1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Комментарии к статье 5 152-ФЗ О персональных данных:
Комментируемая статья устанавливает основные принципы обработки персональных данных. Необходимо отметить, что персональные данные являются категорией, способной непосредственно влиять на жизнь, в том числе личную, общественную, трудовую и пр., конкретного человека. Нарушение правил обработки персональных данных гражданина может сделать его частную жизнь достоянием гласности. Несомненно, что разные специальные категории персональных данных подлежат соответствующей специальной обработке. Однако в целях обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, комментируемым Законом устанавливаются основные начала, идеологическая база обработки персональных данных - принципы, изложенные ниже.
1. Принцип законности.
Законность, как известно, является понятием достаточно широким, емким и, наверное, наиболее часто встречающимся в российском законодательстве.
Принцип законности означает верховенство закона и безусловное его исполнение гражданами и должностными лицами. Кроме того, законность характеризуется наличием специальных механизмов, гарантирующих безопасность и защиту личности от произвола, беспрепятственное осуществление гражданских прав и свобод.
Принцип законности пронизывает всю правовую систему в целом. Законность в качестве принципа провозглашена в ряде статей Конституции России и в большинстве законов.
Применительно к комментируемому Закону принцип законности означает, что обработка персональных данных производится при строгом соблюдении норм комментируемого Закона как со стороны операторов обработки персональных данных, так и со стороны граждан, предоставляющих персональные данные, а также уполномоченного органа по защите прав субъектов персональных данных. Принцип законности обработки персональных данных заключается в следующем:
- приоритет комментируемого Закона при обработке персональных данных в отношениях по обработке персональных данных;
- единое толкование и применение комментируемого Закона на всей территории России;
- всеобщность комментируемого Закона, а именно распространение его действия на всех лиц, находящихся на территории РФ, а также за ее пределами в соответствии с международными договорами Российской Федерации о реадмиссии;
- гарантированность основных прав и свобод человека и гражданина при осуществлении обработки персональных данных;
- равенство всех лиц при осуществлении обработки их персональных данных независимо от их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и пр. специальных категорий персональных данных;
- неотвратимость наказания за нарушения комментируемого Закона операторами персональных данных и иными лицами.
2. Принцип справедливости.
Обработка персональных данных должна осуществлять на справедливой основе. Справедливость - понятие не менее, если не более, емкое, чем законность. Понятие справедливости носит скорее философский, чем правовой характер, и тем не менее многие нормы права основываются прежде всего на принципе справедливости, который применительно к конкретному типу правоотношений варьируется в своем значении. Например, принцип справедливости закреплен в ст. 6 УК РФ и означает, что наказание и иные меры уголовно-правового характера, применяемые к лицу, совершившему преступление, должны быть справедливыми, то есть соответствовать характеру и степени общественной опасности преступления, обстоятельствам его совершения и личности виновного. Статья 1101 ГК РФ содержит норму о том, что при определении размера компенсации морального вреда должны учитываться требования разумности и справедливости, где требование справедливости значит, что компенсация морального вреда должна соответствовать характеру причиненных потерпевшему нравственных и физических страданий с учетом степени вины причинителя вреда.
Принцип справедливости применительно к правоотношениям по обработке персональных данных означает, что действия по обработке персональных данных должны носить системный характер, т.е. обработка персональных данных должна осуществлять в строгом соответствии с установленным порядком (например, в порядке очередности в зависимости от даты поступления сведений о персональных данных лица, в алфавитном порядке), без учета личной заинтересованности оператора (например, если среди лиц, чьи персональные данные обрабатываются, имеются работники оператора, то в процессе обработки их персональные данные не должны носить приоритет по отношению к персональным данных других лиц).
3. Принцип целевой обработки персональных данных.
Комментируемый Закон устанавливает принцип целевой обработки персональных данных. Поскольку, как указывалось выше, персональные данные могут носить сугубо личный характер, нецелевое использование персональных данных может являться вмешательством в частную жизнь лица и причинить ему тем самым значительный вред. Поскольку цель комментируемого Закона заключается в защите прав и свобод человека и гражданина (ст. 2 комментируемого Закона), в том числе права на неприкосновенность частной жизни и пр., законодатель разумно определил в качестве основного принципа обработки персональных данных принцип цели.
Цели обработки персональных данных должны обладать следующими характеристиками:
- цель должна быть конкретной, т.е. реально существующей, предметно определенной и четко обозначенной, например цели переписи населения сформулированы в ст. 1 Федерального закона от 25.01.2002 N 8-ФЗ, а именно формирование официальной статистической информации о демографических, об экономических и о социальных процессах;
- цель должна быть заранее определена, т.е. операторы обработки персональных данных должны оповещать о цели обработки персональных данных заблаговременно до процесса обработки, и каждое лицо, чьи персональные данные должны подвергнуться обработке, должно быть извещено о целях обработки. При этом озвученная цель обработки персональных данных уже не подлежит изменению;
- цель обработки персональных данных должна быть законной, как в общем (должна соответствовать принципу законности), так и в узком (не должна нарушать нормы права) смыслах.
Не допускается нецелевая обработка персональных данных, т.е. обработка, не совместимая с целями сбора персональных данных. Персональные данные должны обрабатываться только в тех целях, которые изначально были установлены как цели сбора и обработки персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых друг с другом, т.е. не допускается смешение, соединение персональных данных, собранных и обрабатываемых в разных целях.
Обработке подлежат только персональные данные, которые отвечают целям их обработки. Например, при формировании электронной базы беременных, состоящих на учете в женской консультации, оператора персональных данных - консультацию не должны интересовать сведения о судимости как самой беременной, так и отца будущего ребенка.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Например, при формировании базы учащихся школы в разделе, содержащем сведения о родителях или иных законных представителях учащихся, не должны отражаться сведения о бабушках и дедушках учащихся, за исключением случаев, когда последние выступают в качестве опекунов/попечителей. Указание сведений о бабушках и дедушках учащихся в данном случае будет излишним.
Нецелевая обработка персональных данных является нарушением комментируемого Закона и влечет за собой ответственность (ст. 24 комментируемого Закона). Например, нарушение установленного Законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц - от пятисот до одной тысячи рублей, на юридических лиц - от пяти тысяч до десяти тысяч рублей в соответствии со ст. 13.11 КоАП РФ.
Кроме того, административная ответственность предусмотрена за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).
Нецелевая обработка персональных данных может повлечь также уголовную ответственность. Так, ст. 137 УК РФ предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Статья 272 Уголовного кодекса РФ устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, в том числе баз персональных данных.
4. Принцип точности, достаточности и актуальности персональных данных по отношению к целям их обработки.
Точность персональных данных означает полное соответствие содержания персональных данных заявленным целям их обработки. Персональные данные считаются достаточными, если их объем и содержание позволяют достигнуть целей обработки. Актуальность персональных данных означает, что в момент обработки персональных данных последние являются своевременными, достоверными и значимыми для достижения поставленной цели обработки персональных данных. Например, персональные данные, собранные после подведения итогов переписи населения, являются неактуальными, поскольку были собраны несвоевременно и утратили свою значимость по отношению к целям обработки.
Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5. Принцип срочного хранения.
Поскольку персональные данные по форме представляют собой информацию, содержащую сведения о субъекте и отдельных аспектах его жизни, представляется логичным урегулирование порядка и срока хранения указанной информации. Обработка персональных данных преследует достижение установленных целей обработки. По достижению указанных целей собранные персональные данные утрачивают свою актуальность. Возникает вопрос о дальнейшем использовании и хранении обработанных персональных данных. Комментируемая статья закрепляет принцип срочного хранения персональных данных, а именно: хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных. Срок хранения персональных данных может быть установлен:
а) федеральным законом.
Так, в ст. 5 Федерального закона от 25.01.2002 N 8-ФЗ указано, что порядок хранения переписных листов и иных документов Всероссийской переписи населения определяется Правительством Российской Федерации. В частности, Правила хранения переписных листов и иных документов Всероссийской переписи населения 2010 года утверждены Постановлением Правительства РФ от 26.07.2010 N 554. Согласно указанным Правилам хранение переписных листов Всероссийской переписи населения 2010 года в электронном виде осуществляется следующим образом:
- один экземпляр хранится постоянно в Федеральной службе государственной статистики;
- два экземпляра с программным обеспечением для просмотра переписных листов передаются до 1 января 2014 г. на постоянное хранение в Государственный архив Российской Федерации.
Переписные листы Всероссийской переписи населения 2010 года на бумажных носителях после завершения их автоматизированной обработки хранятся в Федеральной службе государственной статистики и ее территориальных органах в течение одного года со дня официального опубликования предварительных итогов Всероссийской переписи населения 2010 года.
Статья 87 ТК РФ устанавливает, что порядок хранения и использования персональных данных определяется работодателем самостоятельно. Таким образом, срок хранения персональных данных регулируется локальным нормативным актом (инструкцией, положением) о порядке работы с персональными данными работников. Разработка локального нормативного акта (инструкции, положения) о порядке работы с персональными данными работников является обязанностью работодателя, невыполнение которой влечет наложение административного штрафа по ст. 5.27 КоАП РФ;
б) договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Зачастую на практике передача субъектом своих персональных данных происходит при возникновении гражданско-правовых отношений, например при заключении договоров об оказании услуг связи, договоров страхования, договоров оказания платных медицинских услуг, кредитных договоров и пр. Поскольку гражданско-правовые отношения основываются на принципах свободы договора и диспозитивности, то процесс обработки, в т.ч. хранения, персональных данных урегулирован лишь общими нормами, а именно комментируемым Законом. Специальное, детальное урегулирование зависит от волеизъявления сторон возникшего обязательства. В таких случаях срок хранения персональных данных субъекта может быть урегулирован в договоре.
Если срок хранения персональных данных не установлен ни законом, ни договором, то в данном случае хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Например, в случае ликвидации религиозной организации персональные данные ее членов подлежат уничтожению в связи с утратой необходимости достижения цели обработки персональных данных.
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013