Права субъекта персональных данных. 
Обязанности оператора

Права субъекта персональных данных, в частности его право на доступ к информации о нем самом, полученной различными государственными органами, изначально считались важнейшей темой Закона о персональных данных. Предполагалось, что каждый человек должен получить право знакомиться со своим личным делом, заведенным на него когда-то одной из спецслужб. В течение нескольких десятилетий (пока существовали СССР и система монополии на власть одной партии, а значит, и ее репрессивного аппарата) контроль за частной и общественной жизнью граждан осуществлялся совершенно беспрепятственно и безнаказанно. За эти десятилетия у многих людей выработалось равнодушие к бесцеремонному проникновению государства в их жизнь: «Мы настолько смирились с этим многолетним государственным рентгеном, что в нас не выработалась „энергия негодования“, когда кто попало и по любому поводу нагло сует нос в нашу жизнь, биографию, дела…»^[1].

Предоставляя субъекту персональных данных право на доступ к информации о нем, полученной различными операторами (и прежде всего государством), Закон о персональных данных должен был таким образом наложить определенные обязательства и ограничения на последних. Отчасти это произошло. В то же время надо признать, что формулировки указанного закона оставили достаточно широкий простор для произвольных действий (ограничивающих права субъекта персональных данных) государственных органов, в частности силовых структур.

Согласно ч. 7 ст. 14 Закона о персональных данных субъект персональных данных имеет право на получение информации, содержащей:

1) подтверждение факта обработки персональных данных оператором;

• 2) правовые основания и цели обработки персональных данных;
• 3) цели и применяемые оператором способы обработки персональных данных;
• 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• 6) сроки обработки персональных данных, в том числе сроки их хранения;
• 7) порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
• 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• 10) иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

Однако право субъекта персональных данных на доступ к его персональным данным может быть ограничено. Закон о персональных данных (ч. 8 ст. 14) предусматривает следующий (исчерпывающий) перечень оснований для отказа в таком доступе:

• 1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
• 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
• 3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• 4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как видим, оснований для отказа лицу в предоставлении доступа к его персональным данным довольно много. Некоторые из них могут быть истолкованы очень широко, что совершенно исключает возможность даже для вполне законопослушных граждан получить представление об информации, собранной о них государственными органами. Например, отказ может быть мотивирован интересами «охраны правопорядка». Но если лицо, запрашивающее доступ к информации о себе, не является ни подсудимым, ни задержанным, ни подозреваемым?

Увы, мы опять сталкиваемся с ситуацией, когда определенные государственные службы могут вполне бесконтрольно и безнаказанно собирать информацию о гражданине, в том числе и о его частной жизни, могут передавать эту информацию третьим лицам и т. д. Гражданин же при этом не имеет никаких шансов получить от этих спецслужб какой-то отчет. Ему будет отказано, скажем, на основании того, что эти данные получены в результате оперативно-разыскной деятельности либо в целях безопасности государства. Но мы уже сталкивались в нашей истории с положением, когда именно в целях «безопасности государства», понимаемой узко идеологически, попирались права граждан.

Следует при этом отметить, что в соответствии с ч. 3 ст. 56 Конституции РФ право на неприкосновенность частной жизни и на личную тайну не может быть ограничено. Но это право коррелируется с правом субъекта персональных данных получать доступ к информации о себе, а также правом требовать удалить определенную информацию или исключить ее размещение в каких-либо СМИ или Интернете и т. п.

В реальности и после принятия Конституции РФ 1993 г., и уже после принятия Закона о персональных данных граждане были свидетелями того, насколько бесцеремонно государство вторгается в пространство личной тайны и в частную жизнь, если в этом заключается политический интерес.

Так, в 1995 и 1999 гг. объектами внимания определенных государственных структур оказывались крупные чиновники — министр юстиции и генеральный прокурор. Видеосюжеты, связанные с их интимной жизнью, полученные с помощью средств скрытой записи, демонстрировались по государственным телеканалам. Государство (разумеется, олицетворяемое конкретными персонами, наделенными должностями, но в данном случае не это важно) даже не делало, в сущности, секрета из того, что главный смысл открытого нарушения конституционной нормы состоит в дискредитации и удалении данных чиновников.

И подобных случаев хватало и в дальнейшем. В 2016 г. в преддверии агитационной кампании в связи с выборами в Государственную Думу ряд государственных (и, конечно, не только государственных) СМИ азартно комментировали видеои фотосюжеты из интимной жизни политиков, относимых к оппозиции. Мало кто сомневался в том, что подобного рода информация (относящаяся к специальным категориям персональных данных) вряд ли могла быть получена без содействия определенных государственных служб, и не могла быть размещена без соответствующей санкции в эфире государственного телеканала. Не было предпринято также никаких попыток привлечь к ответственности лиц, открыто нарушивших нормы и Конституции РФ, и Закона о персональных данных.

Увы, такая практика, явно не укрепляет авторитета законодательных норм, защищающих права субъекта персональных данных.

В этой связи отметим, что важное значение имеют нормы, устанавливающие обязанности оператора при обращении к нему субъекта персональных данных. Как мы отмечали выше, у лица может возникнуть необходимость проверить информацию о себе: например, чтобы внести определенные уточнения или даже исключить какие-то сведения.

Согласно ч. 1 ст. 20 Закона о персональных данных оператор обязан сообщить в порядке, предусмотренном ст. 14 названного закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных. Оператор обязан также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя.

Как мы знаем, оператор может и отказать субъекту персональных данных.

В случае отказа в предоставлении требуемой информации оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 8 ст. 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

Если же доступ к персональным данным предоставляется, то такая услуга безвозмездна.

Если субъект персональных данных находит, что сведения о нем не полны или не точны, это также порождает ряд обязательств оператора.

Согласно ч. 3 ст. 20 Закона о персональных данных в срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Обратимся теперь к нормам, защищающим указанные права при рекламировании товаров и услуг, а также при политической агитации. Согласно ч. 1 ст. 15 Закона о персональных данных обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

Производители рекламы уже давно практикуют массовое адресное распространение рекламной информации. Особенно удобной эта форма стала с распространением мобильных телефонов (раньше рекламщикам чаще приходилось пользоваться почтовой связью). Рассылка рекламной информации, в том числе в виде СМС-сообщений на мобильный телефон потенциальному потребителю, не согласованных с этим потребителем, — один из видов нарушений рассматриваемого закона.

Следует отметить, что ст. 15 Закона о персональных данных корреспондируется с нормами ст. 18 Федерального закона «О рекламе», о котором речь шла выше. Федеральным законом «О рекламе» также предусмотрено, что распространение рекламы по сетям электросвязи, в том числе посредством использования телефонной, факсимильной, подвижной радиотелефонной связи, допускается только при условии предварительного согласия абонента или адресата на получение рекламы. При этом реклама признается распространенной без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено. Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.

Федеральным законом «О рекламе» установлено также, что не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки) (ч. 2 ст. 18).

Выше мы уже рассматривали случай из практики, когда оператор мобильной связи допускал автоматическую рассылку своим абонентам писем с предложением услуг другой компании. При этом рассылка сообщений осуществлялась по отобранным телефонным номерам. По этом поводу Высший Арбитражный Суд РФ указал, что само по себе осуществление оператором отбора абонентских номеров не может свидетельствовать о соблюдении компанией требований закона: в конечном счете рекламные письма рассылались в автоматическом режиме без всякого согласия абонентов^[2].

Закон о персональных данных предусматривает ряд норм, создающих определенные гарантии для лица, чьи персональные данные, содержащиеся, как можно понять без контекста, в определенных списках, реестрах, обрабатываются в автоматическом режиме. Дело в том, что включение персональных данных лица в некий массив информации (список, реестр) нередко означает возможность пользования определенными правами, благами. Например, лицо состоит на учете в определенной городской поликлинике, или стоит в очереди на получение ведомственного жилья. В этой связи согласно ч. 1 ст. 16 Закона о персональных данных запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных ч. 2 этой статьи. Последняя говорит о том, что решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

Таким образом, лицо не может быть, например, исключено из очереди на жилье или поставлено на учет в другое лечебное учреждение в автоматическом порядке — без информирования об этом и без согласования.

Специального внимания заслуживают нормы, обеспечивающие безопасность персональных данных, т. е. их защиту от любого неправомерного доступа. Оператор обязан принимать определенные меры по обеспечению такой безопасности.

В частности, согласно ч. 2 ст. 19 Закона о персональных данных оператор обязан обеспечивать:

• — учет машинных носителей персональных данных;
• — обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
• — применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных.

Согласно ст. 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию в порядке и на условиях, определяемых Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства РФ от 03.02.2012 № 79. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке с применением технических мер и использованием шифровальных (криптографических) средств, кроме того, требует оформления последним лицензий:

• — на техническое обслуживание шифровальных (криптографических) средств, при условии, что такого рода деятельность осуществляется оператором самостоятельно;
• — на выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд оператора).

Вопросы и задания для самоконтроля

• 1. В каких законах содержатся нормы, регулирующие отношения, связанные с персональными данными?
• 2. Раскройте понятие персональных данных.
• 3. Что такое биометрические персональные данные?
• 4. Что такое обезличивание персональных данных?
• 5. Каковы основания, дающие возможность обработки персональных данных без согласия их субъекта?
• 6. Перечислите специальные категории персональных данных.
• 7. Каков механизм защиты персональных данных работника?
• 8. Перечислите права субъекта персональных данных в случае, если он решил обратиться к оператору персональных данных.
• 9. Каковы обязанности оператора персональных данных в случае обращения к нему субъекта персональных данных?

• [1] Симонов А. Предисловие // Волчинская Е. К. Защита персональных данных: опытправового регулирования. М.: Галерия, 2001. С. 3.
• [2] См.: Определение ВАС РФ от 16.02.2009 № ВАС-15 732/08 по делу № А79−334/2008.