Право строится и функционирует на определенных принципах, выражающих его сущность и социальное назначение, отражающих главные свойства и особенности. За последние годы сложилась практика, согласно которой при принятии основополагающих федеральных законов в отдельных статьях формулируется законодательное понимание поименованных в данных законах принципов. В ст. 5 Закона о персональных данных закреплены принципы обработки персональных данных: законности и справедливости; целесообразности; распределенности; точности и достаточности.
Принцип законности и справедливости определяет руководящее положение, в соответствии с которым обработка персональных данных должна осуществляться исключительно на законной и справедливой основе.
Принцип целесообразности определяет основное положение о том, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. При этом содержание и объем обрабатываемых персональных данных также должны соответствовать заявленным целям, не могут быть избыточными по отношению к этим целям.
Принцип распределенности персональных данных определяет положение о том, что при обработке не допускается объединение в единую базу персональных данных всех несовместимых между собой сведений о человеке, содержащих персональные данные.
Принцип достаточности и точности обработки персональных данных определяет положение о том, что при обработке персональных данных должны быть обеспечены их достоверность, а также достаточность, т.е. минимум сведений о человеке, который необходим оператору для реализации его функций. В необходимых случаях достаточность определяется и необходимостью обновления (актуализации) персональных данных.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.
Существуют случаи, когда цели, состав и содержание персональных четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами персональных данных и операторами нуждаются в строгой регламентации. При этом в некоторых случаях субъект персональных данных обязан предоставлять оператору сведения о себе. Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, ФЗ-16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности.
Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные: фамилия, имя, отчество; дата и место рождения; вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет); пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); дата поездки.
Регламентация состава и содержания персональных данных касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся: фамилия, имя, отчество; дата рождения; гражданство; номер страхового свидетельства; ИНН; знание иностранных языков; данные об образовании (номер, серия дипломов, год окончания); данные о приобретенных специальностях семейное положение; данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения); фактическое место проживания; контактная информация; данные о военной обязанности; данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).
К другим нормативным актам, регулирующим отношения в сфере деятельности человека и определяющим цели обработки, состав и содержание персональных данных, относятся ФЗ-179 «Трудовой кодекс РФ», ФЗ-27 «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей» и т.п. Какие сведения о сотрудниках государственных организаций собирать и как их обрабатывать, определяет Указ Президента РФ от 30 мая 2005 г. N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
Своя специфика существует и в различных отраслях экономики. Определенные рамки обработки персональных данных для кредитно-финансовых учреждений устанавливает ФЗ-218 «О кредитных историях», для авиационного транспорта – Воздушный кодекс, для торговых организаций (Интернет-магазинов и т.п.) – Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом», для туристического бизнеса – Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п. Невозможно не упомянуть и ФЗ-143 «Об актах гражданского состояния», в котором государство четко определяет, какие сведения о личности должны собираться, храниться и обрабатываться на протяжении всей его жизни.
Условия обработки персональных данных определяются ст. 6 ФЗ №152 «О персональных данных».
Главным таким условием являются цели обработки персональных данных. В соответствии с ч. 1 ст. 6 Закона «О персональных данных» такими целями являются:
осуществление и выполнение возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
осуществление правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
исполнение полномочий государственных органов и органов местного самоуправления и функций по предоставлению государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
в статистических или иных исследовательских целях, за исключением случаев, указанных в ст. 15 Закона «О персональных данных», при условии обязательного обезличивания персональных данных и др.
Вторым важным условием при обработке персональных данных является согласие на нее субъекта персональных данных (ст. 9 ФЗ №152 «О персональных данных»).
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по своей воле и в собственных интересах. Согласие на обработку персональных данных должно быть конкретным. Оно может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт получения согласия форме, если иное не установлено федеральным законом.
В случаях, предусмотренных федеральным законом, согласие на обработку персональных данных дается только в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством РФ.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает его законный представитель, а в случае смерти субъекта — наследники, если такое согласие не было дано субъектом персональных данных при жизни.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае такого отзыва оператор вправе продолжить обработку персональных данных без согласия их субъекта при наличии оснований, указанных в подп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ №152 «О персональных данных».
Такими основаниями являются реализация международных договоров Российской Федерации о реадмиссии (согласии государства на прием обратно на свою территорию своих граждан, которые подлежат депортации из другого государства), осуществление правосудия и исполнение судебных актов, а также случаи, предусмотренные законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Третье важное условие обработки персональных данных — соблюдение их конфиденциальности (ст. 7 ФЗ №152 «О персональных данных»). Это означает, что все операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В частности, оператор персональных данных обязан осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям ФЗ №152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, а также требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных и локальным актам оператора (ст. 18.1 ФЗ №152 «О персональных данных»).
На оператора возлагается обязанность принимать правовые, организационные и технические меры, направленные на обеспечение безопасности персональных данных. К этим мерам в соответствии со ст. 19 Закона «О персональных данных» относятся:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) организационные и технические меры, необходимые для выполнения требований по защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни их защищенности;
3) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учет машинных носителей персональных данных;
6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительство РФ с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого они обрабатываются, актуальности угроз их безопасности устанавливает:
уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни их защищенности;
требования к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Подуровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Требования к защите персональных данных при их обработке в информационных системах персональных данных и уровни защищенности таких данных, а также требования к материальным носителям биометрических персональных данных устанавливает Правительство РФ.