Михаил Петров - Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ О персональных данных

2) ограничение доступа к персональным данным путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к обрабатываемым персональным данным, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию персональных данных работниками оператора на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров.

Наряду с указанными мерами оператор персональных данных вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству РФ меры. Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти. Контроль осуществляется в порядке, определяемом Правительством РФ [16] См.: Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" // СЗ РФ. 2006. N 34; Постановление Правительства РФ от 15 июля 2002г. N 526 "Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность" // СЗ РФ. 2002. N 29. Ст.2965. .

Меры по охране конфиденциальности информации признаются разумно достаточными,

если:

1) исключается доступ к обрабатываемым персональным данным любых лиц без согласия их обладателя;

2) обеспечивается возможность использования обрабатываемых персональных данных работниками оператора и передачи ее контрагентам без нарушения установленного режима защиты.

Установление пределов объема усилий оператора, требующихся для сохранения конфиденциальности персональных данных, с одной стороны, призвано мотивировать оператора персональных данных предпринимать меры к их охране, не полагаясь на то, что его интересы в случае незаконного приобретения сведений, входящих в состав персональных данных, третьим лицом будут автоматически считаться нарушенными, а с другой — служить гарантией того, что субъект персональных данных не будет принужден к принятию всего спектра мер к охране собственных интересов [17] См.: Мэггс П.Б., Сергеев А.П.Интеллектуальная собственность. М., 2000. С. 50. .

Режим конфиденциальности персональных данных не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Законодатель предусматривает возможность установления режима, открытости персональных данных, делая исключения из условия о конфиденциальности для общедоступных массивов сведений и обезличенных персональных данных.

Неразрывная связь персональных данных с личностью их субъекта и возможность идентификации последнего требует повышенной защищенности в процессе их обработки. В случаях если из них могут быть исключены сведения-идентификаторы, режим конфиденциальности, устанавливаемый для персональных данных, снимается. Законодатель допускает использование обезличенных персональных данных без согласия их субъекта в целях проведения статистических, социологических, исторических, медицинских и других научных и практических исследований. При этом остается нераскрытой процедура обезличивания персональных данных, соответствие ее определенному этапу их обработки, степень обезличивания. Предположительно процедура обезличивания предполагает полное исключение из состава персональных данных, позволяющих определить биографические сведения их обладателя и тем самым его идентифицировать. К такого рода информации могут быть отнесены: фамилия, имя, отчество, дата и место рождения, адрес места жительства, иные идентифицирующие лицо сведения. В целях обезличивания персональных данных допускается процедура замены сведений, при условии что тем самым не нарушаются права иных лиц и не создается угроза их безопасности.

Настоящим Законом предусмотрено исключение из режима конфиденциальности для общедоступных массивов персональных данных (справочники, телефонные книги, адресные книги, массивы персональных данных руководителей фирм и т.п.), которые создаются в целях информационного обеспечения общества. При этом регулируется содержание и порядок формирования таких массивов, права субъектов персональных данных, сведения о которых включены в подобный массив. Эти положения закона призваны препятствовать созданию и неконтролируемому распространению справочников типа упомянутых выше баз данных на Ой (йУй) и многочисленных справочников "Кто есть кто…", содержащих подчас информацию, не санкционированную и не проверенную субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Комментарий к статье 8

1. По смыслу комментируемого Закона общедоступными признаются источники персональных данных, доступ к которым не ограничен и не требует получения предварительного согласия субъектов персональных данных. Общедоступные источники персональных данных могут использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Создание общедоступных источников персональных данных обусловлено необходимостью информационного обеспечения. Анализ действующего законодательства позволяет отметить, что к числу общедоступных источников персональных данных в настоящее время относятся: справочники, адресные книги, энциклопедии, документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющих общественный интерес или необходимых для реализации прав, свобод и обязанностей граждан. Вместе с тем современная наука и практика пока не сумели выработать эффективных критериев, с помощью которых можно было бы четко различать общедоступные и конфиденциальные сегменты информации.