Персональные данные представляют собой информацию о физическом лице, принадлежащую этому лицу.

Проблема защиты персональных данных физических лиц остро стоит перед мировым сообществом, пожалуй, столько лет, сколько лет существует само человечество. В современном мире право физического лица на личную тайну закреплено конституциями всех развитых государств. Суть этого права заключается в следующем: только сам человек, владеющий некими сведениями о себе, вправе решать, подлежат они разглашению или нет. Законодательством большинства стран мира установлен также перечень субъектов, которые вправе требовать от лица разглашения персональных данных. В случае неправомерного разглашения таких сведений их владелец имеет право на защиту своих нарушенных интересов, при этом меры ответственности причинителя вреда не всегда ограничиваются гражданско-правовой ответственностью. В ряде стран, в том числе в России, неправомерное разглашение персональных данных определенного характера является уголовным преступлением[1].

Вопрос о необходимости охраны и защиты персональных данных не вызывает сомнений. Однако все чаще юристы, специализирующиеся на регулировании различных аспектов информационного обмена, сталкиваются с практикой рассмотрения споров о неправомерном разглашении персональных данных физических лиц. Этим объясняется постановка новой задачи перед законодателями: какими должны быть конкретные меры по охране и защите персональных данных?

С середины 70-х годов в развитых государствах для обработки документов, в том числе содержащих персональные данные, стали применяться компьютерные технологии. В наши дни все чаще для передачи данных используются глобальные информационные сети, самой распространенной из которых является сеть Интернет. «Бумажный» документооборот постепенно заменяется электронным. Однако официально электронный документооборот узаконен всего в нескольких странах мира. После принятия соответствующих законов в США, Японии, Германии, Италии узаконили электронный документооборот некоторые страны бывшего СССР – в частности, Украина, Узбекистан и Казахстан[2]. Отсутствие в национальном законодательстве большинства государств четко определенных правил сбора, обработки, передачи и хранения документов, содержащихся на электронных носителях, привело к разработке соответствующих международных соглашений.

В Европейском Союзе вопросам защиты интересов владельцев персональных данных, которые были подвергнуты электронной обработке, посвящена Конвенция СЕ «О защите физических лиц при автоматизированной обработке персональных данных», подписанная в Страсбурге (Франция) в 1981 году. Федеральный закон о ратификации Конвенции был подписан Президентом РФ 19 декабря 2005 года.

Каковы основные положения Конвенции, касающиеся принципов защиты физических лиц от неправомерного обращения с их персональными данными? Ответу на этот вопрос посвящена Глава II Конвенции — «Основополагающие принципы защиты данных».

В соответствии со ст. 5 Конвенции, персональные данные, подвергающиеся автоматизированной обработке:

a) собираются и обрабатываются на справедливой и законной основе;

б) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями;

в) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения;

г) являются точными и, когда это необходимо, обновляются;

д) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных.

При этом есть определенные категории персональных данных, которые в принципе не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий (ст. 6 Конвенции). Иными словами, определенные сведения о человеке должны охраняться особенно тщательно, поэтому электронные средства их обработки, как недостаточно надежные, исключаются. Это персональные данные, касающиеся:

расовой принадлежности;

политических взглядов или религиозных или других убеждений;

здоровья или половой жизни;

судимости физического лица.

Следующий вопрос, ответ на который необходимо знать каждому субъекту, имеющему дело с автоматизированной обработкой персональных данных – вопрос о применяемых средствах и мерах защиты этих данных. Меры безопасности, применяемые для защиты персональных данных, хранящихся в автоматизированных базах данных, должны быть направлены на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных (ст. 7 Конвенции).

При этом владельцу персональных данных предоставляется ряд дополнительных гарантий. Так, ст. 8 Конвенции предусматривает, что любому лицу (имеется в виду физическое лицо – владелец персональных данных) должна быть предоставлена возможность:

a) знать о существовании автоматизированной базы персональных данных, знать ее основные цели, а также название и место нахождения администратора базы данных;

б) получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированной базе данных, а также получить такие данные в доступной для понимания форме;

в) добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы защиты персональных данных;

г) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости о предоставлении данных, их изменении или уничтожении.

И наконец, допустимы ли изъятия из режима персональных данных, когда такие данные могут быть правомерно разглашены без согласия их владельца?

Статья 9 Конвенции содержит исчерпывающий перечень случаев, когда возможно отступление от провозглашенных Конвенцией основополагающих принципов охраны и защиты персональных данных. Такое отступление допускается, когда оно предусмотрено внутренним законодательством государства-участника Конвенции и является необходимой в демократическом обществе мерой, принимаемой в интересах защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений (разумеется, прежде всего следует иметь в виду случаи угрозы террористических актов), а также защиты владельца персональных данных или прав и свобод других лиц. Кроме того, внутреннее законодательство государства-участника может предусматривать ограничения на осуществление прав на охрану и защиту персональных данных в отношении автоматизированных баз персональных данных, используемых для целей статистики или научных исследований, когда явно отсутствует какой-либо риск нарушения неприкосновенности частной жизни владельцев данных.

Выводы, которые  можно сделать из содержания Главы II  Конвенции, на наш взгляд представляются следующими. Безусловно, положения главы отвечают интересам физических лиц – владельцев персональных данных, правам и свободам любой личности, а также общедемократическим ценностям. Однако положения главы изобилуют неопределенными правилами работы с персональными данными в автоматизированных системах, фактически провозглашая лишь общие принципы такой работы – справедливость, законность, оправданность, адекватность. При этом конкретные меры, которые надлежит принимать при сборе,  обработке, хранении и передаче персональных данных в автоматизированных системах, отданы «на откуп» внутреннему законодательству каждого государства-участника Конвенции.

Следует обратить внимание также на условия, на которых то или иное государство может стать участником Конвенции. Несмотря на то, что в отношении положений Конвенции не может делаться никаких оговорок (ст. 25), ст. 3 Конвенции фактически допускает ее принятие с определенными заявлениями. Так, любое государство, желающее присоединиться к Конвенции, может правомерно заявить, что оно не будет применять Конвенцию к определенным категориям автоматизированных баз персональных данных. Кроме того, уже было названо ограничение (ст. 9) на осуществление прав на охрану и защиту персональных данных, содержащихся на электронных носителях и используемых в интересах защиты безопасности государства и общественной безопасности. Большинством из возможностей для принятия Конвенции с подобными заявлениями воспользовалась Российская Федерация.

Обратимся к тексту Федерального закона от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». В соответствии с названным Законом, Конвенция ратифицирована РФ со следующими заявлениями.

1. Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

2. Российская Федерация заявляет, что в соответствии с подпунктом «с» пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3. Российская Федерация заявляет, что в соответствии с подпунктом «а» пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

 Чем грозит для российских владельцев персональных данных ратификация Конвенции на условиях, означенных в названном Законе?

Наименьшее количество вопросов вызывает пункт 2 Закона. Его содержание, по нашему мнению, может рассматриваться как продиктованное соображениями элементарной логики: если Конвенция посвящена охране только тех персональных данных, которые подвергаются автоматизированной обработке, то оправданно полагать, что ее положения не могут распространяться на персональные данные, обрабатывающиеся иными способами. Однако следует отметить, что это не снимает ответственности с лиц, занимающихся такими «иными» способами обработки персональных данных. Следовательно, работа над совершенствованием внутреннего законодательства России о правовом режиме персональных данных должна продолжаться – с главным ориентиром на соблюдения провозглашенных Конституцией РФ основных прав и свобод человека.

Касательно пункта 1 Закона, на наш взгляд, невозможно не отметить ряда особенностей данных, используемых человеком «исключительно для личных и семейных нужд». Все чаще мы прибегаем к электронным средствам для хранения подобных сведений: это и персональные компьютеры, и переносные электронные устройства для хранения данных, и мобильные телефоны. И все реже мы, не только в профессиональной деятельности, но и в повседневной жизни, можем обойтись без средств электронных коммуникаций с целью межличностного общения. Практически любое электронное устройство, используемое для хранения, обработки и передачи информации, на сегодняшний день имеет возможность выхода в среду глобальных информационных сетей. С учетом того, что правовое регулирование отношений в таких сетях, прежде всего с технической (телекоммуникационной) точки зрения, в России развито крайне слабо, информация, хранящаяся на электронном носителе, связанном с глобальной информационной сетью, быстро становится «легкой добычей» для лиц, осуществляющих к ней несанкционированный доступ. Это происходит при полном, в соответствии с принятым Федеральным законом, отсутствии средств защиты. Так что в отношении подобных сведений единственным способом защиты остается «личная система приоритетов» гражданина в отношении сведений, которыми он обладает – в его интересах остается хранение информации, разглашение которой для него нежелательно, на носителях, максимально недоступных третьим лицам.

В отношении неприменения Конвенции к сведениям, составляющим государственную тайну, а также в отношении пункта 3 ФЗ «О ратификации Конвенции…» представляется возможным отметить достаточно широкое поле для злоупотребления подобным правом. Так, перечень сведений, составляющих государственную тайну, установлен одноименным Федеральным законом – следовательно, при соблюдении установленной законом процедуры такой перечень может быть и пересмотрен, и расширен. Теоретически к государственной тайне со временем может быть отнесена любая информация. Любые же персональные данные могут быть законодательно отнесены к сведениям, играющим значительную роль для обеспечения государственной безопасности и общественного порядка.