52. ПРАВОВОЙ РЕЖИМ ИНФОРМАЦИОННЫХ СИСТЕМ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СРЕДСТВ ИХ ОБЕСПЕЧЕНИЯ
53. ПОРЯДОК РАЗРАБОТКИ И ВНЕДРЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ, ТЕХНОЛОГИЙ И СРЕДСТВ ОБЕСПЕЧЕНИЯ
54. ГОСУДАРСТВЕННАЯ ПОЛИТИКА В ОБЛАСТИ СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СРЕДСТВ ИХ ОБЕСПЕЧЕНИЯ
55. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
56. СУБЪЕКТЫ И ОБЪЕКТЫ ИНФОРМАЦИОННЫХ ПРАВООТНОШЕНИЙ
57. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
58. УПОЛНОМОЧЕННЫЙ ПО ПРАВАМ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
59. ПРАВОВОЙ СТАТУС УПОЛНОМОЧЕННОГО
Основными источниками правового регулирования отношений в области создания и применения автоматизированных информационных систем, информационных технологий средств связи и телекоммуникаций являются
Федеральный закон «Об информации, информатизации и защите информации»(гл. 4 «Информатизация. Информационные системы, технологии и средства их обеспечения»), Гражданский кодекс РФ, а также Закон РФ «О сертификации продукции и услуг», Федеральные законы «О связи», «О федеральной фельдъегерской связи», «О почтовой связи».
Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства.
Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом.
Информационные системы, технологии и средства их обеспечения включаются в состав имущества субъекта, осуществляющего права собственника или владельца этих объектов. Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков.
Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.
Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам.
Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством РФ.
Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом РФ «О сертификации продукции и услуг».
Информационные системы органов государственной власти РФ, и органов государственной власти субъектов Российской Федерации, и других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством, РФ.
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством РФ.
Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами РФ на основе международной системы сертификации. Вопросы сертификации в информационной сфере определяются нормами Закона РФ «О сертификации продукции и услуг».
Федеральным законом от 25 сентября 1998 г. № 158-ФЗ «О лицензировании отдельных видов деятельности» установлен перечень видов деятельности, на осуществление которых требуются лицензии, в частности: деятельность по распространению шифровальных средств, техническому обслуживанию шифровальных средств; предоставление услуг в области шифрования информации.
Информационные системы, технологии и средства их обеспечения могут быть объектами собственности физических и юридических лиц, государства.
Собственником информационной системы, технологии и средств их обеспечения признается физическое или юридическое лицо, на средства которого эти объекты произведены, приобретены или получены в порядке наследования, дарения или иным законным способом.
Информационные системы, технологии и средства их обеспечения включаются в состав имущества субъекта, осуществляющего права собственника или владельца этих объектов. Информационные системы, технологии и средства их обеспечения выступают в качестве товара (продукции) при соблюдении исключительных прав их разработчиков.
Собственник информационной системы, технологии и средств их обеспечения определяет условия использования этой продукции.
Право авторства и право собственности на информационные системы, технологии и средства их обеспечения могут принадлежать разным лицам.
Собственник информационной системы, технологии и средств их обеспечения обязан защищать права их автора в соответствии с законодательством РФ.
Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом РФ «О сертификации продукции и услуг».
Информационные системы органов государственной власти РФ, и органов государственной власти субъектов Российской Федерации, и других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством, РФ.
Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством РФ.
Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами РФ на основе международной системы сертификации. Вопросы сертификации в информационной сфере определяются нормами Закона РФ «О сертификации продукции и услуг».
Федеральным законом от 25 сентября 1998 г. № 158-ФЗ «О лицензировании отдельных видов деятельности» установлен перечень видов деятельности, на осуществление которых требуются лицензии, в частности: деятельность по распространению шифровальных средств, техническому обслуживанию шифровальных средств; предоставление услуг в области шифрования информации.
53. ПОРЯДОК РАЗРАБОТКИ И ВНЕДРЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ, ТЕХНОЛОГИЙ И СРЕДСТВ ОБЕСПЕЧЕНИЯ
Отношения, возникающие при разработке и внедрении информационных систем,технологий и средств их обеспечения, регулируются нормами ГК РФ (гл. 38 «Выполнение научно-исследовательских опытно-конструкторских и технологических работ»). Работы, связанные с созданием и вводом в действие автоматизированных информационных систем, технологий и средств их обеспечения, включая проведение научно-исследовательских работ, проектных работ по созданию таких объектов, выполняются на условиях договора на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ(ст. 769 ГК).
По договору на выполнение научно-исследовательских работ исполнитель обязуется провести обусловленные техническим заданием заказчика научные исследования, а по договору на выполнение опытно-конструкторских и технологических работ – разработать образец нового изделия, конструкторскую документацию на него или новую технологию, а заказчик обязуется принять работу и оплатить ее.
Исполнитель обязан провести научные исследования лично. Он вправе привлекать к исполнению договора на выполнение научно-исследовательских работ третьих лиц только с согласия заказчика.
При выполнении опытно-конструкторских или технологических работ исполнитель вправе, если иное не предусмотрено договором, привлекать к его исполнению третьих лиц. К отношениям исполнителя с третьими лицами применяются правила о генеральном подрядчике и субподрядчике.
Стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре.
Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.
Стороны в договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ имеют право использовать результаты работ, в том числе способные к правовой охране, в пределах и на условиях, предусмотренных договором.
Исполнительв договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ обязан:
• выполнить работы в соответствии с согласованным с заказчиком техническим заданием и передать заказчику их результаты в предусмотренный договором срок;
• согласовать с заказчиком необходимость использования охраняемых результатов интеллектуальной деятельности, принадлежащих третьим лицам, и приобретение прав на их использование;
• своими силами и за свой счет устранять допущенные по его вине в выполненных работах недостатки, которые могут повлечь отступления от технико-экономических параметров, предусмотренных в техническом задании или в договоре;
• незамедлительно информировать заказчика об обнаруженной невозможности получить ожидаемые результаты или о нецелесообразности продолжения работы;
• гарантировать заказчику передачу полученных по договору результатов, не нарушающих исключительных прав других лиц.
Заказчикв договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ обязан:
• передавать исполнителю необходимую для выполнения работы информацию;
• принять результаты выполненных работ и оплатить их.
По договору на выполнение научно-исследовательских работ исполнитель обязуется провести обусловленные техническим заданием заказчика научные исследования, а по договору на выполнение опытно-конструкторских и технологических работ – разработать образец нового изделия, конструкторскую документацию на него или новую технологию, а заказчик обязуется принять работу и оплатить ее.
Исполнитель обязан провести научные исследования лично. Он вправе привлекать к исполнению договора на выполнение научно-исследовательских работ третьих лиц только с согласия заказчика.
При выполнении опытно-конструкторских или технологических работ исполнитель вправе, если иное не предусмотрено договором, привлекать к его исполнению третьих лиц. К отношениям исполнителя с третьими лицами применяются правила о генеральном подрядчике и субподрядчике.
Стороны обязаны обеспечить конфиденциальность сведений, касающихся предмета договора, хода его исполнения и полученных результатов. Объем сведений, признаваемых конфиденциальными, определяется в договоре.
Каждая из сторон обязуется публиковать полученные при выполнении работы сведения, признанные конфиденциальными, только с согласия другой стороны.
Стороны в договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ имеют право использовать результаты работ, в том числе способные к правовой охране, в пределах и на условиях, предусмотренных договором.
Исполнительв договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ обязан:
• выполнить работы в соответствии с согласованным с заказчиком техническим заданием и передать заказчику их результаты в предусмотренный договором срок;
• согласовать с заказчиком необходимость использования охраняемых результатов интеллектуальной деятельности, принадлежащих третьим лицам, и приобретение прав на их использование;
• своими силами и за свой счет устранять допущенные по его вине в выполненных работах недостатки, которые могут повлечь отступления от технико-экономических параметров, предусмотренных в техническом задании или в договоре;
• незамедлительно информировать заказчика об обнаруженной невозможности получить ожидаемые результаты или о нецелесообразности продолжения работы;
• гарантировать заказчику передачу полученных по договору результатов, не нарушающих исключительных прав других лиц.
Заказчикв договорах на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ обязан:
• передавать исполнителю необходимую для выполнения работы информацию;
• принять результаты выполненных работ и оплатить их.
54. ГОСУДАРСТВЕННАЯ ПОЛИТИКА В ОБЛАСТИ СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И СРЕДСТВ ИХ ОБЕСПЕЧЕНИЯ
Федеральным законом «Об информации, информатизации и защите информации» определена государственная политика в сфере создания и применения
автоматизированных информационных систем, средств связи и телекоммуникаций:
• создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;
• содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;
• обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;
• формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
• поддержка проектов и программ информатизации;
• создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;
• развитие законодательства в этой области.
Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.
Государство создает условия для проведения научно-исследовательских и опытно-конструкторских работ в области разработки и производства информационных систем, технологий и средств их обеспечения.
Правительство РФ определяет приоритетные направления развития информатизации и устанавливает порядок их финансирования. Разработка и эксплуатация федеральных информационных систем финансируются из средств федерального бюджета по статье расходов «Информатика» («Информационное обеспечение»).
Органы государственной статистики совместно с Министерством РФ по связи и информатизации устанавливают правила учета и контроля за состоянием отрасли экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Федеральным законом от 15 августа 1996 г. № 115-ФЗ «О бюджетной классификации Российской Федерации» (приложение № 3 к этому Закону) в рамках фундаментальных исследований и содействия научно-техническому прогрессу решаются вопросы финансирования таких направлений, как информатика(информационное обеспечение); разработка перспективных технологий и приоритетных направлений научно-технического прогресса; транспорт, дорожное хозяйство, связь и информатика.
Кроме того, ГК РФ регулируются отношения, возникающие при заключении государственных контрактов на выполнение подрядных работ для государственных нужд, в том числе для разработки государственных автоматизированных информационных систем. К государственным контрактам на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ для государственных нужд применяются правила ст. 763–768 ГК.
• создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве РФ;
• содействие формированию рынка информационных ресурсов, услуг, информационных систем, технологий, средств их обеспечения;
• обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации;
• формирование и осуществление единой научно-технической и промышленной политики в сфере информатизации с учетом современного мирового уровня развития информационных технологий;
• поддержка проектов и программ информатизации;
• создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов информатизации;
• развитие законодательства в этой области.
Все виды производства информационных систем и сетей, технологий и средств их обеспечения составляют специальную отрасль экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Государственные и негосударственные организации, а также граждане имеют равные права на разработку и производство информационных систем, технологий и средств их обеспечения.
Государство создает условия для проведения научно-исследовательских и опытно-конструкторских работ в области разработки и производства информационных систем, технологий и средств их обеспечения.
Правительство РФ определяет приоритетные направления развития информатизации и устанавливает порядок их финансирования. Разработка и эксплуатация федеральных информационных систем финансируются из средств федерального бюджета по статье расходов «Информатика» («Информационное обеспечение»).
Органы государственной статистики совместно с Министерством РФ по связи и информатизации устанавливают правила учета и контроля за состоянием отрасли экономической деятельности, развитие которой определяется государственной научно-технической и промышленной политикой информатизации.
Федеральным законом от 15 августа 1996 г. № 115-ФЗ «О бюджетной классификации Российской Федерации» (приложение № 3 к этому Закону) в рамках фундаментальных исследований и содействия научно-техническому прогрессу решаются вопросы финансирования таких направлений, как информатика(информационное обеспечение); разработка перспективных технологий и приоритетных направлений научно-технического прогресса; транспорт, дорожное хозяйство, связь и информатика.
Кроме того, ГК РФ регулируются отношения, возникающие при заключении государственных контрактов на выполнение подрядных работ для государственных нужд, в том числе для разработки государственных автоматизированных информационных систем. К государственным контрактам на выполнение научно-исследовательских работ, опытно-конструкторских и технологических работ для государственных нужд применяются правила ст. 763–768 ГК.
55. ПЕРСОНАЛЬНЫЕ ДАННЫЕ
В мире и в Европе
отношения, связанные с обращением персональных данных,регулируются достаточно давно. Актуальность и своевременность принятия законов, регулирующих отношения в области защиты персональных данных, подтверждается зарубежным опытом.
Совет Европы принял 28 января 1981 г. в Страсбурге «Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера», которая вступила в силу 1 октября 1985 г.
Цель Конвенции– гарантировать на территории каждой страны каждому частному лицу независимо от его национальности и места проживания соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера.
В Конвенции даны следующие определения:
• данные личного характера – любая информация, относящаяся к физическому лицу, идентифицированному или которое может быть идентифицировано («информационный субъект»);
• особые категории данных – данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни;
• автоматизированная обработка данных подразумевает операции, выполняемые с помощью автоматизированных процессов: запись данных, применение к этим данным логических и (или) арифметических операций, их идентификация, извлечение или распространение;
• автоматизированная картотека – любая совокупность информации, являющейся объектом автоматизированной обработки; владелец картотеки – физическое или юридическое лицо, публичная власть, служба или другой орган, которые компетентны в соответствии с национальным законодательством решать вопрос о конечной цели картотеки, какие категории данных личного характера должны регистрироваться и какие операции должны производиться.
Особые категории данных подлежат автоматической обработке только в том случае, если внутреннее право предоставляет надлежащие гарантии. То же самое относительно данных личного характера, связанных с уголовным осуждением.
В соответствии с установлениями указанной Конвенции любое лицо должно иметь возможность:
• узнать о существовании автоматизированной картотеки данных личного характера, ее цели, а также личность, местонахождение и принцип назначения владельца картотеки;
• получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме;
• требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений внутреннего законодательства и принципов данной Конвенции;
• обратиться к следующей инстанции, если не было получено ответа на запрос о подтверждении, выдаче, исправлении и т. д.
Институт персональных данных в России только формируется. Активизации его формирования способствует Интернет, в котором персональные данные подлежат защите.
Основной целью данного института следует считать защиту законных прав и свобод человека и гражданина.
Совет Европы принял 28 января 1981 г. в Страсбурге «Конвенцию о защите частных лиц в отношении автоматизированной обработки данных личного характера», которая вступила в силу 1 октября 1985 г.
Цель Конвенции– гарантировать на территории каждой страны каждому частному лицу независимо от его национальности и места проживания соблюдение его прав и основных свобод, и особенно его права на личную жизнь в аспекте автоматизированной обработки данных личного характера.
В Конвенции даны следующие определения:
• данные личного характера – любая информация, относящаяся к физическому лицу, идентифицированному или которое может быть идентифицировано («информационный субъект»);
• особые категории данных – данные личного характера, отражающие расовое происхождение, политические убеждения, религиозные верования или другие принципы, а также относящиеся к здоровью или сексуальной жизни;
• автоматизированная обработка данных подразумевает операции, выполняемые с помощью автоматизированных процессов: запись данных, применение к этим данным логических и (или) арифметических операций, их идентификация, извлечение или распространение;
• автоматизированная картотека – любая совокупность информации, являющейся объектом автоматизированной обработки; владелец картотеки – физическое или юридическое лицо, публичная власть, служба или другой орган, которые компетентны в соответствии с национальным законодательством решать вопрос о конечной цели картотеки, какие категории данных личного характера должны регистрироваться и какие операции должны производиться.
Особые категории данных подлежат автоматической обработке только в том случае, если внутреннее право предоставляет надлежащие гарантии. То же самое относительно данных личного характера, связанных с уголовным осуждением.
В соответствии с установлениями указанной Конвенции любое лицо должно иметь возможность:
• узнать о существовании автоматизированной картотеки данных личного характера, ее цели, а также личность, местонахождение и принцип назначения владельца картотеки;
• получить в подходящее время, через любой срок и без особых затрат подтверждение наличия или отсутствия в автоматизированной картотеке данных личного характера, к нему относящихся, а также получить эти данные в надлежащей форме;
• требовать в случае необходимости исправления или стирания данных, если они были обработаны с нарушением положений внутреннего законодательства и принципов данной Конвенции;
• обратиться к следующей инстанции, если не было получено ответа на запрос о подтверждении, выдаче, исправлении и т. д.
Институт персональных данных в России только формируется. Активизации его формирования способствует Интернет, в котором персональные данные подлежат защите.
Основной целью данного института следует считать защиту законных прав и свобод человека и гражданина.
56. СУБЪЕКТЫ И ОБЪЕКТЫ ИНФОРМАЦИОННЫХ ПРАВООТНОШЕНИЙ
В качестве
субъектов информационных правоотношений института персональных данныхвыступают:
• субъект персональных данных (субъект) – человек, к которому относятся соответствующие персональные данные;
• держатель (обладатель) массива персональных данных (держатель (обладатель) – федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, а также юридические лица, определяемые Правительством РФ, осуществляющие работу с массивами персональных данных на законных основаниях; ^ получатель персональных данных (получатель) – юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются (передаются массивы) персональные данные.
К объектам информационных правоотношенийотносятся:
• информация персонального характера (персональные данные) – зафиксированная на материальном носителе информация о конкретном человеке, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности;
• перечень персональных данных – список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных;
• массив персональных данных – упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных.
Вводятся следующие понятия:
• режим конфиденциальности персональных данных– нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных;
• сбор персональных данных – документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством;
• согласие субъекта персональных данных – свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными;
• передача персональных данных – предоставление персональных данных их держателем (обладателем) третьим лицам в соответствии с федеральным законодательством и международными договорами;
• трансграничная передача персональных данных – передача персональных данных их держателем (обладателем) другим держателям, находящимся под юрисдикцией других государств;
• актуализация персональных данных – внесение изменений в персональные данные в порядке, установленном действующим законодательством;
• блокирование персональных данных – временное прекращение передачи, уточнения, использования и уничтожения персональных данных;
• уничтожение (стирание или разрушение) персональных данных – действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание;
• обезличивание персональных данных – изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
• субъект персональных данных (субъект) – человек, к которому относятся соответствующие персональные данные;
• держатель (обладатель) массива персональных данных (держатель (обладатель) – федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления, а также юридические лица, определяемые Правительством РФ, осуществляющие работу с массивами персональных данных на законных основаниях; ^ получатель персональных данных (получатель) – юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются (передаются массивы) персональные данные.
К объектам информационных правоотношенийотносятся:
• информация персонального характера (персональные данные) – зафиксированная на материальном носителе информация о конкретном человеке, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности;
• перечень персональных данных – список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных;
• массив персональных данных – упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных.
Вводятся следующие понятия:
• режим конфиденциальности персональных данных– нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных;
• сбор персональных данных – документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством;
• согласие субъекта персональных данных – свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными;
• передача персональных данных – предоставление персональных данных их держателем (обладателем) третьим лицам в соответствии с федеральным законодательством и международными договорами;
• трансграничная передача персональных данных – передача персональных данных их держателем (обладателем) другим держателям, находящимся под юрисдикцией других государств;
• актуализация персональных данных – внесение изменений в персональные данные в порядке, установленном действующим законодательством;
• блокирование персональных данных – временное прекращение передачи, уточнения, использования и уничтожения персональных данных;
• уничтожение (стирание или разрушение) персональных данных – действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание;
• обезличивание персональных данных – изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
57. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
Формы государственного регулирования работы с персональными даннымиГосударство регулирует работу с персональными данными в следующих формах:
• лицензирование работы с персональными данными;
• учет и регистрация массивов персональных данных и их держателей (обладателей);
• сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;
• заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.
Лицензирование работы с персональными данными
1. Лицензия на проведение работы с персональными данными выдается в порядке, установленном законодательством РФ.
В лицензии указываются: цели сбора и использования персональных данных, режимы и сроки их хранения; категории или группы субъектов персональных данных; перечень персональных данных; источники сбора персональных данных; порядок информирования субъектов о сборе и возможной передаче их персональных данных; меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными; требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
2. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать указание (ссылку) на выданную лицензию.
Уполномоченный по правам субъектов персональных данных хранит сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию,
Отзыв лицензии
Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
• нарушения условий лицензии;
• подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
• ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица – держателя массива персональных данных;
• по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных; по решению суда.
Регистрация массивов и держателей (обладателей) персональных данных
Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном органе государственной власти по персональным данным. При регистрации фиксируются:
• наименование массива персональных данных;
• наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
• цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
• перечень собираемых персональных данных; категории или группы субъектов персональных данных.
• лицензирование работы с персональными данными;
• учет и регистрация массивов персональных данных и их держателей (обладателей);
• сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;
• заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.
Лицензирование работы с персональными данными
1. Лицензия на проведение работы с персональными данными выдается в порядке, установленном законодательством РФ.
В лицензии указываются: цели сбора и использования персональных данных, режимы и сроки их хранения; категории или группы субъектов персональных данных; перечень персональных данных; источники сбора персональных данных; порядок информирования субъектов о сборе и возможной передаче их персональных данных; меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными; требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
2. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать указание (ссылку) на выданную лицензию.
Уполномоченный по правам субъектов персональных данных хранит сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию,
Отзыв лицензии
Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
• нарушения условий лицензии;
• подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
• ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица – держателя массива персональных данных;
• по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных; по решению суда.
Регистрация массивов и держателей (обладателей) персональных данных
Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном органе государственной власти по персональным данным. При регистрации фиксируются:
• наименование массива персональных данных;
• наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
• цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
• перечень собираемых персональных данных; категории или группы субъектов персональных данных.
58. УПОЛНОМОЧЕННЫЙ ПО ПРАВАМ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Уполномоченный по правам субъектов персональных данныхреализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и нормами международного права, международными договорами, законами РФ.
Уполномоченным может быть назначен гражданин Российской Федерации не моложе 35 лет, имеющий необходимую квалификацию и опыт работы в сфере информационных технологий и юриспруденции.
Уполномоченный назначается на должность указом Президента РФ. Уполномоченный назначается сроком на 5 лет.
Уполномоченный действует в пределах установленной компетенции и не вправе принимать решения, отнесенные к компетенции держателей (обладателей) массивов персональных данных.
Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур.
Уполномоченный осуществляет:^ регистрацию обращений к нему субъектов персональныхданных;
• расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;
• информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;
• представление Уполномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными;
• регистрацию массивов и держателей (обладателей) персональных данных – федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, а также юридических и физических лиц, осуществляющих работу с персональными данными по лицензии;
• ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладателей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляющих работу с персональными данными по лицензии;
• информирование Правительства РФ через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, о дублировании в сборе персональных данных. Служба уполномоченного по правам субъектов персональных данных.
Деятельность Уполномоченного осуществляется с помощью рабочего аппарата – Службы уполномоченного по правам субъектов персональных данных.
В составе Службы уполномоченного по правам субъектов персональных данных действует Научный центр по регистрации массивов персональных данных и заявлений (жалоб) субъектов персональных данных.
Научный центр по регистрации персональных данных осуществляет: регистрацию массивов персональных данных и их держателей (обладателей); получение и регистрацию заявлений субъектов персональных данных; подготовку и издание реестров массивов персональных данных и держателей (обладателей) массивов; контролирует полноту регистрации массивов персональных данных; готовит и представляет уполномоченному информацию для принятия решений в соответствии с установленной компетенцией.
Уполномоченным может быть назначен гражданин Российской Федерации не моложе 35 лет, имеющий необходимую квалификацию и опыт работы в сфере информационных технологий и юриспруденции.
Уполномоченный назначается на должность указом Президента РФ. Уполномоченный назначается сроком на 5 лет.
Уполномоченный действует в пределах установленной компетенции и не вправе принимать решения, отнесенные к компетенции держателей (обладателей) массивов персональных данных.
Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур.
Уполномоченный осуществляет:^ регистрацию обращений к нему субъектов персональныхданных;
• расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;
• информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;
• представление Уполномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными;
• регистрацию массивов и держателей (обладателей) персональных данных – федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, а также юридических и физических лиц, осуществляющих работу с персональными данными по лицензии;
• ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладателей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляющих работу с персональными данными по лицензии;
• информирование Правительства РФ через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, о дублировании в сборе персональных данных. Служба уполномоченного по правам субъектов персональных данных.
Деятельность Уполномоченного осуществляется с помощью рабочего аппарата – Службы уполномоченного по правам субъектов персональных данных.
В составе Службы уполномоченного по правам субъектов персональных данных действует Научный центр по регистрации массивов персональных данных и заявлений (жалоб) субъектов персональных данных.
Научный центр по регистрации персональных данных осуществляет: регистрацию массивов персональных данных и их держателей (обладателей); получение и регистрацию заявлений субъектов персональных данных; подготовку и издание реестров массивов персональных данных и держателей (обладателей) массивов; контролирует полноту регистрации массивов персональных данных; готовит и представляет уполномоченному информацию для принятия решений в соответствии с установленной компетенцией.
59. ПРАВОВОЙ СТАТУС УПОЛНОМОЧЕННОГО
Уполномоченный имеет право:
• беспрепятственно получать доступ к массивам персональных данных;
• запрашивать и получать от держателя (обладателя) массива персональных данных любые необходимые сведения, документы и материалы;
• проводить самостоятельно или совместно с компетентными органами и должностными лицами проверку деятельности держателей (обладателей) массивов персональных данных, относительно которых уполномоченный располагает информацией о нарушениях прав субъекта;
• вносить предложения об отзыве лицензии на проведение работ с персональными данными;
• снимать или устанавливать режим конфиденциальности персональных данных;
• блокировать персональные данные. Уполномоченный обязан:
• известить заявителя о результатах рассмотрения его заявления;
• принять и направить держателю (обладателю) массива персональных данных, в действиях которого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необходимых мер восстановления нарушенных прав;
• обратиться в суд с иском в защиту прав субъекта, нарушенных действиями или решениями держателя (обладателя) массива персональных данных;
• вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовного производства в отношении должностных лиц, в действиях которых предусматриваются нарушения прав субъектов персональных данных;
• беспрепятственно получать доступ к массивам персональных данных;
• запрашивать и получать от держателя (обладателя) массива персональных данных любые необходимые сведения, документы и материалы;
• проводить самостоятельно или совместно с компетентными органами и должностными лицами проверку деятельности держателей (обладателей) массивов персональных данных, относительно которых уполномоченный располагает информацией о нарушениях прав субъекта;
• вносить предложения об отзыве лицензии на проведение работ с персональными данными;
• снимать или устанавливать режим конфиденциальности персональных данных;
• блокировать персональные данные. Уполномоченный обязан:
• известить заявителя о результатах рассмотрения его заявления;
• принять и направить держателю (обладателю) массива персональных данных, в действиях которого он усматривает нарушение прав субъекта, свое решение или рекомендации относительно возможных и необходимых мер восстановления нарушенных прав;
• обратиться в суд с иском в защиту прав субъекта, нарушенных действиями или решениями держателя (обладателя) массива персональных данных;
• вносить в компетентные органы представления о возбуждении дисциплинарного, административного или уголовного производства в отношении должностных лиц, в действиях которых предусматриваются нарушения прав субъектов персональных данных;