Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Существует ряд решений ЕСПЧ, касающихся персональных данных, в которых Российская Федерация фигурировала в качестве ответчика и жалобы заявителей на нарушение их права на уважение личной жизни были признаны обоснованными. К их числу можно отнести, в частности, Постановление ЕСПЧ от 6 июня 2013 г. по делу Авилкина и другие против Российской Федерации (жалоба № 1585/09), в котором рассматривалась жалоба на действия лечебных учреждений по передаче прокуратуре некоторых сведений о своих пациентах без их согласия, что было обусловлено их религиозными убеждениями. Другим примером является Постановление ЕСПЧ от 23 февраля 2016 г. по делу Y.Y. против Российской Федерации (жалоба № 40378/06), в котором рассматривалась жалоба по поводу раскрытия лечебным учреждением медицинской информации о заявительнице и ее детях в отсутствие ее согласия для целей проведения проверочных мероприятий. Достаточно резонансным является и Постановление ЕСПЧ от 4 декабря 2015 г. по делу Роман Захаров (Roman Zakharov)
Основным международным договором в сфере персональных данных с участием России является Конвенция 1981 г. Данный документ закрепил фундаментальные принципы обработки персональных данных, которые были имплементированы в Закон о персональных данных. Следует отметить, что положения Конвенции не устанавливают непосредственно права и обязанности участников отношений, связанных с обработкой персональных данных, а создают обязательства для государства по их имплементации в национальное право (ст. 4 (1)). Как следствие, положения данной Конвенции не действуют в России непосредственно 74 . Кроме того, важно подчеркнуть, что Конвенция 1981 г. допускает возможность присоединяющейся стороны сделать заявление об отдельных изъятиях в сфере ее применения. Российская Федерация воспользовалась этим положением, заявив, что не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к данным, отнесенным к государственной тайне. Кроме того, Российская Федерация прямо указала на то, что сохраняет за собой возможность устанавливать ограничения прав субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка 75 .
74
В ч. 3 ст. 5 Федерального закона от 15 июля 1995 г. № 101-ФЗ «О международных договорах Российской Федерации» установлено: «Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты».
75
Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
8. Примат положений международного договора действует лишь в отношении федеральных законов, но не в отношении Конституции РФ. В Постановлении от 14 июля 2015 г. № 21-П Конституционный Суд РФ допустил неисполнение постановлений Европейского суда в ситуациях, когда «самим содержанием постановления Европейского суда… неправомерно - с конституционно-правовой точки зрения - затрагиваются принципы и нормы Конституции Российской Федерации», причем «такое отступление является единственно возможным способом избежать нарушения основополагающих принципов и норм Конституции Российской Федерации». Данная позиция получила свое развитие и в иных постановлениях, где Конституционный Суд еще раз указал, что исполнение решений ЕСПЧ не является обязательным, если такое исполнение будет вступать в противоречие с положениями Конституции РФ, обладающей верховенством и высшей юридической силой в российской правовой системе (Постановление Конституционного Суда РФ от 19 апреля 2016 г. № 12-П).
9. Рассматривая систему источников законодательства в области персональных данных, нельзя не упомянуть акты, которые хотя и не содержат юридически обязательных норм, но de facto оказывают серьезное влияние на регулирование отношений, связанных с реализацией оператором организационных и технических мер защиты персональных данных. К таким актам относятся национальные стандарты, каждый из которых - это документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации, утвержден федеральным органом исполнительной власти в сфере стандартизации, и в нем для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы, применяемые в отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»). К числу стандартов, релевантных проблематике защиты персональных данных, можно отнести следующие:
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения;
ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;
ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;
ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования;
ГОСТ Р ИСО/МЭК 15408-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. № 1340-ст);
ГОСТ Р ИСО/МЭК 27001-2013. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 375-ст.);
ГОСТ Р ИСО/МЭК 27002-2012. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. № 423-ст);
ГОСТ Р ИСО/МЭК 27003-2012. Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст.);
ГОСТ Р ИСО/МЭК 27004-2011. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. № 681-ст.);
ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 632-ст);
ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 524-ст).
Следует отметить, что с 1 июня 2016 г. при осуществлении закупок по федеральным законам от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» и от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» заказчики обязаны при описании объекта закупки использовать документы национальной системы стандартизации, т.е. закупать продукцию, соответствующую требованиям стандартов (см. п. 1 ч. 10 ст. 4 Федерального закона № 223-ФЗ и п. 2 ч. 1 ст. 33 Федерального закона № 44-ФЗ ). Соответственно приобретаемое государственными заказчиками оборудование, программное обеспечение, работы и услуги, связанные с защитой персональных данных, должны соответствовать показателям, требованиям, условным обозначениям и терминологии, указанным в соответствующих стандартах, в противном случае в закупочной документации должно содержаться обоснование необходимости использования других показателей, требований, условных обозначений и терминологии.
10. Европейское законодательство о персональных данных в настоящее время имеет двухуровневый характер и представлено в виде ряда директив, важнейшей из которых является Директива 1995 г. Кроме нее также следует упомянуть Директиву 2002/58/EC от 12 июля 2002 г. об обработке персональных данных и защите информации о частной жизни в сфере электронных коммуникаций (в ред. Директивы 2009/136/EC) 76 , которая содержит дополнительный набор правил, касающихся обработки персональных данных в сфере электронной коммерции (необходимость получения согласия на размещения файлов cookie и иного доступа к устройствам пользователей; получения явного согласия на обработку геолокационных данных пользователей; регулирования сообщений рекламного характера и спама и т.п.). Обработка персональных данных в рамках взаимной правовой помощи при расследовании уголовных дел и осуществлении судопроизводства государств - членов ЕС осуществляется в соответствии с Рамочным решением Совета Европы 2008/977/JHA 77 . Указанные документы направлены на гармонизацию законодательства государств - членов ЕС и не имеют прямого действия, предполагая необходимость их имплементации в национальное законодательство. В этой связи при решении конкретных вопросов обработки персональных данных непосредственное применение будут иметь именно положения национальных законов государств - членов ЕС о защите персональных данных. C текстами указанных законов на английском языке можно ознакомиться на сайте Уполномоченного по защите персональных данных при Европейской Комиссии по ссылке:dataprotectionoficer/dpl_transposition_en.htm.
76
Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (E-privacy directive).
77
Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters.
Конец ознакомительного фрагмента.