WWW.DISUS.RU

БЕСПЛАТНАЯ НАУЧНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

 

Правовое регулирование оборота персональных данных в россии и странах ес (сравнительно-правовое исследование).

На правах рукописи

ПЕТРЫКИНА Наталья Ивановна

ПРАВОВОЕ РЕГУЛИРОВАНИЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ В РОССИИ И СТРАНАХ ЕС

(сравнительно-правовое исследование).

Специальность 12.00.14- Административное право, финансовое право, информационное право.

АВТОРЕФЕРАТ

диссертации на соискание ученой степени

кандидата юридических наук

Москва -2007

Работа выполнена на кафедре административного и финансового права Московского государственного института международных отношений (Университета) МИД России

Научный руководитель: доктор юридических наук, профессор

Фатьянов Алексей Александрович

Официальные оппоненты: доктор юридических наук, профессор

Бачило Иллария Лаврентьевна

кандидат юридических наук,

Овчарова Елена Владимировна

Ведущая организация: Российский университет

дружбы народов

Защита состоится «31» мая 2007 года в 14.00. на заседании диссертационного совета К.209.002.01. при Московском государственном институте международных отношений (Университет) МИД РФ по адресу: 119454, г. Москва, пр-т Вернадского, 76, ауд. _____.

С диссертацией можно ознакомиться в научной библиотеке Московского государственного института международных отношений (Университета) МИД РФ.

Автореферат разослан «27» апреля 2007 г.

Ученый секретарь кандидат юридических наук, доцент

диссертационного совета Рыжкова Екатерина Александровна.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследования. Важным условием динамичного социально-экономического развития страны является обеспечение органов государственной власти и органов местного самоуправления полной и достоверной информацией о гражданах РФ, а также об иностранных гражданах и лицах без гражданства, временно или постоянно проживающих в РФ. Создание подобной информационной системы, отмечается в Концепции создания системы персонального учета населения РФ, одобренной распоряжением Правительства РФ от 9 июня 2005 года, необходимо государству для обеспечения адресности и эффективности социальной поддержки граждан, собираемости налогов и их рационального распределения, для охраны общественного порядка, противодействия терроризму, контроля над миграционными процессам, а также обеспечения конституционных прав и свобод граждан[1].

Интеграция России в мировое сообщество, глобализация экономических и социальных процессов, появление новых угроз обусловили активизацию международного информационного обмена, в том числе, и обмена персональными данными населения. Это, в свою очередь, потребовало создания и использования новых информационных технологий, в частности, компьютеризации информационных процессов, что значительно облегчило сбор, накопление, хранение, обработку и, в конечном счете, оборот персональных данных, однако одновременно значительно повысило риск их утечки и несанкционированного использования. Между тем, права человека в области информации составляют важную часть прав человека, закрепленных во Всеобщей Декларации Прав Человека, провозглашенной Генеральной ассамблеей Организации объединенных наций в 1948 году. Принятая на ее основе 4 декабря 1950 года Советом Европы Европейская Конвенция о защите прав человека и основных свобод, после вступления России в Совет Европы, была ратифицирована нашей страной 20 февраля 1998 года, что потребовало соответствующей переработки и обновления российского законодательства. Основные права и свободы человека и гражданина, в том числе, права и свободы в области информации, были закреплены в Конституции РФ 1993 года[2]. В частности, конституцией закреплены два основополагающих принципа: право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых телеграфных и иных сообщений, а также право свободно искать, получать, передавать, производить и распространять информацию. При этом сбор, хранение, использование информации о частной жизни лица без его согласия не допускаются.

Несколько позже, 20 февраля 1995 года, был принят Федеральный закон «Об информации, информатизации и защите информации», непосредственно регулирующий права граждан в сфере информации[3], а 4 июля 1996 года- Федеральный закон «Об участии в международном информационном обмене»[4]. Вопросы защиты персональных данных в это время фрагментарно регулировались, в основном, отраслевым законодательством:, а именно Семейным кодексом РФ[5], Трудовым кодексом РФ[6], Кодексом РФ об административных правонарушениях[7], Гражданским кодексом РФ[8], Уголовным кодексом РФ[9]. Естественно, что в отсутствие единого законодательного акта, регулирующего вопросы оборота и защиты персональных данных, правовое регулирование в этой сфере было не полным и не всегда согласованным.

По вполне понятным причинам нормативное регулирование в рассматриваемой области в западных странах, в частности, в странах ЕС, значительно опережало российскую нормотворческую практику как в полноте регулирования, так и в его качестве. Помимо указанной Европейской Конвенции о защите прав человека и основных свобод 1950 года, Совет Европы 28 января 1981 года принял Конвенцию о защите личности в связи с автоматизированной обработкой персональных данных и Дополнительный протокол о защите личности в связи с автоматизированной обработкой личного характера, касаясь властей контроля и граничных потоков данных (08.11.2001), две Директивы Европейского Парламента и Совета Европейского Союза (Директива 95\46\ЕС и Директива 97\66\ЕС), а также Рекомендации Комитета министров государствам- членам Совета Европы по защите неприкосновенности частной жизни в Интернете(19.02.1999.)[10]. В странах ЕС уже давно действуют законы, регулирующие оборот персональных данных, и соответственно, накоплен определенный нормотворческий опыт, который логично было бы учесть в отечественной нормотворческой практике.

Все изложенное актуализирует проблему сравнительного правового исследования регулирования оборота персональных данных в России и странах ЕС.

Степень научной разработанности проблемы. Актуальность избранной темы исследования определяется также ее слабой разработанностью в юридической науке. Несмотря на довольно большое количество авторов, занимающихся этой проблематикой (Агапов А.Б., Антопольский А.А., Бачило И.Л., Василенко Л.А., Волчинская Е.К., Глотов С.А., Гаврилова О.А., Казарян Э.А., Калятина В.О., Курушин В.Д., Килясханов И.Ш., Лапина М.А., Лопатин В.Н., Лушникова М.В., Маркевич А.С., Миндрова Е.К., Нисневич Ю.А., Помазуев А.Е., Рассолов М.М., Степанов Е.А., Сергиенко Л.А., Подшибихин Л.Н., Петросян М.Е., Петрухин И.Л., Фатьянов А.А.), их работы преимущественно посвящены характеристикам различных видов информационных процессов, ресурсов и технологий, обеспечению государственной и иных видов тайн и т.д. Комплексного исследования оборота и защиты персональных данных до настоящего времени не проводилось, и это не случайно, так как не было и соответствующего правового регулирования в РФ. Федеральный закон «О персональных данных» был принят в 2006 году, а вступил в действие лишь в январе 2007 года.

Среди работ, в той или иной мере посвященных данной проблематике, следует указать работу Фатьянова А.А. «Правовое обеспечение безопасности информации в Российской Федерации», посвященную, в том числе и проблеме обеспечения конфиденциальности информации о гражданах (персональных данных»[11], в которой проблема персональных данных рассматривается через призму категорий «частная жизнь» и «личная тайна»; исследование Бачило И.Л, Сергиенко Л.А., Кристального Б.В., Арешева А.Г. «Персональные данные в структуре информационных ресурсов. Основы правового регулирования»[12], во втором издании которого, вышедшем уже после принятия Закона РФ «О персональных данных», дан анализ некоторых положений нового закона. В работе Бачило И.Л. и других авторов дана общая характеристика сложившегося европейского института персональных данных, проведено исследование некоторых информационных ресурсов, используемых в государственном управлении. Имеется также одно диссертационное исследование Маркевич А.С., посвященное разработке лишь незначительной части данной проблемы- защиты персональных данных в трудовых и служебных отношениях.

Таким образом, в настоящее время отсутствует комплексное сравнительно-правовое исследование правового регулирования оборота персональных данных в РФ и странах ЕС на базе анализа основных положений принятого Закона РФ «О персональных данных» ( его целей, принципов, терминологической оснастки и т.п.).

Изложенное в целом и обусловило цель и задачи настоящего исследования.

Целью настоящего исследования является анализ правового регулирования оборота персональных данных в РФ и странах ЕС и разработка на этой основе предложений по совершенствованию законодательства в исследуемой сфере. В соответствии с избранной целью в диссертационном исследовании решаются следующие задачи:

- определение заявленных целей и полноты их реализации в Законе РФ «О персональных данных» с учетом сложившейся практики обеспечения прав и свобод граждан в РФ;

- анализ идентичности используемых в законе понятий и терминологии их содержательному значению в русском языке, сравнение их с соответствующими категориями в национальном законодательстве стран ЕС;

- исследование полноты принципов обработки персональных данных, указанных в исследуемом законе, заявленным целям закона;

- изучение обоснованности закрепленных в законе условий обработки персональных данных без согласия субъекта персональных данных, а также предложенного в этой связи решения гармонизации положений Конституции РФ о правах граждан на неприкосновенность частной жизни и правом свободно искать, получать, передавать, производить и распространять информацию;

- анализ предложенной в исследуемом законе группировки персональных данных, избранного в этих целях критерия, сравнение российского закона в этой части с национальным законодательством стран ЕС;

- определение круга субъектов правоотношений, возникающих в сфере оборота персональных данных, полноты их правового статуса, сравнение предложенных в исследуемом законе решений с решением аналогичных вопросов в законодательстве стран ЕС;

- изучение проблемы конфиденциальности персональных данных применительно к исследуемому закону и национальному законодательству стран ЕС;

- изучение порядка контроля и надзора за оборотом персональных данных, а также применения мер ответственности, сравнение в этой части с национальным законодательством стран ЕС;

- формирование на этой основе теоретических выводов и практических предложений по совершенствованию законодательства РФ о защите персональных данных.

Объектом диссертационного исследования являются общественные отношения, возникающие в процессе оборота персональных данных.

Предмет исследования составляют Конституция РФ, Федеральный закон РФ «О персональных данных», Федеральный закон РФ «Об информации, информационных технологиях и защите информации», Закон РФ «О средствах массовой информации», Федеральный закон РФ «О кредитных историях», Федеральный закон РФ «Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации», Федеральный закон РФ «Об оперативно- розыскной деятельности», Семейный кодекс РФ, Трудовой кодекс РФ, Кодекс РФ об административных правонарушениях, Гражданский кодекс РФ, Уголовный кодекс РФ и другие законодательные и подзаконные акты, международное европейское законодательство и национальное законодательство стран ЕС.

Методологическую основу исследования составляют общенаучные и частнонаучные методы: диалектический материализм, системный, структурно-функциональный, исторический, общелогический, формально-юридический, сравнительно-правовой и другие методы. Их применение в сочетании с современными достижениями философской, политологической, социологической и юридической мысли, особенно в части анализа соблюдения и защиты прав и свобод человека и гражданина, позволило сформировать оценку автора уровня и состояния правового регулирования оборота персональных данных в Российской Федерации, и выработать конкретные предложения по его совершенствованию.

Теоретическую базу исследования составили научные труды отечественных и зарубежных авторов по проблемам защиты прав и свобод человека в условиях информационного общества Антопольского А.А., Бачило И.Л., Батурина Ю.М., Закупень Т.В., Лопатина В.Н., Рассолова И.М., Петрухина И.Л., Фатьянова А.А..

Научная новизна исследования заключается в том, что это первое сравнительно-правовое комплексное исследование действующего в РФ и странах ЕС законодательства о соблюдении прав и свобод человека и гражданина в процессе оборота персональных данных. При этом изучению и анализу были подвергнуты наиболее важные и практически не исследованные в российской правовой науке проблемы: цели и принципы правового регулирования оборота персональных данных в РФ и странах ЕС; качество терминологического аппарата Закона РФ «О персональных данных»; различные виды персональных данных и возможные проблемы их оборота; круг субъектов, подпадающих под действие Закона РФ «О персональных данных», различное правовое положение этих субъектов в зависимости от характера складывающихся с их участием правоотношений; установленный порядок контроля, надзора и ответственности в сфере оборота персональных данных в Росси и странах ЕС.

На защиту выносятся следующие положения:

  1. Заявленные цели не везде достаточно исчерпывающе решены в Законе РФ «О персональных данных». Это касается, прежде отсутствия закрепленных в законе общих принципов правового регулирования оборота персональных данных. Закрепленные в законе принципы обработки персональных данных являются технологическими. В результате заявленная цель- охрана прав и свобод человека и гражданина, охрана неприкосновенности частной жизни не охватывается полностью и оказывается необеспеченной необходимыми общими идеологическими принципами.

2. В Законе РФ «О персональных данных» имеет место семантически неудачный выбор ключевого для данного закона термина «обработка персональных данных» и неоправданно широкая его трактовка. Автор предлагает более точный по смыслу термин «оборот персональных данных», позволяющий охватить весь спектр общественных отношений, складывающихся в исследуемой сфере.

3. В Законе РФ «О персональных данных» необоснованно расширен перечень условий обработки персональных данных без согласия их субъекта. В частности, это касается оборота персональных данных в целях профессиональной деятельности журналиста. Закон входит в прямое противоречие с конституционным принципом, в соответствии с которым «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

4. Предложенная в законе группировка персональных данных не обеспечивает достаточную типизацию и конкретизацию персональных данных применительно к режиму их оборота и защиты. Автором предложена собственная группировка персональных данных, основанная на степени свободы оборота тех или иных сведений (свободно обращаемые, ограниченно обращаемые, обращаемые специальных целях, запрещенные к обороту) а также степени тяжести последствий в случае их несанкционированного использования.

5. Нуждается в дальнейшей доработке правовой режим общедоступных персональных данных в части их использования для целей, отличных от тех, для которых они были обнародованы.

6. В законе закреплен неполный круг и статус возможных субъектов правоотношений по поводу оборота и защиты персональных данных: отсутствует такой субъект как пользователь персональных данных, субъект ответственности за нарушения законодательства о персональных данных, недостаточно подробно отражены обязанности операторов информационных систем, особенно в части организационно-технических требований и требований к персоналу операторов-юридических лиц.

7. Законодателем легализовано, но не введено в рамки правовой процедуры использование идентификаторов персональных данных, в связи с чем требуется разработка и закрепление этой процедуры в законе.

8. В сфере применения мер юридической ответственности за нарушения законодательства о защите персональных данных представляется недостаточным использование исключительно карательных санкций. В случаях подобных правонарушений гораздо более важным, чем наказание виновного, является восстановление нарушенных прав потерпевшего. Поэтому применение в данном случае наряду с карательными санкциями (штрафами) санкций реального исполнения представляется наиболее желательным.

9. Целесообразно закрепление в гражданском законодательстве и применения в делах, связанных с нарушениями в сфере оборота и защиты персональных данных граждан альтернативной неденежной формы компенсации морально вреда по согласованию с потерпевшим.

10. Необходимы дальнейшие систематизация и совершенствование законодательства об административной и уголовной ответственности за правонарушения (преступления) в сфере оборота и защиты персональных данных.

11. Предложения по совершенствованию законодательства в сфере оборота и защиты персональных данных, усиления гарантий прав и свобод граждан в этой сфере по всем направлениям исследования с учетом опыта правового регулирования аналогичных отношений в странах ЕС.

Теоретическое значение проведенного исследования состоит в формулировании и обосновании общетеоретических положений относительно института персональных данных в информационном праве, соотношении публично-правового и частно-правового регулирования в рамках этого правового института, уточнения понятийного и терминологического аппарата, критериев и классификации различных видов персональных данных, информационно-правового статуса субъектов правоотношений в исследуемой сфере, соотношении различных видов юридической ответственности, используемых в обеспечении прав и свобод граждан в сфере оборота и защиты персональных данных.

Практическая значимость исследования заключается в разработанных предложениях по совершенствованию действующего законодательства РФ о персональных данных. Содержащиеся в работе теоретические положения и выводы могут быть использованы в учебном процессе преподавания курса информационного права, при подготовке учебников, учебных пособий и других учебно-методических материалов для юридических вузов страны.

Достоверность и обоснованность результатов настоящего диссертационного исследования обеспечивается его комплексным характером, разнообразием применяемых методов, изучением и анализом российского и зарубежного законодательства Европейского Союза и национального законодательства стран ЕС.

Апробация результатов исследования. Основные положения диссертации обсуждались на заседаниях кафедры административного, финансового и информационного права международно-правового факультета МГИМО (У) МИД РФ, отражены в опубликованных автором работах, докладывались на научно-практической конференции МИФИ «Проблемы информационной безопасности в РФ».

Структура диссертации обусловлена целью исследования, и состоит из введения, двух глав, подразделенных на параграфы, заключения и списка использованной литературы.

СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается выбор темы, устанавливается ее актуальность и степень научной разработки. Определяются объект и предмет исследования, его цели и задачи, методологическая база, раскрываются научная новизна, теоретическая и практическая значимость работы, приводятся выводы и предложения автора, выносимые на защиту.

В первой главе «Общая характеристика института персональных данных» исследуются соотношение права на неприкосновенность частной жизни, личную и семейную тайну и права на свободный поиск, получение, использование и распространение информации применительно к информации личного характера- персональным данным личности. Обуславливается появление правового института персональных данных, рассматривается его структура и особенности. Исследуются социальная и индивидуальная составляющие данного явления.

В первом параграфе «Понятие, виды и субъекты персональных данных» устанавливается, что до принятия Федерального закона РФ от 27.07.2006. № 152-ФЗ «О персональных данных» (вступившего в силу 26 января 2007 года), единый согласованный подход к понятию «персональные данные» в российском законодательстве отсутствовал, как отсутствовало и комплексное правовое регулирование данного института.

Автором рассматривается дефиниция понятия «персональные данные», предложенная в Законе РФ «О персональных данных», а также аналогичные дефиниции, содержащиеся в Европейской Конвенции о защите прав личности в связи с автоматизированной обработкой персональных данных и национальных законах о персональных данных стран ЕС. Делается вывод о правомерности определения понятия «персональные данные» как идентифицирующих данных того или иного лица.

Автором рассматриваются различные виды персональных данных, изучается степень тяжести негативных последствий от их несанкционированного использования, исследуется возможность их типизации применительно к отдельным областям человеческой деятельности с учетом соответствующего опыта правового регулирования данных вопросов в странах ЕС. Рассматриваются содержание и правовой режим трех видов персональных данных, выделенных в Законе РФ «О персональных данных» - общедоступных персональных данных, биометрических персональных данных, специальных категорий персональных данных.

Делается вывод о том, что свободный оборот номинативных персональных данных сам по себе не может причинить вреда правам личности, в то время как оборот номинативных данных вкупе с более специальными сведениями (о финансовом положении, перенесенных заболеваниях и т.п.) такой вред может нанести.

Делается также вывод о недостаточной разработке правового режима использования общедоступных персональных данных, о необходимости расширения перечня специальных категорий персональных данных за счет сведений о судимости лица, участии в уголовном судопроизводстве в качестве подозреваемого и обвиняемого, о фактах усыновления (удочерения), а также о принятой или оказанной финансовой помощи. Предлагается авторский поход к типизации всех персональных данных в зависимости от целей их обращения на: свободно обращаемые; ограниченно обращаемые; обращаемые в специальных целях; запрещенные к обороту. Данная классификация, по мнению автора, может служить ориентиром для разработки и установления соответствующих мер ответственности.

Диссертантом анализируется соответствующий опыт правового регулирования в странах ЕС по защите персональных данных, и обосновывается правомерность использованного в Законе РФ «О персональных данных» широкого подхода к понятию персональных данных. Делается вывод, о невозможности установления закрытого перечня персональных данных, так как это повлечет неизбежное «сужение» области правовой защиты информации о личности.

Диссертантом рассматривается субъектный состав правоотношений по защите персональных данных, закрепленный в Законе РФ «О персональных данных». Делается вывод о необходимости его дополнения субъектами ответственности и субъектами- пользователями персональных данных.

Автором рассматриваются различные виды правоотношений, складывающиеся в исследуемой сфере (отношения субъект-оператор», «оператор-субъект» и «оператор-оператор»), изучаются их особенности в зависимости от их субъектного состава и стороны, их инициировавшей, подчеркивается, что правовое регулирование защиты персональных данных должно строиться на балансе вышеуказанных групп отношений, т.к баланс этот представляет собой баланс интересов государства и личности.

Во втором параграфе «Конфиденциальность персональных данных» автор исследует проблему обеспечения конфиденциальности персональных данных в различных сферах общественной жизни и анализирует установленный в Законе РФ «О персональных данных» комплекс гарантий конфиденциальности персональных данных. Автором проводится также сравнительный анализ положений данного закона с положениями соответствующих законов стран ЕС.

По мнению автора, в исследуемом законе проблема конфиденциальности решена не полностью. Основное внимание уделено вопросам обеспечения конфиденциальности в процессе обработки персональных данных, тогда как остались не урегулированными вопросы обеспечения конфиденциальности персональных данных в условиях свободы СМИ и проблема необходимых изъятий из общего принципа конфиденциальности в процессе выборов и деятельности публичных персон. Делается вывод о несоответствии нормам Конституции о недопустимости сбора и использовании информации о частной жизни лица без его согласия, положения Закона РФ «О персональных данных» об обязательности предоставления субъектом своих персональных данных для целей журналистской деятельности.

Автором отмечено, что в исследуемом законе не затронуты вопросы, касающиеся возможного так называемого «рутинного использования» персональных данных государственными ведомствами; в то время как скорее всего, на практике такая деятельность будет иметь место. Значит, необходимо законодательное закрепление этой процедуры, как это сделано в национальных законах о персональных данных некоторых стран ЕС.

Не установлены с достаточной степенью конкретизации организационно-технические принципы деятельности операторов-юридических лиц, в том числе, требования к их персоналу и к безопасности информационных систем, обеспечивающие конфиденциальность персональных данных в процессе их обработки. Автором делается вывод о необходимости установления общих требований к разработке и содержанию актов локального правового регулирования, касающихся порядка выполнения трудовых функций работниками, имеющими дело с персональными данными и их системами.

По мнению автора, требуется развитие положений закона о правовом режиме использования идентификаторов. В нынешней редакции закона использование идентификаторов фактически легализовано, но правовой режим их применения не установлен.

С учетом анализа соответствующих положений национальных законов о персональных данных стран ЕС, автором делается вывод о необходимости законодательного закрепления изъятий из общего режима конфиденциальности персональных данных лиц, замещающих или избирающихся на замещение высоких государственных должностей. В то же время, автором отмечается, что исчерпывающая правовая регламентация в этом вопросе вряд ли возможна.

В третьем параграфе «Оборот (сбор, обработка, использование, распространение) персональных данных автором изучен порядок обработки персональных данных, установленный в законе РФ «О персональных данных», проведен сравнительно-правовой анализ с соответствующими положениями национального законодательства стран ЕС.

Прежде всего, автором делается вывод о крайне неудачно примененном законодателем термине «обработка», под которым, согласно закону, понимаются все возможные действия (операции) с персональными данными, тогда как семантически слово «обработка» означает лишь одно- действие от глагола «обрабатывать». Автором предлагается заменить термин «обработка» на более подходящий по смыслу термин «оборот», означающий полный цикл какого-либо процесса (деятельности), и более отвечающим заявленным целям закона (обеспечение защиты прав и свобод человека и гражданина, в том числе, неприкосновенности частной жизни, личной и семейной тайны.

Автором отмечается, что установленные в Законе РФ «О персональных данных» принципы обработки персональных данных не должны заменять собой общие принципы деятельности по обороту и защите персональных данных. В числе таких принципов, по мнению автора, должны быть принцип законности деятельности операторов, принцип добровольности предоставления персональных данных субъектом, принцип ответственности операторов и т.п.

Анализ национальных законов стран ЕС позволил автору сделать вывод о целесообразности закрепления в законе нового субъекта правоотношений, связанных с оборотом и защитой персональных данных - пользователя персональных данных, определение его правового положения и принципов взаимоотношений с операторами.

Сравнительно-правовой анализ Закона РФ «О персональных данных» и соответствующих национальных законов стран ЕС позволил автору сделать вывод о необходимости закрепления в рассматриваемом законе общих принципов и порядка деятельности закрытых информационных систем в области безопасности и правопорядка.

Изучая закрепленный в Законе РФ «О персональных данных» правовой статус будущего исполнительного контрольно-надзорного органа в области защиты прав субъектов персональных данных, автором делается вывод о том, что целесообразнее было бы воспринять зарубежный опыт, и сделать этот орган независимым, по аналогии с институтом омбудсмена.

Во второй главе «Ответственность за нарушение законодательства о защите персональных данных» диссертационного исследования автор исследует проблемы применения мер ответственности за правонарушения в области оборота и защиты персональных данных.

Диссертантом, отмечается, что, несмотря на то, что отдельные нормы, регулирующие порядок оборота персональных данных и устанавливающие меры ответственности за их нарушение, существовали и до принятия Закона РФ «О защите персональных данных», из-за того, что комплексное правовое регулирование данного института отсутствовало, да и сам институт персональных данных находился в стадии формирования, нормы о применении санкций практически не использовались. Автор подчеркивает, что проблема юридических санкций в целом обширна и многогранна, поэтому в данном исследовании она рассматривается только с позиций анализа закрепленных в настоящий момент в законе составов соответствующих правонарушений. Автором отмечается необходимость дальнейшего совершенствования правового механизма применения мер ответственности в связи с принятием Закона РФ «О персональных данных», и предлагаются некоторые направления этой работы.

В первом параграфе «Административно-правовая ответственность за нарушения законодательства о защите персональных данных» анализируется содержание Особенной части КоАП применительно к рассматриваемым отношениям. Автором отмечается, что в Кодексе отдельные составы правонарушений, относящиеся к этой области, «разбросаны» по разным главам Особенной части и не систематизированы. Автором выделяются и подвергаются анализу с точки зрения вновь принятого Закона РФ «О персональных данных» три состава административных правонарушений, объектом которых непосредственно являются общественные отношения в сфере оборота и защиты персональных данных граждан: «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных» (13.11 КоАП); «разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (13.14 КоАП)»; «отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации» (ст. 5.39 КоАП).

Также автором рассматриваются составы административных правонарушений, относящиеся к иным сферам общественных отношений, однако затрагивающие в той или иной степени и вопросы оборота персональных данных. К ним относятся административные правонарушения в области защиты прав граждан в кредитно-финансовой сфере (связанные с исполнением закона «О кредитных историях»). При этом автором подчеркивается сведения об имущественном положении лица составляют весьма важную, и притом «чувствительную» часть массива его персональных данных, и что в законах о персональных данных некоторых европейских странах информация о кредитах и финансах частного лица выделена в отдельную категорию информации и регулируется специальными положениями законов о персональных данных.

Автором рассматриваются также административные правонарушения в сфере избирательных прав и прав на участие в референдуме. Автором делается вывод, что данная группа административных правонарушений может толковаться и с позиций защиты прав граждан-участников избирательных кампаний.

С учетом изложенного, в целях обеспечения исполнения Закона РФ «О персональных данных», автор предлагает установить в КоАП административную ответственность за: незаконный сбор, хранение, использование и разглашение информации, относящейся к специальным категориям персональных данных; несоблюдение установленных законодательством правил сбора и обработки персональных данных; за осуществление деятельности по сбору и обработке персональных данных оператором без уведомления Уполномоченного органа по защите персональных данных, если федеральным законодательством такое уведомление обязательно; за нарушение прав субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

Рассматривая проблему применения санкций в указанной сфере, автором делается вывод что в такой сфере, как защита прав и свобод граждан в области защиты персональных данных, использование только карательных санкций, как это закреплено сейчас в КоАП, представляется совершенно недостаточным и неэффективным. В случаях подобных правонарушений, по мнению автора, не менее важным, чем наказание виновного, является восстановление нарушенных прав потерпевшего. Поэтому применение в данном случае наряду с карательными санкциями (штрафами) санкций реального исполнения представляется наиболее желательным.

Во втором параграфе «Уголовно-правовая ответственность за нарушения законодательства о защите персональных данных» автором изучаются проблемы применения уголовных санкций за преступления в области защиты персональных данных. Автор отмечает, что такое понятие, как «персональные данные» в Уголовном кодексе, также, как и в КоАП, отсутствует. Соответственно, нет в нем и специальных составов преступлений, прямо предусматривающих ответственность за нарушения в сфере оборота и защиты персональных данных. Однако в УК есть ряд статей, в которых не используется термин «персональные данные», но фактически предусматривается ответственность именно за правонарушения, объектом которых являются общественные отношения в сфере оборота и защиты персональных данных. Среди них «Нарушение неприкосновенности частной жизни» (ст. 137 УК); «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений» (ст.138 УК); «Неправомерный доступ к компьютерной информации (ст.272 УК). «Разглашение тайны усыновления (удочерения)» (ст.155 УК). Автор анализирует данные составы преступлений с точки зрения защиты персональных данных.

Автор считает также необходимым дополнить УК такими составами преступлений в области защиты персональных данных, как: неправомерный доступ к информационным системам персональных данных; незаконное собирание и (или) распространение информации, относящейся к специальным категориям персональных данных, то есть сведений, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья и интимной жизни, если такие действия повлекли причинение морального или материального вреда. По мнению диссертанта, установление уголовно- правовой охраны в отношении данных нарушений вполне уместно в современной России, где традиции уважения к частной жизни лица пока еще недостаточно укоренились. Кроме того, нужно учитывать и значительный моральный и материальный ущерб, который наносится лицу при распространении такого рода сведений.

В целом автор приходит к выводу, что с принятием Закона РФ «О персональных данных» включение в УК новых составов, так же, как переработка ныне действующих, неизбежна. Уголовно-правовая охрана правопорядка в данной сфере необходима, однако при этом она не должна становиться доминирующей. По мнению диссертанта, доминирующими мерами ответственности должны быть, скорее, административные и гражданско-правовые санкции, позволяющие восстановить нарушенное право и возместить потерпевшему причиненный ущерб. Важное значение имеет и простая популяризация в обществе идеи уважения к частной жизни гражданина, ведь и компьютерный хакер, и недобросовестный нотариус, и оперативник МВД в своей частной жизни являются простыми обывателями, так же, как и все, заинтересованными в защите своего «домашнего» мира от посторонних глаз.

В третьем параграфе «Гражданско-правовая» ответственность за нарушения законодательства о защите персональных данных» автором изучаются особенности применения мер гражданско-правовой ответственности за нарушения в сфере защиты персональных данных: компенсации морального вреда; возмещения ущерба; опровержения порочащих сведений. Прежде всего, автором исследуется понятие «нематериальные блага и неимущественные права» (жизнь, здоровье, достоинство личности, личная неприкосновенность, честь и доброе имя, деловая репутация, неприкосновенность частной жизни, личная и семейная тайна), и делается вывод, что складывающиеся по поводу этих явлений общественные отношения в целом охватываются институтом персональных данных. Однако сами персональные данные не являются и не исчерпываются ни одной из вышеперечисленных категорий, поэтому, по мнению автора, персональные данные личности должны признаваться самостоятельной ценностью индивида, и являться самостоятельным объектом гражданско-правовой защиты. Поэтому, если нарушение правовых норм, регулирующих оборот и защиту персональных данных личности, причинило субъекту персональных данных имущественный ущерб или моральный вред, то возникает соответствующее гражданско-правовое обязательство вследствие причинения вреда.

Автором высказывается предположение, что в сфере оборота и защиты персональных данных компенсация морального вреда станет основной формой гражданско-правовой защиты указанных общественных отношений. При этом автор указывает на две проблемы, возникающие при реализации этой меры ответственности. Во-первых, это проблема получения возмещения потерпевшим из-за несостоятельности должника. Во-вторых, это необходимость законодательного закрепления альтернативной к денежному возмещению морального вреда санкции- принесения извинений потерпевшему, которая раньше использовалась в российском праве. В обоснование своей позиции автор подчеркивает, что моральный вред есть вред душевный, психологический, поэтому нельзя недооценивать и важность психологический реабилитации лица.

В четвертом параграфе «Дисциплинарная ответственность за нарушения законодательства о защите персональных данных» автор рассматривает применение мер ответственности за нарушение порядка работы с персональными данными в рамках трудовых отношений. Автором отмечается, что в контексте Закона РФ «О персональных данных» все работодатели являются операторами информационных систем персональных данных работников, поэтому нормы о дисциплинарной ответственности могут быть применены в равной мере как к работодателям, ведущим сбор и обработку персональных данных своих работников в рамках трудовых отношений, так и к работникам других операторов информационных систем, ведущих сбор и обработку персональных данных с иными целями. Порядок работы с персональными данными в рамках трудовых отношений достаточно подробно регулируется Трудовым кодексом.

Автором выделены особенности применения мер дисциплинарной ответственности за нарушения законодательства о защите персональных данных: 1) субъектами мер дисциплинарной ответственности в рассматриваемой области могут быть только стороны трудовых отношений- то есть работодатель и работник; 2) эти меры ответственности могут быть применены только, если нарушены правила обработки персональных данных, являющиеся трудовой функцией конкретного работника, и закрепленные трудовым договором, локальными нормативными актами, Трудовым кодексом и специальными нормативными актами в области защиты персональных данных; 3) меры дисциплинарной ответственности применяются к случаям совершения относительно незначительных правонарушений, не причиняющими существенного вреда и не являющимися общественно- опасными.

Автор анализирует понятие персональных данных работника, закрепленное в ТК, и приходит к выводу, что оно слишком неопределенно и дает возможность расширительного толкования. В то же время, по мнению, автора, установление закрытого перечня в данных отношениях невозможно.

Автор обращает внимание на то, что согласно нынешней редакции ТК защите подлежат только лишь персональные данные работника, но не соискателя. В то же время, при прохождении процедуры устройства на работу именно соискатель предоставляет значительный массив персональных данных потенциальному работодателю, значит, правовая защита должна распространяться и на них.

Анализ норм, запрещающих требовать от соискателя информации, не предусмотренной ТК, позволяет автору сделать вывод, что нарушение данного запрета не всегда будет составлять дисциплинарный проступок. Важное значение имеют обстоятельства конкретного дела, а именно: добровольность предоставления данных соискателем, а также основание и характер юридических последствий.

В целом автором делается вывод о том, что нормами трудового права защита персональных данных работника обеспечена на хорошем уровне. Однако то, насколько хорошо они будут исполняться, зависит от работодателя, поскольку применение мер дисциплинарной ответственности является исключительно его прерогативой. Конкретные составы проступков в законе не определены, они устанавливаются на основе норм трудового договора работника и документов локального нормативного регулирования. Это позволяет диссертанту сделать вывод о том, что именно в этом и видится основная проблема применения данного вида ответственности. Российские работодатели традиционно не уделяют достаточно внимания внутреннему нормативному регулированию деятельности организации, что применительно к защите персональных данных работников может обернуться многочисленными нарушениями действующего законодательства. Диссертантом отмечается, что ситуация усугубляется еще и тем, что применение мер дисциплинарной ответственности является внутренним делом работодателя, и для того, чтобы применить взыскание к недисциплинированному работнику, требуется, как минимум, дисциплинированный работодатель.

В заключении приводятся основные выводы, сделанные в работе и намечаются дальнейшие пути совершенствования правового регулирования оборота и защиты персональных данных.

Основные положения диссертации раскрыты в следующих публикациях:

1. Петрыкина Н.И. Некоторые вопросы регулирования оборота

персональных данных в РФ. \\ Московский журнал международного права № 2 2007 г., 0,7 п.л.

2. Петрыкина Н.И. К вопросу об использовании термина «обработка»

применительно к Федеральному закону от 27.07.2006. № 152-ФЗ «О персональных данных» \\ Вестник Университета МВД РФ (журнал), № 4, 2007 г., 0,4 п.л.

3. Петрыкина Н.И. Институт персональных данных в России. \\ Сборник научных трудов (науч. сессия МИФИ) 2006 г.,-0,20 п.л.

4. Петрыкина Н.И. Персональные данные работника. \\ Кадровый менеджмент (журнал), № 9 2005, 0,4 п.л.

5. Петрыкина Н.И. Конфиденциальность персональных данных. \\ Законы России: опыт, анализ, практика (журнал), № 6, 2007 г, 0,8 п.л.


[1] Концепция персонального учета населения- СЗ РФ№ 24-ст. 2414.

[2] Конституция РФ- М., 1993 г.

[3] Собрание законодательства РФ 08.07.1996. -№ 28, ст. 3347

[4] Собрание законодательства РФ, 01.01.1996- № 1,ст.16

[5] Собрание законодательства РФ 01.01.1996.- №1 ст.16

[6] Собрание законодательства РФ 07.01.2002 № 1 ст.3

[7] Собрание законодательства РФ 17.06.1996 №25 ст. 2954

[8] Собрание законодательства РФ 07.01.2002 № 1(часть1) ст.3

[9] Собрание законодательства РФ 05.12.1994. № 2 ст. 3301

[10] Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006 г.

[11] Фатьянов А.А. Правовое обеспечение безопасности информации в Российской Федерации.-М., 2001.

[12] Бачило И.Л., Сергиенко Л.А., Кристальный Б.В., Арешев А.Г. Персональные данные в структуре информационных ресурсов. Основы правового регулирования. Минск, 2006 г



 




<
 
2013 www.disus.ru - «Бесплатная научная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.