Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"

Петров Михаил Игоревич

К инженерно-техническим средствам защиты информации предъявляются следующие требования:

состояние постоянной готовности к применению;

высокая степень вероятности обнаружения попыток несанкционированного проникновения на режимный объект, к носителям защищаемой информации; высокая аппаратная надежность;

малое энергопотребление и возможность автономного электроснабжения аппаратуры; малые габаритные размеры, обеспечивающие малозаметность технических средств защиты информации;

минимальные затраты на техническое обслуживание [22] .

2. Согласно требованиям ст.17 ФЗ "О лицензировании отдельных видов деятельности" деятельность по технической

защите конфиденциальной информации подлежит обязательному лицензированию в порядке и на условиях, определяемых Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 30 апреля 2002г. N 290. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке с применением технических мер и использованием шифровальных (криптографических) средств, кроме того, требует, в свою очередь, оформления последним лицензий:

22

См.: Журавленко Н.И. Организационно-правовая защита информации: Учебное пособие. Уфа: Восточный университет, 2002. 

на техническое обслуживание шифровальных (криптографических) средств, при условии что такого рода деятельность осуществляется оператором самостоятельно;

на выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд оператора).

3. Обеспечение безопасности персональных данных при их обработке требует неуклонного соблюдения эталонных требований к работе информационных систем, автоматизированных средств обработки, материальным носителям биометрических персональных данных и технологиям их хранения. Разработку указанных требований законодатель возлагает на Правительство РФ, соответствующее постановление которого предположительно должно быть принято до вступления в силу настоящего Закона.

4. Указом Президента РФ от 16 августа 2004г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" [23] реализация государственной политики, организация межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

1) обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры;

2) противодействия иностранным техническим разведкам на территории РФ;

23

СЗ РФ. 2004. N 34. Ст.3541.

3) обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

5) осуществления экспортного контроля возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК России).

ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля. ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, приказами и директивами министра обороны РФ в части, касающейся ФСТЭК России,

а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России. Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями. ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы.

Статья 20.

Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

Комментарий к статье 20

1. Нормы комментируемой статьи во многом определяют процедуру реализации права субъекта персональных данных на получение информации, касающейся обработки его персональных данных, закрепленного ст.14 настоящего Закона. Правом на получение информации о наличии персональных данных должны обладать только лица, имеющие законную и настоящую потребность в получении соответствующих сведений. Практическому воплощению представленного принципа способствует законодательное определение оснований, объема и условий предоставления конфиденциальных сведений, а равно круга лиц, обладающих правом на их получение.

По смыслу комментируемой статьи реализации оператором возложенной на него обязанности по предоставлению информации об обрабатываемых персональных данных, а равно их самих для ознакомления, должно предшествовать обращение или запрос субъекта на доступ к своим персональным данным, оформленное в порядке и на условиях, оговоренных настоящим Законом (см. ст.14 Закона и комментарий к ней).

Законодатель приводит исчерпывающий перечень получателей, равно как и оснований получения конфиденциальной информации, сведений о ее обработке. Такого рода перечень не подлежит расширительному толкованию и не может быть самопроизвольно увеличен, любые изменения в субъектном составе получателей могут происходить только на законодательном уровне и напрямую связаны с изменением рассматриваемого нормативного документа.

Юридическими основаниями исполнения оператором соответствующей обязанности являются:

наличие в его временном обладании персональных данных;

относимость персональных данных к личности конкретного субъекта;

необходимость получения информации в целях осуществления прав обратившегося лица;

законность и обоснованность требований субъекта или его законного представителя.

Существенным концептуальным моментом закона является круг лиц, имеющих право на получение персональных данных из информационных массивов оператора. По смыслу комментируемой статьи информация о наличии персональных данных может быть предоставлена:

субъекту персональных данных;

законному представителю последнего;

уполномоченному органу по защите прав субъектов персональных данных.

Предоставление информации о персональных данных в распоряжение указанных лиц осуществляется при условии поступления в адрес оператора обращения или запроса субъекта персональных данных (уполномоченного органа по защите прав субъектов персональных данных) о предоставлении возможности ознакомления с конфиденциальной информацией. Предоставление соответствующей информации осуществляется в части, касающейся субъекта персональных данных или необходимой уполномоченному органу по защите прав субъектов персональных данных в связи с осуществлением собственной деятельности и в пределах полученного запроса или обращения. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей: