ПРАВОВОЙ РЕЖИМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Законодательство о персональных данных появилось в 70-х гг. XX в. и представляет собой развитие в технологическую эпоху права на неприкосновенность личности.

Работа с персональными данными требует соблюдения правового режима содержащейся в ней информации. Главной составляющей является конфиденциальность информации персонального характера.

С совершенствованием информационных технологий, созданием баз данных возникла угроза легкого копирования и объединения данных. Европейские страны первыми осознали эту угрозу, и приняли Конвенцию Совета Европы от 28 января 1981 года «О защите физических лиц при автоматизированной обработке персональных данных» [1]. Данная Конвенция определяет порядок сбора и обработки данных о личности, способы защиты данных, а так же принципы хранения данных и доступа к ним. А так же следует упомянуть Директиву 95/46/ЕС Совета Европейского Союза и Европейского парламента от 24 октября 1995 года «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных». В соответствии, с которой создается орган надзора и Рабочая группа по защите персональных данных лиц в отношении их обработки. Каждое государство-участник для надзора за соблюдением положений Директивы на своей территории назначает один или несколько государственных органов. Рабочая группа действует в качестве независимой структуры и имеет статус консультативного органа. В её состав входят: представитель органа, созданный каждым государством-участником в целях надзора за соблюдением положений Директивы на своей территории; представитель органа или органов, учрежденный для структур и институтов Сообщества; и представитель Еврокомиссии.

Российская Федерация в декабре 2005 года ратифицировав Конвенцию Совета Европы 1981 года, взяла на себя обязательство привести национальное законодательство в соответствии с этим международным договором. В рамках данного обязательства принят Федеральный закон от 27 июля 2006 года «О персональных данных», а также ряд подзаконных актов [4, c.43].

Цель Федерального закона – «обеспечение защиты прав, свобод человека и гражданина при обработке его персональных данных, а так же защита прав на неприкосновенность частной жизни, личную и семейную тайну» [2, c.204].

Данным Федеральным Законом регулируются отношения, связанные с обработкой персональных данных, которая осуществляется государственными и муниципальными органами власти, а так же юридическими и физическими лицами с использованием средств автоматизации, а также охватывает отношения по обработке этих данных и без использования автоматизированных средств, если она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Понятие персональных данных, в соответствии с законодательной дефиницией под ними понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) [3, c.8].

Первое, что необходимо отметить, - это то, что субъектами персональных данных могут выступать только физические лица. Контактные данные и реквизиты юридического лица, а также иные сведения, по которым можно его определить, не подпадают под понятие персональных данных.

Во-вторых, соответствующие сведения должны обладать определенным идентифицирующим потенциалом для того, чтобы признаваться персональными данными. Некоторые виды сведений являются уникальными в своем роде, что позволяет однозначно установить на их основе определенное физическое лицо, например паспортные данные.

В-третьих, не имеет значения, соответствуют данные действительности или нет, являются они точными или полными, вымышленными или достоверными. Даже недостоверные или неточные сведения могут прямо или косвенно указывать на определенное лицо, что является достаточным основанием для признания их персональными данными.

Если те или иные сведения подпадают под понятие персональных данных, их обработка должна осуществляться в соответствии с установленными требованиями. Лицом, ответственным за обеспечение такого соответствия, является оператор.

Под оператором (в англоязычной терминологии - data controller) понимается любое лицо, которое «самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Иными словами, под оператором понимается лицо, которое использует персональные данные других лиц для достижения определенных целей, которое оно само и определяет.

Основными требованиями, предъявляемыми Федеральным законом к обработке персональных данных, являются:

1) наличие законного основания для такой обработки;

2) добросовестный характер такой обработки;

3) принятие организационно-технических мер для выполнения обязанностей оператора и защиты персональных данных;

4) соблюдение особых требований к трансграничной передаче персональных данных;

5) в подлежащих случаях - направление уведомления в уполномоченный орган об обработке персональных данных.

Одним из главных требований, предъявляемых к обработке персональных данных, является наличие законного основания для их обработки. Исчерпывающий перечень таких оснований предусмотрен в ч. 1 ст. 6 Федерального Закона Российской Федерации «О персональных данных» [5].

Лица, виновные в нарушении требований Федерального Закона, несут предусмотренную законодательством Российской Федерации ответственность. Поскольку указанная норма является отсылочной, то установление конкретных видов правонарушений и применение соответствующих мер ответственности регулируются иными нормативными актами.

Основной и наиболее распространенной формой ответственности за нарушение положений законодательства о персональных данных является административная ответственность (ст. 13.11, 5.39, 19.7 КоАП РФ).

Помимо административной ответственности нарушение законодательства о персональных данных может в некоторых случаях влечь и уголовную ответственность (ст.183, 138 УК РФ).

Гражданско-правовая ответственность за нарушение персональных данных может принимать различные формы: возмещение убытков, взыскание неустойки либо возмещение морального вреда. Убытки, как правило, взыскать вряд ли удастся, учитывая весьма строгий подход отечественных судов к доказыванию их размера и причинно-следственной связи между нарушением и размером наступивших убытков.

Что же касается неустойки, то ее взыскание за факт нарушения оператором условий обработки персональных данных возможно только в случаях, прямо предусмотренных договором. Учитывая, что физическое лицо обычно выступает в договоре слабой стороной, а также тот факт, что подавляющее большинство договоров заключается по модели присоединения (особенно в сфере электронной коммерции), рассчитывать на наличие такой неустойки в договоре весьма наивно.

Поэтому возмещение морального вреда является наиболее реалистичной мерой гражданско-правовой ответственности из трех перечисленных.

В целом гражданско-правовая ответственность является одной из наименее эффективных и перспективных для восстановления нарушенных прав субъекта персональных данных.

Список литературы:

1. Конвенция Совета Европы от 28 января 1981 года «О защите физических лиц при автоматизированной обработке персональных данных» - Режим доступа. - URL: http://www.consultant.ru/document/cons_doc_LAW_121499 (дата обращения 27.11.2016)
2. Косьяненко Е.М Правовой режим персональных данных в российском законодательстве // Российский юридический журнал. - 2008. - №6
3. Минбалеев А.В Проблемные вопросы понятия и сущности персональных данных // Вестник УрФО. - 2012. - №2(4).
4. Терещенко Л.К, Тиунов О.И. Правовой режим персональных данных // Журнал российского права. - 2014. - №12.
5. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [Консультант плюс] - Режим доступа. - URL: http://www.consultant.ru/document/cons_doc_LAW_61801 (дата обращения 27.11.2016)