Защита персональных данных: опыт правового регулирования
Опубликовано: 30.09.2018
Одной из проблем, которую породило бурное развитие информационных технологий, стало несанкционированное использование персональных данных граждан в различных целях: начиная от рассылки спама и телефонного маркетинга, заканчивая несанкционированным дебетованием средств с пластиковых карточек и различных форм мошенничества.
V Международная конференция «Защита персональных данных» (часть 3)
Возникновение проблемы объясняется простотой и быстротой сбора и использования такой информации в компьютерных сетях, а также стремящимися к нулю издержками на ее хранение и обработку. Кроме того, во многих случаях (например, сделки в интернет-магазинах) цифровая информация о человеке заменяет саму его личность и физическое присутствие [1] .
V Международная конференция «Защита персональных данных» (часть 1)
Во многих странах законодатель уже давно осознал данную проблему, что нашло свое отражение в нормативном материале. У нас также начинают предприниматься шаги по ее решению. Тем более что ч. 3 ст. 34 Конституции Республики Беларусь гласит о том, что п ользование информацией может быть ограничено законодательством в целях защиты чести, достоинства, личной и семейной жизни граждан и полного осуществления ими своих прав.
На какой стадии в настоящий момент находится отечественное законодательство, регулирующее защиту персональных данных граждан? Какими специальными и отраслевыми законами регулируются эти вопросы? Где о нас знают все или почти все? Можем ли мы быть уверены, что наши данные не попадут, куда не надо? Попытаемся дать ответы на поставленные вопросы.
Скоро будем все в регистре
Комплексный закон, специально регулирующий защиту персональных данных, пока отсутствует. Однако имеется Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения» (далее — Закон о регистре населения), регламентирующий один из частных случаев их использования. Правда, вступит в силу этот нормативный акт только в 2013 году. Он рассматривает персональные данные как совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц.
При этом к основнымперсональным даннымотносятся:
идентификационный номер; фамилия, собственное имя, отчество; пол; число, месяц, год рождения; место рождения; цифровой фотопортрет; данные о гражданстве (подданстве); данные о регистрации по месту жительства и (или) месту пребывания; данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.К дополнительным персональным данным относятся данные:
о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица; о группе крови; о прижизненном несогласии на забор органов и (или) тканей для трансплантации при наступлении смерти; о высшем образовании, ученой степени, ученом звании; о роде занятий; о пенсии, ежемесячном денежном содержании по законодательству о государственной службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний; о налоговых обязательствах; об исполнении воинской обязанности.При этом, в частности, данными о роде занятий являются:
статус работающего, безработного, неработающего; место работы; дата трудоустройства, постановки на учет в качестве безработного; дата увольнения, снятия с учета в качестве безработного; сведения о том, является ли физическое лицо учредителем (участником, собственником имущества) юридического лица (за исключением открытых акционерных обществ, товариществ собственников, потребительских кооперативов, садоводческих товариществ, торгово-промышленных палат), индивидуальным предпринимателем.Данными о реквизитах документов, подтверждающих основные и дополнительные персональные данные, являются:
название документа; серия; номер; дата выдачи (принятия); срок действия; наименование организации, выдавшей (принявшей) документ.Предоставление персональных данных из регистра организациям, нотариусам осуществляется по письменному или электронному запросу о предоставлении, удостоверенному в порядке, определяемом МВД, и (или) договору о регулярном предоставлении персональных данных из регистра, заключенному в соответствии с гражданским законодательством, с указанием основания и цели получения персональных данных.
Физическое лицо имеет право запрашивать и получать справки (выписки) из регистра в отношении:
- своих персональных данных и персональных данных физических лиц, законным представителем которых оно является;
- персональных данных других физических лиц, законным представителем которых оно не является, — с письменного согласия физических лиц (их законных представителей), персональные данные которых запрашиваются.
Распорядителем регистра населения будет являться МВД, а записи в него будут вноситься различными государственными органами в рамках их компетенции.
Частная жизнь — под охраной закона
Среди действующих актов законодательства, касающихся персональных данных и их защиты, основным является Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», относящий персональные данные физического лица к информации, распространение и (или) предоставление которой ограничено.
Согласно ст. 18 данного нормативного акта никто не вправе требовать от физического лица предоставления информации о его частной жизни и персональных данных, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающихся состояния его здоровья, либо получать такую информацию иным образом помимо воли данного физического лица, кроме случаев, установленных законодательными актами Республики Беларусь. Сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с согласия данного физического лица, если иное не установлено законодательными актами Республики Беларусь. Порядок получения, передачи, сбора, обработки, накопления, хранения и предоставления информации о частной жизни физического лица и персональных данных, а также пользования ими устанавливается законодательными актами Республики Беларусь.
Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь. Последующая передача персональных данных разрешается только с согласия физического лица, к которому они относятся, либо в соответствии с законодательными актами Республики Беларусь. Указанные выше меры должны приниматься до уничтожения персональных данных, либо до их обезличивания, либо до получения согласия физического лица, к которому эти данные относятся, на их разглашение. При этом субъекты информационных отношений, получившие персональные данные в нарушение требований законодательства, не вправе пользоваться ими.
Персонифицированный учет
Закон Республики Беларусь от 06.01.1999 № 230-З «Об индивидуальном (персонифицированном) учете в системе государственного социального страхования» предусматривает, что на каждое застрахованное лицо органы, осуществляющие персонифицированный учет, открывают индивидуальный лицевой счет, который отражает:
страховой номер; фамилию, имя и отчество, в том числе новую фамилию, если прежняя была изменена после регистрации застрахованного лица в органах, осуществляющих персонифицированный учет; дату рождения; пол; информацию о месте жительства; серию (при наличии) и номер документа, удостоверяющего личность, дату выдачи, наименование государственного органа, его выдавшего; гражданство; сведения о страховом стаже и других периодах деятельности застрахованного лица, засчитываемых в стаж работы для назначения пенсии; сумму выплат застрахованному лицу или его доход за каждый месяц страхового стажа; размер и сумму обязательных страховых взносов за каждый месяц страхового стажа; другие сведения, необходимые для назначения и выплаты пенсии и пособия.Кроме того, индивидуальный лицевой счет застрахованного лица, за которое уплачиваются (уплачивались) взносы на профессиональное пенсионное страхование, содержит специальную (профессиональную) часть лицевого счета, на которой указываются:
сведения о профессиональном стаже; тариф взносов на профессиональное пенсионное страхование; сумма выплат застрахованному лицу; сумма начисленных взносов на профессиональное пенсионное страхование; сумма уплаченных взносов на профессиональное пенсионное страхование; сумма дохода от размещения взносов на профессиональное пенсионное страхование; другие сведения, необходимые для ведения профессиональной части лицевого счета и назначения профессиональной пенсии.Информация, содержащаяся в индивидуальном лицевом счете, является конфиденциальной. Доступ к данной информации осуществляется в порядке, установленном законодательством Республики Беларусь. В частности, совместное постановление Министерства труда и социальной защиты и Министерства внутренних дел Республики Беларусь от 26.05.2009 № 66/169 «О порядке предоставления Министерству внутренних дел Республики Беларусь информации, содержащейся в индивидуальном лицевом счете застрахованного лица» предусматривает, что Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь предоставляет МВД удаленный доступ по выделенному каналу связи к информации, содержащейся в индивидуальном лицевом счете застрахованного лица, с использованием информационно-поискового комплекса Фонда на условиях конфиденциальности. Кроме того, указанная информация может быть предоставлена самому застрахованному лицу и страхователю.
Истории бывают разные…
Закон Республики Беларусь от 10.11.2008 № 441-З «О кредитных историях» предусматривает, что в кредитную историю включаются сведения:
- о физическом лице — фамилия, собственное имя, отчество, гражданство, пол, идентификационный номер, число, месяц, год рождения, место жительства, вид документа, удостоверяющего личность иностранного гражданина или лица без гражданства, его серия, номер, дата выдачи, а для субъекта кредитной истории, являющегося ИП, — также регистрационный номер в Едином государственном регистре юридических лиц и индивидуальных предпринимателей, учетный номер плательщика, его основной вид деятельности;
- о юридическом лице и иностранной организации, не являющейся юридическим лицом по иностранному праву, — наименование, место нахождения, регистрационный номер в государственном регистре (для иностранного юридического лица и иностранной организации, не являющейся юридическим лицом по иностранному праву, — сведения об их создании (регистрации) из документа, подтверждающего их статус), учетный номер плательщика, его основной вид деятельности, а для юридических лиц Республики Беларусь, возникших в результате реорганизации одного или нескольких юридических лиц, — также наименование, регистрационный номер в государственном регистре и учетный номер плательщика реорганизованного (реорганизованных) юридического (юридических) лица (лиц), форма и дата реорганизации.
В отношении обязательств субъекта кредитной истории (для каждой записи кредитной истории) в кредитную историю включаются (в частности, для кредитного договора):
номер и дата заключения договора; сумма и наименование валюты кредита (при открытии кредитной линии — предельный размер единовременной задолженности кредитополучателя); срок возврата (погашения) кредита; способ обеспечения исполнения обязательств по договору; сумма задолженности по кредиту (за исключением возобновляемой кредитной линии); суммы просроченных платежей по возврату (погашению) кредита, уплате процентов и плате за пользование кредитом, а также даты, которым соответствуют данные сведения; дата прекращения договора.Пользователями кредитных историй являются физические или юридические лица, иностранные организации, не являющиеся юридическим лицом по иностранному праву, а также государственные органы Республики Беларусь и иные лица, не обладающие в соответствии с законодательными актами правом получения сведений, составляющих банковскую тайну, которые получили письменное согласие субъекта кредитной истории на предоставление Национальным банком его кредитного отчета и обратились в Национальный банк с запросом на получение кредитного отчета данного субъекта кредитной истории. Однако при этом государственные органы и должностные лица, за исключением судов, уполномоченных правоохранительных органов и иных лиц в случаях, предусмотренных законодательными актами, юридические и физические лица не вправе требовать представления пользователем кредитной истории и субъектом кредитной истории кредитного отчета, полученного ими в Национальном банке.
Пользователю кредитной истории кредитный отчет предоставляется в виде электронного документа Национальным банком по запросу на получение кредитного отчета и за вознаграждение, за исключением случаев предоставления кредитного отчета пользователю кредитной истории, являющемуся государственным органом, которому кредитный отчет предоставляется без уплаты вознаграждения. При этом по требованию субъекта кредитной истории пользователь кредитной истории обязан предоставить ему возможность ознакомления с содержанием своего кредитного отчета безвозмездно. Причем предоставление кредитных отчетов в соответствии с законодательством не является нарушением банковской тайны.
Для переписи главное — итоговые данные
Закон Республики Беларусь от 13.07.2006 № 144-З «О переписи населения» использует термин «персональные данные» в специальном значении — как первичные статистические данные о конкретном респонденте, сбор которых осуществляется при проведении переписи населения. Данный нормативный акт предусматривает, что персональные данные являются конфиденциальными, не подлежат распространению (разглашению), в том числе представлению в государственные органы и иные организации, и используются исключительно для формирования итоговых данных. Порядок защиты персональных данных определяется Правительством, а именно Положением о порядке защиты персональных данный переписи населения Республики Беларусь и порядке предоставления итоговых данных переписи населения Республики Беларусь, утвержденным постановлением Совета Министров Республики Беларусь от 10.09.2009 № 1178. Этим документом предусмотрено:
хранение персональных данных в течение 75 лет; заключение гражданско-правовых договоров о конфиденциальности с персоналом; специальные меры по хранению персональных данных на бумажных носителях; ограниченный перечень органов, которым предоставляются итоговые данные на бесплатной основе.Сама переписная документация подлежит архивному хранению в органах государственной статистики на бумажных и электронных носителях информации не более 3 лет.
Учет правонарушений
Закон Республики Беларусь от 09.01.2006 № 94-З «О единой государственной системе регистрации и учета правонарушений», предусматривающий создание единого государственного банка данных о правонарушениях, который ведут органы внутренних дел, предусматривает возможность получения сведения из данного банка не только соответствующими государственными органами, но и прочими организациям и физическими лицами (ст. 12). Для последних эта процедура платная, причем для организаций эти сведения предоставляются, если:
такое предоставление предусмотрено законодательными актами Республики Беларусь; в соответствии с законодательными актами Республики Беларусь права лиц, о которых запрашиваются сведения, ограничиваются в связи с привлечением их к административной и (или) уголовной ответственности.Однако имеется, например, совместное постановление Министерства внутренних дел и Национального банка Республики Беларусь от 16.05.2007 № 124/105 «Об информационном взаимодействии между Министерством внутренних дел Республики Беларусь и Национальным банком Республики Беларусь, банками и небанковскими кредитно-финансовыми организациями», которое дает банкам право:
удаленного доступа к ограниченным сведениям из единого государственного банка данных о правонарушениях; доступа посредством электронной почты к расширенному перечню сведений; доступу на основании письменного запроса по почте с согласия проверяемого лица к более полному перечню сведений.Касаемо запросов физических лиц цели предоставления сведений не регламентированы. Лишь установлено, что физическое лицо не вправе запрашивать сведения о правонарушениях, затрагивающие тайну личной жизни других физических лиц либо коммерческую или иную охраняемую законом тайну юридических лиц, за исключением случаев обращения за данными сведениями на основании нотариально заверенной доверенности.
Срок хранения информации об уголовных преступлениях — 100 лет, административных правонарушениях — 10 лет, после чего она должна уничтожаться.
Отпечатки — тоже данные
Закон Республики Беларусь от 04.11.2003 № 236-З «О государственной дактилоскопической регистрации» предусматривает случаи обязательной и добровольной такой регистрации, сроки хранения информации, а также устанавливает, что использование и хранение дактилоскопической информации, содержащейся на материальных носителях, осуществляют органы внутренних дел, Комитет государственной безопасности Республики Беларусь, Служба безопасности Президента Республики Беларусь, Оперативно-аналитический центр при Президенте Республики Беларусь. При этом условия хранения дактилоскопической информации должны исключать возможность ее утраты, искажения и несанкционированного доступа к ней.
Право на получение и использование дактилоскопической информации имеют органы уголовного преследования, суды, органы, осуществляющие оперативно-розыскную деятельность, и подразделения по гражданству и миграции органов внутренних дел.
(Окончание следует)
[1] За рубежом сложились специальные термины, для обозначения подобной деятельности, например: 1) data mining (маркетинг баз данных) — когда торговые компании предпочитают, чтобы потребители пользовались кредитными карточками или чеками, так как это позволяет им создавать базы данных покупателей, чтобы развивать долгосрочные отношения с потребителями; 2) phishing (выуживание) — род мошенничества, связанный с рассылкой подложных электронных писем, как правило, известных компаний, с целью получения персональных данных потребителей, воспользовавшись которыми возможно снять средства со счетов потребителей и др.
"Личный юрист", № 9/2011