Персональные данные в государственных информационных ресурсах

скачать книгу бесплатно

Персональные данные в государственных информационных ресурсах
Евгения Сергеевна Сербина

Михаил Юрьевич Брауде-Золотарев

Иван Геннадьевич Волошкин

Виталий Станиславович Негородов

Научные доклады: государство и право
В распоряжении органов государственной власти и органов местного самоуправления находится значительный объем информации о гражданах Российской Федерации, поэтому обработка персональных данных в публичном секторе – одна из наиболее важных областей информационного регулирования. Некоторые нормативно-правовые акты в этой сфере устарели, в том числе в связи с новыми рисками, связанными с расширяющимся применением в государственном секторе России современных информационно-коммуникационных технологий. При внесении изменений в правовые акты, регулирующие обработку персональных данных, необходимо учитывать обширный зарубежный опыт и международные обязательства России по защите персональных данных.

Михаил Брауде-Золотарев, Евгения Сербина, Виталий Негородов, Иван Волошкин

Персональные данные в государственных информационных ресурсах

© ФГБОУ ВО «Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации», 2016

Обозначения, определения и сокращения

Базовый регистр – Базовый регистр информации, необходимой для предоставления государственных услуг в городе Москве, созданный Распоряжением Правительства Москвы № 376-РП.

ГРН – Государственный регистр населения.

Директива 95/46/ЕС – Директива 95/46/ЕС от 24 октября 1995 г. «О защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных».

ЕС – Европейский союз.

ЖКХ – Жилищно-коммунальное хозяйство.

Закон о персональных данных, Федеральный закон № 152-ФЗ – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Конфиденциальность – недопустимость распространения персональных данных операторами их обработки без согласия их носителя.

«Конвенция о защите персональных данных» – Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 1981 г. № 108.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

РФ – Российская Федерация.

ОГИР ЗАГС-ПВС-ЖКХ – система объединенных государственных информационных ресурсов ЗАГС, паспортно-визовых служб и паспортных столов жилищно-эксплуатационных контор.

Трансграничная передача персональных данных – передача персональных данных оператором через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Федеральный закон № 24-ФЗ – Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации».

Федеральный закон № 149-ФЗ – Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Федеральный закон № 210-ФЗ – Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

Федеральный закон № 242 – Федеральный закон № 242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

ФСБ – Федеральная служба безопасности.

ФСТЭК – Федеральная служба по техническому и экспортному контролю.

NIST – National Institute of Standards and Technology.

SSN – Social Security number.

USB – Universal Serial Bus.

1. Анализ действующего правового регулирования персональных данных в Российской Федерации и других странах

Основной российский закон в области защиты персональных данных – Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» – был принят достаточно давно, и практика его применения выявила ряд недостатков.

Во-первых, закон содержит ряд крайне сложных в реализации требований, что создает необоснованные барьеры в работе операторов персональных данных и толкает их на нарушения закона. В то же время для граждан избыточное регулирование закона в большей степени порождает неудобства, нежели действительно обеспечивает безопасность их персональных данных.

Во-вторых, часть положений закона в настоящее время устарели или потеряли актуальность, а некоторые появившиеся за 8 лет аспекты работы с персональными данными он не регулирует вовсе, в частности Федеральный закон № 152-ФЗ «О персональных данных» не учитывает современного уровня развития интернета и замедляет развитие электронной коммерции и облачных сервисов в Российской Федерации.

1.1. Общие недостатки Федерального закона № 152-ФЗ

Одним из основных теоретических недостатков ФЗ «О персональных данных» является то, что он не называет четких критериев отнесения тех или иных сведений к категории персональных данных, а также не определяет механизмов их соотношения с иными видами информации ограниченного доступа, вследствие чего зачастую одни и те же данные могут быть отнесены к различным видам информации ограниченного доступа. Например, в режиме коммерческой тайны могут охраняться персональные данные контрагентов; в режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная, нотариальная, адвокатская, банковская тайны и т. п.). При этом режимы охраны различных видов информации ограниченного доступа предполагают отличные друг от друга сроки сохранения конфиденциальности соответствующей информации, дополнительные гарантии прав субъекта, а также виды ответственности за их нарушение. Возможность составления закрытых перечней данных, относимых исключительно к тому или иному виду информации ограниченного доступа, является достаточно спорной. Однако минимизация разницы между степенью уязвимости прав субъекта соответствующих сведений, безусловно, остается необходимой. По нашему мнению, указанная проблема может быть решена путем реализации субъектом соответствующей информации своего права на установление режима, предусмотренного ФЗ «О персональных данных», в соответствии с которым будет установлен ограниченный доступ к ней со стороны третьих лиц, а также наложен ряд обязанностей на оператора, производящего ее обработку. Так, установление режима коммерческой тайны в отношении какой-либо информации (например, данных авторов изобретений, используемых предпринимателем для извлечения прибыли и, соответственно, представляющих для него коммерческую ценность) не исключает возможность получения правообладателем письменного разрешения указанных субъектов на обработку их персональных данных. Более того, в случае неправомерных действий в отношении персональных данных со стороны оператора (в данном случае правообладателя) они могут быть обжалованы субъектом в уполномоченный орган по защите прав субъектов персональных данных или в суд без нарушения установленного режима коммерческой тайны. Это возможно в силу ст. 6 Федерального закона от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне», предусматривающей обязанность правообладателя предоставлять соответствующую информацию органам государственной власти, иным государственным органам, а также органам местного самоуправления по их мотивированному требованию.

Остается открытым вопрос относительно статуса изображения гражданина – правомерно ли относить его к персональной информации, ведь именно изображение служит зачастую одним из основных идентификаторов личности. Так, например, по изображению человека можно получить информацию о его биометрических данных, национальности, религиозной принадлежности и др. В настоящее время статус изображения человека как объекта правовой охраны определяется в гражданско-правовом порядке (ст. 152.1 Гражданского кодекса РФ) и существенно отличается от принципов охраны персональных данных граждан, установленных Федеральным законом «О персональных данных». Оптимальным в данном случае было бы обращение к положениям Директивы 95/46/ЕС Европейского парламента и Совета Европейского союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных», рассматривающей видеоданные как персональные данные.

Существует немало противоречий между Федеральным законом № 152-ФЗ и другими нормативно-правовыми актами, регулирующими смежные с защитой персональных данных сферы, в том числе с актами международного уровня.

1.2. Противоречия между Федеральным законом № 152-ФЗ и нормами международного права

В отличие от Конвенции «О защите физических лиц при автоматизированной обработке персональных данных» 1981 г. и Директивы 95/46/ЕС, в Законе о персональных данных отсутствует ряд важных положений, касающихся защиты персональных данных.

Закон о персональных данных не относит к персональным данным с особым режимом защиты данные, относящиеся к административным правонарушениям, уголовным судимостям или мерам безопасности, национальному идентификационному номеру или другому общепринятому идентификатору, более того, идентификатор сведений о физическом лице вовсе не признается персональными данными. Закон о персональных данных не регулирует статус и режим обработки идентификатора сведений о физическом лице.

Директива 95/46/ЕС, в отличие от Закона о персональных данных, устанавливает требование к результату (например, критерии оптимального уровня защиты), который должен быть достигнут в результате принятия оператором персональных данных надлежащих мер по защите персональных данных.