных данных физическими лицами исключительно для личных и семейных нужд;
организации хранения, комплектования, учета и использования архивных документов, содержащих персональные данные;
обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
предоставлении информации о деятельности судов в соответствии с Федеральным законом от 22 декабря 2008 г. № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
Трудовой кодекс РФ содержит нормы (ст. 85-90), закрепляющие особенности обработки персональных данных и гарантии их защиты в связи с трудовыми отношениями между работодателем и конкретным работником.
Федеральный закон от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе» включает нормы (ст. 22, 42, 48), устанавливающие особенности обработки персональных данных и гарантии их защиты в связи с осуществлением государственной гражданской службы Российской Федерации.
Нормы Федерального закона от 2 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации» (ст. 11, 28, 29) определяют особенности обработки персональных данных и гарантии их защиты в связи с осуществлением муниципальной службы.
Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» содержит нормы, опосредующие особенности персонального учета при осуществлении медицинской деятельности — обработки персональных данных о лицах, которые участвуют в оказании медицинских услуг, и о лицах, которым оказываются медицинские услуги.
Наконец, нормы об ответственности за нарушение порядка обработки персональных данных включают Трудовой кодекс РФ (ст. 81, 90, 192), КоАП РФ (ст. 13.11, 13.12, 13.13, 13.14,) и УК РФ (ст. 137, 140, 272).
В подзаконных актах устанавливаются непосредственный порядок обработки и механизм защиты персональных данных. Например, Указом Президента РФ от 30 мая 2005 г. № 609 утверждено Положение, которое определяет порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего РФ, а также ведения его личного дела.
В постановлении Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» закреплены требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных.