Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"
Шрифт:
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, законодательством РФ об оперативно-розыскной деятельности, законодательством РФ о государственной службе, уголовно-исполнительным законодательством РФ, законодательством РФ о порядке выезда из РФ и въезда
4. По общему правилу оператор должен лично осуществлять обработку персональных данных, однако законодатель допускает возможность передоверия совершения операций с персональными данными другому лицу на основании договора. Следует отметить, что комментируемый Закон не определяет перечень случаев, равно как порядок и условия такого рода передоверия. Предположительно передача исключительных прав на обработку персональных данных должна осуществляться в случаях объективно необходимых в силу сложившихся обстоятельств для защиты интересов субъекта персональных данных.
Передача полномочий оператора по обработке персональных данных на основании договора третьему лицу допустима при соблюдении следующих условий:
наличие согласия субъекта персональных данных;
уведомление субъекта о предстоящей или состоявшейся передачи с обязательным сообщением сведений о личности нового оператора и иных данных, имеющих значение в целях обеспечения адекватной защиты прав субъектов персональных данных;
передача прав на обработку персональных данных обусловлена силой обстоятельств для охраны интересов субъекта персональных данных;
обеспечение условий конфиденциальности персональных данных, подвергающихся обработке.
Существенным условием договора передачи персональных данных по смыслу комментируемой статьи является обязанность обеспечения доверенным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. В договоре должны быть определены условия охраны конфиденциальности информации, в том числе в случае реорганизации или ликвидации одной из сторон договора в соответствии с гражданским законодательством, а также обязанность контрагента по возмещению убытков при разглашении им этой информации вопреки договору. В случае если иное не установлено договором, контрагент в соответствии с законодательством РФ самостоятельно определяет способы защиты персональных данных, переданных ему по договору. Передача персональных данных доверенному лицу осуществляется в том же объеме и на тех же условиях, которые настоящим Федеральным законом установлены для оператора персональных данных.
Контрагент обязан незамедлительно сообщить субъекту персональных данных о ставшем ему известном факте разглашения или угрозы разглашения, незаконном получении или незаконном использовании персональных данных третьими лицами. Оператор персональных данных, переданных им контрагенту, до окончания срока действия договора не может разглашать указанную информацию, а также в одностороннем порядке прекращать охрану ее конфиденциальности, если иное не установлено договором. Сторона, не обеспечившая в соответствии с условиями договора охраны конфиденциальности персональных данных, переданных по договору, обязана возместить другой стороне убытки, если иное не предусмотрено договором.
Статья 7.
Конфиденциальность персональных данных
Комментарий к статье 7
1. Обеспечение конфиденциальности персональных данных в процессе их обработки наряду с установленными принципами работы с ними и получением согласия на обработку является обязательным условием, определяющим дальнейшую деятельность оператора. По смыслу действующего законодательства требование конфиденциальности связано исключительно с ограничением на распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
В целях обеспечения конфиденциальности персональных данных операторами и третьими лицами, получающими доступ к персональным данным, должна быть разработана действенная система мер по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее. Реализация последних зависит от используемых оператором средств организационной, технической, программной, криптографической, правовой и иной защиты.
Меры по охране конфиденциальности
1) определение перечня персональных данных, переданных оператору для обработки и включенных в число сведений конфиденциального характера. Сделанная оговорка неслучайна. В литературе неоднократно подчеркивается, что установленная Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера" структура конфиденциальной информации носит обобщенный характер и не отвечает требованиям, предъявляемым действительностью. Подчеркивается, что фактически далеко не все персональные данные являются конфиденциальными, в частности, многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги и т.п.обнародуются по согласию субъекта. Кроме того, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (см. Закон РФ "О государственной тайне", ФЗ "О коммерческой тайне" и др.). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны -сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных [15] ;
15
См.: Волчинская Е.К. Правовая защита персональных данных: проблемы развития российского законодательства // Владивостокский центр исследования организованной преступности при Юридическом институте ДВГУ // crime.vl.ru.
2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.
Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ [16] .
Меры по охране конфиденциальности информации признаются разумно достаточными,
16
См.: Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" // СЗ РФ. 2006. N 34; Постановление Правительства РФ от 15 июля 2002г. N 526 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность" // СЗ РФ. 2002. N 29. Ст.2965.