152-ФЗ Постатейные комментарии (1027774), страница 22
Текст из файла (страница 22)
Во-первых, на уровнеопределений достаточно трудно провести четкую линию раздела между автоматизированной инеавтоматизированной обработкой данных. Существуют, например, смешанные типы систем,которые могут предусматривать, а могут и не предусматривать автоматизированную обработкуданных. Эти трудности усугубляются постоянным совершенствованием технологий: например,вводятся в действие новейшие методы полуавтоматической обработки данных на основемикрофильмов или микрокомпьютеров, которые начинают все более широко использоватьсячастными лицами в целях, которые являются, с одной стороны, безобидными, а с другой - неподдающимися контролю.
Более того, если рассматриваемые положения будут касаться толькокомпьютеров, то результатом этого может стать отсутствие системного подхода, "провалы" исоздание широких возможностей для того, чтобы операторы могли обходить правила, используянеавтоматизированные методы обработки данных в целях, которые могут оказатьсянебезопасными.Наиболее целесообразным представляется применение положений настоящей статьи кобработке персональных данных в самом широком их понимании, вне зависимости от конкретныхтехнологий, используемых в этом процессе.Статья 17. Право на обжалование действий или бездействия оператораКомментарий к статье 17Комментируемой статьей воспроизводится общий принцип отечественной правовойсистемы, в соответствии с которым любое действие (бездействие), нарушающее права и законныеинтересы граждан, а равно создающее предпосылки к этому, может быть обжаловано вадминистративном или судебной порядке (см.
ст. 46 Конституции РФ).В качестве материально-правового основания возникновения права на защиту законодательназывает несоблюдение оператором требований настоящего Закона в процессе обработкиперсональных данных, результатом которого явилось:нарушение прав и законных интересов субъектов персональных данных или созданиепредпосылки к такому нарушению;создание препятствий осуществления гражданином своих прав и свобод;необоснованное или незаконное возложение на лицо каких-либо обязанностей илипривлечение его к ответственности.В роли процессуального основания применения положений комментируемой статьивыступает обращение заинтересованного лица с жалобой в уполномоченный орган по защите правсубъектов персональных данных или в суд.Следует подчеркнуть, что законодателем сформулированы возможности объективнойзащиты прав, независимо от того, имеет ли место их фактическое нарушение или нет.
Отсутствиеправовой заинтересованности у субъекта персональных данных не является препятствием кобращению за защитой и принятием заявления последнего к рассмотрению.Законодатель декларирует приоритет судебной защиты прав и законных интересовсубъектов персональных данных. Право на судебную защиту может быть реализовано в порядке,установленном ГПК, т.е. заинтересованное лицо должно соблюсти соответствующую процедуру:относительно подведомственности и подсудности (ст.
ст. 22 - 33 ГПК), формы и содержанияискового заявления и прилагаемых документов (ст. ст. 131, 132 ГПК) и т.п. При этом необходимоиметь в виду, что право на обращение в суд может быть реализовано не только путем обращенияв суд первой инстанции, но и на других стадиях гражданского процесса (в кассационной инадзорной инстанциях).Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРАСтатья 18. Обязанности оператора при сборе персональных данныхКомментарий к статье 181.
Предоставляя операторам право осуществлять обработку персональных данных гражданв порядке и на условиях, оговоренных настоящим Законом, авторы последнего, в целях защитыинтересов субъектов персональных данных, возлагают на них ряд обязанностей, выступающих вроли своего рода ограничителей свободы их деятельности.
Особенности юридическойконструкции, равно как и содержание такого рода обязанностей, во многом предопределены48структурными элементами обработки персональных данных, право на осуществление которойявляется основополагающим в деятельности оператора. Объединенные в главе четвертойанализируемого документа обязанности оператора и требования управомоченных субъектов к ихисполнению построены с учетом целей и задач, возлагаемых на них в соответствии с общими(вводными) положениями настоящего Закона.Комментируемой статьей предусмотрен перечень первичных обязанностей оператора, сисполнением которых законодатель связывает законность и обоснованность деятельностиоператора как по сбору персональных данных, так и по их последующей обработке.
В общем,закрепленные комментируемой статьей действия оператора условно могут быть представлены вкачестве информационного обязательства последнего, раскрывающего характер, содержание ицели его деятельности.Принимая во внимание конституционный принцип о сборе, хранении, распространенииинформации о гражданине, осуществляемом только с его согласия, можно отметить, чтоповышенная информационная отдача со стороны оператора является только дополнительнымаргументом в пользу его деятельности. По мнению законодателя, на целесообразность принятиярешения субъектом о передаче персональных данных для последующей их обработки могутоказать влияние такие сведения, как:1) цель обработки персональных данных;2) способы обработки персональных данных, применяемые оператором;3) сведения о лицах, которые имеют доступ к персональным данным или которым можетбыть предоставлен такой доступ;4) перечень обрабатываемых персональных данных и источник их получения;5) сроки обработки персональных данных, в том числе сроки их хранения;6) сведения о том, какие юридические последствия для субъекта персональных данныхможет повлечь за собой обработка его персональных данных.При этом по смыслу буквального толкования рассматриваемой статьи предоставлениеуказанных сведений допустимо лишь по просьбе субъекта персональных данных в случаях, когдаконфиденциальная информация получена непосредственно от него самого и ее обработкаосуществляется с его согласия.2.
Разграничивая условия деятельности оператора по сбору персональных данных взависимости от источника и оснований их получения, законодатель сохраняет приоритет защитыправ и законных интересов субъекта персональных данных.В случаях, когда получение персональных данных осуществляется из иных источников, аравно осуществляется помимо воли субъекта в порядке и на основаниях, установленныхфедеральным законом, оператор должен информировать последнего в отношении:1) собственного наименования и адреса места нахождения;2) целей обработки персональных данных и их правовом основании;3) предполагаемых пользователей персональных данных.В дополнение к указанным сведениям законодатель также допускает возможностьдоведения до сведения субъекта персональных данных информации, сформулированной в п.
4 ст.14 настоящего Закона.Оператор может быть освобожден от обязанности предоставить указанные сведения приусловии, что сбор персональных данных осуществляется в рамках оперативно-розыскной,контрразведывательной или разведывательной деятельности, в целях обороны страны, защитыоснов конституционного строя, обеспечения безопасности государства и охраны правопорядка.Ограничения на информирование субъекта персональных данных о проводимом сборе последнихмогут быть установлены также в случаях, когда обработка персональных данных осуществляетсяорганами, осуществившими задержание субъекта персональных данных по подозрению всовершении преступления, либо предъявившими субъекту персональных данных обвинение поуголовному делу, либо применившими к субъекту персональных данных меру пресечения допредъявления обвинения, или предоставление персональных данных нарушает конституционныеправа и свободы других лиц.Статья 19.
Меры по обеспечению безопасности персональных данных при их обработкеКомментарий к статье 191. Обеспечение безопасности персональных данных при их обработке - один из ключевыхмоментов, обусловивший принятие рассматриваемого нормативного правового акта. В целяхпредотвращения и нейтрализации угроз безопасности конституционным правам и свободамграждан в области духовной жизни и информационной деятельности, связанным с возможностьюнеправомерного или случайного доступа к их персональным данным, законодатель допускаетиспользование оператором практически неограниченных мер, препятствующих уничтожению,49изменению, блокированию, копированию, распространению персональных данных, а равноосуществлению иных неправомерных действий с ними. Реализация оператором обязанности пообеспечению безопасности персональных данных при их обработке представляетсяразработчикам настоящего Закона в принятии последним необходимых организационных итехнических мер.Организационныемерызащитыподразумеваютподсобойрегламентациюпроизводственной деятельности оператора, направленную на создание условий, обеспечивающихреализацию технических мер защиты конфиденциальной информации.
Организационные мерызащиты персональных данных предусматривают совершенствование системы обеспеченияинформационной безопасности, сертификацию систем защиты конфиденциальной информации потребованиям информационной безопасности, контроль за действием персонала в защищенныхинформационных системах, определение порядка финансирования деятельности системыобеспечения информационной безопасности. Организационные меры защиты персональныхданных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами идокументами, содержащими конфиденциальные сведения, использование технических средствзащиты, осуществление информационно-аналитической деятельности по выявлению угроззащищаемой информации.Организационные меры по защите конфиденциальной информации направлены наорганизацию выполнения правил, процедур и требований защиты персональных данных на основеправил, установленных настоящим Законом, иными федеральными законами, подзаконнымиактами. Они играют существенную роль в создании надежного механизма защиты информации,так как угрозы несанкционированного доступа к ней в значительной мере обусловлены нетехническими действиями.
Значительно чаще утечка, хищение и уничтожение информацииобусловлены злоумышленными действиями, небрежностью или халатностью пользователей илиперсонала защиты информации.Организационные меры защиты персональных данных в основном направлены напредотвращение утечки защищаемой информации в печати и возникновении других условий,создающих объективные предпосылки появления каналов утечки информации. Основное ихназначение - предотвратить несанкционированный доступ к защищаемой информации, ееразглашение или раскрытие. В каждом конкретном случае организационные мероприятия имеютспецифическую для данной организации форму и содержание, обусловленные особенностямизащищаемых сведений, существующих угроз информации, имеющихся средств защиты и др.Технические меры защиты персональных данных - это использование различныхтехнических,программныхиаппаратныхсредствдлязащитыинформацииотнесанкционированного доступа, копирования, модификации или уничтожения.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
