Меню Услуги

Правовое регулирование в области защиты персональных данных


Страницы:   1   2   3   4   5

Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!

Содержание

  • Введение
  • Глава 1. Правовое регулирование в области защиты персональных данных
  • 1.1. Персональные данные как объект правовой охраны
  • 1.2. Нормативно-правовые акты в области защиты персональных данных
  • Глава 2. Права субъекта и обязанности оператора при обработке персональных данных
  • 2.1. Субъект персональных данных и его права при обработке персональных данных
  • 2.2. Обязанности оператора персональных данных
  • 2.3. Меры по обеспечению выполнения оператором своих обязанностей
  • 2.4. Меры по обеспечению безопасности персональных данных при их обработке
  • Глава 3. Проблемы правового регулирования и правовой защиты персональных данных
  • 3.1. Проблемы реализации законодательства РФ о защите персональных данных
  • 3.2. Проблемы применения юридической ответственности за нарушение законодательства о персональных данных
  • Заключение
  • Список использованных источников и литературы

 

Введение

Современное общество все чаще встречается с информационным обменом в своей повседневной жизни. Каждый из нас регулярно сообщает о себе информацию, позволяющую напрямую или косвенно определить и идентифицировать нас. С учетом положений действующего законодательства Российской Федерации, такая информация является нашими персональными данными.

Согласно действующему Указу Президента Российской Федерации, персональные данные являются конфиденциальной информацией. Основным законом, регламентирующим вопросы в части персональных данных, является Федеральный закон №152-ФЗ от 27 июня 2006 года «О персональных данных»[1]. Согласно его положениям, персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, все мы, как граждане своего государства, являемся субъектами персональных данных, в связи с чем, для нас становится актуальным вопрос о наших законных правах в части нашей жизни, а также законности использования этих сведений. Согласно закону «О персональных данных»[2], лица, осуществляющие любые действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных являются операторами персональных данных. Исходя из этого, в целях обеспечения выполнения наших законных интересов и защиты нашей личной жизни необходимо знать и контролировать выполнение обязанностей, возложенных на оператора персональных данных. Защита персональных данных актуальна для большинства российских компаний, осуществляющих обработку персональных данных. Ведь под действие закона «О персональных данных»[3] попадают все организации, зарегистрированные в Российской Федерации и осуществляющие обработку персональных данных, независимо от вида отрасли, формы собственности и иных факторов.

Таким образом, защита персональных данных является одним из наиболее приоритетных направлений в существующей сфере обеспечения информационной безопасности в организациях различных форм и родов деятельности и изучение правового регулирования в области защиты персональных данных является актуальным вопросом.

Объектом дипломной работы выступают общественные отношения, связанные с защитой персональных данных.

Предметом дипломной работы является совокупность нормативных правовых актов, определяющих понятие и виды персональных данных, условия и принципы их обработки, правовое положение субъектов, участвующих в обороте персональных данных.

Цель дипломной работы – расширение и углубление научных знаний о вопросе правового регулирования отношений в области защиты персональных данных.

Для достижения поставленной цели необходимо решить следующие задачи:

— рассмотреть персональные данные как объект правовой охраны;

— рассмотреть нормативно-правовые акты в области защиты персональных данных;

— изучить права субъекта и обязанности оператора при обработке персональных данных;

— рассмотреть меры по обеспечению выполнения оператором своих обязанностей;

— рассмотреть меры по обеспечению безопасности персональных данных при их обработке;

— проанализировать проблемы правового регулирования и правовой защиты персональных данных.

Методологическую основу исследования составили следующие методы: диалектический, логический, метод анализа и синтеза, сравнительно-правовой и другие.

Информационную базу дипломной работы составили законы и нормативные акты, теоретические труды таких авторов как: Баймакова И.А., Новиков А.И., Рогачев А.И., Хыдыров А.Х., Слепов О. и других.


Глава 1. Правовое регулирование в области защиты персональных данных

1.1. Персональные данные как объект правовой охраны

В соответствии с Законом № 152-ФЗ «О персональных данных» персональными данными является любая информация, с помощью которой можно однозначно идентифицировать физическое лицо (субъект ПДн). К персональным данным в связи с этим могут относиться фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.

Состав и содержание персональных данных определяют операторы ПДн в зависимости от целей их обработки. Например, перечень персональных данных для популярных в последнее время систем лояльности клиентов компании, как правило, включают контактные данные, необходимые для связи с клиентами, и сведения о предоставленных услугах. Состав этих сведений не должен быть избыточен при этом оставаясь достаточным, чтобы «понимать» предпочтения клиента, его финансовые возможности, «отслеживать» его покупательскую историю и т.п.

Существуют случаи, когда цели, состав и содержание ПДн четко определяются законодательными и нормативно-правовыми актами. Это касается областей, где взаимоотношения между субъектами ПДн и операторами нуждаются в строгой регламентации. При этом в некоторых случаях субъект персональных данных обязан предоставлять оператору сведения о себе.

Например, функционирование определенных отраслей экономики связано с необходимостью обеспечения безопасности. Так, п. 5 ст. 11 ФЗ № 16 «О транспортной безопасности» определяет необходимость создания единой государственной информационной системы обеспечения транспортной безопасности. Такая система должна состоять из централизованных баз персональных данных о пассажирах, включающих следующие данные: фамилия, имя, отчество; дата рождения; вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет); пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный); дата поездки; пол; гражданство.

Регламентация состава и содержания ПДн касается отношений, связанных с трудовой деятельностью человека. Если речь идет о кадровой системе, к составу персональных данных относятся сведения, предусмотренные унифицированной формой учета кадров Т-2, утвержденной Постановлением № 1 Госкомстата России от 05.01.2004. К таким сведениям относятся: фамилия, имя, отчество; дата рождения; место рождения; гражданство; номер страхового свидетельства; ИНН; знание иностранных языков; данные об образовании (номер, серия дипломов, год окончания); данные о приобретенных специальностях семейное положение; данные о членах семьи (степень родства, ФИО, год рождения, паспортные данные, включая прописку и место рождения); фактическое место проживания; контактная информация; данные о военной обязанности; данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т.п.).

Законодательство определяет различные категории персональных данных. К ним могут относиться общедоступные ПДн, специальные категории ПДн, категории ПДн, обрабатываемые в информационных системах персональных данных (далее ИСПДн), биометрические ПДн и другие.

Общедоступными являются данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Такие данные могут включать фамилию, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн. Источниками такой информации являются, к примеру, справочники, адресные книги и т.п. Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников по требованию субъекта либо по решению суда или уполномоченных государственных органов.

К специальным категориям относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка допускается только в следующих случаях:

— субъект ПДн дал согласие в письменной форме на обработку своих персональных данных;

— персональные данные являются общедоступными;

— персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;

— обработка персональных данных членов (участников) общественного объединения или религиозной организации при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов ПДн;

— обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ или необходима в связи с осуществлением правосудия.

Выделяют следующие категории персональных данных, которые обрабатываются в ИСПДн:

— Категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

— Категория 2 – персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

— Категория 3 – персональные данные, позволяющие идентифицировать субъекта ПДн;

— Категория 4 – обезличенные и (или) общедоступные персональные данные.

Категорирование персональных данных при обработке в ИСПДн может также проводиться по параметру «объем обрабатываемых персональных данных». Под этим подразумевается количество субъектов, данные которых обрабатываются в информационной системе.

Этот параметр может принимать следующие значения:

— в информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта РФ или РФ в целом;

— в информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;

— в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.

Такое категорирование персональных данных необходимо для определения класса ИСПДн, от которого зависят меры по обеспечению безопасности ПДн при обработке в информационных системах.

Биометрические персональные данные – это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Биометрические персональные данные обрабатываются в соответствии со статьей 11 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Они могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн. Обработка биометрических персональных данных без согласия субъекта ПДн может осуществляться в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством РФ о безопасности, об оперативно-розыскной деятельности, о государственной службе, о порядке выезда из РФ и въезда в РФ, уголовно-исполнительным законодательством.

Исходя из определения биометрических ПДн, к ним относятся фотографии и видеоизображения субъектов ПДн. Это подтверждают и представители регуляторов, в частности Федеральной службы по техническому и экспортному контролю. Фотографии субъектов ПДн могут обрабатываться в пропускных системах и системах контроля доступа, видеоизображения – в системах видеонаблюдения и т.п.


1.2. Нормативно-правовые акты в области защиты персональных данных

Узнай стоимость написания такой работы!

Ответ в течение 5 минут!Без посредников!

Основные нормативно-правовые акты, которые регламентируют обработку персональных данных:

— Международная нормативно-правовая документация в области защиты персональных данных – Конвенция о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года).

— Федеральные законы РФ:

а) Основным законом Российской Федерации, затрагивающим вопросы информационной безопасности, является Конституция, принятая 12 декабря 1993 г. ;
б) Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» ;
в) Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» ;
г) Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» ;
д) Федеральный закон Российской Федерации «О безопасности» от 28 декабря 2010 г. № 310-ФЗ ;
е) Федеральный закон Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» ;
ж) Федеральный закон от 01 июля 2011 г. № 261-ФЗ «О внесении изменений в ФЗ «О персональных данных» ;
з) Федеральный закон от 30 ноября 2011 г. № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных» ;
и) Кодекс Российской Федерации об административных правонарушениях ;
к) Трудовой кодекс РФ – Глава 14. Защита персональных данных работника ;
л) Уголовный кодекс РФ ;
м) Гражданский кодекс РФ Часть 1 и Часть 2.

— Указы Президента РФ:

а) Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» ;
б) Доктрина информационной безопасности РФ 9 сентября 2000 г. № Пр-1895 ;
в) Указ Президента Российской Федерации от 30 мая 2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» ;
г) Указ Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» ;
д) Указ Президента Российской Федерации от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

— Постановления Правительства РФ:

а) Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» ;
б) Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами ;
в) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» .
— Нормативные и методические документы ФСТЭК России:
а) Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г. ;
б) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008 г. ;
в) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г. ;
г) Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» ;
д) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” ;
е) Методический документ. Меры защиты информации в государственных информационных системах. Утвержден ФСТЭК России 11 февраля 2014 г.

— Методические документы ФСБ России:

а) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ РФ от 21 февраля 2008 года) ;
б) Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» ;

— Нормативным документом РОСКОМНАДЗОРА является Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (С изменениями, согласно постановлениям Правительства Российской Федерации от 17 марта 2010 года № 160, от 24 марта 2011 года №210, от 16 мая 2011 года № 368) .
— Нормативным документом Минкомсвязи России является Приказ Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» .

Глава 2. Права субъекта и обязанности оператора при обработке персональных данных

2.1. Субъект персональных данных и его права при обработке персональных данных

Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 № 152–ФЗ «О персональных данных». Согласно закона субъектом персональных данных является любое физическое лицо, которое может быть прямо или косвенно определено или определяемо при использовании персональных данных.  И именно человек вправе решать когда, кому и какие данные он предоставляет, а также он вправе проконтролировать как (каким образом) обрабатываются и кому передаются его персональные данные.

Согласно положениям данного закона, субъект персональных данных обладает следующими правами на доступ к своим персональным данным:

— правом на получение сведений, касающихся обработки его персональных данных;

— правом требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— правом на получение от оператора сведений, касающихся обработки его персональных данных, в доступной форме, без содержания в них персональных данных, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;

— правом на получение сведений, касающихся обработки его персональных данных, предоставляемых субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Такой запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ и должен содержать:

а) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

б) сведения о дате выдачи указанного документа и выдавшем его органе;

в) сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя;

— право на повторное обращение к оператору, в случае, если сведения, касающиеся обработки персональных данных субъекта, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу;

— право направить оператору повторный запрос в целях получения сведений, касающихся обработки персональных данных субъекта, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

— право на повторное обращение к оператору или направление ему повторного запроса в целях получения сведений, касающихся обработки персональных данных субъекта, а также в целях ознакомления с обрабатываемыми персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса;

— право потребовать от оператора представления доказательств отказа в выполнении повторного запроса;

— право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

а) подтверждение факта обработки персональных данных оператором;

б) правовые основания и цели обработки персональных данных;

в) цели и применяемые оператором способы обработки персональных данных;

г) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

е) сроки обработки персональных данных, в том числе сроки их хранения;

ж) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

и) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

к) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Субъект персональных данных может быть ограничен в праве на доступ к его персональным данным в соответствии с федеральными законами, в том числе если:

— обработка персональных данных, включая персональные данные, полученные в результате оперативно–розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

— обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

— обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

— доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

— обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В случае обработки персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации субъект персональных данных имеет право:

— давать свое согласие на обработку персональных данных, оператору. Обработка персональных данных, в выше указанных целях, без предварительного согласия со стороны субъекта персональных данных не допускается;

— отзывать свое согласие на обработку персональных данных, у оператора. Оператор обязан немедленно прекратить обработку персональных данных по требованию субъекта персональных данных.


Страницы:   1   2   3   4   5