Практические вопросы обеспечения конфиденциальности персональных данных

Текст Закона о персональных данных выявляет и вопросы, которые предстоит разрешать в процессе реализации правового режима конфиденциальности персональных данных.

Первый вопрос касается субъектов отношений, связанных со всем комплексом деятельности, охваченной понятием "обработка". Совершенно очевидно, что реализация этих действий осуществляется разными субъектами, имеющими различный правовой статус и набор прав и обязанностей.

В тексте данного Закона все разнообразие субъектов представлено термином "оператор". Под оператором законодатель понимает "государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (п. 2 ст. 3).

Положение о разделении операторов на "организующих" и "осуществляющих" обработку этой информации не находит развития в Законе. Но в связи с этим возникают вопросы, когда речь идет о конкретных действиях по реализации и защите прав субъектов персональных данных.

Немаловажен вопрос и о том, кто и в какой степени использует персональные данные, собранные и находящиеся в информационных системах, которые создают государственные и муниципальные органы (ст. 13). Представляется целесообразным выделить, по крайней мере, два уровня операторов. К первому отнесем органы государственной власти, местного самоуправления и других организаций, которые определяют цели сбора и направления работы с информацией о субъектах персональных данных и создают автоматизированные информационные системы персональных данных (далее – АИС ПД) – операторы первого уровня.

Поскольку обработка информации в полном наборе операций предполагается в автоматизированном режиме на базе информационных технологий, то АИС ПД могут быть как подразделениями операторов первого уровня, так и специализированными организациями (государственные унитарные предприятия (ГУП) или частные организации), которым в порядке аутсорсинга передаются функции по обработке персональных данных. Это операторы, условно, второго уровня.

Неизбежно возникнут вопросы: кто из них реализует постановку целей обработки, критерии систематизации информации, определяет источники информации, круг обслуживаемых субъектов персональных данных? Главное – в каком режиме осуществляется обработка персональных данных и кто устанавливает этот режим относительно конкретного набора персональных данных при осуществлении обработки. Например, сведения об избирателях, участниках референдума формирует и уточняет глава местной администрации муниципального района, городского округа внутригородской территории города федерального значения, а в случаях, предусмотренных законом субъекта РФ города федерального значения, – руководитель территориального органа исполнительной власти города федерального значения. В п. 7.1 ст. 17 Федерального закона от 12.06.2002 № 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации" установлено: "Лица, представляющие сведения об избирателях, участниках референдума, несут ответственность за достоверность и полноту этих сведений, а также за своевременность их представления". Кто эти лица? Ответ находим в норме, в которой говорится о том, что список составляется по факту проживания гражданина на определенной территории, а сведения об этом представляются "органами, осуществляющими регистрацию граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации" (п. 2 ст. 16). Эта информация представляется главе местной администрации или руководителю территориального органа исполнительной власти органами Федеральной миграционной службы.

Далее на основе сведений, поступивших из соответствующего органа исполнительной власти или органа местного самоуправления, избирательными комиссиями составляются списки по участкам. Проблема согласия или инициативы избирателя при этом не оговаривается, так как процедура определена федеральным законом без обязательного согласия гражданина. Избиратель или участник референдума может проверить свои данные в списках избирателей, внести исправления при необходимости и при соблюдении установленных сроков, получить сведения о себе, в том числе и на машиночитаемых носителях, а также имеет право знать, кто и в каких целях использует или использовал эту информацию и кому она принадлежит. Список избирателей, участников референдума составляется соответствующей комиссией, в том числе с использованием Государственной автоматизированной системы РФ "Выборы" (ГАС "Выборы"), отдельно по каждому избирательному участку, участку референдума на основании сведений, представляемых по установленной форме. Операторами в данном случае выступают и органы исполнительной власти, составляющие список избирателей, и органы регистрации (учета). Заметим, что в данном случае речь должна идти о регистрации (учете) населения, а не избирателей. Избирательные комиссии на основе полученных сведений от соответствующих органов формируют списки избирателей по избирательным участкам. Причиной неясности в данном случае является отсутствие обозначения конкретных функций или порядка их разграничения, сферы ответственности между тремя видами операторов.

Встает вопрос и о том, какие органы исполнительной власти и органы местного самоуправления имеют право использовать списки избирателей в своих целях. Некоторая деликатность при этом возникает относительно определения того, какой вариант списка избирателей хотят получить от ЦИК или избирательной комиссии более низкого уровня: тот, который составлен избирательной комиссией до голосования, или тот, который заполняется окончательно в процессе представления избирателем документов для голосования. Этот вариант включает паспортные данные, которые не являются открытой информацией, и подпись избирателя, которая в настоящее время не включена в состав персональных данных.

Некоторые сложности могут возникнуть в связи с тем, что в Законе о персональных данных не упоминается о такой категории субъектов, как пользователь.

Органы государственной власти, органы местного самоуправления, юридические лица, выступая организаторами обработки персональных данных, одновременно являются и пользователями получаемого продукта в результате обработки. Пользователями могут быть и иные субъекты, правовой статус которых в данном случае имеет значение. Права и обязанности пользователя базами данных системы ГАС "Выборы" должны быть определены с учетом реализации задач и целей как государства, так и всего общества, а главное – обеспечения нрав и интересов граждан – субъектов персональных данных. Ответственные субъекты за эту фазу работы с персональными данными должны быть обозначены, так как важен вопрос о полномочиях по использованию персональных данных.

Сбор, систематизацию (по целям), накопление, хранение, уточнение, блокирование могут осуществлять организации АИС ПД по договору с государственными органами, органами местного самоуправления, а также другие субъекты в соответствии с их положениями или уставами. Однако об этом в тексте Закона ничего не сказано. Для практики нужен ответ на вопрос, в каких пределах обработчик информации использует и распространяет в данном случае персональные данные? Работники АИС ПД сами использовать указанные персональные данные не имеют права, кроме как в процессе обработки. Распространять (передавать) эту информацию они могут только в системе оператора-заказчика или администрации органа. Другие формы распространения персональных данных должны быть строго определены нормативно.

В новой редакции Закона о персональных данных достаточно ясно перечислены случаи, когда согласие индивида на обработку его данных не требуется (п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11). Это касается, в частности, обработки: 1) в соответствии с федеральным законом, а также в связи с реализацией международных договоров РФ о реадмиссии; 2) по договору с субъектом персональных данных; 3) данных для статистики при обезличивании персональных данных; 4) для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если он не в состоянии выразить свое согласие; 5) в целях деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

6) персональных данных, подлежащих опубликованию в соответствии с федеральными законами. Однако остается вопрос: кто и в какой степени может контролировать точность исполнения закона журналистами и иными пользователями персональных данных?

Обезличивание персональных данных – тоже вопрос непростой. Эта операция осуществляется по установленному порядку и при наличии соответствующих распорядительных документов компетентного органа.

Обращаем внимание на комплекс вопросов, касающихся субъектов обработки персональных данных, их правового статуса потому, что вопрос об ответственности каждого из обозначенных видов субъектов потребует детализации и принятия дополнительных нормативных правовых актов, разработки подзаконных актов для определения сферы ответственности каждого вида субъектов, порядка разграничения функций между ними.