Согласно положениям Конституции России в Российской Федерации признаются и гарантируются права и свободы человека и гражданина. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
Права и свободы человека и гражданина очерчивают те сферы жизни, в которых каждый человек проявляет свою личность и фиксирует свою индивидуальность при их реализации. В процессе вхождения человека в определенную социальную сферу формируются и его персональные данные. По мнению И.Л. Бачило: «…объективно, каждый человек заинтересован в персонализации своей личности, заинтересован выделить себя по определенным признакам, предоставляемым в качестве информации или данных о нем. Посредством своих персональных данных человек включается в социальную среду и обозначает круг своих интересов, пользуется своими правами и свободами, равно как и возлагает на себя определенные обязанности».
В Европе для охраны и защиты права на неприкосновенность частной жизни в условиях автоматизированной обработки персональных данных более 25 лет назад был введен особый институт – институт защиты персональных данных.
Первый в мире специальный закон о защите персональных данных был принят германской землей Гессен в 1970 г. В целом 70-е гг. XX в. можно охарактеризовать как период интенсивной исследовательской и законодательной деятельности по вопросам защиты неприкосновенности частной жизни в сфере сбора и использования персональных данных.
Российское законодательство в области персональных данных разработано на основе базовых положений международных документов, регламентирующих оборот персональных данных.
Понятие «персональные данные» закреплено в Федеральном законе от 27 июля 2006 г. № 152-ФЗ
«О персональных данных» (далее – Закон), согласно которому персональные данные – это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные) согласно положениям Указа Президента РФ
от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера» являются сведениями конфиденциального характера. Ключевым понятием в вышеуказанном определении является термин «идентификация», происходящий от латинского identificare (отождествлять).
Рассматривая понятие «идентификационные данные», следует отметить, что в данную категорию можно включить такие сведения, как номера документов, подтверждающих тот или иной статус личности (паспорт, служебное удостоверение, диплом об окончании учебного заведения), идентификационный номер налогоплательщика и т.д. Однако, например, только указанное в информационной базе место рождения не считается персональными данными, если эти сведения
не будут связаны с конкретной фамилией человека, в то время как информация – Петров Иван Петрович, рожденный в селе Новолокти Тюменской области, – будет являться персональными данными конкретного гражданина.
Исходя из вышеприведенной позиции и анализа правовых норм, можно прийти к выводу, что базы данных, содержащие сведения о наименовании юридического лица (фамилии, имени, отчестве индивидуального предпринимателя), идентификационный номер налогоплательщика, основной государственный регистрационный номер и т.д. следует относить к категории «базы данных, содержащие сведения о персональных данных» исходя из принципа совокупности сконцентрированных в них сведений (т.е. не каждый отдельный информационный блок, а вся совокупность).
Согласно положениям Закона персональные данные могут обрабатываться органами государственной власти и местного самоуправлении, а также юридическими лицами. При этом обработка персональные данных может происходить как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
Даже в том случае, когда организация хранит персональные данные на компьютере только в текстовых файлах формата doc, не включая их в базу, то такая обработка персональных данных также признается Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций автоматизированной, поскольку имеют место запись, систематизация и накопление персональных данных.
Расширение областей применения информационных технологий, являясь фактором развития экономики и совершенствования функционирования общественных и государственных институтов, одновременно порождает новые информационные угрозы. Анализ статистических данных показывает, что в 2016 г. зафиксирован двукратный рост объема украденных записей персональных данных. Специалисты компании «СёрчИнформ» проанализировали ситуацию в сфере защиты конфиденциальной информации среди отечественных организаций. Данные были получены в ходе серии конференций Road Show SearchInform 2016 «Инсайдер: найти и обезвредить», в которой приняли участие 3057 ИБ-специалистов и экспертов из 23 городов России и стран СНГ. Согласно статистическим данным в 2016 г. утечки конфиденциальной информации случились в каждой второй компании России. Только в 17% организаций смогли пресечь попытку кражи данных.
Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях
и о защите информации.
Как было уже отмечено, персональные данные – это любая информация. В соответствии с п. 1 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» информация – это сведения (сообщения, данные) независимо от формы их представления.
Защита информации представляет собой принятие правовых организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также
от иных неправомерных действий в отношении такой информации. В свою очередь в Законе закреплено обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Рассмотрим работу с персональными данными на примере Единого реестра членов саморегулируемых организаций, основанных на членстве лиц, осуществляющих строительство (далее – единый реестр членов СРО).
Согласно ст. 5520 Градостроительного кодекса
Российской Федерации (далее – Градостроительный кодекс РФ) одной из основных функций национальных объединений саморегулируемых организаций является ведение единого реестра членов саморегулируемых организаций, форма которого утверждается органом надзора за саморегулируемыми организациями по согласованию
с федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики и нормативно-правовому регулированию в сфере строительства, архитектуры, градостроительства.
Форма единого реестра утверждена приказом Федеральной службы по экологическому, технологическому и атомному надзору от 25 марта 2015 г. № 114 «Об утверждении формы единого реестра членов саморегулируемых организаций».
Единый реестр членов СРО – информационный ресурс, содержащий систематизированную информацию о саморегулируемых организациях, основанных на членстве лиц, осуществляющих строительство (далее – СРО), членах СРО, а также сведения о лицах, прекративших членство в СРО, полномочиями по ведению которого наделена Ассоциация «Национальное объединение строителей» (далее – НОСТРОЙ).
Для передачи сведений, содержащихся в форме ведения единого реестра, был разработан структурированный файл формата базы данных MS Access (MDB).
В едином реестре отражены сведения о СРО (ее название, основной государственный регистрационный номер записи о государственной регистрации юридического лица, идентификационный номер налогоплательщика, регистрационный номер в государственном реестре СРО, адрес места нахождения, адрес официального интернет-сайта, адрес электронной почты, контактный телефон); о члене СРО (название, адрес и фамилия, имя, отчество лица, осуществляющего функции единоличного исполнительного органа юридического лица или руководителя коллегиального исполнительного органа юридического лица – для юридических лиц, фамилия, имя, отчество лица, адрес места фактического осуществления деятельности, адрес места регистрации по месту жительства, дата и место рождения, паспортные данные – для индивидуального предпринимателя); об обеспечении имущественной ответственности члена СРО перед потребителями произведенных им товаров (работ, услуг) и иными лицами; о размере компенсационного фонда, внесенного строительной организацией при вступлении в СРО; о видах работ, которые оказывают влияние на безопасность объектов капитального строительства и к которым член СРО имеет свидетельство о допуске; о страховании имущественной ответственности члена СРО перед потребителями произведенных им товаров (работ, услуг) и иными лицами, а также данные о страховщике; о проводившихся в каждой строительной организации проверках, их результатах и мерах дисциплинарного воздействия и т. д.
Рассматривая законодательство в области персональных данных, важно ответить на вопрос: требуется ли наличие у национальных объединений саморегулируемых организаций соответствующей лицензии для работы с персональными данными.
Лицензирование представляет собой сложное многоаспектное социально-правовое явление.
В Латино-русском словаре О. Петрученко «licentia» переводится как «вольность, свобода делать что угодно». Вместе с тем словари иностранных слов трактуют данное слово как «право», «разрешение», предполагающее осуществление разрешенной деятельности в течение установленного срока и на отдельных условиях.
Конституция РФ, закрепляя принцип свободы предпринимательства (ч. 1 ст. 8), устанавливает приоритет прав и свобод человека над интересами государства, гарантирует каждому право на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности (ч. 1 ст. 34). Ограничение прав и свобод возможно только в рамках конституционной гарантии, установленной ч. 3 ст. 55 Конституции РФ, определяющей, что права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Данная норма нашла свое отражение в ст. 49 Гражданского кодекса РФ, которая ограничивает предпринимателей (юридических лиц и индивидуальных предпринимателей) в части свободного осуществления отдельных видов деятельности, обязанностью получить специальное разрешение (лицензию).
Введение лицензирования является одной из мер со стороны государства, призванной обеспечить публичный интерес. Смысл реализации данной меры состоит в сбалансированности публичного и частного интереса. Прямого указания о наличии лицензии для обработки персональных данных законодатель не устанавливает. В то же время в п. 6 ст. 23 Закона предусмотрено принятие мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
Виды деятельности, для осуществления которых необходимо наличие лицензии, закреплены в Федеральном законе от 4 мая 2011 г. № 99-ФЗ
«О лицензировании отдельных видов деятельности». Деятельность по технической защите конфиденциальной информации в соответствии с вышеуказанным Законом является лицензируемым видом деятельности.
В постановлении Правительства Российской Федерации от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» не определяется цель данного вида лицензируемой деятельности, в то же время целевая направленность отражена в Указе Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Таким образом, вполне четко устанавливается характер публичного интереса лицензируемой деятельности – обеспечение прав и законных интересов граждан.
Пунктом 3 ст. 3 Закона определено, что обработка персональных данных представляет собой любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с Регламентом размещение информации в едином реестре членов СРО включает в себя автоматическую валидацию и модерацию. Единый реестр членов СРО представляет собой базу данных, при этом обработку содержащейся в базе данных информации осуществляет НОСТРОЙ.
Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 утверждены Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее – Требования). Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 утверждены Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренные Законом. К таким мерам относятся следующие:
назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;
ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Обеспечение безопасности персональных данных в соответствии с требованиями законодательства РФ достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых
с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
В соответствии с п. 17 Требований контроль за выполнением Требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Необходимо отметить, что в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Оператор согласно положениям п. 2 ст. 3 Закона – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В п. 3 ст. 3 Закона закреплено, что обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В соответствии с Требованиями безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.
Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации. Меры по обеспечению безопасности персональных данных, предусмотренные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21, включают в том числе контроль (анализ) защищенности персональных данных.
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
Под технической защитой конфиденциальной информации в соответствии с постановлением Правительства РФ от 3 февраля 2012 г. № 79
«О лицензировании деятельности по технической защите конфиденциальной информации» понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. Оператор в соответствии с положениями законодательства РФ наделен полномочиями по специальному воздействию на персональные данные и выполняет функции по защите от несанкционированного доступа.
Таким образом, постановление Правительства РФ от «О лицензировании деятельности по технической защите конфиденциальной информации» распространяется на лиц, не являющихся оператором, т.е. на организации, которые от имени оператора осуществляют обработку персональных данных.
Иными словами: анализ требований, предъявляемых к оператору, и характер выполняемых им функций, позволяют сделать вывод, что оператору не требуется наличие лицензии на обработку персональных данных. Такие же выводы применимы к НОСТРОЙ, который выступает в качестве оператора при обработке персональных данных, входящих в состав сведений единого реестра членов СРО.
В Концепции совершенствования механизмов саморегулирования, утвержденной распоряжением Правительства РФ от 30 декабря 2015 г. № 2776-р (далее – Концепция), установлено, что отсутствуют единые подходы к регулированию деятельности института национальных объединений саморегулируемых организаций, их полномочий, прав и обязанностей. В частности, Федеральный закон от 1 декабря 2007 г. № 315-ФЗ «О саморегулируемых организациях» не использует термин «национальное объединение саморегулируемых организаций» и не определяет правовой статус такого объединения. В свою очередь Градостроительный кодекс РФ не закрепляет национальные объединения саморегулируемых организаций в качестве операторов обработки персональных данных при ведении реестров, предусмотренных Градостроительным кодексом РФ.
Представляется, что с учетом положений Концепции, направленной на закрепление единых подходов в области саморегулирования путем внесения в Федеральный закон «О саморегулируемых организациях» и Градостроительный кодекс РФ соответствующих изменений, необходимо конкретизировать правовой статус национальных объединений саморегулируемых организаций, указав их в качестве операторов обработки персональных данных при ведении соответствующих реестров.
Подводя итоги, необходимо отметить, что задачами государственных органов в рамках деятельности по развитию и совершенствованию системы обеспечения информационной безопасности является укрепление вертикали управления и централизация сил обеспечения информационной безопасности на федеральном, межрегиональном, региональном, муниципальном уровнях,
а также на уровне объектов информатизации, операторов информационных систем и сетей связи.
Обеспечивая защиту персональных данных, Российская Федерация укрепляет правовую защищенность и безопасность личности и создает благоприятные условия для всестороннего развития граждан и общества в целом.
Библиографический список
Бачило И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск: Беллiтфонд, 2006.
Комментарий к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (постатейный) / Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.) // СПС «Консультант Плюс».
Маркевич А.С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях. Воронеж, 2006.
Мильшин Ю.Н. Лицензирование как административно-правовой институт. Саратов, 1999.
Петрученко О. Латино-русский словарь. Пг., 1994.
Словарь русского языка. Т. 2. М., 1986.