Принципы защиты персональных данных в России и за рубежом

На сегодняшний день в Российской Федерации ярко выражена тенденция к информатизации общества. Об этом говорят многие факторы – как уже внедренные технологии, так и находящиеся в проекте (например – Государственная программа «Информационное государство»1). Развитие информационного общества ставит под угрозу целостность и неприкосновенность информации личного характера в силу увеличения количества различных информационных систем (далее – ИС), содержащих персональные данные. В странах Европы и Америки информатизация началась раньше, чем в России, и как следствие – достаточно развит институт защиты персональных данных (далее – ПДн). Стоит обратиться к зарубежному законодательству, в котором описаны принципы защиты ПДн при их автоматической обработке.

Всеобщая декларация прав человека от 10 декабря 1948 г. гласит: «Никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств».

Директива о защите неприкосновенности частной жизни и международных обменов персональными данными от 23 сентября 1980 г. узаконила ключевые принципы неприкосновенности частной жизни и индивидуальных свобод:

• –    объем собираемых ПДн должен иметь пределы;

• –    ПДн должны соответствовать целям, в которых они будут использоваться;

• –    ПДн не должны разглашаться;

  – создание механизмов, позволяющих индивидууму узнавать о наличии в обращении и о содержании его ПДн, а также требовать их

исправления.

Следующим особо значимым документом, регламентирующим отношения в сфере ПДн, стала Конвенция о защите физических лиц при обработке персональных данных от 28 января 1981 г. В ней заключены основные принципы обработки ПДн в информационных системах:

• –    ПДн должны быть получены и обработаны добросовестным и законным образом;

• –    ПДн должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

• –    ПДн должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

• – ПДн должны быть точными и в случае необходимости обновляться;

  – ПДн должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

Целью Конвенции является обеспечение уважения прав и основных свобод каждого человека и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой касающихся его персональных данных.

Согласно Директиве Европейского Союза 95/46/ЕС2 введены следующие критерии обработки ПДн: обработка возможна при наличии однозначного согласия субъекта, или обработка необходима для исполнения договора, стороной которого является субъект данных или в целях принятия мер по просьбе субъекта данных до заключения договора; или обработка необходима для соблюдения юридического обязательства, субъектом которого является оператор и т.д.

Как отмечают некоторые ученые3, в Европейском Союзе сложился комплексный ме-

Краткие сообщения ханизм защиты ПДн:

– наличие общеевропейской нормативной базы, действие национальных законодательных актов, регулирующих вопросы персональных данных;

– правовая четкость основных принципов права по защите ПДн;

– наличие европейских консультативных и надзорных органов, а также создание национальных административных органов по защите ПДн;

– нормативная определенность правового статуса – основных прав, свобод и обязательств;

– наличие правовой определенности по условиям передачи ПДн третьим лицам.

Институт защиты ПДн сегодня уже не является той категорией, которую можно регулировать только национальным правом. Важнейшей особенностью современных автоматизированных информационных систем являются наднациональность многих из них, выход их за пределы границ государств4. С опорой на опыт зарубежных стран в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных»5 обозначены принципы обработки ПДн, иначе их можно обозначить как качественные признаки ПДн:

– обработка ПДн должна осуществляться на законной основе;

– обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;

– не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат ПДн, отвечающие целям их обработки;

– содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки; обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;

– при обработке ПДн должны быть обеспечены точность ПДн, их достаточность;

– хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн6.

Стоит заметить, что в документах, касающихся защиты ПДн при обработке в ИС, в отдельную категорию выделяют особые (чувствительные) персональные данные, которые не могут подвергаться автоматизированной обработке без особого разрешения.

Таким образом, проанализировав ряд документов, в которых обозначены принципы защиты и обработки ПДн в автоматизированных информационных системах в РФ и за рубежом, мы отметим следующие принципы:

– защищенность субъектов ПДн от вмешательства в частную жизнь, а также гарантия прав субъекта;

– физическая защищенность ПДн от несанкционированного доступа, а также от действий, проведенных с персональными данными вследствие такого доступа;

– обеспеченность правовым режимом и контролем за использованием ПДн как со стороны оператора, так и со стороны субъекта;

– целесообразность выделения особой категории ПДн, нуждающихся в особой защите;

– реализация законодательных норм о защите ПДн при помощи соответствующего аппарата