Понятие и признаки оператора, осуществляющего обработку персональных данных

Размещено на http://www.allbest.ru/

ПОНЯТИЕ И ПРИЗНАКИ ОПЕРАТОРА, ОСУЩЕСТВЛЯЮЩЕГО ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Кучеренко Анна Вячеславовна Амурский государственный университет

Субъект права является одной из базовых категорий как общей теории права в целом, так и информационного права в частности. Именно наличие в структуре правоотношения субъекта лежит в основе правореализационных процессов, придающих норме права статус регулятора общественных отношений. По общему правилу, субъектом права является физическое или иное лицо, наделенное законом правами и обязанностями и способное своими сознательными действиями и решениями осуществлять принадлежащие ему права и исполнять обязанности, т.е. обладающее таким качеством как правосубъектность, что, в свою очередь, позволяет ему выступать участником правоотношений в силу закона или по своему усмотрению. оператор персональный ответственность законность

Безусловно, категории «субъект права» и «субъект правоотношений» не являются идентичными. Субъектом права является потенциальный участник правоотношений, а субъект правоотношения непосредственно реализует свою правосубъектность, участвуя в них.

Участниками правоотношений, складывающихся в рамках оборота персональных данных, являются субъект данных и оператор, осуществляющий их обработку.

Исходя из определения, установленного ст. 3 Федерального закона «О персональных данных», оператором является государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [1]. Однако при всей широте предоставленных оператору полномочий именно он несет ответственность за законность и качество обработки предоставленных ему персональных данных.

Между тем, каждая организация в своей деятельности сталкивается с обработкой информации персонального характера: юридические лица - о сотрудниках, клиентах, контрагентах, потенциальных партнерах и пр.; органы власти, - кроме прочего, о заявителях, лицах, выступающих участниками регулируемых отношений (например, суд производит обработку данных лиц, участвующих в производстве по тому или иному делу) и т.п.

Не менее, а скорее, более разнообразными являются виды персональной информации, обрабатываемой любым физическим лицом. Каждый гражданин в течение жизни неизбежно накапливает значительный объем персональных данных других лиц. Безусловно, отдельные из них не подпадают под действие Федерального закона «О персональных данных», но только при условии, что лицо осуществляет их обработку исключительно для личных или семейных нужд (п. 1, ч. 2, ст. 1). Однако категории «личные и семейные нужды» законом не раскрыты. Очевидно, законодатель, вводя их в текст закона, имел в виду использование чужих персональных данных без цели извлечения прибыли, что, впрочем, не исключает возможность получения иных выгод от такого использования (например, укрепление авторитета, улучшение деловой репутации, намерение получить вознаграждение в виде повышения по должности и т.д.).

Представляется, такое пространное определение оператора персональных данных не может привести к воплощению норм закона на практике, а лишь нивелирует возможность реализации субъектами персональных данных своих прав.

Интересно отметить, что Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных» именует субъекта, определяющего цели и средства обработки персональных данных, «контролер», вводя наряду с ним еще одного субъекта рассматриваемых отношений - «обработчика», т.е. физическое или юридическое лицо, официальный орган, агентство или иной орган, который обрабатывает персональные данные по поручению контролера. Введение такого дополнительного субъекта правоотношений представляется вполне оправданным и обоснованным ввиду того, что сам оператор не всегда обладает административными, техническими и/или материальными ресурсами, достаточными для самостоятельного осуществления или организации обработки персональных данных. Российский же Федеральный закон «О персональных данных» лишь предполагает возможность осуществления обработки персональных данных не самим оператором, а третьим лицом на основании договора (ч. 4, ст. 6). При этом цели и содержание обработки персональных данных определяются исключительно оператором, в то время как Евродирективой предусмотрена возможность определения целей и средств обработки данных как самим контролером, так и совместно с другими лицами (в частности, с обработчиком).

В Федеральном законе «Об информации, информационных технологиях и о защите информации» фигурирует такая категория как «оператор информационной системы», которая по содержанию очень близка к «оператору, осуществляющему автоматизированную обработку персональных данных» [2]. Оператором информационной системы считается гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных. К числу его обязанностей закон относит: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации; своевременное обнаружение фактов несанкционированного доступа к информации; предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; постоянный контроль за обеспечением уровня защищенности информации и пр.

Цели осуществления и (или) организации оператором обработки персональных данных законом четко не определяются, устанавливаются оператором самостоятельно либо могут иметь конкретизацию на уровне профильных подзаконных нормативных актов. При этом четкое заблаговременное определение цели сбора персональных данных и соответствующий ему запрет на использование такой информации в целях, не соответствующих первоначально заявленным, является обязательным условием развития рассматриваемых правоотношений.

Так, целями обработки персональных данных могут быть: исполнение договора, одной из сторон которого является субъект персональных данных; статистические или иные научные цели (при условии обязательного обезличивания персональных данных); защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных; доставка почтовых отправлений организациями почтовой связи, осуществление операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, рассмотрение претензий пользователей услугами связи; профессиональная деятельность журналиста и др.

Операторы, осуществляющие обработку персональных данных, включаются в соответствующий реестр, обязанность по ведению которого возложена законом на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) [3].

Операторы включаются в указанный реестр в добровольном порядке путем направления в территориальное управление Роскомнадзора уведомления об обработке (о намерении осуществлять обработку) персональных данных. Следует подчеркнуть, что включение оператора в Реестр не выступает гарантией легитимности его деятельности, а указанные процедуры не являются взаимозависимыми.

Выходом из данной ситуации, как представляется, стало бы придание включению оператора в соответствующий реестр статуса обязательной процедуры (например, при государственной регистрации вновь создаваемого юридического лица, индивидуального предпринимателя или внесении изменений в учредительные документы уже существующих организаций). Это позволило бы Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций не только снизить количество нарушений в области обращения персональных данных, но в значительной степени решить проблемы правоприменительной практики.

Поддерживая позитивистское понимание субъекта права как одной из базовых категорий, подчеркнем, что лицо не может приобрести такой статус самостоятельно и единовременно, оно признается таковым исключительно государством. То есть именно от формулировки нормы закона зависит объем правосубъектности лица, участвующего в обороте персональных данных, которая, в свою очередь, лежит в основе всего правореализационного процесса в рассматриваемой сфере. В связи с этим особенно важным представляется закрепление в законе четких критериев и характеристик, позволяющих определить статус оператора, осуществляющего обработку персональных данных.

Список литературы

1. О персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ // Российская газета. 2006. 29 июля. № 65.

2. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. № 149-ФЗ // Там же.

3. Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных: Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 154 // Там же. 2008. 26 апреля. № 92.

Размещено на Allbest.ru