Основные положения Европейской конвенции о защите личности в связи с автоматической обработкой персональных данных

30 .Основные положения Европейской конвенции о защите личности в связи с автоматической обработкой персональных данных.

Все цивилизованные государства современности уделяют особое внимание защите прав граждан, что является одним из основных проявлений демократии. Обеспечение безопасности личности, в том числе безопасности информационной, является одной из приоритетных задач любого демократического государства, строящегося на основах уважения принципов правового государства, а равно прав и основных свобод человека.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъект данных).

К таким данным относятся: ФИО, дата рождения, биометрические данные, банковские счета и реквизиты банковских карт принадлежащих субъекту данных и другая подобная информация.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий  при их обработке в информационной системе персональных данных.

Таким образом, персональные данные необходимо защищать при хранении, обработки и передачи. Такие процессы проходят с помощью

автоматическая обработка персональных данных включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств: накопление данных, проведение логических или/и арифметических операций с такими данными, их изменение, стирание, восстановление или распространение

Таким образом, обеспечение конфиденциальности персональных данных как неотъемлемой части безопасности личности требует особого внимания государства и специального законодательного урегулирования.

В ходе активного формирования Глобального информационного общества планеты Земля одну из ключевых позиций занимает функция свободного обмена информацией между народами. Вместе с тем, не вызывает сомнений существующая необходимость обеспечения такой фундаментальной ценности как уважение неприкосновенности личной сферы.

В целях совмещения этих двух фундаментальных ценностей 28 января 1981 г. в Страсбурге была принята Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных.

Данный документ, регламентирующий вопросы защиты персональных данных, является основополагающим в этом направлении. Целью Конвенции является обеспечение на территории ратифицировавших данный документ стран уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой, касающихся его персональных данных.

Конвенция вступила в силу 1 октября 1985 г. В настоящее время в ней участвуют практически все европейские государства. Зарубежный опыт защиты персональных данных имеет уже более чем вековую историю. Так, во Франции публикации фактов о частной жизни были запрещены и установлены штрафы для нарушителей ещё в 1858 г. А норвежский уголовный кодекс запретил публикацию информации, касающейся «персональных и частных дел» в 1889 г.

В странах ЕС на основе действующего законодательства созданы и функционируют особые, независимые от правительства государственные органы по защите прав субъектов персональных данных во главе с омбудсменом (от шведского «umbud» - представитель других лиц, уполномоченный). Эти органы, как правило, строятся по принципу коллегиальности и обычно называются «Комиссия по защите данных» (Data Protection Commission). Впервые такой орган был введен в 1919 г. в Швеции, за ней последовали другие страны. В настоящее время они действуют в Австралии, Австрии, Англии, Бельгии, Болгарии, Венгрии, Греции, Израиле, Испании, Канаде, Кипре, Гайане, Маврикии, Нидерландах, Филиппинах, Финляндии, Франции, ФРГ, Швеции, Швейцарии, Японии и в других странах.

Названная Конвенция и последовавшие за ней несколько Директив Евросоюза сформулировали в общих чертах те задачи, которые национальное законодательство должно решать при регулировании работы с персональными данными: - защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий; - обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи; - обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных; - обеспечение контроля над использованием персональных данных со стороны самого гражданина; - создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).

8 ноября 2001 г. Конвенция подписана  от имени Российской Федерации (см. сообщение МИД России от 8 ноября 2001 г.), а ратифицирована Федеральным  законом от 19.12.2005 № 160-ФЗ. Ратификация  этого документа Российской Федерацией  стала большим шагом на пути  к обеспечению в РФ неприкосновенности  личной сферы.

Следующим уровнем обеспечения конфиденциальности персональных данных является конституционное закрепление этих прав. В частности в статье 23 говорится, что «каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени», а также «право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Статья же 24 устанавливает норму, в соответствии с которой «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются», а «органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность; ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом».

Для воплощения в жизнь международных обязательств Российской Федерации, взятых на себя при ратификации Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных, а так же в целях реализации конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации в России были приняты законы 2 закона, непосредственно регламентирующих эту сферу общественных отношений. Это Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Федеральный закон РФ 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации». Данные законы (особенно ФЗ-152) направлены на повышение уровня безопасности личной сферы. Закон РФ № 149-ФЗ вводит системообразующие нормы в области защиты персональных данных. Статья 2. устанавливает Основные понятия, используемые в названном Федеральном законе:

1) информация - сведения (сообщения, данные) независимо от формы их представления;

2) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

3) обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

4) доступ к информации - возможность получения информации и ее использования;

5) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Пункт 7 статьи 3 закрепляющей принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации гласит: «неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия». Ограничение доступа к информации закрепляется в статье 9, пункт 9 которой, определяя порядок доступа к персональным данным граждан (физических лиц), отсылает к федеральному закону о персональных данных.

С 1 января 2007 г. вступил в силу Федеральный закон «О персональных данных», которым регулируются отношения в области сбора, изменения и передачи сведений федеральными органами государственной власти Российской Федерации, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, а также юридическими и физическими лицами с использованием средств автоматизации и без использования таких средств. Целью этого закона является защита прав и свобод человека при обработке его персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну. Статья 3 названного закона даёт следующее определение персональным данным «персональные данные - это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество; год, месяц, дата и место рождения; адрес; семейное, социальное, имущественное положение; образование; профессия; доходы и другая информация».

Помимо этих сведений, в ст. 10 и 11 ФЗ «О персональных данных» установлены некоторые специальные категории данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся расовой, национальной принадлежности; политических взглядов, религиозных или философских убеждений; состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека. Обработку персональных данных, хранение, передачу осуществляет оператор (государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и/или осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных), который обязан обеспечить конфиденциальность персональных данных. В соответствии с положениями закона обеспечение защиты персональных данных является прямой обязанностью операторов персональных данных, а это практически все предприятия Российской Федерации. За неисполнение требований законом предусмотрена юридическая ответственность. Санкции применяются как к руководителям индивидуально, так и к предприятиям в целом, вплоть до прекращения обработки персональных данных или аннулирования лицензии на основной вид деятельности компании. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» утвержденное Постановлением Правительства № 781 определяет, что безопасность персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Необходимость нормативного регулирования безопасности личной сферы подтверждается социологическими исследованиями. В том числе и теми, которые были проведены уже после принятия Закона. Так, по результатам исследований, проведённых компаниями SecurityLab и InfoWatch, распределение ответов на вопрос «Нужен ли России вообще закон «О персональных данных» сегодня?» однозначно свидетельствует о том, что безопасность персональных данных – эта та больная мозоль, которую уже давно пора было вылечить. Практически все респонденты (94%) убеждены, что России был просто необходим названный закон (см. рис. 3). Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в выборе ответа. По мнению аналитического центра InfoWatch, гражданам просто надоело находить свои персональные и особо чувствительные, например, финансовые сведения в общедоступных базах данных. Между тем, такие базы свободно продаются на местных рынках, в Интернете и постоянно рекламируются в спаме. В базе инсайдерских инцидентов InfoWatch уже сегодня содержится более 500 утечек, случаев саботажа, промышленного шпионажа и т.д. Среди них целый ряд широкомасштабных утечек из российских коммерческих и государственных организаций. Причем каждый из этих инцидентов привел к разглашению персональных сведений нескольких миллионов россиян. Изложенное даёт основания сделать вывод, что в последнее время в России широкое распространение получила порочная практика распространения и незаконного использования как самих баз персональных данных, так и различных незаконных способов их получения (в большей мере программных). Конфиденциальные базы персональных данных, причём разного уровня конфиденциальности - незаконно полученные как из коммерческих структур (охраняемые в соответствии режимом секретности коммерческой либо профессиональной тайны), так и из государственных органов, персональные данные в которых охраняются в соответствии с режимом служебной тайны - свободно продаются на рынках и в сети Интернет. Человек не может чувствовать себя защищённым, пока существует угроза вторжения в частную жизнь посторонних лиц - как из праздного любопытства, так и с целью совершения мошеннических и других противоправных действий. А обеспечение безопасности граждан, их основных прав и свобод является главнейшей функцией государства. В связи с этим в России предпринимаются определённые шаги по законодательному урегулированию этой области общественных отношений. Мы, в отличие от западных стран, имеющих уже более чем вековую историю государственного обеспечения и защиты неприкосновенности личной сферы, находимся только в начале этого пути и в процессе создания эффективной и работоспособной системы защиты персональных данных предстоит преодолеть не одно препятствие, однако конструктивное начало уже положено. Ратифицировав Конвенцию, Россия установила «планку», к которой теперь необходимо стремиться. И главный шаг в этом направлении уже сделан: разработана и введена в действие законодательная база - как законы (Закон РФ № 149-ФЗ от 27.07.2006, Закон РФ № 152-ФЗ от 27.07.2006) в качестве основы, регулирующей всю массу общественных отношений в этой области, так и ряд подзаконных нормативных актов, направленных на реализацию установлений законов, разъясняющих их положения и регламентирующих отдельные материальные и процессуальные вопросы.

5. Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.

В ходе повседневной деятельности предприятий, связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания, на которых рассматриваются или обсуждаются вопросы конфиденциального характера. Прелатом обсуждения могут быть сведения, составляющие государственную тайну, вопросы конфиденциального характера, касаются проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уставом, или коммерческой стороны его деятельности.

Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к участию в них привлекается только персонал данного предприятия). Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель ходатайству руководителя структурного подразделения (отдела, службы), планирующего проведение данного совещания. Меры по защите конфиденциальной информации в ходе подготовки и доведения совещания, принимаемые руководством предприятия (структурным подразделением, организующим совещание), должны быть как организационными, так и организационно-техническими.

Мероприятия по защите информации проводятся при подготовке, в ходе проведения и по окончании совещания. В работе руководства и должностных лиц предприятия по защите информации при проведении совещания важное место занимает этап планирования конкретных мероприятий, направлениях на исключение утечки конфиденциальной информации и на ее защиту.

В целях наиболее эффективного решения задач защиты информации в разрабатываемых организационно-планирующих документах комплексно учитываются все мероприятия, независимо от их содержания и направленности (организационные, организационно-технические или иные мероприятия). Поскольку эти мероприятия должны быть увязаны между собой по времени и месту проведения, в данной статье они рассматриваются как единое целое.

Планирование мероприятий по защите информации проводится заблаговременно до начала совещания и включает выработку конкретных мер, определение ответственных за их реализацию должностных лиц (структурных подразделений), а также сроков их осуществления. При планировании совещания предусматривается такая очередность рассмотрения вопросов, при которой будет исключено участие в их обсуждении лиц, не имеющих к ним прямого отношения.

Наиболее актуальны с точки зрения защиты информации совещания с участием представителей сторонних организаций (внешние совещания), так как вероятность утечки конфиденциальной информации при их проведении по сравнению с совещаниями, проводимыми в рамках одного предприятия (внутренними совещаниями), значительно выше. Поэтому внешним совещаниям в настоящей главе уделено особое внимание.