Особенности правового режима информационных систем персональных данных
В современных условиях информационно-коммуникационные технологии позволяют производить сбор, обработку, хранение и распространение значительных объемов сведений, имеющих важное социальное значение, а также информации, относящейся к категории личных данных, необходимых для более эффективного функционирования различных государственных механизмов, развития общественных процессов, а также реализации прав и свобод человека и гражданина.
Совершенствование информационных технологий и увеличение объема информации обеспечивает получение доступа и использования различных банков и баз данных любым субъектам информационной сферы. Применяя [238]современные информационные технологии и имея определенный набор персональных данных, используемый частными лицами для управления своими материальными и финансовыми ресурсами, можно получить неправомерный доступ и права на владение к выше указанным ресурсам. Развитие различных информационных систем, в том числе и открытых, имеет одной из своих целей защиту от утечки данных и предотвращение несанкционированного доступа к информации персонального характера. Это выдвигает задачу правовой защиты на одно из первых мест, актуализирует и увеличивает значимость разнообразных средств защиты информации как техническими средствами, так и
законодательными не только для российского, но и зарубежного
240
законодательства .
До недавних пор сбор и обработка персональной информации практически никак не регулировались правом, и каждая компания старалась привнести что-то свое. Но с недавнего времени сохранности личных данных законодатели стали уделять должное внимание.
В конвенции «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 1981 г.) (далее - Конвенция) под
персональными данными понимается информация, касающаяся конкретного лица или лица, могущего быть идентифицированным («субъекта данных») .
Сначала положения о защите персональных данных работников были установлены в Трудовом кодексе Российской Федерации (далее - ТК РФ), которым посвящена глава 14, в которой предусматривалось понятие персональных данных и ряд вопросов, связанных с порядком их обработки, гарантиями их защиты, порядком хранения и использования, а также вопросы их передачи. Данная глава также предусматривает права работников, связанные с обеспечением защиты персональных данных работников и их ответственность за [239] [240] нарушение норм, регулирующих обработку и защиту персональных данных работника. Однако, согласно ТК РФ персональным данным дается весьма общее и размытое понятие: «Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» ст. 85 ТК РФ . Следует заметить, что государственная служба не регламентируется данным трудовым законодательством; ее правовой режим обеспечивает иная нормативная база (ФЗ «О государственной гражданской службе» ). В гл. 7 ФЗ «О государственной гражданской службе Российской Федерации» говорится об условиях, которые должны быть соблюдены при обработке персональных данных, но не пояснено, что включается в эти персональные данные. Кроме этого, понятие «персональные данные» широко встречается во многих нормативных правовых актах РФ . Конституция в качестве обязательного условия сбора, хранения, использования и распространения информации о частной жизни лица устанавливает согласие этого лица. Об этом говорится в ч.1 ст. 24 Конституции Российской Федерации: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются»[241] [242] [243] [244]. Согласно основному источнику регулирования отношений в сфере персональных данных в России - Закону о персональных данных - к ним относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)[245]. «совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств» . Стоит заметить, что информационные системы персональных данных являются, согласно вышерассмотренному определению, частным случаем информационных систем и обладают такими же составляющими компонентами и свойствами. Отличие состоит в семантическом наполнении баз данных, а именно - содержанием в информационных системах персональных данных. КоАП РФ весьма лаконично дает определение персональным данным - «информация о 248 гражданах» . Таким образом, рассмотрение международных и российских нормативных правовых актов РФ, в которых, так или иначе, определяется понятие «персональные данные», показывает весьма нечеткое толкование этого понятия, что может приводить к противоречивой интерпретации разными сторонами при возникновении правовых отношений в данной сфере. Существует множество определений состава персональных данных. Например, Травкин Ю.В. утверждает, что к персональным данным могут быть отнесены также и мнения о человеке, причем как объективные, так и субъективные, при условии, что они были зафиксированы и в последующем соотнесены с 249 конкретным человеком . Таким образом, анализ определений понятия «персональные данные» в различных законодательных актах Российской Федерации и научных трудах, не дал однозначного ответа, что же оно собой представляет; однозначное определение исследуемого понятия отсутствует в силу универсальности персональных данных. В то же время, к информационным системам персональных данных предъявляются высокие требования, а также ответственность за их невыполнение. Очевидно, что указанное противоречие может привести к множеству коллизий и требует нормативного разрешения. [246] [247] [248] Согласно Закону о персональных данных, к ним относятся: общедоступные персональные данные; персональные данные специальной категории и биометрические. Заметим, что в первых двух случаях речь идет о семантических свойствах информации, относящейся к субъекту, а в случае биометрических данных о специфической технической реализации идентификации, поскольку биометрические данные, как указано в ст. 11 Закону о персональных данных, - это физиологические и биологические особенности человека, то есть технически реализованные средства идентификации субъекта с использованием его фенотипических признаков. Это еще раз подтверждает тезис о существенной неопределенности как термина «персональные данные», так и элементов правового режима, относящихся к персональным данным. Минбалеев А.В. выделяет персональные данные в самостоятельную разновидность информации с ограниченным доступом, основной особенностью которых является то, что большинство из них являются открытыми, однако в определенный момент возможно ограничение доступа к ним и их использованию со стороны субъекта персональных данных. Правовой режим конфиденциальной информации основывается на принципе сохранения ее в тайне, а также запрета ее сбора и разглашения. При этом можно говорить как о самостоятельном режиме защиты персональных данных, так и их защите в режиме государственной тайны или другой информации ограниченного доступа (служебной тайны, тайны личной и семейной жизни).[249] Персональные данные, как отмечает Бачило И.Л., включаются в информационные системы различных организаций по инициативе самого индивида или на основании закона для реализации его прав, свобод и обязанностей при участии в самых различных социальных отношениях[250]. Любая классификация является условной; в законе нельзя учесть множество возможных ситуаций. Ученые выделяют классификации по различным признакам. К примеру, Семизорова С. в своей работе выделяет классификацию по признаку свободы оборота, говоря о том, что Закон о персональных данных целесообразно дополнить условной группировкой персональных данных на: обращаемые свободно, обращаемые ограниченно, обращаемые в специальных целях и персональные данные, запрещенные к обороту. В рамках исследования произведен анализ множества определений понятия «персональные данные» в различных источниках и научных трудах, установлено, что однозначное определение исследуемого понятия отсутствует как в силу универсальности персональных данных, так и субъективности восприятия тех или иных персональных данных различными субъектами. В то же время, к информационным системам, содержащим, согласно нормативным актам, «персональные данные», предъявляются весьма высокие требования и весьма строгая ответственность за нарушение этих требований. Автор предлагает следующим образом классифицировать персональные данные: 1. Персональные данные идентификации; 2. Характеристические персональные данные. Персональные данные идентификации отнесем к данным, неправомерное владение которыми однозначно может нанести вред владельцу данных идентификации. Поэтому для них следует применять повышенную защиту при их хранении и обработке. Характеристические персональные данные предлагаем разделить на общедоступные, особо чувствительные и возможно наносящие вред субъекту, но не являющиеся данными идентификации, персональные данные. Вполне возможно возложить определение режима части персональных данных как «связанных с возможностью причинения вреда» на самого субъекта при заключении соглашений об использовании его персональных данных между субъектом и оператором. [251] Множество субъектов отношений в сфере персональных данных также можно разделить на аналогичные категории: - субъекты, предоставляющие персональные данные - физические лица; - субъекты, проводящие обработку персональных данных (операторы); - субъекты, передающие персональные данные; - субъекты, использующие обработанные персональные данные. Операторы, независимо от их ведомственной принадлежности, должны привлекать к обслуживанию информационных систем (хранению, обработке и выдаче персональных данных) специально обученных и имеющих разрешение (лицензию) на работу с такого типа системами лиц. Следует заметить, что законодательно хоть и установлены меры ответственности за неправомерные действия с персональными данными, но нет дифференциации в зависимости от того, какие данные подвергались неправомерной обработке, разглашению и т.д. Необходимость хранения и обработки персональных данных с учетом их вышерассмотренной категоризации в автоматизированных информационных системах приводит к необходимости применения специальных правовых режимов в отношении информационных систем, обеспечивающих это хранение и обработку. Особая категория информационных систем вводится в ст. 3 Закона о персональных данных - информационная система персональных данных, под которой понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных в информационных системах представляет собой любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных . В большинстве случаев такая обработка является автоматизированной. Обработка персональных данных в информационных системах должна соответствовать следующим принципам обработки: законная и справедливая основа; обработка должна ограничиваться достижением конкретных, заранее -254 определенных и законных целей . Общим правилом обработки персональных данных, в том числе и в Российской Федерации, является наличие согласия субъекта этих данных на их обработку. Любое исключение должно быть предусмотрено федеральными законами. Например, согласно законодательству, обработка персональных данных может быть продолжена после отзыва согласия субъекта, даже если речь идет о специальных категориях персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в случаях, предусмотренных ч. 2 ст. 10 Закона о персональных данных[252] [253] [254]. Одна из острых проблем защиты персональных данных в государственных и муниципальных органах и коммерческих организациях, как отмечает Терещенко Л.К., - это утечка персональных данных из их информационных ресурсов. Практически все органы государственной и муниципальной власти создают и работают с информационными системами персональных данных и обязаны обеспечивать их конфиденциальность. В большинстве этих органов действуют внутренние акты, регулирующие правила обработки персональных данных и устанавливающие круг лиц, допущенных к такой обработке и несущих ответственность за нарушение режима их защиты[255]. Очевидно, что во всех этих органах вопросы организационных и технических мер защиты персональных данных тесно связаны с проблемой инсайдерства. На сегодняшний день оно наряду с атаками хакеров является одной из главных угроз защите персональных данных. Незаконная продажа периодически обновляемых информационных баз, содержащих персональные данные граждан, поставлена на поток и приносит 257 огромные доходы . Общие требования к обработке персональных данных в информационных системах содержатся в постановлении Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление о требованиях к защите персональных данных) , пришедшем на смену постановления Правительства Российской Федерации № 781 от 17 ноября 2007г[256] [257] [258]. Ключевыми критериями в целях обеспечения защиты, согласно Постановлению о требованиях к защите персональных данных, являются содержание и объем персональных данных; актуальность угроз; признак того, является ли сотрудник оператором или нет. Вред субъекту и вид деятельности оператора во внимание не принимается. Весьма актуальным, но не понятным со стороны непосредственного применения, является введение ряда дефиниций, в частности информационная система, обрабатывающая специальные категории персональных данных; информационная система, обрабатывающая биометрические персональных данных; информационная система, обрабатывающая общедоступные персональные данные; информационная система, обрабатывающая иные категории персональных данных; информационная система, обрабатывающая персональные данные сотрудников оператора. Одним из главных изменений, внесенных Постановлением о требованиях к защите персональных данных, является изменение принципа обеспечения соответствующего уровня защищенности персональных данных в зависимости от актуальных угроз, объема данных (убран критерий по численности в 1000 субъектов персональных данных) и принадлежности данных к информационной системе персональных данных, обрабатывающих данные сотрудников оператора. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных; содержание электронного журнала обращений периодически[259]. Постановлением о требованиях к защите персональных данных также введена следующая классификация информационных систем персональных данных: - информационная система, обрабатывающая специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных; - информационная система, обрабатывающая биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных; - информационная система, обрабатывающая общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Закона о персональных данных; - информационная система, обрабатывающая иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные выше; - информационная система, обрабатывающая персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников[260]. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора. Сегодня можно выделить ряд организационно-технических проблем, направленных на обеспечение безопасности персональных данных в информационных системах связано с целым. Во-первых, поскольку не являющиеся общедоступными персональные данные относятся к категории конфиденциальной информации, для осуществления мероприятий по их защите необходимо получение лицензии ФСТЭК России на деятельность в области технической защиты конфиденциальной информации. При использовании средств криптографической защиты информации также необходимо наличие лицензий ФСБ России. При этом получение указанных лицензий требует от организации наличия высококвалифицированного персонала, специального оборудования и помещений, что часто является нелегкой задачей для работников многих организаций. Второй проблемой являются беспрецедентно высокие требования, предъявляемые к системе защиты. Так, например, уровень защиты для некоторых информационных систем персональных данных соответствует уровню защиты государственной тайны. В частности, обязательным является обеспечение защиты информации от утечек за счет электромагнитных излучений и наводок от средств вычислительной техники и линий связи. При этом следует учитывать, что к такому классу относятся системы, в которых обрабатывается большое количество информации, а также системы, в которых обрабатываются специальные категории персональных данных. Сами документы ФСТЭК России, в которых сформулированы требования, носят пометку «для служебного пользования» и не доступны для свободного ознакомления. Рассылка документов осуществляется по письменному запросу операторам персональных данных и лицензиатам ФСТЭК России. Несмотря на обилие проблем, на самом деле, ситуация не является безвыходной. Существует ряд подходов, позволяющих обеспечить защиту персональных данных в соответствии с предъявленными требованиями ценой разумных затрат. В первую очередь, снизить затраты на построение системы защиты можно путем выбора архитектуры самой информационной системы на этапе ее проектирования. Например, разделение крупной федеральной информационной системы персональных данных на несколько территориальных позволяет сократить количество обрабатываемых в каждой системе персональных данных, а использование условных идентификаторов часто позволяет обезличить обрабатываемые данные. Особую привлекательность с точки зрения архитектуры построения систем приобретает технология терминального доступа, при которой вся обработка данных осуществляется на сервере, а рабочие станции используются только для отображения информации и получения данных от пользователя. При правильном использовании подобный подход позволяет значительно сэкономить на средствах защиты и аттестации по требованиям безопасности. Кроме того, сокращаются затраты на управление информационной инфраструктурой и закупку средств вычислительной техники за счет централизации системы и снижения требований к аппаратным характеристикам компьютеров пользователей. Предлагаемая нами классификация персональных данных на идентификационные и характеристические также может с одной стороны позволить формировать более адекватные акты и определения правового порядка, с другой стороны - разработать более соответствующую реальным требованиям классификацию мер и систем защиты персональных данных в информационных системах. Определенное нами ранее свойство сети «Интернет» - трансграничность - приходится учитывать и в отношении персональных данных. Одной из главных проблем, вытекающих из данного свойства, остается отсутствие нормативной основы, позволившей бы реализовывать указанные действия с обеспечением их безопасности. Подобная ситуация связана с двумя факторами: в российском законодательстве не достаточно гарантий обеспечения прав субъектов персональных данных в процессе их трансграничной обработки; также необходимо учитывать, что конфиденциальная информация и персональные 262 данные по-разному определяются в различных государствах . Еще одной особенностью персональных данных является то, что в процессе в идентификации чаще всего заинтересован именно субъект персональных данных, который определяет характер воздействия на его приватную жизнь действиями _ 263 третьих лиц . Вполне возможно возложить определение режима части персональных данных как «связанных с возможностью причинения вреда» на самого субъекта при заключении соглашений об использовании его персональных данных между субъектом и оператором. На законодательном уровне определен лишь один вид субъектов отношений, связанных с процессом обработки персональных данных - оператор. Под ним понимается «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными». Бачило И. Л. предлагает разделить операторов на два уровня: [261] [262] - первый уровень - органы государственной власти, местного самоуправления а также другие организации и предприятия, которые определяют цели сбора и направления работы с информацией о субъектах персональных данных и создают автоматизированные информационные системы персональных данных; - второй уровень - специализированные организации (частные организации и государственные унитарные предприятия), которым в порядке ауторсинга передаются функции по обработке персональных данных[263]. Как отмечает Бачило И.Л., главное - установить, в каком режиме осуществляется обработка персональных данных и кто устанавливает его применительно к конкретным персональным данным при их обработке[264] [265]. Органы государственной власти, органы местного самоуправления, юридические лица, выступая организаторами обработки персональных данных, одновременно являются и пользователями получаемого продукта в результате обработки. Пользователями могут быть и иные субъекты, правовой статус 266 которых в данном случае имеет значение . Документы, устанавливающие применение мер ответственности при хранении, обработке и предоставлении персональных данных, также следует подготавливать с учетом предлагаемой категоризации. В ходе работы над диссертацией было проведено рассмотрение судебной практики по делам в сфере персональных данных. В результате проведения научно-исследовательской практики было изучено более 60 дел по теме «персональные данные». Можно с уверенностью сказать, что лидирующей причиной проанализированных правонарушений в данной области является незнание закона - неправомерное распространение персональных данных. В большинстве рассмотренных случаев нарушителем является оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Следующим по распространенности является распространение и внедрение вредоносных программ ЭВМ. Такие программы могут собирать с компьютера или иного устройства конфиденциальную информацию (номера банковских карт, телефонов). В этом случае основным нарушителем является физическое лицо. В части дел по неправомерному использованию персональных данных нарушается Закон о персональных данных и ст. 13.11 КоАП РФ[266] [267]. В области информационного права нарушаются статьи УК РФ . Вред, причиненный истцам вследствие действий правонарушителей, можно оценивать в различных масштабах: от нарушения работоспособности персонального компьютера до причинения вреда безопасности жизни. Вообще, причиненный ущерб невозможно точно и полностью оценить, поскольку одно лишь правонарушение в сфере информационного права может влечь за собой необратимые последствия. В зависимости от области, в которой произошло правонарушение, нарушитель несет административную, либо уголовную ответственность (в некоторых случаях операторы несут дисциплинарную ответственность). Возмещение ущерба в некоторых делах ограничивается лишь возмещением морального ущерба за нарушение законодательства о персональных данных или же возмещение работоспособности персональных компьютеров или программ ЭВМ, которые были намеренно повреждены действиями злоумышленников. Актуальными остаются вопросы, связанные с избыточностью обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки. Проблема избыточности обрабатываемых персональных данных по отношению к цели обработки многогранна, и, чаще всего, выражена в форме предоставления субъектом персональных данных по требованию Оператора дополнительной информации, в том числе специальных категорий персональных данных (информация о судимости, национальной принадлежности) и сведений о близких родственниках, при оказании определенного вида услуг, либо при приеме на работу. В процессе рассмотрения и изучения информационных систем персональных данных необходимо сделать акцент на защите персональных данных в этих системах, поскольку в системах некоторых организаций персональные данные достигают колоссальных объемов и утечка таких данных недопустима. Решение проблемы защиты персональных данных кроется в тесном взаимодействии операторов персональных данных, производителей программного обеспечения и средств защиты информации, организаций, специализирующихся на защите информации, и государственных органов на всех этапах жизненного цикла информационных систем. Проведя анализ семантической составляющей информационных систем персональных данных, можно прийти к выводу, что особенностью правового режима информационных систем персональных данных является характер, правовая природа персональных данных, которые могут быть как информацией ограниченного доступа, так и общедоступной информацией. Кроме этого, специальный набор организационно-технических средств защиты является неотъемлемой частью правового режима информационных систем персональных данных. Российское информационное общество довольно развито с технологической точки зрения, но пока еще слабо в правовой сфере. Перед операторами персональных данных стоит огромная проблема, связанная с сохранностью данных, которые находятся в базах данных оператора. Операторы стараются снизить возможность правонарушений, связанных с несанкционированным доступом к информации, а также другими проблемами, руководствуясь предписаниями законодателя и опираясь на деятельность регуляторов персональных данных. На основании анализа деятельности главного регулятора в сфере защиты 269 персональных данных можно утверждать, что уровень грамотности населения в данной области растет. Вступление в силу закона «О персональных данных», увеличение проверок Роскомнадзора, как плановых, так и внеплановых, а также увеличение обращений граждан и юридических лиц заставляет операторов следовать законодательству, «приводить в порядок» информационные системы персональных данных. Как и в любой сфере деятельности, а тем более такой новой, как сфера защиты персональных данных, существуют проблемы внедрения и реализации. Актуальной проблемой, по мнению Роскомнадзора, является избыточность собираемых и обрабатываемых в информационных системах персональных данных. Автор считает, что данное нарушение Закона о персональных данных может быть устранено путем создания оператором четкого плана действий и определение объема персональных данных, что входит в задачи оператора. На основе анализируемой практики по делам в сфере персональных данных и итогов деятельности Роскомнадзора, можно сделать вывод, что основными нарушениями являются: - ст. 7 Закона о персональных данных - нарушение требований конфиденциальности при обработке персональных данных; - ч. 3 ст. 18 Закона о персональных данных - неуведомление гражданина о начале обработки его персональных данных; Автор считает, что данные нарушения носят организационный характер и могут быть устранены силами оператора персональных данных. В заключение анализа деятельности уполномоченного органа следует указать, что организация защиты информационных систем персональных данных требует постоянного глубокого анализа для обеспечения выполнения постоянно возникающих новых разнообразных требований, предъявляемых к мерам, сервисам и средствам защиты информации. Решение проблемы защиты [268] персональных данных кроется в тесном взаимодействии операторов персональных данных, производителей программного обеспечения и средств защиты информации, организаций, специализирующихся на защите информации, и государственных органов на всех этапах жизненного цикла информационных систем. Лица, виновные в нарушении требований по защите персональных данных, согласно п. 1 ст. 24 Закона о персональных данных, несут предусмотренную законодательством РФ ответственность (гражданскую, уголовную, административную, дисциплинарную)[269]. На настоящий момент административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена: - за неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено федеральными законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации (ст. 5.39 КоАП РФ). Исключением из данной нормы являются случаи, предусмотренные ст. 7.23.1 КоАП РФ; - за нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ); - за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда ее разглашение влечет за собой уголовную ответственность), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ). Субъекты персональных данных имеют право на возмещение морального вреда вследствие нарушения его прав, правил обработки персональных данных, а также требований к их защите, установленных Законом о персональных данных (п. 2 ст. 24 данного Закона). Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Ст. 13.11 КоАП РФ регламентирует ответственность специальных субъектов. Согласно данной статье нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа. Также необходимо обратить внимание на то, что субъектом административной ответственности является не только определенное физическое лицо, допустившее нарушение, но и организация в целом. Преступлениями, влекущими за собой уголовную ответственность, являются деяния, предусмотренные статьями 137, 140, 272 УК РФ. В соответствии со ст. 24 Закона о персональных данных, виновные лица в нарушении его требований, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с Законом о персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. Выводы. Проведенный анализ показывает, что в соответствии с приведенной классификацией персональных данных необходимо дифференцировать меры ответственности в зависимости от степени нанесения вреда. Перспективы Российской Федерации в сфере создания правовой защиты информационных систем персональных данных и, естественно, самих персональных данных имеют веское обоснование. Об этом свидетельствуют принимаемые нормативные акты, и, самое важное, внедрение постановлений и указаний в реальную жизнь - ведение работы и защиты персональных данных согласно законодательству в каждой организации оператора персональных данных. Выявлена специфика правового режима информационных систем персональных данных, заключающаяся в правовой природе персональных данных, которые могут быть как информацией ограниченного доступа, так и общедоступной информацией. Кроме этого, специальный набор правовых и организационно-технических средств защиты является неотъемлемой частью правового режима информационных систем персональных данных. Таким образом, вопрос о создании единой признанной классификации персональных данных до сих пор остается открытым. Правовая природа персональных данных усложняет возможность формирования единой политики в отношении правового регулирования информационных систем. Поскольку персональные данные являются и информацией ограниченного доступа, защита информационных систем персональных данных техническими средствами должна соответствовать требованиям ФСТЭК и ФСБ РФ. 2.2.3
Еще по теме Особенности правового режима информационных систем персональных данных:
- Коррекция организационно-правовых основ налогового контроля в соответствии с современными условиями развития Российской Федерации
- § 1.3 Принципы информационного обеспечения паспортно-визовой деятельности МВД России
- § 2.1 Административно-правовая основа современных систем федеральных учетов МВД России в сфере миграции
- § 2.2 Административно-правовая регламентация взаимодействия МВД России и федеральных органов исполнительной власти при применении информационных ресурсов в сфере миграции
- § 2.3. Совершенствование административно-правового регулирования информационного обеспечения паспортно-визовой деятельности МВД России в сфере миграции
- Понятие, правовая сущность и виды информационных систем
- Правовой режим информационных систем: понятие, структура
- 2.1 Особенности правового статуса субъектов-участников правоотношений в информационных системах
- 2.2.1 Особенности правового режима информационных систем, эксплуатируемых с использованием сети «Интернет»
- Особенности правового режима информационных систем персональных данных
- Правовой режим государственных информационных систем
- § 2. Информационно-правовое регулирование общественного контроля в контексте развития новых информационно - коммуникационных технологий
- Международная электронная торговля услугами как феномен либерализации рынка: проблемы правового регулирования
- 3.1. Общесоциальное предупреждение криминогенного воздействия информационного пространства сети Интернет на несовершеннолетних
- §1. Роль Интернета в формировании правовой культуры личности
- § 2. Проблемы повышения эффективности влияния Интернета на правовую культуру личности
- Особенности нормативно-правового механизма защиты информационных прав и свобод человека и гражданина в Российской Федерации
- Основные этапы развития правового регулирования защиты персональных данных в Европейском Союзе
- Правовые принципы защиты персональных данных в Европейском Союзе
- Основные направления совершенствования правового регулирования защиты персональных данных в Российской Федерации в контексте правового опыта Европейского Союза