Защита персональных данных в условиях применения цифровых технологий
Комплекс мер по обеспечению защиты персональных данных граждан в условиях применения цифровых технологий. Локализация данных о гражданах путем законодательного регулирования российского сегмента. Право на забвение и обезличивание персональных данных.
Рубрика | Государство и право |
Вид | статья |
Язык | русский |
Дата добавления | 24.05.2022 |
Размер файла | 33,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Защита персональных данных в условиях применения цифровых технологий
В.И. Солдатова Солдатова Вера Ивановна, кандидат юридических наук, доцент кафедры гражданского права Москов-ского государственного юридического университета имени О.Е. Кутафина (МГЮА)
Аннотация
В течение последних лет вопросы применения законодательства в области персональных данных стали предметом внимания ученых-юристов. С развитием цифровых технологий особую актуальность приобретает проблема защиты персональных данных. Значение персональных данных настолько велико, что некоторые ученые квалифицируют их как нематериальные блага.
В целях защиты интересов граждан наше государство принимает меры по локализации данных о гражданах путем законодательного регулирования российского сегмента Интернета. Применяются также и такие меры, как право на забвение и обезличивание персональных данных.
Однако, как показывает практика, в том числе и судебная, имеющиеся средства защиты персональных данных являются недостаточными в условиях использования новых технологий. Вместе с тем практика применения законодательства о персональных данных выявляет ряд проблем, которые требуют своего решения. Много вопросов вызывает в практике деятельности государственных органов отнесение к персональным данным конкретной информации о физических лицах. Согласно действующей редакции ст. 3 Федерального закона персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). При этом закон не определяет, какие конкретно данные о физическом лице относятся к персональным данным. В силу такого широкого понимания персональных данных и возникают вопросы об отнесении к ним той или иной информации о физическом лице. В связи с этим важной теоретической задачей представляется определение критериев отнесения конкретных сведений о лице к персональным данным.
Особенно актуальными являются усиление ответственности за нарушение законодательства о персональных данных, определение приоритетов в вопросе обеспечения нейтральности Интернета, решение проблемы соотношения открытого режима общедоступных данных и необходимости защиты персональных данных. По мнению автора, необходимо обеспечить с помощью Эта проблема приобретает особое значение в связи с подготовкой новых законов о цифровом профиле гражданина.
Ключевые слова: персональные данные; согласие на обработку персональных данных; цифровая экономика; право на забвение; обезличивание персональных данных; категории персональных данных; биометрические персональные данные; Интернет; локализации баз с персональными данными; открытый режим общедоступных данных; цифровой профиль.
Protection of Personal Data in Digital Environment
Vera I. Soldatova, Cand. Sci. (Law), Associate Professor of the Department of Civil Law, Kutafin Moscow State Law University (MSAL)
Abstract
In recent years, the application of legislation in the field of personal data has become the focus of attention of legal scholars. With the development of digital technologies, the problem of protection of personal data becomes especially urgent. The importance of personal data is so great that some scholars treat them as intangible goods.
In order to protect the interests of citizens, our State takes measures to localize citizens' personal data by statutory regulation of the Russian segment of the Internet. Such remedies as the right to be forgotten and personal data anonymization are also applied.
However, the practice, including judicial practice, shows that the available means of protection of personal data are insufficient in the context of new technologies. However, the practice of application of laws on personal data reveals a number of problems that need to be addressed. The attribution of specific information about natural persons to personal data leads to a number of questions with regard to the practice of the activities of state bodies. Under currently effective Article 3 of the Federal Law, the term personal data refers to any information relating directly or indirectly to a certain or definable natural person (subject of personal data). At the same time, the law does not specify which data about an individual refers to personal data. Due to this broad understanding of personal data, questions arise concerning the attribution of paticular information about an individual to personal data. In this regard, the definition of criteria for the attribution of specific information about a person to personal data becomes an important theoretical task.
The issues of primary concern include: 1) strengthening of responsibility for violation of personal data legislation; 2) giving priority to the issue of neutrality of the Internet, 3) solving the problem of the balance between direct access to publicly available data and the need to protect personal data. In the author's opinion, it is necessary to ensure by means of comprehensive measures the priority of protection of personal data of citizens. This problem is of particular importance in connection with the elaboration of new laws on the digital profile of citizens.
Keywords: personal data; consent to the processing of personal data; digital economy; right to be forgotten; personal data anonymization; categories of personal data; biometric personal data; Internet; localization of databases with personal data; direct access to publicly available data; digital profile.
защита персональные данные
В настоящее время практически во всех странах в экономической сфере широко используются цифровые технологии, и Россия не является исключением. Создание цифровой экономики является важной задачей нашего государства. Указом Президента РФ от 09.05.2017 № 203 была утверждена Стратегия развития информационного общества в Российской Федерации на 2017--2030 годы СЗ РФ. 2017. № 20. Ст. 2901. (далее -- Стратегия).
В соответствии со Стратегией целью развития информационной и коммуникационной инфраструктуры Российской Федерации является обеспечение свободного доступа граждан и организаций, органов государственной власти Российской Федерации, органов местного самоуправления к информации на всех этапах ее создания и распространения (п. 27).
Указанная Стратегия определяет задачу по совершенствованию нормативно-правового регулирования в сфере обеспечения безопасной обработки информации (включая ее поиск, сбор, анализ, использование, сохранение и распространение) и применения новых технологий, уровень которого должен соответствовать развитию этих технологий и интересам общества (п. 31). Однако на данном этапе в этой сфере возникают новые проблемы, требующие правового регулирования.
Несомненно, что широкое применение цифровых технологий в самых разных сферах деятельности государства уже сегодня создает условия «прозрачности» различных отношений, в которых участвуют государственные органы, некоммерческие организации и граждане. В ряде сфер экономики государство осуществляет контроль за деятельностью субъектов предпринимательской деятельности (например, банки контролируют финансовые операции юридических лиц и граждан). Многие банковские операции проводятся с использованием сети Интернет (открытие банком счетов юридическим и физическим лицам, зачисление и списание денежных средств со счетов). При этом, как обоснованно замечают некоторые авторы, доступность информации о субъектах и об объектах предпринимательских отношений в целом -- это положительное явление, но возникает проблема защиты данных в сети Интернет Михайлов А. В. Проблемы становления цифровой экономики и вопросы развития предприниматель-ского права // Актуальные проблемы российского права. 2018. № 11. С. 68--73..
Отношения по сбору, хранению, обработке и использованию информации регулируются различными нормативными актами, составляющими законодательство о персональных данных.
Говоря о законодательстве Российской Федерации о персональных данных, прежде всего следует назвать международный акт -- Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, которую Россия ратифицировала еще до принятия Федерального закона «О персональных данных» Федеральный закон от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите фи-зических лиц при автоматизированной обработке персональных данных» // СЗ РФ. 2005. № 52 (ч. 1). Ст. 5573..
Защита персональных данных в нашей стране осуществляется в рамках Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 31.12.2017) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». // СЗ РФ. 2006. № 31 (ч. 1). Ст. 3451.. Статья 2 названного Закона прямо устанавливает, что его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данной норме Федерального закона «О персональных данных» корреспондирует правило ст. 152.2 Гражданского кодекса РФ об охране частной жизни гражданина.
Защите прав граждан служит также и установленная Федеральным законом «О персональных данных» (ч. 5 ст. 18) обязанность оператора, осуществляющего сбор персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, а также обновление, изменение, извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
Значение Федерального закона «О персональных данных» состоит в том, что он является основой правового регулирования сбора, обработки и использования персональных данных. Вместе с тем возникающие сегодня проблемы защиты персональных данных обусловлены недостаточной правовой регламентацией данных отношений.
Так, много вопросов вызывает в практике деятельности государственных органов отнесение к персональным данным конкретной информации о физических лицах. Согласно действующей редакции ст. 3 Закона персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Закон не определяет, какие конкретно данные о физическом лице относятся к персональным данным.
Заметим, что такое широкое понимание персональных данных было закреплено Федеральным законом от 25.07.2011 № 261-ФЗ, которым были внесены изменения в Федеральный закон «О персональных данных» Федеральный закон от 25.07.2011 № 261-ФЗ «О внесении изменений в Федеральный закон “О персо-нальных данных”» // СЗ РФ. 2011. № 31. Ст. 4701.. До внесения этих изменений пункт 1 ст. 3 Федерального закона «О персональных данных» определял персональные данные как любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию. Таким образом, ранее действовавшая редакция Закона определяла неполный перечень информации, относящейся к персональным данным.
Внесение изменений в Федеральный закон «О персональных данных» и закрепление нового понятия персональных данных было вызвано необходимостью приведения Закона в соответствие с Конвенцией 1981 г. Конвенция о защите физических лиц при автоматизированной обработке персональных данных (за-ключена в г. Страсбурге 28.01.1981) // СПС «КонсультантПлюс»., согласно ст. 2 (a) которой термин «персональные данные» означает любую информацию об определенном или поддающемся определению физическом лице. Следовательно, приведенная дефиниция понятия «персональные данные» появилась в результате имплементации в российское законодательство положений международного акта.
Федеральный закон «О персональных данных» выделяет несколько категорий персональных данных.
Специальные категории персональных данных, к которым относятся расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь (ч. 1 ст. 10). Эти данные имеют особый режим обработки: обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч. 2 ст. 10 Закона.
Кроме того, Закон выделяет биометрические персональные данные. К ним относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Закон установил специальный режим обработки этих данных -- они могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением установленных законом случаев (например, в связи с реализацией международных договоров Российской Федерации, в связи с осуществлением правосудия и др.).
Отметим, что в законодательстве отсутствует перечень биометрических персональных данных. Примерный перечень содержат разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 Разъяснения Роскомнадзора от 30.08.2013 «Разъяснения по вопросам отнесения фото-, видеоизобра-жений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки» // СПС «КонсультантПлюс».. Согласно названным Разъяснениям к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и др.), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта. Отметим, что названный акт по своей юридической силе не является нормативным. Полагаем, что перечень биометрических персональных данных должен содержаться не в ведомственном акте, а нормативном акте Правительства РФ.
Постановление Правительства РФ от 30 июня 2018 г. № 772 определяет следующие виды биометрических персональных данных физического лица -- гражданина Российской Федерации:
-- данные изображения лица человека, полученные с помощью фото-, видеоустройств;
-- данные голоса человека, полученные с помощью звукозаписывающих устройств Постановление Правительства РФ от 30.06.2018 № 772 «Об определении состава сведений, размещае-мых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степе-ни их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в не-которые акты Правительства Российской Федерации» // СЗ РФ. 2018. № 28. Ст. 4234..
В настоящее время некоторые российские банки осуществляют сбор биометрических данных клиентов в целях получения клиентами услуг любого банка дистанционно. В этом случае возможно открывать счета и вклады, получать кредиты в удобное для клиентов время. Процедура сбора биометрических данных добровольная и бесплатная, осуществляется только с согласия клиента. В целях безопасности биометрические данные хранятся в Единой биометрической системе (ЕБС) отдельно от персональных данных. При желании клиентов эти данные можно удалить из базы через Портал госуслуг URL: https://news.rambler.ru/other/42629530/?utm_content=rnews&utm_medium=read_more&utm_ source=copylink (дата обращения: 28.08.2019)..
Банк России направил банкам информационное письмо от 1 марта 2019 г., в котором разъяснил порядок регистрации клиента в Единой системе идентификации и аутентификации (ЕСИА) и сбора биометрических данных в Единую биометрическую систему. ЦБ РФ указал на необходимость четко разъяснять клиентам, в какую именно биометрическую систему передаются их данные -- в ЕБС или собственную систему банка. Заметим, что названное письмо Банка России не носит нормативный характер.
Федеральный закон «О персональных данных» определяет также категорию персональных данных общего характера -- это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (ст. 3). Таким образом, Закон содержит основной признак персональных данных -- информация относится к прямо или косвенно определенному или определяемому физическому лицу, т.е. возможна идентификация субъекта. Заметим, что действующая редакция ст. 128 ГК РФ не предусматривает в числе объектов гражданских прав информацию, хотя ранее информация относилась к этим объектам.
В литературе справедливо отмечается, что персональные данные общего характера являются самыми сложными и запутанными для понимания и интерпретации... Точная идентификация лица будет иметь место в случае соотнесения информации с фамилией, именем и отчеством (при наличии) лица. Именно данные сведения являются основным идентификатором гражданина в гражданском обороте, поскольку гражданин приобретает и осуществляет права и обязанности под своим именем (п. 1 ст. 19 ГК РФ) Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональ-ных данных. М. : Статут, 2017. Савельев А. И. Указ. соч..
Косвенная идентификация прямо не указывает на имя или фамилию конкретного лица, но с ее помощью можно отнести к персональным данным информацию, содержащую описание индивидуальных характеристик лица, позволяющих отличить его от других субъектов. К такой косвенной идентификации, по мнению А. И. Савельева, относятся, например, данные о трафике (метаданных), в частности, сведения об установленных соединениях с указанием времени и продолжительности соединения, номеров или IP-адресов устройств, участвующих в коммуникации, на основании которых лицо может быть косвенно идентифицировано. В некоторых случаях лицо может быть идентифицировано на основании таких косвенных данных, как его логин, используемый в различных интернет- сервисах; данных с камер видеонаблюдения, реквизитов банковской карты, сведений о принадлежащей лицу собственности и пр.11
Таким образом, в законодательстве отсутствует даже примерный перечень персональных данных о лице, а также четкие критерии отнесения конкретных сведений о лице к персональным данным. Это порождает вопросы о возможности отнесения к персональным данным тех или иных сведений о лице, что особенно актуально в условиях использования цифровых технологий.
При отсутствии правовой определенности в вопросе отнесения к персональным данным конкретных сведений о лице представляет интерес позиция судов. Примером может служить спор между Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу (далее -- заявитель) и ПАО «МГТС» (далее -- общество, ответчик) Постановление Девятого арбитражного апелляционного суда от 23.05.2016 № 09АП-17574/2016 // СПС «КонсультантПлюс».. Управление обратилось в Арбитражный суд г. Москвы с требованием о привлечении ПАО «МГТС» к административной ответственности по ч. 3 ст. 14.1 КоАП РФ на основании протокола об административном правонарушении № 01-1-41-16-16 от 11.01.2016.
В соответствии с ч. 3 ст. 14.1 КоАП РФ осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), влечет наложение административного штрафа на юридических лиц в размере от 30 тыс. до 40 тыс. руб.
ПАО «МГТС», по мнению заявителя, осуществляло лицензируемый вид деятельности -- оказание телематических услуг связи с нарушением лицензионных условий, предусмотренных специальным разрешением (лицензией). По результатам проверки было установлено, что ответчик передает партнерам сведения об абоненте, включающие поисковые запросы абонентов, интернет-адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых абонентами ин- тернет-ресурсах, IP-адрес абонента, достаточные для формирования рекламного профиля абонента, необходимого для предоставления ему адресной рекламной информации, что подтвердилось в ходе проверки снятым скриншотом передаваемой информации.
Было установлено, что информация, получаемая от оператора связи, позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных).
Суд посчитал, что данными, позволяющими идентифицировать абонента или его конечное оборудование, являются: фамилия, имя, отчество или псевдоним абонента-гражданина, адрес абонента (адрес установки оконечного оборудования), абонентские номера, другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
ПАО «МГТС» на основании договора предоставляло другому юридическому лицу (ООО «ОБМР») сведения об абонентах (пользователях): случайный идентификатор (Cookie «UID») в HTTP-запросе пользователя, позволяющий отличить трафик пользователя от трафика других пользователей для получения списка его предпочтений; IP-адрес из IP-пакета HTTP-запроса пользователя, позволяющий получить географическое положение пользователя с точностью определения до названия населенного пункта; User-Agent HTTP-запроса пользователя, позволяющий получить модель устройства или типа браузера, используемого пользователем; время просмотра веб-страниц (HTTP-запроса пользователя), позволяющее оценить частоту, с которой пользователь проявляет те или иные предпочтения; URL-адрес и заголовок Referrer HTTP-запроса пользователя, позволяющие определить предпочтения пользователя; Hash- ID линии пользователя, позволяющий определить линии, абоненты которых выразили несогласие с обработкой данных.
По мнению суда, передаваемая информация является информацией о соединениях и трафике абонента, а следовательно, представляет собой сведения об абонентах.
Заявление было удовлетворено, ПАО «МГТС» привлечено к административной ответственности. Однако ответчик направил апелляционную жалобу об отмене решения суда. В итоге решение Арбитражного суда г. Москвы было оставлено без изменения.
Признание судами в качестве сведений об абоненте запросов абонента, интернет-адресов веб-страниц, посещаемых абонентом, IP-адресов абонента и др., которые позволяют идентифицировать абонента, имеет важное значение, поскольку оно является судебным толкованием норм закона. Это толкование позволяет восполнить пробел в правовом регулировании в части конкретизации данных, которые относятся к персональным данным общего характера.
Использование новых информационных технологий повлияло на развитие законодательства о персональных данных. Прежде всего следует назвать Федеральный закон от 13.07.2015 № 264-ФЗ «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации” и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации» СЗ РФ. 2015. № 29 (ч. I). Ст. 4390.. Значение этого Закона состоит в том, что он ввел в российское законодательство «право на забвение». Нормы названного Закона обязывают операторов поисковых систем в Интернете прекращать выдавать ссылки на информацию о пользователях, обратившихся к ним с соответствующим требованием (ст. 10.3 Федерального закона «Об информации, информационных технологиях и о защите информации»).
Оператор поисковой системы, распространяющий в сети Интернет рекламу, направленную на привлечение внимания потребителей, находящихся на территории Российской Федерации, по требованию гражданина обязан прекратить выдачу сведений об указателе страницы сайта в Интернете, позволяющих получить доступ к информации о заявителе. Это относится к информации, распространяемой с нарушением законодательства, являющейся недостоверной, а также неактуальной, утратившей значение для заявителя в силу последующих событий или действий заявителя, за исключением информации о событиях, содержащих признаки уголовно наказуемых деяний, сроки привлечения к уголовной ответственности по которым не истекли, и информации о совершении гражданином преступления, по которому не снята или не погашена судимость.
Важным средством защиты персональных данных является также обезличивание данных о конкретном лице. Обезличивание персональных данных -- это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Требование об обезличивании персональных данных устанавливает Федеральный закон «О персональных данных» (п. 9 ст. 3) и конкретизируют подзаконные акты Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличива-нию персональных данных» (вместе с Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ) (зарегистрирован в Мин-юсте России 10.09.2013 № 29935) // СПС «КонсультантПлюс»..
Несмотря на принятие новых законов, а также принятие государственными органами подзаконных актов, среди которых особое значение имеют акты Роскомнадзора, правовое регулирование отношений по использованию и защите персональных данных трудно признать удовлетворительным.
Основные проблемы в рассматриваемой сфере, на наш взгляд, состоят в следующем.
Во-первых, необходимо урегулировать вопрос об ответственности субъектов отношений по сбору, обработке, хранению и распространению персональных данных. Согласно ст. 24 Федерального закона «О персональных данных» лица, виновные в нарушении требований данного Закона, несут предусмотренную законодательством Российской Федерации ответственность.
Кодекс РФ об административных правонарушениях устанавливает административную ответственность лиц за нарушение законодательства Российской Федерации в области персональных данных (ст. 13.11), за осуществление незаконной деятельности в области защиты информации (ст. 13.13), за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14).
Отметим, что размер административного штрафа за указанные административные правонарушения весьма мал. Так, обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации, влечет наложение административного штрафа на должностных лиц -- от 10 тыс. до 20 тыс. руб., а на юридических лиц -- от 15 тыс. до 75 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ). Разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа на граждан в размере от 500 до 1 тыс. руб.; на должностных лиц -- от 4 тыс. до 5 тыс. руб. Очевидно, что размер такой ответственности не соответствует материальным (и не только) последствиям разглашения персональных данных и информации с ограниченным доступом.
Об актуальности защиты персональных данных свидетельствуют и результаты плановых проверок, которые проводит Роскомнадзор, являющийся уполномоченным органом по защите прав субъектов персональных данных. Роскомнадзор в 2018 г. провел 832 плановые проверки соблюдения законодательства о персональных данных, по результатам которых различные нарушения были выявлены в 80 % случаев URL: https://rkn.gov.ru/docs/Otchet_o_dejatel6nosti_Upolnomochennogo_organa.pdf (дата обращения: 28.08.2019).. В течение 2018 г. органами Роскомнадзора было составлено и направлено в суды 156 протоколов об административных правонарушениях в отношении персональных данных за такие нарушения. Из них 67 протоколов об административных нарушениях было составлено по ч. 1 ст. 13.11 КоАП РФ, предусматривающей ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных. Чуть меньше (31) было составлено протоколов об административных нарушениях по ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных без получения согласия в письменной форме субъекта персональных данных.
Очевидно, что одной из причин многочисленных нарушений в сфере обработки персональных данных является мизерная сумма штрафа (максимальный размер составляет всего 75 тыс. руб.). Размер ответственности за нарушение правил обработки персональных данных, установленных Директивой ЕС, во много раз превышает размер штрафа, предусмотренного КоАП РФ.
С мая 2018 г. в Европе действуют новые правила обработки персональных данных, установленные Общим регламентом по защите данных (Регламент ЕС 2016/679 от 27.04.2016, GDPR -- General Data Protection Regulation). Названный регламент имеет прямое действие в 28 странах ЕС. С его принятием утратила силу Директива о защите персональных данных 95/46/ЕС от 24.10.1995. Важной особенностью GDPR является экстерриториальный принцип действия новых европейских правил обработки персональных данных, а также усиление ответственности за нарушение правил обработки персональных данных: штрафы достигают 20 млн евро (около 1,5 млрд руб.).
Отсюда очевидна необходимость изменения российского законодательства в части значительного усиления ответственности за нарушения законодательства о персональных данных.
Кроме того, расширение сфер применения современных технологий значительно изменяет степень общественной опасности правонарушений, совершаемых в этих областях. Особенно это относится к распространению информации в информационно-телекоммуникационной сети Интернет.
В этой связи заслуживает внимания законопроект № 729516-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (внесен в Государственную Думу 13.06.2019). Он направлен на реализацию ч. 5 ст. 18 Федерального закона «О персональных данных», устанавливающей обязанность оператора при сборе персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Неисполнение оператором обязанности по локализации баз с персональными данными создает угрозу безопасности граждан, препятствует эффективной борьбе с терроризмом и экстремизмом.
Законопроект предлагает усилить административную ответственность -- дополнить ст. 13.11 КоАП РФ новой частью 8, предусматривающей ответственность за невыполнение оператором при сборе персональных данных, в том числе посредством сети Интернет, обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения, извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Предлагается наложение административного штрафа на граждан в размере от 30 тыс. до 50 тыс. руб.; на должностных лиц -- от 200 тыс. до 500 тыс. руб.; на юридических лиц -- от 2 млн до 6 млн руб. Повторное совершение данного деяния влечет наложение административного штрафа на граждан в размере от 50 тыс. до 100 тыс. руб.; на должностных лиц -- от 500 тыс. до 1 млн руб.; на юридических лиц -- от 6 млн до 18 млн руб.
Думается, что такое существенное усиление административной ответственности операторов за неисполнение обязанности по локализации баз с персональными данными послужит снижению уровня нарушений в сфере сбора и обработки персональных данных граждан.
Полагаем необходимым усилить ответственность операторов и за нарушение правил, установленных ч. 1 и 2 ст. 13.11 КоАП РФ. Нуждается в соответствующем изменении также и часть 6 ст. 13.11. КоАП, устанавливающая ответственность за невыполнение оператором при обработке персональных данных обязанности по обеспечению сохранности персональных данных при хранении материальных носителей персональных данных, недопущения несанкционированного к ним доступа (в том числе уничтожение, изменение, копирование, распространение данных). В настоящее время часть 6 ст. 13.11 КоАП РФ предусматривает наложение административного штрафа за неисполнение обязанности по обеспечению сохранности персональных данных на должностных лиц от 4 тыс. до 10 тыс. руб. Для юридических лиц максимальный размер штрафа составляет всего 50 тыс. руб. Несомненно, что такой мизерный размер штрафа не может препятствовать действиям по незаконному доступу к персональным данным, их копированию и распространению. С учетом того что основными обладателями персональных данных являются кредитные организации (банки, МФО), понятна необходимость существенного усиления ответственности операторов за нарушение законодательства о персональных данных.
Другой проблемой является соотношение защиты персональных данных и публичного интереса. По мнению Э. В. Талапиной, этот конфликт можно рассматривать как частный случай проявления общего конфликта публичного и частного права, поскольку публичный интерес предполагает специфическое видение проблемы глазами самого общества. Многие государства предусматривают специальные правила, регламентирующие хранение персональных данных своих граждан. И в этом контексте все чаще возникает вопрос о праве собственности на персональные данные или, как предусмотрено во французском Законе о цифровой Республике от 7 октября 2016 г., о свободе распоряжения собственными персональными данными. В этом случае частноправовым свободам «противостоят» публично-правовые интересы локализации персональных данных, в том числе интересы национальной безопасности Талапина Э. В. Защита персональных данных в цифровую эпоху. Российское право в европейском кон-тексте // Труды Института государства и права РАН. 2018. Т. 13. № 5. С. 137..
Весьма актуальным является решение вопроса о правах на персональные данные, которые содержатся в социальных сетях (Facebook, «ВКонтакте», Linkedin). Это сведения о фамилиях пользователей сетей, об их месте работы или учебы, месте проживания и т.п. Понятно, что эти данные первоначально были предоставлены в сеть при регистрации самими пользователями. Проблема возникает при использовании персональных данных пользователей социальной сети третьими лицами (коммерческими организациями) в своих целях. При этом разрешения на это использование данных коммерческие организации от пользователей и от социальной сети не получают и не платят за пользование данными. В некоторых случаях инициаторами рассмотрения в суде дел об использовании данных пользователей социальных сетей являются владельцы этих баз данных. Судебная практика по таким делам довольно обширна (например, определение Верховного Суда РФ от 29.01.2018 № 305-КГ17- 21291 по делу № А40-5250/2017, постановление Девятого арбитражного апелляционного суда от 27.07.2017 № 09АП-31744/2017 по делу № А40-5250/17). Согласно позиции судов не являются общедоступными обрабатываемые организациями персональные данные, содержащиеся в открытых источниках (социальных сетях: «ВКонтакте», «Одноклассники», «Мой- Мир», Instragram, Twitter; интернет-порталов «Авито» и «Авто.ру»). Соответственно, необходимо получение согласия граждан на использование их данных.
На наш взгляд, законодательное закрепление указанной позиции судов по использованию персональных данных граждан, содержащихся в базах социальных сетей, восполнило бы этот пробел.
Любое государство заинтересовано в получении максимально полной информации о гражданах, в интересах же граждан обеспечить защиту своих персональных данных. Характер правового регулирования в сфере сбора, обработки и использования персональных данных определяется позицией государства в выборе приоритета интересов. На наш взгляд, необходимо юридически обеспечить «частноправовой» подход при подготовке новых нормативных правовых актов в рассматриваемой сфере. В литературе верно отмечалось, что в нашей стране защита интересов государства осуществляется успешно, в отличие от защиты интересов личности Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. М. : Ста-тут, 2011. С. 2..
В связи с этим возникает вопрос о возможности применения норм Закона РФ «О защите прав потребителей» для обеспечения интересов граждан -- субъектов персональных данных. Граждане часто сталкиваются с утечкой их персональных данных и использованием последних различными организациями в своих целях. Это обусловлено практикой заключения с гражданами договоров на оказание услуг (медицинских услуг, на оказание услуг в банковской сфере и др.), в соответствии с которой граждане в обязательном порядке предоставляют согласие на обработку их персональных данных. При этом гражданам, как правило, не разъясняют необходимость получения от них такого согласия, а также возможность отозвать такое согласие.
Закон РФ «О защите прав потребителей» не содержит положений о предоставлении потребителями своих персональных данных при заключении договоров. Однако это, на наш взгляд, не является препятствием для применения норм данного Закона в отношениях по сбору и обработке персональных данных граждан. Этот вывод подтверждается и судебной практикой: при рассмотрении дел об использовании персональных данных граждан суды применяют нормы Закона РФ «О защите прав потребителей».
Примером может служить постановление Арбитражного суда Северо-Западного округа от 18 июля 2016 г. № Ф07-5537/2016 по делу № А44-9647/2015. Страховое акционерное общество ВСК (Нижегородский филиал) обратилось в арбитражный суд с заявлением о признании незаконным предписания Управления Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Новгородской области. Предписание предусматривало устранение нарушений законодательства о защите прав потребителей: условия типовых форм договоров нарушают положения ст. 16 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей». Предписание Управления Роспотребнадзора обязало страховое акционерное общество ВСК изменить условия договоров страхования таким образом, чтобы гражданин обладал возможностью выбора: выразить согласие или отказаться от обработки, распространения, передачи персональных данных страхователя.
Представляет интерес мотивировочная часть решения кассационной судебной инстанции. Суд отмечает, что договор страхования относится к договорам присоединения, условия договора разработаны самим страховщиком, а подписание его страхователем не может служить безусловным выражением воли и личного согласия страхователя, данным свободно и в своем интересе. При этом правовая природа договора присоединения лишает страхователя возможности до заключения договора изменить указанное условие, ограничив в той или иной мере распространение персональной информации так, как он сам это считает необходимым. Таким образом, отсутствие у потребителя права выбора возможности согласия или отказа в согласии на обработку персональных данных ущемляет права потребителей, что в силу ст. 16 Закона № 2300-1 свидетельствует об их недействительности в этой части.
Некоторые авторы выделяют и такие проблемы, требующие правового решения, как защита персональных данных и общедоступность данных, защита персональных данных и свобода и нейтральность Интернета, защита персональных данных работников и права работодателя на эти данные и др. Талапина Э. В. Указ. соч. С. 139.
На наш взгляд, проблема стоит несколько шире -- необходимо создать механизм, обеспечивающий комплексную защиту персональных данных граждан, который мог бы противодействовать незаконным сбору, обработке, а также использованию персональных данных граждан. При этом полагаем необходимым обеспечить приоритет защиты прав гражданина как основополагающего принципа отношений в сфере сбора, обработки и использования персональных данных. Эта задача особенно актуальна в связи с реализацией задачи по созданию цифрового профиля.
В Государственную Думу в июле 2019 г. внесен соответствующий проект федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)». Законопроект предусматривает создание и использование цифрового профиля.
Цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации.
С помощью инфраструктуры цифрового профиля может обеспечиваться:
-- идентификация и аутентификация физических и юридических лиц;
-- доступ к цифровому профилю и предоставление сведений, входящих в цифровой профиль, в электронной форме физическим и юридическим лицам;
-- предоставление и обновление по запросу государственных органов, органов местного самоуправления, организаций, осуществляющих публичные полномочия, сведений о физическом или юридическом лице, содержащихся в цифровом профиле;
-- хранение сведений о гражданах и юридических лицах, в том числе результатов предоставления государственных и муниципальных услуг в электронной форме.
Важной новеллой законопроекта является положение, предусматривающее получение и отзыв согласия на обработку персональных данных граждан и сведений о юридических лицах в случаях, если эти сведения были получены с использованием инфраструктуры цифрового профиля. Действующее законодательство о персональных данных не регламентирует порядок получения и отзыва согласия на обработку персональных данных граждан, оно лишь предусматривает возможность отзыва согласия. Согласно законопроекту субъект персональных данных отзывает такое согласие в инфраструктуре цифрового профиля в форме электронного документа, в том числе подписанного усиленной квалифицированной электронной подписью или простой электронной подписью, ключ которой был получен при обращении за получением государственных и муниципальных услуг в электронной форме.
Рассматриваемый законопроект устанавливает правила дистанционной идентификации и аутентификации лиц, носящей юридически значимый характер и порождающей правовые последствия, в случае если правоотношения складываются в сферах, не относящихся к предоставлению государственных услуг и осуществлению государственных функций. Законопроект содержит определения таких понятий, как «идентификация», «аутентификация», «цифровой профиль», вводит правовой институт цифрового профиля с его более детальным регулированием, а также предоставляет Правительству РФ полномочия по определению порядка получения и предоставления сведений с использованием цифрового профиля.
Библиография
1. Михайлов А. В. Проблемы становления цифровой экономики и вопросы развития предпринимательского права // Актуальные проблемы российского права. -- 2018. -- № 11.
2. Петрыкина Н. И. Правовое регулирование оборота персональных данных. Теория и практика. -- М.: Статут, 2011.
3. Савельев А. И. Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». -- М.: Статут, 2017.
4. Талапина Э. В. Защита персональных данных в цифровую эпоху. Российское право в европейском контексте // Труды Института государства и права РАН. -- 2018. -- Т. 13. -- № 5.
References
1. Mikhailov AV. Problemy stanovleniya tsifrovoy ekonomiki i voprosy razvitiya predprinimatelskogo prava [Problems of formation of digital economy and issues of development of business law]. Aktualnye problemy rossiyskogo prava. 2018;11. (In Russ.)
2. Petrykina NI. Pravovoe regulirovanie oborota personalnykh dannykh. Teoriya i praktika [Legal regulation of personal data turnover. Theory and practice]. Moacow: Statut Publishing; 2011. (In Russ.)
3. Saveliev AI. Nauchno-prakticheskiy postateynyy kommentariy k Federalnomu zakonu «O personalnykh dannykh» [Scientific and practical annotated commentary to the Federal Law “On personal data”]. Moscow: Statut Publishing; 2017. (In Russ.)
4. Talapina EV. Zashchita personalnykh dannykh v tsifrovuyu epokhu. Rossiyskoe pravo v evropeyskom kontekste [Protecting personal data in the digital age. Russian Law in the European context]. Proceedings of the RAS Institute of State and Law. 2018;13(5). (In Russ.)
Размещено на Allbest.ru
...Подобные документы
Понятие и особенности персональных данных. Обеспечение безопасности персональных данных при их обработке. Особенности ответственности за нарушение законодательства о защите персональных данных. Правовое регулирование и субъект защиты персональных данных.
курсовая работа [40,0 K], добавлен 05.04.2016Проблема безопасности информационных систем персональных данных. Практические аспекты по созданию средств защиты персональных данных в ООО "УК "Жилищная коммунальная инициатива". Ответственность за нарушение требований по защите персональных данных.
курсовая работа [364,9 K], добавлен 25.05.2014Обработка, хранение и использование персональных данных работника. Права работников в области защиты персональных данных. Дисциплинарная и административная ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
курсовая работа [34,5 K], добавлен 19.03.2015Понятие персональных данных и их отграничение от другой информации. Работа кадровой службы с персональными данными. Дисциплинарная, административная и уголовная ответственность за нарушение правил работы с информацией. Контроль защиты персональных данных.
курсовая работа [48,1 K], добавлен 21.09.2014Становление законодательства о защите персональных данных работников. Основные виды персональных данных работников. Порядок деятельности работодателя по обработке персональных данных работников. Особенности ответственности за нарушение законодательства.
курсовая работа [90,2 K], добавлен 19.03.2015Оператор и субъект персональных данных. Категории персональных данных, обрабатываемые в ИСПДн, ответственность за нарушения по обработке. Жизненный цикл персональных данных, срок обработки. Классы типовой информационной системы, аттестация и сертификация.
реферат [1,1 M], добавлен 05.04.2012Рассмотрение проблемы государственной защиты персональных данных. Выделение особых категорий персональных данных, принципов и условий их обработки. Особенности контроля и надзора за исполнением данной процедуры согласно Федеральному закону России.
реферат [27,1 K], добавлен 02.12.2010Понятие правового регулирования персональных данных работников согласно Трудовому кодексу России. Исследование трудовых отношений в сфере защиты персональных данных работника. Особенности работы с конфиденциальными сведениями, соблюдение ответственности.
дипломная работа [111,8 K], добавлен 07.12.2010Анализ основных нормативно-правовых актов о защите личности в связи с автоматической обработкой персональных данных. Характеристика рисков неисполнения требований законодательства. Обзор классификации типовых информационных систем персональных данных.
презентация [371,3 K], добавлен 21.03.2013Особенности персональных данных. Общедоступные персональные данные. Источники правового регулирования. Развитие информационных технологий. Защита персональных данных при их накоплении, обработке и передаче с использованием средств информатизации.
реферат [28,7 K], добавлен 28.01.2011Характер отношений, связанных с обращением персональных данных, и особенности их современного нормативно-правового регулирования в Европе. Субъекты информационных правоотношений института персональных данных, основные этапы лицензирования работы с ними.
презентация [132,9 K], добавлен 20.10.2013Понятие, сущность и правовая природа персональных данных. Права и обязанности обладателя информации. Базовые нормативные документы по защите конфиденциальной информации. Федеральные нормативные акты по обеспечению защиты информации и персональных данных.
дипломная работа [3,4 M], добавлен 27.08.2016Информационная среда обитания человека. Формирование и использование электронных баз персональных данных граждан. Систематизированная социально значимая информация может быть использована как на благо, так и во вред людям.
реферат [19,2 K], добавлен 18.09.2006Историко-теоретические основы права на неприкосновенность частной жизни и защиту персональных данных, правовое регулирование данного права. Система конституционных гарантий, проблемы реализации гарантий на самозащиту и судебную защиту данных прав.
курсовая работа [87,6 K], добавлен 11.11.2011Понятие, обработка, хранение и использование персональных данных работника. Изучение действующего законодательства по данному вопросу. Виды ответственности работодателя за нарушение норм, регулирующих обработку и защиту персональных данных работника.
контрольная работа [28,9 K], добавлен 10.04.2016Хранение и использование персональных данных правоохранительными органами и органами национальной безопасности. Получение данных с использованием методов скрытого наблюдения. Надзор за законностью проведения негласных оперативно-розыскных мероприятий.
контрольная работа [43,5 K], добавлен 07.10.2016Правовые основы личных прав граждан: понятие, защита. Право на жизнь, свободу и личную неприкосновенность. Достоинство личности. Право на тайну частной жизни, защиту персональных данных и доступ к информации, затрагивающей права и свободы человека.
курсовая работа [43,9 K], добавлен 18.07.2016Законодательство Российской Федерации в области защиты конфиденциальной информации и ответственность за его нарушение. Персональные данные работников и их защита в кадровых службах. Организация работы с конфиденциальными документами, режим их хранения.
курсовая работа [46,0 K], добавлен 02.12.2010Основные источники правового регулирования конфиденциальной информации. Угрозы и меры по предупреждению ее утечки. Проблема и пути повышения защиты конфиденциальной информации и персональных данных в Администрации МО "Карагайский район" Пермского края.
курсовая работа [95,3 K], добавлен 09.10.2014Право на неприкосновенность частной сферы. Достоверность и полнота персональной информации. Понятие персональных данных работника и их защита в трудовом праве. Дополнительные меры правового воздействия в соответствии с уставами и положениями о дисциплине.
контрольная работа [34,4 K], добавлен 22.01.2011