Но если контроль за имуществом предполагает одновременное слежение за работником (например, в зоне нахождения стационарного рабочего места), то работодатель все равно обязан под роспись ознакомить работника о ведущемся видеонаблюдении с обязательным указанием цели — обеспечение контроля за сохранностью имущества работодателя. В таком случае результаты подобного видеонаблюдения не могут быть положены в основу привлечения работника за совершение дисциплинарного проступка, если этот проступок не связан с порчей или хищением имущества. Таким образом, организация видеонаблюдения в офисе или производственном помещении требует соблюдения многих условий. И как уже было отмечено, далеко не всегда достаточно получить согласие работника на осуществление видеонаблюдения. Необходимость видеонаблюдения должна быть обоснована производственными особенностями труда, в противном случае у работника в случае несогласия с такими условиями договора возникают основания для обращения в суд с иском о необоснованном увольнении или отказе в приеме на работу. Рассмотренный выше пример показал сложность и неоднозначность решения вопроса о допустимых пределах вмешательства работодателя в частную жизнь работников при использовании конкретных средств и методов контроля. Тем не менее, руководствуясь определенными правилами, можно добиться нужного баланса интересов как работодателя, так и его подчиненных. Во-первых, критерии легальности/нелегальности действий работодателя следует искать в принципах, закрепленных во всем комплексе норм, касающихся персональных данных человека (включая частную жизнь, личную и семейную тайну, тайну переписки и т. п.), начиная с конституционных положений, заканчивая специальными законами.
Во-вторых, важно учитывать, что особенности различных профессий предопределяют дифференцированный подход при определении необходимости осуществления тех или иных контролирующих действий. В-третьих, сам факт осуществления контроля, способы, формы этого контроля следует должным образом зафиксировать в трудовом договоре и правилах внутреннего трудового распорядка. Работник должен быть ознакомлен с данными положениями и в письменной форме выразить свое согласие на осуществление соответствующих действий. Остановимся еще на одном недостатке законодательства. Пользуясь кредитными карточками, общаясь через Интернет, оплачивая коммунальные услуги, приобретая авиабилеты, мы вынуждены оставлять о себе информацию.
Прогресс в области информационных технологий и расширение возможностей информационного обмена обеспечивают комфортные и быстрые решения многих бытовых проблем. Вместе с тем они несут и определенные риски для граждан, в том числе представляют угрозу нарушения права личности на неприкосновенность частной жизни. Ведь информация о каждом может попасть не только по назначению в нужную инстанцию, но и к разного рода мошенникам, которых сегодня немало. Ежегодно в стране выявляются сотни случаев утечки важных сведений персонального характера, а на черном рынке можно купить практически любые информационные базы, составляемые как государственными, так и коммерческими структурами. Такая возможность возникает из-за несовершенства законодательства о персональных данных, в котором есть и неоднозначные формулировки, и избыточные требования к операторской деятельности. Например, в Федеральном законе от 27.
07.2006 N 152-ФЗ «О персональных данных» существует неопределенность в правовом статусе лица, которое обрабатывает персональные данные по поручению оператора, отсюда вытекает и неопределенность ответственности в случае их утечки. По словам Д. Вяткина, заместителя председателя Комитета Государственной Думы по конституционному законодательству и государственному строительству, постоянного представителя Государственной Думы в КС РФ, изменить это может появление в названном Законе нового понятия «субоператор персональных данных». Закон N 152-ФЗ действует с 2006 года и уже во многом не соответствует современным реалиям, кроме того, он содержит ряд крайне сложных в реализации требований, которые создают необоснованные барьеры в работе операторов персональных данных и провоцируют их на противоправные действия. Еще одним из недостатков законодательства является то, что требования к обеспечению защиты персональных данных едины для государственных и частных организаций. Думается, что защиту персональных данных в публичных информационных системах необходимо осуществлять в соответствии с требованиями органов исполнительной власти, а в частных — на основе международных или национальных стандартов по информационной безопасности. Проект закона N 416 052−6, поступивший в Госдуму, содержит целый ряд новшеств. Например, в случае принятия законопроекта компании будут обязаны сообщать об утечках персональных данных в уполномоченный государственный орган.
При этом предлагается увеличить размеры штрафов за факты утечек и поднять их с нескольких тысяч рублей до уровня, который будет «адекватным наносимому ущербу». Кроме того, авторы законопроекта предлагают упростить интернет-торговлю и дать гражданам возможность предоставлять согласие на обработку своих персональных данных дистанционно. Вводится понятие обработчика персональных данных, что существенно упрощает деятельность в этой сфере. Упрощаются условия трансграничной передачи данных. Это позволит добиться того, чтобы работа многих сервисов стала полностью законной. В целом можно сказать, что положения законопроекта направлены на упрощение работы в сфере персональных данных и усиление их защищенности. В случае его принятия госорганы при обработке данных о гражданах без их согласия будут ограничены рамками одной конкретной госуслуги. Сейчас существуют риски нецелевого использования персональных данных в рамках оказания госуслуг. Законопроект содержит решение вопроса, связанного с противоречием, когда одновременно необходимо и обеспечить конфиденциальность персональных данных, и предоставить право на доступ к персональной информации компетентным органам в целях противодействия экстремизму и терроризму или иной противоправной деятельности.
Здесь крайне важно соблюсти баланс. Нужно реализовать такой механизм, когда человек понимает, осознает, что его персональные данные будут обрабатываться, но при этом не будут нарушены его права на конфиденциальность. При этом гражданин должен знать условия обработки, что именно входит в разряд этих персональных данных, а что нет. Отметим также, что проблема защиты персональных данных приобретает все большую остроту не только в России, но и во всем мире. Поэтому наша страна решает ее совместно с законодателями разных стран.
С сентября 2013 года Россия стала полноправным участником Конвенции Совета Европы «О защите физических лиц в отношении автоматизированной обработки данных личного характера». Так что работа по совершенствованию Конвенции Совета Европы идет теперь с участием России. В ближайшее время нам предстоит рассмотреть вопрос о консолидации контролирующих органов в области персональных данных в соответствии с дополнительным протоколом к Конвенции Совета Европы. Россия имеет отличную перспективу стать одним из мировых лидеров в области формирования законодательства о защите персональных данных. Отметим еще следующий аспект. Наличие различных категорий персональных данных частично учтено законодателем. Так, Закон N 152-ФЗ среди всего массива относящейся к личности информации выделяет:
специальные категории персональных данных;
— сведения о судимости;
— биометрические персональные данные. Обработка этих видов персональных данных подчиняется особым правилам. Совокупность таких данных в научной литературе именуется как «особо чувствительные персональные данные». В. Иванский отмечает, что содержание «особо чувствительных» персональных данных зависит от национального менталитета, но в основном к данной категории относятся данные о расовом и этническом происхождении личности, о религиозных предпочтениях, политических убеждениях, членстве в профессиональных ассоциациях, политических и об иных общественных организациях, о состоянии здоровья, об особенностях сексуального поведения, о вынесенных и исполненных судебных приговорах по уголовным делам. В соответствии с Законом N 152-ФЗ общедоступные персональные данные, ставшие таковыми с согласия субъекта персональных данных, не нуждаются, по мнению законодателя, в дальнейшей правовой защите, в том числе и в защите их конфиденциальности.
Это положение подверглось критике некоторыми авторами. Так, Н. Петрыкина указывала, что «непонятно, как эта норма будет реализовываться на практике. Каким образом операторы или иные лица смогут в рамках одной автоматизированной или неавтоматизированной информационной системы обеспечивать защиту конфиденциальности одних персональных данных и не применять меры защиты в отношении других?
Создание же незащищенных автоматизированных или неавтоматизированных информационных систем (ведь действие Закона в некоторых случаях распространяется и на неавтоматизированные массивы данных) персональных данных противоречит общему смыслу Федерального закона «О персональных данных». Кроме того, дальнейшее использование общедоступных персональных данных без согласия субъекта персональных данных для иных целей, кроме тех, ради которых они были обнародованы, противоречит важнейшему установленному в ст. 6 Закона условию согласия субъекта персональных данных на обработку его персональных данных". Следует обратить внимание еще на одну проблему: как быть, если субъект персональных данных сначала разгласил свои данные (сделал их общедоступными), а затем вновь скрыл? Например, гражданин разместил достаточно подробную информацию о себе на одном из популярных сайтов в сети Интернет, а затем удалил ее. Может ли эта информация в дальнейшем свободно распространяться иными лицами? Логика подсказывает, что да. Однако здесь может возникнуть следующая проблема: в соответствии с ч.
3 ст. 9 Закона N 152-ФЗ обязанность представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора. Учитывая, что действующее российское законодательство, к сожалению, не содержит четких правил доказывания фактов размещения информации в сети Интернет (в тех случаях, если эта информация впоследствии удаляется), в решении данного вопроса могут возникнуть проблемы. На наш взгляд, необходима законодательная проработка этих вопросов. Во-первых, требуется четкая правовая регламентация всех случаев, в которых гражданин при размещении своих персональных данных автоматически дает согласие на их использование третьими лицами. Во-вторых, необходимо нормативно установить перечень ситуаций, когда на использование тех или иных сведений требуется обязательное согласие лица, их разместившего, а также зафиксировать формы такого согласия (подтверждения).
В-третьих, необходимо усилить контроль за деятельностью лиц и организаций, которые вправе совершать операции с таким видом информации.
3.2. Перспективы правового регулирования охраны персональных данных
Специалисты-правоведы обращают внимание на дисбаланс интересов в российском законодательстве и перекос в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностей операторов персональных данных. Этим существенно различаются положения Закона о персональных данных и Конвенции о защите физических лиц при автоматизированной обработке персональных данных. В странах, ратифицировавших названную Конвенцию, от операторов не требуется применения каких-либо специальных мер защиты, кроме общепринятых. Им необходимо в первую очередь обращать внимание на управление информационной безопасностью, на обучение персонала. Выбор конкретных мер защиты, технических решений, стандартов, которыми необходимо руководствоваться, архитектур информационных систем остается в компетенции оператора, как и непосредственная оценка риска нарушения безопасности данных. Операторы сами определяют требуемые меры защиты данных с учетом их природы и объема, стоимости применения мер защиты, характеристик своих информационных систем. Кроме того, в большей части законодательных актов стран Европейского сообщества имеется норма, прямо указывающая на необходимость соблюдения экономической целесообразности мер по защите персональных данных при отсутствии требований по применению конкретных технических мер. Иными словами, в нормативных документах зарубежных государств присутствуют требования к содержательной характеристике защиты персональных данных, в то время как в России подзаконными нормативными правовыми актами установлены формальные требования, не имеющие отношения к содержательному обеспечению защиты персональных данных. Общим правилом обработки персональных данных, в том числе и в Российской Федерации, является наличие согласия субъекта этих данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. При этом согласие на обработку персональных данных не является необратимым, оно может быть отозвано субъектом персональных данных без объяснения причины своего решения или выполнения каких-либо условий, достаточно только уведомить оператора об этом. Вопрос о последствиях отзыва субъектом согласия на обработку своих данных в российском законодательстве претерпел определенные изменения (ст.
ст. 9, 21 Закона о персональных данных). В первоначальной редакции Закона в случае отзыва субъектом персональных данных согласия на обработку своих данных оператор был обязан прекратить их обработку и уничтожить данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не было предусмотрено соглашением между оператором и названным субъектом. Об уничтожении персональных данных оператор обязан уведомить их субъекта. Такая жесткая и в ряде случаев слабо реализуемая норма существенно осложняла деятельность операторов в целом ряде сфер, где обработка персональных данных осуществляется в больших объемах (банковская сфера, железнодорожные и авиационные перевозки, страхование и др.). В результате Федеральным законом от 25.
07.2011 N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» в ст. ст. 9 и 21 были внесены изменения, направленные на обеспечение баланса интересов субъекта персональных данных и оператора, осуществляющего их обработку. В соответствии с новой редакцией согласие на обработку персональных данных, как и ранее, может быть отозвано их субъектом. Но срок выполнения оператором требования о прекращении обработки стал более реальным — он увеличен до 30 дней.
Кроме того, в определенных случаях при отзыве субъектом согласия на обработку его персональных данных оператор вправе продолжить делать это без согласия субъекта. Такая возможность возникает при наличии оснований, указанных в п. п. 2 — 11 ч.
1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона о персональных данных. Обработка персональных данных может быть продолжена после отзыва согласия субъекта, даже если речь идет о специальных категориях персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в случаях, предусмотренных ч. 2 ст.
10 Закона о персональных данных. Обработка биометрических персональных данных может осуществляться без согласия (либо после отзыва согласия) субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством, законодательством о порядке выезда из Российской Федерации и въезда в нее. Право отзыва согласия на обработку персональных данных не распространяется на случаи их обработки, установленные федеральными законами. Более того, в ряде федеральных законов предусматриваются случаи обязательного предоставления субъектом своих персональных данных (например, подача налоговой декларации).Требование об уничтожении персональных данных, в том числе по достижению заявленных целей, как представляется, нуждается в корректировке, в частности в связи с соблюдением законодательства об архивном деле, которое устанавливает требования и порядок обращения с документами, в том числе содержащими персональные данные. На данный момент законодательство о персональных данных и законодательство об архивном деле не согласованы друг с другом. Внесенные в Закон о персональных данных изменения сближают российское законодательство с законодательством стран, где предусмотрен дифференцированный подход к обработке персональных данных в зависимости от целей такой обработки. Еще одна проблема связана с доступом к персональным данным. Практика показывает, что официально получить персональные данные о конкретном человеке бывает затруднительно, а порой и невозможно, поскольку баланс интересов в Законе о персональных данных, как уже отмечалось, не вполне обеспечен. Вопрос о соотношении интересов гражданина и общества, общественных и частных интересов решен формально в пользу гражданина, т. е. частных интересов, но, по существу, и частные интересы далеко не всегда оказываются защищенными. Как представляется, должен быть создан механизм, обеспечивающий возможность соблюдения интересов других лиц. Например, можно обязать оператора персональных данных в подобных случаях обращаться к их субъекту для получения согласия на передачу третьему лицу его персональных данных (либо отказа в такой передаче).Схожая ситуация складывается и в области нотариата. Принятие Закона о персональных данных и отсутствие в нем указания на нотариуса как субъекта, имеющего право запрашивать соответствующую информацию, на практике привело к появлению отказов со стороны отделов УФМС России в предоставлении нотариусам информации о месте жительства наследников. Такое положение не способствует реализации конституционных наследственных прав граждан и не дает нотариату возможности выполнять возложенные на него государством публично-властные функции в целях защиты прав и законных интересов физических и юридических лиц.
Иногда складывается ситуация, когда нормы Закона, по сути, защищают нарушителей чужих прав, давая им возможность остаться безнаказанными. Проблемы с получением персональных данных возникают достаточно часто, в том числе и у государственных органов исполнительной власти. Работодатель обязан отказать в предоставлении персональных данных, если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение такой информации или же отсутствует письменное согласие работника на предоставление сведений о нем лицу, обратившемуся с запросом. Законодательно определенный перечень лиц и органов, которым могут передаваться персональные данные без согласия работника, не вполне соответствует закрепленным за соответствующим органом функциям. Так, учреждения службы занятости населения не наделены правом получать персональные данные работника без его согласия. В ряде случаев нормы Закона о персональных данных, призванные защищать интересы субъектов персональных данных, могут создавать проблемы для самих субъектов. Например, когда речь идет о получении работником кредита. Одна из острых проблем защиты персональных данных в государственных и муниципальных органах — это утечка персональных данных из их информационных ресурсов.
Практически все государственные и муниципальные органы создают в пределах своих полномочий информационные системы персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве этих органов действуют внутренние правовые акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты. Анализ практики функционирования различных информационных систем показывает, что в основном утечка происходила либо из-за нарушения правил конфиденциальности со стороны сотрудников, имеющих легальный доступ к персональным данным, либо из-за несанкционированного доступа, связанного с ошибками в принимаемых мерах защиты в системах. Очевидно, что вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день оно наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит огромные доходы. Проверки Роскомнадзора показали, что во многих организациях существуют все условия для потенциального инсайдерства, в том числе нарушаются требования конфиденциальности из-за отсутствия утвержденного перечня лиц, имеющих доступ к информационным базам, внутренним документам, регламентирующим режим и порядок доступа к информационным системам.
Полученная в результате утечки информация размещается на частных интернет-сайтах, распространяется или продается в Интернете, на дисках. К сожалению, нельзя не согласиться с той точкой зрения, что действующая законодательная база направлена на обеспечение защиты собственно информации, а не прав граждан при обработке их персональных данных в информационных системах. Нарушения требований Закона о персональных данных связаны прежде всего с отсутствием согласия субъектов персональных данных на размещение информации о них в Интернете: на некоторых интернет-сайтах неограниченному кругу лиц предоставлялся доступ к персональным данным граждан, в частности проживающих в Москве и Московской области граждан РФ (фамилии, имена, отчества, даты рождения и адреса места жительства).По поручению Генеральной прокуратуры РФ органы прокуратуры Москвы вынесли провайдерам, находящимся на территории города, предостережение о недопустимости нарушения требований Закона о персональных данных. Однако нередко встречается ситуация, когда сайты, на которых размещена информация, нарушающая права граждан на защиту персональных данных, зарегистрированы в других странах. В таких случаях может помочь запрос о правовой помощи в целях принятия мер по блокированию доступа пользователей к этим интернет-ресурсам.В том, что касается защиты персональных данных, проблемы правоприменения разнообразны. Особо важной для гражданина является сфера трудовой деятельности. Практика показывает, что во многих случаях персональные данные охраняются в коммерческих структурах как коммерческая тайна. Следует согласиться с мнением, что сведения о персонале не могут являться коммерческой тайной, а составляют персональные данные и должны защищаться в соответствии с гл. 14 Трудового кодекса РФ и Законом о персональных данных. Спорным является отнесение к коммерческой тайне сведений о должностных окладах, системе премирования и иного поощрения.
В перечне сведений, которые не могут составлять коммерческую тайну, названы сведения о системе оплаты труда (п. 5 ст. 5 Федерального закона от 29.
07.2004 N 98-ФЗ «О коммерческой тайне») и об оплате труда работников некоммерческих организаций (п. 9 ст. 5 этого Закона). По мнению некоторых авторов, размер заработной платы работников формально может быть отнесен к коммерческой тайне организации. Однако в соответствии с п.
1 ст. 3 Закона о персональных данных сведения о доходах физического лица составляют его персональные данные. Возникает вопрос о возможных правовых последствиях разглашения информации о своей заработной плате самим работником. Если признать, что эти сведения составляют коммерческую тайну, то в соответствии с подп. «в» п.
6 ст. 81 ТК РФ ему грозит увольнение. При условии, что эти данные охраняются в режиме персональных, работник вправе самостоятельно определять порядок их распространения. Установление режима коммерческой тайны в отношении сведений о заработной плате влечет за собой ряд запретов для работников, включая запрет на разглашение информации о своих доходах третьим лицам, в том числе и членам семьи. Защита персональных данных в трудовых отношениях не ограничивается проблемой разграничения сведений, составляющих коммерческую тайну, и персональных данных. Зачастую возникает вопрос: что именно относится к персональным данным в трудовых отношениях и что следует рассматривать как вторжение в личную сферу человека, его частную жизнь? Этот вопрос актуален применительно к целому ряду отношений, возникающих в трудовой сфере, таких как видеонаблюдение, прослушивание служебного телефона, использование и просмотр электронной почты и др. В рамках трудовых отношений остро стоит вопрос о праве работодателя контролировать, осуществлять мониторинг работников и о пределах этого мониторинга. ТК РФ, с одной стороны, содержит требование уважать неприкосновенность личной сферы работника, но, с другой стороны, не запрещает работодателю осуществлять тотальный мониторинг его деятельности.
В качестве оснований, оправдывающих такой мониторинг, называется защита конфиденциальных данных организации, если работник допущен к ним. В российском трудовом законодательстве механизмы защиты права неприкосновенности частной жизни работника регламентированы весьма неполно, пределы вторжения работодателя в частную жизнь работника на рабочем месте не регламентированы. Пределы допустимости осуществления работодателем контроля и мониторинга действий работников в рабочее время (перлюстрации электронной почты, отслеживания интернет-активности, использования офисного оборудования и в целом поведения работников на рабочих местах и вне их) — проблема не только российского, но и зарубежного законодательства. За рубежом работники достаточно часто обращаются в суд с исковыми заявлениями о нарушении их частной жизни, конфиденциальности переписки. Однако если работодатель может доказать целесообразность таких действий для эффективности ведения его бизнеса, ограниченность сферы контроля исключительно вопросами, непосредственно связанными с трудовыми функциями работников, и отсутствие в этом личных мотивов, то в таких случаях суды встают на сторону работодателя. Статья 8 Европейской конвенции о защите прав человека и основных свобод (Рим, 4 ноября 1950 г.) предусматривает обязанность государства уважать личную, семейную жизнь человека, что проявляется в воздержании от необоснованного вторжения в личную сферу человека государственными органами, организации контроля над деятельностью лиц, связанной с конфиденциальной информацией. Частная жизнь, с точки зрения Европейского суда по правам человека, включает в себя физическую и психологическую неприкосновенность: «…гарантия, предоставляемая статьей 8 Конвенции, в первую очередь направлена на обеспечение развития, без внешнего вмешательства, личности каждого человека в его отношениях с другими людьми».
И даже в публичной сфере существует зона взаимодействия человека с другими людьми, которая может относиться к сфере частной жизни. Все большую актуальность набирают проблемы защиты персональных данных в Интернете, в том числе в социальных сетях. В настоящее время эти сети используются для общения, маркетинговых исследований и продвижения продукции и услуг. Одним из стандартных атрибутов социальной сети является профиль пользователя. Например, в профиле пользователя «ВКонтакте» предлагается указать: пол, возраст, фамилию, имя, отчество, место жительства, место учебы, факультет, специальность, место работы, данные о родственниках пользователя и т. д.Необходимо отметить, что эта информация публикуется пользователями добровольно и достоверность большей части публикуемых сведений не проверяется.
Но при этом данные об адресе электронной почты, номере телефона, фамилии, имени обязательны при регистрации. В определенных случаях требуется отсканированный паспорт. Естественно, что все публикуемые персональные данные легко могут быть использованы другими лицами в недобросовестных, в том числе корыстных, целях. Но этот факт редко останавливает пользователей социальных сетей при публикации своей персональной информации. Размещенные в социальных сетях сведения становятся доступны гораздо более широкому кругу лиц, нежели пользователи себе представляют. Сбор данных может осуществляться разными способами — с помощью как вредоносных программ, так и стандартных функций, предоставляемых самими социальными сервисами. Сбор персональных данных в Интернете осуществляется в том числе с помощью специальных файлов, называемых куки (от англ.
cookie — печенье), которые находятся на диске компьютера пользователя и содержат текстовую информацию, необходимую серверу для функционирования какого-либо сайта. Пользователь Интернета может отключать поддержку куки на своем компьютере и подключать ее снова. Однако чаще всего пользователи Интернета об этом не знают. С момента своего появления куки вызывают обеспокоенность пользователей Интернета, поскольку позволяют отслеживать их действия и предпочтения, что ставит под угрозу тайну личной жизни, персональные данные. Как результат, в Европейском союзе, Соединенных Штатах и в других странах проводятся реформы, регулирующие применение куки. Закон Евросоюза о куки вступил в силу в 2011 г. Новые правила требуют, чтобы владелец веб-сайта получал разрешение от посетителей, прежде чем записывать куки на их компьютеры, и четко объяснял, какие куки для чего используются. Владельцам сайтов запрещено скрывать информацию в рамках «политики конфиденциальности».
Предусмотрено исключение из этого правила — это куки, необходимые для обеспечения функций, о которых пользователи просили сами. Согласно новым правилам крайне важно, чтобы пользователи получали четкие и всеобъемлющие разъяснения при осуществлении любой деятельности, которая позволяет хранить информацию или получать доступ к ней. Разъяснения и возможность оставлять за собой право отказа должны быть максимально удобными для пользователя. Исключения должны быть только в тех случаях, когда техническое хранение или доступ являются необходимыми для того, чтобы обеспечить пользователю по его просьбе возможность выполнения конкретной услуги. Следует уточнить, что в российском законодательстве нет норм, регламентирующих использование куки и устанавливающих требования, направленные на защиту персональных данных, более того, сам термин законодателю неизвестен. Как видим, формирование законодательства о персональных данных нельзя признать завершенным, а безопасность личности обеспеченной, однако в ряде случаев это не только правовая проблема, часть вопросов может быть снята техническими средствами, а значительная часть — нашим сознательным поведением, особенно в сети Интернет.
ЗАКЛЮЧЕНИЕ
Итак, в действующей редакции Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (ст.
3) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение персональных данных появилось только благодаря изменениям, внесенным в названный Закон 25 июля 2011 г. Первоначально под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Из определения исчезло перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации. Вместе с тем следует отметить, что наличие такого перечня в первоначальной редакции Закона сыграло важную роль, поскольку давало представление о характере информации, отнесенной законодателем к персональным данным.
Несмотря на то что Федеральный закон «О персональных данных» содержит максимально широкое определение персональных данных, в практической деятельности нередко возникают проблемы с определением того, какая информация относится к персональным данным. Отсутствие перечня в отдельных случаях, в том числе и в судебной практике, позволяет по-разному толковать отнесение тех или иных категорий данных к персональным. Закон о персональных данных выделяет три вида персональных данных:
общедоступные персональные данные;
— специальные категории персональных данных;
— биометрические персональные данные. В этой классификации персональные данные объединены в группы в зависимости от правового режима их оборота, определяемого различными методами правового регулирования. Наиболее логичной и ориентированной на правоприменителя представляется группировка персональных данных по признаку свободы оборота. Можно сказать, что на уровне обычая эта классификация уже частично сложилась и используется. Исходя из этого персональные данные можно разделить на: — свободно обращаемые;
— ограниченно обращаемые;
— обращаемые в специальных целях;
— запрещенные к обороту. Свободно обращаемые персональные данные — это имя, фамилия, отчество и пол лица. В некоторых случаях к ним можно добавить возраст, образование, адрес места жительства, номер телефона, т. е. все те минимальные сведения, которые готов сообщить о себе субъект определенному кругу лиц и организаций, составляющих круг его каждодневного социального общения. Как правило, несанкционированное использование этих сведений не может причинить субъекту какого-либо существенного вреда, поэтому применение мер ответственности возможно только в том случае, если нарушен порядок сбора и обработки этой информации (в частности, должностным лицом).Ограниченно обращаемые персональные данные — это различные виды персональных данных, в том числе и данные регистрационных номеров документов, сообщаемые субъектом (с его согласия) различным организациям и органам с целью совершения каких-либо действий или получения каких-либо услуг. Например, для оформления потребительского кредита заемщик должен сообщить помимо прочих данные о месте работы, должности, размере заработной платы, наличии движимого и недвижимого имущества и т. п. Разглашение или иное несанкционированное использование полученных персональных данных есть грубое нарушение неприкосновенности частной жизни субъекта персональных данных, способное причинить ему моральный и материальный ущерб.
Субъектами мер ответственности в данном случае будут выступать преимущественно должностные лица, что может влиять на тяжесть применяемых мер ответственности. Обращаемые в специальных целях — это те персональные данные, в том числе биометрические, которые собираются государственными, муниципальными и иными уполномоченными органами в рамках их полномочий в соответствии с законодательством. Согласие субъекта на сбор этих персональных данных требуется не всегда. К таким сведениям относится, например, информация об усыновлении. Разглашение и иное несанкционированное использование этих данных должно влечь за собой жесткие меры ответственности. Запрещенные к обороту — это наиболее чувствительная информация, т. е. специальные категории персональных данных. За нарушения положений законодательства о защите специальных категорий 24 персональных данных должны устанавливаться наиболее жесткие меры ответственности, вплоть до уголовной ответственности. В соответствии с Законом о персональных данных к персональным данным относится весь спектр информации о личности, с помощью которой личность можно идентифицировать.
Правовое регулирование оборота персональных данных личности является одной из актуальных проблем современной правовой науки и практики. Специфика ее заключается в необходимости создания оптимального правового механизма оборота и защиты персональных данных, учитывающего в равной степени публично-правовой интерес государства и частноправовой интерес индивида. Решению этой проблемы должны послужить как глубокие теоретические исследования, в том числе сравнительно-правовые, так и анализ накопленной правоприменительной практики. Решение этой проблемы невозможно также без мониторинга состояния рынка информационных технологий, продуктов и услуг и отслеживания общих тенденций развития информационного общества. Одним из важнейших направлений обеспечения права на неприкосновенность частной жизни является защита персональных данных граждан. Каждый гражданин в процессе своей жизни вступает во взаимоотношения с различными предприятиями, организациями, учреждениями, а также другими гражданами. В результате у них накапливаются данные о конкретном индивиде, начиная с самых простых (фамилии, имени, отчества, даты и места рождения и т. п.) и заканчивая очень специфическими (сведениями о заболеваниях, судимостях, размерах доходов, имуществе и пр.). При этом гражданин не желает, чтобы сведения о нем становились известны широкому кругу лиц. В целях защиты всей этой информации используется специальный правовой режим персональных данных. СПИСОК ИСПОЛЬЗОВАННЫХ НОРМАТИВНО-ПРАВОВЫХ АКТОВ, МАТЕРИАЛОВ СУДЕБНОЙ ПРАКТИКИ И СПЕЦИАЛЬНОЙ ЛИТЕРАТУРЫI. Нормативные акты
Конвенция о защите физических лиц при автоматизированной обработке персональных данных. Заключена в г. Страсбурге 28.
01.1981 // Бюллетень международных договоров, N 4, апрель, 2014
Конвенция о защите прав человека и основных свобод. Заключена в г. Риме 04.
11.1950 // Собрание законодательства РФ, 08.
01.2001, N 2, ст. 163. Конституция РФ (принята всенародным голосованием 12.
12.1993) (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.
12.2008 N 6-ФКЗ, от 30.
12.2008 N 7-ФКЗ, от 05.
02.2014 N 2-ФКЗ) // Собрание законодательства РФ, 04.
08.2014, N 31, ст. 4398
Кодекс Российской Федерации об административных правонарушениях от 30.
12.2001 N 195-ФЗ (ред. от 31.
12.2014)// Российская газета, N 256, 31.
12.2001
Трудовой кодекс Российской Федерации от 30.
12.2001 N 197-ФЗ (ред. от 31.
12.2014)// Российская газета, N 256, 31.
12.2001
Арбитражный процессуальный кодекс Российской Федерации от 24.
07.2002 N 95-ФЗ (ред. от 31.
12.2014) // Российская газета, N 137, 27.
07.2002
Федеральный закон от 12.
08.1995 N 144-ФЗ «Об оперативно-розыскной деятельности"(ред. от 21.
12.2013) // Российская газета, N 160, 18.
08.1995
Федеральный закон от 21.
07.1997 N 118-ФЗ «О судебных приставах"(ред. от 22.
12.2014)// Российская газета, N 149, 05.
08.1997
Федеральный закон от 07.
07.2003 N 126-ФЗ «О связи"(ред. от 21.
07.2014) // Российская газета, N 135, 10.
07.2003
Федеральный закон от 27.
07.2006 N 152-ФЗ «О персональных данных"(ред. от 21.
07.2014) // Российская газета, N 165, 29.
07.2006
Федеральный закон от 27.
07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации"(ред. от 21.
07.2014)// Российская газета, N 165, 29.
07.2006
Федеральный закон от 22.
12.2008 N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации"(ред. от 12.
03.2014) // Российская газета, N 265, 26.
12.2008
Указ Президента РФ от 30.
05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"(ред. от 01.
07.2014) // Российская газета, N 120, 07.
06.2005
Постановление Правительства РФ от 16.
04.2003 N 225 «О трудовых книжках» (вместе с «Правилами ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей») (ред. от 25.
03.2013) // «Российская газета», N 77, 22.
04.2003
Постановление Правительства РФ от 15.
09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» // Российская газета, N 200, 24.
09.2008
Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» (Принята в г. Люксембурге 24.
10.1995) // Документ официально не опубликован. СПС «Консультант
Плюс". Федеральный закон от 20.
02.1995 N 24-ФЗ «Об информации, информатизации и защите информации» // Российская газета, N 39, 22.
02.1995
Утратил силу.II. Материалы судебной практики
Постановление Конституционного Суда РФ от 14.
05.2003 N 8-П // Российская газета, N 99, 27.
05.2003
Постановление Президиума ВАС РФ от 22.
05.2012 N 16 803/11 по делу N А40−43 149/11−121−290 // Вестник ВАС РФ, 2012, N 10. Постановление Пятнадцатого арбитражного апелляционного суда от 01.
02.2012 N 15АП-224/2012 по делу N А53−6874/2011 // Документ опубликован не был. СПС «Консультант
Плюс.Постановление ФАС Северо-Западного округа от 24.
01.2014 по делу N А56−28 449/2013 // Документ опубликован не был. СПС «Консультант
Плюс.Постановление ФАС Московского округа от 04.
06.2014 N Ф05−4571/2014 по делу N А40−135 614/13 // Документ опубликован не был. СПС «Консультант
Плюс.Определение Ленинградского областного суда от 13.
11.2014 N 33−5712/2014 // Документ опубликован не был. СПС «Консультант
Плюс.Апелляционное определение Санкт-Петербургского городского суда от 24.
09.2014 N 33−14 878 по делу N 2−2012/2014 // Документ опубликован не был. СПС «Консультант
Плюс.Апелляционное определение Московского городского суда от 28.
11.2014 по делу N 33−37 312/14 // Документ опубликован не был. СПС «Консультант
Плюс.Постановление Девятого арбитражного апелляционного суда от 24.
09.2014 N 09АП-36 314/2014 по делу N А40−49 700/14 // Документ опубликован не был. СПС «Консультант
Плюс.III. Специальная литературы
Амелин Р.В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С. Комментарий к Федеральному закону от 27.
07.2006 N 152-ФЗ «О персональных данных» (постатейный) // СПС Консультант
Плюс. 2013
Баркова С., Барсегян А. Может ли размер заработной платы работников коммерческой организации являться коммерческой тайной? //
http://www.garant.ru/consult/work_law/293 449
Говоров В. Персональные данные — защита, хранение, учет, обезличивание // Кадровый вопрос. 2014. N 5. С. 29 — 38. Дворецкий А. В. Защита персональных данных по законодательству Российской Федерации: Автореф.
дис. … к.ю.н. Томск, 2005. С. 7. Журавлев М. С. Персональные данные в трудовых отношениях: допустимые пределы вмешательства в частную жизнь работника // Информационное право.
2013. N 4. С.
35.Иванский В. П. Правовая защита информации о частной жизни: Опыт современного правового регулирования. М., 1999
Курченко А. В. Этапы и тенденции нормативно-правового регулирования оборота персональных данных в Российской Федерации // Информационное право. 2009. N 4. Кудряшова Н. RTB-аукционы и защита персональных данных // ЭЖ-Юрист.
2014. N 41. С. 1, 3. Кухаренко Т. А. Персональные данные: кто, что и зачем должен о нас знать. М.: Эксмо, 2012. С.
5.Либерман К. Защита персональных данных организациями связи // Кадровый вопрос. 2014. N 5.
С. 45 — 53. Маркевич А. С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: Автореф. дис. … канд. юрид. наук. Воронеж, 2009
Медведева Т.М. О работе с персональными данными работников // Актуальные вопросы бухгалтерского учета и налогообложения. 2014. N 21. С. 77 — 88. Назарова Д. Н. Проблемы правовой охраны операторами персональных данных // Информационное право. 2010. N
1. С. 14 — 19. Оленева Г. В. Защита персональных данных при формировании органами государственного контроля (надзора) ежегодных планов проверок юридических лиц и индивидуальных предпринимателей // Законность. 2014. N 3. С.
32 — 33. Петрыкина Н. И. К вопросу о конфиденциальности персональных данных // Законы России: опыт, анализ, практика. 2007. N 6. Пфеффер А. Законодательство РФ в области персональных данных // Кадровый вопрос. 2014. N
5. С. 39 — 44. Родичев Ю. А. Правовая защита персональных данных. Самара: Самарский университет, 2010. С. 39. Станскова У. М. Правовой анализ локальных нормативных актов работодателя по защите информации ограниченного доступа // Трудовое право в России и за рубежом. 2011.
N 2. С. 30 — 32. Стрельников В. Персональным данным — особую защиту // ЭЖ-Юрист. 2013. N
12. С. 6. Терещенко Л. К. Отдельные вопросы применения законодательства о персональных данных // Комментарий судебной практики / под ред. К. Б. Ярошенко. М.: КОНТРАКТ, 2014
Вып. 19. С. 3 — 13. Терещенко Л. К., Тиунов О. И. Правовой режим персональных данных // Журнал российского права.
2014. N 12. С.
42 — 49. Тресков В. Персональные данные в новой обработке // ЭЖ-Юрист. 2014. N 4. С.
2.Терещенко Л. К. Правовой режим персональных данных и безопасность личности // Закон. 2013. N 6. С. 37 — 43. Туркиашвили А. М. Защита персональных данных личности как информационная функция современного государства // Современный юрист. 2013. N
4 (Октябрь-Декабрь). С. 123. Хужокова И. М. Эволюция содержания права на неприкосновенность частной жизни в России // Адвокатская практика. 2006. N
4. С. 2 — 5. Цехановский А. И. Работодателю о персональных данных // Отдел кадров коммерческой организации. 2014. N 7. С.
25 — 31.
