Закон о тайне персональных данных

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.

Ответственность за нарушение правил работы с персональными данными

Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. Перечислим за что могут оштрафовать медицинскую организацию.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 3000 рублей;
– на должностных лиц – от 5000 до 10 000 рублей;
– на юридических лиц – от 30 000 до 50 000 рублей.

Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:
– наложение административного штрафа на граждан в размере от 3000 до 5000 рублей;
– на должностных лиц – от 10 000 до 20 000 рублей;
– на юридических лиц – от 15 000 до 75 000 рублей.

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 6000 рублей;
– на юридических лиц – от 20 000 до 40 000 рублей.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 45 000 рублей.

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
– на граждан в размере от 700 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 50 000 рублей.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.

Уголовная ответственность предусмотрена за следующие правонарушения.

Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):
– штраф в размере от 100 000 до 300 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет;
– принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
– арест на срок до шести месяцев;
– лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).

За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):
– штраф до 200 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:
– штраф до 200 000 рублей;
– исправительные работы на срок до одного года;
– ограничение свободы на срок до двух лет;
– принудительные работы на срок до двух лет;
– лишение свободы на тот же срок.

Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков).

Также читайте:

Свежие новости цифровой экономики на нашем канале в Телеграм

www.garantexpress.ru

О защите персональных данных

«Кадровик. Трудовое право для кадровика», 2007, N 1

О защите персональных данных

Нужно ли защищать информацию о конкретном человеке, которая позволяет его идентифицировать? Для большинства людей этот вопрос уже решен. Законодательства многих стран, прежде всего, их конституции, содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, privecy, запрет на сбор информации о человеке без его согласия.

Жизнь человека в информационном мире неизбежно делает его более прозрачным для государства и общества, поэтому желание сохранить «информационную приватность» становится все более ощутимым. Собственно говоря, именно развитие информационно-телекоммуникационных технологий, внедрение их во все сферы жизни общества и государства, перевод многочисленных картотек в цифровую форму побудили людей задуматься о защите этой весьма чувствительной информации. Новые технологии, с одной стороны, существенно упростили сбор, обработку, хранение, передачу данных, а с другой — создали очевидные угрозы их незаконного оборота, что ведет к нарушениям прав личности.

Нужно ли особым образом защищать персональные данные, если и без этого существуют режимы личной, семейной, профессиональной, государственной, коммерческой, служебной тайн?

Вопрос не простой и российское законодательство отвечает на него противоречиво.

Федеральный закон «Об информации, информатизации и защите информации» (п. 1 ст. 11) отнес персональные данные к категории конфиденциальной информации. Ее структура установлена Указом Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера» и персональные данные есть в этом Перечне. Позиция, по нашему мнению, спорная.

Во-первых, далеко не все персональные данные являются конфиденциальными. Многочисленные энциклопедии персоналий, профессиональные персональные справочники, адресные книги — это все персональные данные, которые обнародуются по согласию субъекта.

Во-вторых, персональные данные могут охраняться и охраняются в настоящее время различными режимами ограниченного доступа (Закон РФ «О государственной тайне», Федеральный закон «О коммерческой тайне»). Например, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг (врачебная тайна, нотариальная, адвокатская, банковская, тайна усыновления и т.п.). В режиме личной тайны — сведения об особенностях личности, ее пристрастиях, привычках, интересах. В режиме семейной тайны — сведения о взаимоотношениях членов семьи, в том числе родственных.

Таким образом, персональные данные — это вид сведений, непосредственно связанных с личностью, а не режим конфиденциальности этих сведений.

Очевидно, что человек как социальный элемент, находящийся постоянно в отношениях с другими людьми, организациями, органами власти, не может не сообщать о себе персональные данные, оставаясь инкогнито в этих отношениях. В каких-то ситуациях он сам определяет, какие персональные данные ему сообщить, а в каких-то (чаще всего, в отношениях с государством) он вынужден сообщать требуемые персональные данные для того, чтобы взамен государство обеспечило его правами, предоставило услуги.

Законодательное регулирование сбора и использования персональных данных обусловлено защитой неприкосновенности частной жизни как базового конституционного принципа, однако особый механизм правового регулирования сбора, использования, распространения персональных данных возник, как указывалось выше, в связи с повсеместным созданием в органах власти и организациях автоматизированных баз персональных данных.

Первоначально к проблеме защиты персональных данных на международном уровне обратилась Организация по экономическому сотрудничеству и развитию (ОЭСР), принявшая в 1980 г. Основные положения о защите неприкосновенности частной жизни и международных обменов персональными данными, в которых были зафиксированы основные принципы работы с персональными данными. Эти принципы получили развитие и конкретизацию в Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (1981 г.), которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского союза и Парламента от 24 октября 1995 г. N 95/46/ЕС о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве от 15.12.1997 N 97/66/ЕС по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. В 2001 г. Советом Европы был принят Дополнительный протокол к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, определяющий статус наблюдательного органа, обеспечивающего защиту прав и фундаментальных свобод человека в отношении его персональных данных.

В развитых индустриальных странах (США, страны ЕС) за последние двадцать лет было разработано законодательство по вопросам защиты персональных данных — приняты национальные нормативные специализированные акты, причем некоторые из них доработаны и изменены в связи с развитием телекоммуникаций.

Подходы различных стран к законодательному регулированию работы с персональными данными имеют некоторую национальную специфику, однако можно выделить ряд общих моментов, что связано, по-видимому, с процессом гармонизации европейского законодательства в рамках Евросоюза.

Во-первых, создается национальное законодательство (включая подзаконные акты), позволяющее регулировать отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных. Причем чаще всего это законодательство создается как самостоятельное наряду с общим законодательством о защите права на неприкосновенность частной жизни и обеспечивает:

— защиту персональных данных лиц от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий;

— обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям;

— обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий субъектов персональных данных;

— обеспечение контроля за использованием персональных данных со стороны самого субъекта.

Во-вторых, создается специальная институциональная структура, обеспечивающая эффективный надзор за соблюдением прав субъекта персональных данных (например, институты Уполномоченных по защите персональных данных). Четверть века функционирует этот институт в странах Европы, доказав свою эффективность и гарантируя право доступа субъекта к информации о себе и контроль за надлежащим использованием баз, содержащих персональные данные. В ряде стран служба Уполномоченных несет достаточно большую нагрузку, регистрируя и рассматривая в год свыше 10 тыс. заявлений граждан.

Институт Уполномоченных по защите персональных данных основывается на принципах института омбудсмена и представляет собой развитую самостоятельную независимую структуру, дополняющую традиционные институты государственной власти. Создание независимого института, по-видимому, связано с необходимостью контроля деятельности различных ветвей государственной власти и создания более доступного для субъектов персональных данных и оперативно действующего механизма защиты их прав.

Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, однако, очевидно, что равноправным членом Европейского сообщества Россия сможет стать, только приняв общие правила игры, т.е. сформированную Сообществом систему ценностей.

Российское законодательство, признав нормы международного права, откликнулось на директивы ЕС Федеральным законом «Об информации, информатизации и защите информации», ст. 11 которого посвящена информации о гражданах и создает правовую базу для защиты таких данных, незаконное использование которых нарушает права человека. Персональные данные определены в данном Законе как сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (ст. 2).

Европейский союз связывает правовую защиту персональных данных именно с их автоматизированной обработкой вероятно потому, что европейские страны уже имели законы, ориентированные на работу с персональными данными в «докомпьютерную эру». Упомянутый выше Федеральный закон не учитывает особенности автоматической обработки персональных данных. Кроме того, он регулирует (п. 2 ст. 11) использование персональных данных только граждан России, хотя на территории России находятся граждане других государств и люди без гражданства, которых также нельзя ущемлять в личных правах. В конечном итоге, защита персональных данных — это защита не информации, а персоналий.

Федеральный закон «Об информации, информатизации и защите информации» заложил некоторую основу для реализации соответствующих положений Конституции РФ и норм международного права, но механизма защиты он не создал.

Эту задачу призван был решить проект федерального закона «Об информации персонального характера», который был внесен в Государственную Думу в апреле 1998 г. группой депутатов. В течение 2,5 лет он не представлялся на обсуждение Государственной Думы. В условиях частой смены состава правительства и перманентной избирательной кампании такой закон, по-видимому, был нежелателен для многих. С другой стороны, положения проекта, касающиеся создания независимого контролирующего органа в области защиты прав субъектов персональных данных, оказались неразрешимой юридической проблемой. Такой орган не был предусмотрен Конституцией РФ, дополнение полномочий Уполномоченного по правам человека в Российской Федерации требовало изменения Федерального конституционного закона. К тому же аппарат Уполномоченного только стал осваивать установленные законом полномочия и к расширению их не стремился.

В этих условиях другая группа депутатов внесла в Государственную Думу в октябре 2000 г. новый вариант проекта федерального закона «Об информации персонального характера». Принципиальное концептуальное отличие данного варианта законопроекта состояло в том, что он не предусматривал создание независимого института Уполномоченного по правам персональных данных, а шел по пути наделения Правительством РФ одного из органов исполнительной власти соответствующими функциями. При этом не были предусмотрены затраты госбюджета на функционирование уполномоченного органа исполнительной власти. Неясно было, какой уполномоченный орган имеется в виду, ведь практически все органы собирают и ведут массивы, включающие персональные данные, поэтому уполномоченный орган будет вынужден контролировать сам себя. Наконец, не просматривались признаки независимости уполномоченного органа исполнительной власти по защите прав субъекта персональных данных.

Оба законопроекта так и не дошли даже до первого чтения, были отозваны субъектами права законодательной инициативы. А проблема не только не утратила свою актуальность, но стала еще более насущна в связи с широкой розничной продажей баз данных, собираемых, прежде всего, органами исполнительной власти и содержащих информацию персонального характера.

Возможно, беспрецедентные масштабы нарушений прав человека и гражданина побудили руководство страны принять политическое решение о ратификации Европейской конвенции «О защите физических лиц при автоматизированной обработке персональных данных». В соответствии с ее положениями страна в случае ратификации должна создать адекватное национальное законодательство, реализующее принципы этого международного акта.

Государственная Дума приняла решение о ратификации Конвенции 25 ноября 2005 г. На этом же заседании был принят в первом чтении проект федерального закона «О персональных данных», подготовленный Правительством РФ, вступающий в силу в январе 2007 г. (Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» принят Государственной Думой 8 июля 2006 г., одобрен Советом Федерации 14 июля 2006 г.).

В целом Закон близок к положениям Конвенции, правда, за одним исключением. Он так же, как упомянутый выше законопроект, наделяет Правительство РФ правом определить орган власти, уполномоченный в области защиты прав субъектов персональных данных. Поскольку Правительству РФ подчинены только федеральные органы исполнительной власти, то, очевидно, выбираться уполномоченный орган будет из их числа. Так же, как 5 лет назад, Правительство РФ не предусматривает расходы федерального бюджета на функционирование данного органа. Также не понятно, какого рода орган может получить соответствующие полномочия (сейчас это — федеральные министерства, федеральные службы и федеральные агентства), учитывая распределение общих полномочий между ними в рамках проводимой административной реформы. Вопрос о независимости подобного уполномоченного органа звучит риторически.

Наряду с этой проблемой, Закон содержит еще ряд новаций по отношению к положениям Конвенции, которые вызвали критику в Государственной Думе. В частности, это положения ст. 24, предусматривающей создание Государственного регистра населения Российской Федерации. По мнению Комитета Государственной Думы по безопасности принципы и порядок создания и использования такой глобальной базы персональных данных должны регулироваться отдельным федеральным законом.

Правительство РФ планировало разработку подобного закона в целях повышения уровня социальной защиты населения и усиления ее адресности, а также для введения единого персонифицированного учета социального страхования граждан (Распоряжение Правительства РФ от 14.04.1999 N 583-р). Определенная проектом цель создания государственного регистра населения существенно шире — для обеспечения непротиворечивости содержащихся в информационных системах персональных данных. Распоряжением Правительства РФ от 9 июня 2005 г. N 748-р была утверждена Концепция создания системы персонального учета населения Российской Федерации. Согласно Концепции, система персонального учета населения Российской Федерации — это система взаимодействия органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций по обмену персональными данными о гражданах Российской Федерации, иностранных гражданах или лицах без гражданства, временно пребывающих и временно или постоянно проживающих в Российской Федерации, на основе современных информационных технологий в рамках обеспечения конституционных прав граждан, а также предоставления услуг населению в соответствии с законодательством Российской Федерации. Правительство РФ планирует обеспечить единый порядок сбора и использования персональных данных, а также создать систему персонального учета на основе интеграции автоматизированных систем учета в рамках единого информационного пространства. Эта цель, по мнению Правительства РФ, позволит решить следующие проблемы:

— неполный охват населения любой из существующих автоматизированных систем учета;

— низкий уровень автоматизации органов государственной власти, органов местного самоуправления, государственных и муниципальных организаций, осуществляющих сбор и хранение персональных данных;

— недоступность персональных данных, размещаемых в отдельных автоматизированных системах учета, для заинтересованных органов государственной власти на межведомственном уровне и, как следствие, дублирование бюджетных расходов по сбору уже имеющихся в других ведомствах и организациях персональных данных; невозможность сопоставления и анализа персональных данных из различных автоматизированных систем учета для получения полной, достоверной и актуальной информации о населении;

— сложность обеспечения оперативного обмена персональными данными между отдельными автоматизированными системами учета, имеющими различную структуру хранения персональных данных;

— отсутствие единого механизма однозначного установления соответствия персональных данных, размещаемых в различных автоматизированных системах учета, конкретному физическому лицу в любой момент времени.

В связи с этим документом, необходимо напомнить, что ратифицированная Конвенция устанавливает принципы автоматизированной обработки персональных данных, в том числе принцип сбора данных для определенных и законных целей и запрет на их использование иным образом, несовместимым с этими целями (п. «b» ст. 5). Этот принцип в ряде национальных законов европейских стран реализован в виде прямого запрета на объединение баз данных, собранных для разных целей.

«Интеграция автоматизированных систем учета в рамках единого информационного пространства» может создать угрозу нарушения фундаментальных прав и свобод физических лиц, в том числе права на неприкосновенность частной жизни, что противоречит букве и духу Конвенции.

Серьезные возражения представителей ряда конфессий встретило положение (тогда еще проекта) Закона, касающееся идентификаторов персональных данных (ст. 23). Здесь хотелось бы отделить эмоциональные возражения по поводу введения цифрового обозначения человека как оскорбляющего религиозные чувства верующего от опасений, что с помощью таких идентификаторов данные об отдельном человеке, содержащиеся в различных базах, могут быть легко аккумулированы и это сделает его прозрачным перед государством и обществом .

Из законопроекта ушли две статьи — о «сквозном идентификаторе персональных данных» и регистре населения Российской Федерации. Таким образом, в ближайшее время россиянам не грозит присвоение индивидуального кода, а регистр населения, если и будет создан, то в рамках отдельного специального закона.

Важно понимать и разъяснять верующим назначение идентификаторов, их вспомогательную роль в современной технологии обработки больших массивов однородной информации. Ведь различными идентификаторами являются номер членского билета в библиотеке, номер медицинской карточки в поликлинике, любое удостоверение личности содержит уникальный учетный номер, даже любой проездной билет. Отказаться от использования таких идентификаторов общество не может: это не просто нетехнологично, возврат к неавтоматизированной обработке данных затруднит их обработку, анализ, контроль и, в конечном счете, создаст большие трудности при предоставлении соответствующих услуг населению.

Вместе с тем любой общий для граждан России идентификатор должен вводиться только федеральным законом с указанием целей и механизмов его использования, обязанностей по обеспечению его конфиденциальности, наряду с другими персональными данными, ответственности за нарушение прав субъекта персональных данных. Таких глобальных идентификаторов на федеральном уровне пока два: идентификационный номер налогоплательщика (Налоговый кодекс РФ (часть вторая) и страховой номер индивидуального лицевого счета в системе пенсионного страхования (Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»). Собственно, Закон «О персональных данных» призван создать механизм защиты прав субъекта персональных данных, включая и идентификаторы.

С позиций оценки эффективности механизмов защиты, предлагаемых законопроектом, необходимо признать, что он не учитывает в должной мере практику законодательного регулирования обращения персональных данных, основанную на реализации Директив ЕС (1995 и 2002 гг.), закрепляющих и усиливающих принципы, содержащиеся как в Конвенции, так и в Дополнительном протоколе к Конвенции.

Важнейшее для Закона понятие «обработка персональных данных» не включает такие операции, как сбор персональных данных и их распространение (п. 2 ч. 1 ст. 1), в то время как Конвенция использует понятие «автоматизированная обработка» (п. «с» ст. 2), которое включает, наряду с другими, поиск или распространение персональных данных. Таким образом, сфера действия Федерального закона ограничена сбором и обработкой персональных данных (ч. 3 ст. 3), т.е. не включает их распространение, хотя чаще всего права субъектов нарушаются в процессе незаконного сбора данных и незаконного их распространения. Термин «распространение» определен в ст. 1, но больше в проекте, практически не используется, следовательно, проект не устанавливает требования к операторам информационных систем персональных данных в части распространения этих данных. Из этого следует, что принципы обработки персональных данных распространяются не на все действия с персональными данными (законопроект определяет только принципы и условия сбора и обработки персональных данных).

Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» направлен на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также международных обязательств Российской Федерации по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Федеральным законом N 152 «О персональных данных» устанавливаются общие унифицированные требования к обработке персональных данных во всех сферах, где используются эти данные, определяются права субъектов персональных данных и обязанности операторов, осуществляющих обработку данных, принципы трансграничной передачи персональных данных, а также меры государственного контроля за деятельностью государственных и муниципальных органов, юридических и физических лиц, связанной с их обработкой.

Федеральным законом допускаются различные способы учета персональных данных в государственных и муниципальных информационных системах, в том числе различные способы обозначения принадлежности персональных данных конкретному лицу. Однако при этом устанавливается запрет на ограничение прав и свобод граждан по мотивам, связанным со способами учета и обозначения принадлежности персональных данных, включая запрет на использование таких способов обозначения, которые оскорбляли бы чувства граждан или унижали человеческое достоинство.

В государственных и муниципальных информационных системах предусматривается возможность создания государственного регистра населения, правовой статус и порядок работы с которым устанавливаются федеральным законом.

Обеспечение контроля и надзора за соответствием обработки персональных данных возлагается на уполномоченный орган по защите прав субъектов персональных данных, которым является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

Ранее созданные информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона не позднее 1 января 2010 г. Федеральный закон вступает в силу по истечении 180 дней после дня его официального опубликования. Текст Федерального закона опубликован в «Российской газете» от 29 июля 2006 г. N 165.

С появлением таких законов многие государственные органы начинают работать с опережением. Усиливаются проверки документов любым частным охранником при входе в офис, используются «детекторы лжи» при оформлении на работу, требуется заполнение очень подробных анкет — все это непосредственно затрагивает персональные данные любого гражданина. А вот результатов — пойманных террористов, задержанных мошенников, преступников — пока мало. В то же время ущерба, причиненного той или иной личности и нарушений прав человека, хоть отбавляй.

www.hr-portal.ru

Популярное:

  • Судебная практика по искам в уголовном деле Судебная практика о защите чести, достоинства и деловой репутации Опубликовал: Eduard в Судебная практика 24.10.2017 0 112 Просмотров Подборка судебных решений за 2016 год [1] Утверждения о фактах и оценочные суждения С уд, […]
  • 152 приказ защита персональных данных Образец приказа о назначении ответственного за обработку персональных данных Что относят к персональным данным Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – […]
  • Минтранс Приказ 152 Приказ Минтранса РФ от 18 сентября 2008 г. N 152 "Об утверждении обязательных реквизитов и порядка заполнения путевых листов" (с изменениями и дополнениями) Приказ Минтранса РФ от 18 сентября 2008 г. N 152"Об утверждении […]
  • Претензия по гк рф Претензия продавцу Достаточно часто претензия продавцу составляется неверно. И связано это с тем, что в качестве основы используется претензия потребителя. А ведь договоры с участием потребителя регламентируются специальным […]
  • Ст 9 федерального закона от 27072006 152-фз о персональных данных Закон "О персональных данных" Федеральный закон от 27 июля 2006 г. N 152-ФЗ"О персональных данных" С изменениями и дополнениями от: 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля […]
  • 27 сентября 2018 приказ министра обороны Приказ Министра обороны РФ от 5 апреля 2018 г. № 176 Настоящий Порядок проведения проверок состояния обеспечения экологической безопасности в Вооруженных Силах Российской Федерации применяется должностными лицами при проведении […]
  • Закон самарской области 4 гд Закон самарской области 4 гд ЗАКОН САМАРСКОЙ ОБЛАСТИ от 7 июля 2005 года N 152-ГД Об отдельных мерах по социальной поддержке детей-сирот, детей, оставшихся без попечения родителей и лиц из числа детей-сирот и детей, оставшихся […]
  • Реквизиты судов иваново Арбитражный суд Ивановской области Отделение Иваново г. Иваново Получатель УФK по Ивановской области (ИФНС России по г. Иваново) Расчетный счет Реквизиты для уплаты на депозитный счет Счет не предназначен для уплаты […]