Формированию единой информационной системы персональных данных предшествует прохождение следующих этапов:
достаточность накопления конфиденциальной информации в базе данных, соответствующих целям и способам их обработки;
разработка унифицированных информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.
Ценность и эффективность функционирования создаваемой информационной системы во многом будет определяться, прежде всего, ее информационными ресурсами, полнотой, достоверностью и регулярностью их поступления не только из центральных, но и региональных источников. Таким образом, формирование информационной системы персональных данных предполагает усиление работы по ее созданию как в общефедеральном масштабе, так и на уровне территорий, посредством деятельности региональных опорных зон информатизации, выступающих одновременно коммуникационными системами транзитной транспортировки данных в единый центр. Тем самым принцип комплексного согласованного развития всех элементов системы должен стать основополагающим для становления и совершенствования единой информационной технологии в сфере обработки персональных данных. При этом в качестве начальных условий принимается существующее состояние дел в информатизации указанной деятельности.
По своей правовой природе любая информационная система является сложным (составным) объектом, отдельно взятые элементы (модули) которого могут охраняться в рамках различных правовых институтов.
Создание информационной системы персональных данных предполагает широкомасштабную компьютеризацию процессов переработки информации во всех сферах деятельности и активное использование телекоммуникационных систем информационного обмена. Основными "инструментами" этого процесса являются информационные технологии, технологии связи, технические средства их реализации. Последние представляют собой всю совокупность программных, технических и организационно-экономических средств, объединенных структурно и функционально в целях осуществления поиска, сбора, хранения, обработки, предоставления, распространения информации, а равно совокупность содержащихся в базах данных информации для повышения эффективности функционирования социально-экономических объектов или структур. Информационные технологии и технические средства являются системообразующим элементом информационного пространства, определяющим уровень реального использования информации в качестве ресурса. Применение в комплекте средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.
В целях обеспечения физической сохранности персональных данных, защиты их от искажения и уничтожения, действующим законодательством предусмотрена обязательная процедура лицензирования деятельности по технической защите конфиденциальной информации в процессе работы с ней (см. Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"[11]).
Кроме того, в указанных целях предусмотрена обязательная процедура сертификации средств обеспечения автоматизированных информационных систем и информационных технологий, предназначенных для работы с персональными данными, направленная на обеспечение их защиты от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию.
7. Включение информации в разряд конфиденциальной подразумевает соответствие последней следующим обязательным условиям: отсутствие свободного доступа к ней; наличие достаточного механизма ее защиты.
Последний, в свою очередь, включает в себя комплекс организационных, технических и юридических мероприятий, обеспечивающих информационную безопасность.
По замыслу авторов рассматриваемого Закона юридическое обеспечение конфиденциальности персональных данных требует обязательного согласия субъекта персональных данных на их обработку оператором или иными лицами, которым на законных основаниях был предоставлен доступ к персональным данным. В отдельных случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Следует отметить, что комментируемая статья несколько сужает представление о конфиденциальности персональных данных, сводя последнее к ограничениям, связанным с их распространением. Как уже было отмечено, конфиденциальность информации, в целях предотвращения угроз ее утечки, хищения, утраты, искажения или подделки должна охватывать весь процесс ее обработки (см. ст.9 настоящего Закона и комментарий к ней).
Оператор должен постоянно извещать обладателя персональных данных о проводимых в отношении последних операциях. Требование такого рода, с одной стороны, обусловлено требованиями повышенной защиты персональных данных, с другой — связано с созданием условий реализации права субъекта персональных данных на отзыв собственного согласия.
По смыслу комментируемого Закона требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме того, обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.
8. Необходимость трансграничной передачи персональных данных диктуется требованием их правовой защиты за пределами РФ, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться на их территории.
Трансграничная передача представляется законодателем в качестве одного из самостоятельных этапов их обработки. По своей юридической природе последний во многом приближен к обнародованию персональных данных, т.к. связан с их распространением неограниченному кругу лиц. Подчиняясь общим правилам обработки персональных данных, в том числе и требованию сохранения их конфиденциальности, трансграничная передача в то же время имеет свои особенности. Согласно ст.12 настоящего Закона осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства-получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни при передаче персональных данных.
Статья 4.
Законодательство Российской Федерации в области персональных данных
Комментарий к статье 4
1. Комментируемая статья определяет состав основных нормативных актов, формирующих систему законодательства в области персональных данных, их структуру и содержание. Законодательство в области персональных данных складывается из отдельных норм Конституции РФ, международно-правовых положений, настоящего Федерального закона, иных федеральных законов, определяющих случаи и особенности обработки персональных данных, принимаемых на основании и во исполнение последних органами государственной власти в пределах их компетенции нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных.