Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"

Глава 4.

Обязанности оператора

Статья 18.

Обязанности оператора при сборе персональных данных Комментарий к статье 18

1. Предоставляя операторам право осуществлять обработку персональных данных граждан в порядке и на условиях, оговоренных настоящим Законом, авторы последнего, в целях защиты интересов субъектов персональных данных, возлагают на них ряд обязанностей, выступающих в роли своего рода ограничителей свободы их деятельности. Особенности юридической конструкции, равно как и содержание такого рода обязанностей, во многом предопределены структурными элементами обработки персональных данных, право на осуществление которой является основополагающим в деятельности оператора. Объединенные в главе четвертой анализируемого документа обязанности оператора и требования управомоченных субъектов к их исполнению построены с учетом целей и задач, возлагаемых на них в соответствии с общими (вводными) положениями настоящего Закона.

Комментируемой статьей предусмотрен перечень первичных обязанностей оператора, с исполнением которых законодатель связывает законность и обоснованность деятельности оператора как по сбору персональных данных, так и по их последующей обработке. В общем, закрепленные комментируемой статьей действия оператора условно могут быть представлены в качестве информационного обязательства последнего, раскрывающего характер, содержание и цели его деятельности.

Принимая во внимание конституционный принцип о сборе, хранении, распространении информации о гражданине, осуществляемом только с его согласия, можно отметить, что повышенная информационная отдача со стороны оператора является только дополнительным аргументом в пользу его деятельности. По мнению законодателя, на целесообразность принятия решения субъектом о передаче персональных данных для последующей их обработки могут оказать влияние такие сведения, как:

1) цель обработки персональных данных;

2) способы обработки персональных данных, применяемые оператором;

3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

При этом по смыслу буквального толкования рассматриваемой статьи предоставление указанных сведений допустимо лишь по просьбе субъекта персональных данных в случаях, когда конфиденциальная информация получена непосредственно от него самого и ее обработка осуществляется с его согласия.

2. Разграничивая условия деятельности оператора по сбору персональных данных в зависимости от источника и оснований их получения, законодатель сохраняет приоритет защиты прав и законных интересов субъекта персональных данных.

В случаях, когда получение персональных данных осуществляется из иных источников, а равно осуществляется помимо воли субъекта в порядке и на основаниях, установленных федеральным законом, оператор должен информировать последнего в отношении:

1) собственного наименования и адреса места нахождения;

2) целей обработки персональных данных и их правовом основании;

3) предполагаемых пользователей персональных данных.

В дополнение к указанным сведениям законодатель также допускает возможность доведения до сведения субъекта персональных данных информации, сформулированной в п.4 ст.14 настоящего Закона.

Оператор может быть освобожден от обязанности предоставить указанные сведения при условии, что сбор персональных данных осуществляется в рамках оперативно-розыскной, контрразведывательной или разведывательной деятельности, в целях обороны страны, защиты основ конституционного строя, обеспечения безопасности государства и охраны правопорядка. Ограничения на информирование субъекта персональных данных о проводимом сборе последних могут быть установлены также в случаях, когда обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, или предоставление персональных данных нарушает конституционные права и свободы других лиц.

Статья 19.

Меры по обеспечению безопасности персональных данных при их обработке

Комментарий к статье 19

1. Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие рассматриваемого нормативного правового акта. В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором практически неограниченных мер, препятствующих уничтожению, изменению, блокированию, копированию, распространению персональных данных, а равно осуществлению иных неправомерных действий с ними. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке представляется разработчикам настоящего Закона в принятии последним необходимых организационных и технических мер.

Организационные меры защиты подразумевают под собой регламентацию производственной деятельности оператора, направленную на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Организационные меры защиты персональных данных предусматривают совершенствование системы обеспечения информационной безопасности, сертификацию систем защиты конфиденциальной информации по требованиям информационной безопасности, контроль за действием персонала в защищенных информационных системах, определение порядка финансирования деятельности системы обеспечения информационной безопасности. Организационные меры защиты персональных данных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами и документами, содержащими конфиденциальные сведения, использование технических средств защиты, осуществление информационно-аналитической деятельности по выявлению угроз защищаемой информации.

Организационные меры по защите конфиденциальной информации направлены на организацию выполнения правил, процедур и требований защиты персональных данных на основе правил, установленных настоящим Законом, иными федеральными законами, подзаконными актами. Они играют существенную роль в создании надежного механизма защиты информации, так как угрозы несанкционированного доступа к ней в значительной мере обусловлены не техническими действиями. Значительно чаще утечка, хищение и уничтожение информации обусловлены злоумышленными действиями, небрежностью или халатностью пользователей или персонала защиты информации.

Организационные меры защиты персональных данных в основном направлены на предотвращение утечки защищаемой информации в печати и возникновении других условий, создающих объективные предпосылки появления каналов утечки информации. Основное их назначение — предотвратить несанкционированный доступ к защищаемой информации, ее разглашение или раскрытие. В каждом конкретном случае организационные мероприятия имеют специфическую для данной организации форму и содержание, обусловленные особенностями защищаемых сведений, существующих угроз информации, имеющихся средств защиты и др.

Технические меры защиты персональных данных — это использование различных технических, программных и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения. Технические меры защиты включают в себя различные методы, применение которых может осуществляться как индивидуально, так и в совокупности.