Модельный закон стран СНГ «О персональных данных»
Весьма полно основные ключевые моменты отношений по сбору и использованию персональных данных определяются в упомянутом Модельном законе стран СНГ «О персональных данных»1:
1 Также в указанном модельном законе подробно раскрывается правовой режим персональных данных (ст. 4), приводятся основные формы государственного регулирования действий держателей персональных данных, а именно лицензирование действий с персональными данными, регистрация баз персональных данных, регистрация держателей персональных данных, сертификация информационных систем, предназначенных для обработки персональных данных (ст. 5), предлагается создание специальных органов, деятельность которых дополняет существующие возможности защиты прав субъектов (ст. 16), описываются права субъекта персональных данных и права и обязанности держателя персональных данных (ст. 12, 13), ряд других норм, связанных с названым институтом. 2.
Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме. 3.
Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. 4.
Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться. 5.
Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или при миновании надобности. 6.
Должны приниматься меры для охраны персональных данных, исключающие случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных. 7.
Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации. 8.
Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных» (ст.
Принимая во внимание вышеизложенное, владельцам информационных ресурсов и сервисов, провайдерам, производителям программного обеспечения1 целесообразно при работе с пользователями:
1 При этом в качестве ориентира правильности собственных действий можно иметь в виду Приказ Государственного Комитета Российской Федерации по связи и информатизации от 25 декабря 1997 г. № 103 «Об организации работ по защите информации в отрасли связи и информатизации при использовании сети „Интернет»» (документ опубликован не был — по данным системы «КонсультантПлюс»), в п. 1 которого обозначена декларативная норма: «начальникам управлений и руководителям организаций отрасли связи и информатизации не допускать подключение к сети „Интернет» средств вычислительной техники, обрабатывающих сведения, составляющие государственную тайну, персональные данные граждан Российской Федерации и применяемых в системах управления связью, до решений технических и организационных вопросов, гарантирующих их надежную защиту».
2 Одним из видов обработки может быть статистическая обработка, после которой появляются сведения, уже не содержащие персональных данных. Для характеристики данного явления в проанализированном выше Модельном законе стран СНГ в ст. 2 и 14 употребляется категория «обезличивание персональных данных», определяемая как изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
Аналогичный механизм использования и обработки изначально персональных данных при проведении переписи, подведении итогов и использовании результатов Всероссийской переписи населения прописан в ст. 8 и 10 Федерального Закона от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения», согласно которым уже обработанные результаты переписи являются общедоступными.
Следует отметить, что в последнее время больше принято описывать указанную категорию термином деперсонификация. —
уведомлять их о наличии сбора и обработки персональных данных и информации, содержащей сведения о частной жизни граждан; —
раскрывать виды собираемых данных и способы их сбора; —
указывать цели и формы использования собранных данных2 непосредственно владельцем ресурса или сервиса и третьими ли-цами1;
1 Например, в ситуации постановки счетчиков различных систем на страницах сайта, когда к собираемым данным имеет доступ владелец сайта, а также владелец «подключенной» информационной системы сбора и обработки статистики посещений сайта.
2 В связи с данным вопросом интересна правовая проблема (точнее, вопрос) сроков охраны персональных данных.
3 Как видно, в данном исследовании указанный вопрос не рассмотрен, но освещен, в частности, в книгах: Прослушивание телефонов в международном праве и законодательстве одиннадцати европейских стран / Составитель Е. Е. Захаров. Харьков: издательство «Фолио», 1999; Защита прав граждан при внедрении системы оперативно-розыскных мероприятий в сетях связи / Составитель Ю. И. Вдовин. Санкт-Петербург: информационно-издательское агентство «Лик», 2000.
Также при исследовании данного вопроса нужно ознакомиться с рядом судебных решений последних лет, в частности, с решением Верховного Суда РФ от 25 сентября 2000 года по жалобе Нетупского П. И. о признании незаконными пункта 1.4 и последнего предложения пункта 2.6 приказа Министерства РФ по связи и информатизации от 25 июля 2000 г. № 130 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования». —
подробно описывать характер и форму волеизъявления пользователя относительно согласия последнего на сбор и использование данных о нем; —
определять срок2 и форму хранения собранных данных; —
реализовывать возможность прекращения сбора данных пользователя, содержащих информацию о его частной жизни, в связи с волеизъявлением последнего; —
обеспечивать возможность бесплатного доступа гражданина для ознакомления с собранной о нем информацией и уточнения таковой; —
определять, на основе каких законов регулируются соответствующие отношения с пользователем; —
определять пределы гражданской ответственности за нарушение режима охраны собранных данных; —
уведомлять пользователя о предусмотренных законодательством возможностях сбора и доступа к данным о гражданине, в частности, в результате оперативно-розыскных действий3.
Возможно указать, в результате каких действий гражданина (или третьих лиц) прекращается охрана собираемых о нем персональных данных1.
Источник
Модельный закон стран СНГ «О персональных данных»
Весьма полно основные ключевые моменты отношений по сбору и использованию персональных данных определяются в упомянутом Модельном законе стран СНГ «О персональных данных»1:
1 Также в указанном модельном законе подробно раскрывается правовой режим персональных данных (ст. 4), приводятся основные формы государственного регулирования действий держателей персональных данных, а именно лицензирование действий с персональными данными, регистрация баз персональных данных, регистрация держателей персональных данных, сертификация информационных систем, предназначенных для обработки персональных данных (ст. 5), предлагается создание специальных органов, деятельность которых дополняет существующие возможности защиты прав субъектов (ст. 16), описываются права субъекта персональных данных и права и обязанности держателя персональных данных (ст. 12, 13), ряд других норм, связанных с названым институтом. 2.
Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме. 3.
Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним. 4.
Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться. 5.
Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или при миновании надобности. 6.
Должны приниматься меры для охраны персональных данных, исключающие случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных. 7.
Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации. 8.
Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных» (ст.
Принимая во внимание вышеизложенное, владельцам информационных ресурсов и сервисов, провайдерам, производителям программного обеспечения1 целесообразно при работе с пользователями:
1 При этом в качестве ориентира правильности собственных действий можно иметь в виду Приказ Государственного Комитета Российской Федерации по связи и информатизации от 25 декабря 1997 г. № 103 «Об организации работ по защите информации в отрасли связи и информатизации при использовании сети „Интернет»» (документ опубликован не был — по данным системы «КонсультантПлюс»), в п. 1 которого обозначена декларативная норма: «начальникам управлений и руководителям организаций отрасли связи и информатизации не допускать подключение к сети „Интернет» средств вычислительной техники, обрабатывающих сведения, составляющие государственную тайну, персональные данные граждан Российской Федерации и применяемых в системах управления связью, до решений технических и организационных вопросов, гарантирующих их надежную защиту».
2 Одним из видов обработки может быть статистическая обработка, после которой появляются сведения, уже не содержащие персональных данных. Для характеристики данного явления в проанализированном выше Модельном законе стран СНГ в ст. 2 и 14 употребляется категория «обезличивание персональных данных», определяемая как изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.
Аналогичный механизм использования и обработки изначально персональных данных при проведении переписи, подведении итогов и использовании результатов Всероссийской переписи населения прописан в ст. 8 и 10 Федерального Закона от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения», согласно которым уже обработанные результаты переписи являются общедоступными.
Следует отметить, что в последнее время больше принято описывать указанную категорию термином деперсонификация. —
уведомлять их о наличии сбора и обработки персональных данных и информации, содержащей сведения о частной жизни граждан; —
раскрывать виды собираемых данных и способы их сбора; —
указывать цели и формы использования собранных данных2 непосредственно владельцем ресурса или сервиса и третьими ли-цами1;
1 Например, в ситуации постановки счетчиков различных систем на страницах сайта, когда к собираемым данным имеет доступ владелец сайта, а также владелец «подключенной» информационной системы сбора и обработки статистики посещений сайта.
2 В связи с данным вопросом интересна правовая проблема (точнее, вопрос) сроков охраны персональных данных.
3 Как видно, в данном исследовании указанный вопрос не рассмотрен, но освещен, в частности, в книгах: Прослушивание телефонов в международном праве и законодательстве одиннадцати европейских стран / Составитель Е. Е. Захаров. Харьков: издательство «Фолио», 1999; Защита прав граждан при внедрении системы оперативно-розыскных мероприятий в сетях связи / Составитель Ю. И. Вдовин. Санкт-Петербург: информационно-издательское агентство «Лик», 2000.
Также при исследовании данного вопроса нужно ознакомиться с рядом судебных решений последних лет, в частности, с решением Верховного Суда РФ от 25 сентября 2000 года по жалобе Нетупского П. И. о признании незаконными пункта 1.4 и последнего предложения пункта 2.6 приказа Министерства РФ по связи и информатизации от 25 июля 2000 г. № 130 «О порядке внедрения системы технических средств по обеспечению оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызова общего пользования». —
подробно описывать характер и форму волеизъявления пользователя относительно согласия последнего на сбор и использование данных о нем; —
определять срок2 и форму хранения собранных данных; —
реализовывать возможность прекращения сбора данных пользователя, содержащих информацию о его частной жизни, в связи с волеизъявлением последнего; —
обеспечивать возможность бесплатного доступа гражданина для ознакомления с собранной о нем информацией и уточнения таковой; —
определять, на основе каких законов регулируются соответствующие отношения с пользователем; —
определять пределы гражданской ответственности за нарушение режима охраны собранных данных; —
уведомлять пользователя о предусмотренных законодательством возможностях сбора и доступа к данным о гражданине, в частности, в результате оперативно-розыскных действий3.
Возможно указать, в результате каких действий гражданина (или третьих лиц) прекращается охрана собираемых о нем персональных данных1.
Источник
Персональные данные страны снг
При этом надо заметить, что невыполнение правил GDPR ведет к наложению крупных штрафов вплоть до 20 миллионов евро или до 4 процентов от выручки (в зависимости от того, какая сумма в итоге будет больше), За отсутствие сотрудника по защите данных там, где это нужно по закону, или же за незаконную обработку персональных данных несовершеннолетнего еврорегламентом предусмотрены хоть и меньшие финансово, но все же весьма существенные штрафы — 10 миллионов евро или 2% от общего годового оборота предприятия.
Так, например, в марте 2018 года главный орган стандартизации Китая — Национальный технический комитет по стандартизации информационной безопасности Китая (TC260) — выпустил государственный стандарт «Спецификация безопасности личной информации», охватывающий сбор, хранение, использование, обмен, передачу и раскрытие личной информации интернет-пользователей КНР. Этот стандарт является органичным дополнением к вышеупомянутому закону о кибербезопасности.
Местные эксперты считают, что Китай, по-прежнему отдающий приоритет вмешательству государства в частную жизнь своих граждан, тем не менее многое может перенять и из европейского опыта: условия согласия пользователей, «право на забвение», формулирование политики конфиденциальности бизнеса, и т.д.
Канада приняла новый закон в области защиты ПД буквально пару месяцев назад, в ноябре 2020 года. Как было сказано в официальном сообщении министерства инноваций страны, «для того, чтобы Канада добилась успеха, а наши компании могли внедрять инновации, необходима система, основанная на доверии, с прозрачными правилами и контролем за их исполнением».
Правительство серьезно ужесточило меры ответственности за нарушение прав граждан в киберпространстве. Теперь компаниям, совершившим серьёзные нарушения в этой сфере, грозят штрафы в размере 5% годового дохода или 25 миллионов евро (19 миллионов долларов) – выбор наказания будет делаться в пользу более крупной суммы, так же как в странах Евросоюза.
Япония и Сингапур
В Сингапуре личные данные защищены законом «О защите персональных данных», который был принят еще в 2012 году и устанавливает правила по сбору, использованию, раскрытию и хранению ПД. Из интересных моментов можно отметить то, что закон предусматривает создание национального реестра «Do not Call» (DNC). Такой реестр позволяет зарегистрировать свои номера таким образом, чтобы отказаться от получения маркетинговых звонков, СМС-сообщений и факсов от организаций.
Сингапурские организации могут собирать, использовать или раскрывать личные данные только с согласия человека, и делать это лишь для целей, которые будут считаться обоснованными.
Источник
