нарушение прав и законных интересов субъектов персональных данных или создание предпосылки к такому нарушению;
создание препятствий осуществления гражданином своих прав и свобод;
необоснованное или незаконное возложение на лицо каких-либо обязанностей или привлечение его к ответственности.
В роли процессуального основания применения положений комментируемой статьи выступает обращение заинтересованного лица с жалобой в уполномоченный орган по защите прав субъектов персональных данных или в суд.
Следует подчеркнуть, что законодателем сформулированы возможности объективной защиты прав, независимо от того, имеет ли место их фактическое нарушение или нет. Отсутствие правовой заинтересованности у субъекта персональных данных не является препятствием к обращению за защитой и принятием заявления последнего к рассмотрению.
Законодатель декларирует приоритет судебной защиты прав и законных интересов субъектов персональных данных. Право на судебную защиту может быть реализовано в порядке, установленном ГПК, т.е. заинтересованное лицо должно соблюсти соответствующую процедуру: относительно подведомственности и подсудности (ст.ст.22 — 33 ГПК), формы и содержания искового заявления и прилагаемых документов (ст.ст.131, 132 ГПК) и т.п.При этом необходимо иметь в виду, что право на обращение в суд может быть реализовано не только путем обращения в суд первой инстанции, но и на других стадиях гражданского процесса (в кассационной и надзорной инстанциях).
Глава 4.
Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных Комментарий к статье 18
1. Предоставляя операторам право осуществлять обработку персональных данных граждан в порядке и на условиях, оговоренных настоящим Законом, авторы последнего, в целях защиты интересов субъектов персональных данных, возлагают на них ряд обязанностей, выступающих в роли своего рода ограничителей свободы их деятельности. Особенности юридической конструкции, равно как и содержание такого рода обязанностей, во многом предопределены структурными элементами обработки персональных данных, право на осуществление которой является основополагающим в деятельности оператора. Объединенные в главе четвертой анализируемого документа обязанности оператора и требования управомоченных субъектов к их исполнению построены с учетом целей и задач, возлагаемых на них в соответствии с общими (вводными) положениями настоящего Закона.
Комментируемой статьей предусмотрен перечень первичных обязанностей оператора, с исполнением которых законодатель связывает законность и обоснованность деятельности оператора как по сбору персональных данных, так и по их последующей обработке. В общем, закрепленные комментируемой статьей действия оператора условно могут быть представлены в качестве информационного обязательства последнего, раскрывающего характер, содержание и цели его деятельности.
Принимая во внимание конституционный принцип о сборе, хранении, распространении информации о гражданине, осуществляемом только с его согласия, можно отметить, что повышенная информационная отдача со стороны оператора является только дополнительным аргументом в пользу его деятельности. По мнению законодателя, на целесообразность принятия решения субъектом о передаче персональных данных для последующей их обработки могут оказать влияние такие сведения, как:
1) цель обработки персональных данных;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
При этом по смыслу буквального толкования рассматриваемой статьи предоставление указанных сведений допустимо лишь по просьбе субъекта персональных данных в случаях, когда конфиденциальная информация получена непосредственно от него самого и ее обработка осуществляется с его согласия.
2. Разграничивая условия деятельности оператора по сбору персональных данных в зависимости от источника и оснований их получения, законодатель сохраняет приоритет защиты прав и законных интересов субъекта персональных данных.
В случаях, когда получение персональных данных осуществляется из иных источников, а равно осуществляется помимо воли субъекта в порядке и на основаниях, установленных федеральным законом, оператор должен информировать последнего в отношении:
1) собственного наименования и адреса места нахождения;
2) целей обработки персональных данных и их правовом основании;
3) предполагаемых пользователей персональных данных.
В дополнение к указанным сведениям законодатель также допускает возможность доведения до сведения субъекта персональных данных информации, сформулированной в п.4 ст.14 настоящего Закона.
Оператор может быть освобожден от обязанности предоставить указанные сведения при условии, что сбор персональных данных осуществляется в рамках оперативно-розыскной, контрразведывательной или разведывательной деятельности, в целях обороны страны, защиты основ конституционного строя, обеспечения безопасности государства и охраны правопорядка. Ограничения на информирование субъекта персональных данных о проводимом сборе последних могут быть установлены также в случаях, когда обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, или предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 19.
Меры по обеспечению безопасности персональных данных при их обработке
Комментарий к статье 19
1. Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие рассматриваемого нормативного правового акта. В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором практически неограниченных мер, препятствующих уничтожению, изменению, блокированию, копированию, распространению персональных данных, а равно осуществлению иных неправомерных действий с ними. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке представляется разработчикам настоящего Закона в принятии последним необходимых организационных и технических мер.
Организационные меры защиты подразумевают под собой регламентацию производственной деятельности оператора, направленную на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Организационные меры защиты персональных данных предусматривают совершенствование системы обеспечения информационной безопасности, сертификацию систем защиты конфиденциальной информации по требованиям информационной безопасности, контроль за действием персонала в защищенных информационных системах, определение порядка финансирования деятельности системы обеспечения информационной безопасности. Организационные меры защиты персональных данных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами и документами, содержащими конфиденциальные сведения, использование технических средств защиты, осуществление информационно-аналитической деятельности по выявлению угроз защищаемой информации.
Организационные меры по защите конфиденциальной информации направлены на организацию выполнения правил, процедур и требований защиты персональных данных на основе правил, установленных настоящим Законом, иными федеральными законами, подзаконными актами. Они играют существенную роль в создании надежного механизма защиты информации, так как угрозы несанкционированного доступа к ней в значительной мере обусловлены не техническими действиями. Значительно чаще утечка, хищение и уничтожение информации обусловлены злоумышленными действиями, небрежностью или халатностью пользователей или персонала защиты информации.
