Как хранить персональные данные?

Еще одна группа вопросов связана с процедурами хра­нения и уничтожения персональных данных. Существуют сроки хранения, установленные Федеральным законом «Об архивном деле в Российской Федерации», независи­мо от носителя. Они касаются и электронных документов, содержащих персональные данные. Как известно, относи­тельно определенной части персональных данных, учиты­ваемых, например, в системах кадров, эти сроки достаточно большие — 75 лет. Но в ст. 21 Закона о персональных дан­ных говорится о трех вариантах уничтожения персональ­ных данных безотносительно к их категории и признакам. Вариант, представленный в ч. 4 этой статьи, предусматри­вает, что персональные данные уничтожаются в случаях достижения цели обработки персональных данных. Представляется, что цель обработки в зависимости от комплекса реализуемых операций оператором второго уровня состо­ит в создании определенного информационного результа­та (продукта), который используется заказчиком. В связи с этим незамедлительное уничтожение персональных дан­ных после достижения цели вызывает вопросы, которые требуют уяснения. Прежде всего необходима дифференци­ация форм результатов обработки и их адресность, режим использования. По этому поводу специалисты высказыва­лись еще в период обсуждения проекта закона. Однако они не привлекли должного внимания. Оговорка «если иное не предусмотрено федеральными законами» не решает дела. Не многие действующие законы обращают внима­ние на обработку персональных данных (кроме Трудового кодекса РФ, НК РФ и Федерального закона от 30.12.2004 № 218-ФЗ «О кредитных историях»).

При постановке вопроса об обработке персональных данных в режиме управленческого и делового обращения таких сведений речь идет об их временном хранении у того субъекта, который в соответствии с его компетенцией со­бирает, учитывает, хранит и использует эту информацию. Известно, что в архивной практике процедура уничтоже­ния информации, тем более связанной с персональными данными, регулируется особым режимом. А поскольку в соответствии с Федеральным законом «Об архивном деле в Российской Федерации» правила хранения распространя­ются и на электронные документы, то с ними приходится считаться и на этапе оперативной работы как с объектами временного хранения. Простая отмашка от архивного за­конодательства не решает эти вопросы до конца. Уничто­жение персональных данных в указанных случаях должно быть согласовано с архивным законодательством, по край­ней мере, в части управленческой документации.

Например, в законе «О персональных данных» Венгер­ской Республики1 указано, что «положение об обязатель­ном уничтожении данных, за исключением случаев их неза­конного использования, не применяется к персональным данным, сведения о носителе которых подлежат архивному хранению в соответствии с законодательством об охране архивных материалов». В соответствующем законе Испа­нии в разделе о картотеках государственных лиц содержит­ся норма, в соответствии с которой «в распоряжениях, при­нимаемых для уничтожения картотек, должно быть указано предназначение этих картотек и должны быть предусмотре­ны меры по их уничтожению». В других случаях говорится не об уничтожении, а об «изъятии» персональных данных2. Между тем подобных норм в российском законе не преду­смотрено. Поэтому не ясно, кто принимает решение и в ка­кой форме, с каким обоснованием. Если по решению субъ­екта персональных данных, то целесообразно прекратить обработку данных, можно даже изъять их из базы данных, но история работы с такими данными должна в любом слу­чае сохраняться в архиве автоматизированной информа­ционной системы определенного субъекта, к компетенции которого относится работа с персональными данными.

Согласно п. 3 ч. 3 ст. 23 Закона о персональных дан­ных, уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Даже эта, более точная, формулировка не разъясняет, какие могут быть последствия после уничтожения.

Есть и еще один вопрос, связанный с субъектами, дей­ствующими в зоне работы с персональными данными. В ч. 1 ст. 23 Закона о персональных данных определено, что уполномоченным органом по защите прав субъектов персональных данных является федеральный орган испол­нительной власти, осуществляющий функции по контро­лю и надзору в сфере информационных технологий и связи. Однако прерогатива создания такого органа принадлежит по Конституции Государственной Думе. Уполномоченный но правам человека — это особый институт. Уполномочен­ным органом по защите прав субъектов персональных дан­ных вряд ли может быть орган исполнительной власти от­раслевого направления.

Для практического применения Закона о персональных данных важен вопрос о государственном регистре населе­ния. Ни один национальный проект, ни одна реформа, да и любая отраслевая и функционально определенная задача в деятельности государства не мо!ут быть реализованы без учета численности, состава и состояния необходимых пара­метров населения Закон о персональных данных преду­смотрел возможность создания государственного регистра населения. Но это должен быть другой, самостоятельный федеральный закон. Указанная же норма Закона сформи­рована без учета того, что государственные регистры насе­ления (ГРН) уже созданы и используются многими субъ­ектами РФ.

При применении Закона о персональных данных необ­ходимо уделить внимание правовой основе реализации всех направлений обработки и работы с персональными дан­ными. В определении термина «обработка», о чем мы уже говорили, перечислены девять видов работ — действий (операций) с персональными данными разных операторов. Но в тексте гл. 4 «Обязанности оператора» речь идет только о сборе, обеспечении безопасности, об устранении наруше­ний законодательства, допущенных при обработке, а также об уточнении, блокировании и уничтожении персональных данных, о сообщении об обработке и праве обрабатывать персональные данные без уведомления уполномоченного органа по защите прав субъектов персональных данных. И это все правильно. Однако такие формы работы (опера­ции), как систематизация, распространение, использование, в том числе и передача через глобальные сети, остались за пределами внимания законодателя. И это при том, что рынок наполнен базами персональных данных самых раз­личных органов и систем.

В рассматриваемом Законе содержится специальная статья о трансграничной передаче персональных данных. Такая передача может осуществляться по желанию самого субъекта персональных данных и в силу закона. Существует много международных договоров об обмене информацией, в том числе и персональными данными в условиях борьбы с преступностью, террористической и прочей опасной для общества деятельностью. На первом плане при этом — обе­спечение безопасности таких данных. И в ст. 12 Закона о персональных данных говорится об этом. Степень защиты у принимающей персональные данные стороны не может быть ниже, чем у передающей.

В связи с трансграничной передачей персональных дан­ных актуален вопрос о признании электронной цифровой подписи в разных информационных и правовых системах. Но если к персональным данным относятся сведения лич­ного характера по определенным вопросам, биометрические персональные данные, то вопрос о личной, аналоговой, элек­тронной цифровой подписи не включается в систему персо­нальных данных. Возможно, это тема для обсуждения?

Несмотря на множество вопросов, которые возникают относительно принятого Закона о персональных данных и, несомненно, еще возникнут в практике его применения, следует в целом позитивно оценить сам факт появления такого Закона. Значимость любого закона определяется не только тем, что он регулирует определенный комплекс вопросов, волнующих общество, но и в том, что он про­буждает устремление науки и практики к размышлениям о дальнейших путях совершенствования правовой основы тех или иных отношений в обществе.

Контрольные вопросы

1. Дайте понятие правового режима ограничения свободы доступа к информации.

2. Что вы знаете о категориях информационных ресурсов ограни­ченного доступа?

3. Каковы цели и основания ограничения свободы доступа к ин­формации?

4. Почему и как охраняется конфиденциальность коммерческой тайны?

5. Какая информация не подлежит ограничению по доступу и по­чему?

6. Что вам известно о персональных данных как особой категории конфиденциальной информации?

7. Как в Законе о персональных данных определена их обработ­ка?

8. В каких случаях не требуется согласие субъекта персональных данных на обработку его данных?

Литература

1. Антопольский, А. А. Коммерческая тайна: нормы закона и реальные правоотношения / А. А. Антопольский //Те­оретические проблемы информационного нрава. — М.: ИГИ РАН, 2006.

2. Арешев, А. Г. Персональные данные в структуре инфор­мационных ресурсов. Основы правового регулирования / А. Г. Арешев, И. Л. Бачило, Л. А. Сергиенко. — М.: ИГП РАН, 2006.

3. Арешев, А. Г. Уполномоченный орган по защите прав субъектов персональных данных. Новый институт в рос­сийском законодательстве / А. Г. Арешев // Правовые понятия и категории в контексте информационного пра­ва. - М., 2006. - С. 169-181.

4. Бачило, И. Л. Права человека в информационном обще­стве / И. Л. Бачило // Аналитические записки. Спе­циальный выпуск: Права человека и нрава народа. — Вып. 18. - М., 2006. - С. 163-186.

5. Комарова, Т. Ю. Законодательное регулирование доступа к официальной информации / Т. Ю. Комарова // Теоре­тические проблемы информационного нрава. — М.: ИГП РАН, 2006. - С. 122-134.

6. Кузнецов, П. У. Правовой режим как категория и метод информационного права / П. У. Кузнецов // Правовые понятия и категории в контексте информационного пра­ва. - М.: ИГП РАН, 2006. - С. 12-31.

7. Паршуков, М. И. Проблема реализации принципа баланса интересов в информационной сфере (на примере закона «О коммерческой тайне») / М. И. Паршуков // Право­вые понятия и категории в контексте информационного права. - М., 2006. - С. 83-89.

8. Потрашкова, О. А. О правовой природе секретов произ­водства (ноу-хау) // Информационное право. — 2008. — №2.

9. Потрашкова, О. А. Правовой режим ноу-хау // Инфор­мационное право. — 2007. — № 3.

Глава 13 Правовые режимы информационных технологий, коммуникационных сетей

Дата добавления: 2015-05-10; Просмотров: 531; Нарушение авторских прав?; Мы поможем в написании вашей работы!