ПОИБ МРч2 2010 ПВ

СЕМИНАР №11

ИНСТИТУТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Вопросы семинара

1. Персональные данные как объект права и защиты. Основные источники права института персональных данных. Сфера действия и цели Федерального закона «О персональных данных». Персональные данные как объект права. Принципы и условия обработки персональных данных. Конфиденциальность персональных данных.

2.Субъекты правоотношений связанных с обработкой персональных данных их права и обязанности. Субъекты правоотношений. Права субъектов персональных данных. Обязанности операторов. Контроль и надзор за обработкой персональных данных.

3.Обеспечение безопасности персональных данных при их обработке. Субъекты обеспечения безопасности. Нормативные документы правительства. Нормативно – методические документы органов исполнительной власти. Классификация ИСПДн.

4.Ответственность за нарушение законодательства РФ о пер-

сональных данных. Административная, гражданско - правовая, уголовная.

Доклады:

1.Международные нормы защиты персональных данных.

2.Классификация типовых ИСПДн.

Литература

1.Организационно – правовое обеспечение информационной безопасности: учеб. пособие для студ. высш. учеб. заведений / М.: Издательский центр «Академия», 2008.-256с. (стр.83-93).

2.Правовое обеспечение информационной безопасности: Учеб.пособие для студ.высш.учеб.заведений / Под ред.С.Я.Казанцева.- М.:Издательский центр «Академия», 2005.-240с. (стр.81-85).

3. Загинайлов Ю.Н. Правовое обеспечение информационной безопасности. В 2-х частях. Часть II. Институты правовой защиты информации ограниченного доступа и интеллектуальной собственности. Защита компьютерной информации и информационных систем: Учебное пособие / Алт.гос.техн.ун-т им.И.И. Ползунова.- Баранаул: Изд-во АлтГТУ.-2009-229с. [электр. с диск.]

31

Дополнительная литература

4. Бачилло И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/ Под ред.акад.РАН Б.Н. Топорнина.-СПб.: Издательство «Юридический центр Пресс»,2001.-789с. (стр. 503-522).

5. Загинайлов Ю.Н. Мисюк А.С. Комплексная система защиты информации на предприятии: методическое пособие по организации и обеспечению безопасности персональных данных. Алт. гос. техн. ун-т им. И.И. Ползунова. – Барнаул: Изд-во АлтГТУ, 2009 – .[Электронный ресурс]-режим доступа:

Источники

1.Трудовой кодекс Российской Федерации.

2.Федеральный закон № 152-ФЗ от 27.07.2006 г. «О персональных данных».

3.Конвенция Совета Европы от 28.01.1981 г. ETS № 108 «О защите физических лиц при автоматизированной обработке персональных данных».

4.Положение об обеспечении безопасности ПД при их обработ-

ке в информационных системах ПД (утв. Пост.Правительства РФ от

17.11.2007 г. N 781).

5.Порядок проведения классификации информационных систем

персональных данных (утв. Приказом ФСТЭК, ФСБ РФ и Мин-ва инф-х техн. и связи РФ от 13.02. 2008 г. N 55/86/20)

Электронные ресурсы

1.Официальный сайт ФСТЭК (Федеральной службы по техническому и экспортному контролю) [Электронный ресурс] : - Режим доступа : http://fstec.ru.

2.Центральная библиотека образовательных ресурсов [Электронный ресурс] : - Режим доступа : http://www.edulib.ru .

3.Официальный сайт федерального института промышленной собственности (Роспатент) [Электронный ресурс] : - Режим доступа : http://fips.ru.

4.Правовая справочная система «Гарант». [Электронный ресурс] :

- Режим доступа : 1. - http://www.garant.ru, 2- Ауд.94 ПК.(Платформа F1 Гарант).

32

Методические рекомендации по подготовке к занятиям

Цели занятия: контроль и углубление знаний, полученных на лекции и в рамках самостоятельной работы, формирование умений анализа нормативных правовых документов по вопросам защиты персональных данных, формирование навыков профессионального мышления.

Форма проведения: контроль выполнения СРС, развёрнутая беседа, задающие ситуации, обсуждение докладов, дискуссия. Доклады представляются при рассмотрении вопросов семинара.

При подготовке к семинару особое внимание обратить на:

1.Сферу действия и цели Федерального закона «О персональных данных».

2.Персональные данные как объект права и защиты.

2.Обязанности операторов

3.Субъекты обеспечения безопасности персональных данных.

4.Нормативные документы правительства.

Краткие теоретические сведения

Персональные данные как объект права и защиты.

Основные источники права института персональных данных:

1. Нормы Конституции РФ (ст.21, 23, 24, 51, 53)

2.Федеральный закон № 152-ФЗ от 27.07.2006 г. «О персональных данных»

3.Нормы Федеральных законов:

«Об информации, информационных технологиях и о защите информации»

«Об оперативно-розыскной деятельности» (ст. 3, 5, 6, 8, 9, 10, 12,

21)

«О частной детективной и охранной деятельности в РФ» (ст. 3, 7) Трудовой Кодекс РФ (Глава 14).

Кодекс Российской Федерации об административных правонарушениях (cт.13.11, 13.12);

Гражданский Кодекс РФ ( ст. 150, 151, 152, 1069, 1070) Уголовный Кодекс РФ (ст. 137, 155, 183)

4.Судебная практика

5.Международные договоры и соглашения:

Конвенции Совета Европы от 28.01.1981 г. ETS № 108 «О защите физических лиц при автоматизированной обработке персональных

33

данных» ратифицирована Федеральным законом от 19 декабря 2005 г. N 160-ФЗ;

Директивы Европейского парламента и Совета Европейского Союза:

от 24.10.1995 г. 95/46/ЕС «О защите прав частных лиц в отношении обработки персональных данных и о свободном движении таких данных»

от 15.12.1997 г. 97/66/ЕС «Об обработке персональных данных и защите конфиденциальности в телекоммуникационным секторе».

6. Подзаконные нормативные правовые акты:

1.Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Пост. Прав-ва РФ от 15.09 2008 г. N 687)

2.Положение об обеспечении безопасности ПД при их обработке

17.11.2007 г. N 781)

3.Порядок проведения классификации информационных систем

персональных данных (утв. Приказом ФСТЭК, ФСБ РФ и Мин-ва инф-х техн. и связи РФ от 13.02. 2008 г. N 55/86/20)

4.Положение о ведении реестра операторов, осуществляющих обработку персональных данных (утв. Приказ Фед. службы по надзору

всфере масс. комм-ций, связи и охраны культ-ного наследия от 28.03. 2008 г. N 154)

5.Нормативно-методические документы ФСБ и ФСТЭК.

Основу института персональных данных составляют правовые нормы Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных».

Сфера действия и цели Федерального закона «О персональных данных». Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

Федеральный закон «О персональных данных» регулирует отношения, связанные с обработкой персональных данных, осуществляемой государственными и муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств (если обработка соответствует характеру действий (операций), совершаемых с использованием средств автоматизации).

Действие этого закона не распространяется на отношения, возникающие при:

34

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд;

2 при формировании и использовании Архивного фонда Российской Федерации;

3) при формировании и использовании государственного реестра индивидуальных предпринимателей;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Цель закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Персональные данные как объект права.

Федеральный закон РФ от 27.07.06 №152-ФЗ «О персональных данных» приводит четыре вида персональных данных, относительно которых регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Специальные категории персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка специальных категорий персональных данных допускается только в отдельных случаях установленных законом.

Биометрические персональные данные. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Принципы и условия обработки персональных данных. Принципы обработки персональных данных. Обработка персо-

нальных данных должна осуществляться на основе принципов:

35

-законности целей и способов обработки персональных данных и добросовестности;

-соответствия целей обработки целям, заранее определенным и заявленным при их сборе, а также полномочиям оператора;

-соответствия объема и характера обрабатываемых персональ-

ных данных, способов их обработки целям обработки;

-достоверности, достаточности для целей обработки, недопус-

тимости обработки персональных данных, избыточных по отношению

кцелям, заявленным при их сборе;

-недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПДн.

-уничтожению по достижении целей обработки или в случае ут-

раты необходимости в их достижении.

Условия обработки персональных данных. Обработка персо-

нальных данных может осуществляться оператором с согласия субъектов персональных данных.

Случаи, когда согласие субъекта персональных данных, не требуется, установлены в законе. К ним относятся случаи, когда:

1) обработка персональных данных осуществляется:

-на основании федерального закона, устанавливающего ее цель и все условия, а также полномочия оператора;

-в целях исполнения договора с субъектом ПДн;

-для статистических или иных научных целей при условии обяза-

тельного обезличивания ПДн;

-в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПДн;

2)обработка ПДн необходима:

-для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

-для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

3) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

В случаях, предусмотренных Федеральным законом «О персональных данных», обработка персональных данных осуществляется

только с согласия в письменной форме субъекта персональных данных.

36

Обработка специальных категорий персональных данных и биометрических персональных данных имеет особенности, которые определены в законе.

Конфиденциальность персональных данных. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев:

1)в случае обезличивания персональных данных;

2)в отношении общедоступных персональных данных.

Субъекты правоотношений связанных с обработкой персо-

нальных данных их права и обязанности.

Субъекты правоотношений. Субъектами права в отношении персональных данных выступают:

а) субъекты персональных данных — лица, к которым относятся соответствующие данные, и их наследники;

б) операторы (держатели персональных данных) - государствен-

ный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

в) уполномоченный орган по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) – ведёт контроль и надзор за выполнением Федерального закона О персональных данных (ст.23), ведёт реестры операторов;

Права субъекта персональных данных включают:

1)право на доступ к своим ПД (право на получение сведений об операторе, о месте его нахождения, о наличии у оператора ПД, относящихся к соответствующему субъекту, а также на ознакомление с такими персональными данными, за исключением случаев связанных с осуществлением судопроизводства и розыска и обеспечения безопасности и охраны правопорядка.Доступ к своим персональным данным предоставляется субъекту или его законному представителю оператором при обращении либо при получении запроса от них)

2)права субъектов ПД при обработке их ПД в целях продвижения товаров, работ, услуг на рынке, а также в целях политической аги-

тации (обработка только при условии предварительного согласия субъекта персональных данных);

3)права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их пер-

сональных данных (Решение, порождающее юридические последствия

37

вотношении субъекта ПД в таких случаях при наличии согласия в письменной форме субъекта ПД или в случаях, предусмотренных федеральными законами)

-4) право на обжалование действий или бездействия оператора

(вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке, в т.ч. возмещение убытков и компенсацию морального вреда).

Обязанности операторов. Обязанности оператора включают:

1)Обязанности оператора при сборе персональных данных

(предоставить субъекту ПДн по его просьбе информацию, предусмотренную законом, разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн, если обязанность их предоставления установлена законом)

2)Обязанности по обеспечению безопасности персональных данных при их обработке (обязан принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий).

3)обязанности при обращении либо при получении запроса субъекта ПДн или его законного представителя, а также уполномоченного органа по защите прав субъектов ПДн (-сообщить субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к нему а также предоставить возможность ознакомления с ними – в течение 10 дней, -сообщить в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа - в течение 7 дней ).

4)обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

(-блокировать ПДн субъекта по его запросу в случае их недостоверности или неправомерности действий с ними на период проверки, уточнить ПДн и снять с них блокирование; в случае неправомерных действий в 3-х дневный срок устранить нарушение; - прекратить обработку

вслучае достижения цели обработки и уничтожить их в течение 3-х дней; - в случае отзыва субъектом согласия на обработку своих ПДн оператор обязан прекратить их обработку и уничтожить в течение 3-х дней;)

5)обязанности по уведомлению об обработке персональных данных уполномоченный орган по защите прав субъектов ПДн. (опе-

38

ратор до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять их обработку, за исключением случаев указанных в законе).

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1)относящихся к субъектам ПД, которых связывают с оператором трудовые отношения;

2)полученных оператором в связи с заключением договора, стороной которого является субъект ПДн, если ПДн не распространяются,

атакже не предоставляются третьим лицам без согласия субъекта ПДн и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн;

3)относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых ими для достижения законных целей без права распространения их, без согласия субъета в письменном виде;

4)являющихся общедоступными персональными данными;

5)включающих в себя только фамилии, имена и отчества субъектов ПДн;

6)необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7)включенных в ИСПДн, имеющие статус федеральных АИС, а также в государственные ИСПДн, созданные в целях защиты безопасности государства и общественного порядка;

8)обрабатываемых без использования средств автоматизации.

Уведомление должно содержать следующие сведения:

1)наименование (фамилия, имя, отчество), адрес оператора;

2)цель обработки ПДн;

3)категории ПДн;

4)категории субъектов, ПДн которых обрабатываются;

5)правовое основание обработки;

6)перечень действий с ПДн, общее описание используемых оператором способов их обработки;

7)описание мер, которые оператор обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке;

8)дата начала обработки;

9)срок или условие прекращения обработки ПДн.

Контроль и надзор за обработкой персональных данных. Кон-

троль и надзор за обработкой персональных данных осуществляет

39

Уполномоченный орган по защите прав субъектов персональных дан-

ны. Уполномоченным органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Непосредственно функции по контролю и надзору выполняет «Роскомнадзор».

Роскомнадзор осуществляет:

1)Ведение реестра операторов, осуществляющих обработку пер-

сональных данных (в соответствии с административным регламентом утвержденный приказом Минкомсвязи России от 30 января 2010 г. N 18);

2)проведения проверок за соответствием обработки персональных данных требованиям законодательства РФ в области персональ-

ных данных ( в соответствии с административным регламентом, утвержденном приказом Роскомнадзора от 1 декабря 2009 г. N 630);

3)рассмотрение обращений субъекта ПДн о соответствии содержания персональных данных и способов их обработки целям их обработки и принятие соответствующих решений.

Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1)запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий;

2)осуществлять проверку сведений, содержащихся в уведомлении об обработкеПДн;

3)требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПДн;

4)принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований закона;

5)обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде;

6)направлять заявление в орган, осуществляющий лицензирование деятельности оператора, если условием лицензии на осуществление такой деятельности является запрет на передачу ПДн третьим лицам без согласия в письменной форме субъекта ПДн о приостановлении лицензии;

7)направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8)вносить в Правительство РФ предложения о совершенствовании нормативного правового регулирования защиты прав субъектов ПДн;

40